Hace no demasiado he leído el artículo en DragonJar sobre cómo realizar un análisis forense a una aplicación Skype utilizando una pequeña utilidad llamada Skype Forensic.
Este programa busca los ficheros de la aplicación en un equipo y los
analiza para sacar las conversaciones y los contactos que allí han
tenido lugar.
La mayoría de los datos que almacena Skype son guardados en bases de datos SQLite,
con lo que es posible verlos manualmente con cualquier visor aunque
esta herramienta simplifica un poco esta tarea y saca, por ejemplo,
todas las conversaciones que han tenido lugar.
La gracia de Skype es que al ser un SQLite,
aunque se borren los mensajes de la tabla que los almacena, estos quedan
en páginas borradas de la base de datos, por lo que un análisis a bajo
nivel podría recuperar la información que allí se encuentra.
Figura 3: Borrado de un mensaje de Skype en una conversación en OS X |
En la base de datos principal de cada cuenta de Skype del sistema, que se encuentra dentro de una carpeta con el nombre de usuario, hay una base de datos SQLite llamada main.db. Dentro de esta base de datos - extraíble desde un terminal Android, iPhone, un Mac OS X o un sistema Windows, hay una tabla llamada Conversations que mantiene los hilos de las conversaciones y otra llamada Chats, donde se almacenan los mensajes enviados.
Estos mensajes pueden ser borrados, y dentro de la app se verá que el
mensaje ha sido borrado porque en el hilo aparecen saltos en los
mensajes, pero utilizando una recuperador de páginas perdidas en SQLite es posible sacarlo.
Figura 4: Visualización de mensaje borrado en Skype |
Esta tarea es posible hacerla con Recover Messages, ya que no solo vale para reccuperar los mensajes borrados de WhatsApp, SMS o Line, y al igual que ya vimos que se podía hacer para sacar los ficheros borrados de la base de datos wc.db de Subversion, se puede utilizar para sacar las conversaciones borradas de Skype.
El funcionamiento es sencillo, se sube el fichero, se analiza, y en Raw Data se podrán ver los datos recuperados en bruto.
Figura 5: Raw Recovered data de una base de datos de Skype en Recover Messages |
Si se analiza el fichero completo, se puede descargar un fichero con
todos los datos recuperados, dónde se podrán ver las conversaciones
borradas por el usuario en Skype aunque no aparezcan en la visualización del la base de datos con un visor SQLite.
Figura 6: Un ejemplo de una base de datos de Skype analizada con Recover Messages |
Si algún día te topas con un análisis forense de Skype,
ten presente que no basta con analizar sólo la base de datos, y que
haciendo una inspección a bajo nivel tal vez sea posible sacar más
información de la que se ve a simple vista.
Saludos Malignos!
Fuente: http://www.elladodelmal.com/2013/09/recuperar-mensajes-borrados-en-skype.html
No hay comentarios:
Publicar un comentario