Análisis Forense en Evernote Parte II – Windows 7

Durante el proceso de instalación de Evernote se crea el directorio “Evernote” en la ruta:

C:/Program Files/Evernote/

Y en la cuenta de nuestro usuario nos crea el siguiente directorio:

C:/Users/jose/AppData/Local/Evernote/Evernote

En el directorio creado en nuestra cuenta podemos ver la siguiente estructura:

• AutoUpdate
• Databases
• Dict
• Logs

Aquí podemos ver un par de cosas muy interesantes, el directorio Databases y el directorio Logs. El propio nombre mucho nos tendría que engañar para no “adivinar” lo que alberga en su interior :) … vamos a echarle un ojo:

Databases

Aquí nos encontramos con:

• Un archivo con extensión exb, en mi caso jose.exb
• Un archivo de copia de seguridad exb, en mi caso jose.exb.bak. Este archivo para mi usuario está vacío
• Un archivo con la extensión exb.snippets

Si utilizamos el comando “file” para cada archivo anterior podemos ver que la extensión exb nos arroja un bonito resultado: SQLite 3.x database. Para el archivo de copia de seguridad nos dice que está vacío (empty) y para el exb.snippets simplemente nos indica que es del tipo data.

Vamos a analizar el archivo exb, dónde el comando file nos indicaba que era de tipo SQLite, para ello nos valemos del plugin para firefox sqlite manager. Se detallan las tablas más interesantes (bajo mi criterio :)

items

attrs

fts_content

Almacena contenido de las notas:

• docid: Identificador del contenido
• c0text: Contenido de la nota en texto plano (aquí un escalofrío empezó a recorrer mi cuerpo…)

fts_segments

fts_segdir

fts_aux

src_uid

src_csn

expunged_items

resources

tag_attr

note_attr
En esta tabla se almacena información de las notas, podemos ver algunas columnas importantes:

• uid: identificador de la nota
• title: título de la nota
• notebook: libreta a la que pertenece la nota
• date_created, date_updated, date_deleted: Fecha de creación, modificación y eliminación de una nota
• latitude y longitude: Por el propio nombre se supone que son las coordenadas gps en el momento de escribir una nota desde un dispositivo móvil. En mi caso, utilizando android con el gps activado, no conseguí que me guardase las coordenadas. ¿Será sólo para iphones? ¿O más bien para Windows Mobile?
• geo_address, geo_country: Geolocalización del equipo desde dónde se escribe la nota. En mi caso no conseguí que almacenase mi geoposición
• is_deleted: ya comentamos el significado de este campo y su implicación en la primera parte del artículo

resource_attr

fts

Acabamos de ver qué fácil es acceder a las notas del evernote de forma rápida y sencilla a través de las tabla de información de notas (note_attr) y de la tabla de contenido de las notas (fts_content), pero todavía hay más.

Recordamos que había un archivo con la extensión exb.snippets … simplemente me gustaría que utilizáseis el comando strings de la siguiente manera, en mi caso:

strings jose.exb.snippets

y que no te asustases de lo que sale por la pantalla. Después de ver cómo se almacenan las notas … ¿qué es lo peor que puede pasar? Pués sí, que en este archivo se guarden tus notas y que ahora están saliendo en tu monitor :)

Logs

Por si fuese poco, nuestro amigo Evernote es un cachondo, y nos guarda los logs monitorizando varias acciones, entre ellas:

• Hora de la última apertura
• Información del cliente: Sistema Operativo
• Nombre de nuestro usuario
• Hora de la última apertura de la base de datos (archivo exb)
• Nombre de las libretas
• Número de notas (recursos) de cada libreta
• … e incluso la publicidad

Os animo a que examinéis por vosotros mismos los logs, por cierto ¿por qué nos indica la hora en el log pero no la fecha? La respuesta es fácil, cuándo miréis los logs ya os daréis cuenta.

Conclusión

Vamos a recapitular, tanto en windows como en mac las notas no están cifradas en el disco, y una nota borrada no es eliminada del disco duro, por lo tanto se puede recuperar. Cuidadito con lo que guardáis en la nube … el día menos pensado puede empezar a llover esa información :) … así que estáos atentos que en los próximos días publicaremos como cifrar el contenido de nuestras notas.

¿Y tú, utilizas Evernote?