Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.

En el anterior artículo deficado a Skype ( Skype. Algunas consideraciones sobre Skype y Bloqueo de tráfico usando Wireshark / Snort. Parte 1 ) analizamos una captura con las transacciones realizadas en el inicio de sesión, busquedas de nodos, etc. Repasamos un poco como funcionaba y algunas páutas para el bloqueo de tráfico. También vimos Skype se saltaba la mayoría de tentativas de bloqueo. Tenemos pendiente analizar el tráfico con solo el puerto 443 abierto.

Logo skype

En este caso, y por petición, via mail, de alguno de vosotros, vamos a estudiar la información almacenada por Skype en nuestra máquina. Haremos una especie de análisis forense de la información almacenada y ficheros de bases de datos skype.

Análisis datos guardados por Skype en nuestra máquina.

Shared.xml

Skype guarda toda la información en:

  • Windows.  C:\Documents and Settings\USUARIO\Datos de programa\Skype
  • Linux. HOME/.Skype

En Windows tenemos la siguiente estructura de carpetas:

shared.xml skype

Tenemos una serie de carperas de los usuarios Skype registrados en la máquiba, en este caso solo un usuario (Carpeta usuario).

Vamos a ver, primero el fichero shared.xml que es donde se alamacena la caché de cliente. En este fichero se guardan datos relativos diversdas configuraciones como audio, firewalls, nodos, supernodos, servidores…

Tiene la siguiente estructura (no está todo):

shared.xml skype

Un poco más abajo tendríamos Devices con información sobre dispositivos de audio del sistema.

Vemos de forma clara la información de:

  • marca de tiempo
  • usuario
  • parámetros de la conexión
  • configuracion firewall
  • puerto a la escucha configurado por el usuario (35066)
  • Ip máquina cliente skype (En azul)

Config.xml

Este archivo se encuentra en:

  • Windows.  C:\Documents and Settings\USUARIO\Datos de programa\Skype\USUARIO_SKYPE\
  • Linux. HOME/.Skype/USUARIO_SKYPE

Guarda información relativa a la lista de contactos, credenciales, usuario y su correo (este último cifrado), ultima sincronización y parámetros del programa configurados por el usuario, etc. Localizados, dentro del archivo .xml:

  • usuario en el tag avatar
  • correo  en el tag email
  • marca de tiempo en el tag timestamp
  • última sincronización en el tag LastSync
  • contactos en el tag nombre_contacto

Según las versiones de Skype más modernas, podemos encontar información de ficheros .ddb y .db. dentro del perfil del usuario. Los vemos a continuación.

Archivos DDB.

Son una serie de ficheros de logs donde se alamacena información relativa a:

  • call256.dbb  información de llamadas con número de secuencia, marca de tiempo, usuario remoto, duración de la llamada, etc
  • user*.dbb información sobre el usuario local con información sobre nombre_usuario nombre_usuario a la vista, lenguaje, provincia, ciudad, y otros datos almacenados en el usuario.
  • chat512.dbb, chat256.dbb, chatmsg512.dbb,  chatmsg256.dbb, información sobre histórico del chat.
  • En caso de haber transmito algún fichero, tendríamos también transfer*.dbb con información de número de secuencia, nombre_usuario remoto, patch donde se guarda el fichero, nombre_fichero, tamaño_fichero, marca de tiempo o timestamp.

Archivos main.db y dc.db

Tenemos dos ficheros de bases de datos con los los nombres main.db y dc.db.  Estos ficheros se encuentran en formato SQLite.

Para abrir estos ficheros disponemos de la herramienta SQLite Database Browser.

Vamos a abrir primero main.db. Para ello debe estar Skype cerrado.

Por ejemplo. La tabla contacts del archivo main.db:

archivos maindb y dc.db skype

De igual forma podemos ir mirando tabla por tabla para ver la cantidad de información que nos proporciona. Información que es análoga a la proporcionada por los ficheros .dbb que hemos visto antes de la anterior versión de Skype. Pero aquí aparece más centralizado.

Otra tabla que nos podría dar información forense valiosa es la tabla Messages. Esta tabla nos proporciona información de los chat establecidos por el usuario con otros usuarios. con toda la información posible incluyendo los mensajes intercambiados.Entre quienes y la dirección de cada mensaje, identificación de usuario y marcas de tiempo, etc, etc:

archivos maindb y dc.db skype

También disponemos de, en el caso de que lo hubiese, información de teléfonos, si el usuario realizó alguna llamada en el campo participants.

Otra información valiosa la tendríamos en la tabla transfer con datos sobre ficheros transmitidos entre el cliente y la parte remota o viceversa. Se guarda información tamaño del fichero, nombre, ubicación del fichero, marcas de tiempo, quien envia y recibe, etc.

El fichero dc.db almacena  datos del propio programa como versiones, sesiones, datos de instalación, etc.

SkypeLogView.

Si no queremos ver información de chats sin profundizar demasado, tenemos una herramienta que nos facilita información de los logs de chats establecidos po con otros usuarios. Se trata de SkypeLogView. con esta herramienta podemos ver también información de llamadas y ficheros transmitidos. Lo podemos descargar desde aquí,

SkypeLogView hace uso de SQLite 3 para acceder a los ficheros, más arriba reseñados, *.dbb.

———

About these ads
Esta entrada fue publicada en Seguridad y redes, Skype y etiquetada , , , , , , , , . Guarda el enlace permanente.

13 respuestas a Skype. Algunas consideraciones sobre Skype. Información almacenada en el usuaro. Análisis forense.

  1. Ana dijo:

    ¿Y para Mac OS no podéis contarnos nada? Lo agradeceríamos mucho. Un saludo.

  2. Alfon dijo:

    Pues no es mala idea Ana. Lo miraré. Saludos.

  3. María dijo:

    ¿Que ocurre cuando borramos el historial?
    ¿Hay alguna posibilidad de recuperar la información que hemos borrado?

  4. Alfon dijo:

    María,
    Si te refieres a lo archivos .db, que yo sepa se guardan solo en local. Si se borran, habría que recurrir a técnicas / herramientas de recuperación de datos del HD.

  5. fede dijo:

    Hola, hago una consulta cuando se borran los historiales de conversacion por skype, es posible verlos en un formato lejible? encuentro conversaciones en formato .dat y al abrirlos son una serie de signos imposible de interpretar. gracias saludo atte.-

  6. Que tal llegue aqui buscando informacion sobre los puertos de skype… tengo un problema abro los puertos del skype para que se conecte y lo hace pero a la hora de agregar un nuevo contacto intenta conectar a algun lado y no me deja me dice que verifique mi conexion… sabes que puerto o a que server intenta conectarse skype para agregar/buscar los usuarios? y asi poder abrir el puerto o host y solucionarlo. Gracias de antemano, informacion muy util la que publicas aqui felicidades.

  7. Franpanda dijo:

    hola hola skypelogview para linux?

  8. ajuxin dijo:

    hola es posible exportar estos datos a oracle???

  9. aryk21 dijo:

    Hola, como puedo abrir los archivos .dat de los chats del skype?

  10. Roberto dijo:

    Hola, tengo una consulta.
    borre los archivos main.db desde Skipe, ya restaure la computadora a un punto anterior en el tiempo y aun así no logro ver los main.db en mi pc.
    Agradeceria tu información, un saludo y me quedo en espera de tu respuesta.

  11. Luis V dijo:

    Hola!! Necesito ayuda!! el campo de TimeStamp es una cadena de 10 caracteres númericos y no se como interpretarlo, realmente me urge hacerlo. GRACIAS!!

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s