Jaman sekarang kita bisa menemukan handphone yang di persenjatai operating system android dimana2x. Harganya relatif murah dan terjangkau oleh banyak orang dengan berbagai fitur canggihnya. HP Android sekarang sudah bagaikan sebuah komputer dalam saku sehingga sistemnya bisa di anggap dan diperlakukan seperti halnya sebuah komputer.
Whatsapp, merupakan aplikasi mobile messenger yang populer di Indonesia. Penggunaannya yang mudah dengan fitur yang cukup untuk memudahkan kita berkomunikasi dengan teman-teman kita.
Terkadang dalam menggunakannya, kita berbincang dengan orang-orang yang mana percakapan itu tidak ingin di ketahui orang, misalnya bagi mereka yang punya selingkuhan. Sehingga demi amannya, tentu saja menghapus chatting-an adalah jalan paling singkat dan mudah untuk menyembunyikannya.
Dengan menghapus chatting-an maka pesan-pesan kita tidak terlihat lagi. Aman deh dari ketahuan !!! hehehe…. Sayangnya sama sekali tidak.
Seperti kebanyakan aplikasi pada android, media penyimpanan data yang digunakan adalah sebuah database yang bernama SQLite. Dengan menggunakan sqlite urusan data jadi lebih mudah dan programmer tidak perlu memikirkan metoda penyimpanan sendiri, sehingga pengembangan aplikasi bisa berkonsentrasi kepada fitur-fitur yang ingin digunakan.
Ketika sebuah record dihapus dari database sqlite, sebetulnya system tidak akan benar-benar menghapusnya. Record hanya akan ditandai sebagai “Free Space”, kecuali bila dijalankan fitur “vacuum” atau di set menggunakan secure delete function. Tapi dari mencoba beberapa aplikasi, belum satupun saya menemukan yang menggunakan fitur tersebut yang artinya semua record masih ada disana, kecuali bila sudah di timpa alokasi “kosong”-nya.
Whatsapp secara otomatis akan melakukan backup harian sebanyak 5 file, dan juga memiliki file operation yang di letakan di directory yang hanya bisa di akses bila kita menggunakan root.
5 buah file ini tentu saja cukup membantu kita untuk mencari dan menemukan kembali pesan-pesan yang dihapus. Dan tentu saja, file operation yang terdiri dari 2 buah file database yang juga akan sangat membantu.
Tapi file-file ini dalam kondisi ter-enkripsi, sehingga butuh ekstra tambahan kerja untuk bisa men-decrypt file-file ini. Terutama pada system yang baru yang menggunakan crypt9. Untuk crypt8 kebawah tutorial cara men decryt-nya cukup banyak bisa ditemukan. Untuk crypt9 belum dipublikasikan. Tapi tentunya bukan tidak ada jalan membongkar crypt9 ini kan 😀
Selain itu Whatsapp juga memiliki log message yang bisa membantu kita membandingkan bila ada pesan yang dikirim atau diterima dari dan ke mana.
Anda bisa mencari menggunakan keyword undelete sqlite record.
Tersedia versi opensource yang dapat di temukan di github
2 responses to “[Mobile Forensic] Recover Deleted Whatsapp Record”
Pak pras pernah denger soal dirty cow?
ya
sekarang sedang ramai dibahas