Con el desarrollo de la tecnología moderna y el enriquecimiento de las funciones de los teléfonos móviles, los teléfonos inteligentes se utilizan cada vez más en la vida de las personas. No importa cuándo y dónde, las personas parecen ser cada vez más inseparables de los teléfonos móviles. Las funciones del teléfono móvil, como navegar por Internet, comprar, fotografiar, grabar videos, grabar, navegar, etc., brindan una gran comodidad a la vida y al trabajo, y mejoran en gran medida la eficiencia laboral y la alegría de vivir de las personas.
Sin embargo, aunque disfrutamos de la eficiencia y la comodidad que aportan los teléfonos móviles al trabajo y a la vida, los teléfonos móviles también nos traen algunos problemas persistentes. Por ejemplo, la pérdida de datos y la eliminación accidental causada por factores humanos o fallas del teléfono móvil, o el teléfono móvil infectado con virus maliciosos o implantado con software espía troyano, hace que los datos y la información de la cuenta en el teléfono móvil sean robados, causando pérdida o privacidad personal. fuga.
Aplicación Espía Celular
Si las personas eliminan por error datos e información importantes en el teléfono móvil, o no pueden ver datos e información importantes porque olvidan su contraseña o el teléfono móvil está dañado, deben eliminar la contraseña y restaurar y extraer los datos. Si desea recuperar y extraer completamente los datos importantes en el teléfono móvil, asegúrese de que el teléfono móvil no pierda datos ni dañe el dispositivo móvil durante el proceso de recuperación y extracción de datos, y evite la fuga de la privacidad personal del usuario, debemos utilice tecnología profesional para completar este trabajo.
- Recuperación de datos de teléfonos móviles
Recupere datos eliminados en la memoria del teléfono y en la tarjeta de memoria, como libreta de direcciones, mensajes cortos, contenido de mensajes de software de chat, imágenes, fotos, audio, video y otros archivos de documentos en varios formatos. - Extracción de datos de teléfonos móviles
Capacidad para extraer datos de aplicaciones, contraseñas, mensajería instantánea (mensajería instantánea), contactos, mensajes de texto, correos electrónicos, calendarios, multimedia, registros de llamadas, detalles del teléfono móvil (IMEI / ESN), ICCID e IMSI, información de ubicación de la tarjeta SIM ( TMIS, MCC, MNC, LAC). Al mismo tiempo, puede clonar la identificación de la tarjeta SIM de su teléfono y extraer datos de seguimiento GPS. - Descifrado de datos de teléfonos móviles
Puede decodificardatos de aplicaciones, contraseñas, correos electrónicos, registros de llamadas, SMS, contactos, calendarios, archivos multimedia, información de GPS, etc .; puede extraer y extraer aplicaciones, correos electrónicos, Bluetooth, etc. de forma extensa. Decodificación; extracción otros datos y descifrar la base de datos histórica cifrada de WhatsApp.
Software de rastreo y spyware
El software espía móvil y el software de seguimiento son similares. Ambos pueden robar datos: imágenes, videos, correos electrónicos, mensajes de texto, etc., todo está bajo el control del monitor, y también pueden usar líneas de recolección regulares o la aplicación VoIP para espiar e interceptar de registros de llamadas en tiempo real. Sin embargo, las aplicaciones espía para teléfonos móviles generalmente no están dirigidas a personas, mientras que las aplicaciones de rastreo para teléfonos móviles tienen un control estricto sobre el objetivo. Pueden robar fotos, mensajes de texto, escuchar llamadas y grabar en secreto sus conversaciones en Internet. Además, las aplicaciones de rastreo móvil pueden interceptar comunicaciones de aplicaciones como Skype, WhatsApp e iMessage.
Cómo descifrar la base de datos de WhatsApp
Como muchas aplicaciones de teléfonos inteligentes, WhatsApp almacena datos en archivos de base de datos SQLite. Para WhatsApp en dispositivos Android, dos bases de datos son las más importantes, una es msgstore.db, que contiene registros de chat; la otra es wa.db, que contiene listas de contactos. El manejo de estas bases de datos es relativamente simple, porque WhatsApp tiene una función de respaldo, que respaldará la base de datos en la tarjeta SD, a la que se puede acceder sin ningún permiso (como permisos de root). Sin embargo, después de instalar la última actualización de seguridad, la base de datos de WhatsApp se cifrará y ya no se podrá analizar directamente, lo que conlleva grandes desafíos. Los registros de chat, mensajes y llamadas utilizan el estándar AES-256, y los archivos multimedia, como fotos y videos, no están encriptados. Y el método de cifrado de WhatsApp se ha actualizado de Crypt5, Crypt7, Crypt8 a Crypt12.
Entonces, ¿cómo pirateamos la base de datos de WhatsApp en este momento? El paso más crítico es obtener la clave de cifrado. Cuando un usuario realiza una copia de seguridad de WhatsApp por primera vez, se genera una clave encriptada, la clave nunca se almacenará en la nube, solo en el teléfono inteligente, y cada teléfono inteligente corresponde a una clave diferente. Por lo tanto, para descifrar la base de datos, primero debemos extraer la clave de cifrado del teléfono utilizado al crear la copia de seguridad. La ruta específica de la clave de cifrado es: userdata / data / com.whatsapp / files / key.
De acuerdo con los resultados de la investigación de los expertos forenses de datos de SalvationDATA, hemos desarrollado un algoritmo especial que puede usar este archivo clave para descifrar la base de datos de WhatsApp. En breve anunciaremos esta herramienta y la integraremos en el Sistema Forense de SmartPhone (SPF), para que los usuarios sin ninguna programación informática básica puedan descifrar con éxito la base de datos cifrada de WhatsApp. El usuario solo necesita importar el archivo de clave y el archivo de base de datos encriptado, y el programa puede generar automáticamente el archivo de base de datos no encriptado correcto.
Cómo evitar el mecanismo de cifrado de WhatsApp
Sin embargo, si no rooteas el dispositivo, no será fácil obtener el archivo clave. Por lo tanto, a continuación discutimos cómo evitar el mecanismo de cifrado de WhatsApp y cómo extraer los datos de WhatsApp sin acceso de root.
El archivo de claves y la base de datos no cifrada siempre se almacenan en el directorio de WhatsApp. Si puede acceder a estos archivos, puede ver los registros de comunicación de WhatsApp en el dispositivo actual. El único problema es que sin privilegios de root, no podemos acceder directamente a estos archivos.
Sin permisos de root, hay dos formas de extraer datos de WhatsApp.
Copia de seguridad y restauración del sistema
El primer método consiste en utilizar las funciones de copia de seguridad y restauración del sistema Android. Muchos fabricantes de teléfonos Android permiten a los usuarios crear copias de seguridad utilizando aplicaciones integradas del sistema. La copia de seguridad creada de esta manera se almacena en la tarjeta SD sin cifrado. Por lo tanto, las fuerzas del orden pueden utilizar este método simple para acceder a los registros de comunicación de WhatsApp.
Podemos usar un teléfono inteligente para crear una copia de seguridad de WhatsApp. Los usuarios pueden encontrar la aplicación "Restaurar copia de seguridad" en la carpeta Herramientas, crear una nueva copia de seguridad, recuerde revisar WhatsApp. Luego, podemos encontrar los datos de respaldo de WhatsApp en la tarjeta SD del teléfono. Esta copia de seguridad incluye todos los archivos de base de datos no cifrados y los archivos clave de WhatsApp. Ahora, todo lo que tenemos que hacer es utilizar herramientas forenses móviles para analizar la base de datos de destino.
Respaldo de degradación
Otra forma es degradar la aplicación de WhatsApp a una versión que no tenga mecanismo de cifrado. La versión v.2.11.431 de WhatsApp es la última versión que no impone el uso de copias de seguridad encriptadas. Por lo tanto, podemos degradar WhatsApp a v.2.11.431 sin eliminar los datos del usuario, y luego usar la versión anterior de WhatsApp para crear un archivo de respaldo y luego extraer la base de datos requerida. Este proceso requiere que los usuarios tengan habilidades profesionales y está acompañado por el riesgo de pérdida permanente de datos. Por lo tanto, recomendamos encarecidamente que los usuarios utilicen herramientas forenses profesionales para degradar la versión.
Cómo recuperar mensajes eliminados de WhatsApp
Ahora que sabemos cómo extraer los archivos de la base de datos de WhatsApp de los teléfonos inteligentes, veamos cómo usar los archivos de la base de datos para recuperar los mensajes eliminados de WhatsApp en dispositivos Android e iOS. Los usuarios pueden eliminar los mensajes de WhatsApp de dos formas. Los usuarios pueden eliminar los mensajes uno por uno o usar el botón de chat "borrar / eliminar" para eliminar todos los mensajes a la vez. De acuerdo con los resultados de nuestras pruebas, no importa qué método use el usuario para eliminar el mensaje, podemos usar el siguiente método para restaurarlo.
Como mencionamos anteriormente, WhatsApp usa la base de datos SQLite para almacenar mensajes. A diferencia del sistema Android, el sistema iOS almacena todos los datos relacionados con WhatsApp en la base de datos ChatStorage.sqlite. Estos archivos de base de datos generalmente vienen con archivos de caché con el sufijo "-wal". En la mayoría de los casos, el tamaño de estos archivos de caché es 0, pero si el tamaño de estos archivos de caché no es 0, puede contener datos importantes que no se han almacenado en la base de datos. Una vez que esto sucede, debemos tratarlo con cuidado, porque si no nos preocupamos por estos archivos de caché, la información almacenada en ellos puede sobrescribirse y nunca se podrá recuperar.
Según nuestro análisis, los mensajes de WhatsApp a los que se puede acceder normalmente se almacenan en msgstore.db, mientras que los mensajes eliminados se almacenan en msgstore.db-wal. Este archivo es el archivo de caché de mensajes. WhatsApp siempre almacenará primero el mensaje en el archivo de caché y luego lo guardará en la base de datos real. Curiosamente, a veces el archivo de caché será más grande que el archivo de base de datos. Esto se debe a que un mensaje solo se puede almacenar en la base de datos como un solo registro, pero no existe tal restricción en el archivo de caché. Un mensaje puede tener varios registros al mismo tiempo. Por lo tanto, tenemos la oportunidad de recuperar los mensajes de WhatsApp eliminados o perdidos.
Sin embargo, para evitar sobrescribir los datos existentes en el archivo de caché, no podemos abrir el archivo de base de datos directamente hasta que el archivo de caché se procese correctamente. Primero debemos procesar el archivo de caché, hacer coincidir las características y luego guardar y analizar todos los datos en el archivo de caché.
Tome "este es un mensaje de prueba" como ejemplo. Cuando el usuario elimina este mensaje, el registro correspondiente al mensaje generalmente se elimina de msgstore.db. Sin embargo, es posible que algunos registros de este mensaje aún se mantengan en el archivo de caché msgstore.db-wal. La situación anterior y posterior a la eliminación de "Este es un mensaje de prueba" se muestra en la siguiente figura. Podemos ver que cuando se elimina el mensaje, los datos relevantes aún se almacenan en el archivo de caché y la posición de desplazamiento del registro permanece sin cambios.
Por lo tanto, al analizar y extraer los datos del archivo de caché msgstore.db-wal, hemos dado una forma de recuperar los mensajes de WhatsApp eliminados o perdidos. El método mencionado anteriormente puede extraer de manera efectiva y confiable los datos eliminados de WhatsApp, y también es una solución perfecta para recuperar mensajes eliminados y el historial de chat vaciado.