Recuperare e localizzare messaggi cancellati WhatsApp in immagine forense

Analizziamo come recuperare e localizzare messaggi cancellati WhatsApp in immagine forense. Vediamo come creare un indice forense di un'immagine disco di Android con Challenger Rocket, soffermandoci su come eseguire ricerche nell'indice forense.

Con l'algoritmo di indicizzazione forense integrato in Rocket è possibile ricercare qualsiasi elemento testuale in qualsiasi tipologia di dispositivo per l'archiviazione di dati.

Cosa possiamo ricercare su un indice forense?

Con l'indice forense possiamo recuperare e localizzare:

• messaggi
• email
• attività di navigazione
• file di testo
• qualsiasi evidenza intellegibile

L'indice forense è una speciale funzione in grado di catturare qualsiasi traccia digitale ed intellegibile su qualsiasi memoria e dispositivo.
Nello specifico andremo oggi ad analizzare l'immagine acquisita da una periferica Android, di cui è stata precedentemente creata un'immagine.

Andiamo ad aprire con Challenger Rocket l'immagine già creata del dispositivo Android, in visualizzazione esadecimale, dove vedremo i settori che compongono l'immagine disco.
A questo punto possiamo creare un indice forense a tolleranza personalizzabile (useremo qui quella di default che è a 256). Dopo aver dato un nome al file premiamo il tasto Start.
In questo caso l'algoritmo del forensic index catturerà tutte le evidenze digitali di tipo intellegibile (ovvero tutto ciò che è comprensibile al livello umano).

Al termine della creazione del forensic index potremo visualizzare tutti gli offset, quindi le posizioni dei settori di tipo intelleggibile, per un controllo iniziale.

Abbiamo creato dunque un file, trasciniamo in Rocket l'indice generato, si tratta di un file speciale che contiene tutte le tracce di testo che si trovavano nel dispositivo Android, comprensi i messaggi cancellati che sono l'obiettivo della nostra ricerca di oggi.

Eseguire ricerche all'interno dell'indice forense

Andiamo ad eseguire ricerche specifiche, in particolar modo in WhatsApp digitando whatsapp.net nel box di ricerca. In pochi istanti saremo in grado di visualizzare tutte le occorrenze e i messaggi cancellati e presenti di WhatsApp.

Scorrendo le occorrenze di WhatsApp possiamo notare tutte le chiamate, i log di ingresso e naturalmente tutti i messaggi di testo, completi di mittente

Creare un dump aggiuntivo nell'indice forense

Possiamo ora utilizzare una funzione speciale che crea un dump aggiuntivo del file, con cui andremo ad estrarre un file dallo stesso indice forense contenente i soli messaggi WhatsApp, così da poter eseguire ricerche selettive soltanto negli elementi di WhatsApp (tale tecnica è definita drill down).

Ora possiamo aprire il file creato dal dump, ed eseguire ricerca specifica nel database di WhatsApp estratto. Facciamo qui una ricerca per parola chiave (scegliamo la parola chiave amore). Le occorrenze visualizzare saranno solo quelle contenenti la parola chiave amore.

Possiamo eseguire ricerche nel dump dell'indice forense per parola chiave, che può essere una parola contenuta nei testi o un numero di telefono

Possiamo esportare il risultato della nostra ricerca in html scegliendo la funzione Create html report che ci consente una consultazione più semplificata.