Recuperar mensajes borrados en Skype

Hace no demasiado he leído el artículo en DragonJar sobre cómo realizar un análisis forense a una aplicación Skype utilizando una pequeña utilidad llamada Skype Forensic. Este programa busca los ficheros de la aplicación en un equipo y los analiza para sacar las conversaciones y los contactos que allí han tenido lugar.

Figura 1: Skype Forensic

La mayoría de los datos que almacena Skype son guardados en bases de datos SQLite, con lo que es posible verlos manualmente con cualquier visor aunque esta herramienta simplifica un poco esta tarea y saca, por ejemplo, todas las conversaciones que han tenido lugar.

Figura 2: Tabla Chats de la Base de datos main.db de Skype

La gracia de Skype es que al ser un SQLite, aunque se borren los mensajes de la tabla que los almacena, estos quedan en páginas borradas de la base de datos, por lo que un análisis a bajo nivel podría recuperar la información que allí se encuentra.

Figura 3: Borrado de un mensaje de Skype en una conversación en OS X

En la base de datos principal de cada cuenta de Skype del sistema, que se encuentra dentro de una carpeta con el nombre de usuario, hay una base de datos SQLite llamada main.db. Dentro de esta base de datos - extraíble desde un terminal Android, iPhone, un Mac OS X o un sistema Windows, hay una tabla llamada Conversations que mantiene los hilos de las conversaciones y otra llamada Chats, donde se almacenan los mensajes enviados.

Estos mensajes pueden ser borrados, y dentro de la app se verá que el mensaje ha sido borrado porque en el hilo aparecen saltos en los mensajes, pero utilizando una recuperador de páginas perdidas en SQLite es posible sacarlo.

Figura 4: Visualización de mensaje borrado en Skype

Esta tarea es posible hacerla con Recover Messages, ya que no solo vale para reccuperar los mensajes borrados de WhatsApp, SMS o Line, y al igual que ya vimos que se podía hacer para sacar los ficheros borrados de la base de datos wc.db de Subversion, se puede utilizar para sacar las conversaciones borradas de Skype.

El funcionamiento es sencillo, se sube el fichero, se analiza, y en Raw Data se podrán ver los datos recuperados en bruto.

Figura 5: Raw Recovered data de una base de datos de Skype en Recover Messages

Si se analiza el fichero completo, se puede descargar un fichero con todos los datos recuperados, dónde se podrán ver las conversaciones borradas por el usuario en Skype aunque no aparezcan en la visualización del la base de datos con un visor SQLite.

Figura 6: Un ejemplo de una base de datos de Skype analizada con Recover Messages

Si algún día te topas con un análisis forense de Skype, ten presente que no basta con analizar sólo la base de datos, y que haciendo una inspección a bajo nivel tal vez sea posible sacar más información de la que se ve a simple vista.

http://www.elladodelmal.com
De Chema Alonso