29 abr 2013

Herramientas forense para ser un buen CSI. Parte XXII: Forense en WhatsApp I de II

Buenas a todos, en el post de hoy volveremos con nuestra cadena de Herramientas Forense para ser un buen CSI, para estudiar el noble arte del estudio forense de WhatsApp. Para los artículos yo me he centrado en Android, pero el caso es portable a otras plataformas.

La aplicación WhatsApp hace uso de tres archivos muy importantes, en los que almacena toda la información sobre nuestras conversaciones y contactos:

  • wa.db, es el fichero donde se almacenan los contactos
  • msgstore.db.crypt, el fichero donde se almacenan las conversaciones actuales “cifradas”.
  • msgstore-AAAA-MM-DD.X.db.crypt, fichero con las conversaciones no recientes “cifradas”

Los dos primeros ficheros, wa.db y mgstore.db.crypt, son almacenados en la ruta "/data/data/com.whatsapp/databases", y como os imaginaréis, para acceder a ellos vamos a necesitar ser root. Para rootear el terminal os invito a visitar el siguiente artículo de esta misma cadena de posts: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xx-clonacion-en-android-ii-de-iii.html. El tercero de los ficheros, es un backup que se almacena  comunmente en la ruta "/sdcard/WhatsApp/databases/", y a la que podréis acceder sin necesidad de terner permisos especiales.

Vamos a suponer que ya tenéis rooteado el terminal, y vamos a traernos los ficheros wa.db y mgstore.db.crypt. Para ello, haremos uso del comando Adb pull, que aprendimos en pasados posts de esta cadena:

 Si no queremos realizar la búsqueda y recolección de estos ficheros manualmente, hay una utilidad llamada Pyadb que puede seros muy útil. Se encuentra desarrollada en python. Esta herramienta permite localizar los ficheros msgstore.db y wa.db del teléfono automáticamente.Pyadb requiere tener instalado el SDK de Android y el teléfono rooteado. La podéis descargar gratuitamente desde https://github.com/sch3m4/pyadb
Bien, una vez que tengáis los ficheros en vuestro poder, nos encontraremos con el siguiente escollo, la base de datos de conversaciones se encuentra cifrada. Esta base de datos hace uso del algoritmo de cifrado AES. Pero..., siempre utiliza la misma clave para cifrar la BBDD: 346a23652a46392b4d73257c67317e352e3372482177652c, por lo que haciendo uso de alguna utilidad como OpenSSL, no tendréis problemas para descifrarla:
Una vez descifrada podremos utilizar algunas herramientas para acceder a la información de una manera cómoda y rápida, pero eso lo veremos en el próximo artículo :)
Saludos!

20 comentarios:

  1. En los Symbian he encontrado estos archivos BG-WhatsAppLogOld.txt y FG-WhatsAppLogOld.txt, tienes idea de como decodificarlos o que tipo de información contiene?Gracias,

    ResponderEliminar
  2. Hola Guido, aún no he analizado ningún WhatsApp en Symbian, pero si quieres enviarme los archivos los estudiamos y te contamos.Un saludo!

    ResponderEliminar
  3. [...] Arrancamos la semana con una nueva mini-cadena de Herramientas forense para ser un buen CSI. Parte XXII: Forense en WhatsApp I de II [...]

    ResponderEliminar
  4. hola sobre los archivos de Guido has logrado algo

    ResponderEliminar
  5. Ya que yo tengo la misma duda y no he podido encontrar nada en la red

    ResponderEliminar
  6. Hola Jeronime, no me ha enviado nadie archivos de symbian aún.Si alguno me los pasáis, los estudiamos e intentamos preparar un post explicativo al respecto :)saludos

    ResponderEliminar
  7. [...] Buenas a todos, hoy vamos a continuar con la cadena de herramientas forense para ser un buen CSI, finalizando la mini-cadena sobre forense en Whatsapp. [...]

    ResponderEliminar
  8. Gracias,ya que no veo muchas por aquí.

    ResponderEliminar
  9. PASAME TU E-MAIL Y TE LOS ENVIO JERONIME, PARA VER SI LOS PUEDES DESENCRIPTAR..

    ResponderEliminar
  10. desencriptar whatsapp symbian, TE MANDO EL ARCHIVO??

    ResponderEliminar
  11. [...] nos da con nuestro navegador preferido. Lo demás es ir haciendo clics. Las entradas en FLU son: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xxii-forense-en-whatsapp-... [...]

    ResponderEliminar
  12. Puedes desencriptar archivos de Symbian? Te los puedo mandar? Gracias

    ResponderEliminar
  13. que tal, yo necesitaria desencriptar archivos de symbian, es de vital importancia, te agradeceria si lo pueden hacer. Gracias

    ResponderEliminar
  14. por favor necesito desencriptar unos archos de symbian

    ResponderEliminar
  15. necesito desencriptar archivos de symbian, lo necesito!!! ayudenme!!

    ResponderEliminar
  16. quien me descifra archivo crypt7, fg y bg.txt de what, los tengo en mi compu, pero se los envio a su correo, o publiquen su correo,, urgeee!!!...

    ResponderEliminar
  17. quiero desencriptar mis archivos BG-WhatsAppLogOld.txt

    ResponderEliminar
  18. Alguien a podido desencriptar symbian

    ResponderEliminar
  19. YO lo hice hace un año y me lo habia mandado al correo de hotmail,de alli me lo volvi a enviar a mi mismo correo y al descargarlo nuevamente lo abri con worldpad y me salio fecha hora num de telef y el contenido de cada mensaje pero ahora quise hacerlo de nuevo y no sale nada

    ResponderEliminar
  20. YO lo hice hace un año y me lo habia mandado al correo de hotmail,de alli me lo volvi a enviar a mi mismo correo y al descargarlo nuevamente lo abri con worldpad y me salio fecha hora num de telef y el contenido de cada mensaje pero ahora quise hacerlo de nuevo y no sale nada

    ResponderEliminar