WhatsApp Forensics

Iniciado por ANTRAX, Marzo 01, 2014, 02:47:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Hola a todos en este post veremos como extraer los mensajes de una DB de WhatsApp con una tool en python "Wforensic" Que viene incluida en BugTraq ( por alguna razón a mi no me vino y la tuve que descargar xD) Si la quieren usar en otra distro tienen que instalar el paquete "python-django"

Descargamos los archivos de

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y nos vamos a la carpeta del programa


Con el archivo "encryption.py" en la carpeta "tool"s vamos a desencriptar "msgstore.db.crypt" que se encuentra en la carpeta WhatsApp de nuestro dispositivo



Código: python
python encryption.py --decrypt --file '/home/bugtraq/Desktop/msgstore.db.crypt'  --output-dir ~/Desktop/ 


El archivo se nos guardará en el escritorio o donde ustedes quieran
Ahora lo vamos a mover a la carpeta "databases" de nuestro programa "Wforensic"


Solo queda ejecutar el script "run.sh"


E ingresar a la dirección
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta






Y como se puede apreciar, se pueden ver los mensajes de Whatsapp. También saldrían las coordenadas GPS si alguna foto o video fue enviada desde un dispositivo con el gps activado.

Autor: alexito-0787


Se que es un post del 2014, peeeeero...
Dinno, estuve viendo la tool, y me surge un error en el programa, vi en el git la parte del foro y nadie le respondio al que pregunto lo mismo.
Sabes si me estoy equivocando yo?

    #######################################
    #    WhatsApp Encryption Tool 0.4     #
    #-------------------------------------#
    #  Decrypts encrypted msgstore files  #
    #   This tool is part of WForensic    #
    # No tienes permitido ver los links. Registrarse o Entrar a mi cuenta #
    #######################################
   
Setting AES key....... OK

  • Decrypting msgstore.db.crypt12 (Pruebamsgstore.db12) -> 1136992 Bytes
    Traceback (most recent call last):
      File "./encryption.py", line 230, in <module>
        work_file(args.file, args.output )
      File "./encryption.py", line 132, in work_file
        ptext.write(aes.decrypt(block))
      File "/usr/lib/python2.7/dist-packages/Crypto/Cipher/blockalgo.py", line 295, in decrypt
        return self._cipher.decrypt(ciphertext)
    ValueError: Input strings must be a multiple of 16 in length


    Estoy probando con crypt9 y crypt12


Pikaa~


Si no me equivoco, es porque cambiaron el tipo de cifrado.

Saludos,
ANTRAX


Ahh okey, y conoces alguna forma de abrir los 9 y 12?
Pikaa~


Tengo entendido que ya no se pueden abrir las bd de whatsapp


Estamos estudiando un caso de fraude y abuso en la familia, y las pruebas que pude sacar en 5minutos estaban en el wazzap, lo unico que pude rescatar fue la carpeta donde esta la BD.

Tendremos que esperar---
Pikaa~


Hola @PikachuDorado

Creo que si existe la posibilidad de desencriptar las nuevas bases de datos 9 y 12.

Te dejo este video donde se muestra, y de cómo obtener la key en la misma descripción del video.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

Genioooo gracias. Te amo Stiuvert te lo digo siempre. Cuando sea grande quiero ser como vos jajsjajau
Pikaa~


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Creo que si existe la posibilidad de desencriptar las nuevas bases de datos 9 y 12.

Te dejo este video donde se muestra, y de cómo obtener la key en la misma descripción del video.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos
Stiuvert, un par de dudas hermano, que función tiene la key para desencriptar la base de datos?  Es segura esa pagina? Como sabemos que no se quedan con una copia de la bd?
El hacking es un privilegio.

Será útil para realizar algunas pruebas éticas, se agradece el aporte. ^^

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Stiuvert, un par de dudas hermano, que función tiene la key para desencriptar la base de datos?  Es segura esa pagina? Como sabemos que no se quedan con una copia de la bd?

La "key" nos ayudará a desencriptar la base de datos según su encriptación.
No sabemos a priori si al hacer un upload se quedarán una copia de la BBDD. ¿Tanto tienes que ocultar?  ;D

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Stiuvert, un par de dudas hermano, que función tiene la key para desencriptar la base de datos?  Es segura esa pagina? Como sabemos que no se quedan con una copia de la bd?

La "key" nos ayudará a desencriptar la base de datos según su encriptación.
No sabemos a priori si al hacer un upload se quedarán una copia de la BBDD. ¿Tanto tienes que ocultar?  ;D

Saludos
Nadie tira los datos. Los datos valen mas de lo que cuestan. Seguramente se lo queden

Sent from my ALE-L21 using Tapatalk