Imagen


Buenas a todos, ya hace un tiempo que no escribo algún que otro articulo y hoy aburrido hablando con unos amigos por whatsapp me quedo la duda de si whatsapp guardaba los logs de todo lo que hicíera y efectivamente whatsapp lo hacia.

Viendo la de cositas que se estaban guardando :
- Conversaciones de tlfn a tlfn
- Chats activos
- Fotos de los perfiles que mire
- Imágenes, audios, videos que me pasarón o que pase

(Por ejemplo).

Pues me apetecio hacerle un forense y al tiempo que lo hago os haré una demo del forense a un whatsapp y vereís todos los datos que podemos sacar de utilidad.

Recrearemos un entorno en el que dispongo de acceso físico a un terminal.
El whatsapp es una buena forma de extraer información sobre el día día de la persona, se podría aplicar algo como "Dime con quien andas y te diré quien eres" pero convertido al método geek.


Empezamos con la DEMO :

Bueno, los ficheros de whatsapp se guardan por defecto en /storage/sdcard0/WhatsApp/ , y yo me enviaré los ficheros con Airdroid, una estupenda app para compartir archivos PC - Smartphone vía wifi.

Imagen



Para pasar a estar conectados en "Modo de conexión remota" como ahí podeís ver solo hay que acceder a web.android.com
y te logueas con tu cuenta.

Imagen



Y tan solo te queda acceder al directorio y descargar los arhivos de los que extraeremos los metadatos.
Imagen



Una vez descargados los ficheros voy a proceder a comentaros que podemos encontrar en cada uno de los directorios y cómo podríamos extraerles el jugo.

Tenemos "Databases", "Media" y "Profile Pictures", he hecho un script para que extraiga los metadatos de los db.crypt, tambien extrae los ficheros de la carpeta media(imágenes, audios, videos) y tambien extrae las imágenes encontradas en Profile Pictures.

Databases : Aqui podremos encontrarnos una serie de ficheros con extensión "db.crypt", Whatsapp cifra los archivos SQLite con AES pero siempre usa la misma key "346a23652a46392b4d73257c67317e352e3372482177652c" y de este modo podré decodificarlos.

Media : Aqui nos encontramos con una seríe de archivos (imágenes, audios, videos y wallpapers).

Profile Pictures : Aqui nos encontraremos con todas las imágenes de perfil(de usuario) que hemos mirado desde nuestro whatsapp.


NOTA IMPORTANTE : Para extraer la información de todos estos archivos que hemos obtenido he codeado un script que automatiza todo el proceso (a excepción del proceso de obtención de los ficheros , puesto que se supone que tenemos acceso físico al terminal.)
Imagen


Ahora os mostraré un esquema en forma de arbol para comprender un poco como funciona el script que he preparado:

· WhatsApp Metadata Extractor :
- main_manage.py (main de consola en forma de cliente)
- DB_Extractor.py (extrae los metadatos de la BD)
- metaimg_extractor.py (extrae los metadatos de los .jpg encontrados)


He dividido el proyecto en 3 scripts, main_manage es el encargado de interactuar con el cliente (el que debemos ejecutar), DB_Extractor es el encargado de realizar las consultas con la BD para extraer toda la información(la que nos interesa) y metaimg_extractor es el encargado de buscar en "Media" y en "Profile Pictures" en busca de metadatos en los archivos .jpg (La mayoria vienen con ellos eliminados por defecto pero no me digas por qué algunas imágenes no se filtran y son subidas sin filtrarse).


Sin más os dejo los codes :

main_manage.py :

Mostrar/Ocultar


DB_Extractor.py :

Mostrar/Ocultar


metaimg_extractor.py :

Mostrar/Ocultar



Unas imágenes trabajando :

DB_Extractor :
Imagen


IMG extractor :
Imagen



El archivo "Exif" que importamos en el metaimg_extractor podemos encontrarlo en el proyecto de grampus en bitbucket -> [Enlace externo eliminado para invitados]

PD : El Forense podría llegar a hacerse en mayor profundidad, en este caso solo tratamos los datos que podrían ser más relevantes como conversaciones, envio de archivos y el análisis de los metadatos de las imágenes.
En fin, esto es todo, el script os automatizará todo el trabajo "duro"


Saludos !! , Sanko.
Buen trabajo sanko!, está interesante. Eso si, para pasar archivos del móvil al pc y viceersa, uso la aplicación llamada "Servidor ftp", el nombre lo dice todo XD, así no me complico como con AirDroid.

Un saludo!
Soy un camaleón, en tu cama, leona ♪
Gracias sanko....
(espero no se desvirtúe el tema con discusiones estériles..... el post esta bueno...)

Si a alguien le sirve, dejo un dato: [Enlace externo eliminado para invitados]


Saludos
Imagen


El que comió... cree que todos comieron...
WoW Sanko cada vez mejor, muchas gracias por este tutorial me viene de 10 :D
estoy matando el tiempo, mientras el tiempo nos mata lentamente..

Mostrar/Ocultar

polifemo escribió:Gracias sanko....
(espero no se desvirtúe el tema con discusiones estériles..... el post esta bueno...)

Si a alguien le sirve, dejo un dato: [Enlace externo eliminado para invitados]


Saludos
Pues a mi me interesa el asunto y siempre es un gusto leer al amigo Poli, gracias y un saludo maestro.
Leizerbick
Hola soy nuevo en el foro, y me he estado dando unas vueltas por los temas y enserio que son la ostia, este me intereso mucho en particular, pero tengo una duda (espero y no se molesten) si borras los msj o los multimedias el forense ya no sirve de nada cierto?
Pregunta:
Antes que nada muchas gracias !!!!
De donde salio o como se obtuvo el key AES?
Como se sabe que es el mismo para las siguientes versiones del wts?
Y de nuevo muchas gracias!!
nocturnalx1 escribió:Pregunta:
Antes que nada muchas gracias !!!!
De donde salio o como se obtuvo el key AES?
Como se sabe que es el mismo para las siguientes versiones del wts?
Y de nuevo muchas gracias!!
Bueno amigo, el tema es muy antiguo ya, las keys se actualizarón en nuevas versiones. De todas formas hay mucho genio del exploiting, y por medio de eso y de dax attacks o similares se puede capturar la key que usa la aplicación. Pueden complicar su obtención pero siempre es cuestión de tiempo que alguien saque la nueva key.
Nice
"He who fights monsters should see to it that he himself does not become a monster. And if you gaze for long into an abyss, the abyss gazes also into you."
- Friedrich Nietzsche
Responder

Volver a “Manuales y Tutoriales”