Buenas a todos, en el post de hoy volveremos con nuestra cadena de Herramientas Forense para ser un buen CSI, para estudiar el noble arte del estudio forense de WhatsApp. Para los artículos yo me he centrado en Android, pero el caso es portable a otras plataformas.
La aplicación WhatsApp hace uso de tres archivos muy importantes, en los que almacena toda la información sobre nuestras conversaciones y contactos:
- wa.db, es el fichero donde se almacenan los contactos
- msgstore.db.crypt, el fichero donde se almacenan las conversaciones actuales “cifradas”.
- msgstore-AAAA-MM-DD.X.db.crypt, fichero con las conversaciones no recientes “cifradas”
Los dos primeros ficheros, wa.db y mgstore.db.crypt, son almacenados en la ruta "/data/data/com.whatsapp/databases", y como os imaginaréis, para acceder a ellos vamos a necesitar ser root. Para rootear el terminal os invito a visitar el siguiente artículo de esta misma cadena de posts: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xx-clonacion-en-android-ii-de-iii.html. El tercero de los ficheros, es un backup que se almacena comunmente en la ruta "/sdcard/WhatsApp/databases/", y a la que podréis acceder sin necesidad de terner permisos especiales.
Vamos a suponer que ya tenéis rooteado el terminal, y vamos a traernos los ficheros wa.db y mgstore.db.crypt. Para ello, haremos uso del comando Adb pull, que aprendimos en pasados posts de esta cadena: