КОМПЬЮТЕРНАЯ КРИМИНАЛИСТИКА

Elcomsoft Explorer for WhatsApp

Инструмент для извлечения и просмотра переписки в WhatsApp

Elcomsoft Explorer for WhatsApp (EXWA) – удобный инструмент для извлечения, просмотра и анализа переписки пользователей в приложениях WhatsApp для Android и iOS и WhatsApp Business для Android. Данные приложения могут извлекаться как из локальных (iTunes) и «облачных» резервных копий iOS (iCloud), так и непосредственно из телефонов под управлением Android. Кроме того, поддерживается извлечение автономных резервных копий WhatsApp, создаваемых смартфонами под управлением Android в «облачном» хранилище Google Drive и iCloud Drive.

В режиме просмотра доступны функции быстрого поиска записей и фильтрации данных, позволяющие отобразить только интересующие записи – например, попадающие в заданный временной промежуток.

Elcomsoft Explorer for WhatsApp – инструмент «всё в одном», включающий в себя функции по извлечению, расшифровке и просмотру данных WhatsApp.

Извлечение данных WhatsApp

В Elcomsoft Explorer for WhatsApp поддерживаются следующие методы извлечения данных приложения WhatsApp для iOS:

  • Извлечение из устройств под управлением Android
    Данные извлекаются непосредственно из телефона под управлением Android. Поддерживаются устройства как с наличием рут-доступа (Android 4.0-9.0), так и без него (Android 4.0-6.0.1). Для извлечения данных экран устройства потребуется разблокировать.
  • Поддержка WhatsApp Business для Android
    Данные приложения WhatsApp Business извлекаются непосредственно из телефона под управлением Android при наличии рут-доступа. Кроме того, поддерживается извлечение из локальных резервных копий, а также из "облака" Google Drive.
  • Извлечение автономных резервных копий WhatsApp из Google Drive
    Приложение WhatsApp для Android способно создавать зашифрованные резервные копии данных в "облачном" сервисе Google Drive. С помощью Elcomsoft Explorer for WhatsApp можно скачать и расшифровать такие автономные резервные копии. Требуются логин и пароль для доступа в Google Account, а также доступ к привязанному телефонному номеру или SIM-карте.[1]
  • Извлечение из локальных резервных копий iTunes
    Устройства под управлением iOS могут создавать резервные копии всех данных посредством приложения Apple iTunes. С помощью Elcomsoft Explorer for WhatsApp из резервной копии в формате iTunes извлекаются все данные, имеющие отношение к приложению WhatsApp, включая контакты, историю переписки, отправленные и полученные фотографии. Зашифрованные резервные копии можно автоматически расшифровать, указав пароль.
  • Извлечение из системных резервных копий в «облачном» хранилище Apple iCloud
    Если на устройстве включен режим автоматического создания резервных копий в iCloud, с помощью Elcomsoft Explorer for WhatsApp можно скачать из «облака» данные, имеющие отношение к приложению WhatsApp. [1] Извлекаются контакты, история переписки, фотографии. Поддерживается быстрый режим работы с «облаком», в котором извлекается только релевантная информация без необходимости скачивать все гигабайты данных образа данных устройства. Для скачивания из «облака» необходимо указать Apple ID и пароль пользователя либо воспользоваться маркером аутентификации.[2]
  • Извлечение автономных резервных копий WhatsApp из iCloud Drive
    В приложении WhatsApp для iOS можно включить режим создания автономных резервных копий данных, работающий даже в том случае, когда резервное копирование системы средствами iOS не активировано. Данные хранятся в «облачном» сервисе iCloud Drive. С помощью Elcomsoft Explorer for WhatsApp можно скачать такие автономные резервные копии. [1] Для скачивания из «облака» необходимо указать Apple ID и пароль пользователя либо воспользоваться маркером аутентификации. Кроме того, для расшифровки резервной копии потребуется доступ к привязанному телефонному номеру или SIM-карте.[2]

WhatsApp: трудная мишень

WhatsApp – одна из самых популярных программ для мгновенного обмена сообщениями. Более 900 миллионов пользователей общается через приложения WhatsApp с самых разных устройств. Приложения WhatsApp доступны для Android, Apple iOS, телефонов Nokia и устройств под управлением Windows 10 Mobile и Windows Phone 8/8.1. В США и многих европейских странах, включая Россию, WhatsApp занимает первое место среди аналогичных программ.

Широкое распространение WhatsApp привело к тому, что пользователи сервиса стали мишенью для преступников и мошенников всех мастей. Использование безопасного протокола обмена информацией и невозможность перехвата сообщений, отправленных мошенниками, приводят к тому, что единственным работающим способом получить доступ к переписке WhatsApp становится извлечение соответствующих данных непосредственно из устройства пользователя, его «облачных» или локальных резервных копий.

Извлечение истории переписки из Android

Телефоны под управлением Android широко распространены, и Elcomsoft Explorer for WhatsApp поддерживает извлечение истории WhatsApp из таких устройств. Для расшифровки данных необходимо извлечь ключ шифрования, который без использования специальных методов доступен только для приложений, запущенных с правами суперпользователя.

Elcomsoft Explorer for WhatsApp способен извлечь и расшифровать историю переписки WhatsApp как из телефонов с установленным рут-доступом, так и без него. При наличии рут-доступа данные извлекаются из всех устройств под управлением Android 4.0-9.0. Если рут-доступ недоступен, информация извлекается обходным методом, который работает только на Android 4.0-6.0.1.

Поддержка WhatsApp Business для Android

Поддерживается извлечение данных из версии WhatsApp Business для Android. Из-за различий в реализации для извлечения из физического устройства необходим рут-доступ. При отсутствии рут-доступа доступны варианты извлечения из локальных и "облачных"резервных копий WhatsApp Business в Google Drive.

Автономные резервные копии WhatsApp

В приложении WhatsApp есть и собственный механизм создания резервных копий, работающий независимо от механизмов резервного копирования Android и iOS. Автономные резервные копии привязаны к учётной записи пользователя (Apple ID или Google ID), а количество доступных копий зависит от числа устройств с уникальными телефонными номерами, зарегистрированных в учётной записи. Для расшифровки требуется код, полученный через SMS на зарегистрированный номер WhatsApp. [1]

Elcomsoft Explorer for WhatsApp – единственный на данный момент инструмент, способный извлечь, расшифровать и отобразить данные из автономных резервных копий WhatsApp как из Google Drive, так и из iCloud Drive.

Что хранится в резервных копиях WhatsApp

WhatsApp – приложение для мгновенного обмена сообщениями. Его резервные копии содержат список контактов пользователя и историю переписок.

Содержимое базы данных WhatsApp

  • Список контактов, включая телефонные номера
  • Отправленные и полученные текстовые сообщения включая идентификаторы пользователей
  • Список звонков
  • Отправленные и полученные фотографии и видео

Просмотр и экспорт данных

В режиме просмотра данных Elcomsoft Explorer for WhatsApp все данные, полученные из нескольких источников. [1] Поддерживаются режимы поиска и фильтрации данных, что позволяет быстро найти нужные записи или вывести на экран только те сообщения, которые соответствуют заданному критерию. Доступен режим фильтрации по заданному временному промежутку.


Доступна возможность экспортировать данные в стандартный формат Microsoft Excel (.XLSX), что позволит продолжить исследование данных в любом совместимом с Excel приложении.

Скачивание данных из Google Drive, iCloud и iCloud Drive

Для доступа к данным из Google Drive, iCloud и iCloud Drive требуется указать логин и пароль пользователя. В случае с iCloud можно воспользоваться двоичным маркером аутентификации, извлечённым с помощью продукта Elcomsoft Phone Breaker. Инструментарий для извлечения маркеров аутентификации доступен как в полной, так и в пробной версии Elcomsoft Phone Breaker. Использование маркеров аутентификации может помочь обойти дополнительную защиту методом двухфакторной аутентификации. Внимание: автономная резервная копия WhatsApp зашифрована, а для её расшифровки потребуется доступ к привязанному телефонному номеру или SIM-карте[1]. Без кода будут видны только файлы (фото и видео), а в случае с Google Drive - и контакты.

Возможности продукта

  • Извлечение данных приложения WhatsApp для iOS и Android из различных источников
  • Поддержка WhatsApp Business для Android
  • Поддержка Android 4.0-9.0 (при наличии рут-доступа) и Android 4.0-6.0.1 (без рут-доступа)
  • Извлечение из локальных и «облачных» резервных копий
  • Базовая редакция поддерживает извлечение из iTunes и iCloud, а также работу с автономными резервными копиями WhatsApp из Google Drive и iCloud Drive (требуется авторизация и привязка к телефонному номеру)
  • Встроенный режим просмотра с поиском и фильтрацией данных
  • Экспорт в стандартный формат Microsoft Excel (.XLSX)
  • Расшифровка зашифрованных резервных копий iOS в формате iTunes (требуется оригинальный пароль)
  • Инструмент полного цикла: от извлечения до просмотра

  1. В последних версиях WhatsApp применяется шифрование резервных копий (файлы с расширением .enc). Для расшифровки используется криптографический ключ, для извлечения которого потребуется доступ к привязанному номеру телефона или SIM-карте (для iCloud Drive этот ключ будет работать и для для текущей резервной копии, и для всех последующих; для Google Drive только для текущей). Расшифровка возможна и без запроса кода активации; в этом случае потребуется извлечение связки ключей keychain из iPhone с установленным jailbreak посредством Elcomsoft iOS Forensic Toolkit

  2. При необходимости использовать маркер аутентификации для доступа к «облачному» хранилищу предлагаем воспользоваться утилитой из состава Elcomsoft Phone Breaker. Функционал по извлечению маркеров аутентификации доступен как в полной, так и в пробной версии продукта. С использованием маркеров аутентификации, извлечённых с компьютера пользователя, становится возможным доступ в «облачное» хранилище iCloud даже если логин и пароль пользователя неизвестны. Важной особенностью маркеров аутентификации является возможность обхода ограничений двухфакторной аутентификации.