Extração lógica e Android Backup via ADB
Categoria: Android, ADB, APK, USB, OTG e drivers
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre extração lógica e Android Backup via ADB no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, XRY, IPED, Magnet AXIOM, IEF, Oxygen, FTK. Os termos mais recorrentes neste tema incluem: backup, mas, extracao, fazer, pra, logica, esse, whatsapp, pelo, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Tentar métodos lógicos/backup quando métodos físicos não forem suportados.
- Verificar se o backup inclui aplicativos de interesse.
- Documentar limitações de versões Android e permissões.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerXRYIPEDMagnet AXIOMIEFOxygenFTKEnCaseADBODINBitLockerWhatsAppiTunesiCloudPalavras-chave recorrentes
backupmasextracaofazerpralogicaessewhatsapppeloeleandroidufedadbmesmofoipodearquivosfazDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 02/04/2018 19:03 a 19:11 — Extração e root em dispositivos LG
Fiz um LG C398 por meio do UFED -> LG C365 -> extração lógica
testa aí, vê se dá certo
Vou tentar. Muito obrigado.
Origem 002 — 23/08/2018 18:12 a 18:31 — Extrações, importação e limitações no XRY
Pessoal, boa tarde!
Segundo o que conhecem, quais são os _softwares_ de investigação forense digital que são comercializados no Brasil?
Segundo o que conhecem, quais são os _softwares_ de investigação forense digital que são comercializados no Brasil?
Ftk, encase, nuix, axion, os da Cellebrite, xry, passware, oxygen.
Os específicos para análise de sistemas de arquivos seriam o FTK, Encase, Nuix e AXIOM/IEF?
Sim. Nao conheço o Nuix. Só de ouvir a respeito.
Estou testando ele, parece ser interessante
Saberia dizer qual empresa (brasileira) o comercializa?
É da empresa que fez o oxygen
Beleza, valeu pela informação.
Eu usei muito pouco ainda, mas achei interessante os tags que ele faz na imagem, reconhecendo quando tem rosto, pessoas, objetos, texto, faz ocr
Mas o processamento é bem lento
[MENCAO] ele é específico para processamento de imagens, ou é similar a um FTK (por exemplo)?
Nuix achei pesado. Estação z820 da senasp pediu arrego 96% de cpu/gpu
Axion achei muito bom. Boa evolução do ief
Ele parece processar computadores e celulares. Mas eu só testei com uma extração lógica de um celular que estava bloqueado, então a análise foi bem limitada
Origem 003 — 15/10/2018 07:30 a 09:57 — Extração e decodificação de bancos do WhatsApp
Bom dia .....
Acho que alguém já disse aqui no grupo, mas nao custa nada perguntar novamente.
Há um modo seguro de rootear os aparelhos da LG da família K?
Acho que alguém já disse aqui no grupo, mas nao custa nada perguntar novamente.
Há um modo seguro de rootear os aparelhos da LG da família K?
Bom dia! Estou tentando usar o IPED da PF, mas ainda não consegui rodar. Sempre recebo um erro. Segue o erro:
E:\Pericia\Ferramentas\IPED\IP [ID-CASO]\ip [ID-CASO]>java -jar "E:\Pericia\Ferramentas\IPED\IP [ID-CASO]\ip [ID-CASO]\i
ped.jar" -d "E:\Politec\Laudos\Informatica\2018\Relatorio" -o "C:\IPED_processado" --portable
Exception in thread "main" java.lang.UnsatisfiedLinkError: C:\Users\[NOME]\AppData\Local\Temp\indexador-temp1539516194235\nativelibs\vccorlib140.dll: Can't fi
nd dependent libraries
at java.base/java.lang.ClassLoader$NativeLibrary.load0(Native Method)
at java.base/java.lang.ClassLoader$NativeLibrary.load(ClassLoader.java:2430)
at java.base/java.lang.ClassLoader$NativeLibrary.loadLibrary(ClassLoader.java:2487)
at java.base/java.lang.ClassLoader.loadLibrary0(ClassLoader.java:2684)
at java.base/java.lang.ClassLoader.loadLibrary(ClassLoader.java:2617)
at java.base/java.lang.Runtime.load0(Runtime.java:767)
at java.base/java.lang.System.load(System.java:1831)
at dpf.sp.gpinf.indexer.util.Util.loadNatLibs(Util.java:371)
at dpf.sp.gpinf.indexer.Configuration.getConfiguration(Configuration.java:480)
at dpf.sp.gpinf.indexer.IndexFiles.main(IndexFiles.java:280)
ped.jar" -d "E:\Politec\Laudos\Informatica\2018\Relatorio" -o "C:\IPED_processado" --portable
Exception in thread "main" java.lang.UnsatisfiedLinkError: C:\Users\[NOME]\AppData\Local\Temp\indexador-temp1539516194235\nativelibs\vccorlib140.dll: Can't fi
nd dependent libraries
at java.base/java.lang.ClassLoader$NativeLibrary.load0(Native Method)
at java.base/java.lang.ClassLoader$NativeLibrary.load(ClassLoader.java:2430)
at java.base/java.lang.ClassLoader$NativeLibrary.loadLibrary(ClassLoader.java:2487)
at java.base/java.lang.ClassLoader.loadLibrary0(ClassLoader.java:2684)
at java.base/java.lang.ClassLoader.loadLibrary(ClassLoader.java:2617)
at java.base/java.lang.Runtime.load0(Runtime.java:767)
at java.base/java.lang.System.load(System.java:1831)
at dpf.sp.gpinf.indexer.util.Util.loadNatLibs(Util.java:371)
at dpf.sp.gpinf.indexer.Configuration.getConfiguration(Configuration.java:480)
at dpf.sp.gpinf.indexer.IndexFiles.main(IndexFiles.java:280)
Alguém tem alguma dica??
Pelo nome da dll, instala o visual studio runtime
Bom dia. [NOME] esse cara aí não é rooteável, nele tu vai fazer o seguinte, faz uma extração lógica pelo cellebrite, e faz um backup nele mesmo, jogando os dados pra um cartão de memória, através do aplicativo lgbackup disponível no próprio telefone, o qual tu pode processar no PA pela opção LG/LG backup, no abrir avançado, pega tudo que a gente quer.
[NOME] tá usando em qual SO, Windows ou Linux ??
Windows 7
Já atualizei a variável PATH com o local do Java
Beleza meu caro, vou tentar. Fiz a logica e SA mas não veio o WhatsApp
[NOME], quando vier a Fortaleza, terá uma cerveja bem geladinha pra ti. Deu certo aqui, vieram as conversas.
O que eu tenho visto por aqui, é que, tanto no Windows quanto no Linux, ele exige uma quantidade minima de memória física na máquina, que, caso não exista essa quantidade, ele começa a disparar uma série de erros, dentre eles uma menção a alguma coisa sobre Java, como aconteceu contigo. Aqui, com menos de 12 gb não adiantava nem começar a tentar. Outro detalhe é que, aqui tem um perito nosso que trabalho no CAEX, que também faz processamentos por lá, ele só gosta de usar o Windows. Me relatou que pra conseguir rodar bem nas versões 3.14.x do Iped, ele teve que manter a versão 1.71 do Java, a versão 1.8 não funcionava. Depois do downgrade do Java, funcionou. No Linux não tenho esse problema de Java, desde que tenha 12 gb de memória mínima.
12GB mínimo? Meu Deus... Os PC "bons" aqui quando tem 8GB já levantamos as mãos pro alto... num pau brabo tem alguma workstation em alguns núcleos específicos com no mínimo 12.. 😪😪
Outro detalhe, testei as versões 3.14.x do Iped, e a única que veio a ficar estável, no Linux, foi a 3.14.4, as outras davam erro de “out of memory”.
tem como limitar o uso da memoria pelo iped
pra nao dar out of memory
Valeu, obrigado pela informação. Vou fazer o downgrade do Java.
Lamentável isso gente, nós tínhamos que ter os melhores equipamentos do Estado, assim é muito difícil produzir bons resultados, sem esquecer de que a dificuldade e a geometria dos itens que periciamos, só tende a aumentar.
ou entao limita o numero de threads
no arquivo LocalConfi.txt
<Mídia oculta>
Isso foi o que conseguimos de "melhor" recentemente... Um All in One Lenovo...
Isso foi o que conseguimos de "melhor" recentemente... Um All in One Lenovo...
O manual do Iped sugere alguma alterações que podem ser feitas, no SO ou nos próprios arquivos de configuração do Iped, pra tentar sanar o erro, mas ele só conseguir ser sanado mesmo, depois que saiu a versão 3.14.4.
Aguardamos um processo de licitação pra 2 máquinas realmente condizentes, porém até agora não andou mais
Aqui na GMP de caçador temos 3 pcs com 32 GB, sendo um xeon e dois i7
Glória... A deuxxxx 😅😅
Mas pq o judiciário comprou, já o estado....
Pois é... Aqui bateu na trave nosso Cellebrite.. Porém não recebemos.. Ficou em 5ª posição nas prioridades da Vara de Execuções
Por alguns dias de diferença subiu de uns 180mil pra mais de 300
Venceu a validade da proposta e o representante não manteve depois....
Manda pra Concórdia... La a DIC conseguiu um cellebrite com o judiciário 😅
Origem 004 — 22/10/2018 12:10 a 12:10 — Extração e compatibilidade em Samsung SMART
Consegui uma licença trial do Axiom com o intuito de tentar reconhecer os backups “smart switch backup” da Samsung, no entanto não tive sucesso pra que ele conseguisse processar o backup, mas continuando a peregrinação achei o “Mobiledit”, que se propõe a reconhecer esses formatos de backup da Samsung, além de outras inúmeras promessas boas, o problema é que o mobiledit não tem trial, e a versão full dele é cerca de 6k😢😢 já comecei a choradeira por aqui pra tentar levantar esse valor.
Origem 005 — 30/10/2018 18:44 a 18:57 — Extração e compatibilidade em Samsung SM-G570M
Neste não tem a opção de backup. Há outra técnica ou método?
Também já desbloqueram ou extrairam o dispositivo sm-g570m?
Não consegui extrair o conteúdo do sistema parcial de arquivos.
Já extraí de aparelho desbloqueado. E só a lógica
Pessoal pela pasta em que está armazenada (. Cliptray) e pela nomenclatura é possível afirmar que ela foi uma captura de dela gerada no celular analisado?
Desbloqueado faz a backup tbm no G570M
Origem 006 — 27/12/2018 16:34 a 16:52 — Root e extração em SM-G532MT
alguém tem um root ou recovery que funcione para o SM-G532MT, o j2?
estou colocando a recovery, mas mesmo dando reboot direto para recovery, vai para a stock
Existe sim um twrp para ele
Aqui tem inúmeros twrp
Tenha cuidado, pois o twrp pode dar certo com algumas compilações e formatar com outras. Realize primeiro a extração lógica.
já fiz a lógica, tinha até dando um soft brick no telefone, mas consegui voltar
agora só todas as aplicações estão parando
Cuidado. Só sobe o twrp. Não inventa de subir rw para system ou altere qualquer bit pq dependendo da versão ativa o dmverity e baubau
Além disso, dependendo da compilação utiliza-se um TWRP ou CF autoroot.
tá dando o recovery is not seandroid enforcing e não entra na recovery...
Origem 007 — 25/01/2019 08:57 a 11:26 — Extração e decodificação de bancos do WhatsApp
Como proceder? estou com dois aqui e nao temos xry
<Mídia oculta>
bkp_user_datapdf.pdf
bkp_user_datapdf.pdf
no site https://www.sammobile.com/ vc encontra diferentes versões do SO
dai vc faz o flash via Odin
da para instalar tbm o LGBackup. Mas nao pega WhatsApp.
tentei instalar mas n aceitava
tentei ate a versao 5
se n me engano ta na versao 7
so consegui a extracao logica com ufed
Alguém conseguiu fazer? Tenho 2 aqui.
Então já deu. Rs. S45
ate ontem.... eu so fazia logica, sistema de arquivos e LGBackup.
poderia disponibilizar o apk do LGbackup q ta usando?
Posso. Envio daqui 15min
Aqui no DF, quando o aparelho está desbloqueado e não conseguimos root tentamos pegar os seguintes itens:
1) Extração lógica
2) Extração do sistema de arquivos
3) Adb backup (normalmente sem downgrade por ser android 7 ou superior)
4) Exportação por email do WhatsApp com spitools (criação da pasta fake para tentar superar o limite dos 10MB)
5) Printscreen e/ou gravação de vídeo para os demais itens que forem relevantes.
1) Extração lógica
2) Extração do sistema de arquivos
3) Adb backup (normalmente sem downgrade por ser android 7 ou superior)
4) Exportação por email do WhatsApp com spitools (criação da pasta fake para tentar superar o limite dos 10MB)
5) Printscreen e/ou gravação de vídeo para os demais itens que forem relevantes.
<Mídia oculta>
Apenas exemplificando a parte do WhatsApp.
Apenas exemplificando a parte do WhatsApp.
<Mídia oculta>
Depois de executar o plugin
Depois de executar o plugin
Observações:
O arquivo contacts.txt ainda não é gerado pelo spitools, tem de usar o email-bkp-para-arquivo.
Para importar no UFED utilizamos um script do tipo plugin do UFED
Para automatizar os cliques manuais, Android View.
O arquivo contacts.txt ainda não é gerado pelo spitools, tem de usar o email-bkp-para-arquivo.
Para importar no UFED utilizamos um script do tipo plugin do UFED
Para automatizar os cliques manuais, Android View.
Chique demais esse negócio. Tem um manual?
<Mídia oculta>
SPIWhatsAppEmail.zip
SPIWhatsAppEmail.zip
Faltou apenas a parte do Android View que ainda não tem manual
<Mídia oculta>
spitools-1.2.apk
spitools-1.2.apk
☝versão com algumas correções (ajuste para a versão mais nova do WhatsApp)
Pessoal, lembrando que a gente tem feito esses programas no pouco tempo que sobra no dia a dia.
Para rodar eles, é importante ter algum conhecimento de programação python, android e shell linux.
Para rodar eles, é importante ter algum conhecimento de programação python, android e shell linux.
👏👏👏👏massa [NOME]! Parabéns
Obrigado por compartilhar
O mestre do script do UFED é o [MENCAO].
<Mídia oculta>
LG Mobile BACKUP.apk
LG Mobile BACKUP.apk
Aqui no Paraná passamos os arquivos do WhatsApp exportados via email para o MobileMerger. Aí ele já formata direto no relatório final pdf
Mas acho q existe uma limitação com relação à quantidade de mensagens exportadas. Não vai tudo.
Pelo menos a versão q tenho não exporta tudo
Verdade, aí tem que criar aquele diretório fake de mídias antes de exportar via email, para bypassar essa limitação
... via spitools
Origem 008 — 19/07/2019 17:06 a 17:06 — Conexão USB, ADB e diagnóstico de porta em Android
Estou com 2 celulares aqui que quando o xry manda fazer o backup por ADB, o aparelho reinicia
Tentei fazer o bkp por comando adb e ocorreu o mesmo
Alguém pegou algo semelhante?
Origem 009 — 14/08/2019 11:21 a 11:21 — Exatamente. O backup seria feito dos dados e não das partições, como é
Exatamente. O backup seria feito dos dados e não das partições, como é feito pelos twrps.
Origem 010 — 17/09/2019 17:55 a 17:55 — Consegui fazer o backup. Segue o link do Youtube que mostra o método
Consegui fazer o backup. Segue o link do Youtube que mostra o método e a ferramenta usada. https://www.youtube.com/watch?v=6sdwnHwcoOM
Origem 011 — 29/09/2019 15:13 a 15:19 — Extração e análise de mensagens do WhatsApp
Pois é.. o modelo do aparelho é SM-J600GT/DS. Agora vou enviar a extração lógica realizado e informar no laudo do ocorrido
Ainda sobre Whatsapp estou com cópia em papel da tela do Whatsapp com horário divergente da hora que visualizo na tela do smartphone com 1h a mais. Essa mensagem foi de 2014, provavelmente durante horário de verão. O campo hora do Whatsapp não é estático? É uma referência da hora atual?
Origem 012 — 10/10/2019 09:41 a 10:49 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia! Alguém sabe informar se tem alguma forma de root para o Samsung G532M sem necessitar de wipe/format?
Nos tutoriais que vi, uma das etapas é dar wipe no TWRP.
Se eu instalar o TWRP já consigo fazer um backup nele, mesmo sem root?
se conseguir instalar o TWRP sem wipe, dá para fazer o backup
Blz, vou tentar aqui! Obrigado!
Esse telefone é criptografado, não tem como fazer backup via twrp, se ele estiver desbloqueado só o apk downgrade consegue pegar bate papos. Essa foi a família que mais me bateu,
Pois é, tô achando estranho os tutoriais solicitarem wipe, é a criptografia provavelmente
Apesar do android ser 6.0.1
vou instalar o twrp agora para ver se é possível fazer algo.
Firmwares pós 2018 implementaram a checagem do hash do firmware, se não passar na checagem, vai ficar inutilizado irreversivelmente, não aconselho fazer root nele, se o path for de 2018 pra frente.
userdata inacessível pra backup, existe algum comando estilo dd q eu consiga fazer o dump de tudo, mesmo q criptografado?
A partição mmcblk0 é a memória interna toda, ela sai via dd.
Instalei o supersu, deu um monte de pau na instalação 😅, ficava tentando montar o /data, mas parece q deu certo
A extração rooted já vai salvando descriptografado os dados do bin?
Usei os arquivos desse aí ☝🏻
talvez não era criptografia, mas algum bloqueio de acesso, né?
Em aparelhos cifrados é importante deixar o TWRP no modo read only. A chance de dar algum problema com o dm-verity é grande e os dados serem perdidos de forma irrecuperável.
Quando utilizamos substituição de partição de recovery aqui no DF, geralmente subimos o TWRP e damos o seguinte comando pra copiar o bloco mmcblk0:
adb pull /dev/block/mmcblk0 -a
O TWRP já sobe o adb server, então facilita o nosso lado. Nao precisa utilizar DD.
Quando utilizamos substituição de partição de recovery aqui no DF, geralmente subimos o TWRP e damos o seguinte comando pra copiar o bloco mmcblk0:
adb pull /dev/block/mmcblk0 -a
O TWRP já sobe o adb server, então facilita o nosso lado. Nao precisa utilizar DD.
<Mídia oculta>
getprops.bat
getprops.bat
Perito [NOME] aqui da seção fez esse bat pra verificar o estado da cifra de disco. A propriedade ro.crypto.state vai informar se esta cifrado ou nao.
Se estiver cifrado, uso do TWRP vai ser praticamente inútil.
Melhor tentar alguma técnica da Cellebrite que faça quebra de criptografia.
Se estiver cifrado, uso do TWRP vai ser praticamente inútil.
Melhor tentar alguma técnica da Cellebrite que faça quebra de criptografia.
👍🏻👍🏻. Quando terminar a extração rodo esse bat para ver se era criptografia a falta de acesso ao userdata
Eu peguei um que não retornou nada dessa prop mas mesmo assim estava criptografado...
Origem 013 — 15/10/2019 13:29 a 14:39 — Extração e análise de mensagens do WhatsApp
Boa tarde! Em um dispositivo informático com SO Android acima de 7.0, realizou-se somente a extração lógica. Não foi possível extrair a localização por meio do UFED 1. É possível extrair a localização de forma manual ou por meio de um aplicativo específico?
GPS e Google Maps.
Se tiver a senha da conta registrada pode baixar pelo takeout
https://takeout.google.com/settings/takeout
Só verifique se a autorização judicial permite baixar da nuvem.
Já ia perguntar isso. Somente com autorização judicial. Se não tiver a autorização judicial você informa no seu laudo desse possibilidade?
Diligência pedindo autorização em procedimentonsigiloso. Se você colocar no laudo a parte pode ter acesso e apagar conteúdo na nuvem.
https://www.instagram.com/p/B3pCDh4lPx4/?igshid=xlok6qr49ok9
👏👏👏👏👏 merecido! Parabéns ao colega [NOME].
Seria interessante adicionar o [NOME] nesse grupo. Perito muito acessível e muito capaz 👏🏼👏🏼
O problema é que ele não usa WhatsApp. Segundo ele. Kkkk
Ele tem paz de espírito então kkk
Origem 014 — 21/10/2019 12:19 a 12:59 — / Método e/ou software/ferramenta pra identificar as senhas armazenadas no Android
Bom dia!
Método e/ou software/ferramenta pra identificar as senhas armazenadas no Android?
Método e/ou software/ferramenta pra identificar as senhas armazenadas no Android?
Ou um aplicativo que faz extração, especificamente, da conta e senha do Google?
No relatório do Ufed tem um item "senhas".
Não foi possível na extração lógica.
https://www.techtudo.com.br/dicas-e-tutoriais/2017/11/como-consultar-uma-senha-salva-no-google-chrome-para-android.ghtml
Consegui a senha do Google no navegador Google Chrome.
Origem 015 — 25/10/2019 20:47 a 21:01 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Se a versão do Android for 6 ou inferior, basta executar um adb reboot edl
Q o aparelho irá reiniciar já em modo EDL
Acho q esse modelo é um 7.1 pra cima.
Origem 016 — 16/01/2020 07:50 a 07:50 — Extração e bloqueios em Xiaomi/Redmi/POCO
Bom dia! Consegui realizar a extracao logica avançada em um xiaomi pelo UFED, mas este nao recuperou os emails contidos no gmail. Vi que lá tem muitos do interesse da investigação. Alguem tem sugestoes de como exportar estes emails?
Origem 017 — 21/01/2020 17:01 a 17:21 — Conexão USB, ADB e diagnóstico de porta em Android
Alguma ideia sobre o local pra onde vai esse image.bin?
Pq pra pasta do minimal adb não foi
O Path q o cmd tava era qual? Estranho
Talvez tenha algo a ver com permissão administrativa
O comando acho q pode ser sem nome do arquivo de saída tb, se não me engano
Aí ele cria um arquivo mmcblk0
Esse tamanho não tá condizente com o j500m
Pode ser q tenha q fazer pull em outros blk, n sei... Ou deu algum erro mesmo
Deve ter sido isso, não teve permissão de escrita dentro dessa pasta
Origem 018 — 02/03/2020 14:03 a 14:35 — Bootloader, desbloqueio OEM e risco de wipe
Alguém aí sabe como funciona a vulnerabilidade checkm8? Se teria alguma forma através dela de realizarmos extrações de iPhones bloqueados sem o uso do 4PC ou touch?
Já tentei uma vez em um iphoneX usando código fonte no github e executando num Mac. Começou bem mas no meio do processo parou.
Consegue-se fazer um dump físico ou um backup ou cópia das pastas?
É um pouco complexo
Em tese o checkm8 " abre as portas" para se executar um código qualquer no bootloader. Pessoal da cellebrite aplica o checkm8 e executa um codigo para dump
Código no git é meio genérico. Necessita outras coisas para se fazer dump
Tenho algums iphones de casos antigos que soltei o laudo informando não ter sido possível extrair, mas que p aparelho ia ficar guardadinho custodiado no IC pra caso surgisse nova tecnologia. Esse dia tá chegando, kkkk.
O 4PC atualizado já faz então, sem problemas, né? só temos o touch aqui.
<Mídia oculta>
Alguma dica?
Alguma dica?
Se não rolar, faz na mão pelo PC usando o comando adb backup -all -blabla. Uma vez só consegui um completo pelo terminal ADb mesmo
Origem 019 — 27/05/2020 10:05 a 11:02 — Recuperação de mensagens e vestígios do WhatsApp
Bom dia. Estou com um Motorola modelo xt1069 sem senha. Já fiz extração lógica avançada. O que ocorre é o seguinte
mesmo setando no modo desenvolvedor para que ao inserir o cabo o USB seja habilitado o modo MTP. Ele sempre esta habilitando somente "carregando". ja pesquisei e vi APKs que resolvem isso, mas o aparelho deve estar rooteado. Sendo motorola tenho que pensam em outra forma que seja rootear. Nem a estração sistemas de arquivos esta dando certo devido a isso.
Tem algum aplicativo de "proteção de carga"
Aqueles que ajudam a recarregar o aparelho
Eu passei por um situação exatamente como essa na sexta feira!
Depois de desabilitar esse aplicativo o celular extraiu a filé sistema com bkp sem problemas
Tinha um para carregar rápido mas já tinha desinstalado.
Nas opções de desenvolvedor tem opção para deixar como padrão o MTP assim que conectar. Pode tentar isso.
Já foi. Mesmo assim muda
Nas configurações do modo desenvolvedor tem uma opção pra mudar o usb
Opa
Pior dos casos faz via Bluethooth essa parte.
Vc tem um microondas perto? Liga ele 3 minutos no microondas e faz o laudo dizendo que o aparelho veio danificado!
A lógica deu certo porque não reinicia o aparelho.
Já deu essa bodega comigo também
Quando ele reiniciar
Eu desconectei do cabo
Aí quando ele liga o ufed fica esperando
Eu conectei no cabo e já pedi pra mudar pra transferência
Era um moto rola tambem
Pelo que deu a entender ele não deixava mudar o padrão USB quando o celular ligava já com o cabo conectado
Na pior das hipóteses exporta as conversas do WhatsApp via aplicativo
Origem 020 — 02/06/2020 17:47 a 18:14 — Extração e análise de dados em iPhone/iOS
Boa tarde, amigos. Alguém pode indicar uma ferramenta alternativa ao UFED pra extração de dados de iOS?
ITunes
O iTunes faz o backup mas não exibe os dados né?
Perdão acho que não fui claro. Seria uma alternativa, tipo o antigo app Mobo. Que faz uma espécie de extração lógica.
Origem 021 — 24/08/2020 15:34 a 15:47 — Extração lógica por Android Backup via ADB
Pessoal, estou fazendo Android Backup com o 4PC de um Moto C, mas na tela em que se clica em FAZER BACKUP DOS MEUS DADOS, ao clicar aparece erro de senha. Tentei 1234 e 12345, sem sucesso.
Será que há algum macete? Primeira vez que me deparo com isso.
Deve estar habilitada a senha para backup, conforme imagem
Nas opções de desenvolvedor
Obrigado. Deve ser isso msm 😕
Origem 022 — 25/08/2020 14:14 a 15:47 — Extração e decodificação de bancos do WhatsApp
Pessoal... Sobre o UFED... De um tempo pra cá as mensagens do aplicativo WhatsApp que foram extraídas pelo Android Backup Downgrade não tem tido as mídias vinculadas. Para abrir tais mídias é preciso buscá-las manualmente ou então executar o plug-in WhatsApp Standalone. O problema é que ao executar o plug-in a mensagens ficam todas cinzas, sem a identificação de verde (enviada) e azul (recebida). Vocês conhecem algum macete para contornar esta situação?
teria q recuperar os contatos do .wa, ou "formulá-los"
Origem 023 — 25/08/2020 16:49 a 17:11 — Extração lógica por Android Backup via ADB
Após o procedimento de downgrade, o UFED Analyzer faz uma nova pergunta para finalizar ou realizar o backup dos demais dados. Vc realizou essa segunda etapa?
Eu percebi que realizando a primeira etapa e fazendo o merge com a extração lógica ocorria essa problema.
Como alternativa poderia utilizar o Forensic Tools.
No meu caso não realizei. Você diz sobre extrair de local compartilhado, correto?
Me parecia que sempre extraía o msm conteúdo do Android Backup. Será isso então?
Me parecia que sempre extraía o msm conteúdo do Android Backup. Será isso então?
Seria o mesmo conteúdo, mas o UFED estava falhando
Caramba, nem me toquei. Acabei desistindo dessa opção por demorar muito e “aparentemente” não estar trazendo novidades.
Vou testar aqui. Obrigado pela dica!
Esse problema é recente.
Boa tarde, na versão para Android 4 do app Email to Backup, onde ficam as conversas exportadas?
Origem 024 — 31/08/2020 17:03 a 17:03 — Conexão USB, ADB e diagnóstico de porta em Android
<Mídia oculta>
Essa msg tem algum macete? Já instalei os drivers ADB 🤷🏻♂️
Essa msg tem algum macete? Já instalei os drivers ADB 🤷🏻♂️
Origem 025 — 23/10/2020 08:38 a 08:38 — Extração lógica e Android Backup via ADB
Bom dia! Alguma dica para extrair mensagens SMS de um CAT B-25? Ele só tem extração lógica e da erro quando vai extrair SMS.
Origem 026 — 04/12/2020 11:26 a 12:24 — Extração e análise de variantes do WhatsApp
👏👏👏
Um salve a todos os colegas peritos criminais pelo dia, profissionais que mesmo com todas as dificuldades, seguem trabalhando e contribuindo à efetivação da justiça no nosso país!
Um salve a todos os colegas peritos criminais pelo dia, profissionais que mesmo com todas as dificuldades, seguem trabalhando e contribuindo à efetivação da justiça no nosso país!
Parabéns a todos nós, guerreiros, lutadores, que mesmo com todas as adversidades, permanecemos firmes, com o compromisso pessoal na luta pela revelação da verdade.
Pessoal, estou com um Galaxy A10 que tem o WhatsApp Plus instalado.
Quando ele tem o GBWhatsApp ou outro similar, há a possibilidade de fazer um backup descriptografado, que o próprio Android Backup do 4PC pega... Mesmo sem downgrade.
Só que essa versão não faz tal backup, tampouco permitiu o 4PC instalar a versão de downgrade dele.
Quando ele tem o GBWhatsApp ou outro similar, há a possibilidade de fazer um backup descriptografado, que o próprio Android Backup do 4PC pega... Mesmo sem downgrade.
Só que essa versão não faz tal backup, tampouco permitiu o 4PC instalar a versão de downgrade dele.
Veja se no menu do aplicativo tem opção de backup para o microSD
Se tiver, ele copia todos os bancos de dados
O GB e similares todos tem
Esse miserável aqui não tem
Normalmente é meio escondida a opção. Não tenho nenhum aqui para indicar o caminho, mas procure bem, hehe.
Descriptografado?
Aliás, criptografado, mas a chave vai junto
Como se fosse um APK Downgrade
Vieram dois A10 na requisição. Um deles eu consegui de boa encontrar esse backup. Nesse que eu consegui, na seção SOBRE, fala daquele AlexMods que permite esse backup.
Já a segunda peça, que falei inicialmente, não tem mesmo. Na seção SOBRE nem cita esse AlexMods igual do YoWhatsApp ou GBWhatsApp. Veja só:
Já a segunda peça, que falei inicialmente, não tem mesmo. Na seção SOBRE nem cita esse AlexMods igual do YoWhatsApp ou GBWhatsApp. Veja só:
Eu tô pensando em tentar alguma dessas versões paralelas que tenham sucesso em instalar por cima.
Mas é tentativa e erro.
Se tiver alguma ideia diferente pra eu seguir, é bem vinda rs
Boa tarde pessoal, pergunta técnica porém pessoal... 🤣🤣
Não dá pra migrar nada do iPhone pro Android?
Não dá pra migrar nada do iPhone pro Android?
Origem 027 — 20/01/2021 16:21 a 16:21 — Extração e bloqueios em Xiaomi/Redmi/POCO
Boa tarde. Essa pasta de backup do MIUI, vem algum tipo de backup de dado pessoal ou só configurações dos aplicativos?
Origem 028 — 02/02/2021 17:03 a 17:03 — Extração e análise de variantes do WhatsApp
Pessoal, essa semana pedi a ajuda de vocês aqui com aqueles caso do GBWhatsApp que não tem a opção de backup completo. Após bater muito a cabeça e graças à ajuda do [MENCAO], consegui fazer o Physical Analyzer interpretar as informações e reconhecer como bate-papo. A grande sacada é renomear a pasta a ser importada para WhatsApp e não GBWhatsApp como vem originalmente.
Assim, fiz o seguinte:
1. Extraí a pasta GBWhatsApp. Pode ser direto do armazenamento interno do aparelho ou DESCARREGAR a pasta pelo Physical Analyzer;
2. Renomear a pasta de GBWhatsApp para WhatsApp;
3. Conseguir a chave criptográfica através da ativação do WhatsApp em um emulador de Android com root ou celular distinto da peça de exame;
4. Abrir um projeto em branco no P.A. e adicionar a pasta WhatsApp. É importante importar a pasta de um nível acima. Por exemplo, no caminho C:\Exemplo\WhatsApp, selecionar a pasta Exemplo e não a pasta WhatsApp;
5. Executar o plug-in do P.A. "Android WhatsApp with Provided Key" e, quando for pedido, selecionar o arquivo KEY (chave criptográfica obtida no item 3);
6. Executar o plug-in do P.A. "Android WhatsApp Standalone";
7. PRONTO!
.
Eu notei que ao abrir o projeto vazio e importar a pasta antes das outras extrações faz com que os contatos não sejam reconhecidos nas conversas e apareçam apenas os números de telefones nas conversas. Mas se abrir ao menos uma extração Lógica Avançada, que tenha extraído os contatos, ao mesclar essa extração com o projeto vazio e fazer o procedimento, os contatos acabam relacionados.
.
Bom, é isso. Espero ajudar outros colegas como vcs me ajudaram aí.
Assim, fiz o seguinte:
1. Extraí a pasta GBWhatsApp. Pode ser direto do armazenamento interno do aparelho ou DESCARREGAR a pasta pelo Physical Analyzer;
2. Renomear a pasta de GBWhatsApp para WhatsApp;
3. Conseguir a chave criptográfica através da ativação do WhatsApp em um emulador de Android com root ou celular distinto da peça de exame;
4. Abrir um projeto em branco no P.A. e adicionar a pasta WhatsApp. É importante importar a pasta de um nível acima. Por exemplo, no caminho C:\Exemplo\WhatsApp, selecionar a pasta Exemplo e não a pasta WhatsApp;
5. Executar o plug-in do P.A. "Android WhatsApp with Provided Key" e, quando for pedido, selecionar o arquivo KEY (chave criptográfica obtida no item 3);
6. Executar o plug-in do P.A. "Android WhatsApp Standalone";
7. PRONTO!
.
Eu notei que ao abrir o projeto vazio e importar a pasta antes das outras extrações faz com que os contatos não sejam reconhecidos nas conversas e apareçam apenas os números de telefones nas conversas. Mas se abrir ao menos uma extração Lógica Avançada, que tenha extraído os contatos, ao mesclar essa extração com o projeto vazio e fazer o procedimento, os contatos acabam relacionados.
.
Bom, é isso. Espero ajudar outros colegas como vcs me ajudaram aí.
Origem 029 — 10/03/2021 14:23 a 14:53 — Extração e análise de mensagens do WhatsApp
Há algum procedimento que possa voltar ao estado anterior e não dar esse problema no dm-verify?
Eu já fiz isso no meu pessoal e acabei dando wipe 🥲
é um J500?
foi a recovery q foi submetida?
tenta colocar a stock recovery dele, se foi esse o procedimento
Negócio é que fui instalar o super SU
se tiver, vc pode tentar o dump direto pelo twrp
Aí após a instalação deu esse problema
mas não sei se no j710 tá criptografado
Aí acho bem improvável conseguir dar o rolll back
vc consegue acessar o recovery atual?
consegui extrair dados de um 📱 utilizando o Cellebrite.
E aí foram extraídas centenas de pastas com arquivos do Whatsapp, dentre os quais incluem arquivos "txt" com as mensagens de texto.
Porém, quando copio o conteúdo do arquivo "txt" e passo para o Word, muitas palavras desnecessárias e linhas vazias são também copiadas.
Remover as linhas vazias e palavras desnecessárias de um arquivo ou outro, ok. Utilizado para isso o programa "Notepad++".
Porém, no meu caso aqui tenho centenas de arquivos de "txt" que precisarei passar para o MS Word para fazer meu laudo.
A dúvida é: existe algum software em que eu possa remover todas as linhas vazias e palavras desnecessárias de vários arquivos de texto de uma só vez?
Porque ter que fazer a remoção de forma manual vai me tomar meses pra fazer o Laudo. Sem contar que ele terá 4, 5 mil páginas!
Alguém teria uma solução?
Muitíssimo obrigado!
E aí foram extraídas centenas de pastas com arquivos do Whatsapp, dentre os quais incluem arquivos "txt" com as mensagens de texto.
Porém, quando copio o conteúdo do arquivo "txt" e passo para o Word, muitas palavras desnecessárias e linhas vazias são também copiadas.
Remover as linhas vazias e palavras desnecessárias de um arquivo ou outro, ok. Utilizado para isso o programa "Notepad++".
Porém, no meu caso aqui tenho centenas de arquivos de "txt" que precisarei passar para o MS Word para fazer meu laudo.
A dúvida é: existe algum software em que eu possa remover todas as linhas vazias e palavras desnecessárias de vários arquivos de texto de uma só vez?
Porque ter que fazer a remoção de forma manual vai me tomar meses pra fazer o Laudo. Sem contar que ele terá 4, 5 mil páginas!
Alguém teria uma solução?
Muitíssimo obrigado!
Qual teria sido a extração?
Firmwares Samsung , a partir de 2018, implementaram o DM-Verity, antes de alterar o firmware teria que ter removido o bloqueio, depois que flashear o firmware, se torna irreversível, pelo menos nunca consegui achar nenhuma forma de reverter.
H', normalmente eu envio o pdf gerado das conversas, não colo-as no laudo.
Bloqueio se refere a senha?
Se não me engano foi extração lógica
não lembro
tem muitos meses
não lembro
tem muitos meses
Voce consegue entrar em recovery ou em modo de download?
Não, é o bloqueio que implementa o DM-Verity, senão me engano é o RMM. Flasheando o firmware com esse removedor do bloqueio, antes de aplicar alguma coisa que altere o firmware, como o root, por exemplo.
Tem material para que eu possa aprender depois dessa?
acho que será o jeito, viu
gravar em um 💿 e enviar
mas tem conversas extremamente importantes que seriam interessantes constarem no corpo do Laudo
acho q n terei como escapar mesmo
gravar em um 💿 e enviar
mas tem conversas extremamente importantes que seriam interessantes constarem no corpo do Laudo
acho q n terei como escapar mesmo
Nesses casos eu menciono que tem conversas entre os contatos tal e tal, na página tal do PDF, reproduzida parcialmente no laudo, e colo
ou tá a recovery normal?
é, talvez o adb pull /dev/block/blkmmc0 funcione
E pra voltar a funcionar, será q colocando a recovery original não vá?
fiz isso em outros modelos, mas nesse aí não sei
Origem 030 — 20/03/2021 16:28 a 16:42 — Conexão USB, ADB e diagnóstico de porta em Android
Caso alguém tenha interesse.
Só repassando. Contato direto com eles
Isso mesmo, parece q é algum conflito de versão, joguei um adb.exe mais recente na pasta do forensictools, no lugar do q estava sendo utilizado
e parece q agora vai, ao menos reconheceu
Origem 031 — 06/04/2021 10:33 a 10:53 — Extração e compatibilidade em Samsung SM-A205G
Bom dia!
Não estou conseguindo fazer a extração lógica de SM-A205G, Android 10. Inicia a extração mas depois perde a conexão (o sinal de carregamento não aparece). Alguma solução?
Não estou conseguindo fazer a extração lógica de SM-A205G, Android 10. Inicia a extração mas depois perde a conexão (o sinal de carregamento não aparece). Alguma solução?
Se for o conector o problema e vc possuir outro pode tentar trocar (a placa da USB é separada)
Origem 032 — 07/05/2021 11:11 a 13:39 — Extração e decodificação de bancos do WhatsApp
Tem alguma msg na tela de opções que indicasse isso? Será q o J415 já faz tbem?
Entreguei um há 3 dias sem extrair nada por estar com security startup
Entreguei um há 3 dias sem extrair nada por estar com security startup
Nenhuma msg. Só testando mesmo.
Outra questão
por sorte o bloqueio era por padrão [SEGREDO] baixou um dicionario de 389.113 combinações,
então é certo que vai desbloquear em tempo razoável
agora se for senha alfanumerica, aí deve complicar
teria de ter uma boa máquina com GPU
Outra questão
por sorte o bloqueio era por padrão [SEGREDO] baixou um dicionario de 389.113 combinações,
então é certo que vai desbloquear em tempo razoável
agora se for senha alfanumerica, aí deve complicar
teria de ter uma boa máquina com GPU
Boa tarde! YoWhatsApp, sem opção na GUI para aquele backup completo.
TEm alguma forma de obter a key [SEGREDO] internos?
Vi que tem opção para backup no dropbox e no Mega. Seriam backups completos (incluindo a key [SEGREDO].db descriptografados) ou backup básico igual ao do Google Drive?
Admin, adiciona por gentileza o perito Willy da seção de computação aqui de Cuiabá
Boa dica, já fazia a lógica/sistema de arquivo, mas não faço fotografias das telas de erro
Origem 033 — 02/06/2021 14:58 a 14:58 — / Opção Huawei Vendor Backup recuperando a área protegida de aplicativos! Apenas avisando
<Mídia oculta>
Opção Huawei Vendor Backup recuperando a área protegida de aplicativos! Apenas avisando, caso seja útil pra alguém!!
Opção Huawei Vendor Backup recuperando a área protegida de aplicativos! Apenas avisando, caso seja útil pra alguém!!
Origem 034 — 12/06/2021 10:33 a 11:15 — Extração lógica por Android Backup via ADB
É um exynos FBE. O generico FBE não fez Full FS no ufed?
Esse é MTK. Sem chance de desbloquear. E se conseguir, não tem full fs tbm. Apenas lógica, android backup e apk down
Talvez até quebre a senha
Não tinha visto essa FBE, depois que vi comecei a extração, mas deu uma travada aqui. 👍🏼
Depois posto a conclusão
Estou a uns 10min assim👇🏼
E o Samsung J610G bloqueado com inicialização segura, nenhuma possibilidade?
Pode deixar. É isso mesmo.
Tem alguns desse que fica parado, mas esta fazendo.
Esse é qualcomm. Entao não tem no ufed padrao a quebra do secure startup.
Blz. Valeu pela informação 👍🏻👍🏻
Origem 035 — 13/10/2021 12:57 a 12:57 — Conexão USB, ADB e diagnóstico de porta em Android
Tente abrir como fisica via adb
Mas como fisica.
Origem 036 — 10/11/2021 10:15 a 10:26 — Extração lógica por Android Backup via ADB
Bom dia! Alguma dica para fazer o Samsung A12 (A125M) bloqueado por senha de desenho?
É um Mediatek FBE esse. Sem opção no ufed tradicional.
O que eu faria é tentar algumas opções possíveis.
O que eu faria é tentar algumas opções possíveis.
Ai se tiver sucesso, depois lógica, Android backup e apk down dos disponíveis.
Não tem full fs tbm
Obrigado [MENCAO] pela informação!
Origem 037 — 29/11/2021 11:54 a 12:56 — Extração e análise de variantes do WhatsApp
Bom dia. Alguém conseguiu uma solução nesses casos em q a extração via EmailBkpToFile do GBWhatsApp traz no txt <Arquivo de mídia oculto> para todas as mídias da conversa, incluindo áudios? Estou com um caso aqui assim. Achei q fosse por conta do AppLock, mas não é
o SPITools cria uma cópia das mídias com conteudo zerado
ao receber o txt, isso otimiza o volume de dados exportados
praticamente tudo é recebido, sem o limitador dos 10MB
bem raro bater no limite
quando a conversa só tem áudios
o WhatsApp tem um bug e não exporta
basta adicionar um anexo diferente de áudio
uma foto por exemplo
em seguida, exportar novamente que o txt vem com os áudios
acho que o EmailBkpToFile é bem antigo... pelo menos, o que eu tenho é...
ele não zera as mídias do WhatsApp e por isso a conversa vem cheia de limitações...
(importante fazer uma extração lógica do /sdcard/ - area compartilhada antes)
o processo de criar uma cópia, renomear e zerar mídias é bem seguro, nunca tive problema
mas vai que dá um azar né...
ele não zera as mídias do WhatsApp e por isso a conversa vem cheia de limitações...
(importante fazer uma extração lógica do /sdcard/ - area compartilhada antes)
o processo de criar uma cópia, renomear e zerar mídias é bem seguro, nunca tive problema
mas vai que dá um azar né...
Pois é, eu li sobre isso no manual, mas o q estou estranhando é q não vieram os arquivos de conversa nenhuma, mesmo aquelas de anexos pequenos ou com vários tipos de arquivos diferentes como áudio, imagem e vídeo... em todas as conversas está com <Arquivo de mídia oculto>
quando vc abre, a mídia existe?
Sim... no celular roda direitinho
Abro as imagens, ouço os áudios, etc
sabe dizer se houve essa etapa de criar uma cópia e zerar as mídias?
Não fiz a clonagem de pastas ainda, vou tentar... mas queria ver se havia algum outro problema conhecido antes
<Mídia oculta>
spitools-1.3.apk
spitools-1.3.apk
Origem 038 — 10/12/2021 16:15 a 16:18 — As vacinas no conectsus se foram também
As vacinas no conectsus se foram também
Só restaurar o backup.
Origem 039 — 03/02/2022 10:14 a 10:14 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia! Já aconteceu com vocês de uma extração de sistemas ou backup adb, logo após iniciar o processo ficar reiniciando o aparelho? Assim que começa o aparelho dá reboot.
Seria algum aplicativo causando isso?
Origem 040 — 03/02/2022 10:47 a 10:47 — Extração lógica e Android Backup via ADB
Será que não é falta de espaço de armazenamento interno? Backup consome um espaço de trabalho considerável
Origem 041 — 16/02/2022 11:41 a 12:18 — Extração e compatibilidade em Samsung K130f
Bom dia, pessoal! Samsung GT-I9063T bloqueado. Alguma dica? Obrigado!
Consegui por meio do PIN de Backup. De 1 a 6. 😅
<Mídia oculta>
Bom dia. Alguem ja viu esse erro na inicialização? É um k130f
Bom dia. Alguem ja viu esse erro na inicialização? É um k130f
Origem 042 — 11/04/2022 13:53 a 15:16 — Extração lógica por Android Backup via ADB
Pessoal, boa tarde. Tudo bem? Uma colega está com um celular Xiaomi relacionado a Tráfico de Drogas.
O UFED extraiu bastante foto de interesse em boa resolução, porém localizadas no seguinte caminho:
O UFED extraiu bastante foto de interesse em boa resolução, porém localizadas no seguinte caminho:
IMG-20220411-WA0005.jpg (arquivo anexado)
Até onde conheço, essa pasta não é acessível em celulares sem root. É possível a gente saber se isso era galeria ou o que? Será q foi apagada do armazenamento interno, mas permaneceu no cache?
Talvez o processo de extrção tenha sido por backup, e o que vai no backup é definido pelo especificado no programa
dessa forma, talvez quando foi executado um adb backup para o pacote do com.google.android.apps.photos, ele mesmo tenha incluído esses arquivos em seu backup. Teria que testar
posso testar aqui rapidão com meu celular e ver se vem
Mas vc acha q isso ocorreria mesmo não tendo esses arquivos nas mídias do armazenamento interno?
Esse app seria o Google Fotos, certo?
creio que sejam imagens geradas quando o usuário passa as miniaturas rapidamente (glide / scroll)
acho q mistura todo tipo de origem no google fotos, infelizmente =/. Mas não tenho certeza
no backup de um samsung que testei aqui não veio
vc pode tentar aí se quiser
adb backup -f backupPhotos.ab com.google.android.apps.photos
vai que no XIAOMI o negócio funciona diferente
Mas acho q de qq forma não é possível determinar origem ou algo do tipo, né?
Estou vendo aqui os intents agora
Chamei uns activities aqui que o nome parecia algo com acesso a photos, mas não tem nada de mais ligado do que o lance do backup syncronizado remoto
Nada que lembra vc poder puxar esse dados
só se tem um link no sistema de arquivos para essa pasta de cache
Vc extraiu no UFED?
Esse zip dele foi extração lógica de qual tipo?
File System
Então a técniica deu acesso a essa parte do userdata
E essa mídia não está tbm no armazenamento interno, por exemplo, por conta de ter sido excluída será?
Bom aí teria que estudar o código do Photos do google, mas não acho que ter o arquivo no cache necessáriamente deve haver o arquivo primário no armazenamento interno. Vc procurou se tem um sdcard externo? Tem como configurar eu acho para o photos operar no SDCARD externo
Não excluo a possibilidade de o cache manter um arquivo de uma imagem primária já apagada de outra parte do sistema de arquivos, seja o DCIM do armazenamento interno ou do externo
Não tem SD externo
Bom, mas de qq forma é difícil cravar mais alguma informação a respeito dessas fotos então
vou ver aqui no código fonte do google. Se tiver fáci e bem comentado a gente pode entender como é mantido esse cache
Legal, muito obrigado!
Não quero atrapalhar tbm!
Não quero atrapalhar tbm!
O photos não tem código aberto
Bom, acho que tem que pesquisar mais depois ou fazer reversa do apk
o que sugiro é usar um aparelho ou emulador de teste e fazer certas operações
no emulador vc tem acesso root
aí vc pode executar casos de teste no emulador tirando photos e apagando e vendo depois se fica no cache
Vou fazer esses testes mesmo em um emulador
ou usa um celular qualcomm mesmo e repete o processo de extração
Origem 043 — 02/06/2022 10:21 a 11:02 — Extração e decodificação de bancos do WhatsApp
Bom dia! Haveria algum modo de descriptografar um backup de WhatsApp de iCloud (arquivos .enc)?
Tem uns projetos no github que fazem. Acredito que o Axiom tb faz
Acredito que nesse caso precisa da chave de descriptografia do chatstorage.sqlite.enc
Bom dia
Alguém já fez perícia da maquininha sunmi v2?
Alguém já fez perícia da maquininha sunmi v2?
Consegui fazer extração Android genérica no 4PC
extração lógica*
Ok [NOME], vou tentar.
Só extraiu documentos
no meu caso atendeu ao objetivo pericial....
Origem 044 — 23/06/2022 17:14 a 17:16 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
O XT1941-3 só conseguimos as extrações lógica, Android backup e APK downgrade.
Coloquei em EDL mas não teve extração pelo 4PC. Vi pelo log que foi tentado usar o firehose do XT1685 que é um 8953 também. Mas não rolou mesmo
Origem 045 — 19/09/2022 11:31 a 12:31 — Extração e decodificação de bancos do WhatsApp
Bom dia! Alguém saberia como resolver o problema de downgrade apk do whatsapp vindo com apenas 1kb o .ab? Tentei no [NOME] e também no forensictools.
Depois de instalado o ZAP antigo, também tentei na mão o comando adb backup -apk com.whatsapp, e também só veio 1kb
Axiom faz downgrade apk?
Qual o celular amigo?
Samsung A115M
Não faz downgrade pelo Ávila nem pelo forensic tools
Eu já consegui pelo UFED TOUCH 2
Pelo chipset
Full file system
Entendi, especificamente para esse modelo não vai, né?
Olha eu não consegui
Infelizmente só tenho o touch 1. Alguma dica de como fazer a full file system sem um touch 2? Talvez através da vulnerabilidade?
O meu [NOME] está atualizado
Já o forensic tools foi descontinuado em março de 2021
Utilize o script de um colega aqui do grupo
Pode ser que der certo
acho que pode ser algum desses problemas:
1. versão do adb que o ufed tá usando
2. problema após o reinício do ufed, ele instala e reinicia o aparelho, e os tempos não batem
3. ausência de uma senha de backup (esse foi o último que eu peguei). Mesmo colocando a senha na tela, não ia... mas indo em configurações e colocando a senha dava certo
4. não admite downgrade (whatsapp faz parte da instalação básica)
1. versão do adb que o ufed tá usando
2. problema após o reinício do ufed, ele instala e reinicia o aparelho, e os tempos não batem
3. ausência de uma senha de backup (esse foi o último que eu peguei). Mesmo colocando a senha na tela, não ia... mas indo em configurações e colocando a senha dava certo
4. não admite downgrade (whatsapp faz parte da instalação básica)
faz um adb logcat|grep -i backupmanagerservice
👍🏻. E logo depois um adb backup -apk com.whatsapp -f whatsapp.ab?
<Mídia oculta>
teste em diferentes versões do platform tools
teste em diferentes versões do platform tools
sempre inicie o teste por algo irrelevante
tipo linkedin, etc
[MENCAO] , pode ser o item 3, tô colocando a senha, e logo depois o backup acaba rapidamente
configurações do sistema?
pois é... no meu eu fui em configurações e configurei uma senha de backup
mas tb não foi pelo ufed
fiz na mão
mas tb não foi pelo ufed
fiz na mão
<Mídia oculta>
SAVED APKs - Copy.zip.001
SAVED APKs - Copy.zip.001
👆7zip
tem um howto simplificado
acho que vale observar o reboot após o adb uninstall -k que o ufed faz
parece que é mesmo necessário em alguns celulares
tem um howto simplificado
acho que vale observar o reboot após o adb uninstall -k que o ufed faz
parece que é mesmo necessário em alguns celulares
sempre bom saber fazer na mão!
se não tiver nenhum para testar antes de ir direto no whatsapp, recomendo instalar uma versão mais nova do linkedin e simular o downgrade
é mais ou menos assim que o UFED testa se vai dar certo, creio...
é mais ou menos assim que o UFED testa se vai dar certo, creio...
perfeito, vou tentar. Obrigado!
Usando o [NOME], antes dele executar o comando do backup, eu tentei na mão dar o comando, e só gerou os mesmos 1kb.
adb backup -apk com.whatsapp -f whatsapp.ab
Origem 046 — 16/05/2023 09:42 a 10:04 — Extração e decodificação de bancos do WhatsApp
Bom dia senhores, estou ainda com este dispositivo "TECNO SPARK 6 GO", com a extração Android Backup consegui evidências que já suprem o objetivo pericial.... Na outra tentativa de extração que tentei (a primeira não veio o WhatsApp) o UFED 4 PC realizou o downgrade do app e não conseguiu retornar gerando o arquivo de backup para realizar ADB ... MInha dúvida é para realizar este backup em android 10 ou superior ainda é "adb install -r WhatsApp.apk" ou tem algo novo
não quero correr o risco de perder os dados do aplicativo
tu ja tentou usar o [NOME] Forensics ?
pra fazer o apk-down
Teria algum link com esse procedimento no [NOME]?
https://drive.google.com/file/d/10zA6CDzIQDGvGfhvuR20fNFY5ix76pv-/view?_ga=2.58168232.387655509.[TELEFONE]-976416182.[TELEFONE]
quem desenvolveu foi um policial civil de SP
pra funcionar o apk-downgrade no [NOME] o dispositivo precisa estar desbloqueado...porque vai ter que reiniciar uma hora
Baixar aqui pra dar uma olhada
qualquer duvida de como usar me pergunta
eu uso com certa frequencia
ja teve casos de aparelhos que o Cellebrite nao conseguiu fazer o apk-downgrade
e o [NOME] conseguiu
Mas para reinstalar o WhatsApp via adb mesmo? Mudou algo a partir do android 10? Esse downgrade no Ávila realiza essa reinstalação do app sem perder dados?
ele guardar o base.apk atual
e depois re-instala no final
Eu falei errado, seria para reinstalar o WhatsApp, não preciso mais do downgrade...
eu tenho o WhatsApp do [NOME] se precisar tirar alguma duvida
Me garantindo na ferramenta do [NOME] eu resolvi fazer via adb install -r e funcionou
Mas vou testar a ferramenta aqui, obrigado [MENCAO] pela atenção
Origem 047 — 18/05/2023 12:10 a 14:15 — Análise de Registro Windows e arquivo NTUSER.DAT
<Mídia oculta>
pessoal, bom dia! estou em um arquivo de logs onde consta o wipe, mas com epoch de segundos. Nessas situações, tem como encontrar a real data do wipe?
pessoal, bom dia! estou em um arquivo de logs onde consta o wipe, mas com epoch de segundos. Nessas situações, tem como encontrar a real data do wipe?
Veja na da informada no inicio desse arquivo.
Normalmente tem uma data do início do log.
Não é possível confiar 100%, puq a data é do aparelho. Então em caso de falta de bateria ou outro motivo, pode ser uma data diferente da real.
<Mídia oculta>
seria essa data do arquivo last_recovery?
seria essa data do arquivo last_recovery?
No início do arquivo não tem uma data? Nas primeiras linhas
<Mídia oculta>
primeiros registros
primeiros registros
E nos outros arquivos com datas mais recentes, há registro de wipe?
Uma boa é pegar todos esses arquivos aí e depois filtrar com "grep". Ai consegue todos os registros de wipe, possibilitando uma analise melhor das datas e arquivos.
cheguei a buscar pelo termo wipe em todos os arquivos da pasta recovery. achei apenas um espelho do que consta no last recovery em last_log
nos primeiros registros do last_log, também nao vejo data
a suspeita do wipe é que ocorreu em 2023, mas nem "2023" traz resultado na busca
to suspeitando que a data tá incorreta msm
Putz. Ai fica difícil.
Acertar a data é dificil.
Talvez na linha do tempo vc consiga achar algo.
Talvez na linha do tempo vc consiga achar algo.
Analisando ela talvez poderá ver a data anterior dos arquivos que por ventura tenha sido recuperados.
Ai com esses metadados vc sabe uma data anterior e que data ele pegou no wipe.
eu consegui algo interessante pela linha do tempo, verifiquei que há vestígios de nome e e-mail da dona do aparelho em data anterior ao roubo
Teve uma que fiz para determinar wipe com isso. Foi possível ver que a apreensão ocorreu um dia após o wipe, com base nesses arquivos com datas corretas.
Mas o wipe indicava data confusa.
assaltaram a dona em abril, maio já há registros de um outro usuário
Estou fazendo a extração lógica via Bluetooth.
detalhe que esse outro usuário não foi o que roubou, ele comprou o telefone roubado
acho que já consigo concretizar algo com isso, só queria achar o wipe pra "embelezar" mais o laudo rs
Sim heheheh
Pena que data de wipe nem sempre é confiável.
Pena que data de wipe nem sempre é confiável.
de qualquer forma, agradeço demais a ajuda
Show, imagino então que deve ser problema na trilha usb mesmo
Deve ser isso mesmo.
https://drive.google.com/file/d/1FPnQMzN8hg9oHBKUyoSiVQhskxn3f7C-/view
Se a linha/conector estiver boa
IMG-20230518-WA0002.jpg (arquivo anexado)
Estes dock de teste custam uma merreca nos China. Vale muito a pena pra detectar problema no conector
Estes dock de teste custam uma merreca nos China. Vale muito a pena pra detectar problema no conector
Sem levar em consideração o foco político.... Mas o procedimento para destruir os HDs
esse não tem falha!
No RS tem o cabo 666 da cellebrite
Também nao falha nunca 😅
Cabo 666 == martelo
Já recebi uma ordem do judiciário para apagar apenas os arquivos de pornografia infantil de um HD. Respondi que os precedimentos seguros existentes só funcionariam com a sanitização de todo o disco e não apenas de alguns arquivos. Eles declinaram da oferta
Origem 048 — 04/07/2023 09:49 a 10:16 — Vou testar como SP Flash Tool, obrigado
Vou testar como SP Flash Tool, obrigado
👍🏻 verifica antes de no menu de recovery do aparelho tem a opção de backup dos dados, é um caminho mais fácil.
Essa opção backup dos dados irá restaurar o S.O. preservando os dados do usuário?
Ou apenas irá fazer o Backup no cartão de memória
Pessoal, a turma aqui de Brasília está se organizando para apresentar nossas experiências com incidentes cibernéticos no SNPC 2023 (Alagoas). Alguém deste grupo vai? Além disso, poderiam compartilhar mais ou menos como está no seu contexto de trabalho o tratamento pericial de incidentes cyber (ransomware, defacement, invasão, etc...) respondendo a enquete:
ENQUETE:
Exame de local de incidente cyber
OPÇÃO: Já estou atuando (6 votos)
OPÇÃO: Não, mas tem pessoas na equipe (2 votos)
OPÇÃO: Nunca atuou e desconhece pessoas que tenham atuado (1 voto)
Exame de local de incidente cyber
OPÇÃO: Já estou atuando (6 votos)
OPÇÃO: Não, mas tem pessoas na equipe (2 votos)
OPÇÃO: Nunca atuou e desconhece pessoas que tenham atuado (1 voto)
Estamos aqui esperando vcs
vai fazer um backup no cartão de memória
Acho q é "Backup userdata" a opção
só vai fazer um backup mesmo, não altera o sistema
Origem 049 — 14/07/2023 14:57 a 15:09 — Extração e análise de dados em iPhone/iOS
Senhores, é possível carregar uma extração feita no UFED, no indexador IPED?
Ou eu preciso primeiro gerar o relatório UFDR?
Alguém saberia me informar
A principio sim. Poderia carregar o ZIP ou o arquivo bin.
Vc pode carregar o binário ou o ufdr
É uma extração lógica de um iphone... com quase 500 gb...
Não tem quem faça carregar no PA
A máquina fica inviabilizada total
O ZIP extraído pode ser processado então, vou fazer o teste.
Dizendo a cellebrite o pa ultra é pra abrir sem travar a máquina
Aí eu já não. Dá o feedback aqui pra gnt depois 🤜🏽🤛🏽
No ultra abriu melhor que no 7, mas travando ainda... e na geração do UFDR, as imagens não foram exportadas...
Aliás, o 8 Ultra tenho verificado muitas falhas, nos filtros, na exportação dos bate-papos e nos relatórios UFDR... deixamos até de usa-lo por conta disso...
Origem 050 — 27/07/2023 13:18 a 14:21 — Extração e acesso a dados em iPhone 13 pro max
Boa tarde,
Extração pelo XRY do Iphone 13 pro max (A2641) não vem nada. Alguém já teve a experiência?
Extração pelo XRY do Iphone 13 pro max (A2641) não vem nada. Alguém já teve a experiência?
Aparece algum erro no log?
Aconteceu comigo com um s21 que estava com a memória cheia. O hello android não pôde ser instalado e não foi feita a extração lógica. Não sei se o XRY instala algo no iphone com o mesmo propósito.
Aconteceu comigo com um s21 que estava com a memória cheia. O hello android não pôde ser instalado e não foi feita a extração lógica. Não sei se o XRY instala algo no iphone com o mesmo propósito.
É possível. Pois so tem 16gb livre
Origem 051 — 21/08/2023 16:37 a 19:13 — Extração e root em dispositivos LG
O PA recebe backup do LG (lbf). Começa com projeto novo.. Etc...
Fiz isso. Só não sei pq o LG gerou esses 3 arquivos, sendo q é exFat o microSD. E dos 3, 2 tão zerados. Renomeei o outro para .lbf e o PA processou. Só não veio muita coisa.
Farias as vezes que deu certo esses backups Lg aqui, eu precisei unir os três arquivos, ou quantos o lg backup gerar, e processar no pa o arquivo único, já unido, daí deu certo.
Origem 052 — 17/10/2023 09:03 a 09:11 — Extração e acesso a dados em iPhone 11
Bom dia!
Algum colega já fez uma extração lógica avançada (File System), de um IPhone 11(A2221)?
Achei estranho essa msg 👇🏻
Algum colega já fez uma extração lógica avançada (File System), de um IPhone 11(A2221)?
Achei estranho essa msg 👇🏻
O que me chamou atenção foi a NOTA.
Ja fizemos várias vezes. Nunca tivemos problema.
Origem 053 — 22/02/2024 17:50 a 19:36 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Estou tentando fazer uma extração lógica de um a135m, mas dá erro logo depois que começa o android backup, sempre extraindo 58mb apenas. Acontece tanto no XRY quanto no [NOME]. Alguém sabe o que dá para fazer? Ou o que tá rolando?
Curiosamente, um adb pull da pasta de mídia do whatsapp veio ok
Sem bloqueio, depuração usb ativada, sem administradores do aparelho... Tô achando muito estranho.
Curiosamente, um adb pull da pasta de mídia do whatsapp veio ok
Sem bloqueio, depuração usb ativada, sem administradores do aparelho... Tô achando muito estranho.
Na verdade só fecha o android backup, como se tivesse concluído
indexou o backup no IPED e n veio dialogo?
digo, extraido pelo [NOME]
Ele pede para clicar no backup na tela. Começa o backup e já para em 58mb
A extração no XRY veio bem pobre também
a unica coisa q vejo q da pra faer é comparar o tamanho dos msgstore.db
pode tb abrir o app no celular e comparar os dialogos <Mensagem editada>
pra ve se é so isso mesmo ou é pq a extracao da pobre
Ele para a extração durantes a leitura do Shared alguma coisa. Amanhã vejo direito e falo aqui de novo. Valeu
Origem 054 — 27/02/2024 16:06 a 16:06 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde. O problema continua. O backup adb para durante a extração do Shared Storage. Há algo que pode ser feito?
Origem 055 — 24/07/2024 10:21 a 10:40 — Root e extração em dispositivo Positivo
Bom dia! Sim, limpamos e mesmo assim os erros persistem: *dispositivo USB NÃO reconhecido* pelo sistema operacional Windows.
Já tentamos pelo UFED for PC e pelo UFED Touch.
Bem complicado! Já tentamos inúmeras vezes a extração lógica e FFS.
[NOME] fiz um desses semana passada, aliás, tentei fazer pq o premium disse que não tinha suporte pro BF nele, retirei a sub placa (placa de carga) de um que eu já tinha conseguido fazer, e coloquei, por empréstimo, no problematico, daí funfou.
Pro 4PC é a mesma idéia.
Entendi. Obrigado.
Origem 056 — 15/08/2024 08:46 a 10:10 — Extração e decodificação de bancos do WhatsApp
Olá. Bom dia!
Estou com um Samsung J500M desbloqueado. Ele não faz no físico (pede pra colocar um cartão de memória e não vai...), smart flow tmb não faz (sem suporte para o dispositivo). Fiz a extração lógica avançada normal, depois fiz a Backup APK downgrade (fez todos os aplicativos e não conseguiu instalar o APK do WhatsApp - justamente o que eu preciso). Alguma dica? Help!!!
Estou com um Samsung J500M desbloqueado. Ele não faz no físico (pede pra colocar um cartão de memória e não vai...), smart flow tmb não faz (sem suporte para o dispositivo). Fiz a extração lógica avançada normal, depois fiz a Backup APK downgrade (fez todos os aplicativos e não conseguiu instalar o APK do WhatsApp - justamente o que eu preciso). Alguma dica? Help!!!
sugestão minha é tentar no [NOME]
Eu cheguei a fazer, tentei fazer downgrade só do WhatsApp, ele fez só que gerou um arquivo backup-com.whatsapp-2024-08-14-10-01-29.ab de 0KB
tentei converter pra tar e não vai.
aí não sei se tem alguma diga não sei usar muito bem o [NOME]
<Mídia oculta>
Bom dia amigos, estamos com um *POCOPHONE F1* (M1805E10A) bloqueado. Alguém tem sugestão para este aparelho ?
Desde já agradeço.
Bom dia amigos, estamos com um *POCOPHONE F1* (M1805E10A) bloqueado. Alguém tem sugestão para este aparelho ?
Desde já agradeço.
Faz EDL adb
No ufed é qualcom adb lá no perfil generico do qualcomm android
J500m tem o chipset qualcomm 8916. Esse chipset funciona sempre com esse método.
Deu certo. Valew 👍🏻
Só lembrando, se for aplicar o twrp, verificar se o patch de segurança é anterior a 2018, se não for o firmware vai ser inutilizado de forma irreversível, por conta do DM-Verity.
Via EDL é bem mais fácil e menos invasivo. Consegue até mesmo via test point se o Android estiver zuado ou tela destruída.
Também já fizemos assim.
Origem 057 — 26/08/2024 10:24 a 10:24 — Extração e compatibilidade em Samsung SMART
Consegui fazer a extração lógica via Smart Phones Generic Android. Foi necessário aplicar novamente as configurações em Desenvolvedor.
Origem 058 — 17/09/2024 16:07 a 16:53 — Quesitação e delimitação de escopo em exames digitais
Boa tarde pessoal, por favor, quem pode compartilhar se as gerências de vocês tem quesitos oficiais? Se tiverem, podem compartilhar por favor comigo? Precisamos ver se convém fazer isso aqui em MT <Mensagem editada>
Boa tarde! Estou com um aparelho com a parte de dados da USB comprometida, aí fiz a extração lógica por bluetooth e a extração do Whats pelo aplicativo emailbkptofile. O problema está sendo a geração do relatório via PA. Alguém tem utilizado o plugin de importação dos dados extraídos pelo emailbkptofile? O que utilizava aqui tá dando erro
Origem 059 — 10/01/2025 09:09 a 10:18 — Extração e decodificação de bancos do WhatsApp
Bom dia!
Estou com um Iphone 7(A1778) desbloqueado. Fiz a extração lógica avançada e não trouxe o WhatsApp, trouxe outros bate-papos mas não o WhatsApp. Alguma dica?
Estou com um Iphone 7(A1778) desbloqueado. Fiz a extração lógica avançada e não trouxe o WhatsApp, trouxe outros bate-papos mas não o WhatsApp. Alguma dica?
Agora sim... o bicho vai pegar 🫡🫡🫡
Depois de mais de cinco anos sem um Premium, estamos fazendo a festa agora aqui em PE
Só tá uma bagunça só aqui 🤣🤣, realmente é preciso um rack ou um organizador pra esses celulares em BF. Vamos receber Crack Cabinet da techbiz, alguém aí tem? São bons? <Mensagem editada>
Talvez pq ela era Delta PF tenha uma percepção maior da relevância do nosso trabalho <Mensagem editada>
Alguém conseguiu celebrar convênios por emenda parlamentar esse ano (2024) de ferramentas com subscrição ?
Não estou conseguindo, ele está na versão 15.8.3
Desabilita a criptografia do backup lá nas configurações do whatsapp e repete a lógica
Volta a data do celular para próximo da data da apreensão 🫣
Acabei de encontrar isso no AliExpress: Me ajuda a escolher!
R$236,79 | 150W Universal Multi USB Carregador Rápido 16 Port 3.5A MAX Estação de Carregamento Suporte Para Ipad Iphone 14 13 Samsung S22 Xiaomi Tablet
https://a.aliexpress.com/_mKMwSHv
R$236,79 | 150W Universal Multi USB Carregador Rápido 16 Port 3.5A MAX Estação de Carregamento Suporte Para Ipad Iphone 14 13 Samsung S22 Xiaomi Tablet
https://a.aliexpress.com/_mKMwSHv
Este resolve parcialmente a organização <Mensagem editada>
Aqui foi quase, perdemos os 45 do segundo tempo, e estamos tentando de novo.
Origem 060 — 28/01/2025 15:02 a 15:02 — Conexão USB, ADB e diagnóstico de porta em Android
Para dar o feedback, consegui instalar só o CWM mesmo, mas foi o suficiente. Usei o comando adb pull ... no prompt aqui e consegui fazer o dump da mmcblk0. Mais uma vez, obrigado pela dica.
Origem 061 — 28/02/2025 18:19 a 18:41 — Ativação do modo desenvolvedor e depuração USB
Boa tarde. Alguém já teve sucesso com o lg x410.f desbloqueado?
O premium não consegue acessar de jeito algum para extrair, seja sem senha, frio, quente, nada; dá erro de usb debuggimg não reconhecido, sendo que já liberei a depuração no celular para o Premium.
Nem o ufed reconhece pelo smartflow ou detect device.
Só consegui uma extração lógica no XRY.
O premium não consegue acessar de jeito algum para extrair, seja sem senha, frio, quente, nada; dá erro de usb debuggimg não reconhecido, sendo que já liberei a depuração no celular para o Premium.
Nem o ufed reconhece pelo smartflow ou detect device.
Só consegui uma extração lógica no XRY.
Esse é melhor fazer pelo [NOME] e indexar pelo iped
Nesses modelos mais antigos da LG, uma dica é configurar o "modo padrão de conexão usb" para aquele "picture/photo transfer" em vez de "mtp".
Interessante. Vou tentar esse. Vlw
Blz. Qualquer coisa tento assim. Vlw
Origem 062 — 18/06/2025 19:51 a 19:55 — Extração e decodificação de bancos do WhatsApp
Alguma ferramenta para extrair backup de whatsapp de iCloud? Tentei Inseyets e whapa, não deram certo. Estou conseguindo pelo copytrans backup extractor, porém converte os áudios, não são os arquivos .opus originais que vêm.
Na verdade vem os opus, mas renomeados para "attachment...", e não vem o db SQLite das conversas
Origem 063 — 14/11/2025 10:06 a 10:29 — Só para reportar, consegui fazer uma física no aparelho e vieram 11 GB
Bom dia, só para reportar, consegui fazer uma física no aparelho e vieram 11 GB da partição userdata, o backup gerado no recovery veio incompleto (apenas 5 GB). Comparei os binários e deu match em quase todos os 5 GB (removendo os 512 bytes de cada .backup), então o problema foi pq não veio o userdata todo no backup do recovery...
Tinha espaço no SD né? Pq será que não veio tudo?
o celular tá em loop, mas a física carregou corretamente no PA
meu palpite é que algo no celular em relação as partições ou gpt esteja corrompido, apesar q no PA leu
<Mídia oculta>
Vi aqui no PA onde tem a opção de carregar os backups proprietários. Nem lembrava mais.
Vi aqui no PA onde tem a opção de carregar os backups proprietários. Nem lembrava mais.
Deve ser PIT corrompido talvez
isso, tentei por aí e não foi, mas com certeza não abriu pq tava corrompido
Origem 064 — 05/12/2025 09:52 a 09:58 — Extração e bloqueios em Xiaomi/Redmi/POCO
<Mídia oculta>
Bom dia!
Xiaomi 23053RN02L (Redomi 12), Android 15, não permite instalar o appA.apk para realizar a extração lógica e APK Downgrade.
Alguma solução, sugestão?
Usando o UFED for PC desatualizado desde o início do ano.
Não temos a versão Premium.
Bom dia!
Xiaomi 23053RN02L (Redomi 12), Android 15, não permite instalar o appA.apk para realizar a extração lógica e APK Downgrade.
Alguma solução, sugestão?
Usando o UFED for PC desatualizado desde o início do ano.
Não temos a versão Premium.
Tenta extração pelo [NOME]. Tem um exploit pra android 12 que pode ser que dê certo
Origem 065 — 10/12/2025 10:43 a 10:49 — Conexão USB, ADB e diagnóstico de porta em Android
bom dia,
samsung Galaxy M23 - SM-M236B/DS
em recovery mode, ao tentar ganhar acesso inicial via ADB, dá erro e não inicia.
samsung Galaxy M23 - SM-M236B/DS
em recovery mode, ao tentar ganhar acesso inicial via ADB, dá erro e não inicia.
algum bizu pra esse?
UFED 7.74.503
Essa versão é do seu premium?
positivo
Entao atualiza para o 7.75. Está na 7.75.605
Origem 066 — 08/01/2026 15:08 a 15:12 — Extração lógica e Android Backup via ADB
Pessoal, não tenho muita vivência com exame em MacBook. Estou com um A2337, MacBook Air. O armazenamento é soldado na placa. Está bloqueado por senha e a senha não informada. Há o que se fazer?
Mac M1, não há metodo de contorno ou bruteforce. Ou se descobre por engenharia social, ou infelizmente fica prejudicado
Caso descubra ou seja fornecida a senha, possivelmente a ferramenta da cellebrite permite a extração dos dados. Caso não tenha disponível, pode usar o Fuji para uma extração lógica (https://github.com/Lazza/Fuji)
Origem 067 — 21/04/2026 13:53 a 14:16 — Imagem forense de mídia protegida por BitLocker
Fiz a imagem de um nvme de 256 gb
O iped diz que esta criptografado e nao mostra vários arquivos, mas se eu montar a imagem no FTK eu consigo visualizar os arquivos...
Faca uma extração logica pelo FTK, e nao fisica
Ai vai dar bom
Ai vai dar bom
O disco está sem os “key protectors”
Bitlocker
Mas como o FTK ler?
Pode fazer que vai dar bom
Desde que seja logica
Passei por isso semana passada, processei no Axiom rolou...
Fiz até uma sequência de print