Als je in staat bent om een volledige geheugendump te maken van een Andoid-telefoon, is het mogelijk om uit deze dump gecrypte Whatsapp databases te extraheren, indien ze in het filesystem niet meer terug te vinden zijn. Dit kan de mogelijkheid bieden om na bijvoorbeeld het opnieuw installeren van de telefoon, waarbij alle gegevens uit het filesystem gewist zijn, wellicht toch nog berichten terug te vinden.
Uit onderzoek is ons gebleken dat de msgstore.db.crypt een header en footer heeft die op verschillende toestellenhet in het zelfde formaat voorkomt, namelijk:

Header:               \x49EF23AEFF

Footer:                \x2426708BF3

Met deze header en footer kunnen we mogelijke gecrypte whataspp databases recoveren. Omdat we hiervoor gebruik maken van Whatsapp Xtract, moeten de gecarvde bestanden msgstore.db.crypt genoemd worden, omdat Whatsapp Xtract deze bestandsnaam verwacht.  Andere bestandsnamen resulteren in een foutmelding.

Als de gecrypte Whatsapp database intact was, zal middels Whatsapp Xtract een HTML pagina gegenereerd worden, met hierin de whatsappberichten die in de database voorkwamen.

Let op: Berichten welke in de zogenaamde Freelist voorkomen zullen niet meegenomen worden in de extractie. Alleen berichten die in de database aanwezig waren toen deze werd verwijderd zullen met Whatsapp Xtract inzichtelijk worden. gemaakt.

 

Als de database corrupt is, krijg je onderstaande foutmelding:

error

 

Let op; je kunt nog steeds een msgstore.plain.db krijgen nadat je hebt geprobeerd de database te decrypten.

msgstore
Hoewel een corrupte msgstore niet door een SQlite viewer bekeken kan worden en door Whatapp Xtract niet inzichtelijk gemaakt wordt, is hij nog wel te openen in Notepad of Notepad++.

Vervolgens zijn soms nog wel delen van whatsapp berichten te lezen.

text