Ласкаво просимо знову, майбутні цифрові дослідники. Багато з вас зацікавилися нашою попередньою статтею з криміналістичного аналізу WhatsApp, у якій ми пояснювали, як отримувати дані з рутованого пристрою Android.
Цей метод добре працює у складних ситуаціях, однак він не завжди є практичним. Не кожен має необхідні технічні навички для отримання root-доступу, а в багатьох випадках це взагалі неможливо. З боку iOS усе може бути простіше, якщо на комп’ютері збережено резервну копію iTunes. Деякі користувачі навіть залишають свої резервні копії без захисту, побоюючись забути пароль, що означає можливість швидкого доступу до всіх даних.
Але що робити, коли відсутні такі ідеальні умови? Що, якщо потрібно швидко витягти повідомлення та медіафайли без виконання складних операцій із пристроєм? Сьогодні ми покажемо прості й надійні способи отримання даних із WhatsApp, Signal і Telegram, які майже не потребують технічного досвіду. Попри використання цими застосунками потужного шифрування, це вже не має вирішального значення, коли перед вами розблокований пристрій. Перехоплення мережевого трафіку не допоможе, оскільки дані зашифровані під час передавання. Значно ефективнішим є підхід безпосередньої роботи з телефоном, де застосунок уже розшифровує інформацію для користувача.
Для цього вам знадобиться Belkasoft X — один із професійних криміналістичних інструментів, який ми використовуємо в Hackers-Arise. Програма є платною, однак доступна безкоштовна тридцятиденна пробна версія, яку можна отримати, зареєструвавшись за допомогою електронної пошти. Незабаром ви отримаєте від команди Belkasoft посилання для встановлення інструмента.
Метод 1: використання Belkasoft X Screen Capturer із популярними месенджерами
Одним із найпростіших способів збору даних із мобільних месенджерів є автоматичне захоплення екрана. Скріншоти мають значно більшу цінність, ніж багато хто вважає, адже вони відображають саме те, що бачив користувач: повідомлення, списки контактів, дзвінки та попередній перегляд медіафайлів. Belkasoft X містить функцію захоплення екрана Android, яка автоматизує весь процес. Вона прокручує застосунки, такі як Signal, Telegram і WhatsApp, робить знімки екрана, а потім за допомогою технологій розпізнавання тексту відтворює читабельні та доступні для пошуку журнали чатів.
Захоплення екрана особливо корисне, оскільки базові методи отримання даних Android, такі як ADB backup, часто пропускають значну частину інформації застосунків. Багато програм шифрують свої локальні файли, і навіть якщо вам вдасться створити резервну копію, подальше розшифрування може виявитися надзвичайно складним. Більш просунуті підходи, як-от зниження версії APK для отримання незашифрованих даних, працюють, але мають власні ризики. Натомість захоплення екрана є безпечним, швидким і базується виключно на стандартних командах ADB. Відповідно до відомих рекомендацій цифрової криміналістики, зокрема принципу SANS «Six Steps», завжди слід починати з найменш інвазивного методу — і скріншоти ідеально відповідають цій філософії. Інструмент захоплення екрана в Belkasoft X працює швидко, оскільки автоматично переміщується між екранами швидше за людину. Він також гнучкий: ви можете обмежити обсяг захоплюваних даних, що допомагає уникнути тривалих сеансів. Наприклад, можна вибрати лише останні повідомлення або конкретні екрани в застосунку.
Користування інструментом є простим. Ви під’єднуєте Android-пристрій до комп’ютера з установленим Belkasoft X, вмикаєте USB-налагодження в меню параметрів розробника та зазвичай переводите телефон у режим польоту, щоб нові сповіщення не заважали процесу. Якщо застосунок завантажує старі повідомлення з хмари, їх можна попередньо підвантажити перед увімкненням режиму польоту. Після цього запускаєте Belkasoft X, створюєте справу, обираєте отримання даних із мобільного пристрою та метод Screen Capturer.
Після вибору підтримуваного месенджера або універсального застосунку інструмент покроково проведе вас до початку захоплення.
Під час отримання даних не слід торкатися пристрою до завершення процесу.
Після завершення захоплення Belkasoft X запропонує одразу проаналізувати скріншоти та перетворити їх на читабельний текст.
Для підтримуваних месенджерів, таких як Signal, Telegram і WhatsApp, програмне забезпечення впорядковує результати у звичному вигляді чатів із зазначенням імен, контактів, часових міток і повідомлень. Ви можете здійснювати пошук, фільтрацію та аналіз, а за потреби — повернутися до оригінальних скріншотів для перевірки.
Метод 2: отримання хмарних резервних копій WhatsApp
Другий підхід корисний у випадках, коли ви не маєте фізичного доступу до пристрою. Якщо користувач WhatsApp налаштував резервне копіювання повідомлень у свій обліковий запис Google, відповідні файли з’являться у сховищі Google Drive. За замовчуванням наскрізне шифрування резервних копій вимкнене, і багато користувачів також включають відео до резервних копій, що дає більше матеріалу для аналізу. Водночас сам Google Drive не дозволяє безпосередньо завантажувати резервні копії WhatsApp, тому для їх отримання знадобиться Belkasoft X.
Щоб отримати резервну копію, створіть справу, додайте нове хмарне джерело даних і виберіть опцію WhatsApp.
Далі введіть облікові дані Google-користувача та дотримуйтесь інструкцій інструмента.
Отримані дані зазвичай включають зашифровану базу msgstore у форматі .crypt14, що зберігається в папці з назвою номера телефону, прив’язаного до облікового запису WhatsApp. Хоча самі повідомлення зашифровані, медіафайли зазвичай зберігаються без шифрування і можуть бути досліджені одразу.
Метод 3: прив’язка WhatsApp через QR-код
Третій метод імітує процес підключення нового пристрою до облікового запису WhatsApp за допомогою QR-коду. Це той самий механізм, що використовується у WhatsApp Web. Інструмент застосовує цю процедуру для отримання останніх розмов і медіафайлів із акаунта. Через особливості синхронізації WhatsApp отримані дані не будуть такими повними, як під час повного вилучення з пристрою, однак зазвичай їх достатньо для аналізу нещодавніх чатів і переданих файлів.
Для використання цього методу телефон має бути підключений до мережі, а його камера — справною, оскільки користувач повинен відсканувати QR-код, що відображається на вашому екрані. Після створення нової справи та вибору опції WhatsApp QR acquisition інструмент проведе вас через процес підключення до завершення передачі даних. Відновлені повідомлення зберігаються у файлі на основі XML разом із папкою завантажених медіафайлів.
Підсумок
Ви ознайомилися з простими та практичними способами вилучення повідомлень і медіафайлів із популярних месенджерів, таких як WhatsApp, Signal і Telegram, без використання складних методів, зокрема отримання root-доступу до Android. Ключова ідея полягає в тому, що потужне шифрування захищає дані під час передавання, але після отримання доступу до розблокованого пристрою або його резервних копій значна частина інформації стає доступною за умови грамотного криміналістичного підходу. Belkasoft X дозволяє реалізувати це та значно більше. Захоплення екрана продемонстровано як безпечний і ефективний метод, що дає змогу отримати вміст застосунків саме таким, яким його бачив користувач. Також розглянуто отримання хмарних резервних копій WhatsApp із Google Drive за відсутності фізичного доступу до пристрою, а також використання прив’язки через QR-код для вилучення нещодавніх розмов і медіафайлів шляхом синхронізації акаунта. Мобільна криміналістика не завжди потребує глибоких технічних знань для досягнення вагомих результатів. За наявності відповідних інструментів і виваженого підходу дослідники можуть швидко й надійно отримувати цінні цифрові докази з сучасних месенджерів.
Джерело: hackers-arise.com