Existen muchos motivos por los que un usuario haya borrado un mensaje. Miedo, para liberar espacio en su móvil, para que su pareja no lea los mensajes, tus compañeros de trabajo, etc. Sin embargo, suelen tender a ser requeridos a posteriori. ¿El motivo? Por ejemplo: necesitas convencer a tu jefe de que no te envió los horarios bien, u otro ejemplo, cada vez más común sería que necesitarás presentarlos en un juicio.
Autentificar o recuperar un mensaje de texto, es diferente a un audio, una imagen y/o un vídeo. Ya que quizás con alguna aplicación de recuperación de archivos pueda obtenerlos. No obstante, un mensaje de WhatsApp es distinto.
¿Cómo extraer los datos de la BD de WhatApp?
Guasap Forensic no es la única herramienta que podemos usar, la mayoría de aplicaciones por detrás utilizan ADB. Para extraer la inaformación del móvil es el método más común. Pero claro. De forma automatizada. Por ello, siempre que conozcamos que comandos utilizan podremos hacerlo de forma manual. Por ejemplo en la siguiente imagen podemos observar como Guasap Forensic clona con las aplicaciones ADB y DD los logs de WhatsApp en Android.
En este breve artículo, os explicaremos cómo realizar una recuperación de mensajes eliminados con la herramienta “SqlParse”, disponible en GitHub para su libre descarga.
Existen otras aplicaciones que realizan funciones parecidas como Recoversqlite (https://github.com/aramosf/recoversqlite ) que además, nos incluye unos enlaces muy interesantes sobre este tema.
Realizaremos la extracción mediante la aplicación Guasap Forensic, descargándola de su GitHub y ejecutándola en el PC. Recordar que a diferencia de los dispositivos Iphone, en Android será necesario ser root para extraer msgstore descrifado.
git clone: https://github.com/Quantika14/guasap-whatsapp-foresincs-tool.git
Después, ejecutaremos la aplicación con nuestro móvil conectado y seleccionaremos la opción “Find ROOT in the device” y luego “Extract/Analyze DataBase (Only Root)”
sudo Guasap_Forensic_ES.py
Tras extraer la base de datos, nos descargaremos un “parseador” de bases de datos para extraer los datos de esta. Nosotros utilizaremos SQLite-Parser, el cuál descargaremos mediante terminal con el siguiente comando:
git clone: https://github.com/mdegrazia/SQLite-Deleted-Records-Parser.git
A continuación, entraremos mediante terminal en la carpeta que contiene SQLite-Parser, y tras ello, procederemos a parsear y extraer lo necesario de la base de datos.
Para ello, el comando a introducir es el siguiente:
sqlparser.py -f [ruta de la base de datos] -o [ruta donde queremos generar el reporte.txt]
Finalmente, tendremos un reporte en formato TXT con todo lo que ha logrado extraer de la base de datos y que podemos visualizar con cualquier editor de texto.
Si por ejemplo, en lugar de un fichero TXT lo quieres visualizar mediante tablas en una hoja de cálculo, al final, en lugar de darle el formato TXT le indicas el formato TSV.
Finalmente, si quieres indagar sobre este tema te recomiendo mirar las estructuras de los sectores de SQLite y B-tree.
Un saludo.
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 Internacional