解密WhatsApp備份的新方法

雖然經歷過幾次信息安全事件，但WhatsApp目前仍然是最受歡迎的即時通訊工具之一。WhatsApp擁有超過15億用戶和大約5億的日活躍用戶，每天發送超過1000億條消息。WhatsApp的安全得益於端到端加密，使得被截獲的消息無法解密。雖然這對消費者和隱私維權人士來說是個好消息，但對執法部門來說也是個壞消息，除非公司同意提供後門，讓他們訪問嫌疑人的WhatsApp通訊記錄，否則執法人員將面臨加密問題。

那除了使用後門和密碼外，是否還有其他選項可以訪問WhatsApp會話?目前，我們至少知道兩個。第一種選擇是從任何一方的設備直接捕獲消息資料庫，另一種選擇是通過雲端。WhatsApp並不像Telegram那樣，有專屬於自己的本地雲服務，它只有一個消息傳遞中繼服務，它存儲消息的時間不會超過傳遞消息所需的時間。換句話說，任何通過WhatsApp伺服器傳遞的消息一經發送就會立即被刪除(由於端到端加密的原因)。需要注意的是，WhatsApp賬戶不能在多個設備上使用。

讓我們來回顧一下Android和iOS的WhatApp恢復或解密選項，看看Elcomsoft eXplorer for WhatsApp (EXWA)有什麼新功能。

在Android環境中運行WhatsApp

在安卓智能手機上，WhatsApp會將聊天資料庫保存在沙箱中。ADB備份中不包含該資料庫，並且只有在設備具有root許可權時才能訪問該資料庫。要想在非root許可權的設備上訪問WhatsApp資料庫，唯一的方法就是在sideload模式（安卓的一種刷機模式）下對WhatsApp進行操作，並強制它將原始的未加密資料庫返回給主機。我們可以用EXWA來實現，但注意，目前只能在安卓4.0到6.0.1的老版本上實現。如果是在Android 7.0及更新版本上使用此方法，則無效，其原因就是過程比較複雜，不過我們仍然在努力，期待在最新的Android版本中實現類似的方法。換句話說，如果你購買的是一款最新的Android手機，你不太可能使用此方法。

WhatsApp還可以為Android共享存儲或SD卡創建獨立備份，但這些備份通常是加密的。加密後的WhatsApp備份文件名稱以.cryptNN結尾，其中NN代表一組數字。要解密該資料庫，你需要存儲在WhatsApp沙箱中的加密密鑰，這樣我們就可以返回root或非root的情況，因為只有在你擁有超級用戶許可權時，才可能訪問沙箱。如果你按著以上的方法這麼做了，那我建議你最好還是把WhatsApp的原始資料庫從應用程序的沙盒中取出來，除非你需要那個特定備份中的數據。.cryptNN中的那組數字表示用於保護備份的加密演算法的修訂版本。這些是加密演算法中的微小變化，實際上並不影響安全性。雖然開源代碼可以解密這些文件(參考1和參考2)，但是你仍然需要加密密鑰。

那是否可以只計算或生成加密密鑰而不提取呢?在嘗試之前，首先我們得看看Google雲端硬碟上的WhatsApp備份。

在應用程序內創建WhatsApp備份時，是具有可選項的，你可以選擇每日、每周或每月備份，這樣在按下「備份」按鈕時，程序就會按照你的選項設置進行備份。不過你還可以完全禁用備份，需要注意的是，備份將始終包含有關的聊天信息和圖片(視頻是可選的)信息，但不包括聯繫人信息。對於Android版本的WhatsApp（以及Google雲端硬碟上的備份），聊天記錄始終是加密的，而媒體文件則不是。

很長一段時間，EXWA已經能夠從Google雲端硬碟下載WhatsApp備份，不過前提是，你得擁有用戶的Google登錄憑證，詳細過程請閱讀《從Google帳戶中提取和解密Android 環境中的WhatsApp備份》。

提取和解密Android 環境中的WhatsApp備份時，我們要使用與WhatsApp信息生成相同的方法，比如用戶需要通過簡訊獲得一個安全代碼(你需要訪問手機號碼才能收到它)。唯一的問題是，一旦代碼在伺服器上生成，WhatsApp就會在用戶的設備上停用。當然，用戶可以再次激活它，但是我們生成的加密密鑰只能用於以前保存的備份，而不能用於任何將來的備份。

iOS 環境中的WhatsApp

對於iOS設備來說，訪問WhatsApp會話最簡單的方式就是分析具有本地iTunes屬性的備份。雖然iOS設備備份中的WhatsApp數據沒有額外的加密，但是，如果設置了備份密碼，那你必須輸入密碼、恢復密碼或在iPhone上重置密碼。

那麼iCloud備份呢?它們本質上是相同的，因為WhatsApp聊天和媒體文件也保存在那裡，沒有任何額外的加密。取證人員需要擁有用戶的iCloud憑證(密碼加上第二個驗證因素，或身份驗證令牌)才能下載設備備份。一旦WhatsApp的備份被下載了，對它的解密就是水到渠成的事情了。

就像安卓環境一樣，iOS環境下的WhatsApp也可以進行獨立備份，它們都存儲在iCloud驅動器中。

iCloud驅動器中的WhatsApp獨立備份也是加密的，這種保護類似於Google雲端硬碟中的備份。EXWA也支持這些備份，詳情請參閱《從iCloud提取和解密WhatsApp備份》。

使用Elcomsoft eXplorer工具解密WhatsApp備份

以上我們學習了如何直接從iPhone獲取加密密鑰，現在我們可以在不需要安全代碼的情況下解密獨立的WhatsApp iCloud驅動器備份。此時，用戶的WhatsApp安裝將處於運行狀態。

從技術上講，加密密鑰存儲在鑰匙串中。使用Elcomsoft Phone Breaker可以很容易地訪問大部分的鑰匙串項，由於WhatsApp加密密鑰針對更高的安全級別，因此只能通過帶有物理鑰匙串提取的iOS Forensic Toolkit 4.0獲得。

一旦獲得加密密鑰並打開從iCloud驅動器下載的WhatsApp備份，系統就會提示你進行解密。但是，你現在無需使用WhatsApp伺服器進行身份驗證（獲取安全代碼），而是可以指定使用iOS Forensic Toolkit（默認情況下為keychaindump.xml）提取的鑰匙串文件的路徑。

通過WhatsApp請求激活密鑰:

以上說的是舊方法，在此我會介紹一種新方法：你只需要對iPhone越獄，即可獲取鑰匙串文件。

這種方法雖然粗暴但有許多優點，首先，你將不再需要通過簡訊或手機獲取安全代碼，WhatsApp就會在用戶的iPhone上保持運行狀態。如果你無法訪問用戶的SIM卡，這可能是唯一可用的提取方法。此外，解密密鑰將用於所有過去和將來的備份。

如果設備可用，備份可能包含已在設備上刪除的聊天記錄，此時你就沒有必要使用iCloud驅動器備份。雖然有時可以從SQLite資料庫中恢復刪除的記錄，但這隻會在特殊情況下進行。

總結

Elcomsoft eXplorer是市場上最強大的WhatsApp恢復和解密工具，同時支持iOS和Android版本的WhatsApp，並解密所有類型的備份。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！