osx callhistory decryptor

ℹ VEUILLEZ NOTER

depuis macOS 13 (Ventura), la base de données de l'historique des appels ne semble pas être cryptée. Vous pouvez exécuter le programme avec l'indicateur -no-key pour afficher l'historique des appels. L'indicateur -k n'est plus requis, mais reste disponible pour les versions antérieures de macOS.

Convertit l'historique des appels MacOS X au format de fichier CSV.

Il s'agit de l'implémentation Golang du décrypteur d'historique des appels de n0fates, et est basée sur la présentation de n0fate décrivant les composants internes de la base de données : https://papers.put.as/papers/macosx/2014/Forensic-artifacts-for-Yosemite- historique-des-appels-et-analyse-sms-ENG.pdf

La motivation pour cette mise en œuvre était :

• améliorer la convivialité en n'ayant qu'un seul exécutable binaire ;
• augmenter la vitesse d'exécution en utilisant les fonctions standard de la bibliothèque ;
• fournir le format de sortie pratique (CSV) ; et
• décrire l'utilisation pour le rendre plus accessible à ceux qui ont besoin d'obtenir l'historique des appels de MacOS X pour quelque raison que ce soit, mais qui manquent de temps ou de connaissances techniques requises pour configurer l'interpréteur Python et les packages nécessaires à l'implémentation originale.

Tout le mérite de la logique de décryptage revient à n0fate.

Décryptez et enregistrez l'historique des appels macOS dans un fichier CSV.

Les téléchargements sont disponibles sur la page Versions.

Le programme crée une copie de la base de données originale dans un répertoire temporaire et opère sur cette copie. Une fois l'historique des appels imprimé, le fichier temporaire est supprimé.

La base de données d'origine n'est pas modifiée lors de l'exécution.

Pour référence : macOS stocke les données de l'historique des appels à l'emplacement suivant :

 "$HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata"

Démarrez le programme avec l'indicateur de ligne de commande -h pour voir l'aide à l'utilisation.

Utilisation simple :

 $ ./osx-callhistory-decryptor [flags] [database_file]

Où database_file est facultatif sur macOS (sous Windows, vous devrez fournir le nom du fichier).

Ouvrez le Terminal.app. (Comment?)

1. Démarrez le décrypteur de l'historique des appels :

    $ ./osx-callhistory-decryptor
   

   Il tentera de localiser le fichier d'historique des appels par défaut, d'en faire une copie temporaire et de l'ouvrir.

   Si vous obtenez le message « Opération non autorisée » sur les derniers MacOS :

   1. Allez dans « Préférences Système » ;
   2. Choisissez « Sécurité et confidentialité » ;
   3. Allez dans l'onglet « Confidentialité », sélectionnez l'élément « Accès complet au disque » ;
   4. Ajoutez Utilities/Terminal.app – ou tout ce que vous utilisez – à la liste.

2. Vous serez invité à saisir le mot de passe de connexion de votre utilisateur - cela permet au programme de récupérer la clé de cryptage de l'historique des appels à partir du trousseau OS X. Vous pouvez également fournir manuellement la clé de chiffrement de l’historique des appels à l’aide de l’indicateur de ligne de commande -k . Exemple:

    $ ./osx-callhistory-decryptor -k YSBzZWNyZXQga2V5IDEyCg==
   

3. La sortie sera imprimée sur le terminal par défaut. Vous pouvez spécifier un fichier de sortie en fournissant l'indicateur de ligne de commande -o :

    $ ./osx-callhistory-decryptor -o output.csv
   

Si, pour une raison quelconque, vous souhaitez ouvrir un fichier différent de celui par défaut, le premier paramètre de ligne de commande doit contenir l'emplacement du nom de fichier :

 $ ./osx-callhistory-decryptor -o output.csv Calls.db

Par défaut, le format de l'heure est RFC3339 sans le séparateur heure/date "T" ( "2006-01-02 15:04:05Z07:00" ). Facultativement, on peut modifier ce comportement avec l'indicateur -time-format en passant un format différent. Par exemple, si vous devez simplement indiquer une date et une heure, invoquez le programme comme suit :

 $ ./osx-callhistory-decryptor -time-format="2006-01-02 15:04"

Le formatage est décrit en détail dans la documentation du package Go time.

Vous devrez obtenir la base de données et la clé de cryptage du système macOS d'origine.

1. Obtenez la copie de CallHistory.storedata à partir de la machine source OS X. Le fichier est stocké à cet emplacement :

    $HOME/Library/Application Support/CallHistoryDB/CallHistory.storedata
   

   avec $HOME étant le répertoire personnel de l'utilisateur.

   Copiez-le dans le même répertoire où vous avez décompressé le « callhistory »

2. Obtenez la clé du trousseau source macOS X :

   1. recherchez dans le trousseau macOS X la clé de données utilisateur de l'historique des appels
   2. double-cliquez sur l'entrée et cochez le champ "Afficher le mot de passe".
   3. Entrez le mot de passe de votre compte utilisateur et copiez la valeur de la clé dans le presse-papiers.

3. Ouvrez le terminal ou l'invite cmd.exe sous Windows (Comment ?). Démarrez le décrypteur de l'historique des appels sur votre ordinateur :

    C:>osx-callhistory-decryptor.exe -k <key value from step 2> <filename from step 1>
   

4. La sortie sera imprimée sur le terminal par défaut. Vous pouvez spécifier un fichier de sortie en fournissant l'indicateur de ligne de commande -o :

    C:>osx-callhistory-decryptor.exe -o your_ex_callhistory_lol.csv <filename from step 1>
   

Décrypteur d'historique d'appels OS X

Copyright (C) 2016 n0fate (licence GPL2)

Copyright (C) 2018-2021 rusq (implémentation golang, GPL3)

Ce programme est un logiciel libre : vous pouvez le redistribuer et/ou le modifier selon les termes de la licence publique générale GNU telle que publiée par la Free Software Foundation, soit la version 3 de la licence, soit (à votre choix) toute version ultérieure.

Ce programme est distribué dans l'espoir qu'il sera utile, mais SANS AUCUNE GARANTIE ; sans même la garantie implicite de QUALITÉ MARCHANDE ou d’ADAPTATION À UN USAGE PARTICULIER. Consultez la licence publique générale GNU pour plus de détails.

Vous devriez avoir reçu une copie de la licence publique générale GNU avec ce programme. Sinon, consultez https://www.gnu.org/licenses/.