Whatsapp

De Peotta-Wiki
Ir para: navegação, pesquisa

Whatsapp é uma excelente ferramenta para troca de mensagens instantâneas - IM. Como é bastante utilizada cabe ao especialista conhecer profundamente seu funcionamento. Para este tutorial será utilizado o ambiente android, sem root e com a base de dados criptografada e armazenada em cartão de memória externa.

  • Testado com Whatsapp (Android) 2.7.5613
  • Testado com Whatsapp (iPhone) 2.5.1

Este post foi escrito com base no uso das ferramentas descritas aqui e também no artigo.

Conteúdo

Ferramentas necessárias

Será usado o interpretador de comandos python 2.7 e as seguintes ferramentas e bibliotecas:

Instalação

Windows

Basta baixar a biblioteca pycrypto e executar. Ou caso prefira a linha de comando execute:

pypm install pycrypto
pypm show pycrypto

Linux

Análise Whatsapp

Não é necessário ter o dispositivo (smartphone ou tablet) ligado. Basta retirar o cartão de memória, quando este estiver disponível, e localizar os seguintes arquivos:

Para o caso do banco de dados criptografado:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Este arquivo é criado quando se executa um backup através do próprio whatsapp.

Existe situações em que o backup não foi criado ou que não se tenha um cartão de memória externa. Nessas situações é necessário que o dispositivo a ser analisado possua privilégios de root e esteja desbloqueado, ou seja, sem senha de acesso ao aparelho. Nesse caso deve-se procurar pelos arquivos de banco de dados diretamente no dispositivo.

Android

Para se obter o acesso root pode-se recorrer a diversos tutoriais que existem.

/data/data/com.whatsapp/databases/msgstore.db
/data/data/com.whatsapp/databases/wa.db

Executando WhatsApp Xtract

Localize o arquivo msgstore.db.crypt e execute o seguinte comanmdo:

python whatsapp_xtract.py -i msgstore.db.crypt
Python Version 2.x
Android mode!

trying to decrypt android database...
decrypted database written to msgstore.plain.db
printing output to 5561999999999@s.whatsapp.net.html ...
done!

A saída do comando é gerado um arquivo 5561999999999@s.whatsapp.net.html onde 5561999999999 é o número do telefone analisado.

Iphone

É possível usar uma ferramenta de backup do iPhone para obter o arquivo. Certifique-se de criar um backup criptografado com o iTunes, como essas ferramentas não conseguem lidar com backups criptografados. Outra possibilidade são ferramentas forenses como UFED Analyzer.

Localize o seguinte arquivo:

net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite

Execute o comando:

python whatsapp_xtract.py -i ChatStorage.sqlite
Ferramentas pessoais
Espaços nominais

Variantes
Ações
Navegação
Ferramentas