Andriller es un software utilitario con una colección de herramientas forenses para smartphones. Realiza adquisiciones forenses de solo lectura y no destructivas desde dispositivos Android. La última versión 3.6.1 data del 31 de octubre del 2021 y puede verse y descargarse gratis desde su repositorio github.
Esta herramienta es realmente útil al tener que trabajar sobre sistemas operativos Android y es especialmente requerida en los cada vez más solicitados casos de peritajes de Whatsapp. Tiene características, como el poderoso descifrado del patrón de la pantalla de bloqueo, código PIN o contraseña; decodificadores personalizados para datos de aplicaciones de bases de datos de Android (algunos Apple iOS y Windows) para decodificar comunicaciones. La extracción y los decodificadores producen informes en formatos HTML y Excel.
Características
- Extracción de datos automatizado y parsing de datos.
- Extracción de datos en teléfonos no-rooteados a través de la copia de seguridad (en Android 4.x).
- Extracción de datos con permisos de root: root ADB daemon, CWM recovery mode, o SU binary (Superuser/SuperSU).
- Parsing de la estructura de carpetas, archivos Tarball y Android Backup.
- Selección de los decodificadores de la base de datos individuales para Android y Apple.
- Descifrado de base de datos de WhatsApp (msgstore.db.crypt, msgstore.db.crypt5, msgstore.db.crypt7 y msgstore.db.crypt8).
- Craqueo de patrón, PIN y contraseña.
- Desempaqueta archivos de backup Android.
Instalar Andriller en Ubuntu 20.04
En esta peuqeña guía muestro como instalar la aplicación en una de las distribución más pulares de Linux [Ubuntu/Debian]. En el repositorio github pueden encontrar lo mismo para Windows y Mac.
Instalamos las dependencias del sistema
sudo apt-get install android-tools-adb python3-tk
Instalamos el paquetepython3-venv
sudo apt-get install python3-venv
Creamos un ambiente virtual con Python 3
python3 -m venv env
Activamos el ambiente virtual que acabamos de generar
source env/bin/activate
Ahora sí, instalamos Andriller con sus dependencias
sudo pip install andriller -U
Una vez instalado podemos ejecutar la aplicación
python -m andriller

Trabajando con Andriller
Desde el botón Output… podemos seleccionar nuestra carpeta destino en la PC.

Ahora conectamos nuestro teléfono Android a la compu utilizando un cable de datos. En Andriller damos click en el botón Check. Si nos da un mensaje de dispositivo no autorizado

entonces hay que ir al celular y ponerlo en modo depuración de USB (Ajustes–>Opciones de Desarrollador–>Depuración por USB). De esta forma al volver al probar el Check nos devolverá el Serial ID.

Una vez obtienes el Serial ID entonces seleccionamos el checkbox Extract y otorgar la autorización que se les va a solicitar en el teléfono para comenzar a realizar la copia de seguridad en la carpeta de destino seleccionada en el primer paso.

Al terminar, se nos muestra en el navegador web un reporte en formato html.

En la carpeta destino veremos todo lo que hemos rescatado del teléfono

Lo extraido de esta manera es realmente pobre. Pero se puede ampliar tildando los dos checkbox como se muestra a continuación.
Comparamos el resultado actual con el anterior y vemos que ahora tenemos una carpeta shared.

En shared encontramos las carpetas de Android y podemos ver fotos, videos, documentos, etc…

El teléfono pide una contraseña(que uno mismo estipula) al momento de la extracción ya luego no puede descomprimir ya que en andriller no hay donde colocar esa contraseña. Algún paso nuevo para poder descomprimir la data?