Wiki CompFor
Android, ADB, APK, USB, OTG e drivers

Extração lógica e Android Backup via ADB

Categoria: Android, ADB, APK, USB, OTG e drivers

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre extração lógica e Android Backup via ADB no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, XRY, IPED, Magnet AXIOM, IEF, Oxygen, FTK. Os termos mais recorrentes neste tema incluem: backup, mas, extracao, fazer, pra, logica, esse, whatsapp, pelo, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Tentar métodos lógicos/backup quando métodos físicos não forem suportados.
  • Verificar se o backup inclui aplicativos de interesse.
  • Documentar limitações de versões Android e permissões.

Ferramentas, sistemas ou marcas citadas

UFEDPhysical AnalyzerXRYIPEDMagnet AXIOMIEFOxygenFTKEnCaseADBODINBitLockerWhatsAppiTunesiCloud

Palavras-chave recorrentes

backupmasextracaofazerpralogicaessewhatsapppeloeleandroidufedadbmesmofoipodearquivosfaz

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 02/04/2018 19:03 a 19:11 — Extração e root em dispositivos LG

02/04/2018 19:03 · Membro 0033
Fiz um LG C398 por meio do UFED -> LG C365 -> extração lógica
02/04/2018 19:05 · Membro 0033
testa aí, vê se dá certo
02/04/2018 19:11 · Membro 0034
Vou tentar. Muito obrigado.

Origem 002 — 23/08/2018 18:12 a 18:31 — Extrações, importação e limitações no XRY

23/08/2018 18:12 · Membro 0037
Pessoal, boa tarde!
Segundo o que conhecem, quais são os _softwares_ de investigação forense digital que são comercializados no Brasil?
23/08/2018 18:16 · Membro 0026
Ftk, encase, nuix, axion, os da Cellebrite, xry, passware, oxygen.
23/08/2018 18:19 · Membro 0037
Os específicos para análise de sistemas de arquivos seriam o FTK, Encase, Nuix e AXIOM/IEF?
23/08/2018 18:21 · Membro 0026
Sim. Nao conheço o Nuix. Só de ouvir a respeito.
23/08/2018 18:22 · Membro 0003
Estou testando ele, parece ser interessante
23/08/2018 18:23 · Membro 0037
Saberia dizer qual empresa (brasileira) o comercializa?
23/08/2018 18:23 · Membro 0003
É da empresa que fez o oxygen
23/08/2018 18:24 · Membro 0037
Beleza, valeu pela informação.
23/08/2018 18:25 · Membro 0003
Eu usei muito pouco ainda, mas achei interessante os tags que ele faz na imagem, reconhecendo quando tem rosto, pessoas, objetos, texto, faz ocr
23/08/2018 18:25 · Membro 0003
Mas o processamento é bem lento
23/08/2018 18:26 · Membro 0037
[MENCAO] ele é específico para processamento de imagens, ou é similar a um FTK (por exemplo)?
23/08/2018 18:27 · Membro 0048
Nuix achei pesado. Estação z820 da senasp pediu arrego 96% de cpu/gpu
23/08/2018 18:27 · Membro 0048
Axion achei muito bom. Boa evolução do ief
23/08/2018 18:31 · Membro 0003
Ele parece processar computadores e celulares. Mas eu só testei com uma extração lógica de um celular que estava bloqueado, então a análise foi bem limitada

Origem 003 — 15/10/2018 07:30 a 09:57 — Extração e decodificação de bancos do WhatsApp

15/10/2018 07:30 · Membro 0013
Bom dia .....
Acho que alguém já disse aqui no grupo, mas nao custa nada perguntar novamente.
Há um modo seguro de rootear os aparelhos da LG da família K?
15/10/2018 07:40 · Membro 0044
Bom dia! Estou tentando usar o IPED da PF, mas ainda não consegui rodar. Sempre recebo um erro. Segue o erro:
15/10/2018 07:40 · Membro 0044
E:\Pericia\Ferramentas\IPED\IP [ID-CASO]\ip [ID-CASO]>java -jar "E:\Pericia\Ferramentas\IPED\IP [ID-CASO]\ip [ID-CASO]\i
ped.jar" -d "E:\Politec\Laudos\Informatica\2018\Relatorio" -o "C:\IPED_processado" --portable
Exception in thread "main" java.lang.UnsatisfiedLinkError: C:\Users\[NOME]\AppData\Local\Temp\indexador-temp1539516194235\nativelibs\vccorlib140.dll: Can't fi
nd dependent libraries
at java.base/java.lang.ClassLoader$NativeLibrary.load0(Native Method)
at java.base/java.lang.ClassLoader$NativeLibrary.load(ClassLoader.java:2430)
at java.base/java.lang.ClassLoader$NativeLibrary.loadLibrary(ClassLoader.java:2487)
at java.base/java.lang.ClassLoader.loadLibrary0(ClassLoader.java:2684)
at java.base/java.lang.ClassLoader.loadLibrary(ClassLoader.java:2617)
at java.base/java.lang.Runtime.load0(Runtime.java:767)
at java.base/java.lang.System.load(System.java:1831)
at dpf.sp.gpinf.indexer.util.Util.loadNatLibs(Util.java:371)
at dpf.sp.gpinf.indexer.Configuration.getConfiguration(Configuration.java:480)
at dpf.sp.gpinf.indexer.IndexFiles.main(IndexFiles.java:280)
15/10/2018 07:41 · Membro 0044
Alguém tem alguma dica??
15/10/2018 07:43 · Membro 0048
Pelo nome da dll, instala o visual studio runtime
15/10/2018 08:43 · Membro 0045
Bom dia. [NOME] esse cara aí não é rooteável, nele tu vai fazer o seguinte, faz uma extração lógica pelo cellebrite, e faz um backup nele mesmo, jogando os dados pra um cartão de memória, através do aplicativo lgbackup disponível no próprio telefone, o qual tu pode processar no PA pela opção LG/LG backup, no abrir avançado, pega tudo que a gente quer.
15/10/2018 08:45 · Membro 0045
[NOME] tá usando em qual SO, Windows ou Linux ??
15/10/2018 08:49 · Membro 0044
Windows 7
15/10/2018 08:50 · Membro 0044
Já atualizei a variável PATH com o local do Java
15/10/2018 08:50 · Membro 0013
Beleza meu caro, vou tentar. Fiz a logica e SA mas não veio o WhatsApp
15/10/2018 09:02 · Membro 0013
[NOME], quando vier a Fortaleza, terá uma cerveja bem geladinha pra ti. Deu certo aqui, vieram as conversas.
15/10/2018 09:34 · Membro 0045
O que eu tenho visto por aqui, é que, tanto no Windows quanto no Linux, ele exige uma quantidade minima de memória física na máquina, que, caso não exista essa quantidade, ele começa a disparar uma série de erros, dentre eles uma menção a alguma coisa sobre Java, como aconteceu contigo. Aqui, com menos de 12 gb não adiantava nem começar a tentar. Outro detalhe é que, aqui tem um perito nosso que trabalho no CAEX, que também faz processamentos por lá, ele só gosta de usar o Windows. Me relatou que pra conseguir rodar bem nas versões 3.14.x do Iped, ele teve que manter a versão 1.71 do Java, a versão 1.8 não funcionava. Depois do downgrade do Java, funcionou. No Linux não tenho esse problema de Java, desde que tenha 12 gb de memória mínima.
15/10/2018 09:41 · Membro 0008
12GB mínimo? Meu Deus... Os PC "bons" aqui quando tem 8GB já levantamos as mãos pro alto... num pau brabo tem alguma workstation em alguns núcleos específicos com no mínimo 12.. 😪😪
15/10/2018 09:46 · Membro 0045
Outro detalhe, testei as versões 3.14.x do Iped, e a única que veio a ficar estável, no Linux, foi a 3.14.4, as outras davam erro de “out of memory”.
15/10/2018 09:46 · Membro 0015
tem como limitar o uso da memoria pelo iped
15/10/2018 09:46 · Membro 0015
pra nao dar out of memory
15/10/2018 09:48 · Membro 0044
Valeu, obrigado pela informação. Vou fazer o downgrade do Java.
15/10/2018 09:48 · Membro 0045
Lamentável isso gente, nós tínhamos que ter os melhores equipamentos do Estado, assim é muito difícil produzir bons resultados, sem esquecer de que a dificuldade e a geometria dos itens que periciamos, só tende a aumentar.
15/10/2018 09:49 · Membro 0015
ou entao limita o numero de threads
15/10/2018 09:49 · Membro 0015
no arquivo LocalConfi.txt
15/10/2018 09:50 · Membro 0008
<Mídia oculta>
Isso foi o que conseguimos de "melhor" recentemente... Um All in One Lenovo...
15/10/2018 09:50 · Membro 0045
O manual do Iped sugere alguma alterações que podem ser feitas, no SO ou nos próprios arquivos de configuração do Iped, pra tentar sanar o erro, mas ele só conseguir ser sanado mesmo, depois que saiu a versão 3.14.4.
15/10/2018 09:51 · Membro 0008
Aguardamos um processo de licitação pra 2 máquinas realmente condizentes, porém até agora não andou mais
15/10/2018 09:51 · Membro 0018
Aqui na GMP de caçador temos 3 pcs com 32 GB, sendo um xeon e dois i7
15/10/2018 09:51 · Membro 0008
Glória... A deuxxxx 😅😅
15/10/2018 09:51 · Membro 0018
Mas pq o judiciário comprou, já o estado....
15/10/2018 09:52 · Membro 0008
Pois é... Aqui bateu na trave nosso Cellebrite.. Porém não recebemos.. Ficou em 5ª posição nas prioridades da Vara de Execuções
15/10/2018 09:52 · Membro 0008
Por alguns dias de diferença subiu de uns 180mil pra mais de 300
15/10/2018 09:53 · Membro 0008
Venceu a validade da proposta e o representante não manteve depois....
15/10/2018 09:57 · Membro 0019
Manda pra Concórdia... La a DIC conseguiu um cellebrite com o judiciário 😅

Origem 004 — 22/10/2018 12:10 a 12:10 — Extração e compatibilidade em Samsung SMART

22/10/2018 12:10 · Membro 0045
Consegui uma licença trial do Axiom com o intuito de tentar reconhecer os backups “smart switch backup” da Samsung, no entanto não tive sucesso pra que ele conseguisse processar o backup, mas continuando a peregrinação achei o “Mobiledit”, que se propõe a reconhecer esses formatos de backup da Samsung, além de outras inúmeras promessas boas, o problema é que o mobiledit não tem trial, e a versão full dele é cerca de 6k😢😢 já comecei a choradeira por aqui pra tentar levantar esse valor.

Origem 005 — 30/10/2018 18:44 a 18:57 — Extração e compatibilidade em Samsung SM-G570M

30/10/2018 18:44 · Membro 0021
Neste não tem a opção de backup. Há outra técnica ou método?
30/10/2018 18:52 · Membro 0021
Também já desbloqueram ou extrairam o dispositivo sm-g570m?
30/10/2018 18:53 · Membro 0021
Não consegui extrair o conteúdo do sistema parcial de arquivos.
30/10/2018 18:53 · Membro 0018
Já extraí de aparelho desbloqueado. E só a lógica
30/10/2018 18:55 · Membro 0020
Pessoal pela pasta em que está armazenada (. Cliptray) e pela nomenclatura é possível afirmar que ela foi uma captura de dela gerada no celular analisado?
30/10/2018 18:57 · Membro 0053
Desbloqueado faz a backup tbm no G570M

Origem 006 — 27/12/2018 16:34 a 16:52 — Root e extração em SM-G532MT

27/12/2018 16:34 · Membro 0003
alguém tem um root ou recovery que funcione para o SM-G532MT, o j2?
27/12/2018 16:35 · Membro 0003
estou colocando a recovery, mas mesmo dando reboot direto para recovery, vai para a stock
27/12/2018 16:36 · Membro 0048
Existe sim um twrp para ele
27/12/2018 16:38 · Membro 0021
Aqui tem inúmeros twrp
27/12/2018 16:40 · Membro 0021
Tenha cuidado, pois o twrp pode dar certo com algumas compilações e formatar com outras. Realize primeiro a extração lógica.
27/12/2018 16:41 · Membro 0003
já fiz a lógica, tinha até dando um soft brick no telefone, mas consegui voltar
27/12/2018 16:41 · Membro 0003
agora só todas as aplicações estão parando
27/12/2018 16:41 · Membro 0048
Cuidado. Só sobe o twrp. Não inventa de subir rw para system ou altere qualquer bit pq dependendo da versão ativa o dmverity e baubau
27/12/2018 16:47 · Membro 0021
Além disso, dependendo da compilação utiliza-se um TWRP ou CF autoroot.
27/12/2018 16:52 · Membro 0003
tá dando o recovery is not seandroid enforcing e não entra na recovery...

Origem 007 — 25/01/2019 08:57 a 11:26 — Extração e decodificação de bancos do WhatsApp

25/01/2019 08:57 · Membro 0015
Como proceder? estou com dois aqui e nao temos xry
25/01/2019 09:04 · Membro 0042
<Mídia oculta>
bkp_user_datapdf.pdf
25/01/2019 09:04 · Membro 0042
no site https://www.sammobile.com/ vc encontra diferentes versões do SO
25/01/2019 09:04 · Membro 0042
dai vc faz o flash via Odin
25/01/2019 09:14 · Membro 0013
da para instalar tbm o LGBackup. Mas nao pega WhatsApp.
25/01/2019 09:14 · Membro 0015
tentei instalar mas n aceitava
25/01/2019 09:14 · Membro 0015
tentei ate a versao 5
25/01/2019 09:15 · Membro 0015
se n me engano ta na versao 7
25/01/2019 09:15 · Membro 0015
so consegui a extracao logica com ufed
25/01/2019 09:15 · Membro 0027
Alguém conseguiu fazer? Tenho 2 aqui.
25/01/2019 09:16 · Membro 0013
Então já deu. Rs. S45
25/01/2019 09:18 · Membro 0013
ate ontem.... eu so fazia logica, sistema de arquivos e LGBackup.
25/01/2019 09:22 · Membro 0015
poderia disponibilizar o apk do LGbackup q ta usando?
25/01/2019 09:23 · Membro 0013
Posso. Envio daqui 15min
25/01/2019 09:48 · Membro 0071
Aqui no DF, quando o aparelho está desbloqueado e não conseguimos root tentamos pegar os seguintes itens:
1) Extração lógica
2) Extração do sistema de arquivos
3) Adb backup (normalmente sem downgrade por ser android 7 ou superior)
4) Exportação por email do WhatsApp com spitools (criação da pasta fake para tentar superar o limite dos 10MB)
5) Printscreen e/ou gravação de vídeo para os demais itens que forem relevantes.
25/01/2019 09:51 · Membro 0071
<Mídia oculta>
Apenas exemplificando a parte do WhatsApp.
25/01/2019 09:51 · Membro 0071
<Mídia oculta>
Depois de executar o plugin
25/01/2019 09:52 · Membro 0071
Observações:
O arquivo contacts.txt ainda não é gerado pelo spitools, tem de usar o email-bkp-para-arquivo.
Para importar no UFED utilizamos um script do tipo plugin do UFED
Para automatizar os cliques manuais, Android View.
25/01/2019 09:53 · Membro 0034
Chique demais esse negócio. Tem um manual?
25/01/2019 10:14 · Membro 0071
<Mídia oculta>
SPIWhatsAppEmail.zip
25/01/2019 10:14 · Membro 0071
Faltou apenas a parte do Android View que ainda não tem manual
25/01/2019 10:16 · Membro 0071
<Mídia oculta>
spitools-1.2.apk
25/01/2019 10:16 · Membro 0071
☝versão com algumas correções (ajuste para a versão mais nova do WhatsApp)
25/01/2019 10:18 · Membro 0071
Pessoal, lembrando que a gente tem feito esses programas no pouco tempo que sobra no dia a dia.
Para rodar eles, é importante ter algum conhecimento de programação python, android e shell linux.
25/01/2019 10:20 · Membro 0001
👏👏👏👏massa [NOME]! Parabéns
25/01/2019 10:20 · Membro 0001
Obrigado por compartilhar
25/01/2019 10:27 · Membro 0071
O mestre do script do UFED é o [MENCAO]​.
25/01/2019 10:35 · Membro 0013
<Mídia oculta>
LG Mobile BACKUP.apk
25/01/2019 11:18 · Membro 0072
Aqui no Paraná passamos os arquivos do WhatsApp exportados via email para o MobileMerger. Aí ele já formata direto no relatório final pdf
25/01/2019 11:23 · Membro 0009
Mas acho q existe uma limitação com relação à quantidade de mensagens exportadas. Não vai tudo.
25/01/2019 11:24 · Membro 0009
Pelo menos a versão q tenho não exporta tudo
25/01/2019 11:24 · Membro 0072
Verdade, aí tem que criar aquele diretório fake de mídias antes de exportar via email, para bypassar essa limitação
25/01/2019 11:26 · Membro 0072
... via spitools

Origem 008 — 19/07/2019 17:06 a 17:06 — Conexão USB, ADB e diagnóstico de porta em Android

19/07/2019 17:06 · Membro 0018
Estou com 2 celulares aqui que quando o xry manda fazer o backup por ADB, o aparelho reinicia
19/07/2019 17:06 · Membro 0018
Tentei fazer o bkp por comando adb e ocorreu o mesmo
19/07/2019 17:06 · Membro 0018
Alguém pegou algo semelhante?

Origem 009 — 14/08/2019 11:21 a 11:21 — Exatamente. O backup seria feito dos dados e não das partições, como é

14/08/2019 11:21 · Membro 0045
Exatamente. O backup seria feito dos dados e não das partições, como é feito pelos twrps.

Origem 010 — 17/09/2019 17:55 a 17:55 — Consegui fazer o backup. Segue o link do Youtube que mostra o método

17/09/2019 17:55 · Membro 0021
Consegui fazer o backup. Segue o link do Youtube que mostra o método e a ferramenta usada. https://www.youtube.com/watch?v=6sdwnHwcoOM

Origem 011 — 29/09/2019 15:13 a 15:19 — Extração e análise de mensagens do WhatsApp

29/09/2019 15:13 · Membro 0060
Pois é.. o modelo do aparelho é SM-J600GT/DS. Agora vou enviar a extração lógica realizado e informar no laudo do ocorrido
29/09/2019 15:19 · Membro 0060
Ainda sobre Whatsapp estou com cópia em papel da tela do Whatsapp com horário divergente da hora que visualizo na tela do smartphone com 1h a mais. Essa mensagem foi de 2014, provavelmente durante horário de verão. O campo hora do Whatsapp não é estático? É uma referência da hora atual?

Origem 012 — 10/10/2019 09:41 a 10:49 — Conexão USB, ADB e diagnóstico de porta em Android

10/10/2019 09:41 · Membro 0088
Bom dia! Alguém sabe informar se tem alguma forma de root para o Samsung G532M sem necessitar de wipe/format?
10/10/2019 09:42 · Membro 0088
Nos tutoriais que vi, uma das etapas é dar wipe no TWRP.
10/10/2019 09:42 · Membro 0088
Se eu instalar o TWRP já consigo fazer um backup nele, mesmo sem root?
10/10/2019 09:43 · Membro 0003
se conseguir instalar o TWRP sem wipe, dá para fazer o backup
10/10/2019 09:44 · Membro 0088
Blz, vou tentar aqui! Obrigado!
10/10/2019 10:02 · Membro 0045
Esse telefone é criptografado, não tem como fazer backup via twrp, se ele estiver desbloqueado só o apk downgrade consegue pegar bate papos. Essa foi a família que mais me bateu,
10/10/2019 10:03 · Membro 0088
Pois é, tô achando estranho os tutoriais solicitarem wipe, é a criptografia provavelmente
10/10/2019 10:03 · Membro 0088
Apesar do android ser 6.0.1
10/10/2019 10:04 · Membro 0088
vou instalar o twrp agora para ver se é possível fazer algo.
10/10/2019 10:07 · Membro 0045
Firmwares pós 2018 implementaram a checagem do hash do firmware, se não passar na checagem, vai ficar inutilizado irreversivelmente, não aconselho fazer root nele, se o path for de 2018 pra frente.
10/10/2019 10:16 · Membro 0088
userdata inacessível pra backup, existe algum comando estilo dd q eu consiga fazer o dump de tudo, mesmo q criptografado?
10/10/2019 10:19 · Membro 0045
A partição mmcblk0 é a memória interna toda, ela sai via dd.
10/10/2019 10:36 · Membro 0088
Instalei o supersu, deu um monte de pau na instalação 😅, ficava tentando montar o /data, mas parece q deu certo
10/10/2019 10:37 · Membro 0088
A extração rooted já vai salvando descriptografado os dados do bin?
10/10/2019 10:38 · Membro 0088
Usei os arquivos desse aí ☝🏻
10/10/2019 10:39 · Membro 0088
talvez não era criptografia, mas algum bloqueio de acesso, né?
10/10/2019 10:40 · Membro 0050
Em aparelhos cifrados é importante deixar o TWRP no modo read only. A chance de dar algum problema com o dm-verity é grande e os dados serem perdidos de forma irrecuperável.
Quando utilizamos substituição de partição de recovery aqui no DF, geralmente subimos o TWRP e damos o seguinte comando pra copiar o bloco mmcblk0:
adb pull /dev/block/mmcblk0 -a
O TWRP já sobe o adb server, então facilita o nosso lado. Nao precisa utilizar DD.
10/10/2019 10:44 · Membro 0050
<Mídia oculta>
getprops.bat
10/10/2019 10:46 · Membro 0050
Perito [NOME] aqui da seção fez esse bat pra verificar o estado da cifra de disco. A propriedade ro.crypto.state vai informar se esta cifrado ou nao.
Se estiver cifrado, uso do TWRP vai ser praticamente inútil.
Melhor tentar alguma técnica da Cellebrite que faça quebra de criptografia.
10/10/2019 10:48 · Membro 0088
👍🏻👍🏻. Quando terminar a extração rodo esse bat para ver se era criptografia a falta de acesso ao userdata
10/10/2019 10:49 · Membro 0003
Eu peguei um que não retornou nada dessa prop mas mesmo assim estava criptografado...

Origem 013 — 15/10/2019 13:29 a 14:39 — Extração e análise de mensagens do WhatsApp

15/10/2019 13:29 · Membro 0021
Boa tarde! Em um dispositivo informático com SO Android acima de 7.0, realizou-se somente a extração lógica. Não foi possível extrair a localização por meio do UFED 1. É possível extrair a localização de forma manual ou por meio de um aplicativo específico?
15/10/2019 13:31 · Membro 0021
GPS e Google Maps.
15/10/2019 13:37 · Membro 0011
Se tiver a senha da conta registrada pode baixar pelo takeout
15/10/2019 13:37 · Membro 0011
https://takeout.google.com/settings/takeout
15/10/2019 13:37 · Membro 0011
Só verifique se a autorização judicial permite baixar da nuvem.
15/10/2019 13:39 · Membro 0021
Já ia perguntar isso. Somente com autorização judicial. Se não tiver a autorização judicial você informa no seu laudo desse possibilidade?
15/10/2019 13:45 · Membro 0011
Diligência pedindo autorização em procedimentonsigiloso. Se você colocar no laudo a parte pode ter acesso e apagar conteúdo na nuvem.
15/10/2019 13:48 · Membro 0060
https://www.instagram.com/p/B3pCDh4lPx4/?igshid=xlok6qr49ok9
15/10/2019 14:25 · Membro 0001
👏👏👏👏👏 merecido! Parabéns ao colega [NOME].
15/10/2019 14:37 · Membro 0020
Seria interessante adicionar o [NOME] nesse grupo. Perito muito acessível e muito capaz 👏🏼👏🏼
15/10/2019 14:37 · Membro 0097
O problema é que ele não usa WhatsApp. Segundo ele. Kkkk
15/10/2019 14:39 · Membro 0020
Ele tem paz de espírito então kkk

Origem 014 — 21/10/2019 12:19 a 12:59 — / Método e/ou software/ferramenta pra identificar as senhas armazenadas no Android

21/10/2019 12:19 · Membro 0021
Bom dia!
Método e/ou software/ferramenta pra identificar as senhas armazenadas no Android?
21/10/2019 12:41 · Membro 0021
Ou um aplicativo que faz extração, especificamente, da conta e senha do Google?
21/10/2019 12:55 · Membro 0078
No relatório do Ufed tem um item "senhas".
21/10/2019 12:57 · Membro 0021
Não foi possível na extração lógica.
21/10/2019 12:58 · Membro 0021
https://www.techtudo.com.br/dicas-e-tutoriais/2017/11/como-consultar-uma-senha-salva-no-google-chrome-para-android.ghtml
21/10/2019 12:59 · Membro 0021
Consegui a senha do Google no navegador Google Chrome.

Origem 015 — 25/10/2019 20:47 a 21:01 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

25/10/2019 20:47 · Membro 0042
Se a versão do Android for 6 ou inferior, basta executar um adb reboot edl
25/10/2019 20:47 · Membro 0042
Q o aparelho irá reiniciar já em modo EDL
25/10/2019 21:01 · Membro 0088
Acho q esse modelo é um 7.1 pra cima.

Origem 016 — 16/01/2020 07:50 a 07:50 — Extração e bloqueios em Xiaomi/Redmi/POCO

16/01/2020 07:50 · Membro 0058
Bom dia! Consegui realizar a extracao logica avançada em um xiaomi pelo UFED, mas este nao recuperou os emails contidos no gmail. Vi que lá tem muitos do interesse da investigação. Alguem tem sugestoes de como exportar estes emails?

Origem 017 — 21/01/2020 17:01 a 17:21 — Conexão USB, ADB e diagnóstico de porta em Android

21/01/2020 17:01 · Membro 0096
Alguma ideia sobre o local pra onde vai esse image.bin?
21/01/2020 17:01 · Membro 0096
Pq pra pasta do minimal adb não foi
21/01/2020 17:06 · Membro 0088
O Path q o cmd tava era qual? Estranho
21/01/2020 17:16 · Membro 0088
Talvez tenha algo a ver com permissão administrativa
21/01/2020 17:16 · Membro 0088
O comando acho q pode ser sem nome do arquivo de saída tb, se não me engano
21/01/2020 17:17 · Membro 0088
Aí ele cria um arquivo mmcblk0
21/01/2020 17:17 · Membro 0088
Esse tamanho não tá condizente com o j500m
21/01/2020 17:18 · Membro 0088
Pode ser q tenha q fazer pull em outros blk, n sei... Ou deu algum erro mesmo
21/01/2020 17:21 · Membro 0003
Deve ter sido isso, não teve permissão de escrita dentro dessa pasta

Origem 018 — 02/03/2020 14:03 a 14:35 — Bootloader, desbloqueio OEM e risco de wipe

02/03/2020 14:03 · Membro 0088
Alguém aí sabe como funciona a vulnerabilidade checkm8? Se teria alguma forma através dela de realizarmos extrações de iPhones bloqueados sem o uso do 4PC ou touch?
02/03/2020 14:07 · Membro 0048
Já tentei uma vez em um iphoneX usando código fonte no github e executando num Mac. Começou bem mas no meio do processo parou.
02/03/2020 14:17 · Membro 0088
Consegue-se fazer um dump físico ou um backup ou cópia das pastas?
02/03/2020 14:18 · Membro 0048
É um pouco complexo
02/03/2020 14:19 · Membro 0048
Em tese o checkm8 " abre as portas" para se executar um código qualquer no bootloader. Pessoal da cellebrite aplica o checkm8 e executa um codigo para dump
02/03/2020 14:24 · Membro 0048
Código no git é meio genérico. Necessita outras coisas para se fazer dump
02/03/2020 14:28 · Membro 0088
Tenho algums iphones de casos antigos que soltei o laudo informando não ter sido possível extrair, mas que p aparelho ia ficar guardadinho custodiado no IC pra caso surgisse nova tecnologia. Esse dia tá chegando, kkkk.
02/03/2020 14:29 · Membro 0088
O 4PC atualizado já faz então, sem problemas, né? só temos o touch aqui.
02/03/2020 14:32 · Membro 0096
<Mídia oculta>
Alguma dica?
02/03/2020 14:35 · Membro 0088
Se não rolar, faz na mão pelo PC usando o comando adb backup -all -blabla. Uma vez só consegui um completo pelo terminal ADb mesmo

Origem 019 — 27/05/2020 10:05 a 11:02 — Recuperação de mensagens e vestígios do WhatsApp

27/05/2020 10:05 · Membro 0013
Bom dia. Estou com um Motorola modelo xt1069 sem senha. Já fiz extração lógica avançada. O que ocorre é o seguinte
27/05/2020 10:08 · Membro 0013
mesmo setando no modo desenvolvedor para que ao inserir o cabo o USB seja habilitado o modo MTP. Ele sempre esta habilitando somente "carregando". ja pesquisei e vi APKs que resolvem isso, mas o aparelho deve estar rooteado. Sendo motorola tenho que pensam em outra forma que seja rootear. Nem a estração sistemas de arquivos esta dando certo devido a isso.
27/05/2020 10:10 · Membro 0010
Tem algum aplicativo de "proteção de carga"
27/05/2020 10:10 · Membro 0010
Aqueles que ajudam a recarregar o aparelho
27/05/2020 10:11 · Membro 0010
Eu passei por um situação exatamente como essa na sexta feira!
27/05/2020 10:11 · Membro 0010
Depois de desabilitar esse aplicativo o celular extraiu a filé sistema com bkp sem problemas
27/05/2020 10:13 · Membro 0013
Tinha um para carregar rápido mas já tinha desinstalado.
27/05/2020 10:14 · Membro 0109
Nas opções de desenvolvedor tem opção para deixar como padrão o MTP assim que conectar. Pode tentar isso.
27/05/2020 10:14 · Membro 0013
Já foi. Mesmo assim muda
27/05/2020 10:14 · Membro 0010
Nas configurações do modo desenvolvedor tem uma opção pra mudar o usb
27/05/2020 10:14 · Membro 0010
Opa
27/05/2020 10:15 · Membro 0109
Pior dos casos faz via Bluethooth essa parte.
27/05/2020 10:15 · Membro 0010
Vc tem um microondas perto? Liga ele 3 minutos no microondas e faz o laudo dizendo que o aparelho veio danificado!
27/05/2020 10:16 · Membro 0013
A lógica deu certo porque não reinicia o aparelho.
27/05/2020 10:16 · Membro 0010
Já deu essa bodega comigo também
27/05/2020 10:16 · Membro 0010
Quando ele reiniciar
27/05/2020 10:16 · Membro 0010
Eu desconectei do cabo
27/05/2020 10:16 · Membro 0010
Aí quando ele liga o ufed fica esperando
27/05/2020 10:17 · Membro 0010
Eu conectei no cabo e já pedi pra mudar pra transferência
27/05/2020 10:17 · Membro 0010
Era um moto rola tambem
27/05/2020 10:19 · Membro 0010
Pelo que deu a entender ele não deixava mudar o padrão USB quando o celular ligava já com o cabo conectado
27/05/2020 11:02 · Membro 0020
Na pior das hipóteses exporta as conversas do WhatsApp via aplicativo

Origem 020 — 02/06/2020 17:47 a 18:14 — Extração e análise de dados em iPhone/iOS

02/06/2020 17:47 · Membro 0023
Boa tarde, amigos. Alguém pode indicar uma ferramenta alternativa ao UFED pra extração de dados de iOS?
02/06/2020 18:06 · Membro 0042
ITunes
02/06/2020 18:14 · Membro 0023
O iTunes faz o backup mas não exibe os dados né?
02/06/2020 18:14 · Membro 0023
Perdão acho que não fui claro. Seria uma alternativa, tipo o antigo app Mobo. Que faz uma espécie de extração lógica.

Origem 021 — 24/08/2020 15:34 a 15:47 — Extração lógica por Android Backup via ADB

24/08/2020 15:34 · Membro 0096
Pessoal, estou fazendo Android Backup com o 4PC de um Moto C, mas na tela em que se clica em FAZER BACKUP DOS MEUS DADOS, ao clicar aparece erro de senha. Tentei 1234 e 12345, sem sucesso.
24/08/2020 15:34 · Membro 0096
Será que há algum macete? Primeira vez que me deparo com isso.
24/08/2020 15:38 · Membro 0109
Deve estar habilitada a senha para backup, conforme imagem
24/08/2020 15:38 · Membro 0109
Nas opções de desenvolvedor
24/08/2020 15:47 · Membro 0096
Obrigado. Deve ser isso msm 😕

Origem 022 — 25/08/2020 14:14 a 15:47 — Extração e decodificação de bancos do WhatsApp

25/08/2020 14:14 · Membro 0096
Pessoal... Sobre o UFED... De um tempo pra cá as mensagens do aplicativo WhatsApp que foram extraídas pelo Android Backup Downgrade não tem tido as mídias vinculadas. Para abrir tais mídias é preciso buscá-las manualmente ou então executar o plug-in WhatsApp Standalone. O problema é que ao executar o plug-in a mensagens ficam todas cinzas, sem a identificação de verde (enviada) e azul (recebida). Vocês conhecem algum macete para contornar esta situação?
25/08/2020 15:47 · Membro 0088
teria q recuperar os contatos do .wa, ou "formulá-los"

Origem 023 — 25/08/2020 16:49 a 17:11 — Extração lógica por Android Backup via ADB

25/08/2020 16:49 · Membro 0104
Após o procedimento de downgrade, o UFED Analyzer faz uma nova pergunta para finalizar ou realizar o backup dos demais dados. Vc realizou essa segunda etapa?
25/08/2020 16:50 · Membro 0104
Eu percebi que realizando a primeira etapa e fazendo o merge com a extração lógica ocorria essa problema.
25/08/2020 16:52 · Membro 0104
Como alternativa poderia utilizar o Forensic Tools.
25/08/2020 17:02 · Membro 0096
No meu caso não realizei. Você diz sobre extrair de local compartilhado, correto?
Me parecia que sempre extraía o msm conteúdo do Android Backup. Será isso então?
25/08/2020 17:04 · Membro 0104
Seria o mesmo conteúdo, mas o UFED estava falhando
25/08/2020 17:04 · Membro 0096
Caramba, nem me toquei. Acabei desistindo dessa opção por demorar muito e “aparentemente” não estar trazendo novidades.
25/08/2020 17:04 · Membro 0096
Vou testar aqui. Obrigado pela dica!
25/08/2020 17:05 · Membro 0104
Esse problema é recente.
25/08/2020 17:11 · Membro 0018
Boa tarde, na versão para Android 4 do app Email to Backup, onde ficam as conversas exportadas?

Origem 024 — 31/08/2020 17:03 a 17:03 — Conexão USB, ADB e diagnóstico de porta em Android

31/08/2020 17:03 · Membro 0096
<Mídia oculta>
Essa msg tem algum macete? Já instalei os drivers ADB 🤷🏻‍♂️

Origem 025 — 23/10/2020 08:38 a 08:38 — Extração lógica e Android Backup via ADB

23/10/2020 08:38 · Membro 0044
Bom dia! Alguma dica para extrair mensagens SMS de um CAT B-25? Ele só tem extração lógica e da erro quando vai extrair SMS.

Origem 026 — 04/12/2020 11:26 a 12:24 — Extração e análise de variantes do WhatsApp

04/12/2020 11:26 · Membro 0037
👏👏👏
Um salve a todos os colegas peritos criminais pelo dia, profissionais que mesmo com todas as dificuldades, seguem trabalhando e contribuindo à efetivação da justiça no nosso país!
04/12/2020 11:30 · Membro 0045
Parabéns a todos nós, guerreiros, lutadores, que mesmo com todas as adversidades, permanecemos firmes, com o compromisso pessoal na luta pela revelação da verdade.
04/12/2020 11:47 · Membro 0096
Pessoal, estou com um Galaxy A10 que tem o WhatsApp Plus instalado.
Quando ele tem o GBWhatsApp ou outro similar, há a possibilidade de fazer um backup descriptografado, que o próprio Android Backup do 4PC pega... Mesmo sem downgrade.
Só que essa versão não faz tal backup, tampouco permitiu o 4PC instalar a versão de downgrade dele.
04/12/2020 11:52 · Membro 0109
Veja se no menu do aplicativo tem opção de backup para o microSD
04/12/2020 11:52 · Membro 0109
Se tiver, ele copia todos os bancos de dados
04/12/2020 11:53 · Membro 0109
O GB e similares todos tem
04/12/2020 11:54 · Membro 0096
Esse miserável aqui não tem
04/12/2020 11:55 · Membro 0109
Normalmente é meio escondida a opção. Não tenho nenhum aqui para indicar o caminho, mas procure bem, hehe.
04/12/2020 11:55 · Membro 0015
Descriptografado?
04/12/2020 11:56 · Membro 0109
Aliás, criptografado, mas a chave vai junto
04/12/2020 11:56 · Membro 0109
Como se fosse um APK Downgrade
04/12/2020 12:14 · Membro 0096
Vieram dois A10 na requisição. Um deles eu consegui de boa encontrar esse backup. Nesse que eu consegui, na seção SOBRE, fala daquele AlexMods que permite esse backup.
Já a segunda peça, que falei inicialmente, não tem mesmo. Na seção SOBRE nem cita esse AlexMods igual do YoWhatsApp ou GBWhatsApp. Veja só:
04/12/2020 12:15 · Membro 0096
Eu tô pensando em tentar alguma dessas versões paralelas que tenham sucesso em instalar por cima.
04/12/2020 12:15 · Membro 0096
Mas é tentativa e erro.
04/12/2020 12:15 · Membro 0096
Se tiver alguma ideia diferente pra eu seguir, é bem vinda rs
04/12/2020 12:24 · Membro 0017
Boa tarde pessoal, pergunta técnica porém pessoal... 🤣🤣
Não dá pra migrar nada do iPhone pro Android?

Origem 027 — 20/01/2021 16:21 a 16:21 — Extração e bloqueios em Xiaomi/Redmi/POCO

20/01/2021 16:21 · Membro 0088
Boa tarde. Essa pasta de backup do MIUI, vem algum tipo de backup de dado pessoal ou só configurações dos aplicativos?

Origem 028 — 02/02/2021 17:03 a 17:03 — Extração e análise de variantes do WhatsApp

02/02/2021 17:03 · Membro 0096
Pessoal, essa semana pedi a ajuda de vocês aqui com aqueles caso do GBWhatsApp que não tem a opção de backup completo. Após bater muito a cabeça e graças à ajuda do [MENCAO], consegui fazer o Physical Analyzer interpretar as informações e reconhecer como bate-papo. A grande sacada é renomear a pasta a ser importada para WhatsApp e não GBWhatsApp como vem originalmente.
Assim, fiz o seguinte:
1. Extraí a pasta GBWhatsApp. Pode ser direto do armazenamento interno do aparelho ou DESCARREGAR a pasta pelo Physical Analyzer;
2. Renomear a pasta de GBWhatsApp para WhatsApp;
3. Conseguir a chave criptográfica através da ativação do WhatsApp em um emulador de Android com root ou celular distinto da peça de exame;
4. Abrir um projeto em branco no P.A. e adicionar a pasta WhatsApp. É importante importar a pasta de um nível acima. Por exemplo, no caminho C:\Exemplo\WhatsApp, selecionar a pasta Exemplo e não a pasta WhatsApp;
5. Executar o plug-in do P.A. "Android WhatsApp with Provided Key" e, quando for pedido, selecionar o arquivo KEY (chave criptográfica obtida no item 3);
6. Executar o plug-in do P.A. "Android WhatsApp Standalone";
7. PRONTO!
.
Eu notei que ao abrir o projeto vazio e importar a pasta antes das outras extrações faz com que os contatos não sejam reconhecidos nas conversas e apareçam apenas os números de telefones nas conversas. Mas se abrir ao menos uma extração Lógica Avançada, que tenha extraído os contatos, ao mesclar essa extração com o projeto vazio e fazer o procedimento, os contatos acabam relacionados.
.
Bom, é isso. Espero ajudar outros colegas como vcs me ajudaram aí.

Origem 029 — 10/03/2021 14:23 a 14:53 — Extração e análise de mensagens do WhatsApp

10/03/2021 14:23 · Membro 0013
Há algum procedimento que possa voltar ao estado anterior e não dar esse problema no dm-verify?
10/03/2021 14:28 · Membro 0003
Eu já fiz isso no meu pessoal e acabei dando wipe 🥲
10/03/2021 14:31 · Membro 0088
é um J500?
10/03/2021 14:31 · Membro 0088
foi a recovery q foi submetida?
10/03/2021 14:34 · Membro 0088
tenta colocar a stock recovery dele, se foi esse o procedimento
10/03/2021 14:35 · Membro 0013
Negócio é que fui instalar o super SU
10/03/2021 14:36 · Membro 0088
se tiver, vc pode tentar o dump direto pelo twrp
10/03/2021 14:36 · Membro 0013
Aí após a instalação deu esse problema
10/03/2021 14:36 · Membro 0088
mas não sei se no j710 tá criptografado
10/03/2021 14:37 · Membro 0013
Aí acho bem improvável conseguir dar o rolll back
10/03/2021 14:38 · Membro 0088
vc consegue acessar o recovery atual?
10/03/2021 14:38 · Membro 0130
consegui extrair dados de um 📱 utilizando o Cellebrite.
E aí foram extraídas centenas de pastas com arquivos do Whatsapp, dentre os quais incluem arquivos "txt" com as mensagens de texto.

Porém, quando copio o conteúdo do arquivo "txt" e passo para o Word, muitas palavras desnecessárias e linhas vazias são também copiadas.

Remover as linhas vazias e palavras desnecessárias de um arquivo ou outro, ok. Utilizado para isso o programa "Notepad++".

Porém, no meu caso aqui tenho centenas de arquivos de "txt" que precisarei passar para o MS Word para fazer meu laudo.

A dúvida é: existe algum software em que eu possa remover todas as linhas vazias e palavras desnecessárias de vários arquivos de texto de uma só vez?

Porque ter que fazer a remoção de forma manual vai me tomar meses pra fazer o Laudo. Sem contar que ele terá 4, 5 mil páginas!

Alguém teria uma solução?


Muitíssimo obrigado!
10/03/2021 14:39 · Membro 0088
Qual teria sido a extração?
10/03/2021 14:40 · Membro 0045
Firmwares Samsung , a partir de 2018, implementaram o DM-Verity, antes de alterar o firmware teria que ter removido o bloqueio, depois que flashear o firmware, se torna irreversível, pelo menos nunca consegui achar nenhuma forma de reverter.
10/03/2021 14:40 · Membro 0003
H', normalmente eu envio o pdf gerado das conversas, não colo-as no laudo.
10/03/2021 14:41 · Membro 0013
Bloqueio se refere a senha?
10/03/2021 14:41 · Membro 0130
Se não me engano foi extração lógica

não lembro

tem muitos meses
10/03/2021 14:42 · Membro 0088
Voce consegue entrar em recovery ou em modo de download?
10/03/2021 14:46 · Membro 0045
Não, é o bloqueio que implementa o DM-Verity, senão me engano é o RMM. Flasheando o firmware com esse removedor do bloqueio, antes de aplicar alguma coisa que altere o firmware, como o root, por exemplo.
10/03/2021 14:47 · Membro 0013
Tem material para que eu possa aprender depois dessa?
10/03/2021 14:48 · Membro 0130
acho que será o jeito, viu

gravar em um 💿 e enviar


mas tem conversas extremamente importantes que seriam interessantes constarem no corpo do Laudo

acho q n terei como escapar mesmo
10/03/2021 14:50 · Membro 0003
Nesses casos eu menciono que tem conversas entre os contatos tal e tal, na página tal do PDF, reproduzida parcialmente no laudo, e colo
10/03/2021 14:50 · Membro 0088
ou tá a recovery normal?
10/03/2021 14:51 · Membro 0088
é, talvez o adb pull /dev/block/blkmmc0 funcione
10/03/2021 14:53 · Membro 0088
E pra voltar a funcionar, será q colocando a recovery original não vá?
10/03/2021 14:53 · Membro 0088
fiz isso em outros modelos, mas nesse aí não sei

Origem 030 — 20/03/2021 16:28 a 16:42 — Conexão USB, ADB e diagnóstico de porta em Android

20/03/2021 16:28 · Membro 0049
Caso alguém tenha interesse.
20/03/2021 16:29 · Membro 0049
Só repassando. Contato direto com eles
20/03/2021 16:42 · Membro 0088
Isso mesmo, parece q é algum conflito de versão, joguei um adb.exe mais recente na pasta do forensictools, no lugar do q estava sendo utilizado
20/03/2021 16:42 · Membro 0088
e parece q agora vai, ao menos reconheceu

Origem 031 — 06/04/2021 10:33 a 10:53 — Extração e compatibilidade em Samsung SM-A205G

06/04/2021 10:33 · Membro 0021
Bom dia!
Não estou conseguindo fazer a extração lógica de SM-A205G, Android 10. Inicia a extração mas depois perde a conexão (o sinal de carregamento não aparece). Alguma solução?
06/04/2021 10:53 · Membro 0117
Se for o conector o problema e vc possuir outro pode tentar trocar (a placa da USB é separada)

Origem 032 — 07/05/2021 11:11 a 13:39 — Extração e decodificação de bancos do WhatsApp

07/05/2021 11:11 · Membro 0125
Tem alguma msg na tela de opções que indicasse isso? Será q o J415 já faz tbem?
Entreguei um há 3 dias sem extrair nada por estar com security startup
07/05/2021 11:40 · Membro 0114
Nenhuma msg. Só testando mesmo.
Outra questão
por sorte o bloqueio era por padrão [SEGREDO] baixou um dicionario de 389.113 combinações,
então é certo que vai desbloquear em tempo razoável

agora se for senha alfanumerica, aí deve complicar
teria de ter uma boa máquina com GPU
07/05/2021 11:54 · Membro 0088
Boa tarde! YoWhatsApp, sem opção na GUI para aquele backup completo.
07/05/2021 11:54 · Membro 0088
TEm alguma forma de obter a key [SEGREDO] internos?
07/05/2021 11:59 · Membro 0088
Vi que tem opção para backup no dropbox e no Mega. Seriam backups completos (incluindo a key [SEGREDO].db descriptografados) ou backup básico igual ao do Google Drive?
07/05/2021 12:10 · Membro 0125
Admin, adiciona por gentileza o perito Willy da seção de computação aqui de Cuiabá
07/05/2021 13:39 · Membro 0044
Boa dica, já fazia a lógica/sistema de arquivo, mas não faço fotografias das telas de erro

Origem 033 — 02/06/2021 14:58 a 14:58 — / Opção Huawei Vendor Backup recuperando a área protegida de aplicativos! Apenas avisando

02/06/2021 14:58 · Membro 0071
<Mídia oculta>
Opção Huawei Vendor Backup recuperando a área protegida de aplicativos! Apenas avisando, caso seja útil pra alguém!!

Origem 034 — 12/06/2021 10:33 a 11:15 — Extração lógica por Android Backup via ADB

12/06/2021 10:33 · Membro 0105
É um exynos FBE. O generico FBE não fez Full FS no ufed?
12/06/2021 10:34 · Membro 0105
Esse é MTK. Sem chance de desbloquear. E se conseguir, não tem full fs tbm. Apenas lógica, android backup e apk down
12/06/2021 10:36 · Membro 0105
Talvez até quebre a senha
12/06/2021 10:42 · Membro 0128
Não tinha visto essa FBE, depois que vi comecei a extração, mas deu uma travada aqui. 👍🏼
12/06/2021 10:42 · Membro 0128
Depois posto a conclusão
12/06/2021 10:50 · Membro 0128
Estou a uns 10min assim👇🏼
12/06/2021 10:50 · Membro 0044
E o Samsung J610G bloqueado com inicialização segura, nenhuma possibilidade?
12/06/2021 11:10 · Membro 0105
Pode deixar. É isso mesmo.
12/06/2021 11:10 · Membro 0105
Tem alguns desse que fica parado, mas esta fazendo.
12/06/2021 11:13 · Membro 0105
Esse é qualcomm. Entao não tem no ufed padrao a quebra do secure startup.
12/06/2021 11:15 · Membro 0044
Blz. Valeu pela informação 👍🏻👍🏻

Origem 035 — 13/10/2021 12:57 a 12:57 — Conexão USB, ADB e diagnóstico de porta em Android

13/10/2021 12:57 · Membro 0105
Tente abrir como fisica via adb
13/10/2021 12:57 · Membro 0105
Mas como fisica.

Origem 036 — 10/11/2021 10:15 a 10:26 — Extração lógica por Android Backup via ADB

10/11/2021 10:15 · Membro 0044
Bom dia! Alguma dica para fazer o Samsung A12 (A125M) bloqueado por senha de desenho?
10/11/2021 10:24 · Membro 0105
É um Mediatek FBE esse. Sem opção no ufed tradicional.
O que eu faria é tentar algumas opções possíveis.
10/11/2021 10:25 · Membro 0105
Ai se tiver sucesso, depois lógica, Android backup e apk down dos disponíveis.
10/11/2021 10:25 · Membro 0105
Não tem full fs tbm
10/11/2021 10:26 · Membro 0044
Obrigado [MENCAO] pela informação!

Origem 037 — 29/11/2021 11:54 a 12:56 — Extração e análise de variantes do WhatsApp

29/11/2021 11:54 · Membro 0061
Bom dia. Alguém conseguiu uma solução nesses casos em q a extração via EmailBkpToFile do GBWhatsApp traz no txt <Arquivo de mídia oculto> para todas as mídias da conversa, incluindo áudios? Estou com um caso aqui assim. Achei q fosse por conta do AppLock, mas não é
29/11/2021 12:03 · Membro 0071
o SPITools cria uma cópia das mídias com conteudo zerado
29/11/2021 12:04 · Membro 0071
ao receber o txt, isso otimiza o volume de dados exportados
29/11/2021 12:04 · Membro 0071
praticamente tudo é recebido, sem o limitador dos 10MB
29/11/2021 12:04 · Membro 0071
bem raro bater no limite
29/11/2021 12:04 · Membro 0071
quando a conversa só tem áudios
29/11/2021 12:04 · Membro 0071
o WhatsApp tem um bug e não exporta
29/11/2021 12:05 · Membro 0071
basta adicionar um anexo diferente de áudio
29/11/2021 12:05 · Membro 0071
uma foto por exemplo
29/11/2021 12:05 · Membro 0071
em seguida, exportar novamente que o txt vem com os áudios
29/11/2021 12:09 · Membro 0071
acho que o EmailBkpToFile é bem antigo... pelo menos, o que eu tenho é...
ele não zera as mídias do WhatsApp e por isso a conversa vem cheia de limitações...
(importante fazer uma extração lógica do /sdcard/ - area compartilhada antes)
o processo de criar uma cópia, renomear e zerar mídias é bem seguro, nunca tive problema
mas vai que dá um azar né...
29/11/2021 12:12 · Membro 0061
Pois é, eu li sobre isso no manual, mas o q estou estranhando é q não vieram os arquivos de conversa nenhuma, mesmo aquelas de anexos pequenos ou com vários tipos de arquivos diferentes como áudio, imagem e vídeo... em todas as conversas está com <Arquivo de mídia oculto>
29/11/2021 12:13 · Membro 0071
quando vc abre, a mídia existe?
29/11/2021 12:16 · Membro 0061
Sim... no celular roda direitinho
29/11/2021 12:16 · Membro 0061
Abro as imagens, ouço os áudios, etc
29/11/2021 12:17 · Membro 0071
sabe dizer se houve essa etapa de criar uma cópia e zerar as mídias?
29/11/2021 12:25 · Membro 0061
Não fiz a clonagem de pastas ainda, vou tentar... mas queria ver se havia algum outro problema conhecido antes
29/11/2021 12:56 · Membro 0071
<Mídia oculta>
spitools-1.3.apk

Origem 038 — 10/12/2021 16:15 a 16:18 — As vacinas no conectsus se foram também

10/12/2021 16:15 · Membro 0051
As vacinas no conectsus se foram também
10/12/2021 16:18 · Membro 0041
Só restaurar o backup.

Origem 039 — 03/02/2022 10:14 a 10:14 — Conexão USB, ADB e diagnóstico de porta em Android

03/02/2022 10:14 · Membro 0088
Bom dia! Já aconteceu com vocês de uma extração de sistemas ou backup adb, logo após iniciar o processo ficar reiniciando o aparelho? Assim que começa o aparelho dá reboot.
03/02/2022 10:14 · Membro 0088
Seria algum aplicativo causando isso?

Origem 040 — 03/02/2022 10:47 a 10:47 — Extração lógica e Android Backup via ADB

03/02/2022 10:47 · Membro 0048
Será que não é falta de espaço de armazenamento interno? Backup consome um espaço de trabalho considerável

Origem 041 — 16/02/2022 11:41 a 12:18 — Extração e compatibilidade em Samsung K130f

16/02/2022 11:41 · Membro 0009
Bom dia, pessoal! Samsung GT-I9063T bloqueado. Alguma dica? Obrigado!
16/02/2022 12:05 · Membro 0009
Consegui por meio do PIN de Backup. De 1 a 6. 😅
16/02/2022 12:18 · Membro 0015
<Mídia oculta>
Bom dia. Alguem ja viu esse erro na inicialização? É um k130f

Origem 042 — 11/04/2022 13:53 a 15:16 — Extração lógica por Android Backup via ADB

11/04/2022 13:53 · Membro 0096
Pessoal, boa tarde. Tudo bem? Uma colega está com um celular Xiaomi relacionado a Tráfico de Drogas.
O UFED extraiu bastante foto de interesse em boa resolução, porém localizadas no seguinte caminho:
11/04/2022 13:53 · Membro 0096
IMG-20220411-WA0005.jpg (arquivo anexado)
11/04/2022 13:54 · Membro 0096
Até onde conheço, essa pasta não é acessível em celulares sem root. É possível a gente saber se isso era galeria ou o que? Será q foi apagada do armazenamento interno, mas permaneceu no cache?
11/04/2022 14:14 · Membro 0048
Talvez o processo de extrção tenha sido por backup, e o que vai no backup é definido pelo especificado no programa
11/04/2022 14:15 · Membro 0048
dessa forma, talvez quando foi executado um adb backup para o pacote do com.google.android.apps.photos, ele mesmo tenha incluído esses arquivos em seu backup. Teria que testar
11/04/2022 14:15 · Membro 0048
posso testar aqui rapidão com meu celular e ver se vem
11/04/2022 14:17 · Membro 0096
Mas vc acha q isso ocorreria mesmo não tendo esses arquivos nas mídias do armazenamento interno?
11/04/2022 14:18 · Membro 0096
Esse app seria o Google Fotos, certo?
11/04/2022 14:35 · Membro 0088
creio que sejam imagens geradas quando o usuário passa as miniaturas rapidamente (glide / scroll)
11/04/2022 14:35 · Membro 0088
acho q mistura todo tipo de origem no google fotos, infelizmente =/. Mas não tenho certeza
11/04/2022 14:37 · Membro 0048
no backup de um samsung que testei aqui não veio
11/04/2022 14:37 · Membro 0048
vc pode tentar aí se quiser
11/04/2022 14:38 · Membro 0048
adb backup -f backupPhotos.ab com.google.android.apps.photos
11/04/2022 14:38 · Membro 0048
vai que no XIAOMI o negócio funciona diferente
11/04/2022 14:38 · Membro 0096
Mas acho q de qq forma não é possível determinar origem ou algo do tipo, né?
11/04/2022 14:45 · Membro 0048
Estou vendo aqui os intents agora
11/04/2022 14:56 · Membro 0048
Chamei uns activities aqui que o nome parecia algo com acesso a photos, mas não tem nada de mais ligado do que o lance do backup syncronizado remoto
11/04/2022 14:56 · Membro 0048
Nada que lembra vc poder puxar esse dados
11/04/2022 14:58 · Membro 0048
só se tem um link no sistema de arquivos para essa pasta de cache
11/04/2022 15:00 · Membro 0048
Vc extraiu no UFED?
11/04/2022 15:01 · Membro 0048
Esse zip dele foi extração lógica de qual tipo?
11/04/2022 15:04 · Membro 0096
File System
11/04/2022 15:05 · Membro 0048
Então a técniica deu acesso a essa parte do userdata
11/04/2022 15:06 · Membro 0096
E essa mídia não está tbm no armazenamento interno, por exemplo, por conta de ter sido excluída será?
11/04/2022 15:08 · Membro 0048
Bom aí teria que estudar o código do Photos do google, mas não acho que ter o arquivo no cache necessáriamente deve haver o arquivo primário no armazenamento interno. Vc procurou se tem um sdcard externo? Tem como configurar eu acho para o photos operar no SDCARD externo
11/04/2022 15:09 · Membro 0048
Não excluo a possibilidade de o cache manter um arquivo de uma imagem primária já apagada de outra parte do sistema de arquivos, seja o DCIM do armazenamento interno ou do externo
11/04/2022 15:10 · Membro 0096
Não tem SD externo
11/04/2022 15:10 · Membro 0096
Bom, mas de qq forma é difícil cravar mais alguma informação a respeito dessas fotos então
11/04/2022 15:11 · Membro 0048
vou ver aqui no código fonte do google. Se tiver fáci e bem comentado a gente pode entender como é mantido esse cache
11/04/2022 15:11 · Membro 0096
Legal, muito obrigado!
Não quero atrapalhar tbm!
11/04/2022 15:12 · Membro 0048
O photos não tem código aberto
11/04/2022 15:15 · Membro 0048
Bom, acho que tem que pesquisar mais depois ou fazer reversa do apk
11/04/2022 15:15 · Membro 0048
o que sugiro é usar um aparelho ou emulador de teste e fazer certas operações
11/04/2022 15:15 · Membro 0048
no emulador vc tem acesso root
11/04/2022 15:16 · Membro 0048
aí vc pode executar casos de teste no emulador tirando photos e apagando e vendo depois se fica no cache
11/04/2022 15:16 · Membro 0096
Vou fazer esses testes mesmo em um emulador
11/04/2022 15:16 · Membro 0048
ou usa um celular qualcomm mesmo e repete o processo de extração

Origem 043 — 02/06/2022 10:21 a 11:02 — Extração e decodificação de bancos do WhatsApp

02/06/2022 10:21 · Membro 0088
Bom dia! Haveria algum modo de descriptografar um backup de WhatsApp de iCloud (arquivos .enc)?
02/06/2022 10:23 · Membro 0048
Tem uns projetos no github que fazem. Acredito que o Axiom tb faz
02/06/2022 10:30 · Membro 0117
Acredito que nesse caso precisa da chave de descriptografia do chatstorage.sqlite.enc
02/06/2022 10:32 · Membro 0080
Bom dia
Alguém já fez perícia da maquininha sunmi v2?
02/06/2022 10:43 · Membro 0091
Consegui fazer extração Android genérica no 4PC
02/06/2022 10:46 · Membro 0091
extração lógica*
02/06/2022 10:53 · Membro 0080
Ok [NOME], vou tentar.
02/06/2022 11:00 · Membro 0080
Só extraiu documentos
02/06/2022 11:02 · Membro 0091
no meu caso atendeu ao objetivo pericial....

Origem 044 — 23/06/2022 17:14 a 17:16 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

23/06/2022 17:14 · Membro 0146
O XT1941-3 só conseguimos as extrações lógica, Android backup e APK downgrade.
23/06/2022 17:16 · Membro 0146
Coloquei em EDL mas não teve extração pelo 4PC. Vi pelo log que foi tentado usar o firehose do XT1685 que é um 8953 também. Mas não rolou mesmo

Origem 045 — 19/09/2022 11:31 a 12:31 — Extração e decodificação de bancos do WhatsApp

19/09/2022 11:31 · Membro 0088
Bom dia! Alguém saberia como resolver o problema de downgrade apk do whatsapp vindo com apenas 1kb o .ab? Tentei no [NOME] e também no forensictools.
19/09/2022 11:31 · Membro 0088
Depois de instalado o ZAP antigo, também tentei na mão o comando adb backup -apk com.whatsapp, e também só veio 1kb
19/09/2022 11:32 · Membro 0088
Axiom faz downgrade apk?
19/09/2022 11:32 · Membro 0147
Qual o celular amigo?
19/09/2022 11:32 · Membro 0088
Samsung A115M
19/09/2022 11:34 · Membro 0147
Não faz downgrade pelo Ávila nem pelo forensic tools
19/09/2022 11:34 · Membro 0147
Eu já consegui pelo UFED TOUCH 2
19/09/2022 11:35 · Membro 0147
Pelo chipset
19/09/2022 11:35 · Membro 0147
Full file system
19/09/2022 11:35 · Membro 0088
Entendi, especificamente para esse modelo não vai, né?
19/09/2022 11:36 · Membro 0147
Olha eu não consegui
19/09/2022 11:37 · Membro 0088
Infelizmente só tenho o touch 1. Alguma dica de como fazer a full file system sem um touch 2? Talvez através da vulnerabilidade?
19/09/2022 11:37 · Membro 0147
O meu [NOME] está atualizado
19/09/2022 11:37 · Membro 0147
Já o forensic tools foi descontinuado em março de 2021
19/09/2022 11:38 · Membro 0147
Utilize o script de um colega aqui do grupo
19/09/2022 11:39 · Membro 0147
Pode ser que der certo
19/09/2022 12:23 · Membro 0071
acho que pode ser algum desses problemas:
1. versão do adb que o ufed tá usando
2. problema após o reinício do ufed, ele instala e reinicia o aparelho, e os tempos não batem
3. ausência de uma senha de backup (esse foi o último que eu peguei). Mesmo colocando a senha na tela, não ia... mas indo em configurações e colocando a senha dava certo
4. não admite downgrade (whatsapp faz parte da instalação básica)
19/09/2022 12:23 · Membro 0071
faz um adb logcat|grep -i backupmanagerservice
19/09/2022 12:24 · Membro 0088
👍🏻. E logo depois um adb backup -apk com.whatsapp -f whatsapp.ab?
19/09/2022 12:24 · Membro 0071
<Mídia oculta>
teste em diferentes versões do platform tools
19/09/2022 12:24 · Membro 0071
sempre inicie o teste por algo irrelevante
19/09/2022 12:25 · Membro 0071
tipo linkedin, etc
19/09/2022 12:26 · Membro 0088
[MENCAO] , pode ser o item 3, tô colocando a senha, e logo depois o backup acaba rapidamente
19/09/2022 12:26 · Membro 0088
configurações do sistema?
19/09/2022 12:28 · Membro 0071
pois é... no meu eu fui em configurações e configurei uma senha de backup
mas tb não foi pelo ufed
fiz na mão
19/09/2022 12:28 · Membro 0071
<Mídia oculta>
SAVED APKs - Copy.zip.001
19/09/2022 12:29 · Membro 0071
👆7zip
tem um howto simplificado
acho que vale observar o reboot após o adb uninstall -k que o ufed faz
parece que é mesmo necessário em alguns celulares
19/09/2022 12:29 · Membro 0071
sempre bom saber fazer na mão!
19/09/2022 12:30 · Membro 0071
se não tiver nenhum para testar antes de ir direto no whatsapp, recomendo instalar uma versão mais nova do linkedin e simular o downgrade
é mais ou menos assim que o UFED testa se vai dar certo, creio...
19/09/2022 12:31 · Membro 0088
perfeito, vou tentar. Obrigado!
19/09/2022 12:31 · Membro 0088
Usando o [NOME], antes dele executar o comando do backup, eu tentei na mão dar o comando, e só gerou os mesmos 1kb.
19/09/2022 12:31 · Membro 0088
adb backup -apk com.whatsapp -f whatsapp.ab

Origem 046 — 16/05/2023 09:42 a 10:04 — Extração e decodificação de bancos do WhatsApp

16/05/2023 09:42 · Membro 0091
Bom dia senhores, estou ainda com este dispositivo "TECNO SPARK 6 GO", com a extração Android Backup consegui evidências que já suprem o objetivo pericial.... Na outra tentativa de extração que tentei (a primeira não veio o WhatsApp) o UFED 4 PC realizou o downgrade do app e não conseguiu retornar gerando o arquivo de backup para realizar ADB ... MInha dúvida é para realizar este backup em android 10 ou superior ainda é "adb install -r WhatsApp.apk" ou tem algo novo
16/05/2023 09:42 · Membro 0091
não quero correr o risco de perder os dados do aplicativo
16/05/2023 09:45 · Membro 0166
tu ja tentou usar o [NOME] Forensics ?
16/05/2023 09:45 · Membro 0166
pra fazer o apk-down
16/05/2023 09:46 · Membro 0091
Teria algum link com esse procedimento no [NOME]?
16/05/2023 09:46 · Membro 0166
https://drive.google.com/file/d/10zA6CDzIQDGvGfhvuR20fNFY5ix76pv-/view?_ga=2.58168232.387655509.[TELEFONE]-976416182.[TELEFONE]
16/05/2023 09:46 · Membro 0166
quem desenvolveu foi um policial civil de SP
16/05/2023 09:48 · Membro 0166
pra funcionar o apk-downgrade no [NOME] o dispositivo precisa estar desbloqueado...porque vai ter que reiniciar uma hora
16/05/2023 09:49 · Membro 0091
Baixar aqui pra dar uma olhada
16/05/2023 09:50 · Membro 0166
qualquer duvida de como usar me pergunta
16/05/2023 09:50 · Membro 0166
eu uso com certa frequencia
16/05/2023 09:50 · Membro 0166
ja teve casos de aparelhos que o Cellebrite nao conseguiu fazer o apk-downgrade
16/05/2023 09:50 · Membro 0166
e o [NOME] conseguiu
16/05/2023 09:51 · Membro 0091
Mas para reinstalar o WhatsApp via adb mesmo? Mudou algo a partir do android 10? Esse downgrade no Ávila realiza essa reinstalação do app sem perder dados?
16/05/2023 09:51 · Membro 0166
ele guardar o base.apk atual
16/05/2023 09:51 · Membro 0166
e depois re-instala no final
16/05/2023 09:52 · Membro 0091
Eu falei errado, seria para reinstalar o WhatsApp, não preciso mais do downgrade...
16/05/2023 09:53 · Membro 0166
eu tenho o WhatsApp do [NOME] se precisar tirar alguma duvida
16/05/2023 10:04 · Membro 0091
Me garantindo na ferramenta do [NOME] eu resolvi fazer via adb install -r e funcionou
16/05/2023 10:04 · Membro 0091
Mas vou testar a ferramenta aqui, obrigado [MENCAO] pela atenção

Origem 047 — 18/05/2023 12:10 a 14:15 — Análise de Registro Windows e arquivo NTUSER.DAT

18/05/2023 12:10 · Membro 0058
<Mídia oculta>
pessoal, bom dia! estou em um arquivo de logs onde consta o wipe, mas com epoch de segundos. Nessas situações, tem como encontrar a real data do wipe?
18/05/2023 12:13 · Membro 0105
Veja na da informada no inicio desse arquivo.
18/05/2023 12:13 · Membro 0105
Normalmente tem uma data do início do log.
18/05/2023 12:14 · Membro 0105
Não é possível confiar 100%, puq a data é do aparelho. Então em caso de falta de bateria ou outro motivo, pode ser uma data diferente da real.
18/05/2023 12:19 · Membro 0058
<Mídia oculta>
seria essa data do arquivo last_recovery?
18/05/2023 12:20 · Membro 0105
No início do arquivo não tem uma data? Nas primeiras linhas
18/05/2023 12:21 · Membro 0058
<Mídia oculta>
primeiros registros
18/05/2023 12:21 · Membro 0105
E nos outros arquivos com datas mais recentes, há registro de wipe?
18/05/2023 12:23 · Membro 0105
Uma boa é pegar todos esses arquivos aí e depois filtrar com "grep". Ai consegue todos os registros de wipe, possibilitando uma analise melhor das datas e arquivos.
18/05/2023 12:24 · Membro 0058
cheguei a buscar pelo termo wipe em todos os arquivos da pasta recovery. achei apenas um espelho do que consta no last recovery em last_log
18/05/2023 12:26 · Membro 0058
nos primeiros registros do last_log, também nao vejo data
18/05/2023 12:27 · Membro 0058
a suspeita do wipe é que ocorreu em 2023, mas nem "2023" traz resultado na busca
18/05/2023 12:27 · Membro 0058
to suspeitando que a data tá incorreta msm
18/05/2023 12:27 · Membro 0105
Putz. Ai fica difícil.
18/05/2023 12:27 · Membro 0105
Acertar a data é dificil.
Talvez na linha do tempo vc consiga achar algo.
18/05/2023 12:28 · Membro 0105
Analisando ela talvez poderá ver a data anterior dos arquivos que por ventura tenha sido recuperados.
18/05/2023 12:28 · Membro 0105
Ai com esses metadados vc sabe uma data anterior e que data ele pegou no wipe.
18/05/2023 12:29 · Membro 0058
eu consegui algo interessante pela linha do tempo, verifiquei que há vestígios de nome e e-mail da dona do aparelho em data anterior ao roubo
18/05/2023 12:29 · Membro 0105
Teve uma que fiz para determinar wipe com isso. Foi possível ver que a apreensão ocorreu um dia após o wipe, com base nesses arquivos com datas corretas.
18/05/2023 12:29 · Membro 0105
Mas o wipe indicava data confusa.
18/05/2023 12:30 · Membro 0058
assaltaram a dona em abril, maio já há registros de um outro usuário
18/05/2023 12:30 · Membro 0021
Estou fazendo a extração lógica via Bluetooth.
18/05/2023 12:30 · Membro 0058
detalhe que esse outro usuário não foi o que roubou, ele comprou o telefone roubado
18/05/2023 12:30 · Membro 0058
acho que já consigo concretizar algo com isso, só queria achar o wipe pra "embelezar" mais o laudo rs
18/05/2023 12:32 · Membro 0105
Sim heheheh
Pena que data de wipe nem sempre é confiável.
18/05/2023 12:32 · Membro 0058
de qualquer forma, agradeço demais a ajuda
18/05/2023 12:34 · Membro 0134
Show, imagino então que deve ser problema na trilha usb mesmo
18/05/2023 12:35 · Membro 0021
Deve ser isso mesmo.
18/05/2023 13:00 · Membro 0146
https://drive.google.com/file/d/1FPnQMzN8hg9oHBKUyoSiVQhskxn3f7C-/view
18/05/2023 13:04 · Membro 0146
Se a linha/conector estiver boa
18/05/2023 13:05 · Membro 0146
IMG-20230518-WA0002.jpg (arquivo anexado)
Estes dock de teste custam uma merreca nos China. Vale muito a pena pra detectar problema no conector
18/05/2023 14:02 · Membro 0020
Sem levar em consideração o foco político.... Mas o procedimento para destruir os HDs
18/05/2023 14:05 · Membro 0112
esse não tem falha!
18/05/2023 14:08 · Membro 0166
No RS tem o cabo 666 da cellebrite
18/05/2023 14:08 · Membro 0166
Também nao falha nunca 😅
18/05/2023 14:08 · Membro 0166
Cabo 666 == martelo
18/05/2023 14:15 · Membro 0020
Já recebi uma ordem do judiciário para apagar apenas os arquivos de pornografia infantil de um HD. Respondi que os precedimentos seguros existentes só funcionariam com a sanitização de todo o disco e não apenas de alguns arquivos. Eles declinaram da oferta

Origem 048 — 04/07/2023 09:49 a 10:16 — Vou testar como SP Flash Tool, obrigado

04/07/2023 09:49 · Membro 0162
Vou testar como SP Flash Tool, obrigado
04/07/2023 10:02 · Membro 0088
👍🏻 verifica antes de no menu de recovery do aparelho tem a opção de backup dos dados, é um caminho mais fácil.
04/07/2023 10:04 · Membro 0162
Essa opção backup dos dados irá restaurar o S.O. preservando os dados do usuário?
04/07/2023 10:07 · Membro 0162
Ou apenas irá fazer o Backup no cartão de memória
04/07/2023 10:09 · Membro 0071
Pessoal, a turma aqui de Brasília está se organizando para apresentar nossas experiências com incidentes cibernéticos no SNPC 2023 (Alagoas). Alguém deste grupo vai? Além disso, poderiam compartilhar mais ou menos como está no seu contexto de trabalho o tratamento pericial de incidentes cyber (ransomware, defacement, invasão, etc...) respondendo a enquete:
04/07/2023 10:09 · Membro 0071
ENQUETE:
Exame de local de incidente cyber
OPÇÃO: Já estou atuando (6 votos)
OPÇÃO: Não, mas tem pessoas na equipe (2 votos)
OPÇÃO: Nunca atuou e desconhece pessoas que tenham atuado (1 voto)
04/07/2023 10:14 · Membro 0091
Estamos aqui esperando vcs
04/07/2023 10:14 · Membro 0088
vai fazer um backup no cartão de memória
04/07/2023 10:15 · Membro 0088
Acho q é "Backup userdata" a opção
04/07/2023 10:16 · Membro 0088
só vai fazer um backup mesmo, não altera o sistema

Origem 049 — 14/07/2023 14:57 a 15:09 — Extração e análise de dados em iPhone/iOS

14/07/2023 14:57 · Membro 0023
Senhores, é possível carregar uma extração feita no UFED, no indexador IPED?
14/07/2023 14:57 · Membro 0023
Ou eu preciso primeiro gerar o relatório UFDR?
14/07/2023 14:57 · Membro 0023
Alguém saberia me informar
14/07/2023 14:57 · Membro 0105
A principio sim. Poderia carregar o ZIP ou o arquivo bin.
14/07/2023 14:58 · Membro 0144
Vc pode carregar o binário ou o ufdr
14/07/2023 14:58 · Membro 0023
É uma extração lógica de um iphone... com quase 500 gb...
14/07/2023 14:59 · Membro 0023
Não tem quem faça carregar no PA
14/07/2023 14:59 · Membro 0023
A máquina fica inviabilizada total
14/07/2023 15:00 · Membro 0023
O ZIP extraído pode ser processado então, vou fazer o teste.
14/07/2023 15:01 · Membro 0015
Dizendo a cellebrite o pa ultra é pra abrir sem travar a máquina
14/07/2023 15:01 · Membro 0144
Aí eu já não. Dá o feedback aqui pra gnt depois 🤜🏽🤛🏽
14/07/2023 15:06 · Membro 0023
No ultra abriu melhor que no 7, mas travando ainda... e na geração do UFDR, as imagens não foram exportadas...
14/07/2023 15:09 · Membro 0023
Aliás, o 8 Ultra tenho verificado muitas falhas, nos filtros, na exportação dos bate-papos e nos relatórios UFDR... deixamos até de usa-lo por conta disso...

Origem 050 — 27/07/2023 13:18 a 14:21 — Extração e acesso a dados em iPhone 13 pro max

27/07/2023 13:18 · Membro 0175
Boa tarde,
Extração pelo XRY do Iphone 13 pro max (A2641) não vem nada. Alguém já teve a experiência?
27/07/2023 14:17 · Membro 0155
Aparece algum erro no log?

Aconteceu comigo com um s21 que estava com a memória cheia. O hello android não pôde ser instalado e não foi feita a extração lógica. Não sei se o XRY instala algo no iphone com o mesmo propósito.
27/07/2023 14:21 · Membro 0175
É possível. Pois so tem 16gb livre

Origem 051 — 21/08/2023 16:37 a 19:13 — Extração e root em dispositivos LG

21/08/2023 16:37 · Membro 0015
O PA recebe backup do LG (lbf). Começa com projeto novo.. Etc...
21/08/2023 18:19 · Membro 0009
Fiz isso. Só não sei pq o LG gerou esses 3 arquivos, sendo q é exFat o microSD. E dos 3, 2 tão zerados. Renomeei o outro para .lbf e o PA processou. Só não veio muita coisa.
21/08/2023 19:13 · Membro 0045
Farias as vezes que deu certo esses backups Lg aqui, eu precisei unir os três arquivos, ou quantos o lg backup gerar, e processar no pa o arquivo único, já unido, daí deu certo.

Origem 052 — 17/10/2023 09:03 a 09:11 — Extração e acesso a dados em iPhone 11

17/10/2023 09:03 · Membro 0035
Bom dia!
Algum colega já fez uma extração lógica avançada (File System), de um IPhone 11(A2221)?
Achei estranho essa msg 👇🏻
17/10/2023 09:04 · Membro 0035
O que me chamou atenção foi a NOTA.
17/10/2023 09:11 · Membro 0105
Ja fizemos várias vezes. Nunca tivemos problema.

Origem 053 — 22/02/2024 17:50 a 19:36 — Extração e decodificação de bancos do WhatsApp

22/02/2024 17:50 · Membro 0155
Boa tarde. Estou tentando fazer uma extração lógica de um a135m, mas dá erro logo depois que começa o android backup, sempre extraindo 58mb apenas. Acontece tanto no XRY quanto no [NOME]. Alguém sabe o que dá para fazer? Ou o que tá rolando?

Curiosamente, um adb pull da pasta de mídia do whatsapp veio ok

Sem bloqueio, depuração usb ativada, sem administradores do aparelho... Tô achando muito estranho.
22/02/2024 19:07 · Membro 0155
Na verdade só fecha o android backup, como se tivesse concluído
22/02/2024 19:07 · Membro 0015
indexou o backup no IPED e n veio dialogo?
22/02/2024 19:08 · Membro 0015
digo, extraido pelo [NOME]
22/02/2024 19:11 · Membro 0155
Ele pede para clicar no backup na tela. Começa o backup e já para em 58mb
22/02/2024 19:11 · Membro 0155
A extração no XRY veio bem pobre também
22/02/2024 19:12 · Membro 0015
a unica coisa q vejo q da pra faer é comparar o tamanho dos msgstore.db
22/02/2024 19:13 · Membro 0015
pode tb abrir o app no celular e comparar os dialogos <Mensagem editada>
22/02/2024 19:13 · Membro 0015
pra ve se é so isso mesmo ou é pq a extracao da pobre
22/02/2024 19:36 · Membro 0155
Ele para a extração durantes a leitura do Shared alguma coisa. Amanhã vejo direito e falo aqui de novo. Valeu

Origem 054 — 27/02/2024 16:06 a 16:06 — Conexão USB, ADB e diagnóstico de porta em Android

27/02/2024 16:06 · Membro 0155
Boa tarde. O problema continua. O backup adb para durante a extração do Shared Storage. Há algo que pode ser feito?

Origem 055 — 24/07/2024 10:21 a 10:40 — Root e extração em dispositivo Positivo

24/07/2024 10:21 · Membro 0021
Bom dia! Sim, limpamos e mesmo assim os erros persistem: *dispositivo USB NÃO reconhecido* pelo sistema operacional Windows.
24/07/2024 10:22 · Membro 0021
Já tentamos pelo UFED for PC e pelo UFED Touch.
24/07/2024 10:23 · Membro 0021
Bem complicado! Já tentamos inúmeras vezes a extração lógica e FFS.
24/07/2024 10:38 · Membro 0045
[NOME] fiz um desses semana passada, aliás, tentei fazer pq o premium disse que não tinha suporte pro BF nele, retirei a sub placa (placa de carga) de um que eu já tinha conseguido fazer, e coloquei, por empréstimo, no problematico, daí funfou.
24/07/2024 10:39 · Membro 0045
Pro 4PC é a mesma idéia.
24/07/2024 10:40 · Membro 0021
Entendi. Obrigado.

Origem 056 — 15/08/2024 08:46 a 10:10 — Extração e decodificação de bancos do WhatsApp

15/08/2024 08:46 · Membro 0154
Olá. Bom dia!
Estou com um Samsung J500M desbloqueado. Ele não faz no físico (pede pra colocar um cartão de memória e não vai...), smart flow tmb não faz (sem suporte para o dispositivo). Fiz a extração lógica avançada normal, depois fiz a Backup APK downgrade (fez todos os aplicativos e não conseguiu instalar o APK do WhatsApp - justamente o que eu preciso). Alguma dica? Help!!!
15/08/2024 08:47 · Membro 0166
sugestão minha é tentar no [NOME]
15/08/2024 08:49 · Membro 0154
Eu cheguei a fazer, tentei fazer downgrade só do WhatsApp, ele fez só que gerou um arquivo backup-com.whatsapp-2024-08-14-10-01-29.ab de 0KB
15/08/2024 08:49 · Membro 0154
tentei converter pra tar e não vai.
15/08/2024 08:50 · Membro 0154
aí não sei se tem alguma diga não sei usar muito bem o [NOME]
15/08/2024 08:51 · Membro 0192
<Mídia oculta>
Bom dia amigos, estamos com um *POCOPHONE F1* (M1805E10A) bloqueado. Alguém tem sugestão para este aparelho ?

Desde já agradeço.
15/08/2024 08:53 · Membro 0105
Faz EDL adb
15/08/2024 08:54 · Membro 0105
No ufed é qualcom adb lá no perfil generico do qualcomm android
15/08/2024 08:54 · Membro 0105
J500m tem o chipset qualcomm 8916. Esse chipset funciona sempre com esse método.
15/08/2024 09:06 · Membro 0154
Deu certo. Valew 👍🏻
15/08/2024 10:02 · Membro 0045
Só lembrando, se for aplicar o twrp, verificar se o patch de segurança é anterior a 2018, se não for o firmware vai ser inutilizado de forma irreversível, por conta do DM-Verity.
15/08/2024 10:05 · Membro 0105
Via EDL é bem mais fácil e menos invasivo. Consegue até mesmo via test point se o Android estiver zuado ou tela destruída.
15/08/2024 10:10 · Membro 0080
Também já fizemos assim.

Origem 057 — 26/08/2024 10:24 a 10:24 — Extração e compatibilidade em Samsung SMART

26/08/2024 10:24 · Membro 0021
Consegui fazer a extração lógica via Smart Phones Generic Android. Foi necessário aplicar novamente as configurações em Desenvolvedor.

Origem 058 — 17/09/2024 16:07 a 16:53 — Quesitação e delimitação de escopo em exames digitais

17/09/2024 16:07 · Membro 0195
Boa tarde pessoal, por favor, quem pode compartilhar se as gerências de vocês tem quesitos oficiais? Se tiverem, podem compartilhar por favor comigo? Precisamos ver se convém fazer isso aqui em MT <Mensagem editada>
17/09/2024 16:53 · Membro 0061
Boa tarde! Estou com um aparelho com a parte de dados da USB comprometida, aí fiz a extração lógica por bluetooth e a extração do Whats pelo aplicativo emailbkptofile. O problema está sendo a geração do relatório via PA. Alguém tem utilizado o plugin de importação dos dados extraídos pelo emailbkptofile? O que utilizava aqui tá dando erro

Origem 059 — 10/01/2025 09:09 a 10:18 — Extração e decodificação de bancos do WhatsApp

10/01/2025 09:09 · Membro 0154
Bom dia!
Estou com um Iphone 7(A1778) desbloqueado. Fiz a extração lógica avançada e não trouxe o WhatsApp, trouxe outros bate-papos mas não o WhatsApp. Alguma dica?
10/01/2025 09:25 · Membro 0147
Agora sim... o bicho vai pegar 🫡🫡🫡
10/01/2025 09:34 · Membro 0088
Depois de mais de cinco anos sem um Premium, estamos fazendo a festa agora aqui em PE
10/01/2025 09:38 · Membro 0088
Só tá uma bagunça só aqui 🤣🤣, realmente é preciso um rack ou um organizador pra esses celulares em BF. Vamos receber Crack Cabinet da techbiz, alguém aí tem? São bons? <Mensagem editada>
10/01/2025 09:40 · Membro 0088
Talvez pq ela era Delta PF tenha uma percepção maior da relevância do nosso trabalho <Mensagem editada>
10/01/2025 09:50 · Membro 0091
Alguém conseguiu celebrar convênios por emenda parlamentar esse ano (2024) de ferramentas com subscrição ?
10/01/2025 10:09 · Membro 0154
Não estou conseguindo, ele está na versão 15.8.3
10/01/2025 10:12 · Membro 0117
Desabilita a criptografia do backup lá nas configurações do whatsapp e repete a lógica
10/01/2025 10:15 · Membro 0003
Volta a data do celular para próximo da data da apreensão 🫣
10/01/2025 10:17 · Membro 0080
Acabei de encontrar isso no AliExpress: Me ajuda a escolher!
R$236,79 | 150W Universal Multi USB Carregador Rápido 16 Port 3.5A MAX Estação de Carregamento Suporte Para Ipad Iphone 14 13 Samsung S22 Xiaomi Tablet
https://a.aliexpress.com/_mKMwSHv
10/01/2025 10:17 · Membro 0080
Este resolve parcialmente a organização <Mensagem editada>
10/01/2025 10:18 · Membro 0195
Aqui foi quase, perdemos os 45 do segundo tempo, e estamos tentando de novo.

Origem 060 — 28/01/2025 15:02 a 15:02 — Conexão USB, ADB e diagnóstico de porta em Android

28/01/2025 15:02 · Membro 0076
Para dar o feedback, consegui instalar só o CWM mesmo, mas foi o suficiente. Usei o comando adb pull ... no prompt aqui e consegui fazer o dump da mmcblk0. Mais uma vez, obrigado pela dica.

Origem 061 — 28/02/2025 18:19 a 18:41 — Ativação do modo desenvolvedor e depuração USB

28/02/2025 18:19 · Membro 0155
Boa tarde. Alguém já teve sucesso com o lg x410.f desbloqueado?

O premium não consegue acessar de jeito algum para extrair, seja sem senha, frio, quente, nada; dá erro de usb debuggimg não reconhecido, sendo que já liberei a depuração no celular para o Premium.

Nem o ufed reconhece pelo smartflow ou detect device.

Só consegui uma extração lógica no XRY.
28/02/2025 18:21 · Membro 0147
Esse é melhor fazer pelo [NOME] e indexar pelo iped
28/02/2025 18:27 · Membro 0142
Nesses modelos mais antigos da LG, uma dica é configurar o "modo padrão de conexão usb" para aquele "picture/photo transfer" em vez de "mtp".
28/02/2025 18:40 · Membro 0155
Interessante. Vou tentar esse. Vlw
28/02/2025 18:41 · Membro 0155
Blz. Qualquer coisa tento assim. Vlw

Origem 062 — 18/06/2025 19:51 a 19:55 — Extração e decodificação de bancos do WhatsApp

18/06/2025 19:51 · Membro 0088
Alguma ferramenta para extrair backup de whatsapp de iCloud? Tentei Inseyets e whapa, não deram certo. Estou conseguindo pelo copytrans backup extractor, porém converte os áudios, não são os arquivos .opus originais que vêm.
18/06/2025 19:55 · Membro 0088
Na verdade vem os opus, mas renomeados para "attachment...", e não vem o db SQLite das conversas

Origem 063 — 14/11/2025 10:06 a 10:29 — Só para reportar, consegui fazer uma física no aparelho e vieram 11 GB

14/11/2025 10:06 · Membro 0088
Bom dia, só para reportar, consegui fazer uma física no aparelho e vieram 11 GB da partição userdata, o backup gerado no recovery veio incompleto (apenas 5 GB). Comparei os binários e deu match em quase todos os 5 GB (removendo os 512 bytes de cada .backup), então o problema foi pq não veio o userdata todo no backup do recovery...
14/11/2025 10:24 · Membro 0048
Tinha espaço no SD né? Pq será que não veio tudo?
14/11/2025 10:25 · Membro 0088
o celular tá em loop, mas a física carregou corretamente no PA
14/11/2025 10:26 · Membro 0088
meu palpite é que algo no celular em relação as partições ou gpt esteja corrompido, apesar q no PA leu
14/11/2025 10:28 · Membro 0048
<Mídia oculta>
Vi aqui no PA onde tem a opção de carregar os backups proprietários. Nem lembrava mais.
14/11/2025 10:29 · Membro 0048
Deve ser PIT corrompido talvez
14/11/2025 10:29 · Membro 0088
isso, tentei por aí e não foi, mas com certeza não abriu pq tava corrompido

Origem 064 — 05/12/2025 09:52 a 09:58 — Extração e bloqueios em Xiaomi/Redmi/POCO

05/12/2025 09:52 · Membro 0021
<Mídia oculta>
Bom dia!

Xiaomi 23053RN02L (Redomi 12), Android 15, não permite instalar o appA.apk para realizar a extração lógica e APK Downgrade.
Alguma solução, sugestão?

Usando o UFED for PC desatualizado desde o início do ano.
Não temos a versão Premium.
05/12/2025 09:58 · Membro 0117
Tenta extração pelo [NOME]. Tem um exploit pra android 12 que pode ser que dê certo

Origem 065 — 10/12/2025 10:43 a 10:49 — Conexão USB, ADB e diagnóstico de porta em Android

10/12/2025 10:43 · Membro 0112
bom dia,
samsung Galaxy M23 - SM-M236B/DS
em recovery mode, ao tentar ganhar acesso inicial via ADB, dá erro e não inicia.
10/12/2025 10:43 · Membro 0112
algum bizu pra esse?
10/12/2025 10:43 · Membro 0112
UFED 7.74.503
10/12/2025 10:48 · Membro 0105
Essa versão é do seu premium?
10/12/2025 10:49 · Membro 0112
positivo
10/12/2025 10:49 · Membro 0105
Entao atualiza para o 7.75. Está na 7.75.605

Origem 066 — 08/01/2026 15:08 a 15:12 — Extração lógica e Android Backup via ADB

08/01/2026 15:08 · Membro 0096
Pessoal, não tenho muita vivência com exame em MacBook. Estou com um A2337, MacBook Air. O armazenamento é soldado na placa. Está bloqueado por senha e a senha não informada. Há o que se fazer?
08/01/2026 15:10 · Membro 0117
Mac M1, não há metodo de contorno ou bruteforce. Ou se descobre por engenharia social, ou infelizmente fica prejudicado
08/01/2026 15:12 · Membro 0117
Caso descubra ou seja fornecida a senha, possivelmente a ferramenta da cellebrite permite a extração dos dados. Caso não tenha disponível, pode usar o Fuji para uma extração lógica (https://github.com/Lazza/Fuji)

Origem 067 — 21/04/2026 13:53 a 14:16 — Imagem forense de mídia protegida por BitLocker

21/04/2026 13:53 · Membro 0211
Fiz a imagem de um nvme de 256 gb
21/04/2026 13:54 · Membro 0211
O iped diz que esta criptografado e nao mostra vários arquivos, mas se eu montar a imagem no FTK eu consigo visualizar os arquivos...
21/04/2026 13:56 · Membro 0218
Faca uma extração logica pelo FTK, e nao fisica
Ai vai dar bom
21/04/2026 13:58 · Membro 0218
O disco está sem os “key protectors”
21/04/2026 13:59 · Membro 0218
Bitlocker
21/04/2026 13:59 · Membro 0211
Mas como o FTK ler?
21/04/2026 14:00 · Membro 0218
Pode fazer que vai dar bom
21/04/2026 14:00 · Membro 0218
Desde que seja logica
21/04/2026 14:15 · Membro 0224
Passei por isso semana passada, processei no Axiom rolou...
21/04/2026 14:16 · Membro 0224
Fiz até uma sequência de print