Giovanni Bassetti Immagine
 Blog personale di Nanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Articolo
WhatsApp forensics
Di Admin (del 23/07/2013 @ 12:59:10, in Computer Forensics, linkato 31868 volte)
Oggi per diletto ho provato a capire come estrarre le chat da WhatsApp installato su un telefonino Android.
Prima di tutto bisogna sfogliare le directory del telefono e giunger qui:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Il database msgstore.db.crypt è un db sqlite criptato, ma cercando su Internet si scoprono almeno due sistemi semplici e veloci per decriptarlo:

openssl enc -d  -aes-192-ecb -in msgstore.db.crypt -out msgstore.db -K 346a23652a46392b4d73257c67317e352e3372482177652c

Dove la chiave è

346a23652a46392b4d73257c67317e352e3372482177652c

ed il file di output è il database in chiaro msgstore.db, che possiamo aprire e consultare con un qualsiasi programma, che legge i db sqlite, come SQL Lite database browser.

Il secondo sistema è un programma in Python, che genera un report in HTML:
http://blog.digital-forensics.it/2012/05/whatsapp-forensics.html (Zena Forensics).

Le cose strane sono due:
1) Non ci sono tutti i messaggi, per esempio alcuni si fermano a fine Giugno, altri arrivano fino a Luglio, ma non fino all'ultimo messaggio.
2) Ho provato a cancellare qualche messaggio e nonostante sul blog di Zena Forensics dicano che non è possibile recuperare i messaggi cancellati, dopo il decrypting quei due messaggi sono ancora visibili.
Analizzando i contenuti delle tabelle dell'SQL Lite DB msgstore.db, non noto nemmeno dei flag che indichino se i messaggi sono i status di deleted o active....

Quindi chiedo alla rete, qualcuno ne sa qualcosa?

UPDATE 03/Agosto/2013

Da un contributo di un utente di CFI si è giunti a conclusione che il msgstore.db.crypt è solo un db di backup non completo, mentre il vero db è msgstore.db ed è in chiaro e raggiungibile solo col telefono rootato o col dump fisico con strumenti come UFED.

/data/data/com.whatsapp/database

Era immaginabile, ma speravo che per una volta non vi fosse bisogno di esser root, ma bastava il db raggiungible da user.

Bye
Nanni Bassetti - http://www.nannibassetti.com
Articolo Articolo  Storico Storico Stampa Stampa
Ci sono 96 persone collegate

< ottobre 2024 >
L
M
M
G
V
S
D
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
     
             

Cerca per parola chiave