Incident Response, Security and Forensics"

.

viernes, 14 de noviembre de 2008

Como obtener los contactos y correos de GMAIL

Si recordáis en el post de 'ceregumil concentrado' hacia uso de la herramienta 'pd' para extraer el navegador de la memoria y volcarlo a fichero para a continuación poder encontrar las contraseñas. Esto me dio una idea de lo útil que puede ser para poder encontrar correos, direcciones web, etc, para un análisis forense.

Se me ocurrió jugar con mi cuenta de GMAIL y una utilidad que se llama 'pdgmail' que esta programada en 'python'.

En todos los casos que probé con la utilidad fui capaz de recuperar datos de contacto, el último inicio de sesión , las direcciones IP, cabeceras de correo electrónico, e incluso aun desconectando de gmail comprobe, que aún retenía todos estos datos. Es decir carga todo en memoria.

¿Como se usa?

El primer paso es volcar la memoria del navegador. (ver el post de 'ceregumil') o utilizar la utilidad userdump, según explica mi amigo y colega 'Juanito' en su blog

A continuación extraemos 'el texto' del proceso y se lo redireccionamos a fichero

Ejemplo:

strings -el 11515.dump | python pgdmail.py | > datos.txt

Editamos el fichero y empezamos a ver:

  • contactos
  • último acceso registros
  • Nombres de cuenta de Gmail
  • las cabeceras de los mensajes
  • cuerpos de mensaje

Los contactos se muestran como:

contact: name: "Anna S" email: "micorreo@gmail.com

El último acceso más reciente muestran los inicios de sesión y aparecerá como:

last access: "14 hours ago" from IP "10.15.26.8", most recent access Tue Oct 14 10:57:53 2008 from IP "12.9.4.238"

Los mensajes de correo electrónico son los que peores resultado dan ya que la mayoría de ellos no siempre se ajustan a las normas API y algunos se descuadran

Los encabezados se muestran como:

message header: ["ms","113b0d734737dec4","",4,"Gmail Team ","Gmail Team","mail-noreply@google.com",1184082900000,"Did you know that GMail was voted #2 in PC World's Top 100 products of 2005, ...",["^all","^i"]

En definitiva, una muy buena herramienta para la obtención de aplicaciones y en el caso en concreto de GMAIL.

Os dejo algún extracto de los resultados obtenidos con mi cuenta de correo de GMAIL:

Contactos:




Contenido de correos:




0 comentarios: