Giovanni Bassetti Immagine
 Blog di Giovanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Articolo
WhatsApp forensics
Di Admin (del 23/07/2013 @ 12:59:10, in Computer Forensics, linkato 26714 volte)
Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android.
Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:

openssl enc -d  -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Dove la chiave è

346a23652a46392b4d73257c67317e352e3372482177652c

ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.

Il secondo sistema è un programma in Python, che genera un report in HTML:
http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).

Le cose strane sono due:
1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio.
2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili.
Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....

Quindi chiedo alla rete, qualcuno ne sa qualcosa?

UPDATE 03/Agosto/2013

Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.

/data/data/com.whatsapp/database

Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.

Bye
Nanni Bassetti - http://www.nannibassetti.com
Articolo Articolo  Storico Storico Stampa Stampa
 
# 1
Ciao Nanni, innanzitutto grazie per aver scaricato il nostro tool (WhatsApp Xtract).

Ovviamente ci stiamo sempre lavorando quindi se vai su
http://code.google.com/p/hotoloti/issues/detail?id=6
trovi le ultime versioni revisionate anche da un paio di follower del nostro blog.

Sicuramente c'è la possibilità di recuperare conversazioni o messaggi cancellati e ci stiamo lavorando sopra....

Vorremmo fare uscire una nuova release nei prossimi mesi per risolvere un po' di bug riscontrati.

Se hai voglia di darci una mano e contribuire allo sviluppo....assolutamente ben venga!!

Un caro saluto
Di  Mattia Epifani  (inviato il 23/07/2013 @ 13:25:31)
# 2
Ciao, volentieri...ma il punto è che i msg cancellati li fa vedere...sembra che msgstore.db.crypt non si aggiorni.
Di  Nanni Bassetti  (inviato il 23/07/2013 @ 13:27:36)
# 3
Per le prove sperimentali che abbiamo fatto posso dirti che su iPhone l'aggiornamento del DB non è immediato. Non sono ancora sicuro del quando e del come avvenga la cancellazione, ma so per certo che facendo:
- Acquisizione del backup di iPhone
- Analisi del database di WhatsApp
- Cancellazione di messaggi sul telefono
- Nuova acquisizione del backup di iPhone
- Analisi del nuovo database di WhatsApp

I messaggi cancellati sono ancora presenti....

Immagino che il criterio sia dipendente da un qualche evento (es. ricezione di un nuovo messaggio?), ma ci stiamo lavorando.

Ovviamente il fatto che un messaggio venga cancellato non significa che non si possa fare carving dei record dal DB SQlite....ci stiamo lavorando anche su questo : - ))

Di  Mattia Epifani  (inviato il 23/07/2013 @ 13:45:04)
# 4
Scusa....non avevo letto peraltro che avevi prso quello dalla SD Card : - )
Questo credo spieghi ulteriormente la cosa : - ))
Di  Mattia Epifani  (inviato il 23/07/2013 @ 13:47:22)
# 5
Ciao a tutti! Allora.. vi do la mia spiegazione sperando di essere utile e considerando che non ho a disposizione db di whatsapp recentissimi.
Quello che fa wa xtract non è altro che una decifratura ed una lettura "furba" di un db sqlite.
Nel report vengono elencati tutte le entry presenti nelle tabelle. Quindi, per quel che ne so, non si ha recupero di msg cancellati, perché questi vengono rimossi dal file.
E confermo che non ci sono flag ad indicare messaggi attivi o cancellati: semplicemente, se ci sono, sono messaggi ancora visibili anche all'utente di whatsapp.
Il punto è che stiamo parlando del file .crypt, ossia della copia cifrata che viene fatta "periodicamente" su sd.
L'applicazione in realtà lavora su un db residente su memoria telefono in chiaro che viene aggiornato costantemente, ma la copia cifrata viene fatta di default una volta al giorno (sul mio tel ad esempio viene fatta di norma tutte le notti alle 4, oppure si può chiedere espressamente passando per le impostazioni).
Questa è l'opinione che mi son fatto io quando ho sviluppato lo script, ma naturalmente se riscontraste artefatti/comportamenti diversi segnalatemi in modo farci attenzione in una prossima release.
Grazie! Saluti

Fabio
Di  Fabio Sangiacomo  (inviato il 23/07/2013 @ 15:06:03)
# 6
1) whatsapp consente di (s)caricare le conversazioni precedenti ad una certa data che credo vengano nascoste per una questione di praticità (basta risalire tutta la chat e si trova un bottone). E' possibile che quel msgstore.db.crypt siano appunto le conversazioni scaricate, mentre i messaggi piu' recenti siano conservati altrove

2) forse puo' aiutare il fatto che esistono due "cancellature" di messaggi: quelli che non sono stati recapitati al destinatario (e che se cancellati in tempo non verranno mai visualizzati) e quelli recapitati ma comunque rimossi. Ipotizzerei che la 2° tipologia sia comunque salvata nel msgstore.db.crypt poiché risiedono sul server e sono stati ricevuti (diciamo che non sono cancellati ma soltanto nascosti) mentre la prima no (provare ad inviare un messaggio senza connessione e poi cancellarlo).
Di  giulio  (inviato il 23/07/2013 @ 15:33:38)
# 7
Fabio ti segnalo un probabile bug nello script, quando genera il report lo intesta all'ultimo numero col quale ho chattato invece che al mio numero ;)
Di  Nanni Bassetti  (inviato il 23/07/2013 @ 15:57:03)
# 8
salve , e una setimana che leggo provo scarico installo ect ect,no riesco ad aprire dei file db.crypt , se te li mando via mail mi faresti il piacere ??
grazie e ciao
Di  francesco  (inviato il 21/01/2014 @ 20:24:39)
# 9
Ciao mi sapete spiegare perchè i messaggi si fermana a una certa data?
Di  alberto  (inviato il 02/02/2014 @ 21:56:48)
# 10
Buonasera ho una problematica relativa al backup delle conversazioni di whatsapp generato in ambiente Windows Phone trattasi nello specifico del file messages.db sicuramente criptato.
Esiste al momento un sistema simile al WA Xtract per consentirne la codifica? il db è anche in questo caso SQLite?
Ringrazio Anticipatamente.
Di  Maurizio  (inviato il 12/11/2014 @ 00:33:24)
# 11
Ciao, ho lo stesso problema di Maurizio. Avete qualche suggerimento da darmi? qualcuno ha sviluppato un'app?
grazie.
Di  Luigi  (inviato il 14/12/2014 @ 23:27:37)
# 12
Come si fa a far sparire per sempre messassi sms e whatsapp ed impedire che vengano decifrati
Di  sam  (inviato il 10/02/2015 @ 10:23:01)
# 13
Caio a tutti, sono nei guai. Come Maurizio e Luigi prima di me vi chiedo se qualcuno di voi sia riuscito a decrittare o visualizzare il message.db presente sulla SD di un Lumia con WP8.1
Di  ivano  (inviato il 07/04/2015 @ 21:22:15)
# 14
Salve ho fatto il root al mio cellulare ed ho estratto la key di whatsapp,la cosa strana è che non riesco a leggere un database di 5 mesi fa?Possibile che sia cambiata la key?il cellulare è sempre lo stesso. Grazie in anticipo
Di  Marc  (inviato il 19/07/2017 @ 16:15:53)
Anti-Spam: digita i numeri CAPTCHA99X
Testo (max 2000 caratteri)
Nome
e-Mail / Link


Disclaimer
L'indirizzo IP del mittente viene registrato, in ogni caso si raccomanda la buona educazione.
Ci sono 97 persone collegate

< ottobre 2017 >
L
M
M
G
V
S
D
      
1
2
3
4
5
6
7
8
9
10
11
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
         

Cerca per parola chiave
 

Titolo
Annunci (63)
CHI SONO (4)
Computer Forensics (107)
SICUREZZA INFORMATICA (6)
TuttoStorto (16)

Catalogati per mese:

Gli interventi pił cliccati

Ultimi commenti:
Buonasera, Questo me...
17/10/2017 @ 16:02:46
Di FRANCESCO QUATTROCCHI
Salve ho fatto il ro...
19/07/2017 @ 16:15:53
Di Marc
Buon giorno, io ho p...
27/02/2017 @ 11:49:50
Di Ninni






20/10/2017 @ 12:31:10
script eseguito in 31 ms