análisis de whatsapp
Vamos a realizar una pequeña prueba con la aplicación Whatsapp que está en esta imagen forense de Android 10 y que podemos descargar de aquí.
La imagen está realizada con cellebrite. Autopsy no es capaz de abrir los archivos de extracción de esta utilidad pero se suministra un archivo zip con la estructura de directorios a la vista.
ANDROID 10.
En nuestro caso, ya tenemos la adquisición de imagen hecha pero es imprescindible conseguir privilegios de root.
Podemos acceder a la parte privada de la base de datos que se encuentra en las versiones antiguas de Whatsapp sin cifrar en: /data/data/com.whatsapp/msgstore.db (historial de Chat)
En la parte pública de la app encontramos los Backups cifrados de la BD.
/data/media/0/WhatsApp/Databases/msgstore.db.crypt12
Extraemos el fichero: msgstore.db.crypt12.
También tenemos acceso a la “Key” que usaremos más adelante para descifrarla y que encontramos en: /data/data/com.whatsapp/files/key
Ahora usamos la herramienta.
WhatsApp Viewer: https://andreas-mausch.de/whatsapp-viewer/
Esta App soporta versiones crypt (5, 7,8 y 12) por lo que si fuera una versión superior habría que buscar otra o hacerle un downgrade a Whatsapp.
Seleccionamos: File/Decryp.crypt12
En Database file, cargamos el fichero msgstore.db.crypt12 que hemos extraído.
En Key file, cargamos el fichero KEY que hemos extraído.
Al darle al botón Decrypt.
nos generará el fichero: messages.decrypt.db
Ahora en File/Open cargamos el fichero messages.decrypt.db generado.
Y ahora si.
La app WhatsApp Viewer nos mostrará el historial de conversaciones de Whatsapp.
La utilidad Wha-pa nos facilita el visionado e interpretación de lo almacenado en las bases de datos de Whatsapp.
En el caso de haber podido extraer los archivos:
- /data/data/com.whatsapp/msgstore.db (contiene el historial de Chat)
- /data/data/com.whatsapp/Wa.db (contiene la lista de contactos)
En nuestro caso lo hemos extraído de la imagen a través de autopsy, pues ya estaba preparada y debidamente rooteada.
Si no fuese así tendríamos que tener el smartphone rooteado, o adquirir privilegios de root de alguna forma.
Hay herramientas como: Kingoroot https://es.kingoapp.com/ o algún otro método disponible según el dispositivo al que estemos realizando la adquisición.
También podríamos usar, WhatsApp-Key-Database-Extractor: https://github.com/YuvrajRaghuvanshiS/WhatsApp-Key-Database-Extractor
(Para extraer esos archivos sin ser root, saltándose la protección)
Descargamos la herramienta Wha-pa (Whatsapp Parser): https://github.com/B16f00t/whapa
- En database file: Cargamos el archivo msgstore.db (sin cifrar)
- En WA file: Cargamos el archivo wa.db
- En Output path: Seleccionamos la ruta de salida.
Seleccionamos “Spanish” en Report y en Options podemos ir clicando las diferentes opciones que veremos en la próxima página.
En Options: vamos a ver cada opcion.
Parser Database:
Nos extrae el historial de conversación y los adjuntos de cada cuenta de usuario.
Nos centraremos en “19195790479”
Status:
Genera los siguientes archivos:
Abrimos el informe de stado.
Call Logs:
Genera los siguientes archivos:
Abrimos el informe de llamadas.
Extract Thumbnails:
Extrae miniaturas de las imágenes adjuntas en las conversaciones.
Database Carving:
Genera un archivo msgstore.csv
y con esto hemos visto lo básico para extraer y descifrar la Base de Datos de Whatsapp en Android 10.
Lo mas dificil es conseguir rootear el telefono sin perder las evidencias, podeis prácticar con imagenes preparadas para ello o si teneis oportunidad probar con un smartphone android (que no sea el que useis habitualmente por si acaso) y poned a prueba lo aprendido en una adquisicion real.
😀