Você está na página 1de 6

08/10/2017

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

COLETÂNEA

ARTIGOS

na análise de crimes e incidentes COLETÂNEA ARTIGOS EXTRAS CONTATO EZ 0 16 Extraindo a chave

EXTRAS

EZ

0

16

e incidentes COLETÂNEA ARTIGOS EXTRAS CONTATO EZ 0 16 Extraindo a chave de criptografia do WhatsApp

Postado por Marcelo Sampaio

Tweet Like 2
Tweet
Like 2

Tenho recebido inúmeros contatos sobre problemas com a extração da chave de criptografia

do WhatsApp utilizando o Microsoft Windows. Particularmente, eu não o utilizo, preferindo o Linux para tal tarefa e, muitas, muitas outras. Com o Microsoft Windows, recomendo sempre baixar os drivers originais do fabricante e instalá-los antes de tentar a extração, pois

os drivers baixados pelo Windows Update invariavelmente apresentam problemas. Isso entre

outros tantos problemas que acontecem durante operação. Assim resolvi escrever este pequeno tutorial para realizar a extração com o Linux. Como muitos não possuem experiência com Linux optei por uma distro baseada no Ubuntu, leve e eficiente, além de prover uma instalação simples e descomplicada. Então vamos lá.

ao site do Linux Mint e baixe a versão que melhor se adequa ao seu equipamento, ou seja, a

de

32 ou 64 bits. Particularmente prefiro a Mate, mas sintam-se livres para escolher.

REQUISITOS:

Sistema operacional Linux ; Linux;

Java;para escolher. REQUISITOS: Sistema operacional Linux ; ADB (Android Debug Bridge); No dispositvo Android Ative a

ADB (Android Debug Bridge);escolher. REQUISITOS: Sistema operacional Linux ; Java; No dispositvo Android Ative a “Depuração USB ” em

No dispositvo Android

Ative a “Depuração USB ” em “Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção USB” em “Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção “Sobre o telefone\Número da versão” até efetuar o desbloqueio da “Opções do desenvolvedor”;

O Android deve ter a versão 4.0 ou superior. Android deve ter a versão 4.0 ou superior.

Após baixar o Linux você pode instalar em seu computador ou utilizá-lo através da live (seja em CD ou USB). Caso queira preparar um pendrive USB, utilize o Rufus para fazer via Microsoft Windows ou o gravador de imagens ISO em USB da própria distro Linux que você baixou.

Se você desejar o Linux Live não terá problemas, entretanto se reiniciar o sistema perderá

todas as instalações que serão feitas em seguida, a não ser que tenha um pendrive persistente, mas para não complicar vamos seguir.

A instalação do Linux Mint é bem simples bastando fornecer as resposta solicitadas e

escolhendo a opção de instalação em uma única partição (Para iniciantes).

Após a instalação reinicie o sistema e vamos lá. Abra o navegador e baixe os arquivos necessários aqui.

Pesquisar

e baixe os arquivos necessários aqui . Pesquisar ARQUIVOS DO BLOG ► 2016 (6) ► 2015

ARQUIVOS DO BLOG

2016 (6)

2015 (5)

2014 (5)

2013 (12)

2012 (22)

2011 (19)

TAG CLOUD

CATEGORIAS

Abra um sessão do Terminal (Menu\Terminal). Em seguida instale o Java 8 da seguinte maneira:

. Em seguida instale o Java 8 da seguinte maneira: $ instalação) sudo add-apt-repository $ sudo

$

instalação)

sudo

add-apt-repository

$ sudo apt-get updateda seguinte maneira: $ instalação) sudo add-apt-repository ppa:webupd8team/java (Digite a sua senha definida na

ppa:webupd8team/java

(Digite

a

sua

senha

definida

na

08/10/2017

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

- A computação forense na análise de crimes e incidentes $ sudo apt-get install oracle-java8-installer Em

$ sudo apt-get install oracle-java8-installer

Em seguida instale o Android ADB Tools da seguinte maneira:

seguida instale o Android ADB Tools da seguinte maneira: $ sudo apt-get install android-tools-adb Após concluir

$ sudo apt-get install android-tools-adb

Após concluir as instalações, siga os passos do post e lembre: Quando descompactar o

arquivo WhatsApp-Key-DB-Extractor-master.zip não altere a estrutura de pasta e nome dos

arquivos.

Em seguida abra o Caja conforme a imagem abaixo:

arquivos. Em seguida abra o Caja conforme a imagem abaixo: Clique a pasta Downloads ou aquela

Clique a pasta Downloads ou aquela onde você fez o download e extração do

arquivo WhatsApp-Key-DB-Extractor-master.zip e dê um clique com o botão direito sobre o

arquivo WhatsAppKeyDBExtract.sh e selecione “Propriedades”, marcando “Permitir execução do

arquivo como um programa”.

“Permitir execução do arquivo como um programa”. Username or Email Password Forgot password? LOG IN
Username or Email Password Forgot password? LOG IN Don't have an account? Sign up
Username or Email
Password
Forgot password?
LOG IN
Don't have an account?
Sign up

Na pasta onde descompactou digite “$ ./WhatsAppKeyDBExtract.sh” prosseguindo de acordo

com as orientações do script (O $ é o sinal da linha de comandos no shell ou Terminal). Conecte

o dispositivo quando solicitado. Os ar

dentro da pasta onde o conteúdo foi extraído. Dentro dessa pasta você terá cinco arquivos,

sendo o msgstore.db o arquivo com os diálogos, wa.db o arquivo com a agenda de contatos e o

arquivo whatsapp.cryptkey a chave de criptografia para descriptografar os arquivos msgstore-

yyyy-mm-dd.x.db.crypt12 presentes na pasta /sdcard/WhatsApp/Databases.

Pronto a extração foi realizada.

Abraços a todos e Feliz Ano Novo.

BLOGS

REFERÊNCIAS

FERRAMENTAS

GO

8

16

Forensics CONTINUE LENDO > 17 comentários GO 8 16 WhatsApp com crypt12 – Android Postado por

Postado por Marcelo Sampaio

Tweet Like 3
Tweet
Like 3

CALENDÁRIO

OUTUBRO 2017

S

T

Q

Q

S

S

D

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

08/10/2017

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

Passou mais de um ano desde o último post sobre o WhatsApp. Apareceu a criptografia ponta a ponta assegurando que somente os interlocutores possam ler as mensagens e ter acesso as

S

T

Q

Q

S

S

 

D

 

CLOSE

 
CLOSE  

16

17

18

19

20

21

22

 

mídias transmitidas, impedindo a interceptação, os arquivos Crypt já estão na versão 12, e outras novidades mais.

               

23

24

25

26

27

28

29

 
 

30

31

 
 

Mas continuamos a abordar como extrair os arquivos necessários presentes no dispositivo para se obter acesso às mensagens e a chave de criptografia necessária a abrir os arquivosmsgstore-yyyy-mm-dd.x.db*.

Conforme vimos no post anterior sobre o WhatsApp, os desenvolvedores do aplicativo desabilitaram a permissão de backup pelo ADB, de seus arquivos, no app manifest, exigindo a substituição do app pela versão sem a restrição de permissão de backup. Mais uma vez temos novidades com o lançamento de mais uma solução para extração da chave de criptografia. Trata-se de um script que realiza os passos do post anterior, mas de forma mais automatizada.

REQUISITOS:

Sistema Windows Vista, 7, 8, 10, Mac OS X, Linux; Windows Vista, 7, 8, 10, Mac OS X, Linux;

ADB (Android Debug Bridge); ADB (Android Debug Bridge);

Ative a “Depuração USB ” em “Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção USB” em “Opções do desenvolvedor”. Caso não apareça no menu, clique seguidamente na opção “Sobre o telefone\Número da versão” até efetuar o desbloqueio da “Opções do desenvolvedor”;

Android com versão 4.0 ou superior com versão 4.0 ou superior

Preenchido os requisitos baixe os arquivos necessários aqui. Descompacte e execute o arquivo WhatsAppKeyExtract.bat, conectando o dispositivo quando solicitado. Os arquivos extraídos serão copiados na pasta /Extracted dentro da pasta onde o conteúdo foi extraído. Dentro da pasta você terá cinco arquivos, sendo o msgstore.db o arquivo com os diálogos, wa.db o arquivo com a agenda de contatos e o arquivo whatsapp.cryptkey a chave de criptografia para descriptografar os arquivos msgstore-yyyy-mm-dd.x.db.crypt12 presentes na pasta /sdcard/WhatsApp/Databases.

Eu utilizo preferencialmente o Linux como ambiente para realizar as extrações. No Windows encontro muitos problemas e até deixar o ambiente 100%, tenho um trabalho considerável.

Só para lembrar: Não é possível abrir os arquivos criptografados sem a chave utilizada para a codificação.

Até o próximo.

AN

0

16

, whatsapp CONTINUE LENDO > 283 comentários AN 0 16 Estamos de volta Postado por Marcelo

Postado por Marcelo Sampaio

Tweet Like 1
Tweet
Like 1

Após seis meses ausente, volto a publicar novos posts. Mais uma vez o trabalho me deixou sem ter como produzir material para o blog. O laboratório de Computação Forense onde trabalho recebeu novos equipamentos e softwares, o que nos levou a dedicar mais tempo na leitura dos manuais e no teste do material recebido. Temos dois novos duplicadores da Tableau, o TD3, que permite operar através de interface web ou localmente no dispositivo, possuindo excelente performance. São mais dois bloqueadores T35u, com interface USB3, para uso em campo. Outro dispositivo que sobressai é o UFED Touch, utilizado largamente na Operação Lava Jato, responsável por extração de grande volume de dados. Quanto aos softwares estamos utilizando além do Encase da Guidance, o FTK da AccessData e o IEF da Magnetic Forensics. Associados a estes recursos vieram novas estações de trabalho, robustas,

08/10/2017

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

bem equipadas, hardware de primeira linha, enfim, estamos dedicando um tempo maior para nos ambientar aos novos recursos, adquiridos com recursos federais pela Secretaria Nacional

de Segurança Pública, do Ministério da Justiça.

Vamos lá.

0

UN

5

15

, software CONTINUE LENDO > 0 comentários UN 5 15 Acesso remoto não autorizado – LogMeIn

Postado por Marcelo Sampaio

Tweet Like 3
Tweet
Like 3

Dando continuidade aos posts sobre investigação e perícia em acesso remoto não autorizado, vamos abordar o LogMeIn, outro software de acesso remoto bastante popular. A versão

do

LogMeIn Client utilizado é a versão 1.3.831 (para Windows) e 4.1.4831 (para MAC).

O

LogMeIn efetua o registro das ações do host remoto de duas formas, dependendo do

sistema operacional. Em sistemas Windows, o LogMeIn registra as conexões no Log de Eventos e as ações no arquivo LogMeIn.log. No Mac OS, os registros são realizados na pasta de logs do sistema, conforme veremos a seguir:

Windows

%SystemDrive%\ProgramData\LogMeIn

MAC OSX

$HOME/Library/Logs/LogMeIn

O log de Eventos armazena registros com o status do serviço LogMeIn Guardian (evento

100/106), conexão e desconexão com endereço IP (102 e 202/105 e 205). O arquivo LogMeIn.log também registra tais eventos além de informações mais completas sobre a conexão.

Para a análise dos logs do LogMeIn, também utilizo o Glogg ou o LogExpert, ainda que não gere arquivos de grandes tamanhos.

Para o LogMeIn pesquise por linhas com os seguintes conteúdos:

.*Session - .*Logging in as.* .*Session - .*Logging in successfully.* .*Session - .*[File Transfer] Read directory contents of.* .*Session - .*[File Transfer] Read directory contents of.* .*Session - .*[File Transfer] Read ".* .*Session - .*[File Transfer] Disconnected.* .*Session - .*[File Transfer].*Client IP.*

Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota. Minha recomendação é para que se examine todas as linhas do log em torno de conexões suspeitas.

Até o próximo.

4

08/10/2017

UN

7

15

08/10/2017 UN 7 15 ferramentas | Auditoria e Análise Forense - A computação forense na análise

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

Postado por Marcelo Sampaio

Tweet Like 3
Tweet
Like 3

Um crescente número de queixas de acesso indevido a computadores, realizados de forma remota, que resultam em perda de dados, acesso a informações privilegiadas, interrupção de serviços, alterações de registros e um grande elenco de outros prejuízos, tem elevado o número de solicitações de perícia buscando identificar o meio e o autor do acesso.

Em alguns posts farei referência aos ataques através de softwares de acesso remoto, em boa parte das vezes instalados por pessoas próximas, técnicos de TI, funcionários insatisfeitos, entre outros.

Os softwares de acesso remoto são utilitários legítimos, desenvolvidos de forma a facilitar a manutenção à distância, realização de conferências, etc., entretanto são frequentemente utilizados indevidamente. A quantidade de programas é grande e nos ateremos àqueles que mais demandam perícia

TeamViewer

Em um caso recente, uma empresa registrou ocorrência relatando que em uma determinada data, vários servidores foram desativados prejudicando os negócios da empresa. As investigações iniciais mostraram que a empresa fazia manutenção dos servidores através do TeamViewer e que, eles próprios desconfiavam que a ferramenta havia sido utilizada indevidamente para o ataque.

O TeamViewer produz registros das atividades do utilitário, gravadas no equipamento alvo, nas seguintes pastas:

Windows

%SystemDrive%\%ProgramFiles%\TeamViewer\VersionX (X = versão do TeamViewer) %HomeDrive%\%HomePath%\AppData\Roaming\TeamViewer %HomeDrive%\%HomePath%\AppData\Local\Temp\TeamViewer\VersionX

Linux (Debian)

/var/log/teamviewer

MAC OS

$HOME/Library/Logs/TeamViewer

Os arquivos que armazenam as informações de conexão são:

Connections_incoming.txt – Arquivo que registra as conexões entrantes composto pelas colunas de informação Team Viewer ID, Usuário remoto, Data login, Data Logout, Usuário local, Tipo de conexão, ID da sessão.

TeamViewerX_Logfile.log e TeamViewerX_Logfile_OLD.log, que representa o arquivo de log anterior após certo prazo decorrido – Estes arquivos registram as ações de conexão entre o host remoto e o host local, mostrando toda atividade gerada entre os dois computadores, inclusive arquivos transferidos, endereço IP do host remoto, etc.

citei

anteriormente, no post sobre expressões regulares e exatamente por aceitá-las, tornam-se extremamente úteis nessa tarefa, ainda que o TeamViewer não gere arquivos de log de grandes tamanhos.

Para

a análise dos logs do TeamViewer, utilizo

o Glogg

ou

o LogExpert, que já

Através dos programas citados procure por linhas contendo:

Receive.CMD_SESSIONMODE - Para o início de uma sessão; client hello received from - Criptografando a sessão; Receive.CMD_MEETING_AUTHENTICATION - Autenticando;

08/10/2017

ferramentas | Auditoria e Análise Forense - A computação forense na análise de crimes e incidentes

CmdUDPPing.PunchReceived - Identifica o endereço IP do host remoto; CFileTransferThreadServer started - Iniciando uma sessão de transferência; Mostra pasta - Pastas visualizadas pelo host remoto; Processando transferência de arquivos - Preparando o envio de arquivos; Enviar arquivo "Caminho do arquivo\Nome do arquivo" - Enviando o arquivo; Transferência de arquivos concluída - Concluindo a transferência do arquivo;

Uma análise detalhada do log mostrará mais ações do host remoto, de acordo com o que tenha feito à máquina remota.

Obs.: A versão utilizada como referência era 10.0.41404

Até o próximo.

1

2

4

Copy Protected by Chetan's WP-Copyprotect. UA-41589732-1