iOS统一日志-在WhatsApp中键入并发送信息

数字调查通常依赖于检查日志，而当涉及WhatsApp时，日志可能是一个信息宝库。本文将深入WhatsApp统一日志的世界，揭示用户在应用程序中键入信息时创建的记录。这些日志为数字调查人员提供了宝贵的工具，以确认用户确实是通过按下手机键盘上的按键键入信息，而不是使用其他方法。本文将探讨mediaserverd进程如何记录键盘上的每一次按键，帮助精确地重建用户操作，展示用户在使用应用程序时留下的详细数字痕迹。

1. WhatsApp的统一日志记录

用户在WhatsApp应用程序上发送信息之前，需要先解锁手机。

当用户希望访问WhatsApp应用程序时，最常用的方法之一就是点击我们都熟悉的主屏幕图标。这一操作会产生大量日志，有助于数字调查人员细致地证明这一操作。以下是关键日志：

时间戳	日志
2023-10-29 17:48:23	SpringBoard: Icon tapped:  <private>
2023-10-29 17:48:23	SpringBoard: Initiating launch from  icon view: <private>
2023-10-29 17:48:23	SpringBoard: Bootstrapping  application<net.whatsapp.WhatsApp> with intent foreground-interactive
2023-10-29 17:48:23	WhatsApp: Initializing connection
2023-10-29 17:48:24	SpringBoard: sceneID:net.whatsapp.WhatsApp-default]  Scene lifecycle state did change: Foreground

上表中的前两条日志由SpringBoard进程记录，当用户点击主屏幕上的应用程序图标时记录下来。进程并没有指定应用程序，"private"标签表示了这一点（在以前的iOS版本中，这些数据并没有被隐藏）。因此，有必要将其与其他日志结合起来。第三条和第四条日志只在应用程序启动前未在后台运行时记录！可能不会每次都能找到它们，记住这一点很重要。第五条日志记录了WhatsApp应用程序现在处于"前台"状态。这表明应用程序已经打开，用户现在可以使用它了。

通过将多个日志结合起来，很容易就能证明某个应用程序是通过点击其图标启动的。例如，当用户要求Siri打开WhatsApp应用程序时，前两条日志没有记录，但这将在另一篇文章中详细讨论。用户进入应用程序后，会有几个不同的选项。用户首先想到的是撰写信息。由于mediaserverd程序没有完善的文档记录，因此可以精确地重建用户执行的所有操作！

2.输入/删除字符并发送信息

当用户在键盘上键入字符时，mediaserverd 进程会记录以下日志：

时间戳	日志
2023-10-29 17:48:29	mediaserverd : Incoming Request :  actionID 1104, inClientPID 21923(WhatsApp), inBehavior 0,  customVibeDataProvided 0, loop 0, loopPeriod 0.000000, inFlags 0,  inClientCompletionToken 5
2023-10-29 17:48:29	mediaserverd : Incoming Request :  actionID 1104, inClientPID 21923(WhatsApp), inBehavior 0,  customVibeDataProvided 0, loop 0, loopPeriod 0.000000, inFlags 0,  inClientCompletionToken 6
2023-10-29 17:48:29	mediaserverd : Incoming Request :  actionID 1104, inClientPID 21923(WhatsApp), inBehavior 0, customVibeDataProvided  0, loop 0, loopPeriod 0.000000, inFlags 0, inClientCompletionToken 7

每当用户按下键盘上的一个字符，该日志就会被记录下来！mediaserverd进程记录的ActionID非常重要，因为它可以精确还原用户的操作。在本例中，按下字符会为mediaserverd进程生成ActionID 1104。

例如，如果用户要输入"Hello"（你好）一词，需要输入5个字符，因此该日志将被记录5次。还需要注意的是，mediaserverd进程会指定按下该字符的应用程序。在上面的例子中，是WhatsApp (inClientPID)，但所有其他应用程序，无论是本地应用程序还是第三方应用程序，都会记录相应的日志。最后一个数字"InClientCompletionToken"是一个"全局"计数器。

有一件特别重要的事情要记住：只有按下字符时，才会记录ActionID1104。如果用户按下Shift键、左下角的"123"键或"World"键更改键盘语言，则用户在手机上键入的信息中不会添加任何字符。在这种情况下，不会记录ActionID1104。注册的是ActionID1156。

那么输入"空格"键会怎么样？它会产生什么ActionID？

->空格键生成 ActionID 1156，而不是ActionID 1104！

时间戳	日志
2023-10-29 17:48:30	mediaserverd: Incoming Request : actionID 1156, inClientPID  2393(WhatsApp), inBehavior 0, customVibeDataProvided 0, loop 0, loopPeriod  0.000000, inFlags 0, inClientCompletionToken 8

当用户在键盘上输入信息时，经常会出现一些小错误。因此，用户需要删除输入错误的字符，这将产生与我们目前看到的不同的日志。事实上，当删除一个字符时，这次会记录ActionID 1155。就像之前讨论过的ActionID1104一样，用户每次按下"Delete "键都会记录这条日志。因此，如果用户按三次键删除三个字符，就会记录三个包含ActionID1155的日志。

时间戳	日志
2023-10-29 17:48:30	mediaserverd: Incoming Request : actionID 1155, inClientPID  2393(WhatsApp), inBehavior 0, customVibeDataProvided 0, loop 0, loopPeriod  0.000000, inFlags 0, inClientCompletionToken 9

根据 ActionID 1104、1156和1155，已经可以很直观地确定用户正在输入手机键盘上的按键。这些信息在某些调查中至关重要！事实上，使用Siri、听写器功能或语音信息记录创建WhatsApp消息不会生成这些特定日志。

最后，在完全合成信息后，必须将其发送出去，从而生成该操作独有的新ActionID：ActionID 4097。

时间戳	日志
2023-10-29 17:48:31	mediaserverd: Incoming Request : actionID 4097, inClientPID  2393(WhatsApp), inBehavior 0, customVibeDataProvided 0, loop 0, loopPeriod  0.000000, inFlags 0, inClientCompletionToken 10

下面是迄今为止讨论过的各种 ActionID 的简要汇总表：

行动编号	用户行动
1104	在键盘上输入字符。
1155	输入一个字符
1156	按键盘上的一个键，但该键不会在信息中添加字符。
4097	发送信息

在一条需要按下键盘上多个不同按键的长信息中，如果看到mediaserverd进程记录了大量日志，每个日志都提到一个ActionID编号，这是完全正常的，只表明用户确实按了手机键盘上的键来撰写信息！这对数字调查工作大有裨益。

3.结论

当用户点击WhatsApp图标访问应用程序时，会留下明显的痕迹，这些痕迹已经表明手机屏幕是用来启动应用程序的。后来我们发现，mediaserverd进程会记录每次按键，并为每个键入的字符提供唯一代码（如ActionID 1104）。这些数字代码还能帮助我们区分按下的字符和其他键盘操作，如使用Shift键或更改语言（AcionID 1156）。删除字符等错误也有自己的代码（ActionID 1155）。

当用户使用Siri或Dictaphone "写"信息时，会创建不同的日志。最后当信息准备就绪并发送时，会生成一个新的代码（ActionID 4097）。这种详细的分析使调查人员能够精确了解用户操作，对弄清真实情况大有帮助。

参考资料

[1] iOS Unified Logs - Typing and sending a message in WhatsApp.  Lionel Notari November 2. 2023

原文始发于微信公众号（电子取证及可信应用协创中心）：iOS统一日志-在WhatsApp中键入并发送信息