Aquí tienes un ejemplo práctico de cómo usar Bulk Extractor para analizar una imagen forense de un disco, extraer conversaciones de Facebook Messenger y mensajes de WhatsApp Web.
1. Análisis de una imagen forense con Bulk Extractor
Supongamos que tenemos una imagen forense de un disco en formato E01 o RAW llamada evidencia.img. Para analizarla con Bulk Extractor, usamos:
bulk_extractor -o output_folder -R evidencia.img
📌 Explicación:
-o output_folder: Define la carpeta donde se guardarán los resultados.-R evidencia.img: Analiza la imagen forense de manera recursiva.
🔍 Resultados esperados:
output_folder/facebook_urls.txt: Lista de URLs relacionadas con Facebook.output_folder/email.txt: Correos electrónicos encontrados.output_folder/ccn.txt: Posibles números de tarjetas de crédito.output_folder/audits.txt: Resumen del análisis.
2. Extracción de conversaciones de Facebook Messenger
Si un usuario ha accedido a Facebook Messenger desde un navegador, Bulk Extractor puede encontrar caché, cookies o registros en SQLite. Para buscar específicamente datos de Facebook:
bulk_extractor -o output_folder -R evidencia.img -E facebook
📌 Explicación:
-E facebook: Filtra los resultados solo para datos relacionados con Facebook.
🔍 Resultados esperados:
output_folder/facebook_account_names.txt: Nombres de usuario de cuentas de Facebook encontradas.output_folder/facebook_messages.txt: Fragmentos de conversaciones recuperadas.
Para un análisis más profundo, se pueden usar herramientas como DB Browser for SQLite para leer bases de datos de Facebook (Web Data, Cookies o Local Storage).
3. Extracción de mensajes de WhatsApp Web
Si el usuario accedió a WhatsApp Web en el navegador, Bulk Extractor puede encontrar caché de mensajes o archivos de sesión. Para buscar específicamente datos de WhatsApp:
bulk_extractor -o output_folder -R evidencia.img -E domain
grep "web.whatsapp.com" output_folder/domain.txt
📌 Explicación:
-E domain: Extrae todas las URLs encontradas en el sistema.grep "web.whatsapp.com": Filtra solo las relacionadas con WhatsApp Web.
🔍 Resultados esperados:
output_folder/cookies.txt: Cookies almacenadas de sesiones de WhatsApp Web.output_folder/domains.txt: URLs que pueden indicar actividad en WhatsApp.
Para reconstruir conversaciones, es necesario analizar la caché del navegador, que suele estar en rutas como:
- Chrome:
C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Cache - Firefox:
C:\Users\Usuario\AppData\Roaming\Mozilla\Firefox\Profiles\XXXXX.default\cache2
Herramientas complementarias como Magnet AXIOM o Autopsy pueden ayudar a visualizar estos datos de manera más estructurada.
Conclusión
✅ Bulk Extractor permite recuperar fragmentos de conversaciones y sesiones activas de Facebook Messenger y WhatsApp Web.
✅ Es clave combinarlo con otras herramientas forenses para reconstruir conversaciones completas.
✅ Siempre se debe mantener la cadena de custodia para que la evidencia sea válida en un informe pericial.
🔍 ¿Quieres que te ayude a interpretar los resultados o redactar un informe con la información extraída?
