Forensic 7 - Mobile Data - WhatsApp

Thảo luận trong 'Exploitation' bắt đầu bởi anhphuong, 19/11/14, 09:11 PM.

  1. anhphuong

    anhphuong W-------

    Tham gia: 10/08/14, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    6
    Với sự tăng trưởng theo cấp số nhân của số lượng các thiết bị di động (trong 1.6 tỉ thiết bị di động được bán trong năm 2010 thì 19% trong số đó là smartphone), dù muốn hay không, các thiết bị di động đang dần thu hút sự chú ý của tội phạm mạng. Dù là chuyên gia hay người dùng bình thường, mọi người cũng cần trang bị những kiến thức cần thiết để bảo vệ chính mình trước các nguy cơ từ tội phạm mạng:
    Bài viết này sẽ thảo luận về việc sử dụng Forensics để khai thác dữ liệu cá nhân, tin nhắn trong database của một trong những phần mềm OTT (Over-The-Top) nổi tiếng và đắt giá nhất hiện nay – WhatsApp
    Case study:
    Tình huống giả định: các bạn được cung cấp một file Android Backup – được dump ra từ dữ liệu trên máy và thẻ nhớ của một người dùng Android. Trên máy có cài WhatsApp và đã được sử dụng. Hãy đọc các nội dung mà người dùng Android này đã trao đổi với “bên ngoài” thông qua WhatsApp.
    (File được lấy từ bài Forensics 300 trên Whitehat Contest Grand Prix 2014)
    Trước khi đi vào phân tích Forensics, ta cần phải xác định rõ dữ liệu đầu vào có những gì, và mục tiêu của quá trình phân tích, kiên nhẫn không bỏ sót dù một bit của dữ liệu.
    Input: file: for300.zip (~115MB)
    Unzip file => được file for300

    [​IMG]


    Có thể dùng các tool hexeditor hoặc dùng lệnh file nên linux để xác định định dạng file:
    Mã:
    $~  file for300
    for300: Android Backup, version 1, compressed, unencrypted
    
    [​IMG]

    “Google is your friend”, tìm cách extract Android Backup, mình sử dụng Android Backup Extractor.
    Mã:
    java -jar abe.jar unpack for300 output.tar
    [​IMG]

    Sau khi extract được dữ liệu trong file Android Backup vừa có, review lại một lượt các file có thể khai thác được.
    Vì case study của chúng ta là về WhatsApp, do vậy sẽ tập trung tìm những file/folder dữ liệu có liên quan trực tiếp đến WhatsApp. Không quá khó khăn để thấy một file database: msgstore.db.crypt7 ở ../shared/0/WhatsApp/Databases/

    [​IMG]

    msgstore.db.crypt7 là một file database đã được WhatsApp mã hóa, sử dụng crypt7. Để khai thác, ta cần có thêm file key, dễ dàng tìm thấy ở: ..apps/com.whatsapp/f/

    [​IMG]

    Sử dụng công cụ WhatsApp Viewer để khôi phục dữ liệu gốc từ file đã được mã hóa. Từ đoạn dữ liệu này, chúng ta có thể đọc được tin nhắn, cùng rất nhiều thông tin nhạy cảm của người dùng.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Phạm Hiếu

    Phạm Hiếu Member

    Tham gia: 11/07/18, 10:07 AM
    Bài viết: 9
    Đã được thích: 1
    Điểm thành tích:
    3
    Giờ em mới được đọc bài này.
    Bác cho hỏi file dump backup ấy thực hiện như thế nào nhỉ? hay đơn giản là file backup điện thoại là ok thôi?
    Em cảm ơn :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,804
    Đã được thích: 798
    Điểm thành tích:
    113
    Tác giả khi khá rõ đấy bạn: các bạn được cung cấp một file Android Backup – được dump ra từ dữ liệu trên máy và thẻ nhớ của một người dùng Android. Trên máy có cài WhatsApp và đã được sử dụng.

    Sau đó nén lại thôi.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan