雖然經歷過幾次信息安全事件，但WhatsApp目前仍然是最受歡迎的即時通訊工具之一。WhatsApp擁有超過15億用戶和大約5億的日活躍用戶，每天發送超過1000億條消息。WhatsApp的安全得益于端到端加密，使得被截獲的消息無法解密。雖然這對消費者和隱私維權人士來說是個好消息，但對執法部門來說也是個壞消息，除非公司同意提供后門，讓他們訪問嫌疑人的WhatsApp通訊記錄，否則執法人員將面臨加密問題。

　　那除了使用后門和密碼外，是否還有其他選項可以訪問WhatsApp會話?目前，我們至少知道兩個。第一種選擇是從任何一方的設備直接捕獲消息數據庫，另一種選擇是通過云端。WhatsApp并不像Telegram那樣，有專屬于自己的本地云服務，它只有一個消息傳遞中繼服務，它存儲消息的時間不會超過傳遞消息所需的時間。換句話說，任何通過WhatsApp服務器傳遞的消息一經發送就會立即被刪除(由于端到端加密的原因)。需要注意的是，WhatsApp賬戶不能在多個設備上使用。

　　讓我們來回顧一下Android和iOS的WhatApp恢復或解密選項，看看Elcomsoft eXplorer for WhatsApp (EXWA)有什么新功能。

　　在Android環境中運行WhatsApp

　　在安卓智能手機上，WhatsApp會將聊天數據庫保存在沙箱中。ADB備份中不包含該數據庫，并且只有在設備具有root權限時才能訪問該數據庫。要想在非root權限的設備上訪問WhatsApp數據庫，唯一的方法就是在sideload模式（安卓的一種刷機模式）下對WhatsApp進行操作，并強制它將原始的未加密數據庫返回給主機。我們可以用EXWA來實現，但注意，目前只能在安卓4.0到6.0.1的老版本上實現。如果是在Android 7.0及更新版本上使用此方法，則無效，其原因就是過程比較復雜，不過我們仍然在努力，期待在最新的Android版本中實現類似的方法。換句話說，如果你購買的是一款最新的Android手機，你不太可能使用此方法。

　　WhatsApp還可以為Android共享存儲或SD卡創建獨立備份，但這些備份通常是加密的。加密后的WhatsApp備份文件名稱以.cryptNN結尾，其中NN代表一組數字。要解密該數據庫，你需要存儲在WhatsApp沙箱中的加密密鑰，這樣我們就可以返回root或非root的情況，因為只有在你擁有超級用戶權限時，才可能訪問沙箱。如果你按著以上的方法這么做了，那我建議你最好還是把WhatsApp的原始數據庫從應用程序的沙盒中取出來，除非你需要那個特定備份中的數據。.cryptNN中的那組數字表示用于保護備份的加密算法的修訂版本。這些是加密算法中的微小變化，實際上并不影響安全性。雖然開源代碼可以解密這些文件(參考1和參考2)，但是你仍然需要加密密鑰。

　　那是否可以只計算或生成加密密鑰而不提取呢?在嘗試之前，首先我們得看看Google云端硬盤上的WhatsApp備份。

　　在應用程序內創建WhatsApp備份時，是具有可選項的，你可以選擇每日、每周或每月備份，這樣在按下“備份”按鈕時，程序就會按照你的選項設置進行備份。不過你還可以完全禁用備份，需要注意的是，備份將始終包含有關的聊天信息和圖片(視頻是可選的)信息，但不包括聯系人信息。對于Android版本的WhatsApp（以及Google云端硬盤上的備份），聊天記錄始終是加密的，而媒體文件則不是。

　　很長一段時間，EXWA已經能夠從Google云端硬盤下載WhatsApp備份，不過前提是，你得擁有用戶的Google登錄憑證，詳細過程請閱讀《從Google帳戶中提取和解密Android 環境中的WhatsApp備份》。

　　提取和解密Android 環境中的WhatsApp備份時，我們要使用與WhatsApp信息生成相同的方法，比如用戶需要通過短信獲得一個安全代碼(你需要訪問手機號碼才能收到它)。唯一的問題是，一旦代碼在服務器上生成，WhatsApp就會在用戶的設備上停用。當然，用戶可以再次激活它，但是我們生成的加密密鑰只能用于以前保存的備份，而不能用于任何將來的備份。

　　iOS 環境中的WhatsApp

　　對于iOS設備來說，訪問WhatsApp會話最簡單的方式就是分析具有本地iTunes屬性的備份。雖然iOS設備備份中的WhatsApp數據沒有額外的加密，但是，如果設置了備份密碼，那你必須輸入密碼、恢復密碼或在iPhone上重置密碼。

　　那么iCloud備份呢?它們本質上是相同的，因為WhatsApp聊天和媒體文件也保存在那里，沒有任何額外的加密。取證人員需要擁有用戶的iCloud憑證(密碼加上第二個驗證因素，或身份驗證令牌)才能下載設備備份。一旦WhatsApp的備份被下載了，對它的解密就是水到渠成的事情了。

　　就像安卓環境一樣，iOS環境下的WhatsApp也可以進行獨立備份，它們都存儲在iCloud驅動器中。

　　iCloud驅動器中的WhatsApp獨立備份也是加密的，這種保護類似于Google云端硬盤中的備份。EXWA也支持這些備份，詳情請參閱《從iCloud提取和解密WhatsApp備份》。

　　使用Elcomsoft eXplorer工具解密WhatsApp備份

　　以上我們學習了如何直接從iPhone獲取加密密鑰，現在我們可以在不需要安全代碼的情況下解密獨立的WhatsApp iCloud驅動器備份。此時，用戶的WhatsApp安裝將處于運行狀態。

　　從技術上講，加密密鑰存儲在鑰匙串中。使用Elcomsoft Phone Breaker可以很容易地訪問大部分的鑰匙串項，由于WhatsApp加密密鑰針對更高的安全級別，因此只能通過帶有物理鑰匙串提取的iOS Forensic Toolkit 4.0獲得。

　　一旦獲得加密密鑰并打開從iCloud驅動器下載的WhatsApp備份，系統就會提示你進行解密。但是，你現在無需使用WhatsApp服務器進行身份驗證（獲取安全代碼），而是可以指定使用iOS Forensic Toolkit（默認情況下為keychaindump.xml）提取的鑰匙串文件的路徑。

　　通過WhatsApp請求激活密鑰:

　　以上說的是舊方法，在此我會介紹一種新方法：你只需要對iPhone越獄，即可獲取鑰匙串文件。

　　這種方法雖然粗暴但有許多優點，首先，你將不再需要通過短信或手機獲取安全代碼，WhatsApp就會在用戶的iPhone上保持運行狀態。如果你無法訪問用戶的SIM卡，這可能是唯一可用的提取方法。此外，解密密鑰將用于所有過去和將來的備份。

　　如果設備可用，備份可能包含已在設備上刪除的聊天記錄，此時你就沒有必要使用iCloud驅動器備份。雖然有時可以從SQLite數據庫中恢復刪除的記錄，但這只會在特殊情況下進行。

　　總結

　　Elcomsoft eXplorer是市場上最強大的WhatsApp恢復和解密工具，同時支持iOS和Android版本的WhatsApp，并解密所有類型的備份。

責任編輯：韓希宇