Buenas a todos, seguramente en alguna ocasión muchos de vosotros os hayáis encontrado con la necesidad de realizar una recuperación de emails de un cliente de correo, como pueda ser Outlook o Thunderbird. Entre los analistas forenses es una labor bastante habitual, y como ya hemos contado en anteriores ocasiones, existen multitud de herramientas para facilitar la labor de extracción de los emails y sus cabeceras.
Un caso habitual con el que nos podemos encontrar tras clonar un disco duro, es identificar una carpeta con el perfil de un usuario de Thunderbird, que contiene infinidad de información como subcarpetas, favoritos, spam, enviados y recibidos, agenda, etc. En esta situación, para poder analizar mejor todos esos datos tan valiosos, podéis utilizar una nueva instalación de Thunderbird, creando un nuevo perfil, pero seleccionando los datos que hemos extraído del disco duro clonado. Esta labor la podréis realizar con Thunderbird Profile Manager:
Para abrir esta herramienta, podréis ejecutar la siguiente instrucción (en mi caso, en un MacOS):
- /Applications/Thunderbird.app/Contents/MacOS/thunderbird-bin -ProfileManager
Tras ejecutar la herramienta, se abrirá una ventana donde podremos crear un nuevo perfil, y seleccionar una carpeta vacía para que se genere uno nuevo, o seleccionar una carpeta existente para que trate de cargar un perfil partiendo de archivos anteriores.
Una vez creado el perfil, no olvidéis pulsar el check "Work offline" antes de pulsar "Start Tunderbid" para evitar cualquier tipo de sincronización por Internet con el servidor de correo mediante IMAP o POP3, o podréis estar accediendo sin querer a los contenidos reales actuales de esa cuenta de correo, y podría ocasionar problemas de acceso ilícito, alteración de pruebas, etc.
Saludos!
No hay comentarios:
Publicar un comentario