- Специальный корреспондент
Любые сообщения из Telegram можно восстановить из кеша, даже если сообщения удалены.
Разблокировка при этом самого мессенджера НЕ ТРЕБУЕТСЯ, только доступ к устройству.
Пройдемся по исследованию и узнаем че с этим вообще делать...
Тут международное издание IJCA опубликовали методику, при помощи которой с ваших устройств можно вытащить любые сообщения и изображения в полном размере, отправленные в Telegram, даже если они удалены из чата, но кэш на устройстве не был очищен.
Мы в общих чертах исследование опишем все исследование, но если захотите полностью ознакомиться с работой, то прикладываем файлик
Исочник
Разблокировка при этом самого мессенджера НЕ ТРЕБУЕТСЯ, только доступ к устройству.
Пройдемся по исследованию и узнаем че с этим вообще делать...
Тут международное издание IJCA опубликовали методику, при помощи которой с ваших устройств можно вытащить любые сообщения и изображения в полном размере, отправленные в Telegram, даже если они удалены из чата, но кэш на устройстве не был очищен.
Мы в общих чертах исследование опишем все исследование, но если захотите полностью ознакомиться с работой, то прикладываем файлик
Как форензика восстанавливает переписки?
- Фиксация и сохранность
Сначала мы фиксируем окружение (ОС, браузер, профиль пользователя, факт работы с Telegram Web), текущее состояние устройства, не изменяя исходные данные и проверяя хеш суммы - Сбор артефактов с устройства
Далее снимаем дамп RAM в FTK Imager и сохраняем в .mem, чтобы зафиксировать данные активной веб-сессии, которые могут содержать фрагменты переписки/запросов/контента до того, как они исчезнут.
Параллельно копируем артефакты браузера такие как история посещений, локальные хранилища, кэши профиля Chrome, т.к. там часто остаются следы работы Telegram Web даже после удаления сообщений в интерфейсе чата.
Для истории используем инструменты типа Browser History Examiner, чтобы получить URL и временные метки доступа к веб версии телеги - Извлечение информации из кэша
На этапе первичного исследования дамп памяти подключаем к FTK Imager и выполняем поиск структур/строк, характерных для веб-контента и переписки.
Если доступна активная сессия, дополнительно применяют Chrome DevTools: через Network просматриваем кеш и связанные веб-хранилища, извлекая сохранённые ресурсы страницы, включая изображения/медиа, которые могли остаться локально даже после удаления сообщений в чате. - Анализ и реконструкция
В конечном итоге нужно найденные артефакты привесть к фрагментам сообщений и метаданные связать с конкретной сессией Telegram Web, А изображения и другие медиа выгрузить из кэша как отдельные файлы, временные метки из истории браузера и кэш-артефактов использовать для построения таймлайна
Подробных инстукций не будет т.к это новостной пост, но может потом мы выложим инструкцию в формате статьи, так что следите
Исочник
