Análise Forense em Skype

Análise Forense em Skype - Parte 1

sexta-feira, 14 de fevereiro de 2014

Skype é uma aplicação que permite chamadas de voz e vídeo, mensagens instantâneas, transferência de ficheiros e partilha de ecrã entre utilizadores.
Milhões de pessoas utilizam diariamente para efetuar chamadas de voz e vídeo, mensagens, partilha e chamadas locais e internacionais de baixo custo.

Numa perspetiva forense esta análise pode dar uma grande quantia de informação que pode ser utilizada como prova em tribunal.

Por onde começar:

Primeiro, vamos começar por localizar as pastas do Skype:

Linux: ~/.Skype/UTILIZADOR-SKYPE/
Windows XP e anterior: C:\Documents and Settings\UTILIZADOR-WINDOWS\Application Data\Skype\UTILIZADOR-SKYPE
Windows Vista e posterior: C:\Users\UTILIZADOR-WINDOWS\AppData\Roaming\Skype\UTILIZADOR-SKYPE

Estamos no diretório do Skype e podemos verificar que existem quatro diretórios marcados com caixas vermelhas: happysahoo2959, namita.nahak, sudhansh251286 e trmr_rohit_marines.
Estes quatro diretórios são pastas de utilizadores que utilizaram ou utilizam o Skype neste sistema, como se pode verificar na figura a baixo:

Como podemos verificar na figura abaixo existe um ficheiro em XML de nome shared, que contém configurações. Vamos analisar esse ficheiro XML em primeiro lugar.

Podemos abrir o ficheiro shared.xml diretamente a partir de um browser ou utilizando outra ferramenta tipo Notepad, neste caso estamos a utilizar o Notepad++, o conteúdo do ficheiro deve ser algo parecido com este:

A primeira coisa que vemos é o timestamp que contém o valor 1384626184.32, este é um timestamp UNIX, por isso temos que converte-lo para um formato mais legível. Utilizando o website onlineconversion, conseguimos converter o valor para uma data legível.

Verificamos que o output é de Sábado, 16 de Novembro de 2012 às 17:49:44GMT.

Outra coisa importante neste ficheiro é a tag HostCache, que é o IP do nó do Skype. O IP começa após 0400050041050200 que significa que D5C7B3AD9C51 é o IP do nó.

Agora vamos converter o valor D5C7B3AD9C51 hexadecimal em valores decimais para obtermos o IP e a porta. Vamos utilizar outra ferramenta online de conversão, no website statman .

Como podemos verificar após a conversão de todos os valores em decimal temos que o IP do nó é o 213.199.179.173:40017.

A tag UIVersion representa a versão do Skype instalado na máquina, neste caso é a 5.6.59.110, e a tag Language representa a linguagem de instalação, que neste caso é "en" - Inglês.