Herramientas forense para ser un buen CSI. Parte XXII: Forense en WhatsApp I de II

Buenas a todos, en el post de hoy volveremos con nuestra cadena de Herramientas Forense para ser un buen CSI, para estudiar el noble arte del estudio forense de WhatsApp. Para los artículos yo me he centrado en Android, pero el caso es portable a otras plataformas.

La aplicación WhatsApp hace uso de tres archivos muy importantes, en los que almacena toda la información sobre nuestras conversaciones y contactos:

  • wa.db, es el fichero donde se almacenan los contactos
  • msgstore.db.crypt, el fichero donde se almacenan las conversaciones actuales “cifradas”.
  • msgstore-AAAA-MM-DD.X.db.crypt, fichero con las conversaciones no recientes “cifradas”

Los dos primeros ficheros, wa.db y mgstore.db.crypt, son almacenados en la ruta "/data/data/com.whatsapp/databases", y como os imaginaréis, para acceder a ellos vamos a necesitar ser root. Para rootear el terminal os invito a visitar el siguiente artículo de esta misma cadena de posts: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xx-clonacion-en-android-ii-de-iii.html. El tercero de los ficheros, es un backup que se almacena  comunmente en la ruta "/sdcard/WhatsApp/databases/", y a la que podréis acceder sin necesidad de terner permisos especiales.

Vamos a suponer que ya tenéis rooteado el terminal, y vamos a traernos los ficheros wa.db y mgstore.db.crypt. Para ello, haremos uso del comando Adb pull, que aprendimos en pasados posts de esta cadena:

 Si no queremos realizar la búsqueda y recolección de estos ficheros manualmente, hay una utilidad llamada Pyadb que puede seros muy útil. Se encuentra desarrollada en python. Esta herramienta permite localizar los ficheros msgstore.db y wa.db del teléfono automáticamente.Pyadb requiere tener instalado el SDK de Android y el teléfono rooteado. La podéis descargar gratuitamente desde https://github.com/sch3m4/pyadb
Bien, una vez que tengáis los ficheros en vuestro poder, nos encontraremos con el siguiente escollo, la base de datos de conversaciones se encuentra cifrada. Esta base de datos hace uso del algoritmo de cifrado AES. Pero..., siempre utiliza la misma clave para cifrar la BBDD: 346a23652a46392b4d73257c67317e352e3372482177652c, por lo que haciendo uso de alguna utilidad como OpenSSL, no tendréis problemas para descifrarla:
Una vez descifrada podremos utilizar algunas herramientas para acceder a la información de una manera cómoda y rápida, pero eso lo veremos en el próximo artículo :)
Saludos!