A todos nos gusta enviar mensajes y usar la mensajería instantánea en nuestros smartphones para estar en contacto con nuestros amigos y familiares. Utilizamos varias aplicaciones móviles como WhatsApp para enviar mensajes instantáneos sin tener que pagar por los SMS, lo que ha dado lugar a la popularidad de esta famosa aplicación. WhatsApp es una aplicación de mensajería móvil multiplataforma que puede sincronizarse automáticamente con la libreta de direcciones del teléfono, permite mensajes de longitud ilimitada y también permite compartir contenido multimedia como vídeos, ubicación, imágenes, etc. Por lo tanto, perito whatsapp puede ser una herramienta importante en la obtención de datos para un analista forense.
¿Dónde buscar los datos?
WhatsApp almacena todos los datos en una base de datos SQLite. Dado que se trata de una aplicación multiplataforma para dispositivos móviles, la ubicación de la base de datos varía de un sistema operativo a otro.
Sin embargo, en Android, generalmente encontrarás la base de datos almacenada en la tarjeta SD en un formato cifrado.
El cifrado de la base de datos de WhatsApp es un proyecto de D. Cortjens, A.Spruyt y W.F.C Wieringa. Existe una vulnerabilidad en la implementación androide del cifrado AES. La clave de 192 bits puede ser detectada o crackeada utilizando tanto análisis estático como activo. Si estás interesado en el proyecto de cifrado, consulta el siguiente archivo PDF: http://tinyurl.com/c4a8dcw
Bien, ahora vamos a buscar el archivo de base de datos cifrado. Abre tu gestor de archivos favorito y navega hasta “/mnt/sdcard/Whatsapp/”. Verás dos archivos con el nombre msgstore seguido de una fecha (por ejemplo, msgstore-2011-02-11.db.crypt y msgstore.db.crypt).
Ahora es aconsejable copiar los dos archivos en otro lugar, por ejemplo /ext/temporary/.
¿Cómo utilizarlo?
Ahora conecta tu dispositivo android al ordenador con la ayuda del cable USB. Asegúrese de que ya ha instalado los controladores necesarios para su dispositivo antes de conectarlo y de que su dispositivo está en “Modo de almacenamiento masivo”.
Instala python en tu ordenador desde la URL indicada (ver más arriba).
Una vez descargado el archivo (Whatsapp_Xtract), extraiga el contenido del archivo a su ordenador como “C:/test/” y ejecute el pyCrypto.bat dado en el directorio “C:/test/”. Whatsapp_Xtract requiere python framework y la librería crypto para mostrar su encanto.
Ahora copia el contenido (es decir, los dos archivos db.crypt) a la carpeta “C:/test/” de tu dispositivo móvil android. Ahora es el momento para la diversión, ejecute el archivo whatsapp_xtract_android.bat o el archivo whatsapp_xtract_android_crypted.bat y obtendrá la salida de todos los chats, números, sonrisas, etc… en un formato de archivo HTML.
¿Qué más buscar?
¿Qué más puedes buscar? ¿Qué tal imágenes y archivos de registro?
Empecemos. Utiliza tu gestor de archivos para navegar hasta “/mnt/sdcard/WhatsApp/Profile Pictures/”.
Aquí puedes ver las imágenes de perfil de otros usuarios que el propietario de la cuenta de WhatsApp ha visto recientemente. WhatsApp almacena las imágenes offline de las fotos de perfil de los usuarios una vez que son vistas por sus amigos en el directorio local del androide, haciéndolas accesibles a cualquiera que utilice el móvil.
Echemos un vistazo al registro.
Navega por tu gestor de archivos hasta “/mnt/sdcard/WhatsApp/” y copia el archivo logs.zip en tu ordenador. Utiliza una herramienta de extracción de archivos comprimidos como WinRAR para descomprimir los archivos. Verás un archivo de texto con el nombreWhatsApp seguido de una fecha. Este archivo contiene todos los detalles relativos a tu espacio de archivos, números de teléfono de tus amigos, marcas de tiempo, estado WiFi, configuración APN, etc…