Comandos ADB para metadados de aplicativos Android
Categoria: Android, ADB, APK, USB, OTG e drivers
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre comandos ADB para metadados de aplicativos Android no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, IPED, IEF, Oxygen, FTK, ADB, ODIN. Os termos mais recorrentes neste tema incluem: data, foi, pode, mas, adb, pra, essa, aparelho, algum, instalacao. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Usar dumpsys package para metadados de instalação quando o aparelho permitir ADB.
- Registrar pacote consultado e saída relevante.
- Conferir fuso, formato de data e coerência com outros artefatos.
Ferramentas, sistemas ou marcas citadas
UFEDXRYIPEDIEFOxygenFTKADBODINWhatsAppPalavras-chave recorrentes
datafoipodemasadbpraessaaparelhoalguminstalacaoeleapkwhatsappteressemaquinamaisateDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 10/08/2017 11:33 a 11:33 — Conexão USB, ADB e diagnóstico de porta em Android
Alguém sabe o comando do adb shell pra descobrir a data de instalação de um APk?
Origem 002 — 11/08/2017 08:44 a 08:44 — Consulta de data de instalação de APK via ADB
A quem interessar: adb shell dumpsys package <nome_do_pacote>
procurar o item firstInstallTime
Origem 003 — 15/12/2017 08:04 a 08:45 — Extração e decodificação de bancos do WhatsApp
pessoal, qual a versão mais recente do whatsapp xtract que vcs possuem? eu estou com a 2.2 e algumas extrações estão recusando...
Por aqui só até essa versão mesmo
aqui temos até evitado usar, conforme o caso
várias vezes ele dá um bug e acaba não reinstalando corretamente o apk
e aí pede a configuração inicial do wpp
Já me aconteceu isso uma vez quando o PC travou antes dele restaurar a a versão de backup do wpp
Origem 004 — 08/08/2018 17:39 a 18:15 — Comandos ADB para metadados de aplicativos Android
Boa noite a todos. Obrigado
Você envio a imagem completa do aparelho ou apenas o apk?
Apenas o APK.
Origem 005 — 30/10/2018 09:04 a 11:16 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia, gente. Alguém já fez perícia envolvendo o Revealer Keylogger?
Alguém teve sucesso no root desse modelo?
Tem que ver logo se a partição do usuário está criptografada.
Só tenho aqui o 700M
Não achei informação de criptografia
é em armazenamento
Eu até encontrei recovery pro 701MT, mas estava com a partição criptografada... Aí deu 💩
Até posso te enviar, caso queira tentar aí...
[EMAIL]
Mas antes de fazer vou ter certeza que n tá criptografado
Android 7+?
Hmm... Pois é... Bom, vou te enviar e aí tu veja se faz ou não...
Eu fiz na época sem saber dessa questão da criptografia, aí deu ruim
Hoje tô bem mais cuidadoso
adb shell getprop ro.crypto.state
esse comando promete dizer que se está criptografado
C:\WINDOWS\system32>adb shell getprop ro.crypto.state
encrypted
encrypted
Origem 006 — 17/12/2018 22:24 a 22:24 — O Android View Client é uma ferramenta que permite capturar quais componentes (inclusive
O Android View Client é uma ferramenta que permite capturar quais componentes (inclusive textos) estão sendo apresentados por determinado APK, enviar comandos de touch, swipe, etc... dá pra automatizar trabalhos repetitivos e manuais...
Origem 007 — 30/04/2019 17:21 a 17:21 — Comandos ADB para metadados de aplicativos Android
Boa tarde, alguém teria pra disponibilizar o spitools.apk?
Origem 008 — 02/05/2019 10:01 a 10:01 — / spitools.apk
<Mídia oculta>
spitools.apk
spitools.apk
Origem 009 — 03/08/2019 08:51 a 09:16 — Isso me lembra algo que já vi em algum lugar 🤔
http://sinpcresp.org.br/posts/peritos-criam-aplicativo-que-ajuda-a-extrair-dados-do-whatsapp
isso me lembra algo que já vi em algum lugar 🤔
Funcionamento parecido com o spitools.apk?
isso, exportando a conversa...mas cria uma pasta pra cada conversa e salva os anexos dentro bem como o txt do dialogo
ja utilizei 3 ou 4 vezes e deu certo sem problemas
bacana, pode me enviar o APK?
Origem 010 — 04/03/2020 09:52 a 10:04 — Ativação do modo desenvolvedor e depuração USB
bom dia, alguem tem alguma solucao pra simular o touch do celular utilizando o mouse?
mouse este no computador ou no proprio ap via usb
pode tentar utilizando o cabo OTG e um mouse usb
se o touch não estiver totalmente inoperante, dá para usar mouse bluetooth também
se o debug estiver ativado, pode mandar comandos via adb
adb shell input tap x y
x e y são as coordenadas da tela
via computador você pode usar aplicativos de espelhamento, tipo o https://www.vysor.io/ mas também precisa do debug ativado
touch ta desconfigurado..clica num local e aciona outro
AndroidViewClient + Cullebra
http://culebra.dtmilano.com/
Origem 011 — 13/04/2020 16:12 a 16:27 — Extração e análise de mensagens do WhatsApp
Boa tarde! Poderia reenviar, por favor. Não está mais disponível nessa msg
<Mídia oculta>
Ataque_WhatsApp_GIF_21_01_2020.apk
Ataque_WhatsApp_GIF_21_01_2020.apk
Origem 012 — 01/05/2020 20:56 a 22:39 — Por gentileza, algum colega poderia encaminhar novamente essa versão do EXTRATOR_0.4.apk ou
Boa noite. Por gentileza, algum colega poderia encaminhar novamente essa versão do EXTRATOR_0.4.apk ou versao mais nova?
Só tenho o 0.3 aqui, se ajudar.
Sabe o que mudou dessa para a 0.4?
Sabe o que mudou dessa para a 0.4?
nao sei. vi q tem uma msg antiga mencionando o 0.4.
<Mídia oculta>
EXTRATOR-0.3
EXTRATOR-0.3
<Mídia oculta>
EXTRATOR_0.4
EXTRATOR_0.4
Procurei aqui mas não achei. Tava no cel antigo
o colega ja encaminhou o apk. obrigado.
Origem 013 — 09/07/2020 14:40 a 14:41 — Extração e análise de mensagens do WhatsApp
Boa tarde. Haveria a data de instalação em algum dos arquivos do whatsapp? (Obs.: extração só do whatsapp, pelo forensictools)
Eu tenho certeza da data pelo sms e pela data de modificação de várias pastas e arquivos, mas gostaria de algo sólido para afirmar no laudo.
Origem 014 — 09/12/2020 08:52 a 11:59 — Consulta de data de instalação de APK via ADB
Pessoal, bom dia. Beleza? Me foi quesitado o log de instalação, desinstalação de apps num Android.
Até onde sei consigo ver isso na seção Aplicativos, Aplicativos Instalados e tbm naqueles Recovery Events que fica no resumo da extração no PA.
Mais algum lugar?
Até onde sei consigo ver isso na seção Aplicativos, Aplicativos Instalados e tbm naqueles Recovery Events que fica no resumo da extração no PA.
Mais algum lugar?
Pq um Redmi Note 9s não tinha nada de relevante na seção aplicativos...
Vc pode tentar via adb direto usando adb shell:
diff <(adb shell pm list packages -u -3) <(adb shell pm list packages -3) |more
diff <(adb shell pm list packages -u -3) <(adb shell pm list packages -3) |more
esse comando pm list packages lista os pacotes instalados
a chave '-u' inclui os desinstalados na lista
a gente faz o diff para pegar os deinstalados
obrigado, [NOME]! Tbm informa data?
para pegar a data, acho que vc pode dar um comando adb tipo assim:
dumpsys package [nome_do_pacote]
dumpsys package [nome_do_pacote]
acho que dá até para montar um script mais sofisticado com awk
não sei se funciona legal, vou testar aqui tb
testa aí, foi uma ideia que tive, mas não sei se funciona. acho que depende do aparelho
tem android que volta mais informações do que outros
Tentei aqui com o cabo 133, foi até o passo 5 e deu erro informando que deu falha de conexão (provavelmente por estar fazendo o procedimento com o 133)
Pessoal, GALAXY S10 em bootloop.
Não tem modo de recuperação no cellebrite?
Naquelas ferramentas
Odin mode não rolou
STK-20201209-WA0016.webp (arquivo anexado)
Pode tentar entrar no recovery e limpar o *cache"
Esqueci deste detalhe
Atenção: *só o cache*
Se conseguir deixar ele em modo Download, dá pra tentar reinstalar o firmware dele, atentando pra flashear o arquivo CSC_HOME, ao invés do arquivo CSC, pra resguardar os dados, além de ter o cuidado de manter o mesmo número de binário e mesma versão do Android, talvez ele volte à vida.
Origem 015 — 15/01/2021 11:47 a 12:25 — Extração e compatibilidade em Samsung iPhone 7 Plus
Bom dia!
Estou precisando conhecimento de vcs, recebi um caso aqui em que uma menina teve o celular furtado (IPhone 7 Plus) e 5 dias depois conseguiu rastrear o aparelho chegando a um até um quiosque de manutenção de celulares aqui no centro do RJ e ao avistar um aparelho semelhante ao seu acionou a polícia. Conclusão o suposto dono do aparelho informou que comprou o aparelho de um terceiro e entregou o celular para perícia junto com a senha.
*Foi feita uma extração lógica avançada no UFED
*O IMEI que consta no suporte do cartão sim é o mesmo apresentado no sistema operacional (IMEI diferente do celular da vítima)
*Através do chat, a Apple informou que tanto o IMEI do celular analisado, quanto o IMEI da nota fiscal apresentada pela vítima são válidos e são relativos a aparelhos com as mesmas características modelo,cor)
* Desmontei o aparelho e apresentava características de que o mesmo já foi aberto e inclusive parece que a tela já foi substituída.
Quesitos:
1- É possível que o Imei tenha sido alterado?
2- Como pôde o rastreamento levar exatamente até o aparelho?
Estou precisando conhecimento de vcs, recebi um caso aqui em que uma menina teve o celular furtado (IPhone 7 Plus) e 5 dias depois conseguiu rastrear o aparelho chegando a um até um quiosque de manutenção de celulares aqui no centro do RJ e ao avistar um aparelho semelhante ao seu acionou a polícia. Conclusão o suposto dono do aparelho informou que comprou o aparelho de um terceiro e entregou o celular para perícia junto com a senha.
*Foi feita uma extração lógica avançada no UFED
*O IMEI que consta no suporte do cartão sim é o mesmo apresentado no sistema operacional (IMEI diferente do celular da vítima)
*Através do chat, a Apple informou que tanto o IMEI do celular analisado, quanto o IMEI da nota fiscal apresentada pela vítima são válidos e são relativos a aparelhos com as mesmas características modelo,cor)
* Desmontei o aparelho e apresentava características de que o mesmo já foi aberto e inclusive parece que a tela já foi substituída.
Quesitos:
1- É possível que o Imei tenha sido alterado?
2- Como pôde o rastreamento levar exatamente até o aparelho?
👆🏼Em relação ao rastreamento pelo que estudei há uma margem de erro considerável
<Mídia oculta>
AccuracyAndSpeed.docx
AccuracyAndSpeed.docx
Um pouco sobre dados de precisão GPS em celulares Apple
O Imei no firmware pode ser alterado, por meio de box, mas eu ainda não vi regravarem o Imei no slot do chip, somando-se à questão do rastreio, a impressão que tenho é que a vítima errou a tacada, era o lugar certo mas foi o telefone errado.
Essa alteração por box pode ser percebida?
"conseguiu rastrear o aparelho chegando a um até um quiosque de manutenção de celulares aqui no centro do RJ" - a vítima mostrou isso no sistema de rastreamento, ou já afirmou que foi lá?
provavelmente foi isso
Foi na emoção, mas pegou o iphone errado. O dela ainda estava lá e ficou, ou já tinha sido retirado e ela pegou o mais parecido.
No telefone eu já tentei diversas vezes, dissecar o firmware procurando rastros da mudança, mas não achei. Em Samsungs fica bem evidente a troca, pq o Imei original fica exposto, em plaquetas ou serigrafias.
Pode ver se há outros elementos que mostrem que o celular já era utilizado anterior ao roubo, como registros de mensagens, data de instalação de aplicativos etc
Pelo Registro de Ocorrência ela foi acionou a polícia militar informando do rastreamento, o policial militar afirmou no RO que avistou o celular apreendido no "local exato que mostrava o rastreamento feito pela vítima)
Origem 016 — 22/03/2021 11:05 a 11:34 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, nós aqui da PCDF fizemos um script pra remontar o tráfego ADB entre o aparelho e a máquina.
Basta capturar o tráfego com o Wireshark (precisa da lib USBPcap) e rodar o script pra ele remontar os arquivos trafegados via ADB pull e push, bem como os comandos via ADB Shell.
A ferramenta é interessante pra entendermos o que esses softwares de root (kingo, etc) fazem.
Tá no github caso alguem se interesse em usar:
https://github.com/jpclaudino/adbPcapReader
Caso tenham sucesso em descobrir algum mecanismo de root, compartilhem aqui pra aumentarmos nossa base de conhecimento.
Abraço, boa semana a todos.
Basta capturar o tráfego com o Wireshark (precisa da lib USBPcap) e rodar o script pra ele remontar os arquivos trafegados via ADB pull e push, bem como os comandos via ADB Shell.
A ferramenta é interessante pra entendermos o que esses softwares de root (kingo, etc) fazem.
Tá no github caso alguem se interesse em usar:
https://github.com/jpclaudino/adbPcapReader
Caso tenham sucesso em descobrir algum mecanismo de root, compartilhem aqui pra aumentarmos nossa base de conhecimento.
Abraço, boa semana a todos.
👏🏻👏🏻👏🏻 sempre quis fazer isso kkk, valeu!
Muito bom pra verificar o processo de comandos do UFED Touch/4PC tb em algumas extrações
Acho que deve funcionar pra observar algumas coisas que o UFED4pc faz também 🤔
Origem 017 — 15/09/2021 11:39 a 11:39 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia.... Senhores estou com um SAMSUNG com a interface USB danificada. Há algum apk melhor que o helium para fazer o backup e colocar no cartao de memoria?
Origem 018 — 10/08/2022 16:31 a 17:25 — Root em dispositivo Android para extração pericial
Ele atua na área de informática forense
Boa tarde, senhores! Chegou esse pepino aqui pra gente. Qualquer ajuda ou orientação será bem-vinda.
SOFTWARES UTILIZADOS: FTK e IEF.
RESUMO: NÃO TIVEMOS ACESSO AO S.O. (Linux com senha) PARA RODAR O APLICATIVO amule. O ARQUIVO Known.met FOI PROCESSADO PELO IEF E TROUXE REGISTROS DE UPLOAD DE MATERIAL PORNOGRÁFICO INFANTIL, OS QUAIS FORAM ENCONTRADOS NA PASTA /.aMule/Incoming/
QUESITOS DA DEFESA (a alegação do acusado é que teve o computador contaminado):
1. A técnica e os softwares utilizados na perícia da máquina têm capacidade de detectar vírus?
2. É possível acessar o histórico de download dos materiais pornográficos verificados?
3. Os arquivos com conteúdo pornográfico foram encontrados no aplicativo aMule ou na própria máquina?
4. Quantos compartilhamentos foram feitos?
5. Algum conteúdo não pornográfico foi baixado ou compartilhado pelo aMule?
6. Em sendo positiva a resposta acima, o conteúdo foi baixado ou compartilhado no mesmo dia em que o material não pornográfico foi manejado?
7. Há como saber o dia em que o aMule foi instalado na máquina e qual foi o primeiro conteúdo baixado pelo aplicativo?
8. O aplicativo aMule foi examinado?
9. Em máquinas como a periciada, há a possibilidade da instalação de vírus com acesso remoto e/ ou espelhamento, possibilitando a um terceiro o armazenamento de dados nesta máquina?
10. É possível determinar se houve a manipulação dos vídeos/ imagens em outras pastas do aparelho eletrônico?
11. No sistema de compartilhamento do programa utilizado, há a possibilidade de download e upload de arquivos dos computadores de usuários sem que tenha havido comando para tanto?
12. Há a possibilidade de serem baixados arquivos infectados por malware através do programa aMule?
13. Se a resposta anterior for positiva, há a possibilidade de instalação de vírus que acesse remotamente a máquina afetada?
14. Se a resposta anterior for positiva, há a possibilidade de o vírus instalado ter a função "autodestrutiva"?
RESUMO: NÃO TIVEMOS ACESSO AO S.O. (Linux com senha) PARA RODAR O APLICATIVO amule. O ARQUIVO Known.met FOI PROCESSADO PELO IEF E TROUXE REGISTROS DE UPLOAD DE MATERIAL PORNOGRÁFICO INFANTIL, OS QUAIS FORAM ENCONTRADOS NA PASTA /.aMule/Incoming/
QUESITOS DA DEFESA (a alegação do acusado é que teve o computador contaminado):
1. A técnica e os softwares utilizados na perícia da máquina têm capacidade de detectar vírus?
2. É possível acessar o histórico de download dos materiais pornográficos verificados?
3. Os arquivos com conteúdo pornográfico foram encontrados no aplicativo aMule ou na própria máquina?
4. Quantos compartilhamentos foram feitos?
5. Algum conteúdo não pornográfico foi baixado ou compartilhado pelo aMule?
6. Em sendo positiva a resposta acima, o conteúdo foi baixado ou compartilhado no mesmo dia em que o material não pornográfico foi manejado?
7. Há como saber o dia em que o aMule foi instalado na máquina e qual foi o primeiro conteúdo baixado pelo aplicativo?
8. O aplicativo aMule foi examinado?
9. Em máquinas como a periciada, há a possibilidade da instalação de vírus com acesso remoto e/ ou espelhamento, possibilitando a um terceiro o armazenamento de dados nesta máquina?
10. É possível determinar se houve a manipulação dos vídeos/ imagens em outras pastas do aparelho eletrônico?
11. No sistema de compartilhamento do programa utilizado, há a possibilidade de download e upload de arquivos dos computadores de usuários sem que tenha havido comando para tanto?
12. Há a possibilidade de serem baixados arquivos infectados por malware através do programa aMule?
13. Se a resposta anterior for positiva, há a possibilidade de instalação de vírus que acesse remotamente a máquina afetada?
14. Se a resposta anterior for positiva, há a possibilidade de o vírus instalado ter a função "autodestrutiva"?
Pericia bacana...divertida de fazer...kkkkkk...a tese da defesa é que o amiguinho baixou um vírus pelo aMule que fez o download do conteúdo pornográfico da maquina dele e depois se auto destruiu....
mas a máquina Linux tinha senha no bootmanager (grub) ou só no root?
conseguiram resgatar a distribuição linux da máquina?
Não. Essas informações não foram coletadas durante a perícia. O equipamento, creio eu, já deve até ter sido devolvido.
alienígenas podem ter controlado a mente dele para ter feito isso também
mas vcs ainda tem a imagem FTK da máquina?
Se sim, a imagem esta em .E01 ou outro formato?
<Mídia oculta>
Essa imagem é do relatório do dia da operação. O colega esqueceu de anotar a senha no dia
Essa imagem é do relatório do dia da operação. O colega esqueceu de anotar a senha no dia
A gente não guarda por muito tempo. A desse caso já era
Virus com essa finalidade é bem exótico. Não conheço vírus semelhante, mas não descarto a possibilidade de ter um virus feito para linux sob encomenda para esse fato. Porém, bem improvável de ter esse virus.
Essa tela é de um Debian
Essa tese de defesa é bem comum....desconheço um vírus com essa finalidade....ainda mais para Linux...
sem o HD ou imagem dele, alguns dos quesitos creio ser quase impossivel de responder, como por exemplo o 14, que demandaria uma análise de malware, que não sei se o IPED fa por padrão
O que ele constatou no dia foi confirmado depois em laboratório. Só não tive acesso ao aplicativo em si.
capacidade autodestrutiva do malware é relativamente comum....mas daria para rebater com os ultimos acessos e compartilhamentos....mas é o que o companheiro Conrado comentou...sem acesso a imagem é dificil de responder os quesitos...
o IPED acho que não faz mesmo...mas tem o cuckoo sandbox...jogando a imagem da máquina nele ele procura e se tiver algo ele mostra se tem e qual malware...
Bom, o primeiro passo então seria solicitar a máquina. Pra ver se ainda existe e se ainda tá preservada. Depois vem a questão da senha do usuário.
a senha do usuário, um jeito fácil seria quebrar a senha de root, e o procedimento depende um pouco da versão do Debian instalada, depois trocar a senha do usuário
com a senha de root, vc pode acessar a base de dados do apt pra ver a data de instalação do amule
o histórico de download/upload do amule, estaria nos próprios arquivos deste, no diretório ~/.aMule
também. dá uma olhada neste artigo:
https://docplayer.com.br/9748673-Identificacao-de-artefatos-periciais-do-emule.html
https://docplayer.com.br/9748673-Identificacao-de-artefatos-periciais-do-emule.html
o artigo fala do emule, mas dá pra fazer o paralelo
Este procedimento deve funcionar na maioria dos sistemas Debian:
https://sempreupdate.com.br/como-recuperar-a-senha-root-no-linux/
https://sempreupdate.com.br/como-recuperar-a-senha-root-no-linux/
Pode até não achar nada: já que ele pode ter se autodestruído, de acordo com a defesa 🤦🏻♂️
aí que entraria a análise de malware, pra achar o "vestígio" de uma possível infecção
Ele pergunta tbm quantos compartilhamentos foi feito. Só que no Known.met há apenas a quantidade de bytes enviados de cada arquivo e na maioria dos registros é menor que o tamanho do arquivo.
esse quesito vc pode dizer algo do tipo, que o arquivo ficou disponivel para compartilhamento para outros usuários, e que, pela característica das redes P2P, ele manda o arquivo por pedacinhos, logo, sendo possível que o mesmo arquivo tenha sido baixado de diversas fontes e remontado no destino, mas que isso não descaracteriza o compartilhamento.
eu deixo vc elaborar um texto melhor q esse... kkkkk
Origem 019 — 29/08/2022 12:05 a 12:08 — Creio que dê certo. É preciso antes desinstalar
Creio que dê certo. É preciso antes desinstalar?
na hora de desinstalar, aparece a opção de manter os dados?
ou basta rodar o apk da versão anterior que ele substitui?
Precisa mandar os dados.
Origem 020 — 09/11/2022 14:12 a 14:38 — Conexão USB, ADB e diagnóstico de porta em Android
Há algum comando adb que forneça o chipset?
Ou pelo menu de configurações mesmo?
Adb shell getprop
Agora não lembro qual prop vem
Pode tentar
adb shell getprop | egrep "(ro.board|ro.product.cpu|arm.variant)"
adb shell getprop | egrep "(ro.board|ro.product.cpu|arm.variant)"
Interessante, a dúvida que eu tenho é se um A115M é SDM450 ou MSM8953, ou se é a mesma coisa
aí no comando veio o seguinte:
[ro.board.platform]: [msm8953]
[ril.modem.board]: [SDM450]
[ro.hardware.chipname]: [SDM450]
Mesma coisa salvo engano
Qualcomm usa o código msm ou esse outro nome
Acho que o soc completo eles chamam de msm e só a cpu dentro do soc ele chamam de sdm450 (snapdragon...)
Acho que tem msm iguais mas com cpus internas diferentes
Foi mal. Não é o mesmo não
https://en.wikipedia.org/wiki/List_of_Qualcomm_Snapdragon_processors
Agora já era. Brickou o aparelho aqui...
Hardware do chip é o sdm450
Mas como ele é retrocompativel , acho que a interface, codigo [SEGREDO] é igual a do 8953.
Premium e ufed para 95% dos casos. xry, oxygen ou passware mobile para os demais.
Em suma, aplicaria tecnicas para o sdm450
Origem 021 — 11/01/2023 21:08 a 21:20 — Comandos ADB para metadados de aplicativos Android
Pessoal alguém teria uma cópia do spitools.apk
<Mídia oculta>
spitools-1.3.apk
spitools-1.3.apk
Origem 022 — 07/02/2023 11:25 a 11:34 — Extração e análise de variantes do WhatsApp
Bom dia. A data de *desinstalação* do WhatsApp Business fica armazenada em algum arquivo android?
Consegui a física deste aparelho, mas o PA apenas data de instalação
Sei +- a data pelos msgstore que ficaram guardados, mas gostaria de algo mais consistente
Pode ter uma data aproximada pela data de modificação do diretório
Em tese, é última vez que se alterou algo dentro do dir
Origem 023 — 27/02/2023 11:04 a 11:06 — Pode buscar URLs e strings dentro do APK que talvez indique um site
pode buscar URLs e strings dentro do APK que talvez indique um site ou pista de autoria
É… eu achei URL aqui
Origem 024 — 03/04/2023 17:39 a 17:40 — O jeito vai ser abrir essa máquina e tentar extrair os dados com
O jeito vai ser abrir essa máquina e tentar extrair os dados com o Cellebrite
E jogar lá pro VírusTotal os .apk, .exe (sei lá) que rodam nessa máquina
Se souber o número de algum cartão clonado...aí vai ter que garimpar dentro dos .db 😬😬
Origem 025 — 17/11/2023 09:00 a 09:15 — Root em dispositivo Android para extração pericial
Bom dia. O pessoal mais experiente com android, essa informação abaixo é suficiente para dizer a data de reset do aparelho ?
https://athenaforensics.co.uk/how-to-identify-when-an-android-handset-was-factory-reset/
When the user configures the phone for use with a Google account, the phone creates 2 databases named after the account at the path data/Root/data/com.google.android.gm/databases/ with the prefix mailstore and internal. The creation date of those databases relates to the point of configuration of the device with that account.
Ta essa info ta muito boa. Eu procurava em textos.
te certifica certinho a partir desses arquivos criados
eu também procuraria aquele banco de dados "Localppstate" (acho que é no /data/data/com.android.vending
que lá aparece a data de instalação/update dos apps
valeu pessoal, vou analisar essas outras fontes
Veria nna fonte do vestígio para confirmar. Deve ter vindo do recovery.log
Origem 026 — 28/11/2024 11:11 a 11:21 — Comandos ADB para metadados de aplicativos Android
Tem algum LOg a ser analisado? Algum rastro possível?
pode ver os programas instalados se foram via playstore ou não
e a data de instalação dos programas e ver se alguma dessas datas podem ser próximas do fato narrado pela vítima
Se a vítima alega controle remoto, ver se tem programas de controle remoto como teamviewer, anydesk, e semelhantes
se tiver, pode ser que esses tenham o log de conexão
Mas existem malwares bancários especializados
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0
Artigo de um colega daqui da PCDF sobre um malware que tem atuado aqui no Br
Artigo de um colega daqui da PCDF sobre um malware que tem atuado aqui no Br
Pode procurar por esse aí que esse malware tá bem difundido
pessoa as vezes caiu numa "engenharia social" e instalou um programa tipo esse descrito no artigo:
https://player.vimeo.com/video/[TELEFONE]?h=cf2e5c0406
https://player.vimeo.com/video/[TELEFONE]?h=cf2e5c0406
Origem 027 — 11/03/2025 15:05 a 15:15 — Extração e decodificação de bancos do WhatsApp
Qual arquivo do whatsapp Android podemos verificar se houve uma possível desinstalação?
localappstate.db
fica no /data/data/com.android.gm ou gms
de cabeça acho que é esse o caminho
o certo é \data\data\com.android.vending\databases
👍🏻 obrigado, lá informa data de exclusão etc?
informa a data de instalação e último update
a data de desinstalação...eu sugiro rodar no aleappGUI.exe
e subentender quando parou o uso de rede por parte do WhatsApp, ou ultimos arquivos criados, etc
Pessoal, algum registro de desbloqueio de SM-A057M/DS aí? Inseyets disse não ser suportado.
Origem 028 — 06/11/2025 08:23 a 08:44 — Extração e limitações em Motorola XT2433
<Mídia oculta>
Bom dia, pessoal. Tenho as seguintes informações na linha do tempo do PA.
Bom dia, pessoal. Tenho as seguintes informações na linha do tempo do PA.
Posso afirmar que essa foi a data de transferência de um dispositivo ios pro android e ativação desse aparelho?
O aparelho Android é de que marca?
analisa esse .db localstate
Motorola g35 5G - XT2433-1
que ali consta as informaçoes de instalaçao, update dos app
É um indício impreciso por aparentemente ser um programa para migração de dados proveninente do iOS, porém essa data é da instação do programa (" compra" no appstore). O fato da migração ocorre em tese ao fim do processo de cópia dos dados que pode ter sido em qualquer tempo depois dessa data de instalação.
Bom ver no diretório protegido do app (se a extração for FFS), se há algum log do processo de transferência.
Bom ver no diretório protegido do app (se a extração for FFS), se há algum log do processo de transferência.
[NOME], como que identificamos esse diretório protegido?
Essa migração inclui fotos [MENCAO] ? Talvez as datas de criação diferentes da de modificação demonstrem o momento da migração? <Mensagem editada>
Deve ser dentro do /data/data/migrate.ios, algo assim
Logo após essa data de instalação por exemplo
Origem 029 — 23/01/2026 13:30 a 14:37 — Artefatos e vestígios de uso do WhatsApp Web
Pessoal,
Boa tarde.
Apareceu uma demanda aqui.
Objetivo é verificar se o telefone foi alvo de invasão (ou clonagem) ou algo do tipo.
Como vocês procedem diante dessa requisição pericial?
Boa tarde.
Apareceu uma demanda aqui.
Objetivo é verificar se o telefone foi alvo de invasão (ou clonagem) ou algo do tipo.
Como vocês procedem diante dessa requisição pericial?
normalmente eles acham que clonagem é a "clonagem do whatsapp", seria isso?
que alguém conecta o WhatsApp Web e ficaria lendo as conversas
traficante que gosta de aplicar essa, que teve o WhatsApp clonado
que alguém conecta o WhatsApp Web e ficaria lendo as conversas
traficante que gosta de aplicar essa, que teve o WhatsApp clonado
Nesse caso, pelo que li no registro da ocorrência, a vítima acredita que estão espelhando a tela ou algum.aplicativo espião mesmo
o que eu já fiz foi o seguinte:
faz monta uma tabela com todos os .apk que estão na pasta /data/app
listando o nome do pacote, hash, etc
e sobe cada APK pro VírusTotal
faz monta uma tabela com todos os .apk que estão na pasta /data/app
listando o nome do pacote, hash, etc
e sobe cada APK pro VírusTotal
Muito obrigado, [NOME]!
Já fiz um caso no qual foi identificado espelhamento de tela
pode dar mais detalhes?
Era um samsung e tinha algum log do tal smartview. Extração FFS