Os contatos por e-mail sobre os posts do WhatsApp não param. Muitos perguntas e as dúvidas crescem. Fiz este post para responder a algumas destas questões sobre a extração de mensagens deste app e suas características.
A extração de mensagens do WhatApp pela perícia forense criminal normalmente é realizada com dispositivos destinados para a análise de dispositivos móveis como as soluções da Cellebrite, Paraben, Micro Systemation, Compelson, entre outras, o que torna a vida dos peritos um pouco menos difícil. Mas quando não temos tais ferramentas, temos de apelar para a criatividade e engenhosidade sem perder de foco as boas práticas. E então?
- Fiz o backup das mensagens. É possível descriptografá-las e extraí-las sem a chave de criptografia? Não. Não adianta ter os arquivos criptografados sem a chave de criptografia. Exceto para os arquivos Crypt5 que podem ser abertos através do WhatsApp Viewer utilizando o endereço de e-mail Gmail da conta principal de seu dispositivo (Veja em Configurações\Conta\”1º endereço de e-mail do Gmail”).
- Como faço para extrair a chave de criptografia do dispositivo? Se o acesso como root estiver habilitado vá até a pasta /data/data/com.whatsapp/files/key. Caso não possua este acesso, utilize a técnica explicada nos posts anteriores.
- Onde ficam os arquivos de backup das mensagens? Os arquivos ficam localizados na pasta /WhatsApp/Database. Esta pasta é visível pelo gerenciador de arquivos em dispositivos com e sem cartão de memória. Não necessita acesso root para acessá-los.
- Funciona com iOS, Windows e Blacberry? Não. As técnicas aqui abordadas só funcionam no Android.
- O WhatsApp Viewer mostra vídeos, imagens e áudios? Só pequenas imagens daquelas anexadas nas mensagens. Copie o conteúdo de toda a pasta \WhatsApp\Media, pois lá estarão os arquivos de media originais.
Até a próxima.