Buenas a todos, hoy vamos a continuar con la cadena de herramientas forense para ser un buen CSI, finalizando la mini-cadena sobre forense en Whatsapp.
Como recordatorio, en la pasada entrada de la cadena recuperamos las bases de datos de whatsapp de un terminal Android y las desciframos. Hoy haremos uso de la herramienta wForensic para leer las bbdd descifradas y presentarlas de una manera amigable para realizar una investigación.
WhatsApp Forensic (wForensic), es una aplicación desarrollada en Python (Django). Lenguaje por el que sabéis siento cierta predilección :P.
Podéis descargarla gratuitamente desde aquí: https://github.com/sch3m4/wforensic
wForensic incorpora una utilidad para descifrar la bbdd de Whatsapp, sin embargo, nosotros ya la desciframos en el último artículo a través de openssl, por lo que no nos hará falta.
Una vez descifrada, copiaremos dentro del directorio databases de wforensics, el fichero wa.db (contactos) y el fichero msgstore.db (conversaciones).A continuación, ejecutaremos la aplicación a través del siguiente script situado en la carpeta raiz de la herramienta:
./run.sh
Una vez ejecutado, arrancará un servidor web para poder ver el contenido de la base de datos de los mensajes y los contactos de WhatsApp:
Al inicio de la aplicación se nos muestra un menú con una serie de estadisticas acerca de la actividad de los mensajes y una serie de links para acceder al resto de menús:
Como véis, de una manera sencilla y muy cómoda podemos navegar por el historial de conversaciones que se han mantenido con la aplicación, buscar mensajes de un número de móvil concreto y listar fotografías enviadas y recibidas a nuestros contactos.
Otra utilidad para guardar en vuestro kit de herramientas forenses :)
Saludos!