WHAPA: Herramienta Parser para WhatsApp

Whapa es un conjunto de herramientas gráficas forenses para analizar WhatsApp en Android. Todas las herramientas se han escrito en Python 3.X y se han probado en sistemas Linux y Windows 10.

Whapa se incluye como estándar en distribuciones como Tsurugi Linux (Digital Forensics) y BlackArch Linux (Penetration Testing).

1. Qué es Whapa

whapa.py es un analizador de la base de datos de WhatsApp de Android que automatiza el proceso y presenta los datos manejados por la base de datos Sqlite de una manera que el analista puede comprender. Si copias la base de datos “wa.db” en el mismo directorio que el script, se mostrará el número de teléfono junto con el nombre.

El conjunto de herramientas de Whapa se divide en 5 sub-herramientas:

1. Whapa (analizador de Whatsapp)
2. Whamerge (fusión de Whatsapp)
3. Whagodri (Whataspp Google Drive Extractor)
4. Whacipher (cifrado/descifrado de Whatsapp)
5. WHACLOUD (Nuevo)

Ver vídeo en Instagram.

2. Instalar Whapa en Windows

Esta herramienta funciona en Windows, Linux y macOS. Esta vez la demostración la haré en Windows.

Puedes descargar la última versión de whapa clonando el repositorio de GitHub: (también puedes descargar el ZIP desde la misma URL)

git clone https://github.com/B16f00t/whapa.git

Entonces, instalamos los requerimientos del programa con el siguiente comando:

pip3 install -r ./doc/requirements.txt

Y para empezar a utilizar la herramienta (GUI), ejecutamos lo siguiente:

python whapa-gui.py

Alternativamente (en Windows), puedes iniciar la herramienta haciendo doble clic en el archivo whapa-gui.bat

Si usas el sistema Linux, intenta el siguiente comando:

python3 whapa-gui.py

3. Whacipher: decrypt/encrypt msgstore.db.crypt12

whacipher.py es una herramienta que permite descifrar o cifrar la base de datos de WhatsApp. Debes tener el archivo key de tu teléfono para descifrar, y además una base de datos cifrada (msgstore.db.crypt12) como referencia para cifrar una nueva base de datos (msgstore.db).

Entonces, necesitamos aquí 2 cosas. La key y la base de datos. Lo primero lo encontrarás en la carpeta /data/data/com.whatsapp/files, y sí, necesitará estar rooteado el smartphone. La base de datos msgstore.db.crypt12 la podemos encontrar en /data/data/com.whatsapp/databases o en la carpeta de instalación.

Finalmente, en la interfaz del programa y en la sección Whacipher; seleccionamos el archivo cifrado (la base de datos) y la Key. Por supuesto, damos clic en el botón sugerido de color verde.

El resultado en la terminal (que se está ejecutando en segundo plano) debería mostrar algo parecido a lo siguiente: (se creará un archivo msgstore.db dentro de la carpeta del programa /whapa-master.)

4. Usar Whapa para extraer estados y chats

La parte más atractiva del programa es cuando puedes extraer información sensible de la base de datos descifrada anteriormente. Sin embargo, un punto importante es que debes contar con el archivo WA. Este archivo lo puedes encontrar en la siguiente ruta (necesitará root): /data/data/com.whatsapp/databases

Con los archivos necesarios en nuestro poder, procedemos a ir a la sección de Whapa y seleccionar los archivos que se nos solicita: msgstore.db (lo generamos anteriormente y, por defecto, ya lo toma) y wa.db. Puedes ver la siguiente captura como ayuda de lo solicitado:

Ahora, en los botones tenemos 4 opciones:

• Parser Database: Extraer toda la información de la base de datos
• Status: Extraer los estados de los contactos
• Calls log: Extraer las llamadas registradas del teléfono con WhatsApp
• Extract Thumbnails: Extraer las miniaturas de los estados de WhatsApp

Creo que está muy explícito, puedes probar con cada opción. En mi ejemplo, elegiré la primera opción que muestra la última conversación que tuve, precisamente indicando que esto saldría en el tutorial :’p

¿Oye, lo demás no funciona y por eso no lo muestras? Uhm está bien, aquí una captura más sobre los estados :’)

5. Informes

Ahora pasemos a lo más importante. Como te habrás dado cuenta ya, esta no es una herramienta de hacking; así que como toda herramienta forense, necesitamos generar un informe. ¡whapa lo hace fácil y elegante!

Para crear informes, lo primero que debemos hacer es configurar el archivo “./ cfg / settings.cfg“. Por ejemplo:

[report]
logo = ./cfg/logogeek.png
company = EsGeeks
record = 0123
unit = eg123
examiner = Alexgeek
notes = Extracción Data WhatsApp

Aquí debemos poner el logotipo de nuestra empresa, el nombre de la empresa o unidad, así como el número de registro asignado, la unidad o el grupo al que pertenecemos, quién es el examinador y también podemos especificar notas en el informe.

Para generar el informe, debemos especificar la opción “English” si queremos que el informe esté en inglés, así como “ES” si queremos que el informe esté en español.

Ver también

Seguridad

Pwndb.py: Buscar credenciales filtradas en texto plano

Alexynior·

Si copias la base de datos “wa.db” en el mismo directorio que el script, se mostrará el número de teléfono junto con el nombre. Para que el informe contenga las imágenes, vídeos, documentos … debes copiar la carpeta “WhatsApp/Media” de tu teléfono al directorio de Whapa, de lo contrario, el programa generará miniaturas.

A continuación, puedes ver un ejemplo de mi reporte. No te asombres de tantas conversaciones que tengo :’v

Por supuesto, es posible ingresar a cada conversación. (sé que lo sabías)

Si queremos imprimir el documento o crear el informe en PDF, se recomienda en la opción de impresión -> escalar la vista <= 60% o 70%, de lo contrario, el informe se mostrará demasiado grande.

6. Whamerge

Whamerge es una herramienta para unir copias de seguridad en una nueva base de datos, para poder analizarla y obtener más información, como grupos eliminados, mensajes, etc.

7. Whagodri

whagodri.py es una herramienta que permite a los usuarios de WhatsApp en Android extraer sus datos de WhatsApp respaldados de Google Drive.

Para que funcione, debes asegurarte de lo siguiente:

• Desactiva 2FA en tu cuenta de Google
• Descargue la última versión de whapa
• Instalar los requisitos
• Configuraciones:
• Edite solo los valores del archivo./cfg/settings.cfg

Si lo solicita, inicie sesión en su navegador y luego haga clic aquí.

WhaCloud: Extractor de Whatsapp ICloud

whacloud.py es una herramienta que permite a los usuarios de WhatsApp en Iphone extraer sus datos de WhatsApp respaldados de ICloud. Aún es una HERRAMIENTA BETA y puede contener errores.

Asegúrate de:

• Descarga la última versión de whapa
• Instale los requisitos
• Configuraciones:
• Edite solo los valores del archivo ./cfg/settings.cfg

[icloud-auth]
icloud = alias@icloud.com
passw = yourpassword
celnumbr = BackupPhoneNumber -> Country code + phonenumber (ex. 3466666666666)

Problemas Comunes

• Error=BadAuthentication: Correo electrónico o contraseña incorrectos. Comprueba nuevamente.
• Requested entity not found: Número de teléfono equivocado. Comprueba el código de tu país.
• Requested entity was not found: Copia de seguridad errónea. No funcionará sobre-escribirla, elimina la copia de seguridad y crea una nueva.
• Error=NeedsBrowser: Deshabilitar la autenticación de dos factores.
• Error: DeviceManagementRequiredOrSyncDisabled: El motivo es que, para esta cuenta de Google-apps, la aplicación de políticas en los clientes móviles está habilitada en la consola de administración (enforce_android_policy). Si lo inhabilitas en la consola de administración, la autenticación funciona.
• No moduled name requests: Falta de dependencias. Para solucionarlo ejecuta el comando pip3 install requests.
• Error: Backup Api not enabled: El número de teléfono de esa cuenta de Google no tiene el backup habilitado.
• Otros errores: Actualizar la dependencia de gpsoauth a su última versión.

Deja tu reacción abajo de la publicación, eso ayudará a saber el contenido que más se prefiere y por ende se publicará más acerca del tema. Por supuesto, también déjame saber tus pensamientos o dudas a través de los comentarios…