20 артефактов Telegram Desktop, которые надо знать

📁 tdata/ (корневая директория данных)

├── 📄 map                   # Индекс пользователей и чатов

├── 📄 settings              # Глобальные настройки приложения

├── 📄 /D877F783C5D3227/    # Папка сессии (имя = hash от user_id)

│   ├── 📄 user_data         # Данные профиля

│   ├── 📄 cache/            # Кэш медиа

│   ├── 📄 thumbnails/       # Миниатюры

│   ├── 📄 stickers/         # Кэш стикеров

│   └── 📄 logs/             # Логи сессии

├── 📄 /keys/                # Ключи шифрования (зашифрованы)

├── 📄 /emoji/               # Кэш эмодзи

├── 📄 /voice/               # Кэш голосовых сообщений

└── 📄 /documents/           # Кэш документов

Путь: tdata/map

Формат: Бинарный (protobuf)

Что содержит: 

• Список всех диалогов (чат-ид, тип, заголовок)

• Привязка user_id к локальным идентификаторам

• Время последнего сообщения в каждом чате

• Статус «закреплён», «архивирован», «заглушён»



Значение для расследования: Быстрый обзор активности без расшифровки сообщений.

Путь: tdata/settings

Формат: JSON-like бинарный

Что содержит:

• Язык интерфейса, тема оформления

• Настройки уведомлений, автозагрузки медиа

• Включён ли двухфакторный вход (2FA)

• Дата последнего запуска приложения



Значение: Позволяет восстановить «поведенческий профиль» пользователя.

Путь: tdata/[HASH]/

Формат: Структурированная директория

Что содержит:

• user_data — профиль: имя, юзернейм, номер телефона (хешированный)

• cache — временные данные

• logs — логи сессии



Значение: Основной источник доказательств. Содержит привязку к конкретному аккаунту.

Путь: tdata/[HASH]/user_data

Формат: Протокол-буфер (protobuf)

Что содержит:

• Отображаемое имя (может отличаться от реального)

• Username (@nickname)

• Номер телефона (в зашифрованном виде, но с возможностью восстановления при наличии сессионного ключа)

• Дата регистрации аккаунта

• Статус «премиум», «верифицирован»



Значение: Идентификация владельца аккаунта.

Путь: tdata/[HASH]/cache/messages

Формат: SQLite-подобная структура

Что содержит:

• Текст сообщений (включая удалённые, если кэш не очищен)

• Вложения: ссылки на медиафайлы

• Время отправки/получения

• Статус доставки (отправлено, прочитано)



Значение: Восстановление истории переписки даже после «удаления чата» в приложении.

Путь: tdata/[HASH]/cache/media

Формат: Файлы с хеш-именами (.jpg, .mp4, .webp)

Что содержит:

• Фото, видео, документы, загруженные автоматически

• Файлы могут сохраняться даже если пользователь не открывал их явно



Значение: Извлечение визуальных доказательств без доступа к облаку.

Путь: tdata/[HASH]/thumbnails/

Формат: WebP/JPG, имена = hash от media_id

Что содержит:

• Превью для всех медиа в чатах

• Часто сохраняется даже если оригинал не загружен



Значение: Быстрый обзор контента без полной загрузки файлов.

Путь: tdata/[HASH]/stickers/

Формат: WebP + метаданные JSON

Что содержит:

• Использованные стикеры (включая кастомные паки)

• Время последнего использования каждого стикера



Значение: Анализ стиля общения, выявление неформальных паттернов.

Путь: tdata/[HASH]/logs/session.log

Формат: Текстовый лог с временными метками

Что содержит:

• Время входа/выхода из аккаунта

• События: «получено сообщение», «отправлено сообщение», «загружено медиа»

• Ошибки подключения, IP-адреса серверов (не клиента!)



Значение: Восстановление временной шкалы активности.

Путь: tdata/keys/

Формат: Бинарные файлы с защитой

Что содержит:

• Сессионные ключи для расшифровки локальных данных

• Ключи привязаны к аппаратному идентификатору устройства (в 4.x)



Значение: Без этих файлов большинство данных останутся зашифрованными. Критичный артефакт для расшифровки.

Путь: tdata/emoji/

Формат: JSON + PNG

Что содержит:

• Использованные эмодзи и частота их применения

• Кастомные эмодзи-паки



Значение: Лингвистический анализ стиля переписки.

Путь: tdata/[HASH]/voice/

Формат: OGG/OPUS

Что содержит:

• Загруженные голосовые сообщения

• Могут сохраняться даже при отключенной автозагрузке



Значение: Аудиодоказательства, транскрипция для анализа.

Путь: tdata/[HASH]/documents/

Формат: Оригинальные форматы (PDF, DOCX, ZIP)

Что содержит:

• Файлы, отправленные или полученные в чатах

• Сохраняются при включённой автозагрузке документов



Значение: Прямой доступ к вложениям без запроса к серверу.

Путь: tdata/settings/auto_download

Формат: JSON

Что содержит:

• Какие типы медиа загружаются автоматически (по чатам/группам)

• Лимиты по размеру и типу соединения



Значение: Понимание, какие данные могли быть сохранены локально без ведома пользователя.

Путь: tdata/[HASH]/cache/chat_list

Формат: Протокол-буфер

Что содержит:

• Порядок чатов в интерфейсе

• Количество непрочитанных сообщений (на момент последнего запуска)

• Статусы «онлайн», «печатает...»



Значение: Восстановление состояния интерфейса на момент изъятия устройства.

Путь: tdata/[HASH]/cache/search_history

Формат: Текстовый список с метками времени

Что содержит:

• Запросы, введённые в поиск по чатам

• Частота поиска по конкретным контактам/ключевым словам



Значение: Выявление интересов, подозрительных запросов, целевых контактов.

Путь: tdata/[HASH]/cache/drafts

Формат: Текст + метаданные

Что содержит:

• Неправленные сообщения, сохранённые локально

• Даже если пользователь не нажал «отправить»



Значение: Доступ к намерениям пользователя, не доведённым до отправки.

Путь: tdata/[HASH]/cache/pinned

Формат: Ссылки на сообщения + метаданные

Что содержит:

• ID закреплённых сообщений в каждом чате

• Время закрепления, кто закрепил



Значение: Выявление приоритетной информации для пользователя.

Путь: tdata/[HASH]/logs/notifications.log

Формат: Текстовый лог

Что содержит:

• Время получения уведомлений

• Текст уведомления (может содержать превью сообщения)

• Статус «прочитано» / «проигнорировано»



Значение: Доказательство осведомлённости пользователя о событиях в чате.

Путь: tdata/logs/crash_reports/

Формат: JSON + дамп памяти (опционально)

Что содержит:

• Стек-трейс при падении приложения

• Версия ОС, версия Telegram, активные плагины

• Иногда — фрагменты данных из памяти



Значение: Восстановление контекста при анализе инцидентов, поиск уязвимостей.

%AppData%\Telegram Desktop\tdata\

→ C:\Users\[USERNAME]\AppData\Roaming\Telegram Desktop\tdata\



Логи и краш-репорты:

%LocalAppData%\Telegram Desktop\logs\

→ C:\Users\[USERNAME]\AppData\Local\Telegram Desktop\logs\



Реестр (дополнительные артефакты):

HKEY_CURRENT_USER\Software\Telegram Desktop

• LastVersion — последняя установленная версия

• AutoStart — автозагрузка при старте системы

• TrayIcon — работа в трее

~/Library/Application Support/Telegram Desktop/tdata/

→ /Users/[USERNAME]/Library/Application Support/Telegram Desktop/tdata/



Логи:

~/Library/Logs/Telegram Desktop/



Keychain (ключи шифрования):

• Запись: «Telegram: [user_id]»

• Доступ через: Keychain Access → поиск «Telegram»

~/.local/share/TelegramDesktop/tdata/

→ /home/[USERNAME]/.local/share/TelegramDesktop/tdata/



Логи:

~/.local/state/TelegramDesktop/log/

или

~/.config/TelegramDesktop/log/



Переменные окружения (если заданы):

$XDG_DATA_HOME/TelegramDesktop/

$XDG_CONFIG_HOME/TelegramDesktop/

# 1. Скопировать tdata на рабочий каталог

cp -r ~/.local/share/TelegramDesktop/tdata ~/forensics/telegram_case_001/



# 2. Проверить структуру

tree ~/forensics/telegram_case_001/ -L 2



# 3. Извлечь текстовые логи

grep -r "message" ~/forensics/telegram_case_001/logs/ --include="*.log"



# 4. Найти медиафайлы по расширению

find ~/forensics/telegram_case_001/ -type f \( -name "*.jpg" -o -name "*.mp4" -o -name "*.webp" \)



# 5. Проверить наличие ключей

ls -la ~/forensics/telegram_case_001/keys/

✅ Сессионный ключ из keys/ + 

✅ Аппаратный идентификатор устройства (в 4.x) +

✅ Пароль 2FA (если включён)



Без этих компонентов расшифровка практически невозможна.

✅ Удаляется из кэша: 

• Отображение в списке чатов

• Быстрый доступ к сообщениям



❌ Остаётся на диске:

• Файлы в cache/media, thumbnails (пока не перезаписаны)

• Записи в map (с пометкой «удалён», но без очистки)

• Логи с упоминанием чата (session.log)

• Черновики, если они были



⏱️ Полное удаление происходит только при:

• Перезаписи секторов диска (через время или утилиты)

• Использовании функции «Очистить кэш» в настройках

• Полном удалении приложения с галочкой «удалить данные»

✅ Удаляется:

• Папка сессии tdata/[HASH]/

• Ключи сессии (если выбрано «удалить локальные данные»)



❌ Может остаться:

• Файл settings (глобальные настройки)

• Кэш медиа в общих папках (если не привязан к сессии)

• Логи в tdata/logs/ (не всегда очищаются)

• Записи в реестре / Keychain (метаданные об использовании)

# После «удаления» проверить наличие артефактов:

find ~/ -path "*/Telegram Desktop/*" -type f 2>/dev/null



# Проверить, не остались ли ключи в Keychain (macOS):

security find-generic-password -s "Telegram" -w



# Проверить реестр (Windows, через reg query):

reg query "HKCU\Software\Telegram Desktop" /s

️⃣ Внутри приложения:

   • Настройки → Продвинутые настройки → Очистить кэш

   • Настройки → Конфиденциальность → Удалить аккаунт при неактивности → 1 месяц

   • Чаты → Выбрать чат → ⋮ → Очистить историю → ✅ «Удалить также для меня»



2️⃣ Удаление приложения:

   • ✅ Поставить галочку «Удалить локальные данные» (если есть)

   • Удалить через «Установка и удаление программ» (не просто переместить в корзину)



3️⃣ Ручная очистка остатков:

   • Удалить папку tdata вручную (см. пути выше)

   • Очистить реестр / Keychain от записей Telegram

   • Использовать утилиту для безопасного удаления:

     - Windows: Cipher /w:C:\ или Eraser

     - macOS: diskutil secureErase

     - Linux: shred -n 3 -z -u [файл]



4️⃣ Проверка:

   • Запустить поиск по диску: «Telegram», «tdata», «map»

   • Использовать forensic-утилиту (например, Autopsy) для проверки остатков

✅ Запускать Telegram в виртуальной машине (VirtualBox, QEMU)

✅ Использовать временный профиль браузера для веб-версии вместо Desktop

✅ Включить секретные чаты (они не сохраняются в облаке и имеют локальное шифрование)

✅ Регулярно очищать кэш через скрипт:

   # Пример для Linux (cron, раз в неделю):

   0 3 * * 0 rm -rf ~/.local/share/TelegramDesktop/tdata/[HASH]/cache/*

✅ Использовать full-disk encryption (BitLocker, FileVault, LUKS)

✅ Анализ собственных устройств для восстановления данных

✅ Извлечение артефактов с письменного согласия владельца

✅ Использование в рамках служебного расследования (при наличии полномочий)

✅ Публикация методик анализа в образовательных целях (без персональных данных)

❌ Доступ к чужим данным без согласия (ст. 138.1, 272 УК РФ)

❌ Распространение извлечённой переписки без судебного решения

❌ Использование артефактов для шантажа, доксинга, преследования

❌ Обход шифрования коммерческих продуктов в обход лицензии

[ ] Скопировать всю директорию tdata перед любым анализом

[ ] Зафиксировать хеши файлов (SHA256) для цепочки доказательств

[ ] Проверить наличие keys/ — без них расшифровка маловероятна

[ ] Использовать специализированные инструменты (TelegramParser, Autopsy)

[ ] Документировать каждый шаг для отчётности

[ ] Проверить остаточные данные после «удаления» (swap, shadow copies)

[ ] Учитывать юридические ограничения юрисдикции

[ ] Регулярно очищать кэш через настройки приложения

[ ] Использовать секретные чаты для конфиденциальных тем

[ ] Включить автоудаление аккаунта при неактивности

[ ] При удалении приложения — ставить галочку «удалить данные»

[ ] Использовать full-disk encryption на устройстве

[ ] Проверять остаточные файлы после удаления (поиск по «tdata»)

[ ] Рассматривать веб-версию или мобильное приложение вместо Desktop

[✅] Проверили, где хранится ваш Telegram Desktop?

[✅] Очистили кэш за последний месяц?

[✅] Включили секретные чаты для важных тем?



🔗 Читайте далее:

• <a href="#" class="anchor-link">Как проверить продавца на Avito за 5 минут и не купить «воздух»</a>

• <a href="#" class="anchor-link">9 Chrome-расширений, которые превращают браузер в OSINT-станцию</a>

• <a href="#" class="anchor-link">Безопасные мессенджеры 2026: сравнение шифрования и утечек</a>



💬 Занимаетесь цифровой криминалистикой или заботитесь о приватности? Поделитесь в комментариях — какие артефакты удивили, какие методы очистки используете?