iphone-logoNadat een iPhone door ons was uitgelezen werd een onderzoek ingesteld naar Whatsapp berichten.

Hoewel Whatsapp niet meer op de betreffende iPhone was geïnstalleerd, werden er wel SQlite databases aangetroffen waaruit bleek dat Whatsapp veelvuldig was gebruikt.

De databases werden gevonden in:

/private/var/mobile/Library/SafeHarbor/net.whatsapp.WhatsApp/Container/Documents

 

 

  • ChatStorage.copy.sqlite
  • ChatStorage.sqlite
  • ChatStorage~.sqlite

Ook stonden hier een aantal bestanden welke kennelijk als bijlage waren meegestuurd met een bericht.
Deze bijlagen waren gezien het formaat van de afbeeldingen thumbnails van grotere afbeeldingen.
whatsapp-iphone

De drie verschillende chatstorage.sqlite databases bevatten inkomende en uitgaande Whatsapp berichten.
Middels de sqlitebrowser kan de sqlite database worden ingelezen.

http://sqlitebrowser.sourceforge.net/

Nadat de database is ingelezen, kun je via de tab “browse data” naar de tabel ZWAMESSAGE navigeren.

whatsapp sqlite2

Naast de tekst in de kolom Ztext, staat een kolom ZMESSAGEDATE.
De datum en tijd in deze kolom staat in Mac: Absolute time.

 

ZMESSAGEDATE Converted date and time ZTEXT ZTOJID
317080738 18-01-11 9:58 PM Some example text messagetext 🙂 316123456789@s.whatsap

De datum en tijd in de kolom ZMESSAGEDATE is te converteren middels DCode:

dcode

Echter honderden of duizenden datums en tijden converteren met Dcode is niet praktisch.
Vanuit de Sqlite database browser kun je de kolommen exporteren naar Excel.
Vervolgens kun met de formule:

=(CEL+3187468800)/86400 waarbij CEL staat voor de Cel waarin de te converteren waarde staat. Bijvoorbeeld L2 (Kolom L, rij 2)

De cel moet vervolgens als format als datum krijgen.

De formule is opgebouwd uit:

Cel Hier komt de datum en tijd waarde uit de whatsapp ZMESSAGEDATE kolom
3187468800 Waarde om te converteren naar een waarde waar excel mee kan werken.
(Excel gaat uit van 01-01-1901 terwijl de Mac tijd start op 01-01-2001.)
86400 86400 = 24 uur in seconden

 

Whatsapp nog geìnstalleerd op een iPhone

Op een andere iPhone, waarop whatsapp nog “normaal” geïnstalleerd was, werden de chatstorage databases op een andere locatie gevonden.

De sqlite databases stonden in dit geval in:

/private/var/mobile/Applications/B94DBD5B-AB71-4858-8A18-E74C76C0F966/Documents/

whatsapp sqlite4
Bij een eenmalige test bleken een aantal zojuist gewiste whatsapp berichten wel terug gevonden te worden in de ChatStorage.copy.sqlite, terwijl deze niet meer aanwezig waren in de ChatStorage.sqlite.
Onbekend is hoe lang de “gewiste” whatsapp berichten in de copy aanwezig blijven.

Whatsapp iPHone