Wiki CompFor
Android, ADB, APK, USB, OTG e drivers

Comandos ADB para metadados de aplicativos Android

Categoria: Android, ADB, APK, USB, OTG e drivers

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre comandos ADB para metadados de aplicativos Android no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, IPED, IEF, Oxygen, FTK, ADB, ODIN. Os termos mais recorrentes neste tema incluem: data, foi, pode, mas, adb, pra, essa, aparelho, algum, instalacao. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Usar dumpsys package para metadados de instalação quando o aparelho permitir ADB.
  • Registrar pacote consultado e saída relevante.
  • Conferir fuso, formato de data e coerência com outros artefatos.

Ferramentas, sistemas ou marcas citadas

UFEDXRYIPEDIEFOxygenFTKADBODINWhatsApp

Palavras-chave recorrentes

datafoipodemasadbpraessaaparelhoalguminstalacaoeleapkwhatsappteressemaquinamaisate

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 10/08/2017 11:33 a 11:33 — Conexão USB, ADB e diagnóstico de porta em Android

10/08/2017 11:33 · Membro 0015
Alguém sabe o comando do adb shell pra descobrir a data de instalação de um APk?

Origem 002 — 11/08/2017 08:44 a 08:44 — Consulta de data de instalação de APK via ADB

11/08/2017 08:44 · Membro 0015
A quem interessar: adb shell dumpsys package <nome_do_pacote>
11/08/2017 08:44 · Membro 0015
procurar o item firstInstallTime

Origem 003 — 15/12/2017 08:04 a 08:45 — Extração e decodificação de bancos do WhatsApp

15/12/2017 08:04 · Membro 0004
pessoal, qual a versão mais recente do whatsapp xtract que vcs possuem? eu estou com a 2.2 e algumas extrações estão recusando...
15/12/2017 08:05 · Membro 0015
Por aqui só até essa versão mesmo
15/12/2017 08:38 · Membro 0008
aqui temos até evitado usar, conforme o caso
15/12/2017 08:38 · Membro 0008
várias vezes ele dá um bug e acaba não reinstalando corretamente o apk
15/12/2017 08:39 · Membro 0008
e aí pede a configuração inicial do wpp
15/12/2017 08:45 · Membro 0015
Já me aconteceu isso uma vez quando o PC travou antes dele restaurar a a versão de backup do wpp

Origem 004 — 08/08/2018 17:39 a 18:15 — Comandos ADB para metadados de aplicativos Android

08/08/2018 17:39 · Membro 0066
Boa noite a todos. Obrigado
08/08/2018 17:41 · Membro 0015
Você envio a imagem completa do aparelho ou apenas o apk?
08/08/2018 18:15 · Membro 0034
Apenas o APK.

Origem 005 — 30/10/2018 09:04 a 11:16 — Conexão USB, ADB e diagnóstico de porta em Android

30/10/2018 09:04 · Membro 0034
Bom dia, gente. Alguém já fez perícia envolvendo o Revealer Keylogger?
30/10/2018 10:53 · Membro 0001
Alguém teve sucesso no root desse modelo?
30/10/2018 10:54 · Membro 0003
Tem que ver logo se a partição do usuário está criptografada.
30/10/2018 10:55 · Membro 0003
Só tenho aqui o 700M
30/10/2018 11:02 · Membro 0001
Não achei informação de criptografia
30/10/2018 11:02 · Membro 0003
é em armazenamento
30/10/2018 11:04 · Membro 0008
Eu até encontrei recovery pro 701MT, mas estava com a partição criptografada... Aí deu 💩
30/10/2018 11:04 · Membro 0008
Até posso te enviar, caso queira tentar aí...
30/10/2018 11:05 · Membro 0001
[EMAIL]
30/10/2018 11:05 · Membro 0001
Mas antes de fazer vou ter certeza que n tá criptografado
30/10/2018 11:06 · Membro 0008
Android 7+?
30/10/2018 11:07 · Membro 0008
Hmm... Pois é... Bom, vou te enviar e aí tu veja se faz ou não...
30/10/2018 11:07 · Membro 0008
Eu fiz na época sem saber dessa questão da criptografia, aí deu ruim
30/10/2018 11:07 · Membro 0008
Hoje tô bem mais cuidadoso
30/10/2018 11:14 · Membro 0003
adb shell getprop ro.crypto.state
30/10/2018 11:14 · Membro 0003
esse comando promete dizer que se está criptografado
30/10/2018 11:16 · Membro 0003
C:\WINDOWS\system32>adb shell getprop ro.crypto.state
encrypted

Origem 006 — 17/12/2018 22:24 a 22:24 — O Android View Client é uma ferramenta que permite capturar quais componentes (inclusive

17/12/2018 22:24 · Membro 0071
O Android View Client é uma ferramenta que permite capturar quais componentes (inclusive textos) estão sendo apresentados por determinado APK, enviar comandos de touch, swipe, etc... dá pra automatizar trabalhos repetitivos e manuais...

Origem 007 — 30/04/2019 17:21 a 17:21 — Comandos ADB para metadados de aplicativos Android

30/04/2019 17:21 · Membro 0020
Boa tarde, alguém teria pra disponibilizar o spitools.apk?

Origem 008 — 02/05/2019 10:01 a 10:01 — / spitools.apk

02/05/2019 10:01 · Membro 0050
<Mídia oculta>
spitools.apk

Origem 009 — 03/08/2019 08:51 a 09:16 — Isso me lembra algo que já vi em algum lugar 🤔

03/08/2019 08:51 · Membro 0020
http://sinpcresp.org.br/posts/peritos-criam-aplicativo-que-ajuda-a-extrair-dados-do-whatsapp
03/08/2019 08:54 · Membro 0048
isso me lembra algo que já vi em algum lugar 🤔
03/08/2019 08:54 · Membro 0020
Funcionamento parecido com o spitools.apk?
03/08/2019 09:15 · Membro 0015
isso, exportando a conversa...mas cria uma pasta pra cada conversa e salva os anexos dentro bem como o txt do dialogo
03/08/2019 09:15 · Membro 0015
ja utilizei 3 ou 4 vezes e deu certo sem problemas
03/08/2019 09:16 · Membro 0048
bacana, pode me enviar o APK?

Origem 010 — 04/03/2020 09:52 a 10:04 — Ativação do modo desenvolvedor e depuração USB

04/03/2020 09:52 · Membro 0015
bom dia, alguem tem alguma solucao pra simular o touch do celular utilizando o mouse?
04/03/2020 09:52 · Membro 0015
mouse este no computador ou no proprio ap via usb
04/03/2020 09:54 · Membro 0003
pode tentar utilizando o cabo OTG e um mouse usb
04/03/2020 09:54 · Membro 0003
se o touch não estiver totalmente inoperante, dá para usar mouse bluetooth também
04/03/2020 09:55 · Membro 0003
se o debug estiver ativado, pode mandar comandos via adb
04/03/2020 09:55 · Membro 0003
adb shell input tap x y
04/03/2020 09:55 · Membro 0003
x e y são as coordenadas da tela
04/03/2020 09:56 · Membro 0003
via computador você pode usar aplicativos de espelhamento, tipo o https://www.vysor.io/ mas também precisa do debug ativado
04/03/2020 09:58 · Membro 0015
touch ta desconfigurado..clica num local e aciona outro
04/03/2020 10:04 · Membro 0050
AndroidViewClient + Cullebra
04/03/2020 10:04 · Membro 0050
http://culebra.dtmilano.com/

Origem 011 — 13/04/2020 16:12 a 16:27 — Extração e análise de mensagens do WhatsApp

13/04/2020 16:12 · Membro 0089
Boa tarde! Poderia reenviar, por favor. Não está mais disponível nessa msg
13/04/2020 16:27 · Membro 0048
<Mídia oculta>
Ataque_WhatsApp_GIF_21_01_2020.apk

Origem 012 — 01/05/2020 20:56 a 22:39 — Por gentileza, algum colega poderia encaminhar novamente essa versão do EXTRATOR_0.4.apk ou

01/05/2020 20:56 · Membro 0026
Boa noite. Por gentileza, algum colega poderia encaminhar novamente essa versão do EXTRATOR_0.4.apk ou versao mais nova?
01/05/2020 21:06 · Membro 0096
Só tenho o 0.3 aqui, se ajudar.
Sabe o que mudou dessa para a 0.4?
01/05/2020 21:07 · Membro 0026
nao sei. vi q tem uma msg antiga mencionando o 0.4.
01/05/2020 21:08 · Membro 0096
<Mídia oculta>
EXTRATOR-0.3
01/05/2020 21:09 · Membro 0020
<Mídia oculta>
EXTRATOR_0.4
01/05/2020 22:28 · Membro 0009
Procurei aqui mas não achei. Tava no cel antigo
01/05/2020 22:39 · Membro 0026
o colega ja encaminhou o apk. obrigado.

Origem 013 — 09/07/2020 14:40 a 14:41 — Extração e análise de mensagens do WhatsApp

09/07/2020 14:40 · Membro 0088
Boa tarde. Haveria a data de instalação em algum dos arquivos do whatsapp? (Obs.: extração só do whatsapp, pelo forensictools)
09/07/2020 14:41 · Membro 0088
Eu tenho certeza da data pelo sms e pela data de modificação de várias pastas e arquivos, mas gostaria de algo sólido para afirmar no laudo.

Origem 014 — 09/12/2020 08:52 a 11:59 — Consulta de data de instalação de APK via ADB

09/12/2020 08:52 · Membro 0096
Pessoal, bom dia. Beleza? Me foi quesitado o log de instalação, desinstalação de apps num Android.
Até onde sei consigo ver isso na seção Aplicativos, Aplicativos Instalados e tbm naqueles Recovery Events que fica no resumo da extração no PA.
Mais algum lugar?
09/12/2020 08:53 · Membro 0096
Pq um Redmi Note 9s não tinha nada de relevante na seção aplicativos...
09/12/2020 09:28 · Membro 0048
Vc pode tentar via adb direto usando adb shell:

diff <(adb shell pm list packages -u -3) <(adb shell pm list packages -3) |more
09/12/2020 09:28 · Membro 0048
esse comando pm list packages lista os pacotes instalados
09/12/2020 09:28 · Membro 0048
a chave '-u' inclui os desinstalados na lista
09/12/2020 09:28 · Membro 0048
a gente faz o diff para pegar os deinstalados
09/12/2020 09:28 · Membro 0096
obrigado, [NOME]! Tbm informa data?
09/12/2020 09:29 · Membro 0048
para pegar a data, acho que vc pode dar um comando adb tipo assim:
dumpsys package [nome_do_pacote]
09/12/2020 09:30 · Membro 0048
acho que dá até para montar um script mais sofisticado com awk
09/12/2020 09:31 · Membro 0048
não sei se funciona legal, vou testar aqui tb
09/12/2020 09:31 · Membro 0048
testa aí, foi uma ideia que tive, mas não sei se funciona. acho que depende do aparelho
09/12/2020 09:31 · Membro 0048
tem android que volta mais informações do que outros
09/12/2020 10:35 · Membro 0020
Tentei aqui com o cabo 133, foi até o passo 5 e deu erro informando que deu falha de conexão (provavelmente por estar fazendo o procedimento com o 133)
09/12/2020 11:32 · Membro 0096
Pessoal, GALAXY S10 em bootloop.
09/12/2020 11:33 · Membro 0030
Não tem modo de recuperação no cellebrite?
09/12/2020 11:33 · Membro 0030
Naquelas ferramentas
09/12/2020 11:33 · Membro 0096
Odin mode não rolou
09/12/2020 11:35 · Membro 0030
STK-20201209-WA0016.webp (arquivo anexado)
09/12/2020 11:35 · Membro 0048
Pode tentar entrar no recovery e limpar o *cache"
09/12/2020 11:35 · Membro 0030
Esqueci deste detalhe
09/12/2020 11:36 · Membro 0048
Atenção: *só o cache*
09/12/2020 11:59 · Membro 0045
Se conseguir deixar ele em modo Download, dá pra tentar reinstalar o firmware dele, atentando pra flashear o arquivo CSC_HOME, ao invés do arquivo CSC, pra resguardar os dados, além de ter o cuidado de manter o mesmo número de binário e mesma versão do Android, talvez ele volte à vida.

Origem 015 — 15/01/2021 11:47 a 12:25 — Extração e compatibilidade em Samsung iPhone 7 Plus

15/01/2021 11:47 · Membro 0128
Bom dia!
Estou precisando conhecimento de vcs, recebi um caso aqui em que uma menina teve o celular furtado (IPhone 7 Plus) e 5 dias depois conseguiu rastrear o aparelho chegando a um até um quiosque de manutenção de celulares aqui no centro do RJ e ao avistar um aparelho semelhante ao seu acionou a polícia. Conclusão o suposto dono do aparelho informou que comprou o aparelho de um terceiro e entregou o celular para perícia junto com a senha.
*Foi feita uma extração lógica avançada no UFED
*O IMEI que consta no suporte do cartão sim é o mesmo apresentado no sistema operacional (IMEI diferente do celular da vítima)
*Através do chat, a Apple informou que tanto o IMEI do celular analisado, quanto o IMEI da nota fiscal apresentada pela vítima são válidos e são relativos a aparelhos com as mesmas características modelo,cor)
* Desmontei o aparelho e apresentava características de que o mesmo já foi aberto e inclusive parece que a tela já foi substituída.
Quesitos:
1- É possível que o Imei tenha sido alterado?
2- Como pôde o rastreamento levar exatamente até o aparelho?
15/01/2021 11:47 · Membro 0128
👆🏼Em relação ao rastreamento pelo que estudei há uma margem de erro considerável
15/01/2021 11:50 · Membro 0020
<Mídia oculta>
AccuracyAndSpeed.docx
15/01/2021 11:50 · Membro 0020
Um pouco sobre dados de precisão GPS em celulares Apple
15/01/2021 12:02 · Membro 0045
O Imei no firmware pode ser alterado, por meio de box, mas eu ainda não vi regravarem o Imei no slot do chip, somando-se à questão do rastreio, a impressão que tenho é que a vítima errou a tacada, era o lugar certo mas foi o telefone errado.
15/01/2021 12:15 · Membro 0128
Essa alteração por box pode ser percebida?
15/01/2021 12:17 · Membro 0048
"conseguiu rastrear o aparelho chegando a um até um quiosque de manutenção de celulares aqui no centro do RJ" - a vítima mostrou isso no sistema de rastreamento, ou já afirmou que foi lá?
15/01/2021 12:19 · Membro 0003
provavelmente foi isso
15/01/2021 12:22 · Membro 0003
Foi na emoção, mas pegou o iphone errado. O dela ainda estava lá e ficou, ou já tinha sido retirado e ela pegou o mais parecido.
15/01/2021 12:22 · Membro 0045
No telefone eu já tentei diversas vezes, dissecar o firmware procurando rastros da mudança, mas não achei. Em Samsungs fica bem evidente a troca, pq o Imei original fica exposto, em plaquetas ou serigrafias.
15/01/2021 12:25 · Membro 0003
Pode ver se há outros elementos que mostrem que o celular já era utilizado anterior ao roubo, como registros de mensagens, data de instalação de aplicativos etc
15/01/2021 12:25 · Membro 0128
Pelo Registro de Ocorrência ela foi acionou a polícia militar informando do rastreamento, o policial militar afirmou no RO que avistou o celular apreendido no "local exato que mostrava o rastreamento feito pela vítima)

Origem 016 — 22/03/2021 11:05 a 11:34 — Conexão USB, ADB e diagnóstico de porta em Android

22/03/2021 11:05 · Membro 0050
Pessoal, nós aqui da PCDF fizemos um script pra remontar o tráfego ADB entre o aparelho e a máquina.
Basta capturar o tráfego com o Wireshark (precisa da lib USBPcap) e rodar o script pra ele remontar os arquivos trafegados via ADB pull e push, bem como os comandos via ADB Shell.
A ferramenta é interessante pra entendermos o que esses softwares de root (kingo, etc) fazem.
Tá no github caso alguem se interesse em usar:
https://github.com/jpclaudino/adbPcapReader

Caso tenham sucesso em descobrir algum mecanismo de root, compartilhem aqui pra aumentarmos nossa base de conhecimento.
Abraço, boa semana a todos.
22/03/2021 11:08 · Membro 0088
👏🏻👏🏻👏🏻 sempre quis fazer isso kkk, valeu!
22/03/2021 11:09 · Membro 0088
Muito bom pra verificar o processo de comandos do UFED Touch/4PC tb em algumas extrações
22/03/2021 11:34 · Membro 0020
Acho que deve funcionar pra observar algumas coisas que o UFED4pc faz também 🤔

Origem 017 — 15/09/2021 11:39 a 11:39 — Compatibilidade e extração em dispositivos Samsung Galaxy

15/09/2021 11:39 · Membro 0013
Bom dia.... Senhores estou com um SAMSUNG com a interface USB danificada. Há algum apk melhor que o helium para fazer o backup e colocar no cartao de memoria?

Origem 018 — 10/08/2022 16:31 a 17:25 — Root em dispositivo Android para extração pericial

10/08/2022 16:31 · Membro 0066
Ele atua na área de informática forense
10/08/2022 16:36 · Membro 0009
Boa tarde, senhores! Chegou esse pepino aqui pra gente. Qualquer ajuda ou orientação será bem-vinda.
10/08/2022 16:37 · Membro 0009
SOFTWARES UTILIZADOS: FTK e IEF.

RESUMO: NÃO TIVEMOS ACESSO AO S.O. (Linux com senha) PARA RODAR O APLICATIVO amule. O ARQUIVO Known.met FOI PROCESSADO PELO IEF E TROUXE REGISTROS DE UPLOAD DE MATERIAL PORNOGRÁFICO INFANTIL, OS QUAIS FORAM ENCONTRADOS NA PASTA /.aMule/Incoming/

QUESITOS DA DEFESA (a alegação do acusado é que teve o computador contaminado):

1. A técnica e os softwares utilizados na perícia da máquina têm capacidade de detectar vírus?
2. É possível acessar o histórico de download dos materiais pornográficos verificados?
3. Os arquivos com conteúdo pornográfico foram encontrados no aplicativo aMule ou na própria máquina?
4. Quantos compartilhamentos foram feitos?
5. Algum conteúdo não pornográfico foi baixado ou compartilhado pelo aMule?
6. Em sendo positiva a resposta acima, o conteúdo foi baixado ou compartilhado no mesmo dia em que o material não pornográfico foi manejado?
7. Há como saber o dia em que o aMule foi instalado na máquina e qual foi o primeiro conteúdo baixado pelo aplicativo?
8. O aplicativo aMule foi examinado?
9. Em máquinas como a periciada, há a possibilidade da instalação de vírus com acesso remoto e/ ou espelhamento, possibilitando a um terceiro o armazenamento de dados nesta máquina?
10. É possível determinar se houve a manipulação dos vídeos/ imagens em outras pastas do aparelho eletrônico?
11. No sistema de compartilhamento do programa utilizado, há a possibilidade de download e upload de arquivos dos computadores de usuários sem que tenha havido comando para tanto?
12. Há a possibilidade de serem baixados arquivos infectados por malware através do programa aMule?
13. Se a resposta anterior for positiva, há a possibilidade de instalação de vírus que acesse remotamente a máquina afetada?
14. Se a resposta anterior for positiva, há a possibilidade de o vírus instalado ter a função "autodestrutiva"?
10/08/2022 16:43 · Membro 0095
Pericia bacana...divertida de fazer...kkkkkk...a tese da defesa é que o amiguinho baixou um vírus pelo aMule que fez o download do conteúdo pornográfico da maquina dele e depois se auto destruiu....
10/08/2022 16:43 · Membro 0095
mas a máquina Linux tinha senha no bootmanager (grub) ou só no root?
10/08/2022 16:44 · Membro 0095
conseguiram resgatar a distribuição linux da máquina?
10/08/2022 16:45 · Membro 0009
Não. Essas informações não foram coletadas durante a perícia. O equipamento, creio eu, já deve até ter sido devolvido.
10/08/2022 16:47 · Membro 0003
alienígenas podem ter controlado a mente dele para ter feito isso também
10/08/2022 16:47 · Membro 0095
mas vcs ainda tem a imagem FTK da máquina?
10/08/2022 16:48 · Membro 0095
Se sim, a imagem esta em .E01 ou outro formato?
10/08/2022 16:49 · Membro 0009
<Mídia oculta>
Essa imagem é do relatório do dia da operação. O colega esqueceu de anotar a senha no dia
10/08/2022 16:49 · Membro 0009
A gente não guarda por muito tempo. A desse caso já era
10/08/2022 16:50 · Membro 0048
Virus com essa finalidade é bem exótico. Não conheço vírus semelhante, mas não descarto a possibilidade de ter um virus feito para linux sob encomenda para esse fato. Porém, bem improvável de ter esse virus.
10/08/2022 16:53 · Membro 0112
Essa tela é de um Debian
10/08/2022 16:54 · Membro 0095
Essa tese de defesa é bem comum....desconheço um vírus com essa finalidade....ainda mais para Linux...
10/08/2022 16:54 · Membro 0112
sem o HD ou imagem dele, alguns dos quesitos creio ser quase impossivel de responder, como por exemplo o 14, que demandaria uma análise de malware, que não sei se o IPED fa por padrão
10/08/2022 16:55 · Membro 0009
O que ele constatou no dia foi confirmado depois em laboratório. Só não tive acesso ao aplicativo em si.
10/08/2022 16:56 · Membro 0095
capacidade autodestrutiva do malware é relativamente comum....mas daria para rebater com os ultimos acessos e compartilhamentos....mas é o que o companheiro Conrado comentou...sem acesso a imagem é dificil de responder os quesitos...
10/08/2022 16:57 · Membro 0095
o IPED acho que não faz mesmo...mas tem o cuckoo sandbox...jogando a imagem da máquina nele ele procura e se tiver algo ele mostra se tem e qual malware...
10/08/2022 17:01 · Membro 0009
Bom, o primeiro passo então seria solicitar a máquina. Pra ver se ainda existe e se ainda tá preservada. Depois vem a questão da senha do usuário.
10/08/2022 17:03 · Membro 0112
a senha do usuário, um jeito fácil seria quebrar a senha de root, e o procedimento depende um pouco da versão do Debian instalada, depois trocar a senha do usuário
10/08/2022 17:04 · Membro 0112
com a senha de root, vc pode acessar a base de dados do apt pra ver a data de instalação do amule
10/08/2022 17:05 · Membro 0112
o histórico de download/upload do amule, estaria nos próprios arquivos deste, no diretório ~/.aMule
10/08/2022 17:10 · Membro 0112
também. dá uma olhada neste artigo:
https://docplayer.com.br/9748673-Identificacao-de-artefatos-periciais-do-emule.html
10/08/2022 17:10 · Membro 0112
o artigo fala do emule, mas dá pra fazer o paralelo
10/08/2022 17:13 · Membro 0112
Este procedimento deve funcionar na maioria dos sistemas Debian:
https://sempreupdate.com.br/como-recuperar-a-senha-root-no-linux/
10/08/2022 17:18 · Membro 0009
Pode até não achar nada: já que ele pode ter se autodestruído, de acordo com a defesa 🤦🏻‍♂️
10/08/2022 17:20 · Membro 0112
aí que entraria a análise de malware, pra achar o "vestígio" de uma possível infecção
10/08/2022 17:21 · Membro 0009
Ele pergunta tbm quantos compartilhamentos foi feito. Só que no Known.met há apenas a quantidade de bytes enviados de cada arquivo e na maioria dos registros é menor que o tamanho do arquivo.
10/08/2022 17:24 · Membro 0112
esse quesito vc pode dizer algo do tipo, que o arquivo ficou disponivel para compartilhamento para outros usuários, e que, pela característica das redes P2P, ele manda o arquivo por pedacinhos, logo, sendo possível que o mesmo arquivo tenha sido baixado de diversas fontes e remontado no destino, mas que isso não descaracteriza o compartilhamento.
10/08/2022 17:25 · Membro 0112
eu deixo vc elaborar um texto melhor q esse... kkkkk

Origem 019 — 29/08/2022 12:05 a 12:08 — Creio que dê certo. É preciso antes desinstalar

29/08/2022 12:05 · Membro 0088
Creio que dê certo. É preciso antes desinstalar?
29/08/2022 12:05 · Membro 0088
na hora de desinstalar, aparece a opção de manter os dados?
29/08/2022 12:06 · Membro 0088
ou basta rodar o apk da versão anterior que ele substitui?
29/08/2022 12:08 · Membro 0105
Precisa mandar os dados.

Origem 020 — 09/11/2022 14:12 a 14:38 — Conexão USB, ADB e diagnóstico de porta em Android

09/11/2022 14:12 · Membro 0088
Há algum comando adb que forneça o chipset?
09/11/2022 14:12 · Membro 0088
Ou pelo menu de configurações mesmo?
09/11/2022 14:18 · Membro 0048
Adb shell getprop
09/11/2022 14:19 · Membro 0048
Agora não lembro qual prop vem
09/11/2022 14:20 · Membro 0048
Pode tentar
adb shell getprop | egrep "(ro.board|ro.product.cpu|arm.variant)"
09/11/2022 14:21 · Membro 0088
Interessante, a dúvida que eu tenho é se um A115M é SDM450 ou MSM8953, ou se é a mesma coisa
09/11/2022 14:21 · Membro 0088
aí no comando veio o seguinte:
09/11/2022 14:21 · Membro 0088
[ro.board.platform]: [msm8953]
09/11/2022 14:22 · Membro 0088
[ril.modem.board]: [SDM450]
09/11/2022 14:22 · Membro 0088
[ro.hardware.chipname]: [SDM450]
09/11/2022 14:22 · Membro 0048
Mesma coisa salvo engano
09/11/2022 14:23 · Membro 0048
Qualcomm usa o código msm ou esse outro nome
09/11/2022 14:26 · Membro 0048
Acho que o soc completo eles chamam de msm e só a cpu dentro do soc ele chamam de sdm450 (snapdragon...)
09/11/2022 14:27 · Membro 0048
Acho que tem msm iguais mas com cpus internas diferentes
09/11/2022 14:30 · Membro 0048
Foi mal. Não é o mesmo não
09/11/2022 14:30 · Membro 0048
https://en.wikipedia.org/wiki/List_of_Qualcomm_Snapdragon_processors
09/11/2022 14:31 · Membro 0088
Agora já era. Brickou o aparelho aqui...
09/11/2022 14:32 · Membro 0048
Hardware do chip é o sdm450
09/11/2022 14:33 · Membro 0048
Mas como ele é retrocompativel , acho que a interface, codigo [SEGREDO] é igual a do 8953.
09/11/2022 14:35 · Membro 0117
Premium e ufed para 95% dos casos. xry, oxygen ou passware mobile para os demais.
09/11/2022 14:38 · Membro 0048
Em suma, aplicaria tecnicas para o sdm450

Origem 021 — 11/01/2023 21:08 a 21:20 — Comandos ADB para metadados de aplicativos Android

11/01/2023 21:08 · Membro 0020
Pessoal alguém teria uma cópia do spitools.apk
11/01/2023 21:20 · Membro 0080
<Mídia oculta>
spitools-1.3.apk

Origem 022 — 07/02/2023 11:25 a 11:34 — Extração e análise de variantes do WhatsApp

07/02/2023 11:25 · Membro 0088
Bom dia. A data de *desinstalação* do WhatsApp Business fica armazenada em algum arquivo android?
07/02/2023 11:25 · Membro 0088
Consegui a física deste aparelho, mas o PA apenas data de instalação
07/02/2023 11:26 · Membro 0088
Sei +- a data pelos msgstore que ficaram guardados, mas gostaria de algo mais consistente
07/02/2023 11:34 · Membro 0048
Pode ter uma data aproximada pela data de modificação do diretório
07/02/2023 11:34 · Membro 0048
Em tese, é última vez que se alterou algo dentro do dir

Origem 023 — 27/02/2023 11:04 a 11:06 — Pode buscar URLs e strings dentro do APK que talvez indique um site

27/02/2023 11:04 · Membro 0048
pode buscar URLs e strings dentro do APK que talvez indique um site ou pista de autoria
27/02/2023 11:06 · Membro 0096
É… eu achei URL aqui

Origem 024 — 03/04/2023 17:39 a 17:40 — O jeito vai ser abrir essa máquina e tentar extrair os dados com

03/04/2023 17:39 · Membro 0166
O jeito vai ser abrir essa máquina e tentar extrair os dados com o Cellebrite
03/04/2023 17:40 · Membro 0166
E jogar lá pro VírusTotal os .apk, .exe (sei lá) que rodam nessa máquina
03/04/2023 17:40 · Membro 0166
Se souber o número de algum cartão clonado...aí vai ter que garimpar dentro dos .db 😬😬

Origem 025 — 17/11/2023 09:00 a 09:15 — Root em dispositivo Android para extração pericial

17/11/2023 09:00 · Membro 0164
Bom dia. O pessoal mais experiente com android, essa informação abaixo é suficiente para dizer a data de reset do aparelho ?
17/11/2023 09:02 · Membro 0166
https://athenaforensics.co.uk/how-to-identify-when-an-android-handset-was-factory-reset/
17/11/2023 09:02 · Membro 0166
When the user configures the phone for use with a Google account, the phone creates 2 databases named after the account at the path data/Root/data/com.google.android.gm/databases/ with the prefix mailstore and internal. The creation date of those databases relates to the point of configuration of the device with that account.
17/11/2023 09:02 · Membro 0013
Ta essa info ta muito boa. Eu procurava em textos.
17/11/2023 09:02 · Membro 0166
te certifica certinho a partir desses arquivos criados
17/11/2023 09:03 · Membro 0166
eu também procuraria aquele banco de dados "Localppstate" (acho que é no /data/data/com.android.vending
17/11/2023 09:03 · Membro 0166
que lá aparece a data de instalação/update dos apps
17/11/2023 09:06 · Membro 0164
valeu pessoal, vou analisar essas outras fontes
17/11/2023 09:15 · Membro 0048
Veria nna fonte do vestígio para confirmar. Deve ter vindo do recovery.log

Origem 026 — 28/11/2024 11:11 a 11:21 — Comandos ADB para metadados de aplicativos Android

28/11/2024 11:11 · Membro 0038
Tem algum LOg a ser analisado? Algum rastro possível?
28/11/2024 11:12 · Membro 0048
pode ver os programas instalados se foram via playstore ou não
28/11/2024 11:12 · Membro 0048
e a data de instalação dos programas e ver se alguma dessas datas podem ser próximas do fato narrado pela vítima
28/11/2024 11:13 · Membro 0048
Se a vítima alega controle remoto, ver se tem programas de controle remoto como teamviewer, anydesk, e semelhantes
28/11/2024 11:13 · Membro 0048
se tiver, pode ser que esses tenham o log de conexão
28/11/2024 11:13 · Membro 0048
Mas existem malwares bancários especializados
28/11/2024 11:16 · Membro 0048
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0
Artigo de um colega daqui da PCDF sobre um malware que tem atuado aqui no Br
28/11/2024 11:16 · Membro 0048
Pode procurar por esse aí que esse malware tá bem difundido
28/11/2024 11:21 · Membro 0048
pessoa as vezes caiu numa "engenharia social" e instalou um programa tipo esse descrito no artigo:
https://player.vimeo.com/video/[TELEFONE]?h=cf2e5c0406

Origem 027 — 11/03/2025 15:05 a 15:15 — Extração e decodificação de bancos do WhatsApp

11/03/2025 15:05 · Membro 0088
Qual arquivo do whatsapp Android podemos verificar se houve uma possível desinstalação?
11/03/2025 15:07 · Membro 0166
localappstate.db
11/03/2025 15:08 · Membro 0166
fica no /data/data/com.android.gm ou gms
11/03/2025 15:08 · Membro 0166
de cabeça acho que é esse o caminho
11/03/2025 15:09 · Membro 0166
o certo é \data\data\com.android.vending\databases
11/03/2025 15:10 · Membro 0088
👍🏻 obrigado, lá informa data de exclusão etc?
11/03/2025 15:10 · Membro 0166
informa a data de instalação e último update
11/03/2025 15:11 · Membro 0166
a data de desinstalação...eu sugiro rodar no aleappGUI.exe
11/03/2025 15:11 · Membro 0166
e subentender quando parou o uso de rede por parte do WhatsApp, ou ultimos arquivos criados, etc
11/03/2025 15:15 · Membro 0096
Pessoal, algum registro de desbloqueio de SM-A057M/DS aí? Inseyets disse não ser suportado.

Origem 028 — 06/11/2025 08:23 a 08:44 — Extração e limitações em Motorola XT2433

06/11/2025 08:23 · Membro 0221
<Mídia oculta>
Bom dia, pessoal. Tenho as seguintes informações na linha do tempo do PA.
06/11/2025 08:24 · Membro 0221
Posso afirmar que essa foi a data de transferência de um dispositivo ios pro android e ativação desse aparelho?
06/11/2025 08:31 · Membro 0048
O aparelho Android é de que marca?
06/11/2025 08:32 · Membro 0166
analisa esse .db localstate
06/11/2025 08:32 · Membro 0096
Motorola g35 5G - XT2433-1
06/11/2025 08:32 · Membro 0166
que ali consta as informaçoes de instalaçao, update dos app
06/11/2025 08:40 · Membro 0048
É um indício impreciso por aparentemente ser um programa para migração de dados proveninente do iOS, porém essa data é da instação do programa (" compra" no appstore). O fato da migração ocorre em tese ao fim do processo de cópia dos dados que pode ter sido em qualquer tempo depois dessa data de instalação.
Bom ver no diretório protegido do app (se a extração for FFS), se há algum log do processo de transferência.
06/11/2025 08:42 · Membro 0096
[NOME], como que identificamos esse diretório protegido?
06/11/2025 08:43 · Membro 0088
Essa migração inclui fotos [MENCAO] ? Talvez as datas de criação diferentes da de modificação demonstrem o momento da migração? <Mensagem editada>
06/11/2025 08:43 · Membro 0048
Deve ser dentro do /data/data/migrate.ios, algo assim
06/11/2025 08:44 · Membro 0088
Logo após essa data de instalação por exemplo

Origem 029 — 23/01/2026 13:30 a 14:37 — Artefatos e vestígios de uso do WhatsApp Web

23/01/2026 13:30 · Membro 0130
Pessoal,

Boa tarde.

Apareceu uma demanda aqui.

Objetivo é verificar se o telefone foi alvo de invasão (ou clonagem) ou algo do tipo.

Como vocês procedem diante dessa requisição pericial?
23/01/2026 13:40 · Membro 0166
normalmente eles acham que clonagem é a "clonagem do whatsapp", seria isso?
que alguém conecta o WhatsApp Web e ficaria lendo as conversas
traficante que gosta de aplicar essa, que teve o WhatsApp clonado
23/01/2026 13:53 · Membro 0130
Nesse caso, pelo que li no registro da ocorrência, a vítima acredita que estão espelhando a tela ou algum.aplicativo espião mesmo
23/01/2026 14:11 · Membro 0166
o que eu já fiz foi o seguinte:

faz monta uma tabela com todos os .apk que estão na pasta /data/app
listando o nome do pacote, hash, etc
e sobe cada APK pro VírusTotal
23/01/2026 14:12 · Membro 0130
Muito obrigado, [NOME]!
23/01/2026 14:20 · Membro 0048
Já fiz um caso no qual foi identificado espelhamento de tela
23/01/2026 14:26 · Membro 0166
pode dar mais detalhes?
23/01/2026 14:37 · Membro 0048
Era um samsung e tinha algum log do tal smartview. Extração FFS