segunda-feira, 20 de março de 2017

Como extrair a chave e a base de dados do Whatsapp com crypt12 em dispositivos Android e analisar as conversas extraídas sem software forense



Neste post irei demonstrar como obter a chave de criptografia do Whatsapp com crypt12, e a base de dados das conversas, e como analisar os dados obtidos sem o uso de uma ferramenta forense.

Este método funciona somente com o Android 4.0 ou superior.

PRÉ REQUISITOS:

1. Computador com sistema operacional Windows, Linux ou Mac.
2. JAVA (clique aqui)
3. Depuração USB habilitada (Configurações > Opções de desenvolvedor > Depuração USB)



4. WhatsappKeyDBExtractorMaster (clique aqui)
5. Whatsapp Viewer (Clique aqui)

INSTRUÇÕES:

A. Extrair o conteúdo do arquivo WhatsApp-Key-DB-Extractor-master.zip para sua área de trabalho (mantenha a estrutura de diretórios).

B. Execute o arquivo WhatsAppKeyDBExtract.bat(Windows), ou WhatsAppKeyDBExtract.sh (Mac OS X / Linux).


C. Certifique-se que a tela do aparelho esteja desbloqueada e conecte o dispositivo utilizando o cabo USB, fazendo isso o sistema irá iniciar a extração da chave e da base de dados automaticamente. 
NOTA: Aceite qualquer mensagem que apareça na tela do aparelho.




D. Após a concluir a extração da chave será necessário a realização de um backup para se obter a base de dados da aplicação, nesse momento será exibido uma mensagem solicitando o desbloqueio novamente do aparelho (caso este não tenha sido desabilitado), portanto basta desbloquear o aparelho e clicar em "Fazer Backup dos meus dados" no próprio dispositivo e clicar em ENTER no programa.


E. Verifique os arquivos extraídos na pasta do programa, diretório "extracted".





F. Para analisar os dados obtidos basta executar o Whatsapp Viewer, clicar em File > Open, e adicionar a base de dados (msgstore) e o arquivo (wa).



Pronto ! Agora é só navegar nas conversas extraídas. Vale ressaltar que o programa ainda permite a exportação dos dados obtidos nos formatos (.txt, html e JSON).



Boa Análise !!!



sexta-feira, 10 de março de 2017

Forense Móvel


A Computação móvel é uma realidade no Brasil, são cerca de 270 milhões de telefones celulares. Ou seja, supera o número de habitantes. No mesmo caminho da computação móvel em 2014 a venda de Tablets superou a venda de Notebooks. Com a crescente demanda de perícia em aparelhos celulares e com o mercado em constante evolução, sendo lançados inúmeros modelos de aparelhos a cada ano, as perícias em celulares podem demorar dias, com o perito digitando mensagem por mensagem. Assim, faz-se necessário que o perito tenha acesso a ferramentas que extraiam as informações dos celulares com agilidade e segurança, e que ainda seja capaz de criar uma rede de contatos e ligações entre os celulares periciados, sendo possível traçar uma comunicação entre casos ou crimes que antes pareciam distintos. Além da necessidade de acompanhar a evolução tecnológica, os órgãos de perícia em computação forense necessitam de ferramentas forenses para atender as normas nacionais e internacionais. Nesse sentido é que se pretende adquirir os equipamentos para análise de dados de dispositivo móvel.

Uma dessas ferramentas é o UFED da Cellebrite, uma empresa israelense líder no mercado de forense móvel, e atualmente é a principal ferramenta utilizada pelas forças da lei do Brasil e do mundo. Sua plataforma permite que seja realizada a extração completa de um dispositivo móvel, seja esse um tablet, smartphone, modem 3G entre outros, mesmo que o dispositivo esteja bloqueado. Ele ainda possui a capacidade de analisar vínculos provenientes de múltiplas extrações, afim de identificar se existe algum tipo de relação entre os envolvidos, além de ter a capacidade de realizar extração de dispositivos com chipsets chineses, entre outras funcionalidades e aplicações.


Conheça mais sobre os produtos da Cellebrite em: http://www.cellebrite.com/pt 

quinta-feira, 9 de março de 2017

Procedimento para download de enscripts do EnCase:

Acessar o portal da Guidance Software em: https://www.guidancesoftware.com/app , em seguida clicar em “APPS”, logo abaixo serão exibidos alguns exemplos de enscripts disponíveis.



Em seguida serão apresentados alguns exemplos, mas também é possível realizar uma busca por algum tema ou objeto específico, ao encontrar o enscript que melhor atenda sua necessidade clique sobre ele para dar início ao processo de download do mesmo.





Vale ressaltar que alguns enscripts são pagos, mas a grande maioria é gratuita, um outro ponto refere-se a questão da extensão de alguns destes scripts, existem alguns que estão no formato (.enpack) e outros no formato (.enscript), portanto ai vai a diferença entre eles:

* .ENSCRIPT: Estes scripts podem ser manipulados (desde que se tenha conhecimento), no Encase pelo usuário, ou seja, seu código é aberto e pode ser alterado e/ou incrementado afim de atender melhor a necessidade de cada situação.

* .ENPACK: Estes scripts não podem ser manipulados pelo usuário, pois o seu código não está aberto para alteração, ou seja, deverá ser usado para o fim especifico ao qual foi desenvolvido.


 Após selecionar o APP desejado clique sobre o mesmo para ser direcionado a página onde será realizado o download do mesmo, prossiga clicando em “Download Now”.

Note que serão exibidas as informações sobre as ações do enscript ao executa-lo.




Fazendo isso seu download será realizado automaticamente daí basta inserir o arquivo no seguinte diretório C:\Program Files (x86)\EnCase8\EnScript e executar através da aplicação.