Tu comunidad de Seguridad Informatica

WhatsApp Forensics Info1810 Para ver Todo el contenido del foro es necesario estar Registrado! WhatsApp Forensics Info1810
WhatsApp Forensics Info1810 Antes de comentar o Aportar es Obligado Leer Las: Reglas | Rules WhatsApp Forensics Info1810
WhatsApp Forensics Info1810Ya Esta Disponible al publico "LeProject" el Videojuego del Foro Click Aquí Para Ver el Post. WhatsApp Forensics Info1810
WhatsApp Forensics Info1810Pitbull Security Labs "Extras" Esta Disponible! [ENTRA]WhatsApp Forensics Info1810

No estás conectado. Conéctate o registrate

Ver el tema anterior Ver el tema siguiente Ir abajo  Mensaje [Página 1 de 1.]

1-Slandg- 

-Slandg-
Administrador
Administrador

http://www.pitbullsecurity.org
Sáb Jul 28, 2012 2:10 pm
WhatsApp Forensics Logo2
Siguiendo la línea de algunos posts sobre la aplicación WhatsApp (que de seguro todos conocemos), en este post me gustaría presentaros una herramienta para facilitar la extracción e interpretación de los datos generados por esta aplicación.

Si bien es cierto que la aplicación cifra los logs de los mensajes cuando realiza el backup en la sdcard, todos estos registros así como las conversaciones actuales, agenda de contactos y demás ficheros propios de la aplicación, se encuentran sin cifrar en la memoria interna del dispositivo, de tal forma, que accediendo a la memoria del dispositivo podremos extraer dichos ficheros para analizarlos en otro entorno.

La aplicación que me gustaría presentaros está escrita en Python (DJango) y aunque es una versión Beta y espero poder seguir agregándole más funcionalidades, nos facilitará bastante la tarea a la hora de interpretar la información basándose en los registros de los siguientes ficheros:

  • wa.db (agenda de contactos)

  • msgstore.db (conversaciones actuales)

  • whatsapp-YYYY-MM-DD.log.gz (registro de conversaciones)

  • msgstore-YYYY-MM-DD.X.db.crypt (registro de conversaciones cifrado)


WhatsApp Forensics Img1

Listado de archivos de interés
Nota: Como registro de mensajes solo se usará msgstore.db, pero podemos reemplazar este archivo por cualquiera de los registros de mensajes guardados. Para descargar la aplicación, podemos hacerlo desde la URL del proyecto descargando el fichero zip/tgz o clonando el repositorio:

Código:
~$ git clone git://github.com/sch3m4/wforensic.git Cloning into 'wforensic'... remote: Counting objects: 136, done. remote: Compressing objects: 100% (117/117), done. remote: Total 136 (delta 11), reused 135 (delta 10) Receiving objects: 100% (136/136), 364.66 KiB | 163 KiB/s, done. Resolving deltas: 100% (11/11), done. ~$

Una vez hecho esto, entramos en el directorio creado y copiamos en él los ficheros wa.db y msgstore.db:

Código:
~$ cd wforensic/ ~/wforensic$ cp -v /tmp/*.db . `/tmp/msgstore.db' -> `./msgstore.db' `/tmp/wa.db' -> `./wa.db' ~/wforensic$ ls -1 CHANGELOG LICENSE README msgstore.db tools wa.db wforensic ~/wforensic$

En caso de necesitar utilizar un registro de log, procederemos de la misma manera, descomprimiendo el fichero:

Código:
~$ gzip -d whatsapp-2012-05-03.1.log.gz ~$ mv whatsapp-2012-05-03.1.log wforensic/msgstore.db ~$

Hecho esto, podemos iniciar la aplicación y acceder al navegador accediendo al puerto correspondiente, que por defecto es el 8000:

WhatsApp Forensics Runserver

Ejecutando el servidor DJango
Hecho esto, si accedemos a la URL especificada podremos ver como página principal un breve resumen de la actividad:

WhatsApp Forensics Init0

WhatsApp Forensics Init1


Si por el contrario, solo tenemos acceso a los ficheros cifrados, podemos usar el script "tools/decrypt.py" (gracias al post de Alejandro Ramos):

WhatsApp Forensics Decrypt

Volcando y descifrando un registro de mensajes desde la sdcard.
Ahora volvemos a acceder a la aplicación y navegar por todos sus apartados para revisar el registro descifrado:
WhatsApp Forensics Contacts

WhatsApp Forensics Init2

En la parte de "Contacts" (como en el resto de la aplicación) se muestran tanto los contactos con WhatsApp como los que no. Cuando un contacto tiene WhatsApp instalado en su dispositivo, aparecerá con el icono (como se muestra) al lado del nombre, el número de mensajes intercambiados y un enlace en su número de teléfono para mostrar la conversación.

En el menú superior de la aplicación, aparecen secciones para ver la lista de contactos, los chats mantenidos, mostrar los mensajes con coordenadas GPS, mensajes con contenido multimedia, etc. Cuando un mensaje posee algún tipo de adjunto (imagen, contacto, coordenadas, etc.) a demás de mostrar el thumbnail del contenido, nos aparecerá un icono al lado del nombre del contacto, con la URL al contenido original, (en el caso de las coordenadas GPS, será un enlace a Google Maps). Y para sorpresa (o no) de muchos, esto es lo que pasa cuando accedemos a la URL original:

WhatsApp Forensics Media

WhatsApp Forensics Orig

Y finalizando, dos capturas para ver cómo se muestra el listado de chat y las conversaciones:
WhatsApp Forensics Conv

WhatsApp Forensics Chatlist

Como dije al principio del post, se trata de una beta y se le pueden agregar muchas más opciones que espero poder agregar. No obstante, toda contribución de ideas (se incorporarán al TODO) , manual o mejora (serán agregadas lo antes posible) es bienvenida.

Fuente: http://www.securitybydefault.com/2012/05/whatsapp-forensics.html

Ver el tema anterior Ver el tema siguiente Volver arriba  Mensaje [Página 1 de 1.]

Permisos de este foro:
No puedes responder a temas en este foro.