COMO EXTRAIR E ANALISAR DADOS DO NAVEGADOR, DO E-MAIL, E MENSAGENS INSTANTÂNEAS (PARTE 3) – ANÁLISE FORENSE

Análise Forense 1 minuto

Olá!

Na postagem anterior vimos como tirar proveito das ferramentas instaladas no Kali Linux para extrair e analisar artefatos relacionados às atividades em clientes de e-mail (MS Outlook e Mozilla Thunderbird). Nessa terceira postagem irei expor como extrair e analisar clientes de Mensagens Instantâneas (Skype). Caso não tenha visto as postagens anteriores, é importante que abra e estude-a. Link:

  • PARTE 1

https://douglasmendes.code.blog/2020/06/18/como-extrair-e-analisar-dados-do-navegador-do-e-mail-e-mensagens-instantaneas-parte-1-analise-forense/

  • PARTE 2

https://douglasmendes.code.blog/2020/06/19/como-extrair-e-analisar-dados-do-navegador-do-e-mail-e-mensagens-instantaneas-parte-2-analise-forense/

PARTE 3 – APLICATIVO DE MENSAGENS INSTANTÂNEAS

ARTEFATOS DO SKYPE

O Skype é um dos programas mais populares em uso que mantém seus dados em bancos de dados SQL. Seus arquivos estão localizados nos seguintes diretórios:

  • WinXP e mais antigos:
    Documents and Settings\{PERFIL DO USUÁRIO}\Local Settings\Application Data\{PERFIL_SKYPE}
  • Win Vista e mais recentes (Referência Win10 Pro):
    Users\{PERFIL DO USUÁRIO}\AppData\Local\Packages\{PERFIL_SKYPE}\LocalState\
  • Linux:
    /home/{NOME DO USUÁRIO}/.Skype/{PERFIL_SKYPE}

A maioria dos dados, como bate-papos, mensagens, chamadas, contatos, é mantida no arquivo db principal, enquanto as configurações são armazenadas nos arquivos .conf (diretório CS_localstate).

Abri o banco de dados principal do perfil com o SQLitebrowser para visualizá-lo:

IMAGEM: Do Autor

Para extrair os dados que nos interessam, podemos executar consultas como fizemos com o Firefox e o Chrome. Apenas como exemplo, cruzei informações de duas tabelas (Números de telefone em Cache, com Conversas):

SELECT
conversationsv14.nsp_pk,
profilecachev8_phoneNumbersIndex.nsp_key, profilecachev8_phoneNumbersIndex.nsp_refpk
FROM conversationsv14, profilecachev8_phoneNumbersIndex
WHERE conversationsv14.nsp_pk =
profilecachev8_phoneNumbersIndex.nsp_refpk

IMAGEM: Do Autor

IMAGEM: Do Autor

Maravilha! Chegamos ao final! Nesta série de postagens, examinamos artefatos dos navegadores mais comuns, como o Internet Explorer, Mozilla Firefox, e Google Chrome. Também vimos como recuperar mensagens de e-mail de programas clientes comuns como Microsoft Outlook e Mozilla Thunderbird. E, finalmente, vimos como extrair artefatos de um cliente popular de mensagens instantâneas, o Skype.

Espero que você tenha gostado!

Nos vemos em breve!

Avatar de Desconhecido

Publicado por Douglas Mendes

Formado em Redes de Computadores pela UNIP - Universidade Paulista e pós-graduado em Perícia Forense Computacional pela Universidade Cruzeiro do Sul.

Publicado

Um comentário em “COMO EXTRAIR E ANALISAR DADOS DO NAVEGADOR, DO E-MAIL, E MENSAGENS INSTANTÂNEAS (PARTE 3) – ANÁLISE FORENSE

  1. Pingback: COMO CONSTRUIR UMA SUPER LINHA-DO-TEMPO DAS ATIVIDADES – ANÁLISE FORENSE – Douglas Mendes

Deixe um comentário