Análisis forense PC Parte I(Skype y recuperación de archivos)
Unknown
11:10
analisis
,
borrados
,
conversaciones
,
corversacion
,
forense
,
historial
,
imagenes
,
no
,
ocultos
,
ordenador
,
papelera
,
pc
,
recuperar
,
recuva
,
skype
,
software
,
tec
,
tutoriales
,
videos
Hola a todos hoy vamos con una entrada que os gustara a más de uno de nuestros lectores, si hoy por fin vamos a hablar sobre el análisis forense de un pc, como recuperar archivos que ya han sido borrados pero no completamente de nuestro equipo
Hace tiemplo ya explicamos como recuperar archivos en esta entrada:
Como recuperar archivos borrados de nuestro equipo
Recordar que un archivo que ha sido borrado de la papelera de reciclaje no esta borrado del todo, hasta que este no haya sido sobrescrito.
También vamos a explicar como recuperar conversaciones borradas de nuestro historial de skype.
Lo primero que tenemos que hacer para ello , es buscar donde se alberga la base de datos donde se guardan estos datos.
Según la version de windows se encontrara en un directorio u otro dependiendo de la versión:
Windows XP Skype directorio:
C:\Documents and Settings\WINDOWSUSERNAME\Application Data\Skype\SKYPEUSERNAME
Windows Vista Skype directorio:
C:\Users\WINDOWSUSERNAME\AppData\Roaming\Skype\SKYPEUSERNAME
Windows 7 Skype directorio:
C:\Users\WINDOWSUSERNAME\AppData\Roaming\Skype\SKYPEUSERNAME
Windows 8 Skype directorio:
C:\Users\WINDOWSUSERNAME\AppData\Local\Packages\Microsoft.SkypeApp\Localstate\SKYPEUSERNAME
Una vez aquí copiamos el archivo main.db, que es donde se guardan todas las conversaciones.
Para analizar el archivo main.db
Vamos a utilizar el siguiente programa:
SqliteSpy
Una vez descargado e instalado os voy a mostrar como funciona.
Pulsamos Ctrl + F11 y abrimos la base de datos que vamos a utilizar, bien utilizado la ruta donde se encuentra el main.db o si lo hemos copiado previamente.
Vamos a utilizarlo de la siguiente forma
En media documentos realizaremos la consulta con el siguiente formato
select timestamp, author, body_xml from messages where chatname like "%usuarioskype1/$usuarioskype2%" or chatname like "%usuarioskype2/$usuarioskype1%"
Usuarioskype1 y Usuarioskype2, son los dos contactos entre los que se realizan la conversación.
Un ejemplo mas visual:
Como vemos es relativamente sencillo investigar las conversaciones de skype, hasta aquí la entrada de hoy la semana que viene trataremos algún software especifico de análisis forense y como eliminar archivos de forma definitiva y a borrar nuestro disco duro de forma segura.
Un saludo a todos seguirnos en Facebook y Twitter!
