WhatsApp dosya incelenmesi ait veriler(verilerin kaydedildiği dizinler) işletim sisteminin farklılığına göre değişir. Bir cihazdan çıkarılan WhatsApp verileri ile diğer farklı bir cihazdaki veriler aynı değildir. Windows işletim sistemli bir masaüstü PC varsa, IOS işletim sisteminin yedek kopyaları hariç diskte WhatsApp sohbetleri bulunamaz.
Android Cihazlarda WhatsApp
Biliniyor ki Android cihazlar günümüzde en yaygın kullanılanlardandır. Bir android cihazda WhatsApp Dosya incelenmesi , uygulama telefona indirildiyse kullanıcı verilerinin depolandığı telefonun hafızasında, eğer ki telefona indirilip sdcard’a taşındıysa sdcard’da bulunmaktadır. Bu, Userdata olarak adlandırılır. Bu Userdata dizininin alt dizinleri ve program dosyaları /data/data/com.whatsapp/ dizininde bulunur. Her kullanıcının bu dosyaların içinde mevcut verileri farklılık gösterebilir. Fakat kaydedilen verilerin türü aynıdır. Örneğin bir kullanıcının a şahsına göndermiş olduğu resimler Whatsapp/whatsapp images/sent dosyasında yer alır aynı şey başka bir kullanıcı içinde geçerlidir. Farklı olan tek şey içeriktir.
msgstore.db ve wa.db veritabanı dosyaları Android’de WhatsApp’ın ana yapılarını içeren dosyalardır.
- Msgstore.db: Bir kullanıcı ile kişileri arasındaki sohbetin içeriklerini kapsar. Bu sohbete ait numara bilgileri, mesajın içeriği, durum ve zaman bilgileri vb.
Kaynak: /data/data/com.whatsapp/databases/msgstore.db - Wa.db: Tüm WhatsApp kullanıcılarının kontaklarının telefon numaraları, ekran adları, WhatsApp’a kaydolurken bahsi geçen diğer bilgiler dahil bilgi depolar. Silinen kişiler hakkında bilgi gösterebilir.
Kaynak: /data/data/com.whatsapp/databases/wa.db - Wa_contacts: WhatsApp kişileri hakkında bilgi içerir. Kişinin kimliğini, whatsapp durumunu, ad bilgilerini vb.
Tablo Yapısı
- _ID: Kaydın sıra numarası
- x@s.whatsapp.net: Kişiye ait numara
- is_whatsapp_user: Gerçek bir WhatsApp kullanıcısı ise bu değerin karşısında ‘1’ aksi durumda ‘0’ yazar
- status: Kişinin durum satırındaki metin
- status_timestamp: Milisaniye formatında zaman bilgisini gösterir
- display_name: Kişinin görünen adı
- phone_type: Telefonun türü
- wa_name: Kişinin WhatsApp’ta kullandığı adı (profilde ne belirtildiyse)
- sqlite_squence: Kayıtlı mesaj sayısı, toplam sohbet sayısı, silinmiş sohbetlerin sayısı, sık görüşülen kişilerin sayısı gibi bilgileri içerir
- message_fts_content: Mesaj içerikleri bu kısımdan görülebilir
- messages: Mesaj hakkında numara, durum, ve zaman bilgilerini içerir
- key_remote_jid: Konuşmayı yapanın WhatsApp kimliği
- key_from_me: Mesajın gelen mi ya da gönderilen mi olduğunun bilgisi (‘0’ Gelen, ‘1’ Giden)
- status: Mesajın durum bilgisi (‘4’ beklemede, ‘0’ alındı, ‘5’ hedefe ulaştı)
- media_url: Eğer ki dosya iletimi durumu oluştuysa, iletilen bu dosyanın url bilgisi
- media_wa_type: Mesaj türü bilgisi(‘0’ metin, ‘1’ resim, ‘2’ ses, ‘3’ video, ‘4’ kartvizit, ‘5’ coğrafi konum)
- media_size: İletilen dosyanın boyutu
- media_name: İletilen dosyanın adı
- media_caption: Mesaj türü (media_wa_type değeri) bilgisinin numaralarına karşılık gelen değerler
- latitude: İletiyi gönderenin enlemi
- longitude: İletiyi gönderenin boylamı
- remote_recource: Gönderenin kimliği (grup sohbetler için)
- received_timestap: Cihaz saatindeki zaman bilgisini verir
- receipt_server_timestamp: Mesajın merkezi ACK sunucusuna iletildiği zaman bilgisi
- read_device_timestamp: Mesajı açma (okuma) zamanı bilgisi
- played_device_timestamp: Mesajı oynatma zamanı (video ve sesli mesajlar için geçerlidir)
- raw_data: İletilen dosyanın küçük resmi (thumbnail dosyaları gibi)
- recipient_count: Alıcı sayısı (grup mesajlaşmalarında yahut toplu mesajlarda geçerlidir)
- msgstore.db.cryptYY: WhatsApp sohbetlerinin şifrelenmiş bir yedek kopyasını içerir. YY şeklinde gösterilen kısım 0 ile 12 arasındaki bir veya iki basamaklı bir sayı olabilir.(msgstor.db.crypt06 gibi) Msgstore.db.cryptYY dosyası veya dosyaları /data/media/0/WhatsApp/Media/WhatsApp Images/ (sanal sd kart) ve /mnt/sdcard/WhatsApp/Databases/ (fiziksel sdcard)
- /data/data/com.whatsapp/files/: Yolunun altında anahtar dosyası bir şifreleme anahtarı içerir. Bu anahtar ise şifreli WhatsApp yedek kopyalarının şifresini çözmek amacıyla kullanılmaktadır
- com.whatsapp_preferences.xml: WhatsApp profili hakkında bilgi içerir. (WhatsApp hesap sahibinin kullanıcı adı, WhatsApp hesabıyla ilişkilendirilmiş telefon numarası, WhatsApp uygulamasının sürümü, kullanan kişinin profilindeki WhatsApp durumu vb. gibi bilgiler)
- /data/media/0/WhatsApp/Media/WhatsApp Images/: Gönderilen veya alınan resim veya video dosyalarını içerir
- data/media/0/WhatsApp/Media/WhatsApp VoiceNotes: Gönderilen yahut alınan sesli mesaj içerikleri bu kısımda görülebilir
- data/data/com.Whatsapp/cache/Profile Pictures/: Kişilerin profil resmin içerir
- data/data/com.Whatsapp/files/Avatars/: Kişilerin profil resimlerinin küçük resimlerini içerir. Bu dosyaların asıl uzantıları jpeg’tir. Fakat .j uzantısına sahiptirler
- whatsapp.log: Programa ait günlük yapılan işlemlerin kayıt bilgilerini içerir.(Dosyası ise whatsapp-yyyy-mm-mm-dd. .log.gz biçimindedir)
- /data/media/0/WhatsApp/Media/WhatsApp Audio/: Alınan ses dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp Audio/Sent: Gönderilmiş ses dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp Images: Alınan resim dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp Images/Sent: Gönderilen resim dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp video: Alınan video dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp video/Sent: Gönderilen video dosyalarını içerir
- /data/media/0/WhatsApp/Media/WhatsApp Profile Photos/: Hesap sahibiyle ilişkili profil fotoları içerir (WhatsApp hesabının sahibinin telefonunun rehberindeki kişilerin profil resimleri vb.)
- share(/mnt/sdcard/WhatsApp/.Share/): Diğer WhatsApp kullanıcılarına gönderilen dosyaların bir kopyasını içerir
- trash(/mnt/sdcard/WhatsApp/.trash/): Silinen dosyaları kapsar
IOS Cihazlarda WhatsApp
IOS’da WhatsApp’a ait verilerin yedeği iTunes yolu ile alınır. Bunun avantajı ise uygulamadan WhatsApp Dosya incelenmesi tekrar veri çıkarmaya çalışılmadan verilerin çoğuna direk yollu /private /var/mobil/Applications/group dizininin altında bulunan ChatStorage.sqlite’dan erişilebilir.
ChatStorage.sqlite Yapısı:
ChatStorage.sqlite’da en can alıcı kısım, ZWAMESSAGE ve ZWAMEDIAITEM tablolarıdır.
ZWAMESSAGE Tablosunun Yapısı:
- ZISFROMME: Mesaj yönü: ‘0’ = gelen, ‘1’ = giden
- ZMESSAGEERRORSTATUS: Mesaj durumu gönderildiyse ‘1’ alındıysa ‘0’
- ZMESSAGETYPE: Mesaj tipi (resim, video,ses mesajı, vb.)
- ZFROMJID: Gönderenin WhatsApp kimliği
- ZMEDIASECTIONID: Gönderilen resmin gönderildiği ay ve yılı içerir
- ZTEXT: Mesajın içeriği
- ZTOJID: Alıcının WhatsApp kimliği
ZWAMEDIAITEM Tablosunun Yapısı:
- ZCLOUDSTATUS: Dosya eğer indirildiyse durum ‘4’ değerini alır
- ZFILESIZE: Dosya eğer indirildiyse dosya boyutunu byte şeklinde içerir
- ZMOVIEDURATION: Pdf dosyaları için sayfa sayısını verebilir
- ZMEDIAURL: Medya dosyalarının url yollarını içerir. Medya eğer birini k-aktarılmışsa şifrelenir
- ZTITLE: Dosya başlıklarını içerir
- ZVCARDSTRING: Aktarılan dosyanın türünü içerir.(jpeg, doc, powerpoint vb.)
- ZMETADATA: Gönderilen mesaja ait metadata (bir üst veri, bir veri hakkında daha öncelikli veriler elde edilmektedir. (Örneğin bir dosyaya ait oluşturulma, değiştirilme tarihleri vs.)) verileri
- Z _ PRIMARYKEY: Toplam kayıtlı mesaj sayısı, toplam sohbet sayısı
- ContactsV2.sqlite: Kullanıcı hakkında genel bilgileri içerir.(Whatsapp kimliği, numara, mesaj içeriği)
Kaynak: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ - consumer_version: WhatsApp sürüm numarası bilgilerini içerir
Kaynak: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ - current_wallpaper.jpg: WhatsApp arka planduvar kağıtları bilgileri
Kaynak: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ - blockedcontacts.dat: Engelli kişiler hakkında bilgi içerir
Kaynak: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ - /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ Message/Media/: Multimedya dosyalarını içerir.
- /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/: Program log kayıtlarının yedek bilgileri (arama log kayıtları vb.)
Emir Can KÖSE
Adli Bilişim Mühendisi
