Compatibilidade de modelos e métodos de extração no UFED
Categoria: Cellebrite UFED, Physical Analyzer e Analytics
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre compatibilidade de modelos e métodos de extração no UFED no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, UFED Analytics, XRY, IPED, Magnet AXIOM, IEF, Oxygen. Os termos mais recorrentes neste tema incluem: extracao, mas, esse, ufed, fazer, ele, pra, fisica, esta, android. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Testar modelos compatíveis antes de declarar impossibilidade técnica.
- Documentar método selecionado, versão de software e mensagens de erro.
- Quando houver extração parcial, avaliar abertura por método alternativo no Physical Analyzer.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerUFED AnalyticsXRYIPEDMagnet AXIOMIEFOxygenAutopsyFTKHashcatADBODINLGUPTableauPC-3000VeraCryptBitLockerFileVaultWhatsAppTelegramiTunesiCloudPalavras-chave recorrentes
extracaomasesseufedfazereleprafisicaestaandroidfoipelomaismodelocasomesmoaparelhoessaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 16/05/2017 08:11 a 08:11 — UFED desbloqueou
UFED desbloqueou
Origem 002 — 19/05/2017 17:59 a 19:44 — Extração e desbloqueio em dispositivos Sony Xperia
Posso mandar um celulares pra aí, você me devolve com a extração?
São só alguns 10 mil...rs
Aqui temos no kilo. Rs
Foi mal [NOME], sony não. Estava na correria e não vi que era sony.
Origem 003 — 22/05/2017 11:54 a 11:59 — Algum dos colegas já se viram essa msg na extração de sistema de
Bom dia. Algum dos colegas já se viram essa msg na extração de sistema de arquivos (partial file system)?
E se viram, conseguiram "recuperar" a senha
Já fiz caso semelhante que recuperou sim a senha. Boa sorte!
A senha [SEGREDO] na tela inicial do analyzer? Lembra qual o modelo do aparelho
Rapaz não lembro o modelo. Mostra a senha no resumo da extração no PA.
Origem 004 — 25/05/2017 10:15 a 10:21 — Extração lógica por Android Backup via ADB
Bom dia. Alguém já pegou o MOTO G 2ed XT1069 ? Algum modelo compatível no UFED?
Xt1068
Dá pra fazer todas as extrações menos a física
Aqui não fez nenhuma opção do sistema de arquivos
Exceto downgrade, que não tentei
Agora foi Android Backup 👹
Mas tem q fazer o downgrade tbm, pra pegar os app
Então, tive um probleminha semana passada com o downgrade
Deletou algumas informações
Na verdade ele deleta o .apk
Mas os bancos de dados continuam lá
É só reinstalar o apk que "sumiu"
Tô usando um script por fora pra fazer o downgrade e depois faço a extração
Mas nesse caso não deu pra fazer pelo script
Ah, legal, funciona tbm
Pq era pra dar merda haha
Origem 005 — 31/05/2017 16:11 a 16:35 — Artefatos e vestígios de uso do WhatsApp Web
Tô querendo saber também.... Acabou de chegar um pedido aqui
Sempre imaginei que o WhatsApp Web fosse somente um espelho do conteúdo do aparelho
Não saberia dizer se fica algum registro específico do uso, e que seja útil...
Mas é o que sei, né kkkk
Mas não faria sentido ficar algo de diferente entre o aparelho e o web
Ele so funciona se o celular estiver conectado/online
Por isso acredito que não faça sentido a autoridade solicitar isso
Caso n tenha acesso ao aparelho
o browser pode guardar algo em cache
e o ief poderia reconstruir
mas não sei se faz
Pode ser que faça sentido pedir
os computadores que estou analisando aqui ainda são do tempo do msn
Galaxy S7 EDGE 935F
Ele dá a opção de extração física mas não fez
No UFED
Da erro de extração
acho que tivemos o mesmo problema aqui, mas não acompanhei a extração
No caso daqui o smartphone (moto g4) estava bloqueado e não conseguimos desbloquear, só que também foi apreendido um Notebook e nele tinha acessos a web.whatsapp...
Já achei algumas supostas conversas de whatsapp, em arquivos recuperados (carved[xxx].lnk), mas não são relacionadas ao objetivo da perícia.
Já achei algumas supostas conversas de whatsapp, em arquivos recuperados (carved[xxx].lnk), mas não são relacionadas ao objetivo da perícia.
Origem 006 — 26/06/2017 16:55 a 17:24 — Extração e decodificação de bancos do WhatsApp
Interessante. Eu abri uma extração física de um samsung pelo bootloader e não decodificou nada. Então abri, dentro da mesma extração através do menu como adb backup e ele decodificou várias coisas.
Inclusive pegou o whatsapp que tinha sido desinstalado.
curioso mesmo
será q eu tento via bootloader?
se tiver, acho que é sempre válido tentar
é aquele caso do motorola android 7 [NOME]
na verdade, já tentei, ele não vai
e não consigo nada além da lógica, ele fala que por causa da ver~soa do SO é incompatível
perguntei, inclusive, no atendimento da cellebrite
disseram q ainda não tem suporte ainda
Na verdade não foi bootloader, foi no modo Odin
Modo Odin?
O modo download do Samsung, com ponta 133
pior q o meu é motorolaaa
Origem 007 — 10/07/2017 12:41 a 13:59 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia Srs, alguém já presenciou essa mensagem ao fazer a carga de uma extração física no Physical Analyzer?
Celular criptografado, creio eu. O xry dá mensagem parecida...
Tem q ter o padrão ou senha de desbloqueio, senão nem jtag adianta
Vc tem xry aí?
Tenta indexar o conteúdo que vc extraiu pelo celebrite no xry
Não temos XRY.. foi feito a extração física por bootloader de um LG, nesse caso..
Nesse caso, desabilita a criptografia direto no celular?
Assim q vc entra com a senha ou código válido e o celular é desbloqueado, os dados ficam disponíveis para serem extraídos, ou seja, descriptografados. Aí vc pode fazer as outras extrações, lógica, sistema de arquivos, até a física mesmo, via ADB. Estou com um caso assim, um ALCATEL, com padrão bloqueio não informado no ofício, tentei a física via bootloader e me deparei com o mesmo erro. Por sorte, tentei o L e desbloqueou. 😊
Origem 008 — 26/07/2017 10:46 a 11:02 — Vcs sabiam que eu fui estagiário em gabinete de juiz, os despacho eram
vcs sabiam que eu fui estagiário em gabinete de juiz, os despacho eram modelo que alguem fez em algum lugar no passado distante .... a gente só mudava o numero do processo.
Hahahahah se é pra ir preso que seja pelo mesmo motivo pra todos
da uma ligda na vara e pede pra falar com o estagiario
Foi algum técnico judiciário antigão!
diz pra ele tirar do modelo de despacho
métodos de resistência no IGP/SC: apontar a caneta ou atirar a prancheta
no máximo ameaçar de tirar uma foto desconcertante
huahauhauhauahauhauhauhauhauahua
Filmar e por tudo no face
preste bem atenção
Eu ia responder imediatamente, mas como estava impedido, está há uma semana agora. Acho que vou responder hoje porque aí vou estar no prazo.
O ofício é de 01 de setembro de 2016, dando 30 dias.
Origem 009 — 20/09/2017 18:40 a 18:41 — Com a nova atualização do UFED eu consegui
Com a nova atualização do UFED eu consegui
Vou tentar novamente
Origem 010 — 24/10/2017 18:06 a 18:06 — Extração e root em dispositivos LG
Pessoal tive uma reunião hoje com o pessoal da Techbiz, especificamente com um dos representantes da cellebrite e recebi um informe importante:
TODA VEZ QUE VOCÊS ENCONTRAREM UM APARELHO QUE NÃO SEJA SUPORTADO PELA CELLEBRITE, ENVIAR UM E-MAIL PARA [EMAIL]
Eles ficarão responsáveis por enviar um retorno com uma previsão para incluir o aparelho no produto. Inclusive comentei o caso do famigerado LG A275, segundo ele este aparelho não possui é memória pra rodar o software de extração, mesmo assim ele ficou de informar uma ferramenta que custa em torno de 100 dólares pra fazer essa extração específica.
TODA VEZ QUE VOCÊS ENCONTRAREM UM APARELHO QUE NÃO SEJA SUPORTADO PELA CELLEBRITE, ENVIAR UM E-MAIL PARA [EMAIL]
Eles ficarão responsáveis por enviar um retorno com uma previsão para incluir o aparelho no produto. Inclusive comentei o caso do famigerado LG A275, segundo ele este aparelho não possui é memória pra rodar o software de extração, mesmo assim ele ficou de informar uma ferramenta que custa em torno de 100 dólares pra fazer essa extração específica.
Origem 011 — 05/12/2017 11:32 a 15:10 — Extração e compatibilidade em Samsung SMARTPHONE
Pessoal, no UFED PA, a informação "Hora de Ativação do Telefone" significa especificamente oq?
A hora que o chip foi ativado
ou que o telefone foi configurado pela primeira vez
Tem a referência do arquivo?
é na tela de " resumo da extração"
Acredito que ele informa de qual arquivo está a informação.
humm.. nao localizei isso
Boa tarde, colegas. Sou novo na área e por enquanto apanhando bastante.... eheheh
Eu tô com um caso aqui de um smartphone samsung J1. O UFED possui suporte pra extração do sistema de arquivos e forneceu o padrão de desbloqueio da tela mas o celular possui um antivírus "CM Security" que restringe o acesso a configuração do celular. Algum colega já teve algum caso parecido? Tô tentando aqui na força bruta mas tá difícil. Abs
Eu tô com um caso aqui de um smartphone samsung J1. O UFED possui suporte pra extração do sistema de arquivos e forneceu o padrão de desbloqueio da tela mas o celular possui um antivírus "CM Security" que restringe o acesso a configuração do celular. Algum colega já teve algum caso parecido? Tô tentando aqui na força bruta mas tá difícil. Abs
Está tendo dificuldade pra desbloquear?
Liga em modo de segurança e remove o app
Ou só retira ele das opções de administrador
Pessoal, consegui aqui... Muito obrigado 👍🏻👍🏻
TELEFONES MOTOROLA... 📞
*Sua hora ta chegando ........* A CELLEBRITE vai te pegar !!!!
😀😀😀😀😀😀😀😀😀😀😀
Senhores muito boa tarde !
Ja tivemos uma sinalização muito positiva por parte dos times de produto/desenvolvimento em dar um *ataque massivo aos telefones* Motorola nos próximos releases.
Em janeiro estaremos la pessoalmente, e teremos uma reunião técnica presencial o que facilitará e evidenciará bastante as necessidades e a realidade da america latina. Para que isso aconteça é de *FUNDAMENTAL IMPORTÂNCIA* que voces me passem por email ([EMAIL]) a lista dos telefones motorola mais críticos. Moto G, Moto X etc . Mas necessitamos do modelo completo Ex: Moto X XT1058 16GB, Moto G G5 xt1683 Plus TV Dual Chip etc... De posse dessa lista, compraremos os telefones e os entregaremos em mão à equipe, e muitos deles ja estao
lá. O principal é que conseguimos agora dar *prioridade alta aos modelos da America Latina* !!.
Contamos com a colaboração de vocês. Vamos ajudar a comunidade forense a romper mais essa barreira !
*Sua hora ta chegando ........* A CELLEBRITE vai te pegar !!!!
😀😀😀😀😀😀😀😀😀😀😀
Senhores muito boa tarde !
Ja tivemos uma sinalização muito positiva por parte dos times de produto/desenvolvimento em dar um *ataque massivo aos telefones* Motorola nos próximos releases.
Em janeiro estaremos la pessoalmente, e teremos uma reunião técnica presencial o que facilitará e evidenciará bastante as necessidades e a realidade da america latina. Para que isso aconteça é de *FUNDAMENTAL IMPORTÂNCIA* que voces me passem por email ([EMAIL]) a lista dos telefones motorola mais críticos. Moto G, Moto X etc . Mas necessitamos do modelo completo Ex: Moto X XT1058 16GB, Moto G G5 xt1683 Plus TV Dual Chip etc... De posse dessa lista, compraremos os telefones e os entregaremos em mão à equipe, e muitos deles ja estao
lá. O principal é que conseguimos agora dar *prioridade alta aos modelos da America Latina* !!.
Contamos com a colaboração de vocês. Vamos ajudar a comunidade forense a romper mais essa barreira !
Acabei de receber ☝
Conforme falei anteriormente teremos que fazer nossa parte enviando o código dos modelos não suportados para o email divulgado
Show. Precisamos muito de suporte para o Motorola.
Origem 012 — 11/12/2017 08:45 a 08:45 — Extração e compatibilidade em Samsung SM-G360M
Bom dia, alguem já extraiu um SM-G360M no UFED? nao achei o modelo
Origem 013 — 11/12/2017 13:07 a 14:48 — Root em dispositivo Android para extração pericial
Sim. Faz por um modelo aproximado ou genérico. Há possibilidade de fazer também o root.
Boa tarde senhores. Também pode realizar extração genérica através do chipset do aparelho
Dá pra pesquisar o modelo pra achar o chipset no site pdadb.net
Origem 014 — 31/01/2018 18:35 a 20:13 — Bootloader, desbloqueio OEM e risco de wipe
Alguém aqui já fez chipoff?
Sempre haverá interação do Perito Criminal com a cena de crime ou a prova. Essa interação deverá ser a mínima possível, documentada e usando técnicas comprovadas. Como já citaram exames balísticos, em documentos, laboratório etc.
Enquanto discutimos isso
Eu brikei o aparelho
Amanhã tentar recuperar
Hehehe, esses novos é muito difícil não ter volta
Deixei baixando a firmware
Esse aqui que era tenso, Google nexus one, se errasse já era
Voltei de férias hoje, dia legal cheio de aventuras ahahaha
Eu brincava com ele antes de ser perito
Esse s8, Eu chutei a senha do aparelho e acertei ... Mas ele não vinha nada no xry
Aí pensei em root ele pra tentar pegar mais coisa
[MENCAO], quem nunca fastboot oem unlock? Hehehe
Pelo menos já tem uma extração
Eu já fiz o comando fastboot OEM unlock. Acontece.
A sorte eu que já tinha uma sistema de arquivos e lógica antes.
Eu fudi com um s8 esses dias... Tranqueira... Ludibriado pelo CF
Não sei como tá a repercussão do Ceará aí em outros estados. Fora as chacinas que ocorreram, pois aqui há 4 facções disputando território. Vejam como os caras tão nem.ai pro estado.
Origem 015 — 01/02/2018 05:50 a 08:47 — Extração e análise de mensagens do WhatsApp
Eu tinha uma extração lógica antes, por sorte... Mas ocorreu o mesmo que o [NOME]... Puxou pouca coisa...
Mas só tinha uma extração porque veio sem senha
Senão não teria como fazer nada
Pois salvo engano o s8 é afetado pelo FRP Lock
E aí já viu... Nem rezando
Nenhuma novidade sobre o frp Lock?
se tiver senha, salvo engano, da para tirar o FRP. o problema é rootear.
Sim com senha na mão, vc consegue desabilitar o bloqueio de FRP
Sem a senha na mão, nada dá pra fazer
Tem um perito aqui em Santa Catarina que diz
sem senha nao da mesmo.
"Celular com senha é o mais fácil, só descreve e manda embora!" Hahajajahaha
Retire o que disse, [NOME]. Apaga que dá tempo.
Quem fala isso não merece a alcunha de "perito"
Quem fala isso não merece a alcunha de "perito"
Se é só pra descrever então ensine um macaco que sai bem mais barato
Hahahahahahahahahahahahaha
Tanso, lógico que é brincadeira!
Quem vc pensou que fala isso não coloca a mão nos aparelhos hahahahahahha
então, tá aí.. td explicado
é que eu conheço um que diz, só que sem brincar, que laudo de celular é bem fácil
pra desbloquear é só usar uns programinhas que tem na internet
até pensei que pudesse ser o mesmo
Por exemplo. Temos um iPhone que perdeu relógio por ter ficado muito tempo descarregado. O investigado forneceu a senha, mas com o relógio desatualizado pede milhões de minutos até próxima tentativa. Uma das formas de corrigir o relógio e colocar o celular na rede. Porém, colocar o celular na rede pode receber apagamento remoto, ou seja, perde tudo. Então, pedimos autorização do juiz para realizar o procedimento. Pois não podemos tomar essa decisão. Outro exemplo, é quando for fazer um JTAG ou Chipoff tem o risco de danificar a memória pelo calor...etc. tem que ficar bem claro para o juiz e para partes que pode ser destrutivo o procedimento. Assim como uma tentativa de root pode brickar o celular. Por isso, a recomendação, quando existir o risco de destruir o vestígio, é que se peça autorização do juiz para realizar o procedimento com ciência das partes (MP e Assistente Técnico)
Vish... Melhor pedir um salvo conduto permanente pra root 😂 😂
Alvará Anual de Rooteamento
e outros procedimentos forenses
Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas.
Assistente técnico?!
Em um caso de ameaça a uma juíza, eu fiz a extração lógica, que não pegou o whatsapp, e depois fiz o root, para extrair o whatsapp. No meio da extração o celular tentou reiniciar sozinho e não voltou... Até hoje não durmo tranquilo esperando o que vai vir... 😓
Imagine a seguinte situação: faço a extracao lógica, file system, então resolvi fazer root do aparelho. Ao realizar o root bricka o celular. Imagine que o juiz mande refazer a Perícia, por outro Perito, por exemplo da PF. Chega na PF o perito constata que o celular está Brickado. Será que estamos cumprindo com o artigo 170 do CPC?
Certo. Mas o perito tem essa incumbência? Isso é um procedimento nas perícias cíveis... ou não?
Origem 016 — 01/02/2018 10:30 a 10:43 — Extrações, importação e limitações no XRY
As vezes, pelo UFED, vc consegue fazer a extração do sistema de arquivos.. já tentou?
Tipo encaminhar a requisição com 48h de prazo para ser cumprida! 🤣
Só temos xry
Lindo demais... prejudicado! 😂
Origem 017 — 02/02/2018 09:48 a 13:01 — Extração e análise de mensagens do WhatsApp
O que vcs estão fazendo, agora, com a atualização do XRY pra pegar o Whatsapp. Principalmente em celular com Android 7.0
Não vem nada nas extrações
E o xry não faz donwgrade
Como vcs estão com o celebrite?
Nosso XRY venceu a licença faz tempo, então nem temos a possibilidade de extração do whatsapp com ele.
Como estão fazendo?
Cellebrite
Eu to com 3 aparelhos aqui com o android 7. Dois moto G5 e um k430TV. Só Jesus para fazer a fisica.
E qual ferramenta vcs usam pra fazer uma eventual extração só das conversas de whatsapp
Boa questão. Conversei com o suporte da msab e a resposta foi que realmente não tem como extrair. Falei pra eles que daqui uns dias não precisaríamos mais do xry
E não extraí nem a conversa visível
a culpa é do Snowden
Dava uma novela das 7h
To citando algo sobre isso no laudo
Nesse caso como vcs têm feito?
Certo mesmo era devolver dizendo que a mera transcrição das conversas não é um procedimento forense...
Mas vai explicar isso pro juiz ou promotor...
Foi a ideia que eu dei quando aconteceu da última vez aqui. Extrair o que der e fazer menção de que as outras estão visíveis
Aqui é feito manualmente
Vem as imagens dos prints na extração
Ficar tirando print de tela é tenso, mas ainda é melhor que transcrever.. rs..
Tem um app que faz print em sequência da tela, e monta um imagem só alongada. Descobri isso por acaso, mexendo num galaxy da vida..
É uma boa ajuda pra quem acaba tendo que tirar print de um chat com muitas mensagens..
As últimas versões do android já vem com essa função nativa. Mas não sei a partir de qual
Mas assim altera muito a evidência
Quando queremos constar alguma coisa da tela, fotografamos com outro dispositivo
Usem o APK de extração por e-mail + mobile Merger disponíveis para download no site da Seção de Computação Foresense da Polícia Cientifica do Paraná. Qualquer coisa liguem para os peritos Vrubel ou [NOME] no 3281-5556.
Link para o MikTeX estável (repositório full):
https://drive.google.com/open?id=0B4cggj1TBqn4RnBMWXFUelZrNHc
Dica do Vrubel: Na hora de atualizar o MikTeX, ao invés de pegar da Internet, aponte para a pasta que tem o repositorio que você baixou.
Em uma das pastas tem o apk para extração das conversas do WhatsApp.
Origem 018 — 05/02/2018 19:24 a 19:24 — Root e extração em SM-J701MT
Boa noite!
Agum colega já conseguiu o root e/ou a extração física do dispositivo Samsung sm-j701mt?
Agum colega já conseguiu o root e/ou a extração física do dispositivo Samsung sm-j701mt?
Origem 019 — 06/02/2018 13:01 a 13:42 — Root e extração em SM-J701MT
Foi no J700M
Se conseguiu o root e/ou a extração física do dispositivo Samsung sm-j701mt?
Pessoal, boa tarde! Alguém sabe informar se as estações Z820 da HP q foram doadas pela Senasp ainda estão na garantia? Obg
Achei aqui a NF. Emissão: Jan/2015. 😩
Origem 020 — 08/02/2018 10:20 a 10:38 — DVR Intelbras com senha. qual o procedimento vcs adotam para extração das imagens
Recebi um DVR Intelbras com senha. qual o procedimento vcs adotam para extração das imagens neste caso?
Nobres colegas,
Faz um tempo, concluí um sistema para extração de imagens em aparelhos DVR, mais precisamente da Intelbrás. Agradecimentos ao [NOME].
Sei que, de todo modo, não é perícia. Mas, porém, contudo, entretanto, todavia, ora pois, facilita bastante, já que torna independente do aparelho para a extração, podendo ser operada diretamente na imagem do disco.
Já obtive algum sucesso. Ao menos, para o caso que desencadeou a questão.
Estava retardando comunicar, aqui na lista, pois ainda faltam algumas melhorias, coisa que o tempo me é escasso.
Portando, caso haja interesse, tanto posso disponibilizar o código para quem queira utilizá-lo como para quem deseje aprimorá-lo. Envolveu um pouco de pesquisa, que ainda não está concluída, mais precisamente na análise dos cabeçalhos.
Só peço que sejam programadores natos ou naturais. O código [SEGREDO] em C++.
Para mim, foi um prazer voltar a ter a oportunidade de, novamente, programar e ver que ainda estou em forma. Não sei de que. Mas, estou. Digo isso como incentivo aos demais.
O programa, do jeito que está, faz uma separação por canais e uma catalogação pelo tempo, que não consegui identificar como é calculada representação. Mas, com base em uma data, pode-se chegar à mesma data pelo número gerado.
[NOME], vou disponibilizar o código para ti em outro email.
Grato pela atenção,
Aguardando interesse,
[NOME]
[EMAIL]
Faz um tempo, concluí um sistema para extração de imagens em aparelhos DVR, mais precisamente da Intelbrás. Agradecimentos ao [NOME].
Sei que, de todo modo, não é perícia. Mas, porém, contudo, entretanto, todavia, ora pois, facilita bastante, já que torna independente do aparelho para a extração, podendo ser operada diretamente na imagem do disco.
Já obtive algum sucesso. Ao menos, para o caso que desencadeou a questão.
Estava retardando comunicar, aqui na lista, pois ainda faltam algumas melhorias, coisa que o tempo me é escasso.
Portando, caso haja interesse, tanto posso disponibilizar o código para quem queira utilizá-lo como para quem deseje aprimorá-lo. Envolveu um pouco de pesquisa, que ainda não está concluída, mais precisamente na análise dos cabeçalhos.
Só peço que sejam programadores natos ou naturais. O código [SEGREDO] em C++.
Para mim, foi um prazer voltar a ter a oportunidade de, novamente, programar e ver que ainda estou em forma. Não sei de que. Mas, estou. Digo isso como incentivo aos demais.
O programa, do jeito que está, faz uma separação por canais e uma catalogação pelo tempo, que não consegui identificar como é calculada representação. Mas, com base em uma data, pode-se chegar à mesma data pelo número gerado.
[NOME], vou disponibilizar o código para ti em outro email.
Grato pela atenção,
Aguardando interesse,
[NOME]
[EMAIL]
Vi essa mensagem no passado do perito [NOME] do RN. Muito acessível o colega
ok obrigado meu amigo
Origem 021 — 16/02/2018 07:01 a 09:11 — Conexão USB, ADB e diagnóstico de porta em Android
Alguém saberia me explicar: um Samsung J200M fizemos a lógica e a sistema de arquivos! Na extração lógica vieram os bate-papos e arquivos recuperados! 🤔
Utilizamos o UFED.
Utilizamos o UFED.
Bom dia. Na lógica nunca vi isso acontecer. Na file system as vezes vem mas não é regra
Celular com root?
Tentamos o root, mas a princípio não deu certo e não conseguimos a física
Então, tínhamos achado que era a filesystem, mas não!
Provavelmente está rooteado. Seria bom se vcs tentassem a física de novo mas ativando o ADB antes pelo PC...
Como ativar o ADB?
No prompt do Windows, dar o comando adb shell e depois su
Com o celular conectado via USB
Se aparecer # é pq tá rooteado
Às vezes o cellebrite se perde e não consegue a autorização pra acessar o celular via ABD
Se vc fizer esse procedimento é em seguida conectar no UFED solicitando a extração física pode ser que funcione
Origem 022 — 26/02/2018 08:51 a 10:45 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia, gente. Alguém tem alguma sugestão para desbloquear a senha do Samsung G570? Obrigado.
Bom dia.
Recebi um aparelho LG-X170fTV, para fazer a extração de conteúdo pornográfico, porém, o mesmo veio bloqueado com senha numérica, através do aplicativo DFNDR Security. Alguém tem uma dica para desabilitar esse aplicativo? Pois o UFED TOUCH não disponibiliza esse modelo.
Obrigado.
[NOME] Cruz
POLITEC-MACAPÁ.
Recebi um aparelho LG-X170fTV, para fazer a extração de conteúdo pornográfico, porém, o mesmo veio bloqueado com senha numérica, através do aplicativo DFNDR Security. Alguém tem uma dica para desabilitar esse aplicativo? Pois o UFED TOUCH não disponibiliza esse modelo.
Obrigado.
[NOME] Cruz
POLITEC-MACAPÁ.
Ele tem a opção de iniciar em modo de segurança?
Outra opção seria tirar o micro sd, caso esteja instalado o apk nele
Se tiverem um XRY possivelmente ele extrai pelo modo download
Se sim, inicie desta forma que deverá desativar o apk, aí você pode desabilitar/desinstalar
1. Sistema parcial de arquivos.
2. CWM + Aroma file manager.
2. CWM + Aroma file manager.
Não veio com micro sd
Bom dia, temos o XRY, mas está desatualizado.
Qual versão tem aí?
se tiver creio que conseguirá
eu peguei um desses DFNDR outro dia
sorte que era um Samsung
acho que fui pelo Aroma e deletei a pasta do apk
ou recortei e colei em outra.. algo assim
Se conseguir instalar o aroma, vc renomeia o .APK do arquivo
Renomeia o aplicativo
ah, sim.. no Samsung dá pra se virar
mas no LG daí fode a firma..
Mas esses procedimentos não estão interferindo na prova?
A prova é a mensagem, a foto, a ligação, o áudio.
O celular é o ambiente
o entendimento é que os dados produzidos por usuários não podem ser editados
o que estiver em volta dos dados não tem problema
Precisa-se acessar a "prova". Analogicamente a um local de homicídio ... se a porta estiver trancada a perícia não pode entrar?
Ou mesmo pisar no local de crime, que altera o estado do chão, coloca pegadas, poeira etc.
Analisando por esse ângulo.
Blz, vou ver o que eu faço.
Obrigado.
Obrigado.
Esse princípio de que a perícia em informática mantém o material intacto após o exame .... Com exames em celulares .... perdeu a força. Como dito, dados pré existente não podem ser modificados
Bom dia, conseguimos fazer a extração física de um j5 ( j500m/ds) com senha usando UFED via bootloader
E desde que relatado o procedimento no laudo. Tem que fazer o máximo possível pra localizar a evidência Eletrônica.
Princípio de Locard
Eu também já consegui. Mas neste caso, não deu. 😞
"Princípio de Troca* de Locard"
Nesse caso e em outros já aconteceu de apenas conseguirmos depois de 3.. 4 tentativas. Nas anteriores o UFED diz q não é compatível
Vixe. Vou tentar mais vezes então
Origem 023 — 06/03/2018 14:57 a 15:35 — Extração e análise de mensagens do WhatsApp
Boa tarde, pessoal. Alguma dica para extrair o A275 da LG?
O [NOME] Sala, da cellebrite disse uma vez que existe uma ferramenta que faz. Não sei qual. Aqui no Ceará o a275 volta.
Ferramenta fora do UFED e incorporada no PA ou por fora de tudo mesmo?
Estou com 9 A275 na demanda reprimida.
Digita só o que é importante
Aqui fazemos assim
Cara a275 é paia.
Transcrição de informações não consideramos perícia, então não fazemos.
É o que defendemos
Para economizar DEDOS, faz registro fotográfico 😅
Nós colocamos uma mensagem dizendo que não há ferramenta compatível para realizar a extração e análise dos dados, e devolvemos o celular.
Até o registro fotográfico eles podem fazer por lá. E eu já orientei delegados a fazerem isso, caso precisem logo, já que nossa fila de espera é de aproximadamente 4 anos.
Alguns itens (acho que contatos e ligações) você consegue exportar para o SIM (clonado) e extrair no UFED
No caso, só o que é importante pra investigação, seria um exame de constatação.. acho válido, mas compreendo quem não considera perícia!
É o mesmo caso de transcrição de áudios inteligíveis
Não é considerado perícia
No entanto, muitas vezes percebo que os caras precisam dos dados até pra dar um norte na investigação
Muitas vezes n tem nenhuma informação sobre o caso
Mas você transcreve? Quando tem algo de interesse no áudio normalmente só dizemos que tem um arquivo de áudio com determinado assunto, ou transcrevemos um pequeno trecho para tornar claro. Raramente o conteúdo completo.
Se for pedido de transcrição de áudio a gente devolve
Hehehehe! É o que eu vinha fazendo.
Mas as vezes pedem transcrição do whatsapp🤦🏽♂
Aqui tem uma orientação mais ou menos assim: se for transcrição, qualquer policial pode fazer. Perito é policial, logo Perito pode fazer. 🙁
Entendo que a extração tem a mesma natureza que a transcrição, o que muda é que uma é automática e a outra manual. Nesse sentido, qqr policial poderia fazer a extração dos dados, também. Não é uma atividade de natureza pericial propriamente dita..
O que importa, nesse caso, é que o que o perito diz “tem mais peso” que um agente ou um escrivão..
Esse é o entendimento por aqui!
Origem 024 — 12/03/2018 15:49 a 15:52 — Extração e análise de mensagens do WhatsApp
Deu certo! Fiz um downgrade e o UFED fez a física. Daí veio tudo... whatsapp etc etc. Muito obrigado! 👍👏🏻
[MENCAO] [MENCAO] [MENCAO]
Alguém já teve sucesso na extração do wtz do iPhone 7?
A1784 desbloqueado mas não extrai wtz
Origem 025 — 15/03/2018 11:17 a 14:34 — Bloqueio FRP e conta Google em dispositivo Android
Dispositivo bloqueado por senha. Este modelo específico da imagem não tem suporte pelo UFED Touch. Foi realizado por modelos genéricos e chineses mas sem êxito na extração ou desbloqueio. Já conseguiram desbloqueá lo ou realizar a extração?
Bloqueado por senha eh complicado
Foram realizadas tentativas de extração e desbloqueio via modelo genérico e aproximado em "Smart Phones", "Chinese Phones" e "Chinese Android".
Tentou ver se há suporte para o _chipset_ do aparelho?
Não. Qual o site que informa o chipset do dispositivo?
Obrigado pelo retorno galera, todos os hashs possíveis e imagináveis bateram
Pessoal, que método vcs usam para remover bloqueio por padrão ou senha de um samsung, sem formatá-lo?
[NOME], eu utilizo apenas o UFED para a remoção, mas ele tem falhado muitas vezes.
Usa o modelo de Android genérico, para Samsung e faz a extração fisica
https://www.tudocelular.com/
Tem outro, deixa eu ver aqui...
Alguém do grupo usa o UFED e XRY e sabe dizer qual é melhor?
Método 1 (é o que mais utilizo) - Backup realizado por meio de twrp ou cwm, caso o dispositivo não esteja com FRP ativa, equivale a uma extração física do cellebrite só que infinitamente mais rápida;
Método 2 - Remoção do arquivo de senha através de twrp ou cwm, caso não possua FRP;
Método 3 - Remoção de FRP lock através da Octoplus box, o que viabiliza o uso dos dois primeiros métodos;
Método 4 - Remoção de screen lock diretamente pela Octoplus box;
Método 5 - Remoção da senha ou extração física realizada via JTag, através da Z3x box, ainda em teste, por que ainda estou sem um adaptador que pode ser adquirido na cidade de Curitiba, que estou aguardando chegar;
Método 6 - cellebrite;
Método 2 - Remoção do arquivo de senha através de twrp ou cwm, caso não possua FRP;
Método 3 - Remoção de FRP lock através da Octoplus box, o que viabiliza o uso dos dois primeiros métodos;
Método 4 - Remoção de screen lock diretamente pela Octoplus box;
Método 5 - Remoção da senha ou extração física realizada via JTag, através da Z3x box, ainda em teste, por que ainda estou sem um adaptador que pode ser adquirido na cidade de Curitiba, que estou aguardando chegar;
Método 6 - cellebrite;
FRP tá ativa
e nao possuimos a octoplus..., ou seja, lascou
FRP realmente nos deixa em uma situação complicada, não tem muito o que fazer sem a "BOX"
Não consegue colocar twrp, não consegue rootar e não faz por bootloader
Interessante [NOME], pessoal de curitiba estão usando as Box? Está ajudando muito? Aqui em MT várias vezes já consideramos essa idéia, e a cada dia vemos que está fazendo falta
[NOME], vc domina o método? Poderia orientar alguns peritos se fossemos até aí? Qual seu estado?
Mas a box desbloqueia sem formatar? Tive uma experiência ruim que desbloqueou mas formatou...
http://www.maiscelular.com.br
Aqui no Ceará a gente entrega para o [MENCAO], que ele adivinha todas as senhas
Ainda nao temos um perito assim
Essa semana foi produtiva. 3 acertos. Rs
Já descobri de 4 celulares
Senhores desculpem a confusão, da cidade de Curitiba eu estou aguardando um adaptador ISP, inclusive se algum dos colegas do grupo que seja de Curitiba puder me ajudar a adquirir esse item eu agradeço, eu, na verdade, sou de Rondônia e trabalho no IC de Porto Velho. Estou plenamente disposto a ajudar no que for possivel. As box são simples de manusear, não são caras, o grande problema é a aquisição, só consegui comprar por que me passei por um cidadão comum, que não tivesse nada a ver com polícia, pra poder comprar, os vendedores são ressabiados. Estou à disposição pra ajudar.
Em Curitiba tem uma loja que vende box
https://www.cmshop.com.br
Walney, se tiver mais vídeos, posta aí! 👍
Desculpem a menção que faço sobre a politec de Rondônia, mas é que era oportuno na época, por conta de um antagonismo e um combate ridículo que sofremos dos delegados daqui por conta da criação da Politec.
Senhores sugiro que esses meios não sejam comentados fora do nosso meio pericial, uma vez se tratar de um mercado que oferece enormes dificuldades à disseminação de conhecimentos e da própria aquisição, pela própria natureza clandestina que tem, pra que não fiquem receosos e parem de comercializar ou produzi-las e pra não desenvolverem contra métodos.
Origem 026 — 19/03/2018 13:37 a 13:40 — Compatibilidade de modelos e métodos de extração no UFED
Sim, entendi. Não é algo tão simples de responder, como imaginei. Mas foi uma pergunta da direção, estão fazendo planejamento para o ano. Então pensei em pedir o mínimo por perito trabalhar, uma estação pericial, um equipamento de extração de dados com software de análise, um duplicador forense, uma licença de ftk, etc.
Vou dar uma olhada nesse pop.. Valeu!
Origem 027 — 20/03/2018 13:03 a 13:23 — Extração e decodificação de bancos do WhatsApp
Colegas, boa tarde! Surgiu uma demanda para recuperar um áudio do WhatsApp que foi apagado. Gostaria de saber se alguém sabe algum método/aplicativo para tentar recuperar o referido arquivo?
Saliento que o aparelho é um LG X Power (k220) e não foi possível fazer root
ext4, mesmo com root, não sobra nada além no inode raiz. Isso é, só se o audio tiver menos de 4k. Nunca consegui recuperar nada
4k de audio não é nem ruído direito. logo, acho que praticamente não tem como recuperar
sem root complica muito. Se vc tiver o msgstore.db, talvez seja interessante ver se existe o mesmoconteúdo em outro arquivo
os arquivo de midia se não me engano, tem o hash na base e vc pode ver se tem outro arquivo não apagado cujo o conteúdo tenha o mesmo hash
já tentei inclusive alguns algoritmos de carving de audio com extração física e foi sem sucesso
Obrigado pelas dicas [NOME]! Vou ver essa questão do msgstore. Realmente já estou sem esperanças de conseguir algo rsrs
Origem 028 — 21/03/2018 20:46 a 20:47 — Compatibilidade de modelos e métodos de extração no UFED
Tbm peço desculpas
Alguém tem experiência positiva na extração do Wtz em um Windows Phone?Lumia 640?
Origem 029 — 22/03/2018 10:24 a 10:24 — Se o Cellebrite conseguir fazer extração física desse modelo tem alguma chance Anaxi
Se o cellebrite conseguir fazer extração física desse modelo tem alguma chance Anaxi, senão, praticamente não tem outra forma. Já consegui fazer em alguns, mas também já teve um monte que não consegui nada.
Origem 030 — 22/03/2018 12:32 a 13:27 — Meu brother. Bicho... o UFED
Bom dia meu brother. Bicho... o UFED
Desculpe a interrupção da msg. O UFED não disponibiliza extração física para nenhum Celular Lumia
O UFED TOUCH disponibiliza extração pfísica para alguns LUMIA como o RM-924 , RM-928, RM-929, RM-926, RM-845, RM-860, RM-877, RM-846,...ETC...
o meu é Lumia 640 RM-1109
nem consta na lista
e o UFED tá atualizado
Origem 031 — 28/03/2018 10:09 a 10:14 — Extração e análise de mensagens do WhatsApp
Alguém sabe o quer dizer essas "Vezes contactadas"?
Isso aí ta na na seção técnicas?
Relatório do Ufed. Contatos
Um... Só com ufd aberto para dar 100% de certeza. Mas a priori, o nome já diz tudo.
Não só por SMS e ligação mas como também WhatsApp.
Achei um pouco alto. Mas blza. Em tese seria isso mesmo
Origem 032 — 28/03/2018 13:26 a 15:30 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde!
Concernente ao root e a extração física dos dispositivos quando há sucesso, erros ou falhas, os senhores registam essas informações em algum arquivo, plantinha ou banco de dados? Seria interessante centralizar todos esses dados em um único arquivo e que fique acessível a todos do grupo no intuito de otimizar os exames. Qual a opinião dos senhores?
Concernente ao root e a extração física dos dispositivos quando há sucesso, erros ou falhas, os senhores registam essas informações em algum arquivo, plantinha ou banco de dados? Seria interessante centralizar todos esses dados em um único arquivo e que fique acessível a todos do grupo no intuito de otimizar os exames. Qual a opinião dos senhores?
Faz tempo que penso nisso. Mas tá difícil fazer esse "sisteminha". É uma ótima idéia.
Nos temos no nosso storage uma pasta com os arquivos de recovery, comandos e roots dos aparelhos que vão dando certo, mas é nossa vontade também trocar esse tipo de informação
Aki na seção implementamos um sistema de controle de exames, q contém um campo para exames realizados em cada aparelho
Tb registramos técnicas de sucesso, modelos compatíveis para extração
Tem ajudado bastante
Seria bem interessante!
aqui pensamos uma época em colocar num wiki, mas acabou não indo pra frente
Aqui o colega perito criminal criou uma planilha com os dispositivos que já foram realizados roots com sucesso; e pastas com os arquivos recovery. Esta planilha nos auxilia em mais de 70% dos casos.
Acredito que com uma planilha simples e compartilhada é possível otimizar os casos em mais de 90% de sucesso.
A gente podia fazer uma no Googledocs e compartilhar para todos
Sim. Ótima idéia! Os arquivos recovery no Google Drive ou outro.
Vcs guardam alguma informação do tipo de exploit que foi utilizado. Acho que isso seria muito útil pra entendermos melhor as falhas de segurança. Hoje dependemos das ferramentas forenses caixa preta, tipo UFED, e de softwares chineses pra root. Mas creio que o mais interessante é saber o que ocorre por detrás dos panos.
Cara, eu já pensei bastante nisso. Se a gente conseguisse reproduzir o que essas caixas pretas fazem, eu imagino que conseguiríamos mais coisas porque teríamos feedback
eu tentei rapidamente descobrir qual o comando adb para fazer a imagem do dispositivo, mas não tive sucesso ainda
Deve ter tanta coisa que trava o script do UFED e que conseguiríamos improvisar bem facilmente.
tendo em vista que via windows, o comando adb produz ruído na imagemm, e só funciona corretamente via linux
Origem 033 — 03/04/2018 13:40 a 13:55 — Extração e análise de mensagens do WhatsApp
Alguém já teve sucesso com o K430? Vale a pena fazer root?
LG
deu certo aqui tambem, obrigado...a fisica usa o chinex mas nao obtive sucesso
Está criptografado?
Caso não esteja faz o bootloader do LG generico
Tem algum lugar para olhar isso? Normalmente eu faço isso com os LGs mas, quase sempre estão criptografados.
Achei aqui. Está criptografado. 🙁
Extração lógica + aquele script de extrair whatsapp. É o que da pra fazer..
Nesses LG
Beleza. É o que eu faço normalmente. Valeu pelas dicas.
Esses modelos modernos de LG não tem como fazer root sem desbloquear o bootloader, o que fatalmente apagará tudo, esse modelo K10 ou K430 tem a partição de dados criptografada, até se consegue fazer extração por bootloader no UFED, mas não vai conseguir aproveitar informação nenhuma, se estiver travado ainda não existe uma solução que eu tenha visto que consiga destravar, se estiver destravado dá pra fazer extrações particionadas no UFED, apk downgrade+extração lógica+extração por sistemas de arquivos+cartão de memória, se houver cartão.
Tbm dá para fazer o bkp da própria LG e abrir pelo PA. Não traz tudo, mas já ajuda
A propósito, faz tempo que não tenho sucesso no script de extrair WhatsApp. 🙁
Origem 034 — 05/04/2018 10:30 a 11:02 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia, pessoal.
Estou com um Samsung G3502 e tentando fazer uma extração via Advanced ADB. O UFED copia o aplicativo para dentro do aparelho e depois diz para seguirmos as instruções na tela. Porém, o app não é executado. Já aconteceu isso com vocês? Não tem como executá-lo na mão?
Estou com um Samsung G3502 e tentando fazer uma extração via Advanced ADB. O UFED copia o aplicativo para dentro do aparelho e depois diz para seguirmos as instruções na tela. Porém, o app não é executado. Já aconteceu isso com vocês? Não tem como executá-lo na mão?
Aparentemente, consegui aqui. Estava dando espaço em disco insuficiente. Limpei umas coisas e agora foi.
Fiz um G3502L ... Root pelo kingo, fiz a extração pelo magnetic aquire e importei no ufed physical analyser ... Para gerar o relatório ....
Origem 035 — 13/04/2018 08:37 a 10:01 — Extração e análise de dados em iPhone/iOS
Bom dia! Estou com uma requisicao de celular, na qual tem vários quesitos e entre eles pede a extracao das conversas do Facebook. Tanto o Ufed como o IEF, extrairam poucos dados. Fiz os exames com o celular desconectado da internet, em modo voo, como sugerido no POP.
O caso é pedofilia e a vitima alega q se conectar o celular.na net, da pra ver as conversas. Como vcs procederiam? Conectaria ou nao o celular? Meu receio é chegar novas msgs e alterar a extracao q ja fiz...ou pior, alguem enviar um comando e apagar os dados do iPhone remotamente.
Aqui precisamos utilizar o Cloud Analyzer para acessar a nuvem do proprietário de um celular periciado, para isso peticionamos ao juiz responsável, informando a necessidade. O pedido foi deferido. Mas o acesso não foi realizado diretamente pelo celular, e sim pela ferramenta q informei
Na minha opinião, com a devida autorização judicial, vc até possui autonomia para fazer o proprio celular acessar a net, basta informar isso no laudo. Agora, o risco que corre é do reset remoto, como vc mesmo disse. Por isso que bom meso é extrair o pacote da conta e usar o Cloud
Entao, [NOME] nao tenho o Cloud Analyser e quem requisitou o exame foi o Juiz
Aqui foi o juiz tbem só que o exame requisitado foi no celular... em nome da segurança juridica peticionamos o acesso a nuvem por se tratar de informações privativas em tempo real, inclusive
Historico de localizacao, contas de redes sociais, etc
Como o objetivo são conversas no Facebook, seria melhor acessar diretamente o Facebook em um computador e fazer um backup
Otimas explicacoes, turma! Obrigado! Vou solicitar o login e a senha ao
Juiz pra fazer o acesso via computador. Valeu!
Juiz pra fazer o acesso via computador. Valeu!
como é a vítima que está dando o acesso, acredito que ela tenha todo o interesse em fazer isso
em configurações gerais da conta, tem uma opção de baixar uma cópia dos dados do facebook
Origem 036 — 19/04/2018 11:36 a 13:07 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia amigos. Acho que já li isso por aqui, queria entender melhor. É possível fazer a extração física de um celular por meio do IEF (ou outro método qualquer) e depois fazer o PA ler e interpretar os dados??
http://forum.xda-developers.com/showthread.php?t=1818321
Pode ser para o cartão que é mais fácil também.
Se o aparelho estiver root, basta fazer a extração via Magnet Acquire e depois Abrir no UFED PA a partir da opção Arquivo -> Abrir (avançado)
ou entao subir o busybox via adb e depois fazer uma imagem via dd
a primeira é bem mais simples
Estou com um celular que conecta no computador, mas não conecta no ufed touch.. 🙄
Acho que deve ser drive, ou a própria porta usb com mal contato. Dai pelo pc posso extrair pelo magnet aquire então..
Vou dar uma lida. Valeu! 👍🏼
Sim, é o Ufed recebido pela Senasp. Eu sempre recebo os novos cabos.
Nunca recebi nada.
Aqui tbm sempre recebemos os novos cabos
Sim. Desde que esteja rooteado
Idimilson, entra no site do Cellebrite e atualiza o cadastro. Depois entra nas reliases e solicita os cabos. Demora uns 2 meses, mas chega.
Origem 037 — 02/05/2018 10:53 a 11:22 — Extração e root em dispositivos LG
Bom dia pessoal, alguem já conseguiu realizar uma extração física em um LG B220A?
Celular muito antigo
delegacia esta solicitando carving de mensagens sms
existe a possiblidade de carving para tentar achar um outro arquivo de SQLite de SMS (que acho difícil de ser o caso, pq teria que ter sido após uma recuperação para configuração de fábriaca ou algo nesse snetido), ou basta apenas um carving noa base do sqlite que guarda os SMSs
Mas para isso seria necessario um dump da memoria
alguma dica de ferramenta ?
esse celular nem é android, eu estava confundindo com outro
acho que eesse celular roda BADA ou similar
tenta ver se o processador dele é igual a algum outro modelo disponível para extração física pelo UFED
Origem 038 — 08/05/2018 11:25 a 11:25 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
<Mídia oculta>
Realizando extração via EDL.
Realizando extração via EDL.
Destaca-se que a orientação do UFED de trocar para o cabo 100 não funcionou. Pressionei continuar com o próprio cabo 523.
Origem 039 — 17/05/2018 09:26 a 10:36 — Bootloader, desbloqueio OEM e risco de wipe
Cada dia uma novidade. Agora peguei um celular (Samsung G935) que não deixa dar o Power Off sem digitar a senha. Já viram isso? Para fazer o processo de extração, pede para desligar o aparelho (ou tirar a bateria). Mas essa característica está impedindo.
Se alguém tiver uma sugestão, eu aceito. Heheheh
Power e volume para cima
Sendo Samsung, pode precisar apertar o home também
Nem com Home nem sem Home.
Faz o método de entrar em modo download
Com o volume pra baixo, power e home
Aí depois faz a mesma coisa pra sair do modo download
Usando o Generic mesmo?
Vish, amigo... Aí complicou 😢
Tá usando Celebrite né?
Eu me referi só a desligar o aparelho mesmo
Se estiver desbloqueado poderia tentar comandos via ADB
ou então via shell
Só te digo uma coisa: aconteça o que acontecer, não tente root nesse modelo. Vai dar merda, experiência própria
Estou usando o Cellebrite sim. É que o método descrito para o modelo é usando o cabo 130. E o processo envolve o aparelho estar desligado 2 vezes. Com o aparelho desligado, coloca o cabo 130 e segura as teclas Volume + e -. Depois troca para o cabo 100 e depois tem que desligar o aparelho de novo e ligar com o cabo 130 com os volumes + e - novamente. Como o aparelho estava desligado já, consegui fazer a primeira parte, mas quando fui desligar para fazer a segunda, o aparelho não permite. De qualquer forma, vou tentar usar um Generic Android aqui ou um modelo parecido que usa esse esquema do Modo Download pra ver se vai.
O problema não é reiniciar. O problema é desligar. Será que tem Shutdown -h nele?
De qualquer forma, não está desbloqueado. 🙁
power off = 10 segundos com os botôes apertados. (demora)
desligar se já estiver iniciado e com senha [SEGREDO] reiniciar e entra na particão de recovery e lá tem a opção de poweroff
Sim. Já passei por isso
Tem que segurar uns 10 segundos
Já consegui extrair com sucesso via "bootloader".
Mas usou o mesmo procedimento de usar o cabo 130?
Testei alguns modelos parecidos que possuem a opção de Bootloader, mas até agora nada.
Faz assim: preciona o botão desligar e pede para desligar. E bem rápido você preciona os botões volume para cima, home e desligar pra acessar o modo recovery. Neste modo há a opção de desligar.
Corrindo: Pede para reiniciar.
Olha só! Hehehehehe! Consegui aqui (dar o power off). Agora vou continuar com o procedimento do cabo 130 e ver se vai. Eu posto o resultado aqui.
Fez pela forma que te informei ou outra?
Foi pela forma que você falou sim. Primeiro eu tentei usando o volume - para reiniciar e depois o volume + para entrar no Recovery. Aí não deu certo. Depois fiz como você disse para usar o botão de reinício e consegui entrar no Recovery. Realmente tem a opção de Power Off lá. Com isso, consegui avançar aqui, mas ainda não começou a extração.
Tem seguir os passos e ora usa o cabo 130 ou cabo 100.
É essa chatura mesmo.
Sim. Mas depois você já compreende o processo e fica fácil. Neste caso chato pois o dispositivo está bloqueado.
Teve um com bateria interna q um perito da nossa seção pegou q a única forma de desligar foi desmontando e tirando o conector da bateria na placa e reinserindo.
Eu já tinha feito outras extrações usando o cabo 130. O diferencial deste foi que o botão do power off tava travado.
Samsung também. Mas fez esse procedimento pra fazer o root do aparelho
Aí foi radical. 🤟🏻
Eu não iria tão longe assim. Hehehehe!
Origem 040 — 18/05/2018 10:39 a 11:10 — Compatibilidade e extração em dispositivos Samsung Galaxy
O nosso nunca chegou a pedir isso, mas eu diria, você prefere que a gente faça laudo ou responda ofício? Porque teríamos que colocar metade da equipe para ficar redigindo os ofícios.
Então que coloque um terceirizado ou auxiliar para ficar redigindo os ofícios.
Na verdade nem chegamos a pedir prazo... Só justificamos a falta de pessoal, mostramos a quantidade de casos pendentes, e dizemos que pode ser que não tenha como cumprir conforme o CPP
Sério? Aqui o Gerente disse que iria precisar de um servidor só pra responder ofício. Então melhor aguardar e só oficiar quando necessário
De 2018 nós temos 880 ofícios pendentes. Isso porque fizemos bastante de 2018 por serem cobranças.
"quer" não.. basicamente exigiu
[NOME], vcs só fazem o exame na capital?
De 2017 nós temos 1799 ofícios pendentes... 😕
6 peritos atendendo informática, para o estado inteiro.
Quantos ufed?
Pelo menos estamos só com 13 de 2013, e 195 de 2014 pendentes. Com um ano acho que finalizamos o ano de 2014.
3 funcionando, 2 com licenças vencidas.
A realidade aqui em MT não está tão diferente... Se não recebermos mais nenhuma requisição a partir de hj, temos trabalho para 2 anos só atendendo passivo
Não sei se choro ou se me acalmo hahahaha
É o fudido falando com o ferrado
Pelo meu dia a dia aqui, avalio que cerca de 60 a 70% do universo você consegue fazer alguma coisa sem o UFED, com relação à “extração”. O grande problema é que tem alguma situações de extração que “só o UFED consegue fazer”, tais como a família J5 e J7 da Samsung, se estiverem travados. O grande problema no entanto, é que 101% do processamento das extrações feitas por qualquer método de extração que fazemos, é realizada pelo Physical Analyser, aí complica, hoje sem o cellebrite até conseguimos sobreviver por aqui, mas sem o Physical Analyser o IC vai entrar em colapso.
Que também tá difícil de comprar. A nossa tá com 310 mil quilômetros rodados. Hehehehe!
Pois é, o problema é a interpretação dos dados, extração não é tanto problema.
Ontem na operação, um delegado perguntou qual o prazo para analisarmos tudo que foi apreendido. Eu respondi que não tínhamos analisado nem metade do que foi apreendido na primeira operação da luz da infância, isso porque foi pedido prioridade, quanto mais essa segunda fase...
Bom que isso mostra a estrutura cabe agora tentar usar isso pra reverter e adquirir equipamentos
E pro Executivo nunca tem verba
Aqui também não é diferente. Além da questão salarial.
Mas pra comprar café top dos top na Alesc e demais órgãos do Executivo, aí sempre tem
É a incompetência política generalizada q permite q um motorista tenha um salário 6 mil e um professor universitário ganhe 4... Se é assim com as carreiras, imagine com as estruturas
Origem 041 — 24/05/2018 16:29 a 17:53 — Recuperação de mensagens e vestígios do WhatsApp
Android 7.0, no momento, está totalmente imune a todas as técnicas periciais existentes, no caso de extração de dados de aplicativos (whatsapp, Facebook, etc...). Ainda estou no meio da tentativa de uma técnica, que infelizmente foi travada pela necessidade de um adaptador que só consegui achar no AliExpress, estou no aguardo. No mais, não achei absolutamente nada que pudesse extrair alguma coisa de Android 7.0, se algum colega conseguir alguma coisa, por favor nos avise. A cellebrite, nesta última versão, prometeu realizar extração física de alguns modelos, de motorola, por exemplo, do modelo XT1802, que ao meu ver, já deveria ter saído, de fábrica, apenas com o Android 7.0, e que o Cellebrite está prometendo fazer, comecei a testar aqui, mas não consegui êxito, se alguém de nós conseguir, por favor, nos avise.
Opa, vou verificar então!
Aqui, se não conseguir, vou mandar só a extração lógica mesmo..
Para o whats, tem a opção do mobile merger, mas ainda não tive tempo de aprender a usá-lo..
Funciona direitinho! 👍
Tenho q aprender a usar essa ferramenta também.
Faz um tuto pra nós aí, brow! 😄
Deixa sobrar um tempinho, tá osso aqui com o trabalho (principalmente administrativo).
O colega [MENCAO] foi quem usou recentemente, em um caso com um smartphone rodando Android 7. Eu o ajudei porque ele estava tendo dificuldades com o Latex (MikTex no caso do Windows).
O colega [MENCAO] foi quem usou recentemente, em um caso com um smartphone rodando Android 7. Eu o ajudei porque ele estava tendo dificuldades com o Latex (MikTex no caso do Windows).
Tentei usar uma vez, tive problemas pra rodar por conta da instalação desse componente tb.. daí não dei continuidade!
Nós tb temos que dar uma estudada nele!
Isso! Na instalação dele!
A instalação do MikTex no Windows é "chatinha", no meu caso, em que havia uma versão bem antiga instalada na minha máquina, tive que desinstalá-la e instalar a nova.
Acredito que no Linux deva ser mais tranquilo.
Acredito que no Linux deva ser mais tranquilo.
Origem 042 — 04/06/2018 12:25 a 12:38 — Bootloader, desbloqueio OEM e risco de wipe
Senhores informo a realização com absoluto sucesso, da extração integral de todas as informações armazenadas num Motorola XT1793, com Android 7.1, através da Opção de Extração Física por “Smart ADB”, a Cellebrite agora reconquistou meu total respeito.
precisou root
Android 7 acabou com a nossa festa de rootear, só com desbloqueio de bootloader, o que fatalmente leva tudo pro saco. Foi sem root mesmo.
Multiplica, Senhor, os Cellebrite
Aproveitando o ensejo, alguém já conseguiu usar a opção “Permanently disable User Lock” do cellebrite, pra remoção de screen lock de telefones LG, cuja opção pede a utilização do cabo 523 ??
Já consegui a temporarelly que usa o mesmo cabo
* temporary
Origem 043 — 07/06/2018 11:17 a 13:30 — Análise de Registro Windows e arquivo NTUSER.DAT
Bom dia, pessoal.
O Cellebrite consegue extrair dados do Google Maps? Aqueles históricos de localização.
Fiz uma extração física aqui e veio muita coisa de localização, mas foram torres de célula, dados do waze e redes wireless. Mas olhando nos menus do celular dá para ver mais localizações no Google Maps dele.
O Cellebrite consegue extrair dados do Google Maps? Aqueles históricos de localização.
Fiz uma extração física aqui e veio muita coisa de localização, mas foram torres de célula, dados do waze e redes wireless. Mas olhando nos menus do celular dá para ver mais localizações no Google Maps dele.
Isso, o cloud analyzer faz.
agora o negócio é a autorização necessária para isso
Acessei com o Cloud e veio muitos locais de atividades do Google. O legal é acompanhar cada registro no mapa online
Tem sites que retornam a localização da torre celular. Pode ser uma opção
Mas só com a torre a localização fica um pouco imprecisa, não?
Origem 044 — 19/06/2018 11:46 a 11:53 — Compatibilidade de modelos e métodos de extração no UFED
bom dia, alguem ja teve sucesso em extracao fisica usando o cabo OTG 501 + pendrive?
Bom dia! Sim, já extrai com o OTG
Obviamente o Celular tem que suportar OTG. Já peguei um que o cellebrite mandava usar o cabo otg mas o celular n suportav, mesmo sendo o mesmo modelo
Blz. Aqui nao estava reconhecendo o pendrive
formatei para FAT32 e deu certo
Origem 045 — 22/06/2018 11:05 a 11:17 — Elaboração de laudo e relatório técnico pericial
Aqui emitimos uma cópia dos dados enviados para a autoridade. Essa cópia fica armazenada como contra prova no Instituto.
Não deixamos a contra prova na delegacia. Isso é um erro. Ela fica no Instituto. Todo laudo q tem mídia gravada tem a sua contra prova
Sim, eu sempre deixo uma cópia da mídia no instituto
Problema é q não temos estrutura ainda para mantê-la no Instituto.
Aqui fica o arquivo de extração completo e os arquivos gravados na mídia, mas não fazemos backup desse hd por falta de espaço
Aqui no Ceará eu relato no laudo que não foram fornecidas embalagens adequadas para o envio da evidência e também relato que, por limitações de armazenamento, as imagens Forense geradas em laboratório não foram preservadas e que caso sejam necessários futuros exames o material original deverá ser preservado. Enviamos também uma cópia da mídia para o cartório da coordenação de perícia
Origem 046 — 05/07/2018 13:10 a 13:10 — Compatibilidade de modelos e métodos de extração no UFED
boa tarde, alguem poderia enviar a foto do cabo 130 do ufed
Origem 047 — 12/07/2018 13:31 a 14:41 — Extração e decodificação de bancos do WhatsApp
Boa tarde! Fiz as extrações de dados de um celular, mas não aparece no PA as conversas do Whatsapp, mas as informações foram extraídas.
Alguém sabe o q fazer?
foi extração física?
Nao faz a física.. .
Foi a sistema de arquivos e lógica. Mesclei as extrações.
Quando executo o plugin manual, pede a chave de descriptografia no PA
Não consegue rootar ele tmb?
Peguei um modelo da LG m250ds se não me engano
que era bem assim tmb
Hummm...esse é da motorola
não consegui de forma nenhuma extrair o whatsapp, mesmo com o celular sem senha
Será aquela senha de 6 dígitos que o wpp fica pedindo de vez enquando?
Vc tem q ver na partição de dados
Se o arquivo key veio na extração
Precisa da key do whats
A pasta "data" não sai nessa extração
Aí acho q não abre nada mesmo
Sem essa key não tem como descriptografar os databases
Isso aí são os criptografado
Como não foi feito extração física, não deve ter vindo a key
Bem isso, o caso dele é bem semelhante ao meu, sem a extração física não vem a pasta data
e em alguns casos mesmo fazendo o bootloader ela vem criptografada e o PA dá essa tela de erro que ele mandou
Sim. Só vem os database criptografados
Nesses casos só apontar pra a key
Às vezes ele da algum errinho na extração e a key vem zerada tbm... aí tive que extrair na mão e carregar no PA
Maioria das vezes sim, mas o último caso que peguei desse LG m250ds a pasta "data" inteira veio criptografada, mesmo por bootloader, ou seja não tinha acesso a nada, só ao banco criptografado
aqui em MT já pegamos duas vezes esse celular e sempre a mesma coisa
Esse LG tem a opção de LG backup?
Fiz alguns LG por meio dessa opção de bkp. Os modelos mais recentes quase todos tem essa funcionalidade
Na mão como? Script xda?
Já tentou usar o script de linha de comando?
Via adb shell
Mas tem q rootear
Essa estrutura é a de backup criptografado, não é a base de dados convencional do WhatsApp, o WhatsApp não foi localizado nessa extração, por isso não aparece. Dependendo do modelo do motorola, a única forma de pegar o WhatsApp é através da opção Extração por sistemas de arquivos por Downgrade APK, motorolas não são rooteáveis, precisam de desbloqueio de bootloader, fatalmente perderia tudo, só por apk downgrade mesmo, ou extração física de alguns modelos recentemente implementados pela cellebrite, recentemente consegui fazer um XT1792, mas são pouquíssimos modelos que tem essa possibilidade.
Origem 048 — 01/08/2018 14:14 a 16:36 — Bootloader, desbloqueio OEM e risco de wipe
Como assim? Não entendi.
Para mim nunca surgiu esse tipo de questionamento, mas acredito que o advogado teria que limitar quais conversas são com clientes.
Assim como a lava jato botou escuta em um escritório de advocacia, mas o advogado em questão era amigo do acusado, não estava como advogado dele
<Mídia oculta>
Boa tarde! Algum colega já conseguiu aplicar root com sucesso para este modelo com versão e compilação específico?
Boa tarde! Algum colega já conseguiu aplicar root com sucesso para este modelo com versão e compilação específico?
Acho que vai caber ao delegado/promotor/juiz estabelecer quais conversas podem e quais não podem ser utilizadas na investigação, não havendo limite à extração (a princípio)
Concordo, não cabe a nós! Mas ele não tem imunidade só por ser advogado! Se não era advogado do suspeito ele entra na vala comum
Por isso entendo que vai depender de análise posterior. Verificar quais conversas estavam sob sigilo advogado-cliente e quais não estavam. Trabalho pra outros
Tbm estou apanhando para um modelo exatamente igual rsrs
Eu fiz um computador de uma advogada, na verdade, e ela não reclamou de nada.
Existem algumas prerrogativas, como por exemplo, o carro nem pode ser objeto de vistoria caso tenha arquivos de casos nele, sem a presença de um representante da OAB. Mas os dispositivos digitais realmente não sei como funcionam
Dispositivos com Android 7 ou posterior só são rooteáveis mediante desbloqueio de bootloader, o que, no nosso caso, inviabiliza a análise, por que fatalmente irá apagar todas as informações armazenadas. Para Android 6, esse modelo SM-G570 é tranquilo.
Logo, será extração lógica.
Origem 049 — 01/08/2018 21:20 a 22:11 — Postagem da ABC sobre a perícia de informática. Cita morosidade e o juiz
Postagem da ABC sobre a perícia de informática. Cita morosidade e o juiz afirma que só era uma extração de dados.
A governadora do pr ia nomear um monte de peritos e desistiu na última hora, aí a juíza fala que eh morosidade... eh falta de pessoal mesmo 😖
Esse povo acha que é só plugar um cabo e dar um ctrl C ctrl V..
Origem 050 — 02/08/2018 11:14 a 11:33 — Extração e acesso a dados em iPhone 6
Bom dia, pessoal! Em um iPhone 6, modelo A1586, é possível recuperar informações apagadas?
Para esse modelo o UFED só faz File System Extraction. Não faz a física.
Origem 051 — 02/08/2018 13:50 a 14:20 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde pessoal! Estou com um Motorolla moto G4 XT1644, e o ufed touch não dá suporte a extração física desse modelo devido ao patch de segurança do android! Alguém já fez o downgrade deste aparelho para a realização da extração física?
Nunca testei, mas em tese, pra fazer o downgrade implica desbloquear o bootloader, que implica em wipe na memória..
Logo, presumo que seja inviável.
Acho que o teu UFED tá desatualizado
Tentei o xt1640 e recebi essa mensagem
Extração física
[NOME], ele realmente está desatualizado! Licença venceu agora em julho! Mas todas as opções q vc mostrou tb aparecem pra mim, o erro a aparece durante a extração... "Versão doPatch de segurança não permite a extração" mais ou menos assim a mensagem
Origem 052 — 07/08/2018 16:46 a 17:32 — Extração e análise de mensagens do WhatsApp
Boa tarde, pessoal. Vira e mexe aparece alguém que diz ter seu celular "invadido por hacker" ou coisa do tipo. Agora mesmo, chegou uma menina dizendo que o celular que o namorado deu a ela está com algum programa que a espiona. Ela alga que o namorado inclusive gravou conversas dela com terceiros. Eu sei que, uma vez que um celular é um "computador", em tese, é possível que aplicativos façam isso. A minha dúvida é: alguém sabe de algum ou alguns programas que fazem isso para eu poder procurar por eles?
Senhores boa tarde! Os desenvolvedores do app debug para extração do WhatsApp estão no grupo?
Já tivemos uma situação similar aqui, porém não era para perícia, e sim uma estagiária que estava passando por isso devido ao namorado que havia instalado um programa espião
Não recordo o nome, mas de fato tinha muitas funções, como espelhar SMS, gravar ligações etc...
Vocês encontraram o programa olhando em aplicativos instalados mesmo? Ou via UFED?
Olha, como não era para perícia eu fui buscando manualmente, mesmo
Deixa eu ver se encontro o nome aqui, só um pouco...
Olha, não consegui encontrar aqui, amigo... Porém creio que eu tenha tido um pouco de trabalho na época... Acredito que analisando todos os app instalados você consiga identificar os que provavelmente estão fazendo isso
Faça por eliminação, mas a princípio não vejo razão para não encontrar junto aos app instalados
Inclusive creio que estava instalado no cartão micro sd naquela situação...
Tem um tal de "[NOME] espião"... funciona mesmo
Só de retirar já parou de funcionar
Talvez seja esse...
Ele aparece como "system"
É bem difícil de identificar
Tem um tal de hoverwatch, também
Hum... estava com dúvidas se ele estaria nos programas instalados ou se ficaria escondido. Porque tem gente que coloca coisas em bem mais baixo nível como em firmwares personalizadas.
Existem diversos programas que se propõem a isso. Se o espião (pessoa que intenciona monitorar as atividades) tiver acesso físico ao celular, tem um leque de opções que podem espionar o proprietário, mas, diferente do Windows, o Android não oferece muita facilidade de ocultação, com uma varredura bem criteriosa, de preferência com o aparelho rooteado, não deve ser difícil de achar.
Pra instalar esse [NOME] tem q ter acesso ao aparelho, mas espiona whatsapp e a localização em tempo real
Eu estou fazendo a extração do aparelho aqui. Mas vou dar uma olhada depois nos apps instalados.
Estou olhando na Internet também o canal do tal do "[NOME]". Hehehehe
<Mídia oculta>
Instalados
Instalados
<Mídia oculta>
Mostrando os de sistema
Mostrando os de sistema
Esse "Alertas de emergência" é coisa do android mesmo ou é o próprio programa?
Pra android tem o cerberus tb
Do Android
Um app de rastreamento e que tb tem essas funções pra espelhar o dispositivo..
Acho que consegui localizar. Quando vou nos aplicativos do celular, aparece um chamado "Sistemas". Quando entro nele, pede uma senha.
Segui um tutorial da Internet ensinando a remover o "brunoespiao"
Origem 053 — 07/08/2018 17:54 a 18:01 — Conexão USB, ADB e diagnóstico de porta em Android
E será que tem como ver as configurações dele?
Geralmente também faço um script automatizado para puxar todos apks e submeter no virustotal para análise
Pode pegar os apks pelo ufed mesmo e depois passa num antivirus que tb geralmente acusa vários tipos de spyware. Ou usa a ferramenta de malware do próprio ufed que tb razoável
Boa ideia. Você baixa via ADB, né? Teria como passar o script?
Rapaz. Eu faco2na hora mesmo
Eu estou fazendo a extração aqui. Tá indo na “física”. Expectativa de 6 horas para terminar. Só amanhã mesmo para eu analizar.
Estou na rua agora só amanhã poderia te mandar. Mas é simples. Usa o pm (packetmanager) do android
Origem 054 — 08/08/2018 08:27 a 08:27 — Compatibilidade de modelos e métodos de extração no UFED
Pessoal, vcs já extraíram um BLU Tank T193? Tentei os 3 modelos da BLU que existem no UFED mas nenhum com sucesso. Alguma alternativa?
Origem 055 — 14/08/2018 21:53 a 22:33 — Elaboração de laudo e relatório técnico pericial
Aqui em Minas tem até um tipo de exame que é "quebra de senha". No laudo eu coloco que foram usadas ferramentas forenses, mas sem citá-las. Hehehehe
Eu consto inicialmente na fase de descricao q o celular estava bloqueado.
na fase de extração, menciono que o ufed foi capaz/não foi capaz de desbloquear o celular.
Aqui faço assim tb! Mas apenas esclareço se foi possível ou não a extração!
Quando digo se foi possível ou não, eu menciono os motivos q não foi possível, entre eles equipamento ufed não oferece suporte para desbloqueio.
Origem 056 — 15/08/2018 11:08 a 11:59 — Recuperação de mensagens e vestígios do WhatsApp
Os senhores fazem menção à root, quando aplicado?
Eu nunca menciono. Mas uma vez fui fazer o root e o celular "brickou". Aí eu mencionei que durante os procedimentos, o celular reiniciou o não voltou mais a executar o sistema operacional. Só aconteceu 1 vez.
Ainda mais se for depois de um CF Auto Root num Galaxy S7... Quanta decepção 😔
Depois que aconteceu, porém, eu venho tentando evitar fazer root ao máximo.
Galaxy S7 Edge, vulgo G935F
Já aconteceu comigo também, no entanto, baixamos a rom original e ele voltou.
Normalmente resolve, mesmo...
Mas, nas versões mais atuais, quando faz a carga da rom original ele formata o dispositivo..
Só aplicamos o root nos garantidos!
Queria saber, porque é um procedimento muito invasivo, mas indispensável pra uma extração completa.. no entanto, pode acontecer de ser questionado em juízo.. sei lá..
Pois é. O Juiz autorizando, eu passo até uma serra circular no aparelho se for necessário para obter os dados. Porém, se o juiz não autoriza, eu fico preocupado até em fazer extração lógica.
Fazendo uma analogia, quando o [NOME] Valério foi preso, o juiz autorizou a gente a quebrar o cofre dele. Usamos as melhores marretas que possuímos no momento.
Como vcs estão procedendo com celulares sem autorização judicial?
Aqui em SC a PGE acha que temos que fazer e a responsabilidade vai pra quem pediu
Temos um texto padrão que vai no laudo dizendo que a autoridade solictante deve ter se atentado a isso...
Aqui é padrão [SEGREDO] + extração física, se não, extração lógica + sistema de arquivos. Se for ou não autorizado, se vai ser uma prova válida ou não, é problema do delegado/promotor.
Posso passar à tarde
Aqui em Minas também. Se o Delegado pediu, assumimos que ele tenha autorização judicial para isso. Alguns Delegados daqui fazem questão de enviar o mandado judicial anexado à requisição. Outros não fazem isso.
Em MT é +- assim tbem
Até alguma operação grande ou criminoso famoso conseguir anular todo processo em virtude da ilegalidade na obtenção da prova 😕
Mas aí, nesse caso, eu consideraria que o erro (ilegalidade) foi de quem pediu a perícia (Delegado) e de quem usou isso como prova para acusar o criminoso (Promotor). Da próxima vez, eles arrumam o mandado judicial ou simplesmente não pedem.
Sim. O ônus é sempre deles.
Quando não faz root, que não conseguimos extrair os registros de bate-papos, vcs fazem menção à esse tipo de situação?
Quando fazemos só a lógica, informamos q o tipo de extração realizada não possibilita a recuperação de WhatsApp e dados apagados
A maioria das requisições vem assim: extração de dados. Um pedido genérico. Aí, nesse caso, os Laudos vão com o seguinte texto:
"O material foi analisado com o auxílio de ferramentas especializadas sendo possível, por vezes, que se detectem, aleatoriamente, dados que foram apagados de suas memórias eletrônicas. A quantidade e a qualidade das informações extraídas dependem do modelo e da versão do sistema operacional do aparelho."
Em outras ocasiões, na requisição pede alguma conversa específica do WhatsApp ou outro aplicativo. Aí, nesse caso, eu faço até na mão se for preciso.
"O material foi analisado com o auxílio de ferramentas especializadas sendo possível, por vezes, que se detectem, aleatoriamente, dados que foram apagados de suas memórias eletrônicas. A quantidade e a qualidade das informações extraídas dependem do modelo e da versão do sistema operacional do aparelho."
Em outras ocasiões, na requisição pede alguma conversa específica do WhatsApp ou outro aplicativo. Aí, nesse caso, eu faço até na mão se for preciso.
Bah, mas fazer manual em muitos casos é basicamente impossível... Tem alguns pedem extração completa, aí o software não extrai, sendo que tem tantas conversas de WhatsApp que o aparelho nem roda liso a lista de chat 😕
Porque já teve casos em que o dispositivo voltou pra extrairmos novamente. Tivemos que justificar que não fazemos transcrição, e torcer pro excelentíssimo senhor juiz aceitar a justificativa e não nos mandar transcrever tudo... 😂
Exato... Aqui também recorremos a isso, especialmente depois que o próprio juiz de uma vara criminal despachou no mesmo sentido, e aí mandou que a DP fizesse a transcrição, já que nesse caso não seria atividade técnica...
O problema é só ele entender que não é trabalho da perícia e sim da DP. Porque, como diz o ditado, de cabeça de juíz e bunda de neném, ninguém sabe o que vem.
Origem 057 — 15/08/2018 13:20 a 13:53 — Root em dispositivo Android para extração pericial
Usando cabo 130 não consegue fazer a extração física pelo ufed?
Não temos Cellebrite aqui 😐
Tô com um aparelho desse aguardando chegar esse bendito cabo
Um não.. Vários
Aqui temos uma planilha de todos os dispositivos realizados com sucesso mostrando a versão, compilação, marca, modelo e o método aplicado (twrp, cwm etc.) Neste caso evita se ao máximo erros ou falhas.
Caso haja um dispositivo que não está registrado na planilha realiza se primeiro a extração lógica.
Caso haja um dispositivo que não está registrado na planilha realiza se primeiro a extração lógica.
[MENCAO] meu camarada, essa planilha não está lá no GD?
Não. Foi disponibilizado somente os twrp etc. Foi proposto que cada colega disponibilizasse sua planilha ou registros de dispositivos com aplicação de root com sucesso. Mas infelizmente a ideia não prosperou.
Alguém sabe qual modalidade de sexo infantil significa a sigla SPDA?
Origem 058 — 18/08/2018 18:41 a 21:45 — Extrações, importação e limitações no XRY
Também temos um XRY como segunda opção, mas somente 1 licença!
Top, [NOME]! Obrigada
Não faz mas sentido a extração em campo, hoje em dia, com a necessidade de rootar o aparelho!
Pois é. Sou muito mais o 4PC. Ainda corremos o risco de o aparelho der pau e não termos como consertar. 4PC é software
Mesmo se for necessário uma extração em local, basta instalar o 4PC em um notebook por exemplo
<Mídia oculta>
Crimes_Cibernéticos_Ameaças_e
Crimes_Cibernéticos_Ameaças_e
Dei uma olhada rápida Nesse livro, mas pelo que percebi há uma invasão das atribuições do perito
Apesar de ter um capito com sugestões de quesitos para solicitação de exame pericial
Interessante, na pagina 218, no modelo de ofício para a perícia, o delegado especifica os passos técnicos que o perito deve realizar. Essa eu ainda não tinha visto.
Pelo visto o autor desconhece sobre a autonomia técnica e científica do perito
Laudo de Conferência dl
Laudo de impressão de conversas
Pessoal, é aquilo "em terra de cego, que tem um olho *não é caolho*" ... 😝
Aqui no ES tem um investigador da delegacia de crimes cibernéticos que manda quesitos dando pitacos técnicos...
A última dele foi pedir recuperação de arquivos deletados, mandando fazer recuperação de, no mínimo, 3 camadas. 😖😖
A última dele foi pedir recuperação de arquivos deletados, mandando fazer recuperação de, no mínimo, 3 camadas. 😖😖
Origem 059 — 20/08/2018 15:45 a 15:45 — Extração e limitações em Motorola XT1754
Nobres, boa tarde.
Algum dos colegas tem alguma experiência prévia com extrações a partir do Motorola XT1754? Ainda estou carregando a bateria do exemplar enviado pra exame, mas vi de antemão que não há o suporte a este modelo em específico, até a última versão suportada em nosso UFED.
Algum dos colegas tem alguma experiência prévia com extrações a partir do Motorola XT1754? Ainda estou carregando a bateria do exemplar enviado pra exame, mas vi de antemão que não há o suporte a este modelo em específico, até a última versão suportada em nosso UFED.
Origem 060 — 28/08/2018 16:36 a 16:53 — Extração e acesso a dados em iPhone 7
iPhone 7 IOS versao 11.4.1 DESBLOQUEADO sabem dizer que tem sucesso na recuperação de registros apagados?
Depois do 4 ou 4s só lógica, acho
Serviço CAES da Cellebrite. Ultima proposta 20.000,00 por aparelho (extração lógica e física). Segundo o representante, como eles estão divulgando o trabalho, casa o seu instituto autorize eles a divulgarem que você utilizou o serviço é capaz de você conseguir uma extração gratuita!!!
Acho que pode até recuperar alguma coisa no nivel de aplicação (sqlite, p.exemplo), mas não sistema de arquivos.
agora que li, desbloqueado. Esse serviço é mais para o bloqueado, apesar de servir a extração física
Isso. O equipamento está desbloqueado.
Origem 061 — 30/08/2018 20:42 a 20:54 — / esse modelo acho que dá pra entrar no modo Recovery ( volume
<Mídia oculta>
esse modelo acho que dá pra entrar no modo Recovery ( volume up + power) depois opção Backup pra extrair userdata pra um cartão
esse modelo acho que dá pra entrar no modo Recovery ( volume up + power) depois opção Backup pra extrair userdata pra um cartão
Ia sugerir o mesmo
Já fiz um cce assim, só não sei o modelo
Origem 062 — 11/09/2018 12:47 a 13:13 — Compatibilidade e extração em dispositivos Samsung Galaxy
Senhores se permitem um off-topic. Alguém do grupo já mexeu ou auxiliou a administração do sindicatos de peritos do seu estado, no sentido de soluções automatizadas?? Temos um sindicato aqui em RO que ainda funciona de forma um pouquinho anterior à idade da pedra, e qualquer solução automatizada que existisse já seria uma valiosíssima ajuda.
Arquivo de cache do programa gerenciador de arquivos da samsung. Modificação na "data de modificação " indica que o sistema de arquivos registrou essa data quando o conteúdo do arquivo foi alterado. Sugere que seja thumbnail que possa ser reescalado ou alguma operação dessa natureza.
Certo, [NOME]! Muito obrigado! 👍👍
Origem 063 — 11/09/2018 14:28 a 16:19 — Extração e análise de mensagens do WhatsApp
Pessoal alguém já conseguiu extrair dados de aparelhos da marca QUANTUM modelo Q11? Não tem na base do UFED, até consegui extração física através selecionando o modelo "Chinese Android phones Android MKT", porém ao abrir no physical analyzer ele afirma que uma das partições estava criptografada e os dados referentes aquela partição foram ignorados. Não estou conseguindo um método pra ter acesso ao WhatsApp, já tentei vários métodos, inclusive o downgrade mas todos sem sucesso.
Alguém pode me dar uma luz?
Alguém pode me dar uma luz?
Tenta a senha de decifração 1234 ou 123456.
Ele não me dá opção de digitar senha
O ufed PA não detectou que a partição do usuário está cifrada?
Ele tá rooteado ??
Supondo que o kingoroot ou outro programa consiga reconhecer e rootear ele, tem um outro método que dá pra tentar, uso esse método pro G570M da Samsung e outros que tem a partição de dados criptografada e que não adianta fazer extração física convencional.
[NOME], estou exatamente com esse modelo
G570M
Desde ontem tento rootear e não dá certo
Usei o kingoroot e cfautoroot
eu tive problemas com cfautoroot recentemente
acabou dando wipe no aparelho
Tem uma opção na hora de gerar o arquivo
Que vc deve desmarcar
o último que tive problemas foi um G610M
Se tiver dados criptografadis ele faz wipe automaticamente
Se não desabilitar
pois então.. a questão é que ocorre a mesma coisa com o Galaxy S7, se não me engano
devo ter a foto aqui... peraí
posso estar equivocado, mas não sei se foi erro procedimental, saca..
O Android 6 ou superior usa cifragem com TEE que monta chave composta com parte da chave em hardware protrgido. Não tem jeito
Esse não rooteia com esses programas não [NOME], tem que ser por outro método. Se quiser te mando.
Origem 064 — 12/09/2018 18:06 a 18:11 — Algum colega do grupo tem o Edital do Pregão da PRF que gerou
Boa noite, algum colega do grupo tem o Edital do Pregão da PRF que gerou a última ata de RP dos UFED?
Eu acho que tenho no e-mail
Vou catar mais tarde
Origem 065 — 13/09/2018 11:17 a 16:08 — Extração e decodificação de bancos do WhatsApp
Bom dia! Gostaria de saber se o MobileMerger processa os arquivos extraídos do Whatsapp-key-DB-Extractor-master para geração de relatório
O msgstore.db e a chave
O msgstore.db e a chave
Ou se alguém recomenda outro software além do Whatsapp.Viewer
Se o msgstore.db tiver descriptogradado, o PA consegue processar ele pela opção Android file system content, ou então tem o script WhatsApp Xtract no xda-developers.
Muito obrigado! Vou fazer isso aqui 👍🏼
🍺🍺 a moqueca de camarão está garantida aqui em Salvador 🤣
ForensicTools.
Pronto combinado! Basta ligar!
Só esclarecendo, quando disse isso não me referia a nenhum de nós aqui, mas sim das bombas que recebemos todos os dias das delegacias, tipo esse famigerado SM-G570M e outro pior, um tal de SM-G532MT, esse segundo tá levando embora os poucos cabelos que ainda tenho. Sem contar os mais modernos que até pra desligar estão exigindo senha, com esses nem tô me preocupando ainda, pq já sei que não tem jeito mesmo, por enquanto.
Tranquilo, [MENCAO]! 😉
Tem essa ferramenta desenvolvida por um colega do Rio.
https://bitbucket.org/marceloaleks/spairj_sharedtoolsexe/downloads/
<Mídia oculta>
WhatsApp ForensicTools - Grupos do Google
WhatsApp ForensicTools - Grupos do Google
Pessoal, o FT está excelente!
Atualmente, com os bancos e a chave gera os relatórios bem completos, se colocarem as pastas com as mídias, essas são inseridas corretamente nas conversas.
Atualmente, com os bancos e a chave gera os relatórios bem completos, se colocarem as pastas com as mídias, essas são inseridas corretamente nas conversas.
Agora, o mais legal é a possibilidade de fazer o _merge_ dos bancos e com isso resgatar as mensagens apagadas ( _feature_ que cobrei muito do [NOME]).
Ah, e a versão pra Linux funciona melhor do que a versão pra Windows.
O FT vai funcionar só se tiver a chave, né?
<Mídia oculta>
Rodando no [NOME].
Rodando no [NOME].
Se ele estiver desbloqueado (o telefone) e não for Android 7 (cuja solução está em desenvolvimento), poderá fazer a extração por downgrade.
A ferramenta evoluiu muito e a tendência (e essa é a ideia do [NOME], que compartilho) é migrar para o que ele chama de "ForensicDesk", uma plataforma contendo os apps para fazer todo o trabalho.
Chique demais. Parabéns pelo trabalho.
a "Extração via APP" é bem nova e gera um RTF contendo contatos, SMS e outras. Pedi para ele implementar isso para colocar isso em laudos mais "imediatos" daqui (flagrantes de tráfico de drogas, nosso "carro chefe").
Ele ficou de implementar isso para HTML, juntando tudo, i.e. além do WhatsApp, colocar os contatos, SMS, etc. (futuramente abarcará também as mensagens do Messenger do Facebook, pois teve um caso, de um menor apreendido, que ele, além de usar o WhatsApp para a traficância, também usava o Messenger para o mesmo fim).
Tem que agradecer ao [NOME], que um p. desenvolvedor e entusiasta da perícia computacional!
Muito bom o Forensic Tools.
O relatório é perfeito 👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼
Gratidão aos brilhantes profissionais que desenvolveram !
O relatório é perfeito 👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼👏🏼
Gratidão aos brilhantes profissionais que desenvolveram !
Pra que tal de UFED
Olha aqui o tal de UFED
Kkkkk, nunca mais....
<Mídia oculta>
Todas as conversas.
Todas as conversas.
<Mídia oculta>
Mensagens recuperadas ( _merge_ dos bancos).
Mensagens recuperadas ( _merge_ dos bancos).
Este foi um *caso concreto* que fiz, utilizando a versão anterior. O resultado da extração pode ser mantido (foi o que fiz) e então usei os bancos, a chave, etc. tudo na versão nova, até mesmo para fazer os testes e _debugs_ .
Esse caso então mostrou o ganho, pois essa última conversa, quando fiz a primeira extração/parsing, não continha registros de associação para o tráfico; depois da atualização, essas mensagens foram recuperadas, além daquelas outras conversas, que não apareceram na primeira extração, tudo isso confirmando a hipótese de tráfico/associação para o tráfico, bem como elencando outros atores/pessoas de interesse.
Origem 066 — 18/09/2018 10:27 a 10:29 — Root e extração em dispositivo Positivo
Teste por diversas vezes mas não funcionou para o modelo citado. 👍👍👍
dispositivo da imagem (CCE MOT. P. SK504).
Origem 067 — 21/09/2018 22:25 a 22:44 — Elaboração de laudo e relatório técnico pericial
Colegas, geramos um relatório em formato .ufdr que foi enviado para a delegacia juntamente Ao laudo! Quase um ano depois, a vara solicita que gravemos os arquivos extraídos em formato que seja compatível com o sistema da Vara (não me pergunte qual, pois não sei) e que os arquivos não precisem de “players” para serem executados!
O que os colegas acham disso?
O que os colegas acham disso?
Alguns juízes (ou servidores das varas) têm a mania de que tudo tem que ser compatível com o SAJ (sistema de processo eletrônico usado por eles) e nele deve ser feito upload.
Aqui tivemos problema com uma Vara de Tubarão que estava pretendendo enviar determinação nesse sentido, mas antes disso conversamos e explicamos as questões e eles entenderam que fica melhor ter a mídia física depositada em juízo e disponível para as partes.
Aqui tivemos problema com uma Vara de Tubarão que estava pretendendo enviar determinação nesse sentido, mas antes disso conversamos e explicamos as questões e eles entenderam que fica melhor ter a mídia física depositada em juízo e disponível para as partes.
Tive essa brilhante idéia tbm há 10 dias. Rs
Nesse caso aí. Diga para instalar o VLC e ponto final.
Um amigo meu que trabalhou muito tempo no TJ disse que lá os softwares são bem restritos e que só pode instalar um novo com um aval do presidente do TJ. Aí já viu. Só rola Windows media player.
Ótimo! Foi o que concluímos aqui! Que a mídia contém os dados extraídos! Se modificarmos isso já não podemos garantir a idoneidade da prova
Depois nosso trabalho será converter tudo para .mpeg
Anexa um notebook pronto pra rodar. Ou um perito
Tô revendo essa idéia de enviar ufdr
Esse PDF gerado é triste
Assim... Levei uma meia hora pra explicar, mas entenderam.
Sim! Conversamos aqui e falamos que se eles quiserem podemos gerar pdfs com conteúdos que chegam a varios GB! Aí eles vão reclamar que não conseguem visualizar
Tem que explicar de forma lúdica
Eles ignoram o fato de que não vão consegui fazer o upload de tudo. Passei por esse tópico na conversa também
E expliquei que em outras varas o procedimento era diferente.
Ótimo! Estamos pensando em seguir por este caminho! Porque eles não tem muita noção do que pedem
Exatamente. Estamos pensando aqui em fazer uma visita aos promotores e juízes que mais pedem, pra explicar como as coisas funcionam e quais pedidos são viáveis e inviáveis
Além do que, se convertermos um arquivo já não estamos alterando a prova?
Origem 068 — 26/09/2018 14:39 a 14:39 — Compatibilidade de modelos e métodos de extração no UFED
Pessoal, boa tarde! Alguém já conseguiu alguma extração física com o UFED ou outra ferramenta de aparelho com Android 7.0?
Origem 069 — 27/09/2018 08:57 a 09:34 — Bootloader, desbloqueio OEM e risco de wipe
Consegui extração física com o UFED de um Motorola XT1922-5 via Smart ADB. Foram necessárias VÁRIAS tentativas até o método funcionar e iniciar a extração.
Executando Android 8.0
Também consegui a extração física de Samsung SM-G930FD com Android 7
via bootloader
Consegui com o smart adb, porém acredito que esteja criptografado pq o PA não reconheceu os dados 30GB extraídos :/
https://thehackernews.com/2016/07/hacking-android-encryption.html
eu abri esse link faz um tempo, mas ainda não tive tempo de ler
Se for com chip tem um programa muito bom chamado "cardpeek" http://pannetrat.com/Cardpeek/
Origem 070 — 27/09/2018 10:05 a 10:27 — Compatibilidade de modelos e métodos de extração no UFED
O colega PCF Polastro disponibilizou um PDF, no grupo de e-mails, mostrando como decriptar tais extrações.
Opa Danilo, irei verificar. Obrigado!
Irei dar uma verificada, obrigado!
Bom dia! Quem já fez extração em um Asus ?
O UFED só pegou contatos e imagens do sistema operacional..
O Asus possui alguma configuração específica de segurança?
Alguns modelos tem a opção de Backup User Data no recovery
Origem 071 — 02/10/2018 15:26 a 15:26 — Extração e análise de mensagens do WhatsApp
Colegas. Já faz um tempo que é utilizado um script para carga de exportações para email para um projeto no UFED PA. Está sendo compartilhado para uso de todos. No endereço:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Também existem outros scripts em uso (geolocalizacao de antenas gsm, kff, carga de registro de chamadas em csv, seleção de conversas por periodo especifico, retirada de arquivos zerolenght, relatórios html de whatsapp,etc..) que em breve também serão disponibilzados.
Bom proveito e colaborações.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Também existem outros scripts em uso (geolocalizacao de antenas gsm, kff, carga de registro de chamadas em csv, seleção de conversas por periodo especifico, retirada de arquivos zerolenght, relatórios html de whatsapp,etc..) que em breve também serão disponibilzados.
Bom proveito e colaborações.
Origem 072 — 05/10/2018 16:02 a 16:22 — Extração e análise de mensagens do WhatsApp
Funciona com o android 6?
Tentei aqui, não extraiu nada.. 😩
Extrai sim, mas o [NOME] tem desenvolvido a ferramenta em casa e lá usa Linux!
Então, no Linux, tudo tem funcionado de boa, deve ter dar alguma regressão no Windows, vou ter que testar aqui no Windows!
Tô com um LG-X230ds com android 6, mas o patch de segurança tá bem atual 05/05/2018...
Pode ser isso também ... Vou falar com o [NOME] sobre ...
Tentei alguns app de root (Kingo, Genius, etc), mas não deu certo, então não deu pra fazer a extração física. Dai surgiu a ideia de utilizar o FT pra extrair...
Vou falar com o [NOME] sobre ...
Também tive problemas na extração direta... Acabou dando erro e pedindo a configuração inicial do WhatsApp... Por sorte consegui instalar twrp
Tens o link desse twrp ai?
Me expressei mal.. Eram Samsung aqueles casos...
Não lembro quais modelos... Só quis dizer que consegui dar root pra contornar o wipe do apk
Origem 073 — 15/10/2018 10:27 a 11:15 — Extração e análise de mensagens do WhatsApp
Cito um exemplo prático: semana passada fiz um caso que, num dos celulares, eu havia analisado e já marcado como não tendo nada de interesse... Aí vieram novos quesitos de palavras chave como "camarão", dentre outros bem incomuns, se relacionando à tráfico de drogas...
Quer dizer.. Ia passar batido aqui, não fosse a complementação dos quesitos...
Quer dizer.. Ia passar batido aqui, não fosse a complementação dos quesitos...
Pedem errado! Vem errado!
Tem que ter um trabalho em conjunto
Não é necessário isso, basta limitar a memória da JVM com uma instrução, o manual explica isso.
Não pode entregar o telefone apenas pra perícia e dizer se vire.....
O que temos feito é eliminar informações efetivamente irrelevantes, e organizar as que podem ter algo que seja relevante de forma que facilite a análise do Judiciário e PC
Quesito ao perito: Pegue 3 anos de whatsapp, o código penal e as demais leis penais e procure um fato criminal relevante!
"Tudo relacionado ao crime de furto" 🤦🏻♂🤦🏻♂🤦🏻♂
Aqui vem "tudo relacionado a práticas criminosas"
Pelo menos exclui contravenções😂😂😂
Aqui eu tenho colocado isso no laudo
Diante da ausência de quesitação específica e contextualizada para orientar o trabalho pericial, é fortemente recomendado que a autoridade responsável pelo caso faça a análise completa e criteriosa do material extraído.
Eu tenho um questionamento aqui aos colegas:
A simples extração é uma exame pericial? levando em conta os postulados de criminalística, é correto chamar de laudo pericial, o resultado da extração?
Pior: E a análise de conteúdo indexado? Pode ser chamado de laudo pericial?
Aqui chamamos de Laudo pra dar contabilidade à produção da seção. Porque se fossemos considerar só o que de fato possui forma técnica de Laudo, a disparidade seria muito grande..
Extração ou análise de vinculo, tudo sai como Laudo.
com relação ao erro “out of memory”, as recomendações do manual Não funcionam Danilo, tentei todas as variações possíveis, e não deixava de dar o erro. Na relação de novas funcionalidades da versão 3.14.4, o próprio Nassif, dono do Iped, pontua lá : “resolução do erro out of memory”, daí ficou um aço, ferramenta maravilhosa, sem precedentes, um bilhão de vezes melhor e mais eficiente que o venerável FTK, ainda bem que nós, principalmente dos ICs estaduais, podemos contar com um colega como esse, que não hesita em fazer o compartilhamento de algo assim.
Se houver a necessidade de conhecimento técnico científico, é exame pericial.
Se você pensar: "mas é só apertar uns botões..." isso também se aplica a exames genéticos, que é "só" colocar no sequenciador...
Se você pensar: "mas é só apertar uns botões..." isso também se aplica a exames genéticos, que é "só" colocar no sequenciador...
Se o exame é só extração, geralmente é pq só foi solicitado isso. Ou foi solicitado o mundo
Questionei em relação a doutrina de criminalística!
*I. Laudo Invariante*
O conteúdo do laudo independe do perito que o produziu.
*II. Conclusões Independentes*
As conclusões obtidas independem dos meios utilizados para alcançá-las. Ou seja, utilizando a técnica A ou a técnica B, as conclusões, ou o resultado final, devem ser equivalentes.
O conteúdo do laudo independe do perito que o produziu.
*II. Conclusões Independentes*
As conclusões obtidas independem dos meios utilizados para alcançá-las. Ou seja, utilizando a técnica A ou a técnica B, as conclusões, ou o resultado final, devem ser equivalentes.
Uma extração realizada pelo XRY é diferente da realizada pelo UFED
Se for feita análise, aí sim que fica subjetivo, cada pessoa vai interpretar da maneira que sua experiência deixar!
Acredito que a simples aplicação de conhecimento técnico científico fica muito vago! Até o policial na hora do registro da ocorrência precisa de certo conheçimenro técnico- científico (no caso jurídico) para tipificar o delito!
Há também técnica e ciência na Investigação.
Para mim claramente exige conhecimento técnico-científico. Concordo com o Lange que é exame pericial sim.
CPC: Art. 145. Quando a prova do fato depender de conhecimento técnico ou científico, o juiz será assistido por perito, segundo o disposto no art. 421
O juiz já é perito em direito. Ele não precisa de ajuda...
O que independe de conhecimento técnico pode ser avaliado de plano pelas partes e juiz.
Por isso que tipificação não cabe ao perito. Verificar "Imagens sobre tráfico de drogas" não cabe ao perito criminal, mas ao técnico do direito.
Origem 074 — 15/10/2018 20:22 a 23:56 — Root e extração em SMARTPHONES
Boa noite pessoal! Estou respondendo uns quesitos feitos pelo advogado de defesa e estou com uma dúvida...
h) É possível afirmar se entre a data em que os aparelhos celulares, utilizados pela vítima, foram entregues à Agente Ministerial no dia xx/xx/xx (fl. xx), e a confecção do Laudo Pericial nº. xxxx/xxxxx (fls. xx/xxx), houve a manipulação, inserção, exclusão de dados etc. colhidos dos equipamentos periciados?
h) É possível afirmar se entre a data em que os aparelhos celulares, utilizados pela vítima, foram entregues à Agente Ministerial no dia xx/xx/xx (fl. xx), e a confecção do Laudo Pericial nº. xxxx/xxxxx (fls. xx/xxx), houve a manipulação, inserção, exclusão de dados etc. colhidos dos equipamentos periciados?
durante a extração, sabemos que o próprio UFED instala app e acaba deixando alguns registros
ja passaram por isso?como proceder?
Nunca passei... Mas estou querendo que perguntem, principalmente os que vão primeiro para o MP...
[NOME], considerando o escopo normalmente relevante pra investigação e pra justiça, que são os aplicativos e as informações de usuário, compostos por tabelas Sqlite integrando suas bases de dados, tais tabelas são plenamente auditáveis a qualquer momento que se queira, portanto eu diria que sim, que é possível afirmar se determinada informação foi inserida após a apreensão do dispositivo. Quanto aos outros itens de firmware, manuseados pra possibilitar o acesso aos dados de usuários, tais como um apk do UFED, ou um recovery customizado que inserimos, tais itens não fazem parte do escopo do quesito, por não serem considerados informações ou aplicativos de usuário. É mais ou menos essa abordagem que o Iped faz, distinguindo bem o que é informação de usuário do que é informação de sistema (informações de firmware, no caso de smartphones).
Obrigado [NOME] também, me deu uma ajuda aqui
Algum twrp e Super SU ou método pra realizar o root ou extração física compatível com o dispositivo da imagem?
Esse eu tenho [NOME], amanhã te mando, normalmente eu ainda estaria no trabalho nesse horário, mas hoje tirei uma folga à noite.
Obrigado! Tranquilo! Bom descanso. Aguardo amanhã.
Complementando as palavras do Sr. [NOME], acho interessante acrescentar , caso seja questionado , a comparação da instalação de "aplicativos forenses" para obtenção dos dados do usuario, com a entrada de um perito em um local de crime fechado para coletar vestigios. A alteração afetaria espaços não alocados ou partição de sistemas, mas não prejudicaria a prova: dados dos aplicativos do usuário.
Origem 075 — 17/10/2018 14:26 a 15:15 — Extração e compatibilidade em Samsung SMARTPHONES
É possível responder ao quesito n. 2?
Acho que cabe a autoridade solicitar essa informação a partir do IMEI
Para as operadoras
Veja que eu falei, eu acho haha
2. Tem alguns smartphones que guarda essa informação
IPhone e alguns Android. Mas é melhor solicitar operadora. Vai que a informação que ele quer não foi registrada.
Vcs solicitam direto a operadora?
Onde fica armazenada essa informação no Android?
Na extração tem IMSI
Isso, eu coloco no laudo
Iccid e imsi
ICCID Search in UFED Physical Analyzer
ICCID. Confundir aqui.😁
Também já vi isso em relatório, mas não coloquei no Laudo afirmando que o número era aquele... apesar de ser um forte indício
vou tentar achar em alguma extração aqui como ele categoriza essa info
Origem 076 — 24/10/2018 11:25 a 11:33 — Compatibilidade de modelos e métodos de extração no UFED
Não se preocupem muito, estarão com nível de segurança que não permitirá extração!
Ainda bem que temos pessoas sempre positivas por perto
Aqui no Ceará está ficando mais frequente casos de celulares que não conseguimos fazer a extração!
Bom que sobra tempo pra fazer o passivo
Origem 077 — 25/10/2018 15:50 a 17:04 — Bootloader, desbloqueio OEM e risco de wipe
Senhores(as), boa tarde. Cuidado com o Aparelho SM-J250M. Conhecido como J2 Pro. Fiz a extração lógica. Quando fui fazer a física, tinha a opção advanced generic adb, mas sem sucesso devido ao patch de segurança. Ai fui tentar rootea-lo e deu caca. Briquei o aparelho, o twrp não é confiável, pelo menos o que peguei. Ai fui consertar o aparelho, ai agora está novinho como veio da fábrica. Lá vai eu digitar um monte para explicar esse ocorrido ao juiz, ainda to pensando se fico calado ou não. Fica a dica, esse 250M é perigoso.
Provavelmente é a questão da memória codificada...
Android 7.0+?
Tá morta a lebre..
Aqui caímos poucas vezes nessa armadilha antes de saber sobre a codificação
estranho porque so SM-J200 faz
Agora não fazemos mais root desses
então a partir do android 7 corre serio risco de perder os dados
Sim, mas não é a versão do Android somente.. É a codificação da memória...
Pelo que um colega explicou, não lembro quem, alguns já vem de fábrica criptografados
Esse é do meu aparelho mesmo... Moto Z play 1ª geração
Mas eu ativei manualmente...
Parece que até tem como desativar, mas daí requer wipe de qualquer forma...
uma merda. rs. Como era sucesso no SM-200 ai não olhei isso e salci fufu
Não, nem fale... Eu tomei uma invertida de um G600F
acho que todos que são android 8 já são setados assim
Já tinha feito vários antes com CF auto root
Não saberia afirmar, mas não diria ser improvável
Mas daí acabei resetando
Mesma caca com um S6 Edge
Fiz a extração de um SM-J250M semana passada com sucesso. Foi realizado a extração física, método bootloader do modelo sm-j250f
o aparelho estava com ANDROID 7.1.1 e PATCH SEG: 01/07/2018
ufed touch?
procurei agora e nao encontrei
4PC
nossa atualização está vencida
Maioria dos LG vem codificado tb
Ocorreu isso comigo segunda. Fiz primeiro a extração lógica. Já tenho um texto simples e objetivo explicado esse fato.
se puder me passar eu agradeço
Qual o seu e-mail?
ainda mais sabendo se a ferramenta estivesse atualizada poderia dar certo
[EMAIL]
Aqui em MT já tivemos vários fatos iguais a esse, se puder mandar para mim também [NOME], ficaria grato.
[EMAIL]
está cada vez mais desafiador conseguir fazer uma extração física nos dispositivos móveis
Tbm queremos, [NOME]. 👍 [EMAIL]
Certo. Em no máximo 2h envio o texto para todos.
Ótima ajuda!
[EMAIL]
[EMAIL]
Foi o que falei, daqui a um tempo só faremos perícia em aparelhos apresentados espontaneamente, por exemplo no caso de vítima que quiser comprovar o crime de terceiros.
Creio que as empresas que fornecem serviços e produtos voltados a uso forense tenham ciência disso, e se reinventarão para continuarem no mercado... A questão é se será em tempo razoável...
Se puder enviar para [EMAIL] agradeço
Aqui também, por gentileza [EMAIL]
<Mídia oculta>
Falha do sistema opericoanl ou perda de dados.docx
Falha do sistema opericoanl ou perda de dados.docx
Segue o arquivo com algumas possibilidades: 1) corrompeu o sistema operacional e houve perda de dados; 2) corrompeu o sistema operacional mas não houve perda de dados (aguardar um método eficaz para realizar o root).
Pessoal estou com um Motorola xt1792
Que quando aperto o botão ok aparece a seguinte mensagem:
Que quando aperto o botão ok aparece a seguinte mensagem:
O telefone está codificado
Origem 078 — 26/10/2018 12:21 a 13:40 — Root em dispositivo Android para extração pericial
Alguém já conseguiu Root em dispositivo Multilaser, modelo MS45S, com android 6?
Vc tem xry?
Dá pra fazer extração física usando o generic da mediatec
Só ufed
Sim. Eu fuz ele. Usa ZTE GSM generic android
<Mídia oculta>
Feito recente
Feito recente
Opa beleza
Origem 079 — 30/10/2018 12:10 a 14:35 — Bloqueio FRP e conta Google em dispositivo Android
Funciona com o dispositivo desbloqueado?
BLOQUEADO
não, precisa estar desbloqueado e com adb debug ativo
Acredito que não, tendo em vista o adb
Ah sim.. é possível verificar também nos ajustes, opção segurança..
Se não me engano..
[NOME] Androids 7 não são rooteáveis, eles nos obrigam a desbloquear fisicamente o bootloader, o que fatalmente apagaria tudo. A solução temporária seria twrp, quando, e somente quando não for criptografado. Algumas versões não criptografados trazem um novo bloqueio no firmware, imposto pela Samsung, além do frp lock, que impede a gravação da recovery customizada, mas esse novo bloqueio pode ser superado se deixarmos o telefone ligado por 7 (sete) dias, sem desligar ou reiniciar, daí já é possível gravar o twrp, e, caso não esteja criptografado, consegue fazer o backup via twrp ou o dump via dd.
Boa tarde, colegas!
Estamos com um
SM-J500M
Android 6.0.1
Modo de bloqueio: Padrão
Tentamos o desbloqueio pelo UFED e quando o aparelho reiniciou apareceu a seguinte mensagem:
verificação de integridade falhou.
Ao reiniciar o aparelho, ele entrou em modo download e avisou que estava resetando!
Tentamos fazer a física por contorno de bloqueio e não veio nada!
Alguém tem alguma ideia do que possa ter ocorrido?
Estamos com um
SM-J500M
Android 6.0.1
Modo de bloqueio: Padrão
Tentamos o desbloqueio pelo UFED e quando o aparelho reiniciou apareceu a seguinte mensagem:
verificação de integridade falhou.
Ao reiniciar o aparelho, ele entrou em modo download e avisou que estava resetando!
Tentamos fazer a física por contorno de bloqueio e não veio nada!
Alguém tem alguma ideia do que possa ter ocorrido?
Mas vc conseguiu fazer a física pelo contorno ?? Fez até o fim ??
Fez até o fim! Não veio nadinha
Já tentou abrir no modo avançado do PA?
Deve tá criptografado
Esse está criptografado 😢
Verifiquei com o comando passado pelo [NOME]
Naty tive exatamente esse mesmo problema no fim de semana, tomei um enorme susto, dado o J5 ser mais comum do que pão aqui pelas minhas bandas, e eu já ter feito mais de mil, imagino. O teu procedimento ainda foi menos invasivo do que o meu, o que não era, absolutamente, pra ter ocasionado esse problema. Uma das possibilidades que imaginei aqui foi que, o pessoal da delegacia ao apreender o telefone, deixou ligado na rede, e o mesmo sofreu alguma intervenção remota, que ao reiniciar, que foi exatamente o que aconteceu com o meu aqui também, já veio com essa mensagem de falha de verificação, possivelmente por um apagamento remoto, que acontece aos montes em telefones que recebo por aqui. Já passei a mensagem pra delegacia e disse sobre o fato do telefone não ter sido colocado em modo avião. É uma possibilidade que pensei, em razão de fazermos sempre esse modelo e nunca ter dado problema. Pelo que entendi eu acho que a essa altura ele já detonou a partição de dados. Por conta desse susto, todo J5 que faço agora, gravo o twrp e faço o backup antes de fazer qualquer outra coisa, quando está desbloqueado, no seu caso não teria dado pra ter esse cuidado, em vista desse telefone vir com bloqueio frp ativado. No fundo Naty, acho que os dados já foram embora, mas o problema também seria evitado, se ele tivesse sido colocado em modo avião, se minha suspeita estiver correta. Por que pelo motivo de estar criptografado, não sei se seria razão pra ter dado esse erro, mas, de qualquer forma, vou ser mais atento nesses modelos, daqui pra frente.
Ótimo resumo 👏🏼👏🏼👏🏼
Se conseguíssemos organizar tudo isso em um Wiki ou algo parecido seria sensacional
Se conseguíssemos organizar tudo isso em um Wiki ou algo parecido seria sensacional
Acho que encontramos o problema
<Mídia oculta>
Tentei!
Tentei!
É possível que seja pela criptografia, de qualquer forma, se conseguir gravar a twrp, em aparelhos que vierem travados, dessa família, dá pra ver se é criptografado ou não, observando a partição de dados, caso ela seja informada com tamanho zero, na opção de backup da twrp, então ela é criptografada. Sendo, temos que tentar outras saídas, como, por exemplo, remoção temporária do padrão de desenho, possível em algumas versões de lg, através de box, quando se tratar de Androids 6, ou a opção Partial File System do cellebrite. E se o aparelho estiver com a criptografia habilitada, não tem como fazer extração física, por que pra remover a criptografia teria que formatar o telefone. De qualquer forma Naty, acho que esses dados foram embora, pq tentei de todas as formas possíveis, reestabelecer o sistema operacional pra ele voltar à vida, e não consegui.
Uma pergunta, você tentou desbloquear a senha dele na opção “Samsung GSM”/“Generic Android”/“Desativar/reativar bloqueio de usuário” do cellebrite ?? Foi isso ??
Origem 080 — 09/11/2018 11:46 a 12:10 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Bom dia! Alguém já fez extração dessa marca? Modelo: Platinum 5.0+
Bom dia! Alguém já fez extração dessa marca? Modelo: Platinum 5.0+
Fiz ontem de um 5.0W
Pelo XRY... Pegou física direto, inclusive... Deu root via Kingo Root, aí pude até jogar os arquivos pra gerar relatório do WhatsApp no Forensic Tools
Tava bloqueado?
Origem 081 — 09/11/2018 15:33 a 15:38 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa tarde, alguém já conseguiu extrair Whats de um Samsung J530g desbloqueado?
O UFED disponível na seção nem tem esse modelo
Origem 082 — 12/11/2018 14:07 a 14:09 — Extração e root em dispositivos LG
Já conseguiram desbloquear, identificar a senha ou extrair o dispositivo informático LG k430TV?
Já tentei inúmeras vezes os métodos disponíveis no UFED mas não obtive sucesso.
Verificou se tem bkp userdata?
Boa tarde! Já realizei uma extração física nele com contorno de bloqueio apontando para o K410F e no PA quando, pediu a senha, apontei para um arquivo de senhas.
Não. Irei verificar.
Origem 083 — 26/11/2018 10:47 a 11:25 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Bom dia! Não há possibilidade de extração física para esse aparelho. Android 7 com particao do usuário criptografada. No ofício, em resumo, veio solicitando acesso ao conteúdo do WhatsApp. Pensei em montar o relatório com a ferramenta disponibilizada Aqui. No entanto, ao atualizar a data do aparelho aparece essa mensagem. Alguém sabe como resolver? Instalando uma versão mais nova resolve ou irá passar a pedir o código de acesso enviado por SMS?
Bom dia! Não há possibilidade de extração física para esse aparelho. Android 7 com particao do usuário criptografada. No ofício, em resumo, veio solicitando acesso ao conteúdo do WhatsApp. Pensei em montar o relatório com a ferramenta disponibilizada Aqui. No entanto, ao atualizar a data do aparelho aparece essa mensagem. Alguém sabe como resolver? Instalando uma versão mais nova resolve ou irá passar a pedir o código de acesso enviado por SMS?
Cara se esse aparelho estiver muito tempo aguardando a perícia, corre o risco do proprietário já estar usando a conta em outro dispositivo. No momento que vc conectar ele na rede, ele pode dizer que está fora da conta.
Não iria conectar na rede, jamais.
Ou pior se vc conectar na rede e receber mensagens posterior a prisão, pode ser interpretado como interceptação de dados telemáticos
E anular toda a prova
O que eu pensei foi em baixar o apk, colocar em um cartão e atualizar
Já pensou em mudar a data do aparelho pra algo próximo ao dia da atualização
Não sei se vai funcionar
Mas o negócio é isso, se não funcionar a data não tem outra alternativa!
Toda vez que apareceu isso a gente conseguia extrair mesmo assim
Mas nao era Android 7.0
Sim, se rolar a extração física não há problema
Aqui sempre funcionou mudar a data para alguns dias antes... Geralmente uns 15d antes já resolve.
Normalmente faço assim: mudo a data, aí seleciono pra fechar todas as abas
Opa
Senão pode ser que ele não reconheça
Reiniciei e deu certo
Alterei a data para próximo e reiniciei
[NOME], uma vez eu sem querer resolvi isso fazendo uma extração no ufed tipo apk downgrade. A extração não funcionou, mas o whatsapp ficou acessível.
Isso.. Tbm dá... Mas na próxima tenta só fechar as abas do Android que deve funcionar...
Eu costumo colocar a data da instauração do inquerito.
Pior que não tem esse modelo no UFED. Mas valeu, deu pela data.
Blza. No meu caso, pela simples alteração da data não funcionou.
Eu costumo ver a data de lançamento da versão instalada no aparelho e mudo para essa. Geralmente dá certo
Origem 084 — 26/11/2018 13:21 a 13:21 — Compatibilidade e extração em dispositivos Samsung Galaxy
Galaxy J7 Pro. Alguém já fez a extração física?
Origem 085 — 27/11/2018 13:03 a 13:23 — Extração e decodificação de bancos do WhatsApp
boa tarde. fiz uma extracao de um Samsung GSM SM-G531H Galaxy Grand Prime. Estava bloqueado. Consegui pelo UFED apenas a extração parcial de sistema de arquivos. Ela trouxe o arquivo msgstore.db.crypt12, porém o PA não fez o parser das conversas. Suponho que o motivo foi que a extração não trouxe a chave da cripto do whatsapp.
será que é isso mesmo?
Nesse site tem arquivos twrp que inclusive fazem root
E alguns modelos mais antigos ele até "burla" o frpl
Tipo esse modelo que tu falou
Eu lembro de já ter feito alguns desses modelo
Aí vc pode dar um zip naquele arquivo que remove senha
Eu nunca consegui burlar o FRP com auto root... Sempre dependeu de estar off pra funcionar 😕
E fazer uma extração completa
hum. vou tentar. como eu vi q esta com FRP habilitada, pensei que nao rolava.
Logo que saiu o frp esse site ajudou
ja fiz um g530 ..o ufed desbloqueou
Mas os casos mais novos já corrigiram o problema
Só anota o número de copilação do android
Se der brick vc pode corrigir
Origem 086 — 03/12/2018 16:56 a 21:19 — Extração e análise de mensagens do WhatsApp
Positivo S430. Alguém já conseguiu extrair? Aparelho desbloqueado.
POSITIVO S455 -> PDAS/IPHONES GENERIC ANDROID -> LÓGICA e FÍSICA (Advanced ADB)
👍👍👍 vou tentar Obg
Em Minas, os Peritos recebem 40% de Risco de Contágio. Uma lei de 1997 que imitou dos Legistas que já recebiam desde o governo militar, se não me engano. Os Peritos conseguiram isso porque em 1997 teve uma bagunça na Polícia Militar que acabou com a morte de um cabo (cabo Valério, para quem quiser pesquisar no Google). Aí, depois da bagunça o governo fez uma grande reestruturação nas carreiras da segurança pública. Nessa, os Peritos conseguiram passar os 40%.
Pelo que vi a maioria conseguiu administrativamente, estava procurando saber de algum estado que conseguiu de forma judicial... Pois aqui no Ceará a gente nunca consegue nada administrativamente
Não achei essa opção no Ufed Touch
Você vai no Smartphones -> Generic Android
Esse Positivo S455 foi compatível utilizando essa opção
👍👍 vou tentar novamente
Problema é o patch de segurança. Fev 2018. Android 6
Dei uma lida. Muito interessante esse caso. Pior foi a família receber pensão só depois de 4 anos.
Eu gostaria de dizer que sim... ou que não. Mas nem temos Cellebrite. Até o "não" o Estado nos nega 😭
https://www.metrojornal.com.br/estilo-vida/2018/12/03/whatsapp-pode-limitar-criacao-de-grupos-no-app-e-insercao-de-contatos.html
Mesmo assim, dá para fazer o APK downgrade via File Sustém no UFED, nos Smartphones/PDA
E aí dá para pegar WhatsApp, Messenger etc
É um processo meio arriscado, pois pode apagar as contas desses apps
Recomendo dar um voto no UFED
Recomendo dar um boot no UFED sempre antes de iniciar um apkdowngrade
🤦♂🤣🤣 vou arriscar
Após o chip-off imagino que só existe encontrar água em marte
Mas confesso que já fiz algumas vezes com sucesso
É arriscado mesmo. Mas tivemos bastante sucesso quando damos um boot antes
Só teve um caso que deu pau
E n voltou a pasta do WhatsApp
Origem 087 — 04/12/2018 15:08 a 15:08 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde, meu povo. Alguma solução nesse sentido? Estou com um caso parecido... Não há como fazer extração física...
Origem 088 — 10/12/2018 09:22 a 09:42 — Extração e decodificação de bancos do WhatsApp
Estando com root você poderia pegar a chaves e descriptografar os bancos manualmente, não?
Mas isso só resolve o WhatsApp. Quero a extração completa. Vou partir para dd no Linux
Origem 089 — 10/12/2018 14:05 a 17:24 — Conexão USB, ADB e diagnóstico de porta em Android
DD no Linux deu certo, e a extração foi bem rápida.
Show!
Agora é só alegria!
Agora é só alegria!
A cópia desse dd é compatível com o PA?
O DD faz uma cópia integral da memória. Então no PA vou no abrir avançado, escolho o dispositivo
escolho essa última opção
aqui seleciono o Image
Oq seria esse DD no Linux [NOME]?
E qual Linux tb, ajude um Noob 😬
Eu ia fazer a mesma pergunta
Mas fiquei com vergonha
a extração abre assim
https://www.linuxdescomplicado.com.br/2016/11/alguns-exemplos-de-que-o-comando-dd-pode-ser-considerado-umas-das-ferramentas-mais-versateis-do-linux.html
Dêem uma lida sobre o dd
DD é um comando para cópia de volumes. Ele pode fazer o espelhamento das partições.
Massa, vou ler o artigo, parece interessante
Legal , funciona em grande parte dos aparelhos ?
como internamente o android é um sistema Linux, você tem o comando DD nativo nele
Qualquer um com root.
A questão de fazer o espelhamento no linux, é porque se você fizer via Windows dá um problema na codificação dos caracteres, o que acaba corrompendo a cópia.
Legal [NOME], obrigado pelos esclarecimentos!
Dd costuma vir em todas as distribuições linux
Eu uso uma máquina virtual ubuntu 14 para mandar os comandos. Mas acredito que qualquer distro linux deve resolver.
Se o celular aceitar cartão dá para copiar a memória interna para o cartão assim, ou com algo similar
dd if=/dev/block/mmcblk0 of=/external_sd/data.dd
depende de como ele monta o cartão
Se não aceitar cartão, dá para copiar para o próprio linux assim: adb shell "dd < /dev/block/mmcblk0" > dd.dd
Muito massa, valeu por compartilhar o conhecimento!
ah, no windows também dá certo usando o Cygwin
https://forum.xda-developers.com/showthread.php?t=1818321
Leiam isso aqui, foi meu ponto de partida para os estudos sobre isso.
Mas com o cygwin precisa instalar o busybox também, acredito 🤔
Um dos melhores _howto_ do XDA!
O problema aqui tá sendo justamente rootear aparelhos com Android 7
Vcs tem conseguido?
As últimas tentativas aqui sempre causaram o wipe do celular
Se ele estiver com criptografia habilitada, nem tente.
Esse que eu fiz agora estava no 5.1
Eu já tinha tentado fazer isso com o smart switch backup, mas tinha esbarrado na validação dos softwares no novo dispositivo, uma vez que o cara já foi solto e tinha habilitado a linha em outro plástico, se essa aplicação funcionar vai dar de pegar tudo, já tenho um outro telefone com Android 7 rooteado só esperando, maravilha, parabéns. Vou testar, se der certo aviso.
Legal. Esse da oneplus aceita até que o aparelho não seja necessariamente da oneplus. Não sei se funciona se ambos não forem oneplus, mas pelo o que entendi, não é exclusivo entre aparelhos oneplus.
Pensei em testar depois colocando a aplicação em um emulador.
Aí os caras acham que é só esperar o celular na USB e vomitar os dados 😒
Pois é. Até apelidam o UFED de chupa-cabra
“É só copiar os dados, rapidinho..”
O coordenador aqui fica pedindo para a gente só fazer a extração rapidinho.
Cara, bom ver se a vítima tinha aceesso a um outro dispositivo que possa ter essa senha tipo pc do trabalho delA... Mas tá mto esquisito essa alteração de senha!
Origem 090 — 11/12/2018 13:04 a 13:05 — Compatibilidade e extração em dispositivos Samsung Galaxy
bom dia, alguem já conseguiu extração do aparelho Samsung GT-E1263B?
é um modelo simples da linha Trio, sem android
*Trios
Origem 091 — 12/12/2018 19:16 a 19:16 — Esse cara é de uma família criptografada, o UFED até faz a física
[NOME] esse cara é de uma família criptografada, o UFED até faz a física dele mas não consegue ler nada, esse aí dá pra desbloquear temporário com a box “Falcon”.
Origem 092 — 13/12/2018 06:21 a 06:21 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia! Alguém poderia verificar, por favor, se no UFED atualizado, na extração física por bootloader, continua essa limitação do patch de segurança de maio de 2017 nos Motorolas XT1621 e similares?
O nosso UFED está na versão de junho ainda...
Origem 093 — 13/12/2018 09:15 a 09:19 — O UFED atualizado
Alguém tem o UFED atualizado?
Conseguimos fazer o trade-in aqui no RJ.
Vou repassar a mensagem pro pessoal.
👆Opções disponíveis no ufed atualizado
Para o modelo mencionado
é, continua só até maio
Origem 094 — 13/12/2018 14:07 a 14:35 — Extração e análise de variantes do WhatsApp
Pessoal, alguma dica para extração do Gbwhatsapp?
Será que aceita downgrade
Vi aqui que ele grava sem criptografia então basta abrir em um visualizador
Origem 095 — 17/12/2018 20:27 a 20:29 — Tá com cara de ser algo tipo o Android View Client
Tá com cara de ser algo tipo o Android View Client. https://github.com/dtmilano/AndroidViewClient
Aqui no DF utilizamos scripts do AVC que automatizam essa extração manual.
Origem 096 — 17/12/2018 21:13 a 21:23 — Extração e análise de mensagens do WhatsApp
Vocês poderiam compartilhar estes scripts?
👍 amanhã envio aqui
Na verdade usamos 3 para extração. O com Android View automatiza a interação de exportação, o APK spitools pega o WhatsApp sem perder dados e o script do [NOME] população a extração no Ufed.
Origem 097 — 18/12/2018 14:19 a 15:28 — Extração e análise de mensagens do WhatsApp
Boa tarde pessoal. Vcs sabem se é possível processar de forma simultânea mais de uma imagem no IPED?
<Mídia oculta>
SPIWhatsAppExtracaoManual.py
SPIWhatsAppExtracaoManual.py
Boa tarde. Segue o script que utilizamos pra realizar a extração manual do WhatsApp.
Tem que ser adaptado pra cada aparelho.. estamos trabalhando em uma versao mais genérica.
<Mídia oculta>
Novo parque......só para os nerds
Novo parque......só para os nerds
Hj tava ouvindo uns áudios
O cara levou a droga errada aí mandou áudio dizendo pra não mexer que assim que ele saísse da igreja ia lá trocar
Origem 098 — 19/12/2018 07:56 a 08:56 — Compatibilidade de modelos e métodos de extração no UFED
Pessoal, bom dia.
Alguém já se deparou com uma máquina dessas para exame referente a jogo do bixo?
Sabem algum procedimento para extrair dela dados que comprovem as apostas ou algo para a configuração da contravenção?
Alguém já se deparou com uma máquina dessas para exame referente a jogo do bixo?
Sabem algum procedimento para extrair dela dados que comprovem as apostas ou algo para a configuração da contravenção?
Dá uma olhada nesse conteúdo que o colega da PF passou
Veja se tem alguma informação sobre esse modelo [NOME]!
Mas isso e novidade pra mim!
<Mídia oculta>
Especificações Pinpads
Especificações Pinpads
Impressionado que não botou faser
Top 25 piores senhas de 2018
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
![MENCAO];*
charlie
aa123456
donald
password1
qwerty123
Via SplashData
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
![MENCAO];*
charlie
aa123456
donald
password1
qwerty123
Via SplashData
Origem 099 — 28/12/2018 11:43 a 15:03 — Bootloader, desbloqueio OEM e risco de wipe
todo esse trabalho para fazer a extração física, aí o ufed diz que os dados do usuário estão criptografados...
Já é um clássico 😞
pior que é android 6, eu até procurei se estava com criptografia, mas não achei em lugar nenhum
Só pra descontrair. Final de ano. rsrs
Complicado! Já fiz algumas extrações desse modelo, mas não recordo que estava criptografado. Já ocorreu que formatou.
Nos Android 6, se o FRPLock estiver Off, geralmente funciona.
Já realizei o root de alguns através do CF-Auto-ROOT
vc pode baixar neste link: https://desktop.firmware.mobi/
OBS: DESABILITAR A OPÇÃO AUTO-WIPE NO SITE ANTES DO DOWNLOAD DO ARQUIVO DE ROOT.
eu tentei por esse mas estava dando erro
recovery is not seandroid enforcing
Lembrando que só é possível para algumas complicações, pode travar ou formatar o SO.
Aqui tem o twrp e o cf auto root.
Esse modelo é criptografado, dd ou extração física não funfa, se estiver rooteado dá pra entrar no prompt do adb e copiar toda a pasta /data para o cartão de memória, equivale a uma extração física mas consegue acessar os dados, que já estão descriptografados pra serem usados em tempo real, depois processa no PA pela opção de Android File System Content. Como observação importante, se ele ainda não estiver rooteado e o firmware for de 2018, eu aconselho retroagir o firmware pra 2017, pra escapar de uma alteração recente que simplesmente compromete o funcionamento e o acesso definitivo a qualquer informação armazenada,, quando o aparelho é criptografado.
Pois é... Entro no sistema agora e todas as aplicações estão dando force close porque perderam acesso ao banco de dados
Ele está com uma build de junho de 2018
Depois desse eu prometo que não faço mais root em celular de caso importante sem um igual para teste antes...
Android 6 com bootloader mais novo já tem cifragem padrão da userdata mesmo sem senha de usuário explicitamente definida
Origem 100 — 03/01/2019 16:39 a 16:59 — Extração e análise de mensagens do WhatsApp
Que cruzeta que o UFED tava fazendo comigo... O delegado disse que tinha um áudio importante, mas nem na extração lógica e nem na sistema de arquivos encontrei áudio relevantes. Eu fiz a cópia da pasta do Whatsapp conectando o celular no computador, e dentro da pasta Voice Notes encontrei centenas de áudios que o UFED não trouxe... Inclusive o importante.
Não estava nos arquivos não classificados?
nem na lógica, nem na sistema de arquivos
Comparando com a Whatsapp que eu copiei direto do celular, ele extraiu só parte dos áudios enviados. Ufed trouxe 17 áudios, mas na pasta de áudios enviados são 23. Recebidos tem mais 32. E na pasta Voice Notes tem 1848 arquivos 😥
Confiança 0 na extração lógica e sistema de arquivos do UFED a partir de agora...
Todos esses áudios existiam as respectivas mensagens nos quais são anexos?
Erro grave esse aí
Não consegui a extração física, para fazer o WhatsApp.
É ainda desse mesmo celular que não deu certo a extração física.
Mas mesmo sem as mensagens, era para ter reconhecido os arquivos de áudio.
Sim. Pelo menos cair nos não classificados pela extensão
Já aconteceu comigo!! Eu escutava os áudios diretamente no celular e não encontrava os arquivos em nenhuma extração 😓
Já tive problemas graves com ufed. Vale a pena abrir um chamado. Eles arrumam depois de um tempão
Agora tem que ter uma paciência para explicar o erro. Dá ultima vez eu gravei um vídeo mostrando o erro para entenderem
Mas nem podemos abrir chamado... nossa licença expirou em junho 🙁
Origem 101 — 11/01/2019 16:02 a 16:07 — Parece que ele roda Android 6 e a cpu é uma snapdragon MSM8952
Tivemos um no plantão aqui
Hahahahaha! Como é possível?
Parece que ele roda android 6 e a cpu é uma snapdragon MSM8952. Acho que pode ser que tenha vulneravilidade de extração física pelo SOC
Tem camera térmica né. Isso funciona legal?
Isso que estou vendo. Não o liguei ainda. Vou mexer nele na Segunda.
Mas eu tava doido com uma câmera térmica há uns anos.
Origem 102 — 23/01/2019 10:12 a 10:28 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia. Tenho um Samsung SM-G610M (J7 Prime), bloqueado por senha alfanumérica. Alguém sabe alguma coisa que possa fazer além de devolvê-lo? Não consigo nem desliga-lo sem a senha.
A magnetics diz que tem uma recovery para ele...
Ele tá com frp lock?
Acabei de olhar o modelo no UFED. Eu devolveria.
aqui não conseguimos fazer nada para esse modelo estando bloqueado e com android 7 =/
Se não me engano, o G610F tem uma extração física via bootloader. Mas tem que ser android 6..
vc sabe a data do patch de seg?
Desliga pelo recovey
Origem 103 — 24/01/2019 15:08 a 16:30 — Extração e root em dispositivos LG
Boa tarde, só para avisar que finalmente consegui fazer a extração fisica do LG X230ds.
Foi através do XRY 7.10.
Foi através do XRY 7.10.
Conseguiu fazer a física?
ai peguei o .xry e abri no PA.
Não sabia q era possível
Boa tarde, alguém já conseguiu fazer carving em dvr da marca giga?
É possível abrir até pelo IEF ou Axiom.
Mas vc edita o arquivo?
Não. Se houver um binário descriptografado, o IEF ou Axiom abre passando esse.binário. O Physical Analyzer também o faz
Mas tem que passar informando que é um binário RAW
Que beleza! 👌🏼
Objetivo da perícia: verificar em arquivos de arquivos de áudio conteúdos que possuam relação com facções criminosas e tráfico de drogas.
Objetivo da perícia: verificar em arquivos de arquivos de áudio conteúdos que possuam relação com facções criminosas e tráfico de drogas.
Pior que esse é tortura de policial.
Já peguei um caso que o cara gravou um áudio no momento da tortura e enviou para um outro integrante do PCC falando que tinha matado um e estava batendo no outro.
Para modelo tb é possível fazer o BACKUP USER DATA
e abrir no PA
Origem 104 — 25/01/2019 07:08 a 07:36 — Gente. Como vcs fazem quando não é possível a extração devido ao Pack
Bom dia gente. Como vcs fazem quando não é possível a extração devido ao Pack de segurança?
O UFED só faz com Pack até nov/2016 É o Pack do aparelho é de jul/2017
Se puder a lógica, se não só devolvo
Até o Android 6 é possível fazer downgrade
E retornar para o patch mais antigo
Origem 105 — 31/01/2019 12:58 a 12:58 — Extração e limitações em Motorola XT1524
Alguém aqui já fez extração física do Motorola xt1524
Origem 106 — 01/02/2019 13:04 a 13:43 — Extração e compatibilidade em Samsung SM-G570M
Estou tentando extração no Samsung SM-G570M. E tenho estás mensagens no aparelho e no Ufed
Aparece mensagem (Em baixo) quando clico em ok.
é alguma aplicação com permissão de desenhar por cima das outras aplicações
em apps e notificações, a última opção, algo como acesso especial dos aplicativos
Origem 107 — 04/02/2019 14:46 a 15:16 — Extração e compatibilidade em Samsung SM-J105B
boa tarde, acabei de extrair um SAMSUNG SM-J105B/DL com senha. Tem a opção de extrair sistema de arquivos, achei estranho porque não veio a senha. É para acontecer isso mesmo?
Boa tarde! Na mesma marca, modelo e até a mesma complicação as vezes consegue se extrair a senha [SEGREDO] vezes não.
As vezes é possível retirar a senha pelo método de desbloqueio. Há modelos que utiliza se todos os métodos e mesmo assim no final sem êxito.
Senha nos android mais novos não vem mais, pq parte dela fica no TEE (wallet criptográfico)
Se não me engano esse tem twrp
Da pra desbloquear apagando os arquivos key
Origem 108 — 06/02/2019 10:07 a 10:07 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia. Alguém de vcs conhece a ferramenta EDR Tools de extração de dados? Estamos fazendo um levantamento de ferramentas para a gerência e essa solução me chamou atenção pelo preço elevado
Até então, nunca tinha ouvido falar dela
Origem 109 — 06/02/2019 10:40 a 12:56 — Root em dispositivo Android para extração pericial
Perdão por emendar outra pergunta em seguida, mas alguém já fez perícia em aparelhos receptores "piratas" de tv a cabo? Teria um modelo de laudo para compartilhar?
O modelo de laudo não sei, mas o interessante é ligar ele via crossover em um notebook rodando um analisador de protocolo. Alguns desses aparelhos fazem tunelamento via VPN aí o tráfego é criptografado... Outros, mais antigos, não usam VPN então você vai conseguir identificar o servidor remoto que ele conecta... Ainda tem uns ainda mais antigos que funcionam ao conectar duas antenas de TV a cabo de operadoras diferentes, este tipo nunca tive oportunidade de testar.
https://thehackernews.com/2019/02/hack-android-with-image.html
seria bom se desse para aproveitar isso para fazer root
Origem 110 — 07/02/2019 08:17 a 08:21 — " Pó de Macaco " a droga q deixou o Crack " No
" Pó de Macaco " a droga q deixou o Crack " No chinelo" e q tá devorando a Europa e deverá chegar ao Brasil nesse carnaval, atenção re-dobrada 👇🏽😨
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
👆🏼nova versão do script de carga no UfedPA de extrações por exportação para email
Origem 111 — 08/02/2019 19:57 a 22:18 — Extração em dispositivos Realme/Oppo
O pessoal aí da Senasp não tem pretensões de renovar os UFEDs?
Realmente todo início de ano a SENASP dá uma atrasadinho nos pagamentos por causa da aprovação do orçamento anual ... mas já começaram a regularizar .. 🙏🏼🙏🏼
Infelizmente não.. como os equipamentos foram doados para os Estados, não temos como renovar as licenças de equipamentos que não pertence a SENASP. O que estamos lutando para acontecer são novas aquisições.
Entendo. Tomara que consigam. Obrigado.
O preço de renovação é muito próximo do preço do novo
Absurdo! Esperamos que a concorrência acabe com isso. A XRY se comprometeu a compatibilizar mais celulares do nosso País na solução deles.
Sabemos que pelo andar da carruagem se os fabricantes não inovarem ... os equipamentos deles não terão serventia.
Particularmente não sou muito fã do xry, não acho ele um produto acabado. As vezes ele lista o modelo como compatível e coloca NÃO TESTADO 🤔
Temos a versão recente e lá fala que o famigerado LG A275 é compatível, mas no que tentei não obtive sucesso. Alguém por aqui já conseguiu extrair física ou lógica pra esse modelo?
A275 é um troço
Além do relatório que ele gera é um lixo. Não linka os arquivos, não coloca as tags. É praticamente inútil. E para piorar os arquivos exportados ficam com a estrutura de pasta do celular, então como não estão linkados pelo relatório, dá um certo trabalho para achar, que com certeza um delegado ou promotor não vai conseguir.
E os presidiários sabem disso kkkk
Hoje eu estava fazendo a extração lógica de um celular, que deu 10 gigas de informação, mas o XRY estava há umas 3 horas usando 25 gigas de memória ram para indexar o arquivo
Deixei terminando e fui embora. A ferramenta é muito ruim, mas às vezes só ela faz
Concordo! Mas se a ferramenta já conseguir acesso no dispositivo e gerar uma imagem... já to feliz .. ultimamente o maior desafio dessas ferramentas e conseguir gerar a imagem física
Sim, por isso estou usando-a. Mas é uma solução que, em termos de praticidade e relatório, está a anos luz de distância do UFED
Em termos de compatibilidade e customização de extração, estou achando até melhor que o UFED
Perde-se muito tempo batendo cabeça pra extrair a imagem quando se tem os equipamentos.. Aí se tiver e N suportar o aparelho ou se não tiver equipamento aí complica mais ainda
Costumo dizer que a mobile forense é um mundo a parte ... não é para amadores .. 😂😂😂
Deixa o pessoal da Inteligência da SENASP brincar de apertar o botão do UFED
Origem 112 — 09/02/2019 13:41 a 13:41 — Extração em dispositivos Realme/Oppo
concordo!!! tem cada perito que realmente sabe fazer um exame completo de extração de dados. Chega até a desenvolver ferramentas ou propor melhorias.
Origem 113 — 13/02/2019 12:19 a 12:19 — Importante ficar atento à extração via Bluetooth. Por vezes ela é interrompida no
Importante ficar atento à extração via Bluetooth. Por vezes ela é interrompida no meio da cópia, não sei por qual motivo.
E o UFED entende como extração completa.
Origem 114 — 14/02/2019 13:00 a 14:15 — Extração e análise de variantes do WhatsApp
Olá pessoal.
Para os que estão pegando celulares com GBWhatsApp e YoWhatsApp ou aplicativos similares.
Para os que estão pegando celulares com GBWhatsApp e YoWhatsApp ou aplicativos similares.
O SPITools não funciona nesses casos, no entanto, a pasta Fake pode ser criada no próprio Shell do Android.
em seguida, creio eu que é só seguir o processo normal de exportação
<Mídia oculta>
Montar-pasta-fake-no-shell.zip
Montar-pasta-fake-no-shell.zip
Segue o README.txt
Parabéns pelo aplicativo. A melhor parte é poder incrementar essa extração no UFED. Facilita e muito a análise.
Origem 115 — 18/02/2019 09:18 a 09:23 — Extração e análise de mensagens do WhatsApp
Senhores e senhoras, bom dia. Estou por fora do assunto que foi tratado aqui sobre o whatsapp. Enfim, a minha duvida é a seguinte: não estamos mais conseguindo fazer root no aparelho e agora também está mais difícil fazer a extração via Advanced ABD. Estou com um SM-G570M sem senha. tem como exportas as conversas do WhatsApp.
O xry está com uma ferramenta chamada photon que "printa" todas as telas automaticamente e faz a leitura OCR.
O cellebrite eu não sei pq não temos aqui
certo, vou procurar aqui. Nós estamos com o XRY atualizado
No 7.11 aparece na tela se extração, nos anteriores tem que buscar na lista de modelos
Eu estou apanhando há uns 2 dias com o XRY, fiz uma extração e quando vou exportar o relatório, dá algum bug no chat que o pdf fica com 1 milhão de páginas, 2,6 gigas.
Origem 116 — 18/02/2019 15:50 a 17:50 — Extração e limitações em Motorola XT1792
Se tiver com licença ativa, acho que a Cellebrite troca
O cellebrite tá funcionando... É mau contato na interface USB do celular...
Bastava dar um vento mais forte e a extração dá erro
Meu medo é danificar o cabi
Com essas gambiarras ai
O cabo*
Temos um bom estoque desses, tem uns que são desde antes do UFED touch
Não tem problema, a tendência parece que será dispositivos sem porta física
Modelo XT1792
Alguém pode me informa se tem by pass desse modelo no clebritte!
* ufed celebrite!
Origem 117 — 19/02/2019 09:04 a 09:08 — Análise de dados em Telegram, Facebook Messenger e mensageiros
Bom dia. Devido a impossibilidade de extração física ou escalação de privilégios que possibilitem a recuperação de mensagens de forma automatizada do aplicativo Facebook Messenger ou similares, está sendo disponibilizada uma solução paliativa utilizada de forma experimental pela SPI/PCDF. A solução é composta de scripts para realizar a extração fotográfica automatizada (por screenshots) e posterior carga no Cellebrite Ufed Physical Analyser.
Os scripts estão disponíveis em:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPI_FBM_photoXtract
opa, vou dar uma olhada
Origem 118 — 20/02/2019 08:48 a 08:49 — Depois de fazer essa atualização ☝, eu fiz a extração do mesmo celular
Depois de fazer essa atualização ☝, eu fiz a extração do mesmo celular e a quantidade de imagens saltou de 62 mil para 264 mil 😭
Quero voltar a versão da licença 🤣🤣
Chats foram de 60 mil mensagens para 64 mil 😥
Origem 119 — 22/02/2019 17:37 a 17:39 — Root e extração em dispositivo Positivo
Algum método pra extrair ou desbloquear?
Marca e modelo não estão disponíveis no UFED. Dispositivo bloqueado por senha.
Fabricado na CHINA.
Aqueles "chinese chipset" não funciona?
Origem 120 — 25/02/2019 09:57 a 13:13 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
ntfsdoc.pdf
ntfsdoc.pdf
pode ser que ajude
https://tecnoblog.net/279857/whatsapp-sergio-[NOME]-justica/
Prezados. Devido ao fato do WhatsApp nas versões mais atuais agregar mais "uma inovação" na datação das mensagens exportadas por e-mail com a inclusão de turnos ("da manhã", "da tarde" e "da noite"), foi feito atualização do script de importação para contemplar mais essa mudança. Como o formato de datação e nomenclatura estão ligadas a configuração de regionalização do aparelho, a ideia é ir adaptando e deixando cada vez mais genérico o código sempre que possível. Com isso, peço que todos que tiverem problemas, relatem diretamente, ou abram uma "issue" no github para que possamos evoluir o código na medida das possibilidades. https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/spi_ufed_whatsapp_email.py
Prezados. Pequena correção no script de carga de exportação de email.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/spi_ufed_whatsapp_email.py
Foi detectado que existem casos excepcionais que é posto o termo "meio-dia" e talvez "meia-noite" em algumas datações das mensagens. Estão sendo detectados "da manhã", "da tarde", "da noite", "meio-dia", "da madrugada", e foi posto por segurança "meia-noite". Se detectarem algo diferente, fvor informar.
Origem 121 — 28/02/2019 09:00 a 09:15 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia! Alguém sabe como posso resolver o problema de crash do LG-E445
Acho que esse aí sai no perfil generic mtk do ufed
Com o UFED 4PC ou com o Touch 2 existe a seguinte opção:
EXTRAÇÃO FÍSICA VIA UFED 4PC -> SAMSUNG GSM GENERIC ANDROID -> SAMSUNG GSM GENERIC ANDROID EXYNOS 7870 -> BOOT LOADER
Origem 122 — 07/03/2019 17:17 a 17:32 — Root e extração em SM-J250M
Algum método para aplicar o root no dispositivo informático SM J250M da imagem acima?
Ou realizar a extração física?
<Mídia oculta>
Contrato nº 64_assinado.pdf
Contrato nº 64_assinado.pdf
Segue contrato assinado ... 👆🏼
Origem 123 — 11/03/2019 12:35 a 13:08 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde colegas de trabalho!
Recebi aqui em Cuiabá-MT um caso bem sensível onde se fez necessário a perícia em um G570m - J5 Prime. Acontece que ele está com o android 8.0 e sinceramente não sei se tem alguma forma de fazer a extração física desse android, uma vez que é necessário o root nele. Alguém com alguma idéia?
Recebi aqui em Cuiabá-MT um caso bem sensível onde se fez necessário a perícia em um G570m - J5 Prime. Acontece que ele está com o android 8.0 e sinceramente não sei se tem alguma forma de fazer a extração física desse android, uma vez que é necessário o root nele. Alguém com alguma idéia?
Celular está desbloqueado. Seria necessário a física para poder recuperar informações apagadas.
Android 8, fazer root resulta em wipe..
Acho que não tem
Como não!
Como não!
Aqui é só extração lógica..
Do 7 para cá não faço mais. Se for Android 6 aí olho com calma.
No TOUCH 2 tem uma opção de lógica avançada
Sim sim, mas a avançada para esse modelo diz que só pelo CAS
Até agora até onde sei é isso mesmo [NOME], ta foda fazer perícia em celular hein
Cada dia mais complicado
Acho que nem com jtag chipoff dá
Pq a memória já vem criptografada
Bem isso mesmo. Acho que do 7 em diante já vem criptografada
4PC tem a opção decrypted boot loader
chipset Samsung Exynos 7 Quad 7570 (14nm)
liberados na ultima atualização
consegue extração física de Exynos
Vou ver aqui se está atualizado o nosso, mas aqui é o touch 2
[NOME] sabe dizer qual a versão do seu 4PC?
Estou fora da seção agora
A partir das 14:00 eu verifico
Origem 124 — 12/03/2019 08:44 a 08:45 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia pessoal, tentei esse modo novo mas não deu certo.
Não sei se tem algo a ver mas essa mensagem apareceu e para religar o celular tive que utilizar a ferramenta do UFED que volta o recovery original do aparelho
Origem 125 — 12/03/2019 14:20 a 14:52 — Extração e limitações em dispositivos Motorola
<Mídia oculta>
lucia
lucia
Consegui remover as informações que estão dentro do bubble, mas não estou conseguindo remover a informação de extração da fonte que circulei na segunda imagem. Alguém sabe como remover?
Boa tarde, pessoal. Resolvi fazer aquele caso do celular Caterpillar "indestrutível". Ele possui chipset MSM8952. Está com senha. Alguém pode me dar alguma dica? Eu tentei alguns Motorolas que usam o mesmo chipset, mas não deu.
https://www.cellebrite.com/en/whitepapers/mastering-edl-mode-using-cellebrites-ufed/
Valeu. Vou dar uma lida e depois posto o feedback
Origem 126 — 19/03/2019 09:49 a 09:49 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, pessoal. Alguém teria o check list original do UFED de 2015 aí fácil?
Origem 127 — 21/03/2019 16:31 a 18:38 — Bloqueio FRP e conta Google em dispositivo Android
Boa tarde!
Algum método pra desbloquear ou extrair o conteúdo da memória interna do dispositivo informático sm-a520f.ds, Android 6.0.1? Foi realizado com sucesso a extração parcial do sistema de arquivos, mas não identificou a senha. Aqui temos o UFED 1.
Algum método pra desbloquear ou extrair o conteúdo da memória interna do dispositivo informático sm-a520f.ds, Android 6.0.1? Foi realizado com sucesso a extração parcial do sistema de arquivos, mas não identificou a senha. Aqui temos o UFED 1.
[NOME] ele tem frp?? No modo download vc consegue ver.
Sim. E está ativo: ON.
Quis dizer FAP LOCK?
Na opção de Samsung generic tem alguns plugins pra tentar remover a senha, no entanto aconselho retroagir o firmware, caso esse aí seja de 2018, pq pode deixar o telefone completamente inutilizável.
É uma versão um pouco antiga, 6.0.1. Também já testei os desbloqueios pela opção Samsung generic, mas todas as tentativas fracassaram. Vi que só é possível até a versão 5.0.
Qual é a versão anterior?
Retroagir o firmware do telefone, na primeira foto que vc mandou a string “A520FXX...” identifica o firmware, e colocando ele no Google vc consegue saber de quando ele é. Cara sem box, sem UFED 2 e com FRP ativado, não vejo muita saída pra esse cidadão.
Kkkkk. A cada dia mais difícil extrair ou desbloquear os dispositivos informativos bloqueados. E sem a atualização dos equipamentos torna até impossível.
Sendo, sincero. Não tô achando o TOUCH 2 lá essas coisas. Já peguei 3 aparelhos que tem a opção física, mas não faz .
Tentei umas 5x pelo menos aquela métodos de apertar volume +-, depois L1 quadrado, bola , X e finaliza no R2 para fazer o gol olímpico.
Alguns da Samsung e Motorola e da essa opção.
Só dá. Estou com um J530G e estou nessa luta.
Se o FRP está ON, pode ocorrer o risco de bricar o celular
Origem 128 — 26/03/2019 10:57 a 11:59 — Extração e decodificação de bancos do WhatsApp
Bom dia, pessoal! Ainda com problemas na exportação das conversas do WhatsApp. Em algumas conversas, os arquivos de mídia não são exportados. Alguém tem alguma solução? Obg
Utilizando o SPItools?
O SPItools foi usado só pra zerar as mídias
Depois a exportação com o app-debug.apk por meio do zapzap_exporter.py
No nosso caso para exportar as conversas utilizamos o "email backup to file" associado ao spitools. Verificamos que recentemente as conversas (arquivos txt) estão com um formato incompatível com o do mobile merger (software que utilizamos para gerar o relatório). No nosso os arquivos não estavam sendo anexados às conversas devido a um caracter especial oculto antes do nome do anexo. Não sei se é o seu caso...
Caso a conversa só tenha mídias de áudio, estes arquivos não são exportados, só o texto da conversa
[NOME], nosso colega aqui, o Vrubel, já modificou o Merger para tratar disso. Mande um email para ele, que disponibiliza a versão mais nova
Testei agora. Se tiver pelo menos uma imagem, exporta os áudios tbm. 🤦♂🤣🤣🤣
Opa, não estava sabendo da nova versão. Agradeço!
Aí simula uma foto no contato e resolve. Depois apaga. Fazer o q?! 🤷♂
Origem 129 — 28/03/2019 15:25 a 15:25 — Extração e root em dispositivos LG
senhores para avisá-los que durante a extração dos dados do aparelho e-415f LG utilizando a ferramenta cellebrite houve o wipe dos dados
Origem 130 — 28/03/2019 19:12 a 19:32 — Compatibilidade e extração em dispositivos Samsung Galaxy
Extração física? Qual método?
Lógica 😲
Aproveitando o assunto: Tenho um Samsung S9 na fila de exames, e ouvi casos similares de wipe, ao tentar a extração deste modelo via Cellebrite.
Algum colega teria mais informações, ou mesmo experiências sobre as extrações deste modelo? Por conta desse risco, estou buscando me cercar de mais informações, antes de atacá-lo..
Algum colega teria mais informações, ou mesmo experiências sobre as extrações deste modelo? Por conta desse risco, estou buscando me cercar de mais informações, antes de atacá-lo..
Origem 131 — 29/03/2019 15:56 a 18:22 — Elaboração de laudo e relatório técnico pericial
Daqui a pouco nem os cartões SIM a gente consegue extrair..
Eu acho mais simples fazer exames em celulares do que em disco rígido. Dificilmente, não será feita a imagem e a extração de dados em um hd. Agora em um celular dá muitos erros.
Facil de expedir laudos.... bem menos moroso e trabalho do que em hd,
"mais simples fazer exames em discos rígidos do que em celulares"
De fato faz wipe em espaços não alocados
Origem 132 — 01/04/2019 17:43 a 18:25 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Estou com dois celulares aqui de um mesmo caso de homicídio e ambos bloqueados. Um deles é Motorola XT-1635-02 e o outro Samsung SM-G610M
O Samsung acredito estar rodando Android 8.1
Alguém teve sucesso em extração desses modelos recentemente ?
Tentei as extrações recomendadas pelo Touch 2 e de modelos similares e não consegui sucesso de forma alguma.
G610m tem que dar os comandos magicos.
Tá muito ruim.pra nos.
Estou com um LG k10 desbloqueado. Faz a física, mas não pega os.dados mais importantes (WhatsApp)
Tô achando o TOUCH 2 menos explicativo que o 1
Comandos mágicos ?
Tentei umas 5x pelo menos aquela métodos de apertar volume +-, depois L1 quadrado, bola , X e finaliza no R2 para fazer o gol olímpico.
Comentário que fiz há um tempo. 😅
Não tá fácil pra nós.
Pior que tô colocando no meu laudo que tem a opção mas não foi fazer a física.
⬇➡👊🏻, Tenta essa sequencia ai
xt 1635-02 fizemos Extração física método UFED SMART ADB
via ufed 4pc
já o G610M FOI EFETUADO -> EXTRAÇÃO UFED -> SM-G610F -> BOOTLOADER
LG K10 tenta fazer o lg backup
Já fiz. Mas não vieram as conversas do WhatsApp
Esse smart adb tbm não funcionou no meu caso.
Mas em bloqueado não funciona né !?
No K10 tinha que está desbloqueado
isso, tem q estar desbloqueado
Tenta extrair o whatsapp com EmailBkpToFile?
Vou tentar amanhã. É confiável?
tentou o Bootloader LG Generic?
LG K10 não seria por causa da criptografia?
PA informa quando abre o arquivo.
O TOUCH 2 tem uma novidade que pode.ser.um tiro no pé.
Então, na verdade, ele não extraiu foi nada..
Só os arquivos nativos..
Tipo, quando não tem o aparelho na lista dele. Aí coloco na detecção automática, aí ele detecta o modelo e já sugere as extrações.
Exato. Ele fez a lógica avançada. Mas não tá.fazendo sistema de arquivo e só faz a física se for bootloader
Eu faço quando não encontro outra solução.
Beleza. Vou pesquisar amanhã. 👍
Origem 133 — 01/04/2019 20:58 a 20:58 — Extração e root em dispositivos LG
O UFED Touch 2 implementou o Downgrade apk em modelos da LG, tem funcionado aqui, quando o LG backup não pega, o único problema é você precisar fazer uma “gambiarra” depois pra linkar as mídias, pq na extração mesmo, elas normalmente não vem.
Origem 134 — 02/04/2019 10:22 a 11:02 — Cada extração física bem sucedida é uma celebration
<Mídia oculta>
Requisição aqui de Minas.
Requisição aqui de Minas.
Fala que aqui não é Fiat não para tem Uno Celebration
Assim vamos usar o celebrate na celebration
Isso é sabedoria pura
Pq utilizar o Cellebrite é motivo de celebration! 🤣🎉🙌🏻
Cada extração física bem sucedida é uma celebration!
Já recebi uma que solicita cellebrite total
<Mídia oculta>
Cellebrite TOTAL!
Cellebrite TOTAL!
Origem 135 — 05/04/2019 07:57 a 08:32 — Existe uma senha que habilita o perfil jogos
Esse não tem jogo diretamente. Depois de inserir o dinheiro vc tem a opcao de abrir o navegador, twitter, facebook, gmail...
ai o que o usuario faz depois ele nao parece ter controle
Existe uma senha que habilita o perfil jogos
a máquina era desse modelo?
São fabricadas em Campinas
Origem 136 — 09/04/2019 10:16 a 12:35 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, bom dia! Recebemos esse objetivo pericial de um delegado.
Não temos ferramenta para análise em nuvem. Celular desbloqueado.
Precisaria de uma quebra de sigilo de dados bem específica
E um cloud analyzer
A dúvida é essa: informamos q não disponibilizamos de ferramenta específica ou conectamos o dispositivo à internet pra tentar obter alguma coisa?
acho que a recuperação de dados em redes sociais é melhor o Delta pedir direto para as empresas com o mandado.
Aqui ocorreu isso tb! Primeiro solicitamos à Autoridade Policial para pedir a quebra de sigilo de dados armazenados em nuvem e também os dados à empresa responsável pelo armazenamento, no nosso caso a Apple
Aqui nossa licença do ufed extrai dados em nuvem, no entanto, só fazemos com autorização judicial explícita
Depois analisamos os dados extraídos pelo cloud analyzer (pelo aparelho) e tb aqueles enviados pela Apple
Não consigo lembrar agora de deu alguma divergência entre estes dois!
Era um caso bem importante, por isso quisemos garantir de analisar todos os dados possíveis
Senhores, estou com um caso aqui, de um SM-J600GT, que é um dos modelos da Samsung que não tem o botão HOME. Ocorre que numa das tentativas de desbloqueio do UFED, ele deixou o telefone em loop e com a mensagem vermelha “warning : CMDLINE parameter modified”. Pra esses casos, o UFED já tem uma rotina pronta pra recuperar o dispositivo, só que a rotina exige que o telefone esteja no modo download, e é aí que tá o problema, não consigo colocar esse cidadão em modo download, pela forma convencional pra esse modelo, de apertar vol+ e vol- e espetar o cabo USB ou de inserir a ponta T-133, ambas não funcionam. Portanto, alguém teria uma outra ideia de como colocar esse rapaz em modo download ??
esse problema é pq foi alterado o recovery e o commando que fica em /cahce/recovery/command está errado para esse recovery.
/cache (partição cache)
talvez se limpar a cache possa restaurar o boot. ou se ele estiver subindo o ADB, vc pode dar um adb reboot bootloader
pode ser tb no diretório de intent do recovery "/cache/recovery/intent"
to achando que um dos botões deve estar avariado (up ou down do volume)
Ele fica em loop, essa tela aí não firma, não consigo nem checar se consigo mandar algum comando via adb.
e se vc ficar segurando o power+volDown por 10 segundos e assim que ele iniciar segura VOLUP+VOLDOWN
(com o usb conectado) Esqueci de dizer
[NOME] obrigado meu garoto, sucesso total aqui. Fiz o seguinte, segurei vol down e power, depois dos 10 segundos espetei o cabo A com a ponta T-133 no USB, daí o bicho subiu o modo download maravilhosamente, daí pra frente o UFED resolveu o resto. Muito obrigado e fica a dica se alguém passar por isso também.
Imaginei que daria pq, nesses telefones, o "hard boot" é no PWR+VOLDOWN. E depois do boot hard, ele entraria na execução do bootloader mesmo, que com o cabo 133 detectado entraria no modo download
Vamos anotar essa informação
Origem 137 — 09/04/2019 15:16 a 15:20 — Extração e root em dispositivos LG
Boa tarde, pessoal.
Estou com um clone de um LG. Software: v8800_g4_IPS_6.1_LT_L_V04_20160905
Recentemente trocamos o UFED1 que vinha com o Chinex para um 4PC sem o chinex.
Alguém teria uma sugestão para esse modelo?
Estou com um clone de um LG. Software: v8800_g4_IPS_6.1_LT_L_V04_20160905
Recentemente trocamos o UFED1 que vinha com o Chinex para um 4PC sem o chinex.
Alguém teria uma sugestão para esse modelo?
Lg, tenta extração generica de Qualcomm snapdragon. Deve ser um msm800 algo assim. Veja dpecs da cpu
Origem 138 — 10/04/2019 16:33 a 18:44 — Conexão USB, ADB e diagnóstico de porta em Android
Rarissimo caso em que o xry se sai melhor que o UFED. É raro mas acontece..
Eu tentei algumas coisas aqui, mas não consegui. Fiz um laudo negativo. A vida é muito curta (e as requisições são muitas) pra gente ficar por conta de um celular.
De qualquer forma, obrigado pela orientação.
De qualquer forma, obrigado pela orientação.
Pior que todos os casos que peguei depois que renovamos as licenças o XRY se saiu melhor
Eu detesto o XRY porque o relatório dele é uma porcaria, mas tenho que reconhecer que os caras acertaram pelo menos na extração de dados
Se tiver desbloqueado, ok
mas para desbloqueio...
Eu até mostrei para o representante da techbiz que um caso lá o XRY pegou email e dados de navegação e o UFED não
Boa tarde, amigos. Alguém dispõe de um TWRP flashable pra Samsung SM-G530BT?
Acho que eu tenho um cwm que modifiquei para g530. Não lembro se é para a versão vrazuca BT
Faz tempo que fiz esse cwm e não lembro pra qual variante usei
Se quiser arriscar...
Estou com um aqui. Ele tá com problema no conector usb. Queria flashear um recovery pra poder tirar a senha [SEGREDO] extrair os dados.
Via terminal do recovery
Acredito que eu tenho um lá no setor. Me lembra amanhã de manhã.
Sideload? Tá sem conexão usb.
Tu vai conseguir uma lógica via bluetooth
Malz. Buguei. Tá sem usb 🤦🏻♂
Abre no UFED
A física sim, a lógica não
Origem 139 — 17/04/2019 11:43 a 11:56 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Bom dia! Esse modelo tem a extração física com contorno de bloqueio. No entanto, fiz a extração duas vezes e não está vindo o WhatsApp. Alguém já passou por isso?
Bom dia! Esse modelo tem a extração física com contorno de bloqueio. No entanto, fiz a extração duas vezes e não está vindo o WhatsApp. Alguém já passou por isso?
As vezes o whatsapp tá instalado, mas não foi registrado ainda. Já verificou isso?
Consegui esses dias com o FileSystem Android Backup APK Downgrade
O J500-M é facilmente rootavel via TWRP
Origem 140 — 06/05/2019 16:40 a 16:43 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde pessoal. Alguém já teve sucesso em fazer o celular SM-G600FY?
Tem recomendação no UFED, usando cabo EDL, não conseguimos com esse cabo aqui ainda.
Se for Android 6 existe a opção: EXTRAÇÃO -> UFED -> SM-G6000 -> EDL ADB
Origem 141 — 14/05/2019 20:50 a 21:09 — Extração e análise de variantes do WhatsApp
Pessoal XT1626 com a interface USB com problema para transferência de dados. Estou iniciando a extração dos dados do WhatsApp pelo cartão através do spitools... Acontece que analisando a árvore de diretórios localmente percebi a existência de dados de uma variante do WhatsApp chamada GBWHATSAPP. Aparentemente os dados contidos na pasta WhatsApp estão com a data compatível com a ocorrência, já os dados do tal GBWHATSAPP estão com data 3 meses anteriores a data da ocorrência, mas pra minha infelicidade existem bem mais dados na pasta GBWHATSAPP do que na pasta WhatsApp.
Pergunto aos senhores: 1) já extraíram dados desse GBWHATSAPP? 2) nesse caso específico, como a interface está com problemas e o spitools precisa do WhatsApp pra exportar as conversas, pergunto se vocês conhecem uma forma viável para extração das conversas do GBWHATSAPP?
Pergunto aos senhores: 1) já extraíram dados desse GBWHATSAPP? 2) nesse caso específico, como a interface está com problemas e o spitools precisa do WhatsApp pra exportar as conversas, pergunto se vocês conhecem uma forma viável para extração das conversas do GBWHATSAPP?
Tanto o GBWhatsApp quanto o YoWhatsApp tem uma funcionalidade que permite exportar todo o conteúdo da pasta raiz do aplicativo
Vc pode utilizar a própria interface gráfica deles para fazer isso
Depois cópia o conteúdo para um SD-Card
Depois processa com o UFED PA
Não encontro o app do gbwhatsapp instalado, acho que o investigado deixou de usar 3 meses antes da ocorrência, desinstalou e passou a usar só o WhatsApp
Caso o cartão SIM ainda esteja ativo é possível baixar o apk, instalar e importar as conversas atuais
👍🏼👍🏼👍🏼 Vou tentar aqui, obrigado
Origem 142 — 24/05/2019 10:13 a 11:20 — Extração Samsung em modo Download/ODIN
Senhores (as) Bom dia. Estava fazendo o procedimento do UFED par desbloquear o J700M, mas deu erro e o aparelho fica em loop de inicialização. Alguém sabe como resolver isso?
reinstala a firmware dele
https://www.sammobile.com/
https://www.sammobile.com/firmwares/
instala ela no ODIN
Ele aparece na tela de inicialização uma mensagem em vermelho dizendo que o comando não é suportado?
No ufed tem em ferramentas "sair de recove vootloop" algo assim
Aparece só "Samsung Galaxy J7"
Deixando ele em modo download e tentando fazer uma extração física também faz ele sair do bootloop.
Bom dia. Alguma sugestão para extração do LG-M250ds, bloqueado?
Consegui, com generic Android.
Segui a sugestão do [NOME].
Consegui fazer a Extração e o aparelho voltou ao normal. Obrigado [NOME].
Origem 143 — 24/05/2019 11:43 a 14:46 — Extração em dispositivos Realme/Oppo
Bom dia. Algum estado usa a estação pericial FRED?
Queria referências
Vc pretende fazer um projeto e precisa das referências para a compra? é isso?
Não. Estamos correndo atrás de Tacs e tenho q definir a especificação das estações periciais... eu particularmente gostei muito das máquinas Z820 da Senasp , principalmente por conta do suporte, mas tenho muita curiosidade em saber do desempenho de máquinas feitas especificamente para uso forense, caso do Fred
Daí queria saber se alguém já usou, se compensa ou não
Enfim, queria informações sobre o uso, o desempenho, etc
Temos um Fred no Ceará, é uma boa estação, mas acredito que não vale tudo aquilo que cobram. As z820, apesar de não terem os bloqueadores de escrita, são muito mais modulares e performáticas que o hardware oferecido pelo Fred. Se você já possui a maleta com o kit bloqueador de escrita, procure as z820 que custarão uma fração do preço do Fred
Como está estação é importada, pelo menos quando precisamos fazer substituição de componentes, demorou mais de 30 dias
concordo plenamente
O FRED no final das contas é uma máquina parruda, mas que pode ser facilmente substituída por um desktop possante da Dell ou HP. O diferencial do FRED está na integração com o bloqueados da tableau, mas se vc tem isso por fora é melhor pq te dá maior versatilidade.
https://seginfo.com.br/2019/05/20/ataques-de-colisao-sha-1-agora-sao-realmente-praticos-e-criptografia-se-torna-um-perigo-iminente/
Obrigada, pelas informações... estava fazendo um esforço maior para tentar ter Fred na expectativa de q ele fosse bem melhor, mas realmente, considerando o custo e pelo q vcs falaram, não compensa
Estou com 8 aparelhos, 4 deles são g610M (J7). Há a senha [SEGREDO] nos aparelhos. Desbloqueei todos, e não tá fazendo a extração física.
Boa tarde,
Conversando com o pessoal da Techbiz, informaram que a Harpia II representa um melhor custo X benefício.
Conversando com o pessoal da Techbiz, informaram que a Harpia II representa um melhor custo X benefício.
Vc já fez a última atualização do UFED?
Ufed 7.18 parece que extrai vários j7
Já testou a extração física via bootloarder pelo G610F? Se conseguiu desbloqueá -los e possível realizar as extrações.
vou tentar escolhendo o G610F
Qual o valor da proposta da Harpia hoje?
Harpia é um produto "criado" pela própria techbiz uma vez que o produto Fred, cuja techbiz tem exclusividade de comercialização no Brasil, deve bastante na relação custo X benefício.
Alerto para um problema sério que aconteceu aqui no Ceará quando adquirimos o Fred, a techbiz fez duas notas uma de hardware em valor irrisório e outra de grande valor para software (semelhante ao tipo de faturamento que eles fazem no UFED). Na época falei que aquilo era uma fraude fiscal uma vez que o único software que roda no Fred é o Windows, várias reuniões aconteceram e acabaram pagando as notas. Dois ou três anos depois o tribunal de contas bate no laboratório perguntando qual o software rodava no Fred, mostrei a caixa do CD do Windows e até hoje o gestor que autorizou o pagamento responde ao processo.
Alerto para um problema sério que aconteceu aqui no Ceará quando adquirimos o Fred, a techbiz fez duas notas uma de hardware em valor irrisório e outra de grande valor para software (semelhante ao tipo de faturamento que eles fazem no UFED). Na época falei que aquilo era uma fraude fiscal uma vez que o único software que roda no Fred é o Windows, várias reuniões aconteceram e acabaram pagando as notas. Dois ou três anos depois o tribunal de contas bate no laboratório perguntando qual o software rodava no Fred, mostrei a caixa do CD do Windows e até hoje o gestor que autorizou o pagamento responde ao processo.
Além disso, reza a lenda que a harpia pegou fogo uma vez, pq possuía um problema com o cooler da sua parte superior. Não sei ao certo dessa informação, mas já escutei uma história sobre isso
Isso pode ter sido corrigido na segunda versão
O orçamento q eles me mandaram é exatamente isso aí, software + hardware... perguntei q software era esse e responderam q vendem assim por questão de impostos e q não tem software nenhum mesmo
detalhe que não tinha dvd dentro da unidade
Resumindo, empresas compram máquinas HP a bastante tempo, assim como Dell, IBM e outras. Harpia, fred etc são uniões de peças q podem ser vendidas separadas, as quais terão suporte e garantia de grandes marcas que sempre fizeram isso desde o início da história da computação.
Minha opinião é que esses bundles não são tão bons assim. Melhor ter um workstation violento, bloqueadores e demais ferramentas q for necessário, como um dock USB 3.0 para os discos.
Sem contar o risco de responder uma sindicância, pad, processo....
Origem 144 — 27/05/2019 09:39 a 12:05 — Extração e decodificação de bancos do WhatsApp
Bom dia pessoal, chegou uma solicitação judicial para perícia em smartphone onde o juiz solicita a informação se o smartphone é falsificado ou nao! Nunca fiz nada do tipo! Minha pergunta é.... Só conferindo o Imei do aparelho com o imei.info confirma esses dados? Ou existe alguma outra informação que confere essa autenticidade?
Exame não é de informática
Bom dia! Aqui na seção já fizemos. Como citado pelo colega é necessário realizar confrontos, tanto no hardware como no software. Verifica as dimensões, acabamento, a cor, impressão etc.
[NOME], vc teria um modelo deste laudo que possa me enviar?
Qual setor no seu estado realiza este tipo de exame?
adb shell getprop
Dá uma olhada no modelo da placa e do processador
geralmente esses falsos usam processador da MediaTek (MTK)
Samsung usa CPU da Exynos (geralmente nos modelosinternacionais), e Qualcomm (nos modelos americanos/chineses)
essas propriedades [ro.product.board], [ro.serialno]: [[TELEFONE]ABCDEF] (falsificado geralmente vem uma sequencia dessas) e [ro.hardware]
Nesses casos, [MENCAO] , o IMEI já não estaria alterado? Ou existe essa possibilidade de replicação deste dado?
Não confio muito nessas bases públicas de imei
mas é um vestígio a mais
Teve sucesso colega? Estou com um G610M aqui desbloqueado também e não consigo fazer a física de jeito nenhum. Tentei o 610M e o 610F.
vc pode verificar características físicas oficiais de dimensões que têm no site do fabricante , algumas vezes exitem discrepâncias
Como são 8 celulares. Estou nesse momento extraindo um Motorola. Depois vou ficar tentando
4 são g610M.
Pensei nisso, analisar estetica, selos com o pessoal da DOC e o IMEI
se tiver o código de homologação da ANATEL, vc pode consultar o sistema de registro para ver se bate com o aparelho homoogado com eles (geralmente não bate)
https://sistemas.anatel.gov.br/mosaico/sch/publicView/listarProdutosHomologados.xhtml
aí vai vir os dados da homologação
aí vc consegue informações impoortantes como o nome, modelo e a data (que pode ser usada caso a data da etiqueta seja diferente)
Se não tiver a homologação da ANATEL, já é outro indício de falsificação
Em MT quem faz é a gerência de documentoscopia
Em SC no setor de merceologia (capital) ou, no interior, qualquer um! 😁
Bom dia colegas. Estou fazendo a analise de uma extração logica avançada de um Iphone feita pelo Ufed. Na extração, obtive o conteúdo do whatsapp e o chatstorage.sqlite. Neles percebi que em algumas conversas não foram recuperadas nenhuma mensagem mas o banco de dados da conversa traz o campo ZLASTMESSAGEDATE (da tabela ZWACHATSESSION) com um valor. Alguem já fez alguma analise desse parâmetro? Da para afirmar que houve troca de mensagens com o contato nesta data?
Em Goiás é a Seção de Merceologia e Autenticidade
Origem 145 — 27/05/2019 18:13 a 18:37 — Extração e limitações em Motorola XT1683
Passei a tarde tentando e nada. E também sem sucesso a extração física para o G4 play
Tenta com o modelo xt1683 para a extração física
Pessoal, quão confiável é a data de criação dada pelo iPED em um arquivo deletado?
Origem 146 — 05/06/2019 11:58 a 11:58 — / Alguma dica para desbloquear esse modelo
<Mídia oculta>
Alguma dica para desbloquear esse modelo?
Alguma dica para desbloquear esse modelo?
Origem 147 — 06/06/2019 08:48 a 09:50 — Root em dispositivo Android para extração pericial
Bom dia, alguém poderia dar uma dica de como fazer a extração no celular Samsung J701MT, sem fazer o root!!
É uma bilada, Cino!
Então, o bitcoin tem o mesmo problema de investimento em qq moeda. No caso, se vc vai minerar a moeda, vc recebe uma quantia da moeda na primeira transação de cada novo bloco q vc obteve. Essa quantia diminui com o tempo de funciomento da moeda, até q vc vai começar a receber taxas por transações, por isso as pessoas preferem transações maiores. Mas, resumindo, como vc recebe em bitcoin, vc está sujeito às flutuações do câmbio do bitcoin pro Real. Logo, a empresa não tem como te prometer um rendimento fixo a menos q ela esteja cobrindo isso ou se ela está levando sempre mto mais e te dando mto menos do q está ganhando.
Nesse caso, era melhor vc comprar suas máquinas e minerar seu bitcoin sozinho.
Tem mto o q se analisar aí, mas tá parecendo mto mágico pra ser real.
Origem 148 — 06/06/2019 11:14 a 14:52 — Recuperação de mensagens e vestígios do WhatsApp
Bom dia! Qual versão do Android? Se for acima de 7.0 não é possível aplicar o root. Logo, a extração será lógica, que pode ser realizada escolhendo a opção Samsung, Android Genérico.
Senhores(a), como vocês estão lidando com essa nova forma de perícia nos seus respectivos estados? Sinceramente, não estou utilizando a ferramenta SPI tools, nem o Photon XRY e nem exportando conversas. Ficar exportando uma conversa por vez da um enorme trabalho e nem recupera textos apagados. Estou com 8 aparelhos que não da para fazer física e tem WhatsApp. O futuro chegou. Estou informando no laudo que ao setar a data do aparelho para um determinado dia da para acessar o conteúdo latente contido no aplicativo. Informo também para não inserir chip, deixar em modo avião e não conectar em rede wi-fi.
Aqui no norte de Minas, 99% das requisições são genéricas. Então, 99% dos meus laudos são só tentar passar o 4PC no aparelho e o que sair entrego. Virei mero usuário de 4PC.
Aí, nos 1% das vezes que o pedido tem algo de especial, eu gasto mais tempo tentando obter algo.
É muito frustrante.
Aí, nos 1% das vezes que o pedido tem algo de especial, eu gasto mais tempo tentando obter algo.
É muito frustrante.
O xry está fazendo downgrade...
Salvo engano até o android 8
Poderia explicar melhor. Não entendi. Downgrade do SO ou do App?
A última atualização do xry está trazendo o whatsapp
Mesmo de android mais novo, não lembro se traz do 8, mas 7 com certeza. Hoje não estou no setor, estou em viagem... mas posso confirmar amanhã os detalhes. Mas tem o pdf das versões no site de downloads do xry
Legal. Vou pesquisar . Obrigado.
Já aconteceu de o XRY não reinstalar o app original?
O UFED também faz o downgrade na extração de sistemas de arquivos, salvo engano. Mas o do XRY é melhor
Sim, as vezes buga
🤦♂E aí, vc faz o q?
Mando bugado mesmo... kkkk
https://mspoweruser.com/mobileshell-for-windows-10-on-arm-looks-great-on-the-oneplus-6t/amp/
Boa tarde [NOME], a versão do Android é 8.1.0, porém, no UFED não apresenta o modelo dele, abri um modelo anterior, mas não apresenta a opção de extração lógica.
Mas de qualquer forma agradeço a atenção.👍🏻👍🏻
Mas de qualquer forma agradeço a atenção.👍🏻👍🏻
IMG-20190606-WA0023.jpg (arquivo anexado)
IMG-20190606-WA0022.jpg (arquivo anexado)
Faz a extração lógica usando o Samsung Generic Android
Obrigado, amanhã te falo se deu certo👍🏻👍🏻
Arriscado mesmo, aqui não fazemos root
e o risco informado ao fazer Downgrade do APK
O UFED tem o SM-J701M/DS
Corrigindo a postagem👆🏻
Origem 149 — 11/06/2019 19:59 a 21:17 — Bootloader, desbloqueio OEM e risco de wipe
S7, alguma sugestão?
Não consegui nenhuma solução pra isso.
Qual a versão do Android?
O dispositivo não chega a carregar o SO
Com sorte pode tentar por bootloader
Se for a versão 7 em diante, que é bem provável pra este dispositivo, não há métodos seguros para extração física.
Já tentei, esbarrou no mesmo erro
Só extração lógica se tiver desbloqueado.
Como o colega falou, ele tá com senha [SEGREDO] carrega o so
O pastor pervertido vai escapar 😭🥺
Laudo bem rápido de redigir.
Acontece. Estou com um Microsoft que não tenho como ligar. Falta o botão do Power. Tá só lugar vazio.
Uma tampa de caneta não resolve?
Nada. Tá um buraco
teve um aqui que fechei o curcuito
Blz. Vou ver se consigo. Valeu a dica.
Pede pra investigação obter a senha por vias obscuras..
vulgo "setor de desbloqueio"
manda para a Intercept
Kkkk "trabalhar o preso"
Setor de Desbloqueio por “Força Bruta”
Eu diria “Desbloqueio por forças místicas” pois é assim que nos veem 😂😂😂
Origem 150 — 02/07/2019 19:10 a 19:11 — Extração e limitações em dispositivos Motorola
Boa noite colegas,
alguém já teve sucesso com extração física de um Motorola XT-1920 usando o UFED Touch 1 ?
alguém já teve sucesso com extração física de um Motorola XT-1920 usando o UFED Touch 1 ?
O aparelho está desbloqueado*
Android 8.1
Origem 151 — 10/07/2019 14:28 a 15:21 — Compatibilidade de modelos e métodos de extração no UFED
Alguém tem ideia do que esse pessoal tem feito tecnicamente?
Muitos aparelhos nem o UFED faz a extração.
Muitos aparelhos nem o UFED faz a extração.
Também tenho essa dúvida. Gostaria de add alguns peritos da seção que ainda não fazem parte do grupo.
Um colega perito falou que essa rom é paga, procede? Se sim, como viabilizaram a compra?
É pago o acesso ao site clansoft, que disponibiliza Roms e mais uma série de itens que podem nos ser útil, no dia a dia.
Como vocês custeiam isso ou é por amor a profissão com dinheiro próprio?
Passei dessa fase de tirar dinheiro do bolso para trabalhar.
Como não somos o primo rico, aqui me viro como posso, em parte faço por amor à camisa e parte visando investimento pessoal, pra aquisição de conhecimento, caso eu um dia consiga me aposentar com vida.
Tem bastante coisa útil.
Origem 152 — 11/07/2019 19:33 a 20:16 — Eu penso só no tempo de extração
Eu penso só no tempo de extração
Pensei a mesma coisa.. rsrsrs
Muitos gargalos complexos..
Aqui não teria mídia pra armazenar a extração.. 🤦🏻♂
Origem 153 — 12/07/2019 17:25 a 17:44 — Nenhum dos dois estava rooteado
o celular "alterado" estava rooteado antes da perícia?
Nenhum dos dois estava rooteado, pois não foi possível fazer extração fisica em nenhum
Até o horário é igual? Pensando se o remetente não apagou a mensagem e depois reenviou
Origem 154 — 18/07/2019 07:58 a 08:11 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia! Prezados(as), ontem estava com um aparelho que o UFED Touch 2 não reconhecia. Depois de algum tempo e várias tentativas desconfiei que era um problema de driver do SO do UFED.
De fato foi o que aconteceu. Abrir uma ocorrência na TECHBIZ e o suporte passou as instruções para a solução do problema.
Depois disso o aparelho foi reconhecido pelo UFED
Consegue nos passar a instrução [MENCAO]?
já ocorreu isso comigo, eu tive que dar um reset no touch2
foi após atualização de firmware, parou de reconhecer até sim card
1 - Conectar um mouse e um teclado nas portas USB auxiliares (atrás do UFED)
2- CTRL+ALT+DEL - Trocar de usuário para UFED MANAGER - senha [SEGREDO]
3- Remover o teclado e conectar o aparelho celular na porta USB Auxiliar, após verificar se o SO carregou o driver (no meu caso funcionou tranquilo)
4- Reiniciar o UFED e verificar se agora a aplicação reconhece o aparelho celular.
Espero que possa ajudar!!!
Origem 155 — 18/07/2019 11:56 a 11:56 — Multilaser MS60F, Android 7, alguma técnica pra extração física
Multilaser MS60F, android 7, alguma técnica pra extração física?
Origem 156 — 01/08/2019 13:18 a 13:39 — Cálculo e verificação de hashes em grande volume de arquivos
A data q ele foi sobrescrita pela data q ele mudou de mídia.
So se vc considerou a data de geração pelo nome do arquivo.
Então, minha duvida é que data eu posso considerar aí...
Depende da história do arquivo.
Esse arquivo tá armazenado num celular, foi gerado por um aplicativo que grava chamadas..
Pelas datas do sistema de arquivos, vc não tem como dizer qnd foi gerado. Só tem como dizer q ele chegou na mídia q está no dia 18
Isso. Foi o que pensei. Esse arquivo pode ter sido editado e retornado? Levando em consideração essa data de modificação?
Agora, se vc sabe q o gerador dele tinha a data correta, nomeia com a data de geração do arquivo e q ninguém renomeou o arquivo, então vc poderia afirmar a geração pelo dia 13/06/2019 as 7:29:41
Ou pode-se supor que ele está integro, mesmo estando a data de criação a frente?
O q se pode dizer é q ele não é o original, ele é uma cópia do original pq mudou a mídia após a modificação
Então, apesar de a data de criação apontar pro dia 18 (devido a cópia), o conteúdo dele mantem-se íntegro desde o dia 13. Correto?
A questão é: nessa cópia, ele foi corrompido?
Se foi, a data de modificação estará igual e vc terá dois arquivos diferentes em termos de hash
Você se refere ao corrompimento no procedimento de cópia, ou a uma possibilidade de modificação intencional?
No procedimento durante a cópia né?
A questão é q pra saber se não foi modificado, a melhor coisa é o hash mesmo.
Minha preocupação é com uma possível alteração intencional que pode ter acontecido entre a data de criação, supondo que ela seja essa do dia 13, e a data de criação, do dia 18.
Essas datas podem inclusive ser alteradas se o rapaz souber legal do posicionamento dos metadados no file system
O ideal era via hash ou passar para o pessoal de áudio pra detecção dessas coisas.
Na área de áudio não entendo nada nada, mas eles tem técnicas próprias para verificar isso.
Beleza... esclarecido! Obrigado nobre!
Isso aí já pode ser constatado em outro laudo com a equipe de peritos de áudio e vídeo que vão procurar elementos de alteração/edição no arquivo de áudio.
Origem 157 — 06/08/2019 11:20 a 13:03 — Extração e decodificação de bancos do WhatsApp
Pessoal, o valor de "timestamp" do msgatore.db é fidedigno? Não bate com o horário mostrado na tela do celular. Fuso encontrado no aparelho: +12. Nem convertendo para -3 bate.
mas não bate hora ou o horário completo, com minutos e segundos?
Convertendo esse valor: 20/09/2016 às 10:38:21 (GMT-3)
tem que ver se tem alguma coisa a ver com o horário do servidor, ou horário que a mensagem foi enviada ou recebida, horário configurado no aparelho... tem várias possibilidades
A questão é: o UFED pega esse valor do msgstore.db. Mas qual a veracidade dessa informação? Vem da rede?
O que não dá pra entender é essa conversão q não bate nem os minutos 🤦♂
não tem outras informações de horário na tabela?
pois é, estranho mesmo isso
ZAP trabalha com EPOCH
não sei que coluna é exatamente essa, mas provavelmente o timezone do celular deve estar para GMT-10
O UFED pega essa
o seu UFED está configurado para interpretar as datas para que zona?
E qual o erro? Passando para zona não dá a mesma hora e segundo?
Não bate os minutos
Nem a hora. Quando converte
A dúvida é: colocar as telas do celular com esse horário maluco ou a extração do UFED com o horário obtido da tabela
O "Tá bom", tá certo no meu
Convert epoch to human-readable date and vice versa
1474378701330
Timestamp to Human date [batch convert]
Supports Unix timestamps in seconds, milliseconds and microseconds.
Assuming that this timestamp is in milliseconds:
GMT: Tuesday, 20 September 2016 13:38:21.330
Your time zone: Terça-feira, 20 de Setembro de 2016 às 10:38:21.330 GMT-03:00
Relative: 3 years ago
1474378701330
Timestamp to Human date [batch convert]
Supports Unix timestamps in seconds, milliseconds and microseconds.
Assuming that this timestamp is in milliseconds:
GMT: Tuesday, 20 September 2016 13:38:21.330
Your time zone: Terça-feira, 20 de Setembro de 2016 às 10:38:21.330 GMT-03:00
Relative: 3 years ago
bota o UFED para zona do aparelho
entendi, no aparelho está diferente
Outra conversa. Tbm não bate
Celular UTC+12 (como chegou pra perícia) e UFED tbm UTC+12 seguindo o fuso do celular
O horário do celular devia estar errado na hora que a mensagem chegou
tem fuso que tem frção de hora em horário de verão, tem que ver isso tb
Mas teria que estar registrado em algum lugar esse horário
em tese, circula tudo GMT-0 EPOCH TIME, só converte na hora de mostrar
Essa seria a única explicação. Nesse caso o WhatsApp não consulta a tabela. Mas pega de onde? 🤔
Eu já fiz uns testes alterando o horário do celular para enviar e receber mensagens, e mesmo depois de corrigido o horário da mensagem permanece errado
vê no celular como está o ajuste de hora, se é manual ou da rede
se estiver manual, fortalece a tese da hora errada
O colega [MENCAO] , salvo engano, comentou certa vez q esse valor da tabela é da rede.
Resumo da ópera: não se pode confiar nesses horários mostrados no aparelho mas apenas no msgstore.db. Isto é, se tiver acesso ao arquivo.
Aí mata a charada: hora do aparelho errado e mgstore com horario da rede.
Engraçado isso, ele disponibilzar na tela uma coisa e armazenar outra.
A dúvida q fica é essa: de onde ele tira esse horário das telas...
Ei olharia nas mensagens SMS .
Tem dois horário lá. Um do aparelho e outro da rede. Aí compara.
O da tela é do cel, por exemplo, se teu celular ta adiantado a msg fica pra mim com o horario do neu cel e pra ti com o do teu.
Isso. Testei aqui. Tá explicado então
Origem 158 — 06/08/2019 19:36 a 19:38 — Extrações, importação e limitações no XRY
https://www.magnetforensics.com/blog/loading-xry-images-magnet-axiom/
SOLUÇÃO: Para quem tem XRY e quer abrir a extração no UFED. 👆👆👆
Origem 159 — 13/08/2019 12:59 a 14:38 — Extração e limitações em dispositivos Motorola
Agora tem q encontrar a vinculação do MAC ao IP nos logs da rede?
Ótimo! Vou procurar!
Tenho usado o Autopsy em alguns casos e tenho gostado muito. Inclusive na parte de programação de novos plugins
Eu gosto muito também.. esses plugins facilitam demais a vida..
<Mídia oculta>
SPAI_Model_Report_Module.7z
SPAI_Model_Report_Module.7z
👆👆 versão em que corrigi alguns trechos do código para a questão da codificação. Pode ser adaptado para o uso da seção de computação em que se encontram.
https://github.com/markmckinnon/Autopsy-Plugins/releases/download/1.2/Autopsy_Python_Plugins.exe
👆👆 instalador dos plug-ins (última versão).
já tô baixando...Muito obrigado 👍
Beleza. Vou olhar. Obrigado. Sou entusiasta do Autopsy! Tem me dado boas respostas, mais rápidas e diretas que o próprio FTK!
Show! De acordo, não podemos ficar limitados a uma única ferramenta; eu voltei a utilizar o Autopsy depois que tive insucessos para concluir um caso utilizando o IPED.
Atnigamente travava muito. Mas de um tempo pra cá, as novas versões vem se tornando mais rápidas e estáveis. Tenho usado bastante.
Boa tarde, colegas. No cenário atual, UFED x XRY, qual a impressão de vocês?
Na minha humilde opinião o xry não é um produto acabado, os relatórios conseguem ser piores que o do UFED. Acredito que a única vantagem perante o UFED é extração física de alguns poucos celulares Motorola. Vá feliz de UFED
Origem 160 — 20/08/2019 09:11 a 11:12 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal estou com um GT-S7273T com senha pra extrair. O UFED é compatível com o GT-S7270 e faz extração física via bootloader, porém quando utilizo esse perfil a extração é interrompida depois de cerca de 30% informando que é impossível ler o telefone. Já tentei com a bateria totalmente carregada e depois com alimentação diretamente pelos bornes com a USB e esbarro no mesmo problema. Alguma sugestão?
Vejo a possibilidade de algum problema na emmc, o que impede que ele complete o ciclo de leitura, você poderia tentar a extração “partial file system”, a qual pode extrair a senha, daí com ele inicializado e desbloqueado, faz extração lógica+apk downgrade+sistemas de arquivo+sdcard (se tiver), o somatório vai ser proximamente equivalente à extração física.
Erro na extração utilizando partial file system, acho que esse aparelho deve estar com algum problema físico mesmo
De qualquer forma muito obrigado pela dica
ja aconteceu isso comigo com um LG k10 TV. Dava falha em algum ponto da extracao fisica e o que conseguia nao era possivel abrir no Analyzer.. tentei umas 5 vezes e desisti ficando so com a logica e a partial
Caramba, deu falha em um APP de segurança e agora a extração partial file system tá progredindo 😨🤔
uma ideia que me vem é resfriar o aparelho no congelador um pouco antes de iniciar a extração. Mal funcionamento pode estar ligado com calor e aumento da resitencia
* mau funcionamento
tive um problema parecido com o teu em um GT-I9060L, o método bootloader chegava em 30% e dava erro. O procedimento adotado foi realizar o root via kingoroot e posteriormente fiz a extração física via adb root. Dessa forma acabou funcionando
Consegui a senha via partial file system. No momento ele tá no congelador, depois vou tentar a mesma extração via bootloader... Se o erro persistir, vou tentar via adb pois já tenho a senha
Origem 161 — 20/08/2019 15:36 a 16:14 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde, pessoal. iPhone 5s não tem como fazer nada mesmo não? Com o 4PC?
Pessoal, só a nível de feedback Sobre esse caso, com a extração parcial file system recuperei a senha, com a senha inicializei o dispositivo, na tentativa de fazer root o mesmo dava erro usando o kingo root... Percebi a existência do App antivírus security master (consegui na sorte adivinhar a senha do mesmo), desabilitei o app, consegui fazer root e após fazer root. Após o procedimento obtive sucesso na extração física via bootloader
Origem 162 — 21/08/2019 13:29 a 13:29 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde senhores. Essa extração rápida, do Magnet Acquire.. é possível abri-la no PA?
Origem 163 — 22/08/2019 09:56 a 10:11 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia senhores e senhoras!
Aqui na seção usamos o UFED Touch 1 e percebi que quase 100% dos casos que um smartphone da marca LG está bloqueado com senha não consigo desbloqueá-lo ou quando a extração é via bootloarder está criptografada. Isso também ocorre com muita frequência ou conseguem desbloquear e/ou extrair com equipamentos mais recentes?
Aqui na seção usamos o UFED Touch 1 e percebi que quase 100% dos casos que um smartphone da marca LG está bloqueado com senha não consigo desbloqueá-lo ou quando a extração é via bootloarder está criptografada. Isso também ocorre com muita frequência ou conseguem desbloquear e/ou extrair com equipamentos mais recentes?
No Touch 2 existe a opção de decrypted Bootloader para alguns modelos de LG
Já fiz e deu certo
Origem 164 — 26/08/2019 19:09 a 19:16 — 👍 / Acho que o grande diferencial do SPITools foi zerar as mídias
👍
Acho que o grande diferencial do SPITools foi zerar as mídias mantendo os metadados, burlando as limitações de espaço de extração. Outro grande avanço foi o automatizados feito pelo [MENCAO] . É indispensável utilizar ele já que vc não precisa ficar clicando em cada contato e exportar item por item.
Acho que o grande diferencial do SPITools foi zerar as mídias mantendo os metadados, burlando as limitações de espaço de extração. Outro grande avanço foi o automatizados feito pelo [MENCAO] . É indispensável utilizar ele já que vc não precisa ficar clicando em cada contato e exportar item por item.
Eu iniciei o SPITools mas ele é mérito da SPI/PCDF, por isto leva seus pacotes o seguinte id: org.pcdf.emailspitools (para os programadores android).
O perito [MENCAO] tentou por diversas vezes fazer contato com a equipe do email bkp para arquivo, mas não houve retorno... Gostaríamos de ter tido acesso aos fontes para poder construirmos uma solução conjunta.
O perito [MENCAO] tentou por diversas vezes fazer contato com a equipe do email bkp para arquivo, mas não houve retorno... Gostaríamos de ter tido acesso aos fontes para poder construirmos uma solução conjunta.
desculpe, *automatizador feito pelo...
Origem 165 — 27/08/2019 16:47 a 16:47 — Compatibilidade de modelos e métodos de extração no UFED
Entendo [NOME], pois é, aqui temos serviço de mais pra pensar em deixar de fazer serviço de operações, reu preso, ordens judiciais para deslocar um perito da nossa área pra ir pra rua para realização de extração de imagem. Sobre Áudio e Vídeo, aqui fizeram a mesma coisa. Não fazem mais simples transcrição
Origem 166 — 11/09/2019 09:48 a 10:10 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Amigos estou com um problema! Quando é feita extração com apk downgrade no UFED, após a indexação com o PA as fotos e aufios não são link"ados" no relatório! Isso acontece com mais gente?
Pra "corrigir" esse erro! Foi repassado um esquema de copiar as pastas das mídias pra dentro da extração através de uma nova indexação usando perfil "Samsung jtag" ..... Funciona! Todavia, queria saber se não tem um método mais fácil! Ou uma correção no sistema! Ou se eu tô fazendo alguma coisa errada!
Prezados, bom dia. Alguém do grupo tem algum Parecer, ou processo que tenha sido concluído por inexigibilidade nas suas instituições para aquisição do UFED da Cellebrite?
Se sim, por favor, envia pra mim.
<Mídia oculta>
Contrato nº 50-2018 (Solução extrato dados dispositivos móvesi) Techbiz Forense Digital
Contrato nº 50-2018 (Solução extrato dados dispositivos móvesi) Techbiz Forense Digital
<Mídia oculta>
Termo de Referência - Pericia Celular - UFED4PC
Termo de Referência - Pericia Celular - UFED4PC
Qualquer dúvida fala com [NOME]
Origem 167 — 16/09/2019 15:43 a 15:54 — Extração e análise de mensagens do WhatsApp
Alguém já conseguiu fazer extração física Motorola XT1640 Patch segurança 1/04/2018. Sem senha, WhatsApp não abre afirmando versão tornou-se obsoleta 16/04/2019?
Já tentei várias extrações no UFED e nada funciona
Altera a data do aparelho para antes dessa data
Altera a data do celular para uma data próxima da apreensão do equipamento. O whatsapp voltará a funcionar. Aí vc efetua a extração e ele extraí.
Daí vc consegue acessar
Algum sucesso em extração física?
Havia alterado a hora mas não reinicie, pelo menos um WhatsApp abriu o outro solicitou que atualização data e hora. Exportar as conversas na mão tá meio inviável... São muitas conversas
Pessoal equipe manto é um LG K12+ Chipset MT 6762. Com senha!
Origem 168 — 17/09/2019 08:36 a 09:49 — Bloqueio FRP e conta Google em dispositivo Android
Alguém já teve sucesso no desbloqueio desse aparelho?
Este com frp Lock ativado
Consegui fazer sistema de arquivos , com contorno de bloqueio
A partial file system vai pegar a senha dele, se ele estiver com o protocolo mtp habilitado.
Conseguimos efetuar o desbloqueio via firmware da clansoft
Lembra de o frp tava ativado?
https://thehackernews.com/2019/09/whatsapp-delete-for-everyone-privacy.html?m=1&fbclid=IwAR1sYGHTmtAigXaKHwp25gtJzY-gl2CTzSatkUOVteoVTCSx4wibOsMf6wI
Prezados, segue script com alteração para exportação em ufdr (reader) em versoes superiores a 7.19, que apesar da correta importação das mensagens, na geração do relatório para ufdr, não eram levadas as conversas dos bate-papos importadas (o processo de exportação do UFED ignorava caso o contador de mensagens fosse =0). Esse problema foi corrigido pelo Perito Augusto das SPI/IC/PCDF.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/spi_ufed_whatsapp_email.py
Quando se faz o flash da firmware inteira, no caso das roms do Clan Soft, o FRP Lock não interfere.
Origem 169 — 17/09/2019 11:52 a 13:52 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia! Alguma sugestão pra desbloquear o dispositivo Samsung GT-S5830C?
Aqui usamos o UFED Touch 1.
Entendi... Obrigado [NOME]
[NOME] esse cara não tem FRP, dá pra fazer via cwm ou twrp, daí ao invés de desbloquear, já faz o backup via twrp, direto pra um sdcard, e já processa esse backup direto no PA, já pega tudo, inclusive a senha, equivalendo a uma extração física.
Origem 170 — 18/09/2019 09:38 a 10:04 — Extração Samsung em modo Download/ODIN
Bom dia, alguém tem uma solução para este problema, aconteceu com um Samsung A7, deu um erro durante a extração, no qual a tela congelou neste ponto e não carregou mais👇🏻
Veja se sai da tela
Coloca o cabo 133
Ele vai entrar no modo download
Aí tenta fazer uma extração física
Valeu [NOME], vou tentar aqui, obrigado 👍🏻
Se não resolver vai no sammobile e baixa a firmware dele e instala no odin
Ele vai ligar e não vai perder os dados
Depois diga se deu certo!
Origem 171 — 18/09/2019 13:16 a 13:55 — Extração e root em dispositivos LG
Boa tarde! Algum método para desbloquear o dispositivo LG-M250.ds? Já usei a extração física via bootloarder mas estava criptografada.
Tentou o perfil do Chipset? Mt6750
Não. Irei testar. Obrigado.
O touch2 consegue desbloquear, a outra forma que eu usei foi através de uma box chamada Falcon. Provavelmente qualquer forma de extração física que não seja decriptada não vai dar certo.
Infelizmente, ainda não temos o UFED TOUCH 2. Irei verificar essa box. Obrigado.
Origem 172 — 19/09/2019 09:54 a 09:54 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia, alguém já conseguiu fazer extração física do Alcatel 6055b? Já foi tentado realizar EDL do Qualcomm e boot loader dos aparelhos semelhantes
Origem 173 — 23/09/2019 16:20 a 16:20 — Extração e limitações em dispositivos Motorola
Boa tarde.
Fiz uma extração física de um Motorola que está bloqueado com padrão. Porém o Ufed não revelou a sequência do padrão. Existe alguma ferramenta paralela ou macete para encontrar o gesturekey na imagem binária?
Fiz uma extração física de um Motorola que está bloqueado com padrão. Porém o Ufed não revelou a sequência do padrão. Existe alguma ferramenta paralela ou macete para encontrar o gesturekey na imagem binária?
Origem 174 — 29/09/2019 11:06 a 11:56 — Bootloader, desbloqueio OEM e risco de wipe
Eu tive esse mesmo problema durante uma extração de J6 com 4PC. A Cellebrite informou apenas que isso pode acontecer quando faz extração física de modelos "primos" . Na referência não tinha a letra T. Segue a mensagem de erro na inicialização 👇🏼
T acho que é de TV. Do sistema SBTVD. Nisso, pode mudar o endereçamento físico o que pode mudar a exploração de alguma vulnerabilidade. Porém, geralmente não faz diferença. O que faz a diferença geralmente é a versão do bootloader
Origem 175 — 01/10/2019 14:08 a 14:08 — Extrações, importação e limitações no XRY
Boa tarde! Nokia Asha 205 (RM-862)... Dá suporte no UFED mas não enviaram o cabo. No XRY tem o cabo mas não faz a extração. 🤦🏻♂
Origem 176 — 07/10/2019 09:13 a 09:13 — Extração e análise de mensagens do WhatsApp
Bom dia. Alguém sabe uma forma de extrair WhatsApp (sem extração física) quando o celular usa Parallel space?
Origem 177 — 10/10/2019 13:05 a 13:16 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Tô com outro celular aqui, um motorola G5, xt1672. Ele liga normal na bateria, e no usb tb, mas se eu tiro do usb ele se desliga
tentando fazer uma extração smart adb nele
só q requer aquela etapa do cabo 500/otg
quando solto o usb, ele se desliga
alguma ideia do q seja/
Ele sozinho na bateria funciona tb
sem usb, sem nada. Ele se desliga quando eu desplugo o usb
Já consegui instalar essa compilação e executar o SuperSu com sucesso, aparece erros na pasta Data mas permitir realizar a extração física sem problemas.
👍🏻👍🏻 então a extração q tá rodando aqui vai vir tudo ok
Estranho. Pode tentar talvez com um hub usb
o celular tava meio surrado, coloquei a placa principal dele em outro de mesmo modelo
e a mesma coisa acontece
talvez tentar botar ele em edl por testpoint? Mas nunca fiz, alguém tem ideia como faz nesse modelo?
Origem 178 — 10/10/2019 13:31 a 14:23 — Extração e root em dispositivos LG
O dispositivo informativo LG M250ds que estou examinando está bloqueado com senha. Fiz a extração física via bootloarder mas estava criptografada. Já conseguiram desbloquear este modelo? Aqui no momento só o UFED TOUCH 1.
Fiz dois essa semana mas nenhum apresentou esse problema. Com extensão USB acontece Tb?
Pois é, tenho outro celular igualzinho, e vai sem problemas =/
Origem 179 — 10/10/2019 15:58 a 17:20 — Conexão USB, ADB e diagnóstico de porta em Android
Já tentou trocar a bateria? N será problema na pinagem de energia da porta USB do aparelho com curto ou outro problema?
Se colocar no UFED e selecionar autodetec, ele vai detectar como xt1673 e com esse perfil tu consegue fazer a fico usando os cabos 500 e 501... Pelo menos comigo funcionou ontem assim, no perfil xt1672 não obtive êxito na extração
Isso, só q quando tiro o cabo 100 pra por o 500 no UFEd, o celular se desliga
Origem 180 — 10/10/2019 18:18 a 18:24 — Compatibilidade de modelos e métodos de extração no UFED
O 500 tá programado para extração ou para quebra de senha? Vai em ferramentas e programa ele para extração caso esteja para quebra
Tá para extração. Mas mesmo no laptop isso acontece, basta desplugar de uma usb q ele se desliga.
Liga normal na bateria
Origem 181 — 14/10/2019 09:53 a 09:54 — Conexão USB, ADB e diagnóstico de porta em Android
Manda pra mim tbm...Por favor ..aqui no PR temos um trabalho parecido e estou estruturando um material que hoje não temos...
Pessoal, bom dia. Temos um UFED Touch1. Estou tentando uma extração smart adb de um xt1792, utilizando o perfil xt1793. Mas toda vez que está na etapa do cabo 500, dá algum erro, seja impossível ler mem., ou primeiro atempt failed.
Engraçado é q tem aparelho de mesmo modelo q vai tranquilo
Vcs sabem dizer qual o problema? Tô desconfiado do fato do aparelho estar com o Android Oreo
Sabem dizer se o smart adb funciona com o oreo?
ou só o 7.0 / 7.1?
Origem 182 — 17/10/2019 08:43 a 09:15 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, colegas! Alguma possibilidade de extração para um K11+ bloqueado?
Tentei as opções pro modelo no ufed sem sucesso! 🥺
Tb tenho tido problemas com k11 e k12
Então, já era? Hehehe
Só pra garantir...
Tínhamos um aqui em Lages
Chipset não é compatível com o cellebrite
Esse mesmo Chipset
Era de uma caso importante nosso, com envolvimento de crime organizando! O seguimos aqui apoio da PF e encaminhamos o celular pra tentar desbloquear no "premium". O aparelho retornou sem sucesso!
Encaminhei uma mensagem ao suporte da cellebrite informando que tratam-se de aparelho populares cuja demanda vai aumentar. Eles ficaram de criar um perfil
Aparelho a título de conhecimento custa em torno de 700 taokeis!
Solução, Nati, nois já sabemos! Fogo!
Bom pegar a opinião de quem já enfrentou uma “barra” dessas!
Pra não ficar perdendo tempo com “quem não merece”! 🤣
Origem 183 — 17/10/2019 18:33 a 19:46 — Recuperação de mensagens e vestígios do WhatsApp
Pessoal sm-j410g algum milagre pra fazer física? Tentei todos os métodos disponiveis no ufed
Celular sem senha
Faz a lógica e a de sistema de arquivos. Depois tenta extrair o WhatsApp (apk downgrade), messenger, etc.
Tentando Fazer isso nesse momento, downgrade APK
👍🏻Conseguindo o zap já é meio caminho andando.
Consegui aqui com downgrade
Downgrade faz milagres!
Downgrade tem sido a salvação em alguns casos
A hora que começa o downgrade eu chego a sair de perto!
Esse dias eu não vi que tava fora da tomada e acabou a bateria do ufed bem na hora do downgrade.....
Aquele friozinho na barriga
Conseguiu recuperar?
O equipamento conseguiu extrair as mensagens do whatsapp! mas o aplicativo não funcionou mais! O
Eu ia ligar na rede e atualizar o whatsapp
Mas achei muito arriscado
Deixei assim mesmo
Baixa no apkpure.com a versão mais recente e instala via adb
Origem 184 — 24/10/2019 10:57 a 11:16 — Root e extração em iPhone 8 Plus
Bom dia, pessoal! Tô com um iPhone 8 Plus 256 GB, tentando extrair no Touch1, aparece o perfil, mas nenhuma das extrações de sistema vai, fica dando aquele erro de "Impossível ler mem. do telefone"
Aparece a janela descrevendo o aparelho, mas depois dá esse erro
Já tentou usar o próprio Physical Analyzer?
Boa. Nunca usei, mas a licença nossa é antiga, não sei se suporta, vou verificar aqui 👍🏻👍🏻
https://www.ufpr.br/portalufpr/noticias/professora-da-ufpr-e-primeira-mulher-eleita-coordenadora-do-comite-tecnico-da-internet-do-ieee/
Massa! Ela participou da minha banca do TCC na graduação; ela manda bem
O ensacado não quer mais iniciar o sistema.
Rola Odin sem perder os dados? Alguém já passou por isso.
Minha conterrânea. A conheci em Fortaleza. O prof. Aldri [NOME] que trabalha com ela na UFPR foi da minha banca de mestrado. Ambos excelentes professores.
E ele meu orientador kkk são bons mesmo
Acabou de dar isso aqui nunca caso
Fiz isso esses dias! Reinstalei a rom, fiz novo root e voilá: consegui a extração física
J570m
Só odin ebtao
Como resolver esse erro?
Mundo pequeno. Diz pro Aldri que o Marcus [NOME] de Fortaleza mandou um abraço. 😉
Mas era Samsung!
Busca rom dele e instala via odin
Tem uns tutoriais na internet
Origem 185 — 28/10/2019 17:21 a 17:21 — Extração e compatibilidade em Samsung SM-G360M
Boa tarde! Alguém tem alguma dica pra fazer a extração de um Samsung Galaxy Win 2 (SM-G360M) que está bloqueado por senha tátil?
Origem 186 — 29/10/2019 12:05 a 12:39 — / Identificar a senha realizando a extração do sistema parcial de arquivos. Ou
Boa tarde! Algum programa para fazer um full backup do espaço virtual do Parallel space?
Boa tarde!
Identificar a senha realizando a extração do sistema parcial de arquivos. Ou aplicando o TWRP e excluindo os arquivos relacionados a senha.
Identificar a senha realizando a extração do sistema parcial de arquivos. Ou aplicando o TWRP e excluindo os arquivos relacionados a senha.
Origem 187 — 05/11/2019 11:18 a 12:15 — Extração e root em dispositivos LG
Está vendo esse mouse? Custou US$ 15 e pode se infiltrar na sua rede https://cio.com.br/esta-vendo-esse-mouse-custou-us-15-e-pode-se-infiltrar-na-sua-rede/
bom dia, alguem tem solução pra extracao de dados do LG-A275 ?
Clone um chip virgem no ufed e coloque no sim1 e ele extrai os contatos. O restante é braçal.
Registro de chamadas e sms, só copiando manualmente.
vou tentar aqui pelo menos os contatos..sao 78 no aparelho e 154 no chip 🤦🏽♂
Sms rola copiar pro SIM também. Acredito que de 20 em 20.
A275 não consegui
Origem 188 — 06/11/2019 15:57 a 17:36 — Extração e análise de mensagens do WhatsApp
Vai em segurança> permissões e remove as permissões do aplicativo e depois se você for em aplicativos você consegue parar ele
<Mídia oculta>
spiWhatsAppExtracaoManual.py
spiWhatsAppExtracaoManual.py
Estamos produzindo um mais completo. Este tem que ser adaptado ao caso. Algumas versos do WhatsApp mudam as strings associadas ao método de envio: Envia por e-mail, exportar conversa, etc..
Instruções para instalação da biblioteca do androidViewClient, utilizando Python 2.7
https://github.com/dtmilano/AndroidViewClient
Origem 189 — 08/11/2019 06:48 a 08:26 — Bootloader, desbloqueio OEM e risco de wipe
Obrigado pela dica, [MENCAO]! O autopsy me surpreendeu, detectou muita coisa do binário android.
Bom dia, pessoal! Alguém sabe como fazer "na mão" extração física através da técnica de acesso ao T-Flash (a mesma q o cellebrite usa pra extrair samsung J500M, G530H)? Há algum site documentando como?
Aquela q fica aparecendo a mensagem vermelha T-FLASH T-FLASH no download mode 🤪
No T-FLASH é explorada uma vulnerabilidade em uma função que existe no binário do bootloader que é responsável por fazer um dump da imagem da partição de boot
para isso é copiada para memória um endereço para depois se gravar no sdcard a imagem do bootloader
a vulnerabilidade é no caso dessa função que não controla direito um endereço relativo de onde está na nand o bootloader
problema que já corrigida a vulnerabilidade pela samsung
dá para fazer ela usando o heimdall (ODIN opensource)
vc manda o comando do TFLASH porém chama várias vezes o T_FLASH passando o endereço relatico errado (inclusive, os primeiros endereços são negativos)
o problema é calcular esses "endereços" relativos
varia de aparelho para aparelho
por isso o T-FLASH precisa do SDCARD
e por isso é chamado várias vezes, pq a função ler bloco fixo
no protocolo ODIN, vc chama o comando id 0x65 (para ler a PIT)
Esse processo é descrito em um arqitog de uns Coreanos (só pra variar), deixa eu procurar aqui
https://www.sciencedirect.com/science/article/pii/S1742287617301317?via%3Dihub
https://doi.org/10.1016/j.diin.2017.09.003
Já tem uns anos essa técnica, nos novos bootloader não funciona mais
Muito obrigado, [MENCAO] !
Origem 190 — 08/11/2019 10:06 a 11:31 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia! Estou com um Samsung J500H, que a opção de desenvolvedor não está sendo exibida, após realizar o procedimento de apertar 7 vezes o número de compilação do Android. Alguém já superou esse problema?
Sobre um G570M Android 8. Alguém já fez downgrade da rom pra android 6 e depois root, para uma extração física?
Mantendo a userdata, no caso?
Semana passada eu fiz uma tentativa de quebra de senha usando o ufed
Esse tá desbloqueado
Tens acesso ao clansoft?
Lá tem downgrade já com root
Mas acredito que ele vá zerar
Beleza, vou fazer as extrações de sistema e lógica e depois tentar
no UFED novo tem opção física (com contorno de bloqueio). E tb acho que tem uns combinations que vc flasha no ODIN que habilitam o ADB
Qual versão do UFED vc tem? Fizemos vários G570M bloqueados, Android 8.0, compilação G570MUBU6CSF1, patch de 01/06/2019 com Decrypted Exynos usando UFED 7.24
Touch1, licença vencida em julho/2018 😔, não atualizam mais
sem chance rs. Dependendo do binário, no Clansoft tem uma flash para REMOVER SENHA SEM PERDER DADOS SM-G570M BINARY U5, só até binário U5, no caso dos G57M daqui, eles já estavam com U6
tá desbloqueado pelo menos
Origem 191 — 19/11/2019 14:37 a 15:27 — Extração e análise de mensagens do WhatsApp
Senhores boa tarde, a última versão do WhatsApp inviabilizou a possibilidade de ele ser eleito como aplicativo passível de retrocesso de versão, tenho tentado algumas formas pra voltar, manualmente, pra uma versão de setembro, por exemplo, sem perca de dados, mas ainda não obtive sucesso, alguém já enfrentou esse problema e conseguiu retroceder a versão, ou usaram alguma outra solução pra extrair WhatsApp com versão do final de novembro, que não se consegue fazer extração física??
Senhores boa tarde, a última versão do WhatsApp inviabilizou a possibilidade de ele ser eleito como aplicativo passível de retrocesso de versão, tenho tentado algumas formas pra voltar, manualmente, pra uma versão de setembro, por exemplo, sem perca de dados, mas ainda não obtive sucesso, alguém já enfrentou esse problema e conseguiu retroceder a versão, ou usaram alguma outra solução pra extrair WhatsApp com versão do final de novembro, que não se consegue fazer extração física??
Hehehe fui buscar ajuda no nosso grupo estadual!
Estamos com o mesmo problema aqui!
Não se aplica o spitools ou o whatsapp emailbkp?
A cellebrite disponibilizou uma atualização beta do Touch 2 que corrigiu PARCIALMENTE*** o problema do apk downgrade
Se não estiver disponível solicitar pelo suporte deles
TOUCH2
https://cdn5.cellebrite.org/Forensic/Test_Versions/UFED/Touch2/Generic_5G_UFED_APK_fix_201911030745.cpkg.zip
4PC
http://cdn5.cellebrite.org/support/UFED 4PC/Cellebrite UFED Setup 7.20.0.65 UFED4PC (Fat) SFX.exe.zip
***Realizei o teste de identificação do whats instalado com 3 modelos diferentes:
-Galaxy S9, whatsapp v 2.19.328: identificou o whats no Touch 2 com a versão Beta (em outro Touch 2 sem a versão beta não identificou)
-Xiaomi Redmi 6, whatsapp v 2.19.327: identificou o whats no Touch 2 com a versão Beta (em outro Touch 2 sem a versão beta não identificou)
-Galaxy S7, whatsapp v 2.19.324: NAO identificou o whats no Touch 2 com a versão Beta
Se não estiver disponível solicitar pelo suporte deles
TOUCH2
https://cdn5.cellebrite.org/Forensic/Test_Versions/UFED/Touch2/Generic_5G_UFED_APK_fix_201911030745.cpkg.zip
4PC
http://cdn5.cellebrite.org/support/UFED 4PC/Cellebrite UFED Setup 7.20.0.65 UFED4PC (Fat) SFX.exe.zip
***Realizei o teste de identificação do whats instalado com 3 modelos diferentes:
-Galaxy S9, whatsapp v 2.19.328: identificou o whats no Touch 2 com a versão Beta (em outro Touch 2 sem a versão beta não identificou)
-Xiaomi Redmi 6, whatsapp v 2.19.327: identificou o whats no Touch 2 com a versão Beta (em outro Touch 2 sem a versão beta não identificou)
-Galaxy S7, whatsapp v 2.19.324: NAO identificou o whats no Touch 2 com a versão Beta
Boa tarde, apesar de não ser o assunto do grupo, algum dos colegas tem um levantamento recente de salários de peritos no Brasil?
Ou sabe quem tem que pudesse disponibilizar o contato?
Sou [NOME] da Pericia Forense do Ceará!
Origem 192 — 27/11/2019 10:22 a 10:38 — Celular Android (J120M) formatado. Consegui uma extração física completa. Teria alguma
Bom dia! Recebi um celular Android (J120M) formatado. Consegui uma extração física completa. Teria alguma forma de verificar quando essa formatação ocorreu? E se foi remota pelo Google ou manualmente pelo recovery?
Estou vendo os log de recovery, mas é um tanto bagunçado lá.
tem o arquivo last_log
na seção não categorizados
Isso, é o da partição recovery. Mas lá não encontrei se indica como foi a formatação, se foi manual, ou se foi pelo google.
Naquela opção remota de dar o limpa
Origem 193 — 05/12/2019 14:13 a 16:06 — Extração e análise de mensagens do WhatsApp
Boa tarde, senhores! Ontem a ferramenta Forensic Tools, desenvolvida pelo Perito [NOME] Aleksandravicius do RJ, foi atualizada para a versão 2.0. Nessa nova versão, a ferramenta oferece a extração do WhatsApp para TODAS as versões do Android!!!
https://ft.forensicdesk.com/
Quem tiver interesse basta me enviar o e-mail que faço o convite.
Para realizar o download da ferramenta é necessário receber um convite e, após, efetuar login na página acima.
Vou te enviar no pv agora
Estou enviando o e-mail no privado
Obrigado
[EMAIL]
[EMAIL]
Parabéns 👏👏👏
[EMAIL]
[EMAIL]
Acho que consegui atender todos os pedidos. Se alguém não recebeu o convite, me notifique por favor.
Não expliquei antes, mas após o login, no canto superior direito, ao passar o mouse sobre o seu e-mail, abre um menu com a opção "invite friends". Todos podem realizar e gerenciar novos convites.
E qual o HID code?
Origem 194 — 13/12/2019 12:06 a 12:06 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia senhores, tentei fazer a extração física em um LG G5 no UFED Touch 2, e o UFED colocou o telefone em estado QDLoader 9008 (modo EDL) de forma permanente, não retornando mais a funcionalidade do aparelho, pergunto se alguém já passou por isso, e se já usaram alguma solução para retirar o aparelho do modo QLoader 9008 ou modo EDL, e retornar a funcionalidade normal do aparelho.
Origem 195 — 18/12/2019 18:17 a 19:17 — Extração e análise de mensagens do WhatsApp
Eu conversei com o [MENCAO] no privado sobre o Android 9. O Forensic Tools realiza a extração do Whatsapp em qualquer versão do Android. No momento a licença da ferramenta não permite a extração em aparelhos com Android 9. Em breve lançaremos uma atualização e os ICs do Brasil poderão utilizar todas as funcionalidades do Forensic Tools.
Nao tenho conseguido fazer a extração do whatsapp com o FT nos aparelhos mais novos com Android anterior ao 9. Não consegue fazer o downgrade do app
Origem 196 — 19/12/2019 13:31 a 18:20 — Triagem visual de imagens e vídeos no IPED
Aqui depois da imagem dd produzida, montamos ela com o APFS Fuse, e apartir daí então, rodamos o IPED em cima da imagem montada, imagino também que o Autopsy e outros também consigam reconhecer os dados, depois da imagem montada.
Entendi. Irei testar. Obrigado.
[NOME], sabe se esse APFS Fuse suporta HFS+ também? Ou só APFS mesmo?😬
É que não me recordo se já tentei usar o IPED em unidade HFS+..
Vi que o Autopsy tem suporte ao sistema de arquivos HFS+.
Não tenho certeza sobre o HFS+, mas tenho a impressão que sim.
Pegamos nesse blog.
O sleuthkit na versão mais nova suporta apfs setando a senha se não me engano
Só tem que ver se o macbook tem o chip t2 ou não...aí só bootando pelo Mac os mesmo
Sistema de arquivos APFS.
Não mostra que tem o chip T2.
descobre pelo modelo dele, consulta no google a spec
Existe um impasse na clonagem via boot com o [NOME]
Partição criptografada
Costumo usar o ftkimager da accesdata
Tem uma versão linha de comando
Show! FTK imager para Mac via USB. Irei testar.
tenta essa sintaxe # ftkimager "file system que deseja copiar" "destino da imagem" --e01 --frag 2GB --print-info --compress 8
Último caso que fiz de um macbook mais novo, não consegui utilizar o ftkimager pois o kernel tem uma proteção de acesso aos disk
E o ftkimager não tava deixando utilizar o rdisk
Tive que bootar em recovery mode desabilitando a flag e utilizar o disk utility via linha de comando para realizar a cópia
Fica aí a info, não sei se eh o seu caso
Boa dica! Ja anotei aqui.
Eu tenho o passo a passo mas de cabeça não vou lembrar
Compartilha no grupo.
Uma vez tomei cafe com o [NOME] em Brasilia e em poucos minutos o carioca estava repassando várias boas dicas pra execução de exames. Esse grupo é ótimo!
Quando utilizei esse procedimento o sleuthkit não lia apfs
Pode ser interessante tentar pelo sleuth
Mas o comando acima desabilita a flag de kernel
Origem 197 — 23/12/2019 08:25 a 09:24 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia, pessoal.
De vez em quando, a promotoria aqui empolga com aquelas "box" de celular e fica querendo que façamos um projeto para comprá-las. Minha dúvida é: até que ponto elas podem ajudar? Tem algum Estado que as usa e poderia compartilhar aqui a experiência? Eu me lembro que alguém aqui consegui extrair dados de um celular que estava com um afogado. Fora isso, teve mais algum caso interessante?
Desde já, agradeço. Abraços.
De vez em quando, a promotoria aqui empolga com aquelas "box" de celular e fica querendo que façamos um projeto para comprá-las. Minha dúvida é: até que ponto elas podem ajudar? Tem algum Estado que as usa e poderia compartilhar aqui a experiência? Eu me lembro que alguém aqui consegui extrair dados de um celular que estava com um afogado. Fora isso, teve mais algum caso interessante?
Desde já, agradeço. Abraços.
Bom dia, aqui em MT estamos fazendo a aquisição de duas, mas não temos experiência a repassar. Estamos comprando com um dinheiro viabilizado junto ao MP daqui.
Aqui no Paraná temos. Alguns casos são úteis. Já consegui extração física em celular que ferramentas forenses não foi e na box foi. Também é útil para coisas tipo desabilitar FRP. Ainda assim é raro usar, mas pelo preço acho que vale a pena.
São importantes para celulares Android sem criptografia, principalmente
Aqui em Pernambuco não temos. Todos os estados deveriam ter, na minha opinião.
Seja pra jtag ou chip off
Só que com o passar do tempo essas boxes vão perdendo a sua utilidade, creio. Devido à criptografia dos celulares mais novos. Pelo menos chip off creio q não dá certo num celular criptografado
Jtag talvez consiga descriptografar em alguns casos 🤔.
Qual foi o critério que vocês usaram para escolher as boxes? E onde compraram?
A diretoria de inteligência da pcpe tem o easy jtag, falam bem dele
Parece ser mais focado para extração. Kits como medusa pro trazem mais funcionalidades, mas muitas sem utilidade para a área forense, como alteração de IMEI etc
Eles compraram pela Aliexpress. Mas são da inteligência né... Têm aquelas verbas malassombradas q não precisa prestar conta eheh
Semana passada fiz a extração física de um LG K9 pela box Octoplus, que o UFED não fez; já desbloqueei dois Samsung SM-J530G pela box EFT; a box UMT tem uma funcionalidade pra produzir arquivos para bypass de senha; finalmente consegui achar uma forma de extrair a família 532MT, da Samsung, quando estão travados, quando o cellebrite não consegue, através de um procedimento só viabilizado por meio de alguma box. Alguns exemplos daqui. São uma possibilidade a mais.
Origem 198 — 27/12/2019 13:20 a 13:20 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia senhores. Recebi alguns hds aqui de dvrs intelbras. Existe alguma maneira de fazer a extração diretamente pelo hd, sem precisar dos aparelhos? Já ouvi falar algum colega desenvolveu uma solução que faz a extração desses aparelhos. Alguém conhece?
Origem 199 — 14/01/2020 16:51 a 16:51 — Extração e compatibilidade em Samsung SMARTPHONE
Pessoal, só pra compartilhar com vocês a solução. Extração física celular marca POSITIVO, modelo S530 bloqueado por senha.
Não possui compatibilidade do modelo no UFED.
Pesquisei o chipset no site pdadb.net e encontrei o seguinte:
Positivo Twist S530
Positivo Twist S530
2018 Jun 24, Smartphone, 75.3x149.2x9.9 mm, Android, MediaTek MT6580, 1.00 GiB RAM, 16.0 GB ROM, 480x854, 5.2 inch, Color TN-TFT LCD display, Dual standby operation, GPS, 8.0 MP camera, 8.0 MP 2nd camera, Light sensor, Proximity sensor, 2200 mAh battery | All detailsAll details | Add this item to the comparison
Procurei algum perfil Android mediatek MT6580. Encontrei o perfil no UFED "mediatek mt6780" e segui o procedimento recomendado para extração física e as extrações física e sistema de arquivos foram concluídas com sucesso
Não possui compatibilidade do modelo no UFED.
Pesquisei o chipset no site pdadb.net e encontrei o seguinte:
Positivo Twist S530
Positivo Twist S530
2018 Jun 24, Smartphone, 75.3x149.2x9.9 mm, Android, MediaTek MT6580, 1.00 GiB RAM, 16.0 GB ROM, 480x854, 5.2 inch, Color TN-TFT LCD display, Dual standby operation, GPS, 8.0 MP camera, 8.0 MP 2nd camera, Light sensor, Proximity sensor, 2200 mAh battery | All detailsAll details | Add this item to the comparison
Procurei algum perfil Android mediatek MT6580. Encontrei o perfil no UFED "mediatek mt6780" e segui o procedimento recomendado para extração física e as extrações física e sistema de arquivos foram concluídas com sucesso
Origem 200 — 21/01/2020 15:57 a 16:57 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, blz? Boa tarde. Fiz a extração lógica de um J500M aqui e deu bastante conteúdo de pedofilia. Por isso fui tentar fazer física.
Fiz o procedimento para root, porém ele não sai da tela inicial. Não inicia.
.
Baixei o firmware original, porém é daqueles com apenas um arquivo. Sei que quando são vários arquivos, basta eu optar pelo HOME_CSC que não perco as informações.
.
Porém quando é um único arquivo .tar.md5, sabem dizer se ele dá um wipe ou não?
Fiz o procedimento para root, porém ele não sai da tela inicial. Não inicia.
.
Baixei o firmware original, porém é daqueles com apenas um arquivo. Sei que quando são vários arquivos, basta eu optar pelo HOME_CSC que não perco as informações.
.
Porém quando é um único arquivo .tar.md5, sabem dizer se ele dá um wipe ou não?
Não é melhor flashar um TWRP no recovery antes e fazer a fisica para garantir? Depois do twrp mesmo pode-se gravar só a system para restaurar
O tar.md5 é só o hash
Como que seria esse esquema de gravar só a System?
qual procedimento de root fizeste?
Se vc estiver acessando o twrp , usa o comando adb pull
q vc já consegue o binário todo
Não. É um tar com um tail com md5 do próprio tar. Pode abrir no 7zip esse arquivo
no j500m, tem supersu simples pra ele tb
Twrp geralmente já roda o adbd em root.
Pode dar um dd da mmcblk0 toda
Ou ver qual partição é di usuário e tirar so5 ela (mais rápido)
via odin com o
CF-Auto-Root-j5lte-j5lteub-smj500m.tar.md5
CF-Auto-Root-j5lte-j5lteub-smj500m.tar.md5
coloquei o TWRP tbm
tá abrindo o twrp?
Conecta ele no pc com o twrp aberto, e usando o minimal adb
executa "adb pull /dev/block/mmcblk0 -a image.bin"
q vai extrair o binário q vc pode abrir no modo avançado no PA do cellebrite
ou outra ferramenta
Blz. Vou testar e mando aqui depois!
Agora o J500m eu nunca fiz o comando, mas suponho q vá tb, a nao ser q tenha alguma criptografia pesada
O celular tá iniciando normal ou bugou depois?
Bugou. Não sai da tela SAMSUNG J5
pq se tiver iniciando normal, vc pode instalar o supersu
só agradeça depois q der certo rsrs
Vc já tentou a extração por bootloader no touch ou 4pc?
esse j500m às vezes vai, Às vezes não com o cartão SD
Nunca consegui realizar extração via cartão micro SD.
Na extração lógica, ele te aponta qual android tá instalado? Se for < 6 pode flashear a room que não da wipe não. Acredito que o sistema que da wipe é só em android 6.0.1 ou superior.
Passei muito tempo sem conseguir, depois começou a pegar algumas vezes, não sei se foi compatibilidade do cartão rsrs
Todavia, não estou 100% seguro disto.. só uns 90% seguroo.. 😬
PAssei a sempre formatar ele antes em algum j500m, talvez ajude
FAT32 só vai até 4gb o arquivo. Se for para cartão tem que quebrar em arquivos de 4gb
Ou formata ele em ext
Não, a extração na verdade não vai pro cartão
vai pro hd externo ou pc mesmo
o cartão é só para aquela vulnerabilidade
Fail test fail test e tal...
Fail flash
T-Flash!
Mas justamente pelo fato do cartão sd ser problemático no J500, me acostumei a dar o root, depois o supersu. Mas talvez o adb pull nesse modelo já vá, sem precisar do supersu
Dando certo aqui. Aguardando...
Eu aprendi isso aí aqui no grupo, com outro colega eheh
Origem 201 — 23/01/2020 13:53 a 14:34 — Extração e decodificação de bancos do WhatsApp
Caros, boa tarde!
Por acaso, algum dos colegas já realizou a extração física de um Motorola XT1600, Android 6.0.1 (patch de segurança de 01/set/2017)? Agradeço se puderem compartilhar eventual experiência com esse modelo, e possíveis soluções. Abs!
Por acaso, algum dos colegas já realizou a extração física de um Motorola XT1600, Android 6.0.1 (patch de segurança de 01/set/2017)? Agradeço se puderem compartilhar eventual experiência com esse modelo, e possíveis soluções. Abs!
Só complementando: aparelho sem root, e não criptografado.
Pessoal, alguém pode adicionar o perito criminal Átila aqui do Ceará
Se não me engano, pra fazer root em motorola é preciso desbloquear o bootloader, o que resulta no wipe da memória. Então, acho que é prejudicada a extração física.
É... Isso que tenho comigo tbm.
está bloqueado com senha?
Com senha, mas foi informada. Então, consigo resguardar uma exportação do WhatsApp, via email. O problema é que boa parte das mensagens de interesse estão no FB messenger.😐
Não seria uma custom ROM..? No aparelho, quando habilito a opção de desbloqueio por OEM, ele a habilita, sem, dessa vez, alertar sobre wipe.
já fizemos este modelo
o método utilizado foi UFED -> XT1607 -> BOOTLOADER
Bacana! Kim, por acaso vc se recorda se o seu aparelho estava com o Fastboot em modo Secure?
ixi, não me recordo.. as únicas informações q tenho do modelo são: Android 6.0.1 - Patch de segurança 01/10/16 Desbloqueio: UFED -> XT1607 -> DESBLOQUEIO (SUCESSO) Extração: UFED -> XT1607 -> BOOTLOADER (SUCESSO)
esse bicho é um qualcomm
tenta edl ADB
já q sabe a senha
Ah, sim! Mas legal, já me dá um norte aqui. Muito obrigado a todos.
Se alguém mais tiver alguma experiência com esse aparelho, também ficarei grato🙃
Se alguém mais tiver alguma experiência com esse aparelho, também ficarei grato🙃
só temos ufed touch 1 aqui, mas geralmente vai nesses xt1600
pelo qualcomm
Engraçado que o XT1600, em específico, não consta no gsmarena (apenas XT1601, 1602, 1603....). Então, não consigo sequer bater martelo no modelo do chipset qualcomm. :/
Legal, vou estudar essa possibilidade tb. :)
https://www.maiscelular.com.br/fichas-tecnicas/motorola/moto-g4-play/dual-xt1600/
opa, é o mesmo, então (MSM8916).
Motorola Moto G4 Play Dual SIM LTE XT1600 / XT1603 (Motorola Affinity)
Motorola Moto G4 Play Dual SIM LTE XT1600 / XT1603 (Motorola Affinity)
2016 Jun, Smartphone, 72x144.4x9.9 mm, Android, Qualcomm Snapdragon 410 MSM8916, 2.00 GiB RAM, 16.0 GB ROM, 720x1280, 5 inch, Color TN-TFT LCD display, Dual standby operation, GPS, 8.0 MP camera, 5.0 MP 2nd camera, Light sensor, Proximity sensor, 2800 mAh battery | All detailsAll
Motorola Moto G4 Play Dual SIM LTE XT1600 / XT1603 (Motorola Affinity)
2016 Jun, Smartphone, 72x144.4x9.9 mm, Android, Qualcomm Snapdragon 410 MSM8916, 2.00 GiB RAM, 16.0 GB ROM, 720x1280, 5 inch, Color TN-TFT LCD display, Dual standby operation, GPS, 8.0 MP camera, 5.0 MP 2nd camera, Light sensor, Proximity sensor, 2800 mAh battery | All detailsAll
no perfil xt1607 vc vai encontrar na física um "ADB" e um "Decrypting ADB"
são os do modo edl
por adb
Origem 202 — 23/01/2020 19:22 a 19:50 — Compatibilidade de modelos e métodos de extração no UFED
Não consigo dar permissão pro UFED fazer a extração, aparece essa mensagem de erro
Chuta q é macumba!
Alguém sabe como desabilito?
Desinstala os apps de segurança
https://stackoverflow.com/questions/52681145/because-an-app-is-obscuring-a-permissions-request-settings-cant-verify-your-re
Veja se esse post é análogo ao seu caso..!
Tem umas coisas escondidas, valeu... Obrigado
Isso aqui funcionou, entrei em modo de segurança, dei permissão pro UFED e reiniciei o telefone em modo normal e funcionou. Obrigado pessoal
<Mídia oculta>
Isso é alguma aplicação que está com uma permissão dessas
Isso é alguma aplicação que está com uma permissão dessas
Achando a aplicação e desabilitando essa permissão também dá certo
Origem 203 — 24/01/2020 09:44 a 10:24 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia. Primeira vez que pego um Xiaomi. Parece ser o MI 8 Lite. Precisava nem que seja uma extração parcial do sistema de arquivos (pegar fotos e tal). No UFED não dá nenhuma opção de contorno de tela de bloqueio. Alguém poderia sugerir alguma coisa? Obrigado.
Esses xaiomis é complicado
Quem tiver novidades e puder compartilhar
Caros, bom dia!
Apenas retomando o assunto, estou tentando localizar o perfil do XT1607. Mas, aqui no UFED2 (versão 7.28.2.8), não o estou encontrando (aparece apenas o XT1601). A opção XT1607 estaria fora da página do vendedor Motorola?
Apenas retomando o assunto, estou tentando localizar o perfil do XT1607. Mas, aqui no UFED2 (versão 7.28.2.8), não o estou encontrando (aparece apenas o XT1601). A opção XT1607 estaria fora da página do vendedor Motorola?
Procura o perfil Qualcomm então
<Mídia oculta>
No caso, tenho a senha do aparelho, e ele está descriptografado. Nesse cenário, seria o EDL(ADB) o menos “agressivo”? :p
No caso, tenho a senha do aparelho, e ele está descriptografado. Nesse cenário, seria o EDL(ADB) o menos “agressivo”? :p
Origem 204 — 26/01/2020 12:28 a 13:25 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Vai parecer estranha a pergunta, mas haveria alguma forma simples de brickar um moto G2? kkk.
Vi que quando ele está brickado, entra em modo EDL Qualcomm eheh
o q possibilitaria uma extração física rsrs
Durante a atualização de software retire o cabo
hum, boa. vou ver como fazer nesses motorolas antigos
Nem sempre, tô com um LG G5 840, colocado de forma permanente, pelo UFED, em modo QDLoader 9008, ou modo EDL, esse estado fez com que os dados ficassem inacessíveis permanentemente, a equipe da cellebrite não conseguiu resolver a questão, e pelas pesquisas que fiz, vou precisar fazer uns procedimentos nesse telefone, pra ele voltar a vida, a partir de onde, provavelmente, vou perder todos os dados. Essa semana vou conversar com o delegado a respeito dessa situação. A equipe da cellebrite se eximiu do problema, e deu a entender que se eu quisesse mandar o telefone pra lá, eu teria que pagar. Enfim, nesse caso, o modo EDL, ao invés de deixar o telefone apto à extração física, deixou o telefone irreversivelmente brickado, totalmente.
Verdade, pode ser pior mesmo. Mas acho q nós Motorolas antigos vai. Já fizemos um no mesmo modelo através de solda para ativar edl com a ajuda de um colega e deu certo.
Tenho vários motorolas aqui pra fazer exatamente esse trabalho, sei que preciso ligar o CLK ao GND, ocorre que o local do componente com o sinal varia de modelo pra modelo, você poderia ver pra mim qual foi esse modelo e em que ponto exato que ficava o CLK, por favor, já me ajudaria bastante por aqui.
Então, um coleta de outro setor tem a box easy jtag, q junto acompanha as imagens/blueprints dos "testpoints". Me passa os modelos específicos q eu peço a ele essas blueprints.
Tô louco pra comprar o easy jtag, mas tá difícil conseguir verba aqui com o governo =/
Origem 205 — 27/01/2020 13:47 a 14:37 — Extração e análise de mensagens do WhatsApp
Boa tarde! Estou extraindo dados de um Xiomi e aparece essa mensagem. Alguem ja viu?
nao acho esse arquivo install_me.apk que a ferramenta pede pra instalar no celular manualmente.
Já achei a solução aqui. Deu certa a extração do Whatsapp
Origem 206 — 28/01/2020 16:47 a 16:47 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Alguém já examinou um rastreador desse aqui?
Alguém já examinou um rastreador desse aqui?
Compatível com modelo TK905
Origem 207 — 29/01/2020 14:29 a 16:12 — Compatibilidade e extração em dispositivos Samsung Galaxy
Estou com um J8 que não consigo fazer a extração. Quando faço o procedimento que o UFED manda ele da reboot e ele vai pra Recovery e fica lá. Depois de algum tempo o procedimento dá erro.
Pessoal, HD externo fazendo aquele barulho de "bater pino"
é simples de resolver abrindo o bicho?
puxar a agulha, algo assim?
Tenta mudar ele de posição. Ele pode tá "viciado" na posição que funcionava.
Fiz em um portátil da Samsung e foi sucesso
👍🏻👍🏻 tem algum video, tutorial?
Origem 208 — 04/02/2020 12:51 a 13:20 — Extração e análise de dados em iPhone/iOS
iPhone com senha de 4 dígitos, alguma dica para desbloquear?
iphone 6s
Tem aquele programinha da Cellebrite que fica filmando o celular e enviando codigos de 4 digitos na força bruta
Se não me engano dá para baixar do site da Cellebrite
é um q é por linha de comando?
blz, vou dar uma olhada! no caso ele fica vendo se o telefone tá ativo ou inativo pra novas tentativas e ele mesmo tenta?
Mas depende do iOS instalado
Os iOS mais recentes, mesmo sendo de 4 dígitos, as vezes não funciona
a tela tá bem quebrada
Sim, precisa de um lugar em que a luz não varie, para detectar se a senha funcionou
Eu não tentaria, Se não me engano ele incrementa o tempo a cada erro ao ponto de inviabilizar
com tela quebrada não deve nem dar para tentar, porque ele precisa da câmera para ficar olhando se deu certo
problema é a versão do iOS que ainda permita o OTG e trocentas tentativas sem wipe
Correto. Dependendo do iOS não funciona
a tela não é problema, só focar numa região específica, na imagem, colocaria no "botão 1"
iOS com OTG ativo na tela de bloqueio e que permita trocentas tentativas, só versão muuuuiiiito antiga
Alguma noção de qual ios seria? Kkk
Acho q tá aumentando os minutos
Não dá pra ler 🤦🏻♂ eheh
acho que de ios 8 pra baixo, algo assim
Murphy tá sentado do meu lado aqui hj
10 celulares aqui, todos bloqueados e sem perspectiva de extração eheh
Se já começou a contar os minutos tem duas ou três tentativas, se tiver, pra ficar inativo definitivamente.
Se colocar ele em modo DFU e tentar fazer uma extração física no PA, ele vai dizer qual é o iOS, pra poder avisar que não tem suporte.
👍🏻 vou tentar aqui, mas nossa licença é antiga, o PA não funciona bem aqui pra extração direta nele.
Origem 209 — 04/02/2020 17:26 a 17:28 — Alguma solução pra Asus ZenFone modelo ZC520ZL
Senhores, alguma solução pra Asus ZenFone modelo ZC520ZL?
Perdão, é o ZC520KL (Zenfone 4 Max)
Origem 210 — 05/02/2020 09:33 a 10:56 — Compatibilidade de modelos e métodos de extração no UFED
Olá, alguém aqui tem (ou conhece quem tenha) equipamentos que fazem extração de dados de módulos eletrônicos de veículos?
Queria pegar um pouco da experiência, para montar um projeto por aqui.
Aqui no Ceará o pessoal da PF também tem
Este aqui já apresentaram no DF. Muito bom, mas poucos veículos nacionais e muito caro.
Bom dia pessoal, alguém sabe o valor de uma extração avulsa pelo CAS do Cellebrite ? depende do aparelho a ser enviado? Se tiverem um documento com o orçamento, poderiam me enviar no privado ?
A proposta que recebi foi em torno de 20k por aparelho, porém em um segundo momento o pessoal da techbiz falou que o existe uma modalidade em que durante a compra do UFED os institutos estão incluindo além do valor da licença um valor de 100k de consultoria e esse valor de consultoria é utilizado como CAS e, nessa modalidade, a extração de um aparelho fica em torno de 10k
<Mídia oculta>
Cotacao aquisicao Cais.pdf
Cotacao aquisicao Cais.pdf
Segue uma cotação exemplo de novembro/2017
Muito obrigado [NOME]!
Origem 211 — 05/02/2020 16:52 a 16:52 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa tarde! Vcs saberiam dizer se o perfil Exynos 8890 do 4pc/ufed touch consegue realizar extração física de exynos 8895? Ou se bricka o aparelho se tentar? kkk
Estou com um samsung N950F/DS
Origem 212 — 12/02/2020 16:59 a 16:59 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde. Vcs saberiam dizer qual comando o perfil de extração física ADB rooted passa pro celular para fazer a extração? Tentei ADb Shell su, entre outros. Mas sempre dá um erro
Origem 213 — 18/02/2020 14:43 a 14:43 — Conexão USB, ADB e diagnóstico de porta em Android
<Mídia oculta>
Na extração smart ADb, é normal durante a extração o sistema informar isso?
Na extração smart ADb, é normal durante a extração o sistema informar isso?
Origem 214 — 20/02/2020 13:56 a 14:16 — Extração e análise de variantes do WhatsApp
alguma novidade para extração de dados do whatsapp business
temos Celebritte e Xry aquie nenhum do dois pegou
Qual a versão do PA?
E o tipo da extração
logica avançada + file system + file system com downgrade
celular LG x210bmw
nao extrai fisicamente e não consegui fazer root
Tens o chip do whatsapp business vinculado ao aparelho? Se vc puder receber um SMS, o de instalação do whatsapp, tenho um procedimento pra acessar os dbs criptografados. Mas requer o recebimento da SMS
Nunca fiz no WhatsApp Business, mas sempre faço no zap normal
acho q deve funcionar do mesmo jeito
manda fazendo um favor
Vou narrar esse procedimento aqui, que "desenvolvi" na tentativa e erro.
Precisa ter os .db criptografados
da pasta WhatsApp
No caso, a pasta seria WhatsApp Business
Vai precisar ou de um outro celular com permissão de root
ou vai baixar um emulador
Quando eu não tinha um aparelho com root, eu usava o nox como emulador
A idéia é instalar novamente o whatsapp nesse outro aparelho, de forma q o zap do outro aparelho vai reconhecer o db criptografado
e vai restaurar
quando ele faz isso
o WhatsApp literalmente
RECRIA/Envia pro aparelho a key criptográfica eheh
Como vc vai ter um celular em root
vc vai ter acesso a key
da pra pegar a chav
e roda no plugin WhatsApp with Provided key
do PA
q ele já reconhece os db criptografados
É um procedimento um pouco mais invasivo, mas entendo não ter problemas, pois não adulteramos nenhum dado do celular periciado
só o chip, q precisa ser usado
Tem q colocar o .db criptografado no celular rooteado, já na pasta certa
qual emuldaor tu usava mesmo?
Aproveita e me diz se no whatsapp business é do mesmo jeito
e instalava o es file explorer
no nox vc configura o celular pra ser root em algum canto lá
Observar que vai receber todas as mensagens atuais, então se ligar depois de tirar o aparelho/emulador da rede assim que receber as msg
outra questão é a seguinte
o aparelho periciado
vai aparecer aquela msg
quando usarem o zap
avisando q foi instalado em outro app e tal
[MENCAO] , sempre fiz no WhatsApp normal e no GBWhatsApp, não sei se pega no business
eu usava o nox, mas depois passei a usar um celular rooteado mesmo, mais rápido, mais fácil
pra transferir os arquivos
Origem 215 — 20/02/2020 16:56 a 17:43 — Em última hipótese se faz com o emailbkp to file, só que, pelo
Isso... ele foi disponibilizado aqui no grupo mesmo
Pessoal, só pra deixar claro que todos esses procedimentos q coloquei aqui NÃO são e nem deverão ser feitos no aparelho periciado, eheh!
Algumas pessoas questionaram no particular sobre isso eheh
Tb acabei de fazer com este! 👍🏻
Em última hipótese se faz com o emailbkp to file, só que, pelo menos por aqui, e imagino também que nos seus locais acontece o mesmo, o foco em conteúdo apagado é muito grande, o que já não é contemplado no caso do emailbkptofile. A extração física consegue abranger o business tranquilamente, mas caso essa forma não seja possível, a solução do Artur é ótima, também mantenho aparelhos dublê, por aqui, a maioria conseguida com acordos com a SEJUS (secretaria encarregada pelo sistema prisional), pra fazer esse tipo de Laboratorio.
Origem 216 — 28/02/2020 13:36 a 13:36 — Identificadores de telefonia, IMEI, ICCID e operadoras
Pessoal, sobre extração de cartão SIM.
Algumas operadoras, como a Vivo, quase sempre o 4PC consegue o número da linha.
Porém, os softwares “livres” como SimAnalyzer, que fazemos a leitura por meio do leitor de cartão do certificado digital, não fazem a extração do número vinculado ao SIM.
Alguém tem uma alternativa livre que consiga extrair os números, tal como o UFED?
Algumas operadoras, como a Vivo, quase sempre o 4PC consegue o número da linha.
Porém, os softwares “livres” como SimAnalyzer, que fazemos a leitura por meio do leitor de cartão do certificado digital, não fazem a extração do número vinculado ao SIM.
Alguém tem uma alternativa livre que consiga extrair os números, tal como o UFED?
Origem 217 — 09/03/2020 11:44 a 12:19 — Bloqueio FRP e conta Google em dispositivo Android
Colegas, bom dia!
Mais uma vez, agradeço pelas contribuições na sexta. Só tenho mais uma dúvida que ficara pendente (e que eu havia esquecido), e agradeço se puderem me ajudar em esclarecê-la:
Com relação aos aparelhos que estejam bloqueados, muito provavelmente também estarão com o FRP Lock em estado "on". Mesmo neste cenário, este método decrypted bootloader não tem causado problemas ao sistema?
Mais uma vez, agradeço pelas contribuições na sexta. Só tenho mais uma dúvida que ficara pendente (e que eu havia esquecido), e agradeço se puderem me ajudar em esclarecê-la:
Com relação aos aparelhos que estejam bloqueados, muito provavelmente também estarão com o FRP Lock em estado "on". Mesmo neste cenário, este método decrypted bootloader não tem causado problemas ao sistema?
Exato, métodos via bootloaders são capazes de contornar os bloqueios de segurança do dispositivo. Permitem a realização de uma extração física sem provocar danos à evidência (o mais próximo do ideal forense).
Origem 218 — 10/03/2020 13:49 a 15:38 — Compatibilidade e extração em dispositivos Samsung Galaxy
Pessoal, boa tarde. Tudo bem?
Vejam se vocês tem alguma solução, por favor.
Um delegado me questionou o seguinte. Um iPhone foi roubado e, agora, recuperado. Porém, a conta iCloud vinculada é do mala... Com isso o dono não consegue mais utilizar.
Entrou em contato com a Apple, mas como foi comprado no Paraguai, não tem como auxiliar.
Alguma luz?
Vejam se vocês tem alguma solução, por favor.
Um delegado me questionou o seguinte. Um iPhone foi roubado e, agora, recuperado. Porém, a conta iCloud vinculada é do mala... Com isso o dono não consegue mais utilizar.
Entrou em contato com a Apple, mas como foi comprado no Paraguai, não tem como auxiliar.
Alguma luz?
Colegas estou com um SAMSUNG J200 para realizar a extração. Fiz a Lógica Parcial e o UFED informa que a senha [SEGREDO] disponível nas informações no dispositivo quando acessar o arquivo da extração no Physical Analyzer, porém não achei. Alguém lembra se tem situações que essa informação não aparece? ou se estou procurando no local errado? Grato
Tenta fazer sistema de arquivo.
me desculpe não foi a lógica parcial e siml o sistema de arquivo mesmo. Uma das opções tem contorno de bloqueio.. Porém ele informa que a senha [SEGREDO] na extração .. mas não achei
Fica no extraction summary do Physical Analizer. Se não estiver lá não pegou.
Deve ter sido isso então.. só aparece o PIN para Backup... mas não é esse
Origem 219 — 11/03/2020 14:15 a 16:35 — Bloqueio FRP e conta Google em dispositivo Android
Caros, boa tarde..!
Agora, trago uma dúvida de um segundo aparelho. Se por ventura algum dos colegas tiver alguma experiência com este modelo, e puder me compartilhar, ficarei grato!😬
Samsung SM-J510MN/DS (Qualcomm MSM8916), Android 7.1.1 (patch de segurança de 01/jan/2018), sem root, não criptografado, e de posse da senha [SEGREDO] Touch2, as opções de extração física (fora ADB rooteado) limitam-se ao EDL. Mas, nas documentações disponíveis no grupo do Google (Mobile Dev. Forensics), a opção que encontrei seria através de curto na eMMC, cujo acesso requer o recorte do shielding metálico que protege o chipset, o que estou relutando em fazer.
Assim, algum dos colegas já teve êxito por alguma outra alternativa, para este modelo?
Mais uma vez, grato desde já🙂
Agora, trago uma dúvida de um segundo aparelho. Se por ventura algum dos colegas tiver alguma experiência com este modelo, e puder me compartilhar, ficarei grato!😬
Samsung SM-J510MN/DS (Qualcomm MSM8916), Android 7.1.1 (patch de segurança de 01/jan/2018), sem root, não criptografado, e de posse da senha [SEGREDO] Touch2, as opções de extração física (fora ADB rooteado) limitam-se ao EDL. Mas, nas documentações disponíveis no grupo do Google (Mobile Dev. Forensics), a opção que encontrei seria através de curto na eMMC, cujo acesso requer o recorte do shielding metálico que protege o chipset, o que estou relutando em fazer.
Assim, algum dos colegas já teve êxito por alguma outra alternativa, para este modelo?
Mais uma vez, grato desde já🙂
Só complementando: não tive sucesso na ativação do EDL via ADB, ou via cabo 523, ou pelas combinações de botões sugeridos pela UFED.😬
Amigo conseguiu root?
Eu consegui o material pra root nesse modelo até o binary 2. O modelo que eu estava trabalhando era binary 4
Se vc quiser tentar eu te passo aí!
Até tá parado ele no setor! Se vc tiver outra possíbilidade ou puder passar pra mim o local do curto pra EDL
Olá, [NOME]!
Não parti p/ essa alternativa ainda. Tenho evitado ao máximo ir por esse caminho.😬
Vejo bastante tutoriais p/ Android 6.x, mas pouca coisa p/ 7.x que inspirasse alguma segurança..
Não parti p/ essa alternativa ainda. Tenho evitado ao máximo ir por esse caminho.😬
Vejo bastante tutoriais p/ Android 6.x, mas pouca coisa p/ 7.x que inspirasse alguma segurança..
E um telefone com senha abandonado em uma fuga! Da pra gente "brincar com ele"
Se tiver com o bootloader desbloqueado dá para tentar um CF-Autoroot ou então instalar o TWRP e fazer a extração pelo recovery sem precisar root.
Opa, passo já..!
https://drive.google.com/open?id=1Gb-kv0dzkynk7RcJuOruWZWdntB6SFQ6
https://drive.google.com/open?id=1Gb-kv0dzkynk7RcJuOruWZWdntB6SFQ6
FRP lock off=BL desbloqueado?😬
Não, nas opções de desenvoledor tem uma opção de desbloquear bootloader. Em alguns modelos de operadoras eles tiram essa opção.
Mas nos Samsung normalmente dá tranquilo desbloquear.
Os bem novos obrigam wipe para desbloquear, mas nesses mais antigos não
Que também não é o mesmo que o "Desbloqueio por OEM", então? Desculpe, mas ando enferrujado com essas crianças aqui..😐
https://www.clansoft.net/dl/index.php?a=downloads&b=search&in=&keyword=j510
se precisar de algo avisa ai!
assim que a gente abrir a placa eu aviso se deu certo o EDL
<Mídia oculta>
Neste meu caso, seria o binário 2?
Neste meu caso, seria o binário 2?
Sugiro dar uma olhada no xda developers para ver como o pessoal lá faz o root ou troca de recovery. Alguns aparelhos tem algumas chateações além de desbloqueio oem e programar via Odin.
Telefone desbloqueado, se não funfou a física, faço apk downgrade+sistema de arquivos+lógica, já pega tudo que a investigação precisa.
Se precisar de ajuda com esse procedimento, pode ligar lá na Computação Forense de Curitiba na sexta. Antes disso não estarei lá.
Valeu, [NOME], e demais colegas! 🙂
Opa, valeu, [NOME]! Vou dar uma garimpada no xda, e qualquer coisa ligo aí no IC!
A princípio parece ser uma maquina de acesso à internet, apenas
Mas me falaram que teria um "esquema" que acessaria os jogos. Alguém já fez?
Nunca fiz,mas já ouvi falar que algumas máquinas acessam via internet. Teria que ver se fica alguk registro na máquina
O [NOME] fez várias perícias de máquinas de tipos diferentes em Criciúma. Pode ser que consiga ajudar
Existe um tipo de caça niquel, geralmente usam máquinas da empresa world link, que usa acesso remoto e até vpn, para jogos.
Estou achando q é nessa linha
Se for a mesma ela usa Linux e através do software de gerência , mês esqueci o nome, eles baixam o jogo para a pasta Temp, executa e. Apaga. E o software vpn Tinc fica configurado para um endereço que pode até ser acessado
Essa é com Windows 10
Origem 220 — 17/03/2020 10:23 a 10:50 — Bootloader, desbloqueio OEM e risco de wipe
um J400M, consegue fazer a física por bootloader?
no Cellebrite? Estando bloqueado.
vi q o J400F dos 4PC atuais tem essa opção, o nosso é antigo, estou pensando em usar outro modelo, mas com receio de dar algum problema
mas é o mesmo chipset.
Eu tenho feito bastante isso! Utilizado modelos da mesma “família”
Tem dado supercerto
STK-20200317-WA0007.webp (arquivo anexado)
pois é, faço bastante aqui. Mas desse j400 nunca fiz, e é um caso sensível
queria saber se alguém já fez desse modelo, pra dar mais segurança eheh
Posso verificar mais tarde e te dou um retorno! Esta última semana fiz muitos Samsung desta forma... posso verificar se tinha algum j400
Origem 221 — 17/03/2020 11:17 a 12:04 — Extração e root em dispositivos LG
Senhores bom dia, o aparelho LG X230ds, tem uma forma toda particular de procedimento, já peguei dois aparelhos desses aqui, pelo menos os dois que eu peguei o UFED não conseguiu desbloquear, no entanto, ele permite que seja feita a extração dele, de uma forma bem diferente das que a gente está acostumado a fazer, caso alguém ainda não saiba e necessite extrair, algum aparelho desses, e não esteja conseguindo, caso seja de interesse, me avisem que posto aqui o passo a passo pra fazer esse rapazinho, a extração fica bem legal.
Seria no SPFlashTool? Aparelhos mediatek às vezes não consigo no cellebrite, mas no flashtool sim.
Não, não, é tratando um backup.userdata que o próprio firmware faz pra nós, de forma nativa, não vi isso em nenhum outro aparelho ou modelo mais moderno.
<Mídia oculta>
bkp_user_data.pdf
bkp_user_data.pdf
Ah sim, pelo recovery
Exatamente, esse aparelho disponibiliza a opção de forma nativa, no modo recovery, esse a gente extrai os arquivos de backup na munheca, retira os 512 bytes e processa no PA, o UFED e nenhuma das box consegue destravar ou extrair ele.
Tem um plugin, ao invés do advanced
Do pa
Sem precisar remover esses bytes, talvez
Origem 222 — 17/03/2020 12:52 a 14:26 — Bootloader, desbloqueio OEM e risco de wipe
Alguma solução pra esse amigo da perícia?
Eu fiz nesta semana uma física bootloader em um J415
Checa se no menu de recovery tem a opção de backup
Se não, ele entra no modo de download firmware?
Acho q já fiz extração física nesse modelo, mas não teve jeito pq veio criptografado eheh
Estou trabalhando em uma ferramenta que poderá fazer a extração
Ele está desbloqueado?
Opa
Origem 223 — 25/03/2020 10:55 a 11:05 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
bom dia. XT1941-3 da para entrar em modo EDL? tento direto utilizando o UFED touch mas sem sucesso
ta com o Android Onde
vc pode tentar forçar o EDL na placa mãe.
mas não sei se algém já mapeou os pontos. pode tentar ver um modelo parecido
Origem 224 — 14/04/2020 12:32 a 12:35 — O ForensicTools faz extração do wpp business
Boa tarde, alguem sabe dizer se o ForensicTools faz extração do wpp business ??
https://www.inc.com/jason-aten/apple-googles-covid-19-tracker-is-a-game-changer.html
Interessante a aplicação
Origem 225 — 15/04/2020 12:20 a 13:03 — Compatibilidade e extração em dispositivos Samsung Galaxy
Só conseguir extrair contatos e SMS vai bluetooth.
Não está conectando via cabo USB.
Não seguir realizar a extração lógica e nem a física.
Alguma sugestão para a extração dos arquivos de imagens de vídeos e outros?
Marca e modelo: Samsung GT-C3222.
Usando o Cellebrite UFED Touch 1.
Xry afirma que faz a extração de arquivos
Obrigado! Infelizmente, na seção só tem UFED Touch 1.
Fiz agora a transferência dos arquivos via bluetooth para um dispositivo informático.
Origem 226 — 16/04/2020 00:25 a 00:26 — Elaboração de laudo e relatório técnico pericial
Pessoal, como vocês tem feito nas regiões de vocês com os laudos de celulares?
Anexam mídia com conteúdo da extração ou constam tudo em laudo?
Sobre a extração, enviam apenas o que tem relação com o delito, ou enviam todas as mídias e bate papos?
Por aqui acabo colocando boa parte das mídias e chats extraídos em um disco, pq muitas vezes a equipe de investigação tem um histórico mais detalhado dos fatos e envolvidos.
Anexam mídia com conteúdo da extração ou constam tudo em laudo?
Sobre a extração, enviam apenas o que tem relação com o delito, ou enviam todas as mídias e bate papos?
Por aqui acabo colocando boa parte das mídias e chats extraídos em um disco, pq muitas vezes a equipe de investigação tem um histórico mais detalhado dos fatos e envolvidos.
“Divulgar material gravado que não tenha relação com a investigação que o produziu, expondo a intimidade e/ou ferindo a honra do investigado.”
.
Mas levantaram uma bola sobre a lei de abuso de autoridade... Se isto poderia ter alguma implicação no que constar no laudo... E o que poderia expor ou não... Alguém já teve alguma discussão/conclusão nesse sentido?
.
Mas levantaram uma bola sobre a lei de abuso de autoridade... Se isto poderia ter alguma implicação no que constar no laudo... E o que poderia expor ou não... Alguém já teve alguma discussão/conclusão nesse sentido?
Origem 227 — 20/04/2020 11:10 a 12:05 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Alguém aí já conseguiu fazer extração física do sm-j510mn/ds? Os métodos que estou vendo exigem root ou modo EDL
Já tentou por EDL via Adb? O J500 sei que funciona mesmo o Cellebrite não mostrando essa opção.
Tentei aqui "generic decrypting Qualcomm EDL (adb)" e dá erro
Chega a entrar no modo EDL (tela preta depois de reiniciar)? Se sim, no modo decrypting por vezes ele falha em reiniciar o aparelho no modo normal depois de entrar modo EDL. Esse provavelmente não é criptografado, eu tentaria EDL via Adb normal (não decrypting).
Caro [NOME], bom dia!
Há pouco tempo, fiz justamente um bichinho desses, via EDL. Veja as postagens daqui, do dia 11 de março.
Lá, coloquei a imagem dos testpoints, p/ vc colocá-lo em modo EDL.
Há pouco tempo, fiz justamente um bichinho desses, via EDL. Veja as postagens daqui, do dia 11 de março.
Lá, coloquei a imagem dos testpoints, p/ vc colocá-lo em modo EDL.
Na ocasião, EDL via ADB não deu certo pra mim. Por isso, tive de desmontar o aparelho, e fazer o EDL manualmente.
Há o inconveniente de desmontá-lo, e precisa ter bastante cuidado na hora de fechar os testpoints (o circuito é bem menor do que aparenta na foto). Eu não tinha, aqui no instituto, pinça pequena o suficiente. Por isso, usei a menor chave torx que eu tinha por aqui, e deu certo.
Há o inconveniente de desmontá-lo, e precisa ter bastante cuidado na hora de fechar os testpoints (o circuito é bem menor do que aparenta na foto). Eu não tinha, aqui no instituto, pinça pequena o suficiente. Por isso, usei a menor chave torx que eu tinha por aqui, e deu certo.
Obrigado pelas informações pessoal. Vou tentar os dois procedimentos e postarei os resultados. O segundo método vou estudar com cuidado, pois nosso laboratório não possui ferramentas para essa finalidade.
Se for Android 6 ou inferior vc consegue entrar em EDL via: adb reboot edl
Se senha [SEGREDO]
O estranho também que percebi é que o cartão de memória tá fritando dentro do aparelho, até removi pra não causar dano ao celular. Acho muito estranho o usuário estar usando dentro do aparelho (testei aqui ela tá com erro de leitura também)
Origem 228 — 24/04/2020 16:28 a 18:27 — Extração lógica por Android Backup via ADB
Pessoal, tudo bem?
Sobre o UFED... Alguém saberia dizer o que a extração de Sistema de Arquivos >> Android Backup pega que a Lógica Avançada não pega?
Sobre o UFED... Alguém saberia dizer o que a extração de Sistema de Arquivos >> Android Backup pega que a Lógica Avançada não pega?
Na prática, faço a extração de dados com todas as formas possíveis e depois incluo tudo no projeto, evitando as duplicacoes.
É o que faço mesmo. Exceto quando consigo a física direto.
Mas gostaria de saber a diferença na prática msm.
Mas gostaria de saber a diferença na prática msm.
Ja fiz tambem a fisica e depois fiz as demais e por incrivel que pareça acaba agregando mais dados.
Antes, eu fazia apenas a fisica e não fazia as demais, porque acreditava que ela seria completa.
Faz um teste e vc vai entender. Eu importava a fisica e dava print na tela do resumo doa tipos de arquivos. Depois importava os demais tipos de extracao e ia analisando.
Faço as extrações lógica, sistema de arquivos e física (nessa ordem) todas com o cartão no slot e depois faço a extração física só do cartão e agrego tudo em um projeto
Esse é o ideal, porém diria para seguir a ordem inversa.
Pois é, seria, mas tivemos uns poucos casos que a extração física brincou o celular
Ah, sim. Nesses casos, é melhor seguir esse procedimento!
Origem 229 — 28/04/2020 13:59 a 15:35 — Bootloader, desbloqueio OEM e risco de wipe
Prezados, boa tarde..!
Estou com um Galaxy J8 (SM-J810M/DS) rodando Android 9, com patch de 01/ago/2020, e Knox 3.8. O UFED Touch2 disponibiliza a extração física via bootloader, informando, inclusive que é aplicável até o Android 9.
Mas, vi neste aparelho que, ao tentar habilitar o "Desbloqueio de OEM", ele alerta que fará o wipe para as configs. de fábrica. Portanto, não posso desabilitar esta opção.
Nesse contexto, algum colega saberia me informar se, nessas configurações apresentadas pelo exemplar que tenho aqui, a tentativa via bootloader seria segura? Não haveria interferência com o fato do bootloader encontrar-se bloqueado? Desde já, agradeço!
Estou com um Galaxy J8 (SM-J810M/DS) rodando Android 9, com patch de 01/ago/2020, e Knox 3.8. O UFED Touch2 disponibiliza a extração física via bootloader, informando, inclusive que é aplicável até o Android 9.
Mas, vi neste aparelho que, ao tentar habilitar o "Desbloqueio de OEM", ele alerta que fará o wipe para as configs. de fábrica. Portanto, não posso desabilitar esta opção.
Nesse contexto, algum colega saberia me informar se, nessas configurações apresentadas pelo exemplar que tenho aqui, a tentativa via bootloader seria segura? Não haveria interferência com o fato do bootloader encontrar-se bloqueado? Desde já, agradeço!
ops, patch de 01/ago/2019 :)
Já fiz extração sem problemas de SM-J810M, Android 9, via BootLoader no 4PC a partir da versão 7.30. Não é preciso "Desbloqueio de OEM"
https://email.msab.com/Aj0F00OG102v0WI00A0A0LL
XRY ESTA DE GRAÇA POR 30 DIAS
Esse trial dá direito a tudo?
poderia ser o cellebrite...
vou te contar que allguns motorola estão se saindo melhor no XRY
axion tem trial também
alguns lg só conseguimos fazer com ele
Origem 230 — 04/05/2020 20:01 a 22:17 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Boa noite pessoal! Preciso da ajuda dos colegas! Tenho um Macbook Air com criptografia ativada devido ao FileVault, tenho o backup do iCloud do usuário e tenho a duplicação criptografada do disco do Macbook. Li uma vez que o iCloud não guarda a chave/senha de autenticação do dispositivo, mas não tenho certeza. Então a solução que pensei foi fazer um ataque de dicionário na imagem do disco criptografado, utilizando termos obtidos dos dados do iCloud do usuário. Alguém teria alguma outra sugestão? No backup do iCloud não tem nenhum dado de chave/senha mesmo? Abs
Tem a senha do Macbook Air?
Boa noite, [NOME]. Não tenho a senha.
A opção de recuperação de senha [SEGREDO] ID Apple, como o MP já conseguiu que a Apple fornecesse o backup do iCloud, pensei em tentar pedir para ele solicitarem a Apple que alterassem a senha [SEGREDO], assim conseguiria me ligar no MacBook pelo ID Apple, mas tenho dúvida se a Apple faria isso...
Fiz um que tinha a senha. Era só remover a criptografa do disco e depois fazer a imagem.
Pois é, isso facilitaria bastante... Agora sem a senha não sobram muitas opções...
*desculpem os erros...
Alguém já conseguiu realizar a extração em iPhones utilizando a vulnerabilidade do md8 que foi incluída em atualização recente do ufed?
Caso positivo, seria interessante saber quais os dados q se obtém... no caso do colega, periciar um iPhone com essa nova funcionalidade poderia retornar a senha do icloud, ou estou equivocado?
Caso positivo, seria interessante saber quais os dados q se obtém... no caso do colega, periciar um iPhone com essa nova funcionalidade poderia retornar a senha do icloud, ou estou equivocado?
Testei num iphone7 esta semana e no meio da extração ocorreu um erro de referência
boa noite. eu já fiz isso e deu certo. mas vai depender da qualidade da senha [SEGREDO] modelo do macbook. se tiver chip T2, nao rola.
estou c um pequeno problema. durante uma extracao FBE (full file system) o UFED deu crash. agora o cel esta em loop. no device tools tem um samsung exynos recovery que pede p colocar o cel em modo download.
alguem com experiencia nessa recuperacao.
Legal!!! Vamos torcer q dê certo!! 👊🏻👍🏻
Repete exatamente a mesma extração, costuma voltar ao normal.
o cel eh um SM-G975F Galaxy S10 Plus
da p iniciar essa extracao com o cel em loop?
Não lembro se essa inicia do modo download ou com o cabo 130, mas caso positivo, sim.
usando o cado adaptador a e a ponta t-133 senao me engano na hora q conectava ele ia pro modo download porem la é padrao tipo b da usb
Os novos Samsung o cabo 133 apenas desliga o celular
Wilson, tenta entrar no modo recovery e da wipe apenas no cash do aparelho!
Ele vai voltar ao normal e não vão perder arquivos
consegui colocar em modo download. mas nao tem o chipset dele no recovery do ufed.
Volume UP e coloca o cabo USB em um pc
O donwload mode é vol down
Aqui um caso extremamente sensível, o UFED deixou em loop. Resolvemos dando wipe no cash do aparelho
Esse modo recovery não funcionou
ainda nao consegui colocar ele em modo recovery.
Tenta apertar os dois
Solta quando treme
assim q deu certo o download mesmo.
Pro modo recovery
Modo recovery não coloca o cabo
Vc aperta e segura os dois volumes
Sem cabo
Origem 231 — 05/05/2020 10:20 a 10:40 — Extração e compatibilidade em Samsung SM-G975F
Sobre o assunto do loop infinito que postei ontem. Para conhecimento: o problema aconteceu devido a um crash (unhandled exception) do software no meio de uma extracao FBE; nao havia a versao do chipset do SM-G975F no device tools, samsung exynos recovery; abri um chamado na cellebrite e pediram para usar a opcao generica "other devices"; funcionou. O celular voltou a inicializar normalmente.
Percebi que as novas funcionalidades dessa ultima versao não estão dando o resultado esperado. Alem desse problema, tive dificuldades em apk downgrade em celulares da linha A10, A30 e S10, com Android 10. Essa extracao FBE em celulares dessa linha ainda nao vi funcionar. Testei em 3 modelos.
Versao do UFED usada: 7.33.0.95 (28 de abril).
Fazer wipe na particao de cache era a proxima sugestao apresentada pelo cellebrite caso o samsung recovery nao tivesse funcionado. Nao foi necessario, nesse caso.
Obrigado por compartilhar a experiência.
Origem 232 — 16/05/2020 15:43 a 15:43 — Extração em dispositivos Realme/Oppo
Funcionou na sexta tentativa, realmente o celular dá um bug no meio de algumas tentativas e não completa a reinicialização, mas quando ele de fato conclui a ferramenta inicia a extração física. Obrigado
Origem 233 — 18/05/2020 16:56 a 17:31 — Extração Samsung em modo Download/ODIN
Boa tarde Pessoal! Estava realizando uma extração física Decrypted Boot Loader de um dispositivo Samsung Galaxy J4 modelo SM-J400M, na extração ele pede para inicializar o módulo download, até aí tudo bem... mas logo em seguida, após ele reiniciar durante a extração, surgiu uma linha vermelho"Warning: CMDLINE parameter modified" e o dispositivo não retorna mais para o módulo download, nem inicializa, alguém já passou por essa situação em algum dispositivo parecido?
Tentei utilizar também a ferramenta de recuperação da samsung presente no UFED 4PC e não deu em nada, pois ele não consegue se comunicar com o dispositivo!
Tentou Exynos recovery? Use a ponta 130 pra tentar entrar no modo download.
Não entra nem no modo download?
Tive um caso semelhante e abrir chamado na Techbiz. O chamado foi para Cellebrite e mesmo assim não teve solução . Alegaram que tinha uma letra no modelo que divertia. Já em outro caso o Exynos Recovery resolveu
A 130 ele n deu resposta
No meu caso o modelo é exato o do aparelho!
eu peguei um caso parecido, e botando para fazer extração física fez sair dessa tela
tenta limpar só o CACHE
Aqui tivemos casos parecidos recentemente. A solução não foi a msm sempre.
Ele entrava no modo download, mas se fosse reiniciar caia nessa tela com a linha vermelha.
Uma das soluções foi no FERRAMENTAS - EXIT ANDROID RECOVERY MODE, se não me falha a memória primeiro fui no EXIT BOOTLOOP... Aí sumiu a linha vermelha, mas sempre que reiniciava voltava pro modo recovery... Aí depois usei o EXIT RECOVERY MODE... E deu certo.
.
Acho que essa versão 7.33 tá com alguma coisa complicando os Samsung nesse sentido. Isso se repetiu algumas vezes.
Ele entrava no modo download, mas se fosse reiniciar caia nessa tela com a linha vermelha.
Uma das soluções foi no FERRAMENTAS - EXIT ANDROID RECOVERY MODE, se não me falha a memória primeiro fui no EXIT BOOTLOOP... Aí sumiu a linha vermelha, mas sempre que reiniciava voltava pro modo recovery... Aí depois usei o EXIT RECOVERY MODE... E deu certo.
.
Acho que essa versão 7.33 tá com alguma coisa complicando os Samsung nesse sentido. Isso se repetiu algumas vezes.
No meu caso aqui, o celular chegou a ficar com a tela toda preta. Parecia desligada, mas não estava.
Aí eu pressionava as teclas pro modo download e não entrava. Justamente pq ainda estava ligado.
Aí tinha que fazer o PWR+VOLDOWN pra reiniciar e depois cair no modo download.
Aí eu pressionava as teclas pro modo download e não entrava. Justamente pq ainda estava ligado.
Aí tinha que fazer o PWR+VOLDOWN pra reiniciar e depois cair no modo download.
Lembrei de um caso que fiz aano passado por um acaso revirando uns laudos antigos! O que eu fiz a época e que funcionou agora foi plugar o t133 amarelo, o funcionamento normal seria ele entrar no modo download automaticamente, mas como n funcionou eu tentei meio que na marra apertando os botões voldown + home + power e ele voltou pra modo download, continuando a extração deu erro mas ele me apresentou a tela de menu recovery
<Mídia oculta>
Dei um reboot e ligou normal
Dei um reboot e ligou normal
🙌🏽 glória! Agradeço aos que deram um tempinho do dia, pra esse pobre coitado aqui!
Origem 234 — 20/05/2020 11:45 a 14:43 — Extração em dispositivos Realme/Oppo
Sim! Mas não o ufed touch, não sei por quê. Fiz a extração no PA
O repositório nao existe mais. Teria outra fonte?
Realmente, infelizmente chequei nas minhas VMs e não tenho nenhuma cópia por aqui. Uma alternativa é consultar direto na fonte, na onion http://pwndb2am4tzkvold.onion/
blz, depois irei testar "descer" la
Existem também projetos nos quais o Karma se baseava, encontrando posto por aqui
https://github.com/M3l0nPan/pwndb_api
https://github.com/davidtavarez/pwndb
Encontrei também este mirror, vale a pena tentar compilar
https://github.com/limkokhole/karma
git clone https://github.com/limkokhole/karma.git ; cd karma
sudo -H pip3 install -r requirements.txt
python3 setup.py build
sudo python3 setup.py install
sudo -H pip3 install -r requirements.txt
python3 setup.py build
sudo python3 setup.py install
Origem 235 — 21/05/2020 11:52 a 11:53 — Extração e análise de dados em iPhone/iOS
Parece que há um bug no UFED versao 7.33.0.95 em relação a extração checkm8 e iPhone com iOS 13.4.1. A extração praticamente trava e na tentativa e cancela-la o celular fica travado no modo de extração da Cellebrite.
Aguardando resposta da Cellebrite...
Origem 236 — 22/05/2020 11:35 a 12:39 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, estamos aqui com um caso de estupro. Celular aparentemente com conteúdo apagado, conector USB danificado, bem como slot do cartão de memória. Neste caso seria partir para chip-off e afins?
Algum de vcs faz este procedimento?
Alguma opinião?
Algum de vcs faz este procedimento?
Alguma opinião?
Qual é o modelo técnico do telefone ??
SM-J500M
Cara, j500m compensa tentar fazer a manutenção da saúde usb, pq faz física tranquilamente
Da usb
Slot, tbm danificado. Aí complica mais
Pois é. Na verdade o caso está com uma amiga. Ela levou numa assistência e a única coisa que deu certo foi fazer ele carregar.
Não sei se foi erro do técnico lá.
Não sei se foi erro do técnico lá.
Qual método que você usa. Eu costumo apanhar dos j500m. Pede para inserir um cartão de memória "em branco", mas ele não acha o cartão. Tem alguma configuração para poder detectar?
EDL, inclusive via Adb, funciona
Então esse problema do cartão q não acha nós substituirmos o firmware dele. Por um mais atual, aí ele passa a reconhecer
Como você consegue fazer o EDL? Eu nunca consegui. 😢
Hj não estou na base para confirmar para vc qual a versão do firmware q usamos
Hum, será que pode ser questão de sw?
Acredito q seja, pegamos uma versão mais atual na summobile e atualizamos com o odin quando ele não reconhece, comigo pelo menos sempre funcionou
Tô com dois dele aqui nesse momento. Apesar de ele não estar criptografado, a extração física EDL adb dá erro. Consegui fazer os dois usando o perfil detectado pelo UFED4pc escolhendo a extração "Physical Decrypting EDL ADB". Detalhe, como até mesmo um colega alertou, ele dá erro no passo 5 de 6 porque o celular não consegue reiniciar... Depois de tentar o procedimento do zero mais algumas vezes, o celular consegue reiniciar completamente e a extração inicia no passo 6.
Faz a não decrypting que sempre funcionou para mim
Pois é, aqui tentei mas não funcionou. Aqui são os sm-j500m/ds
Mas um dos dois método com certeza vai funcionar também, certeza
Aqui a atualização de FW pra dar suporte ao SD tbm acho que não vai adiantar, pq a USB tá danificada tbm. Vou sugerir a ela tentar levar em outro técnico.
Já fiz caso similar soldando cabo usb direto na placa
Isso nunca tentei, bom saber q funciona para tentar na próxima
Formata o cartao para fat16 para o celular reconhecer.
Geralmente uso essa, a extração sempre funcionou, mas em alguns aparelhos quando liga normal da msg de erroJ500MUBU1BPL1_J500MZTO1BPL2_J500MUBU1BPK1_HOME.tar.md5
Vou tentar isso aqui tbm
Tem um método que também não sei se seria possível por conta da USB. Mas você conseguindo rodar o TWRP nele, da pra fazer a cópia física via twrp direto para um cartão de memória. O problema seria conseguir iniciar o twrp.
E eu tentei de novo!
Pois é. Instalar o twrp que é o desafio nesse caso.
Nunca pesquisei pra ver se existe CWM para esse modelo e se o CWM permite fazer essa cópia física assim como o TWRP. Se for possível o CWM instala via cartão de memória.
Farei isso um dia.
Origem 237 — 26/05/2020 10:41 a 11:32 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, nunca fiz os procedimentos de modo EDL via TEST POINT.
Estou com o Xiaomi 7A (Snapdragon 439) que está bloqueado.
O 4PC não oferece suporte para contorno de bloqueio.
Msm assim entrar no EDL desta forma adiantaria pra extração? Ou por estar bloqueado não daria?
Estou com o Xiaomi 7A (Snapdragon 439) que está bloqueado.
O 4PC não oferece suporte para contorno de bloqueio.
Msm assim entrar no EDL desta forma adiantaria pra extração? Ou por estar bloqueado não daria?
Em geral adianta, sendo um dos motivos para ser utilizado. Porém, o sucesso é dependente de características do processador e da disponibilidade do programa injetado para o processo de dump.
Uma das variáveis a ser consideradas no processo é a versão do bootloader em execução no dispositivo.
Então, mas levando em conta que o 4PC não apresenta possibilidade de extração física via EDL nem para o modelo do aparelho bem para o processador.
Qual seria a escolha pra se fazer a extração?
Qual seria a escolha pra se fazer a extração?
parece que Xiaomi publica os programas de injeção do EDL, deixa eu tentar achar o site. Acho que vc pode tentar fazer "no braço".
tem que achar o "firehose" para esse processador
Hum, preciso pesquisar mais sobre o assunto. Foi além do meu conhecimento... Qq coisa dou mais um alô!
seguinte, não achei. Parece que não tem mais o fórum da Xiaomi que tinha os firehoses para download. eu só achei um pessoal comentando que parece que vem dentro do firm dele
https://www.clangsm.com.br/topic/131793-firehose-redmi-7/
em resumo, é o seguinte
os qualcomm tem um protocolo chamado Sahara que permite vc rodar programas nesse modo EDL (Emergency Download Mode)
só roda programas assinados pelo fabricante
aí, esses programas "programadores" da qualcomm o pessoal chama de firehose
o EDL fica no PBL (Primary bootloader)
vc pode usar esses programas para dump da memória, eles geralmente têm essa função implementada. PAra usar, geralmente tem uns programas na net para os qualcomm
em resumo, é o que o UFED faz por traz. Quando ele diz que faz EDL em um qualcomm, é pq ele tem o firehose para esse modelo específico. Como o pessoal arranja esses programas assinados pelo fabricante eu não sei. Deve vazar das autorizadas.
achei aqui uma explicação bacana: https://alephsecurity.com/2018/01/22/qualcomm-edl-1/
Queria entender melhor o que fica encapsulado nessas extrações do ufed e xry! Algumas a gente consegue entender e outras fico meio perdido, sua explicação foi massa!
[MENCAO] é monstro
[MENCAO]
Cara, muito obrigado pela explicação!
Cara, muito obrigado pela explicação!
Origem 238 — 26/05/2020 17:08 a 17:14 — Extração e análise de dados em iPhone/iOS
Opa amigos
Preciso de uma informação
Alguém consegue explicar como uma extração de iPhone aparece dois imeis?
qual é o modelo do iphone?
a partir do X, se não me engano, além do SIM físico, há o eSIM tbm
pelo imei vi que é um 8+
então não se aplica o q eu disse
boa tarde, alguem ja encontrou arquivo com esteganografia no iPED?
IMG-20200526-WA0042.jpg (arquivo anexado)
seria esse, um caso?
Origem 239 — 27/05/2020 11:45 a 13:39 — Ativação do modo desenvolvedor e depuração USB
Qual a melhor solução atualmente? Pq tinha aquele problema de não exportar os arquivos de mídia...
<Mídia oculta>
EXTRATOR_0.4
EXTRATOR_0.4
Tenho usado esse aqui
[MENCAO] vocês exportam as conversas e enviam em txt mesmo ou indexam em algum apk?
Eu mando em txt mesmo.
👍🏻👍🏻 mas ele exporta todas as conversas ou ainda há limitações?
Estamos sofrendo com um caso importante nosso aqui em SC
Quando a base é muito grande já vi a versão 0.3 apresentar erro. No 0.4 ainda não trabalhei com bases muito grandes. O bandido agora tá usando 02 dois celulares, apenas um carrega os "fragrante"
Tirei o cabo e setei as configurações. Aí ficou esperando. E inserir o cabo
Um j410g com senha!
Se alguém tiver alguma informação sobre esse o Samsung J410G bloqueado com senha. E proteção de inicialização!
Menos o microondas! Heheheh
https://www.zdnet.com/google-amp/article/windows-10-the-developer-who-wrote-windows-task-manager-reveals-its-secrets/
Algumas dicas interessantes
Peguei um 410M ontem com bloqueio de inicialização. Diversas tentativas sem sucesso. Alguém sabe se é possível contornar esse bloqueio de inicialização no Android ?
Fiz um desse ontem usando o modelo XT1068, também desbloqueado. Habilitei a depuração USB, o permanecer ativo, o permitir fontes desconhecidas e desabilitei o verificar aplicativos. Selecionei no Touch 2 versão 7.33 a opção extração física - Advanced ADB. Depois coloquei aquela opção que extrai para um pendrive por cabo OTG. Deu sucesso, já gerei o relatório.
Observação, era Android 6.0
Cmg deu erro e fecha o app na 0.4 quando tem mt anexo na conversa. Ai o jeito é exportar sem so anexos. Tive q usar no wpp business
Atentar q o no txt exportado aparece o nome salvo na agenda e n o número do terminal
Tentou o Advanced ADB ? Tem um outro modelo, o Samsung j210 se eu não me engano que também é assim. Ele fica indo e voltando do mtp para carga. Daí você tem que ficar em cima pra alterar sempre e conseguir fazer a lógica no touch2
O que eu faço quando não exporta os arquivos de mídia junto é uma certa gambiarra: pego o txt, jogo em uma pasta com os arquivos de mídia extraídos pelo UFED e uso o mobile merger para unir tudo
Ja fiz isso uma vez...deu um trabalho danado por causa do formato da data/hora dos txt q o UFED n entendia..custo/beneficio nao foi bom
Estou precisando de cobaias para testar uma ferramenta de extração via escalação de privilégios em Android
de início, quem tiver em seus laboratórios dispositivos com chipset MTK (LG, alguns morotolas, Positivo, Lenovo, Xiaomi, etc...)
https://1drv.ms/u/s!AnLMJAxAc_-2hGpD89yLu5L8PFey?e=p4ivrV
Podem baixar a ferramenta no Drive, executar e me relatar se houve algum erro
a ferramenta atualmente contem esse exploit implementado: https://www.xda-developers.com/mediatek-su-rootkit-exploit/
e tb realiza a extração física caso o aparelho esteja rooteado tb
Caramba, que bacana 👏🏼👏🏼👏🏼
qquer dúvida podem me procurar no PV
Para os aparelhos que tiverem sucesso com a extração, por favor, me informem a marca, modelo e patch de segurança para eu planilhar
Parabéns pela iniciativa.
Já deve ser melhor que o xry 👏🏼👏🏼👏🏼😜
Origem 240 — 29/05/2020 14:48 a 15:28 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde!
Algum método de extração física para o dispositivo Cherry Mobile modelo Flare S4 Max, Android 6.0? Ou método de aplicação de root? Aqui só temos o UFED Touch 1.
Algum método de extração física para o dispositivo Cherry Mobile modelo Flare S4 Max, Android 6.0? Ou método de aplicação de root? Aqui só temos o UFED Touch 1.
UFED touch tem o perfil "Android mtk generic"? Ou semelhante?
Se sim, ele tem uma opção de extração física por bootloader
Vou verificar. Obrigado.
Se ele for encriptado, o perfil é outro, vai ter a opção "decrypting bootloader"
Quando estiver na frente do UFED eu vejo qual o nome certinho
Acho que é "smartphone decrypting MTK"
Certo. O dispositivo está desbloqueado. Já fiz até a extração lógica por precaução.
Se não estiver cifrado "chinese Android phones Android mtk"
Se estiver cifrado "smart phones/pdas decrypting MTK"
Obrigado Raphael. Irei realizar a extração.
Origem 241 — 01/06/2020 11:23 a 11:37 — Bootloader, desbloqueio OEM e risco de wipe
O método não é compatível com o dispositivo.
Usei "Chinese Android iphone" e depois Fake Samsung...S4. Extração física via bootloader. No final eu aviso se concluiu com sucesso e abriu sem criptografia.
Muito bom, obrigado pela dica 👍🏼
Origem 242 — 04/06/2020 10:08 a 11:38 — Análise de Registro Windows e arquivo NTUSER.DAT
Pessoal, já se depararam com um Q-Touch q06 para extração com ufed?
Pessoal, da pra recuperar a lista de chamadas ou mensagens de um telefone que foi restaurado suas conf de Fábrica?
Pouco provável, pode sugerir a autoridade policial procurar a operadora tem registros de chamadas.
Origem 243 — 04/06/2020 12:54 a 14:24 — Extração e compatibilidade em Samsung SM-A105
Qual, modelo, SO, etc...? Dependendo do sistema de arquivos, talvez se possa fazer carving? Se for android mais antigo, talvez um carving das bases SQLITE
Maioria dos Androids atuais, FactoryReset tem wipe.
São Samsung, um SM-A105 e outro SM-J500M
E eles foram utilizados por outros usuários após serem restaurados
Android 9
Acho baixíssima probabilidade de recuperação pela natureza do sistema de arquivos e tb pela sobrescrita altamente provável das páginas nand, porém ainda se pode achar páginas perdidas, mas acho complicado afirmar se essas são do usuário anteiror
Ok. Muito obrigado [NOME]
Origem 244 — 04/06/2020 19:01 a 19:01 — Extração e análise de mensagens do WhatsApp
Boa noite.
Ao abrir uma extração no cellebrite PA, na parte de conversas do whatsapp, tem um campo que indica se a msg estava apagada. Fica um "X" nesse campo. Mas às vezes, o campo tem o valor "?". Olhando no celular, vi que a msg nao estava lá. Alguém sabe o significado desse "?" no status de msg apagada e pq ocorre?
Ao abrir uma extração no cellebrite PA, na parte de conversas do whatsapp, tem um campo que indica se a msg estava apagada. Fica um "X" nesse campo. Mas às vezes, o campo tem o valor "?". Olhando no celular, vi que a msg nao estava lá. Alguém sabe o significado desse "?" no status de msg apagada e pq ocorre?
Origem 245 — 08/06/2020 14:15 a 16:20 — Bootloader, desbloqueio OEM e risco de wipe
Usei "Chinese Android iphone" e depois Fake Samsung...S4. Extração física via bootloader. No final eu aviso se concluiu com sucesso e abriu sem criptografia.
Concluiu com sucesso. Agora verificar se abre sem criptografia ou falhas.
O dispositivo cherry Flare S4b Max Android 6.0 foi realizado extração física via bootloader com sucesso e abriu com sucesso no UFED Physical Analyzer.
Só uma curiosidade, A licença de vocês tá vencida ou usa PA 7.6.0.83?
Faz observação no laudo desse fato?
Não. Acredito que não é necessário. Para o Delta, MP e Justiça essa informação é indiferente. Já foi licitado. Aguardando as atualizações.
Não sei se foi a troca da versão, mas agora ele de fato apareceu em "manual evidence > image carving results"
Origem 246 — 14/06/2020 17:40 a 18:12 — Localização por ERB, Cell ID, BSSID e bases externas
Boa tarde. Vcs sabem dizer se Wazer guarda histórico no app? Se tem como exportar?
E se ele guardam em servidores / nuvem tb, para uma determinação judicial?
Melhor quebrar o sigilo do Google pois lá tem histórico de localização
Sem bem que waze também é Google 🤔
É, vou informar ao delegado pra solicitar tb, mas às vezes o histórico do google tá desativado
e me informaram q esse alvo aqui usava waze direto.
Ufed decodifica Waze
só consegui extração de sistemas desse aparelho =/. Cellebrite antigo aqui 😳
aí não veio nada do waze.
vou tentar ver se tem alguma opção direto no app, vcs sabem?
Origem 247 — 16/06/2020 18:49 a 18:55 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Quero nem imaginar a nova onda de golpes...
Quero nem imaginar a nova onda de golpes...
Ele parece não estar entrando no modo cellebrite. Tivemos alguns problemas similares com esse A1688. Alguns tinham versão do iOS menores que 12.3 (não compatível com essa extracao) ou quando era versão maior não ia mesmo ou travava durante a extração. A cellebrite chegou a mandar algumas versões betas, mas nos testes também não funcionaram
Ja vi acontecer algo parecido com iOS 11. Se iOS for menor q 12.3 nao funciona mesmo.
A versao 7.34 q saiu esses dias tem atualização relacionada ao checkm8.
Origem 248 — 18/06/2020 11:03 a 12:15 — Extrações, importação e limitações no XRY
Bom dia!
Fiz a extração física de um cartão de memória micro SD de 8GB, o tamanho da extração é compatível o tamanho do cartão. Todo conteúdo extraído foi gerado relatório, mas agora o tamanho total é 9GB, isso é possível?
Fiz a extração física de um cartão de memória micro SD de 8GB, o tamanho da extração é compatível o tamanho do cartão. Todo conteúdo extraído foi gerado relatório, mas agora o tamanho total é 9GB, isso é possível?
kkk. boa pergunta. Fez algum carving/vasculhamento?
Talvez algum arquivo zip q o software descomprimiu?
Provavelmente Carving sobre algum arquivo. Além do espaço do próprio arquivo podem existir imagens vasculhadas no interior deste arquivo, gerando uma "duplicação" .
é, se foi no PA e marcou a opção para incluir itens mesclados
vai incluir redundâncias
<Mídia oculta>
Se for com o xry tbm é possível
Se for com o xry tbm é possível
Sim. Analisei dessa forma. O programa de recuperação de dados Recurva identifica inúmeros arquivos duplicados e carving que faz aumentar o tamanho inicial.
É usando o UFED Touch 01 Cellebrite.
Percebi que conseguiu recuperar inúmeros arquivos, muitos estão duplicados.
Existe tb a diferença do tamanho dos dados do arquivo e o tamanho do arquivo no sistema de arquivos. O sistema de arquivos pode estar com clusters de tamanho diferentes etc...
Mas provavelmente é o carving
Sim. Verdade. Analisando a extração percebi inúmeros arquivos duplicados e recuperados.
Origem 249 — 23/06/2020 13:59 a 14:22 — Extração e análise de mensagens do WhatsApp
Interessante. Em modo bloqueado, de só chamadas de emergências será que vai? eheh
acho que não, igual o *#06#
De qualquer forma vai ser útil para realizar física em alguns desbloqueados.
Nunca me aventurei a fazer, mas fico pensando se não seria interessante em casos de celulares criptografados que nem chipoff adianta muito, se não teria como alterar o SO do android na mão? No caso, inserir através de chipoff ou jtag um trecho de código na região do SO
que nos desse permissões administrativas, por exemplo
a partição do SO também é criptografada?
ou verificada por hash toda vez q liga o aparelho, por exemplo?
hash do so é verficiada geralmente
pois é, quem sabe esse não seria o caminho q deveríamos correr, caso a criptografia aperte mais ainda a situação
na verdade, já tá bem complicado, creio. Pelo menos pra nós aqui q não temos um cellebrite atualizado eheh
e as próprias soluções forenses mesmo, como as da cellebrite, mesmo atualizadas, o número de aparelhos que consegue fazer extração física deve ser cada vez menor, se comparado a anos atrás, suponho.
de *novos aparelhos, digo
Já tive casos em que o PA não fez o link para as mídias, que estavam presentes no aparelho e na extração, aí rodei aquele plugin WHATSAPP STAND-ALONE. Ele gera réplicas das conversas, em que as bolhas são todas cinzas e não mais azul pra recebidos e verde pra enviados, mas o link fica funcionando.
Origem 250 — 24/06/2020 13:11 a 15:23 — Conexão USB, ADB e diagnóstico de porta em Android
boa tarde, algum dos colegas tem a cotação do UFED mais recente?
Arquivos de backup de celular LG tem algum programa forense pra abrir? extensão: .lbf
O PA processa. Abrir avançado...
tentei, como nao tem suporte ao aparelho ele so cosneguiu fazer um carving por imagens e nada mais
lg k130f, ufed é o touch1
Ele entra em modo de firmware?
Acho q dá pra fazer uma física pelo "Generic LG"
*firmware update
Vol + e plug na usb
O PA processa direto o formato lbf, no momento da escolha do modelo escolhe lg backup. Mas já percebi alguns problemas com esse formato, quando o resultado excede os 4 GB, daí faço por etapas que não ultrapassem esse tamanho, mas funciona direitinho.
No UFEd tentei pelo generic mas por algum problema q n descobrir o a aparelho n era reconhecido
No pc tb tive problemas, tendo q baixar um driver adicional da LG e o programa era um antigo tb chamado Lg Bridge
Programa q faz k backup
às vezes o touch1 aqui não faz tb, aí eu recorro ao spflashtool, quando é chipset mediatek feito esse
geralmente dá certo, se vc quiser tentar a física
https://spflashtool.com/
tudo, igual à física
Vc baixa a stock rom desse modelo, e usa o modo "Read Back"
cuidado pra não usar a de download, q vai fazer o inverso eheh, flashear
Ja to lendo aqui sobre esse perigo hehe
Pra usar o readback tem q informar o scatter (arquivo q vem na room), só q vc informa no modo download, mas só informa, sem apertar "Download" eheh
*rom
entao tenho q procurar a ROM corrente no aparelho e baixar pra extrair o scatteR?
Isso, qualquer rom desse modelo serve, só para pegar o scatter e um .bin que vem junto
Não sei se há uma forma genérica pra fazer readback, se alguém souber aí para compartilhar.
sem precisar da rom
<Mídia oculta>
MTK6735M.zip
MTK6735M.zip
Não sei de qual modelo foi esse, mas é o mesmo chipset, quem sabe vai
às vezes pega de outro modelo, mesmo chipset
k130 é esse mesmo mtk
mas pesquisando aqui tem uma ferramenta MTK Droid Tool que gera o scatter de qualquer aparelho mtk, claro
É, mas acho q é com o aparleho desbloqueado, em adb
mas acho q tem uma forma genérica, q o touch usa provavelmente. Ou então eles têm uma tabela de scatters para testar no generic lg
sabe dizer se o mtk tools gera o .bin tb?
é só carregar o scatter
Origem 251 — 28/06/2020 21:09 a 21:55 — Extração e análise de dados em iPhone/iOS
boa noite, alguem sabe me informar ate qual versão do iPhone o UFED faz extração nem que seja apenas a logica? dispositivo desbloqueado
Acho que tens que usar o Physical Analyser. Lá tem opção de extração de Iphone
Full file system até o X, advanced logical para os demais
tem isso tambem, mas o PA daqui se encontra desatualizado
queria saber hoje ate onde a cellebrite consegue "pegar"
Origem 252 — 29/06/2020 19:27 a 19:27 — Compatibilidade de modelos e métodos de extração no UFED
https://periciacomputacional.com/mobile-forense-um-olhar-tecnico-sobre-extracao-de-telefone/
Origem 253 — 01/07/2020 12:28 a 14:38 — Extração Samsung em modo Download/ODIN
Boa tarde!
É possível desligar o LG k12 Max e Android 9.0 com senha?
É possível desligar o LG k12 Max e Android 9.0 com senha?
Talvez através do recovery
Como faz pra acessar no LG k12?
Fiz alguns testes e pesquisas, mas ainda não consegui.
Modo download do lg é segurar volume + e conectar o cabo USB. Só que senão me engano esse modelo está criptografado e o ufed não estava fazendo.
Certo. Irei testar. Obrigado.
<Mídia oculta>
Cotacao Ufed Touch.pdf
Cotacao Ufed Touch.pdf
<Mídia oculta>
Cotacao Ufed 4PC.pdf
Cotacao Ufed 4PC.pdf
Boa tarde, essa foi a ultima cotação do UFED disponibilizada no grupo. A duvida, algum dos colegas sabe explicar cada item desses?
Olha só, frete gratuito!
*Suporte 8x5 Remoto MobileTech* suporte oito horas por dia, de segunda a sexta
*UFED CHINEX ADD-ON Hardware* kit chinex para alguns celulares específicos
*UFED CHINEX ADD-ON Software* software do chinex (não sei qual é esse software)
*UFED Cloud Analyzer SW Renewal* atualização do cloud analyzer por mais dois anos depois que se findar o primeiro ano
*UFED Cloud Analyzer Perpetual Hardware* hardware do cloud analyzer (não sei qual é, pode ser um dongle separado)
*UFED Cloud Analyzer Perpetual Software* cloud analyzer para analisar dados em nuvem com base nas credenciais salvas no aparelho (uso controverso)
*UFED Analytics Desktop Basic SW Renewal* renovação do analytics por mais dois anos, depois que terminar a do primeiro ano.
*UFED Analytics Desktop UAD Hardware*hardware do analytics (não sei qual é)
*UFED Analytics Desktop UAD Software*software do analytics, que faz uma análise de vínculos entre celulares de um mesmo caso. Nós não costumamos pedir ele, pois acreditamos que é um serviço da investigação, não da perícia.
*UFED 4PC Extended Warranty (1 year)* Acredito que seja uma garantia do SW e do Hardware em conjunto.
*UFED 4PC Ultimate SW renewal* Quando você compra o UFED 4PC, tem direito às atualizações do software que saírem durante um ano. Para inteirar 3 anos, eles colocam essa renovação de software cobrando separado pelos 2 anos seguintes.
*UFED 4PC Ultimate Standard-Hardware* hardware do ufed 4PC - cabos, etc.
*UFED 4PC Ultimate Standard-Software* UFED 4PC em si, com software de extração e com o Physical Analyzer
*UFED CHINEX ADD-ON Hardware* kit chinex para alguns celulares específicos
*UFED CHINEX ADD-ON Software* software do chinex (não sei qual é esse software)
*UFED Cloud Analyzer SW Renewal* atualização do cloud analyzer por mais dois anos depois que se findar o primeiro ano
*UFED Cloud Analyzer Perpetual Hardware* hardware do cloud analyzer (não sei qual é, pode ser um dongle separado)
*UFED Cloud Analyzer Perpetual Software* cloud analyzer para analisar dados em nuvem com base nas credenciais salvas no aparelho (uso controverso)
*UFED Analytics Desktop Basic SW Renewal* renovação do analytics por mais dois anos, depois que terminar a do primeiro ano.
*UFED Analytics Desktop UAD Hardware*hardware do analytics (não sei qual é)
*UFED Analytics Desktop UAD Software*software do analytics, que faz uma análise de vínculos entre celulares de um mesmo caso. Nós não costumamos pedir ele, pois acreditamos que é um serviço da investigação, não da perícia.
*UFED 4PC Extended Warranty (1 year)* Acredito que seja uma garantia do SW e do Hardware em conjunto.
*UFED 4PC Ultimate SW renewal* Quando você compra o UFED 4PC, tem direito às atualizações do software que saírem durante um ano. Para inteirar 3 anos, eles colocam essa renovação de software cobrando separado pelos 2 anos seguintes.
*UFED 4PC Ultimate Standard-Hardware* hardware do ufed 4PC - cabos, etc.
*UFED 4PC Ultimate Standard-Software* UFED 4PC em si, com software de extração e com o Physical Analyzer
Boa tarde colega, segue um rascunho com o que eu entendo ser cada coisa. Se alguém identificar algum equívoco, favor me corrigir.
Nao vale a pena comprar mais o ufed touch, senao for usa-lo em campo. O Ufed 4PC faz extrações mais rapido.
O equipamento tem processamento e memoria limitadas. É melhor instalar o software em um computador.
Ja ajudou bastante, obrigado
Onde fala sobre PERPETUAL, quer dizer que mesmo a licenca vencida o software continua funcionando sem atualizações.
Compramos o Cloud Analyser, mas quase não usamos. As requisições nao vem com ordem judicial para acesso aos dados na nuvem.
Raramente, vem uma. O Cloud Analyser nao tem se mostrado eficiente. Quando tento acessar dados do facebook, a google detecta como invasao e bloqueia o acesso.
Na teoria é uma boa ferramenta.
o PA entra em qual item ai?
ja ta embutido no UFED Touch2?
Quem estiver fazendo a constatação agora é interessante incluir horas de consultoria que são convertidas em créditos para usar o CAS pra desbloqueio e extração física de iPhone e outros aparelhos
Constatação = contratação
Origem 254 — 02/07/2020 17:22 a 17:32 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Pessoal, boa tarde. Esse "corrupt" indica uma extração incompleta? Alguém saberia dizer o motivo? Aparentemente está tudo OK na extração.
Pessoal, boa tarde. Esse "corrupt" indica uma extração incompleta? Alguém saberia dizer o motivo? Aparentemente está tudo OK na extração.
Geralmente gera um arquivo de log junto com o ufd
detalhando se deu tudo certo
Origem 255 — 06/07/2020 15:31 a 15:31 — Extração e análise de mensagens do WhatsApp
pessoal boa tarde. Alguém aí já fez extração física de um nokia RM-985 com windows phone 8.0 e sem senha? Consegui fazer pelo UFED a lógica e sistema de arquivos, mas preciso fazer física ou pelo menos conseguir extrair Whatsapp
Origem 256 — 10/07/2020 19:48 a 19:48 — / Pesquisa identifica ferramenta para extração e manipulação de anexos de email _
<Mídia oculta>
Pesquisa identifica ferramenta para extração e manipulação de anexos de email _ by Tempest Security _ SideChannel-BR _ Medium.pdf
Pesquisa identifica ferramenta para extração e manipulação de anexos de email _ by Tempest Security _ SideChannel-BR _ Medium.pdf
Origem 257 — 14/07/2020 11:09 a 11:11 — Analisando um relatório em PDF ou UFDR é possível ver se a extração
Pessoal, analisando um relatório em PDF ou UFDR é possível ver se a extração considerou o cartão de memória ou não no processo?
Tem que olhar as partições. Pois alguns métodos montam o cartão e outros não
O conteúdo que está no cartão fica com EXT_STORAGE ou algo assim, certo? Não me lembro exatamente.
Origem 258 — 14/07/2020 11:49 a 12:20 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia amigos. Tenho a imagem .e01 de um HD de um DVR, vcs conhecem e/ou tem um software com o que eu possa extrair os vídeos desta imagem?
Tem o disk manager da dahua
Intelbras normalmente usa esse
DAHUA File System.
O DVR é de ameaça Giga
checa os primeiros bytes da imagem
vai ter lá o tipo de sistema provavelmente
Tem o programa do perito [NOME] tb.
Não tenho o programa do [NOME]
Vou tentar o Disk Manage aqui
Só funciona em dhfs
Vou procurar nos emails o contato do [NOME].
Adiciona a imagem no ftk imager e dá uma olhada na assinatura no início. Aí já vai te dar um indicativo de qual filesystem é
Tenta usar os scripts [NOME] mesmo.
Já tive problemas com um DVR da giga e era wds0.4 tbm, nesse caso específico nem os scripts funcionaram, só com o aparelho dvr
Já tive problemas com um DVR da giga e era wds0.4 tbm, nesse caso específico nem os scripts funcionaram, só com o aparelho dvr
Origem 259 — 17/07/2020 16:18 a 16:35 — Bootloader, desbloqueio OEM e risco de wipe
Amigos, um multilaser ms45s (Chipset Spreadtrum), teria alguma forma de root ou extração física? Android 6. Só temos Ufed Touch 1 aqui.
tenta ver se tem algum desses aqui no UFED1: https://www.kimovil.com/pt/lista-telemoveis-por-processador/spreadtrum-sc9832
por aquele xls da cellebrite, de todos os aparelhos, não aparece física pra esse chipset sem ser root =/
Vou ver se aparece algum desses 👍🏻
com certeza a multilaser não fabricou de fato esse aparelho (eles geralmente importam chineses e tropicalizam), logo, deve ter um equivalente no mundo para esse aparelho. Sendo assim, uma possibilidade é se arranjar um recovery e gravar (como se faz com odin para Samsung), porém, mesmo arranjando um recovery, tem que saber se o bootloader desse aparelho é bloqueado ou não, e se operar o desbloqueio, se há o apagamento dos dados da userdata.
Pois é. Pelo que vi até tem um root, mas na hora do unlock oem, wipe userdata =/
Origem 260 — 20/07/2020 12:26 a 12:26 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia, alguém indica uma ferramenta para extração de informações do Instagram de um celular android? o aparelho tem 2 contas, com contatos diferentes, mensagens, mídia, mas nem o Cellebrite nem o Axiom trouxeram nada.
Origem 261 — 20/07/2020 14:57 a 15:17 — Uso do Magnet AXIOM/IEF em artefatos digitais
Pessoal, boa tarde! Tenho um aparelho que fiz a Extração física pelo axion e gostaria de analisar pelo UFED, mas ele pede senha pra ler a imagem feita pelo axion! Alguma alternativa?
Quando tu carrega uma wordlist ele apresenta erro em seguida ou "parece" estar percorrendo ela?
Se for a primeira opção, diria que é quase certo que o axiom fez um dump, mas a partição do usuário está criptografada
Origem 262 — 21/07/2020 14:16 a 14:40 — Compatibilidade de modelos e métodos de extração no UFED
Alguém já tentou backup via aquele software SPD Research tool para os multilaser spreadtrum?
Tentei uma vez mas fracassei. Só que tenho certeza que foi problema entre a cadeira e o teclado.
O modelo q eu estava tentando eu não consegui obter os arquivos correspondentes
para um "readback"
Origem 263 — 29/07/2020 09:23 a 09:57 — Bootloader, desbloqueio OEM e risco de wipe
Prezados, alguém já colocou o dispositivo Samsung J410G em modelo EDL?
No 4PC ele pode ser feito via BootLoader
EXTRAÇÃO FÍSICA VIA UFED 4PC -> BOOTLOADER PARA O MODELO SM-J410F
No touch também, vai de boa na extração via bootloader, só precisa reiniciar e colocar em modo download umas três ou quatro vezes.
o cabo amarelo T-133 facilita bastante
Blz. Infelizmente o 1 não suporta bootloader para esse aparelho.
Origem 264 — 30/07/2020 10:08 a 10:12 — Bootloader, desbloqueio OEM e risco de wipe
Caros, bom dia!
Estou com um celular Positivo S430 (Twist Mini), chipset MT6572A, o qual está travado em sua inicialização (no logo "Positivo").
Algum colega teria alguma sugestão de como poderia viabilizar uma extração desse aparelho? Tentei os 04 perfis genéricos MTK (bootloader) do Touch2, e o decrypted bootloader genérico tb, mas sem sucesso.
Estou com um celular Positivo S430 (Twist Mini), chipset MT6572A, o qual está travado em sua inicialização (no logo "Positivo").
Algum colega teria alguma sugestão de como poderia viabilizar uma extração desse aparelho? Tentei os 04 perfis genéricos MTK (bootloader) do Touch2, e o decrypted bootloader genérico tb, mas sem sucesso.
Entrando no Recovery dele não tem modo Backup UserData?
<Mídia oculta>
Neste aqui, aparentemente não.. :/
Neste aqui, aparentemente não.. :/
Origem 265 — 30/07/2020 11:47 a 12:03 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa tarde!
gt-s6293t não está completando o boot ao ser ligado, congela no logo da Samsung.
Alguém conhece alguma solução pra extração nesse cenário?
gt-s6293t não está completando o boot ao ser ligado, congela no logo da Samsung.
Alguém conhece alguma solução pra extração nesse cenário?
Valeu pelo passo-a-passo!
Baixei a stock rom na página da Positivo, e, dentro deste pacote, já consta um scatter file.
Mas, o layout dele está bem diferente do guia, e ali não consta o endereço do Cache.
Baixei a stock rom na página da Positivo, e, dentro deste pacote, já consta um scatter file.
Mas, o layout dele está bem diferente do guia, e ali não consta o endereço do Cache.
<Mídia oculta>
Segue uma parte do scatter file
Segue uma parte do scatter file
Dessa forma, teriam uma sugestão de como eu posso determinar o endereço final, p/ inserir no flashtool?
Já teve caso que peguei só o userdata nesse método.
O endereço final da para ver na ferramenta, na parte de read back tem no canto esquerdo inferior.
O endereço final da para ver na ferramenta, na parte de read back tem no canto esquerdo inferior.
Meio chato de achar, mas está lá
<Mídia oculta>
Sem querer abusar, mas já abusando😅 Seguem as abas Download e Readback. Não encontrei aqui, [NOME]..!😬
Sem querer abusar, mas já abusando😅 Seguem as abas Download e Readback. Não encontrei aqui, [NOME]..!😬
Em Download, tenho um endereço do usrdata ali, mas seria o addr inicial..!
Bom dia a todos. Alguém possui o contato do Yuri da Polícia Técnica de São Paulo que está realizando a compra do amped five? Gostaria de tirar algumas dúvidas sobre o projeto para fazer um semelhante para a perícia do RJ.
Vou te chamar no pvt
Às vezes aparece após um primeiro readback
Se não aparecer, vai na tentativa e erro, gigabytes em hexadecimal, depois descendo
Só lembrando para nunca apertar download eheh
Origem 266 — 10/08/2020 10:04 a 13:20 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, bom dia! Alguém aqui sabe o local na placa do XT1563 pra colocá-lo no modo EDL? Obg
Nunca tentei até porque não temos JTAG aqui no laboratório, se o aparelho não estiver criptografado, vi em um fórum que tem um esquema pra fazer chip off pra esse modelo....
O 4PC dá suporte à extração via EDL
O problema é que fazer root em Motorola, quase sempre acaba em wipe
Origem 267 — 27/08/2020 16:39 a 17:03 — Extração Samsung em modo Download/ODIN
Prezados(as) boa tarde! Estava fazendo uma extração física o UFED travou e agora o aparelho Samsung Galaxy A8 - SM A530F fica para na tela coma mensagem: cmdline parameter modified.
Alguma dica pra resolver isso?
Roda a mesma extração novamente
já usou as "ferramentas" do ufed?
A ferramenta pede pra colocar em modo download e não consigo fazer nada com o aparelho.
forçar o aparelho a reiniciar não funcionou?
Não. Voltou pra mesma tela.
Pode tentar liga-lo com cabo 133 (amarelo). Desligar nesses modos tem que ser em hardreset (Geralmente volDOWN+PWR por uns 10 segundos ou mais)
Reinicia usando o botão de POWER + VOL- por 7 segundos, assim que a tela apagar segure os dois botões de volume e conecte a USB
Vai entrar no modo download se for feito no momento certo
Ok. O aparelho tá carregando agora. Assim que terminar vou tentar.
O cabo 133 não dá no A8
Verdade. USB-C
Origem 268 — 31/08/2020 12:32 a 13:03 — Análise de Registro Windows e arquivo NTUSER.DAT
IMG-20200831-WA0002.jpg (arquivo anexado)
Faltou só a Alexa. A minha não entendeu a piada
Pessoal, no caso em que não tenha um UFED, vocês conhecem alguma alternativa para pegar registros de contatos, chamadas e SMS de um Android?
Lembro do Santoku, mas se tivesse algo mais amigável facilitaria, pq o colega não tem tanta familiaridade.
O ForensicTools não deu certo.
Origem 269 — 03/09/2020 12:24 a 12:26 — Extração e análise de dados em iPhone/iOS
Boa tarde!
Aqui na seção de informática temos 2 Cellebrite UFED 01 desatualizados. Estamos com muita dificuldade de extrair o conteúdo da memória interna dos dispositivos Apple iPhone.
Alguma forma de extrair, por exemplo, o Apple iPhone A1633?
Aqui na seção de informática temos 2 Cellebrite UFED 01 desatualizados. Estamos com muita dificuldade de extrair o conteúdo da memória interna dos dispositivos Apple iPhone.
Alguma forma de extrair, por exemplo, o Apple iPhone A1633?
pode tentar o checkr4in com jailbreak provisório, e fazer a extração tradicional
Origem 270 — 14/09/2020 10:21 a 11:21 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia! Samsung A30 bloqueado, alguma opção para extraí-lo?
Esse aparelho acredito que você consiga fazer uma file system FBE e pegar alguns dados como conta do usuário e screenshots. Mais que isso só desbloqueando (talvez esses dados auxiliem na engenharia social da senha)
Como faz file system FBE? PA?
Ufed, seleciona o modelo, file system.
Ah, blz. Infelizmento só tenho o Touch1 aqui =/
Teria alguma ferramenta open source ou free que esteja fazendo esse tipo de extração?
FBE o telefone tem que estar desbloqueado, essa família “A” tá dando trabalho.
Destravado, No caso, pra fazer uma extração adequada, profunda, o FBE tá muito bom, mas, de fato, em alguns filhos da família A consegue-se uma extraçãozinha parcial, com ele travado, são pouquíssimos casos. Já fiz alguns, pega alguma coisa, mas, melhor que nada.
Origem 271 — 23/09/2020 15:01 a 17:02 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, LG K10 M250ds Chipset mediatek mt6750. Alguma ideia de desbloqueio pelo ufed?
Ou algum outro método
Generic Android MTK
Tenta no 410f e na hora de abrir no P.A colocar um dicionário de senhas para tentar quebrar
No momento não estou na base com acesso ao dicionário de senha
Tem esses dois perfis genéricos para MTK
IMG-20200923-WA0020.jpg (arquivo anexado)
Em todas as opções que eu tentei o celular não liga depois de plugado quando o ufed pede
Em todas as opções que eu tentei o celular não liga depois de plugado quando o ufed pede
mas fora do UFED ele liga?
tentou o "Decrypting LG MTK"?
Dentro do ufed não
E nas extrações com contorno de bloqueio da o mesmo problema
O ufed identifica o modelo do celular mas não consegue fazer ele ligar
Desconheço outras opções para esse modelo usando o UFED
Talvez tentar colocar ele em EDL usando pinpoints na placa, mas não tenho esquema desse modelo
Deu certo com esse modo
Alguém tem algum dicionário de senhas?
Estou de férias e sem acesso à minha máquina
Origem 272 — 28/09/2020 16:49 a 17:16 — Recuperação de mensagens e vestígios do WhatsApp
Boa tarde, gente. Alguém já teve experiência em fazer JTAG ou chipoff num Galaxy S2? Acho que o sistema não é criptografado, correto?
Está danificado? Esse modelo é antigo, tem vários métodos de extração.
Está sim. Não liga.
já usei um kit de JTAG que tinha um adaptador para esse modelo. Tinha um adaptador para conectar na PCB para ligar na BOX. No software da box vc passa o modelo do processador, e em tese, faria o dump.
agora se for fazer usando um USBBlaster da vida, com o openocd, aí vc teria que descobrir na PCB os pontos de JTAG que deve ter nalgum lugar na internet
Pessoal, uma amiga teve o WhatsApp clonado e pra recuperar o WhatsApp pede 4 horas pra reativar
Tem como recuperar antes ?
O mediante tá pedindo depósitos em dinheiro
Obrigado pela explicação. Não que eu vá fazer o procedimento, mas queria saber se é possível para eu poder informar isso. Valeu.
ChipOff, em tese, deve dar tb, porém, tem que ter bons equipamentos para retirar o chip de memória, que acho que é do tipo BGA, que é bem complicado. Aí, colocaria num leitor para puxar os dados
Uma solução mais simples é substituir a tela caso tenha um modelo igual de outra perícia e que esteja funcionando
*isso para o caso do problema ser a tela
*isso para o caso do problema ser a tela
Origem 273 — 29/09/2020 12:34 a 13:17 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Alguém já pegou esse erro no PA com uma extração BFU de IPhone?
Alguém já pegou esse erro no PA com uma extração BFU de IPhone?
Bem pontuado! Achei estranho o interesse de um órgão público por esse serviço. Talvez eles utilizam um rede existente de blockchain, como, por exemplo o Ethereum para guardar o hash com timestamp.
Origem 274 — 29/09/2020 14:37 a 14:58 — Extração e decodificação de bancos do WhatsApp
boa tarde, estou com um Iphone 7 Plus desbloqueado e pediram a extracao do whatsapp. O UFED disponivel no institutio é o touch 1 e nao faz. Entao teria algum aplicativo que faça essa extracao pelo computador?
sabe a versão do iOS?
13.5.1 é possível usando o checkra1n
https://www.sans.org/blog/checkra1n---part-1---prep/
Backup pelo itunes e indexar no PA?
já brickeiSoft um iOS com checkra1n nos primórdios, logo, tudo pode acontecer
lembrando que para conseguir extração total vc precisa da senha do aparelho
to lendo aqui. Valeu
so funciona em pc MAC
Pode fazer pelo Itunes e indexar com o IPED também.. ele categoriza os chats.
Origem 275 — 30/09/2020 11:23 a 12:31 — Extrações, importação e limitações no XRY
Prezados, bom dia!
*Alguém sabe informar se há compatibilidade entre as seguintes ferramentas caso sejam de fabricantes distintos (ex.: XRY - MSAB / OXYGEN FORENSIC / MOBILEDIT COMPELSON / UFED CELLEBRITE)?*
1) Solução de extração de dados
2) Software de processamento e análise de dados para cruzamento de vínculos
3) Software de processamento e análise de dados a partir de serviços de computação em nuvem (cloud).
Considerando em tratar-se de TR que não admite INEX, a bronca é: *as ferramentas sendo de empresas diferentes, quem garante tal comunicação entre as ferramentas? Quem dará o suporte em caso de inconsistências?*
*Alguém sabe informar se há compatibilidade entre as seguintes ferramentas caso sejam de fabricantes distintos (ex.: XRY - MSAB / OXYGEN FORENSIC / MOBILEDIT COMPELSON / UFED CELLEBRITE)?*
1) Solução de extração de dados
2) Software de processamento e análise de dados para cruzamento de vínculos
3) Software de processamento e análise de dados a partir de serviços de computação em nuvem (cloud).
Considerando em tratar-se de TR que não admite INEX, a bronca é: *as ferramentas sendo de empresas diferentes, quem garante tal comunicação entre as ferramentas? Quem dará o suporte em caso de inconsistências?*
Muito difícil... Licitar essas soluções... O xry mente quanto a quantidade de aparelhos que ela faz extração. Quando chega lá a extração simplesmente dá erro. Segundo consta a última versão eles informam capacidade de extração do famigerado a275, particularmente nunca consegui. Se alguém aqui do grupo conseguiu favor relatar
Eu acho que já consegui essa extração no xry! Tenho que verificar!
A275
Kkk.. esse pé duro é problemático viu..
O último TR especificamos os tipos de aparelhos que a ferramenta precisa suportar! E acaba que direciona a licitação pro UFED, por só ele trabalhar com Blackberry (posso estar enganado)! Mas a procuradoria acatou a justificativa!
... e a licitação foi concluída pro UFED 4PC!
Alguém poderia indicar possíveis fornecedores interessados em vender estações forense computacionais? O colega que está responsável por fazer o TR+artefatos da IN 01 está com dificuldade de encontrá-los, de forma a poder fazer a pesquisa de preços.
Já fizemos A275 aqui em MT no XRY
Obrigado [MENCAO] e [MENCAO] E
Origem 276 — 06/10/2020 17:51 a 18:13 — Extração e análise de mensagens do WhatsApp
Srs., só como feedback informativo. De fato, conforme o colega [MENCAO] falou, o que estava acontecendo é que a memória do dispositivo estava quase cheia. Achei estranho, pois havia aproximadamente 500 mb de armazenamento livre, e o sistema não informou nada sobre isso. Não tinha como instalar via usb/adb pois a conexão estava comprometida, possivelmente com a interface de conexão fêmea danificada. A solução foi liberar um pouco de memória do celular jogando para um microSD, instalar o apk, extrair, e depois retornar os dados retirados novamente para o celular.
Já precisei também transfir momentaneamente para um cartão de memória e depois retornar para a memória interna.
Para carga no UFED PA, caso use o script spi_ufed_whatsapp_email.py, houve uma pequena atualização no mês passado (https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/spi_ufed_whatsapp_email.py)
Eu não conheço esse spi tools
Origem 277 — 20/10/2020 10:29 a 10:55 — Extração e compatibilidade em Samsung SM-J730GM
Perito Criminal na área de informática também acaba contribuindo eventualmente em outras áreas.
Bom dia, a extração do modelo funcionou com a sugestão do perito Kim, utilizando o modelo SM-J730GM. A Cellebrite respondeu hoje como sugestão testar o modelo genérico Samsung GSN Generic Android Exynos 7870, mas como funcionou o 730 nem chegamos de testar a sugestão da Cellebrite.
excelente feedback...
Bom dia. Alguém está anotando essas equivalências dos perfis do UFED para extração?
Origem 278 — 23/10/2020 16:20 a 18:05 — Extração Samsung em modo Download/ODIN
Rola wipe?
Se fizer certinho não
Se o problema for reestabelecer a inicialização, dá pra tentar tirar a partição de recovery, de um firmware original, e flashear somente o recovery, através do Odin, em algumas situações já consegui resolver esse erro, com esse procedimento, se for esse o caso.
Se ele já veio assim com problema, eu deixaria assim.
Apenas faria a extração
se quiser restabelecer, aí, teria que pegar uma imagem original e flashear só a system, limpando o cache, acho que ele voltaria a vida
Ficou assim na tentativa de remoção do padrão com o UFED
Tenta executar o mesmo procedimento no ufed. Pode ser que ele consiga reparar
A física via twrp seria uma boa tentativa. Se quiser, na segunda te ajudo
Estava protegido por senha? Então acho que o twrp não vai rolar tbm
Estava com padrão individual
Origem 279 — 03/11/2020 09:06 a 10:26 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Consegui colocar o LG LM-X210BMW (LG K9 TV) em modo EDL, porém não estou conseguindo achar um perfil no UFED capaz de fazer a extração física. Já tentei os perfis genéricos Qualcomm, decrypting Qualcomm e até o SAMSUNG GSM GENRIC ANDROID QUALCOMM 8917 e nada parace funcionar. O chipset é o Qualcomm snapdragon 212 MSM8909V2 .... Alguma luz?
O aparelho está desbloqueado, mas no perfil do aparelho só faz física se tiver root
Se você tiver o Magnet axiom, coloca em modo download e extrai (mesmo se estiver com senha)
Não consegui entrar no modo download nesse lg... Só EDL mesmo.... Mas gostei da ideia de tentar no axion
segue aí o esquema gráfico pra colocar em modo EDL pra futuras pesquisas
<Mídia oculta>
Fiz extração de alguns usando o LGUP Patched
https://www.mylgphones.com/download-lg-up-software#lgup1.14Patched
Opção DUMP, depois aparece Partition List,
escolhe Userdata, ou as outras se quiser.
Fiz extração de alguns usando o LGUP Patched
https://www.mylgphones.com/download-lg-up-software#lgup1.14Patched
Opção DUMP, depois aparece Partition List,
escolhe Userdata, ou as outras se quiser.
Muito boa a contribuição.
Ainda não consegui achar o driver correto ainda não reconheceu
Origem 280 — 04/11/2020 07:49 a 09:04 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, bom dia. Alguém já fez extração física no celular Samsung J260M? O touch 2 que temos aqui não dá opção de extração física, somente lógica.
Usa o perfil do j260f
Ele faz a física
Só a FS é um trampo maior nesse modelo. Mas a lógica e fisica passa
<Mídia oculta>
Deu certo, Michael. Valeu!
Deu certo, Michael. Valeu!
<Mídia oculta>
Na versão do ufed 7.36 não tinha opção de física.
Na versão do ufed 7.36 não tinha opção de física.
<Mídia oculta>
Na versão 7.38 apareceu! E só no modelo j260 F.
Na versão 7.38 apareceu! E só no modelo j260 F.
Só na 7.38 apareceu
Quem faz esse tbm é a versão atualizada do XRY
Quando for processar essa extração fique atento que o PA tende a não identificar corretamente. Talvez precise mudar para Android generic ou algum outro modelo semelhante
Pessoal, boas notícias.
Encontrei em um site, achei estranho, mas resolvi testar e funcionou. Estou com um Motorola XT1924-4, sem senha. Fiz a extração lógica e sistema de arquivos pelo perfil normal do aparelho no UFED4PC. Porém a física não funcionou por nenhum método disponível no perfil do aparelho.
Encontrei em um fórum alguém falando que conseguiu extrair um XT1924-7 através do perfil do LG D821, isso mesmo LG.
Resolvi testar com o XT1924-4 a extração física SMART ADB e funcionou perfeitamente... É possível que também funcione em outros modelos com chipset semelhante... Detalhe o XT1924-4 é MSM8917, já o LG é MSM8974..
Encontrei em um site, achei estranho, mas resolvi testar e funcionou. Estou com um Motorola XT1924-4, sem senha. Fiz a extração lógica e sistema de arquivos pelo perfil normal do aparelho no UFED4PC. Porém a física não funcionou por nenhum método disponível no perfil do aparelho.
Encontrei em um fórum alguém falando que conseguiu extrair um XT1924-7 através do perfil do LG D821, isso mesmo LG.
Resolvi testar com o XT1924-4 a extração física SMART ADB e funcionou perfeitamente... É possível que também funcione em outros modelos com chipset semelhante... Detalhe o XT1924-4 é MSM8917, já o LG é MSM8974..
O método de softroot do smartadb deve ter versão do SO compatível. Muito boa dica essa!
Acredito que até o procedimento de retirada da senha deve funcionar também
Origem 281 — 04/11/2020 12:58 a 17:21 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde. Alguém já conseguiu fazer extração física do SAMSUNG SM-J200BT, já tentei vários perfis e não tá funcionando
Boa tarde! Tem outro colega Perito aqui do Centro que gostaria de entrar no grupo. Por favor, me lembrem quais são os procedimentos?
Ja tentou twrp nesse caso?
<Mídia oculta>
Pessoal, estou com um A015M, Android 10, desbloqueado, e no UFED tem essas 4 opções. A 1ª só pra SO < 9. As outras, pede pra colocar no modo EDL. Alguém teve sucesso com esse modelo?
Pessoal, estou com um A015M, Android 10, desbloqueado, e no UFED tem essas 4 opções. A 1ª só pra SO < 9. As outras, pede pra colocar no modo EDL. Alguém teve sucesso com esse modelo?
Physical extractions on FBE devices are not supported. Please perform a File System extraction instead 😔
Esse é FBE, então nao rola física. Apenas Full FS
Em dispositivos com file based encryption não vai fazer física
As outras sem ser física já havia conseguido
Fiquei na dúvida por conta desse cabo EDL da Cellebrite que ainda não temos.
É um Android 5.1, certo? Deve dar boa a extração e não virá cripto.
Não é necessário tal cabo, você pode improvisar que dá certo.
Funcionou, obrigado!
Top. Depois, se puder, compartilha o recovery que usou. Ai podemos usar quando pegarmos o mesmo modelo
<Mídia oculta>
SM-J200BT.rar
SM-J200BT.rar
Origem 282 — 05/11/2020 10:43 a 10:43 — Extração e análise de mensagens do WhatsApp
Funcionou aqui. Fiz download das partições userdata e system. No PA fiz um projeto customizado com a extração sistema de arquivos e os arquivos de dados extraídos através do LGUP, as mensagens WhatsApp foram exibidas. Muito obrigado. 🙏🏻
Origem 283 — 09/11/2020 11:33 a 11:54 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia, Srs. Tenho um Samsung A720F com android 8 instalado e FRP desligado. Encontrei um TWRP adequado pra ele. Se eu fizer o flash do TWRP, corre o risco de fazer wipe no dispositivo?
Acredito que se vc só instalar o TWRP padrão [SEGREDO] não permitir que ele altere a system, acho que o risco é baixo. Só sobe o TWRP e faz tudo pelo ADB. Agora, como provavelmente vc não compilou esse TWRP e não viu o código fonte, existe o risco desse TWRP fazer coisas que violem a integridade e o KNOX/TPE vai barra todo boot.
Nesse segundo caso, daria brick no celular?
Acho que não vou tentar a sorte não, então..
Vc quer tentar fazer a extração fisica dele? Se sim, não fez no perfil padrão do UFED?
Origem 284 — 16/11/2020 13:15 a 13:19 — Extração e limitações em dispositivos Motorola
<Mídia oculta>
Moto XT 2055 2 G8 power.
Moto XT 2055 2 G8 power.
Ao realizar a extração das mídias via UFED 01 o este dispositivo não aparece a opção de permitir.
Isso ocorre também no computador.
Usando o cabo OTG pra transferir as mídias para um pen-drive a memória interna está indisponível.
Como faço para configurar pra o botão de "Permitir" fique disponível na extração ou quando for conectado ao computador?
Origem 285 — 02/12/2020 11:36 a 14:52 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
7 tá difícil, só encontrei os esquemas pra colocar o 5 em EDL, mas do 5 pro 7 deve mudar muito
Como última opção e bem mais cara, se não me falha a memória, o serviço CAS da cellebrite faz esse modelo
Colocar em EDL não é problema, o problema é que não existe perfil pra ele, no UFED, tô com um 8 aqui, esperando a vez dele também, o EDL até foi, mas não tem onde fazer extração, nem no UFED, nem nas box.
https://www.legisweb.com.br/legislacao/?id=394418#:~:text=Autoriza%20a%20isen%C3%A7%C3%A3o%20das%20tarifas,Janeiro%2C%20na%20forma%20que%20menciona.
falando em EDL, to apando em um XT1792
esse aí é um SDM430 (MSM8937). O UFED não teria suporte amplo para edl neles
certo, ou seja, o Mala se deu bem
<Mídia oculta>
Mastering EDL COMBINED.pdf
Mastering EDL COMBINED.pdf
você pode dar uma conferida nas últimas páginas do material do Scott Lorenz. Mas pelos testes que fizemos aqui, se estiver em laranja e for motorola, não funciona EDL no UFED.
Esse aparelho (Moto G5/G5S) só tivemos sucesso de física pelo XRY na última versão. Se tiver, sugiro tentar.
se estiver desbloqueado dá pra tentar o dumper 201 tbm
(complementando: com os patches de segurança mais novos)
Origem 286 — 07/12/2020 18:09 a 18:11 — Apesar de ter o perfil no aparelho no UFED, eu não consegui fazer
Opa pessoal! Temos um telefone de um alvo muito sensível aqui.
Um J810m
Apesar de ter o perfil no aparelho no UFED, eu não consegui fazer o desbloqueio
Alguém tem alguma sugestão
Origem 287 — 08/12/2020 22:24 a 22:24 — Compatibilidade de modelos e métodos de extração no UFED
Como o [NOME] falou, sempre utilizamos o perfil do 260f para extração. A física sempre funcionou com o 260m utilizando esse perfil.
Origem 288 — 11/12/2020 08:30 a 12:06 — Extração em dispositivos Realme/Oppo
formatação == factory_reset
Vc pode ver detalhes de WIPE (factory_reset) no arquivo last_log
fica na partição de cache, logo, fica preervado do wipe na userdata
aí, se houve comando de WIPE, esse fica em um arquivo no mesmo diretório (por isso que as vezes um procedimento infeliz no aparelho as vezes aparece aquele 'CMD invalid' no boot, é esse arquivo com o comando que foi dado para ser executado depois do boot)
O motivo do WIPE (usando o recovery, ou ativado por erro de senha, ou remoto) pode ser verificado no log, dependendo da versão do android
A data do arquivo de commndo (COMMAND), se for um comando de WIPE, provvelmente é a data do WIPE
A razão do WIPE, as vezes vem descrita, vc pode ver detalhes no fonte do android (https://android.googlesource.com/platform/frameworks/base/+/master/core/java/android/app/admin/DevicePolicyManager.java), lá tem as constantes explicadas.
A pasta database comporta os backups em crypt12, praticamente não se consegue fazer nada com eles, a não ser na hipótese de possuir o chip ativo, o que abriria as tabelas e a possibilidade de acesso à key, e, a partir de então, possibilitar o acesso aos crypt12.
https://android.googlesource.com/platform/bootable/recovery/+/refs/heads/master/recovery.cpp
Local do last_log: static constexpr const char* LAST_LOG_FILE = "/cache/recovery/last_log";
Local do last_log: static constexpr const char* LAST_LOG_FILE = "/cache/recovery/last_log";
Interessante, vou passar a fazer dump da partição cache nas extrações manuais a partir de agora 👍🏼
Na extração física, vieram os logs. Essas datas de criação/modificação do arquivo indicam algo ou não? Considero esse último "last_log"? Analisando esse arquivo, não encontrei datas
Depende da versão do Android. A data indica, a do arquivo command se se for um command de wipe
Tem que ver se o último comabdo foi wipe, se for, provavelmente a data do arquivo command foi a data que foi solicitado wipe
Encontrei um arquivo chamado "last_comand" com uma data bem distante 31/12/2014 e o seguinte conteúdo:
--update_package=CACHE:recovery/sec_csc.zip
--carry_out=csc_factory
--wipe_data
--update_package=CACHE:recovery/sec_csc.zip
--carry_out=csc_factory
--wipe_data
Talvez tenha sido realmente o último comando o Wipe, porém a informação de data não mostra
Android 5.0.2
Nao estou no computador agora, meio dificil pesquisar, mas tem dar uma olhada no fonte do android 5.0.2 lollipop o que pode ser esse lançamento no log. Mas acho que não foi wipe da user data. Parece que foi só um update na partição de customização do aparelho
Valeu [NOME]! Suas contribuições no grupo são sempre tops!
Aaprendi sobre wipe com pessoal da SPI da PCDF, principalmente com [MENCAO] . Talvez ele saiba explicar melhor
O que eu percebo desses logs é que quanto mais velho o Android, pior são para entender.
Os mais novos vêm bem detalhados
[MENCAO] acha que pode ter sido um "Restaurar padrão de fábrica" e não um factory_reset?
Tem como mandar o log ou esse diretório todo?
Deve ter tirado a bateria e a data resetado antes do wipe. Checa pra que data vai quando vc remove a bateria
Deve ser isso mesmo então
é, então quando ocorreu o último wipe, a data estava errada, creio
A hora do wipe foi 23:59.... né?
Não tenho essa informação, apenas a data de criação do arquivo 31/12/2014 21:16:20(UTC-3)
Ah, então é isso mesmo, no UTC-0 vai ser 00h16
mas aí é quando o arquivo foi criado, não tem nos logs
a data e hora da ocorrência do
reset?
Pq a criação do arquivo acho q é pq ele fragmenta o log em vários pedaços, pode ser até uma criação recente. Só a hora fornecida no log interno q importaria no caso, creio.
Lembrei o seguinte, uns arquivos bons para ver não necessariamente a formatação, mas a primeira vez q foi ligado após a formatação:
Arquivo 0.xml da pasta “/userdata/users/0”
q é quando o android cria o usuário "0"
depois de um wipe ou factory reset
Bom dia!
O Delta fez a seguinte pergunta "se tem a comprovação de o acusado ser entregador de lanches dos aplicativos Uber Eats e Ifood". Constatou se os aplicativos instalados: "iFood Entregadores" e "Uber Driver".
É possível identificar e afirmar que o suspeito usava nos aplicativos para realizar entregas?
O Delta fez a seguinte pergunta "se tem a comprovação de o acusado ser entregador de lanches dos aplicativos Uber Eats e Ifood". Constatou se os aplicativos instalados: "iFood Entregadores" e "Uber Driver".
É possível identificar e afirmar que o suspeito usava nos aplicativos para realizar entregas?
Origem 289 — 11/12/2020 12:07 a 12:48 — Root e extração em dispositivo Positivo
Será que existem registros na base de dados desses aplicativos que possam conter dados de entregas realizadas ou seria tudo na nuvem?
Não sei. Algum colega saberia informar?
Ainda não peguei exame específico de ifood e uber, porém imagino que tenha algum registro/bd de operações desses aplicativos que contenha um histórico de uso
Existe uma prática no Uber de motoristas usarem contas de outras pessoas, ex: irmão, amigo, pai, etc. Pessoalmente, não atestaria que o acusado era de fato o entregador. Acho que o log de uso fica local no aparelho, não só na nuvem.
Acredito que caberia a perícia informar os usuários utilizados no aplicativo e à investigação oficiar as empresas dia aplicativos sobre a utilização , datas, horários , etc
Poderia orientar o delegado a realizar uma requisição judicial direta ao aplicativo informando os dados extraídos para confirmação....
Obrigado senhores pelas explicações e sugestões.
O dispositivo informático está em modo avião. No Uber Driver está aplicado a senha [SEGREDO] quando conectado a Internet. Não será possível visualizar algumas informações dos aplicativos. Neste caso convém conectar a Internet ou só com autorização judicial?
O dispositivo informático está em modo avião. No Uber Driver está aplicado a senha [SEGREDO] quando conectado a Internet. Não será possível visualizar algumas informações dos aplicativos. Neste caso convém conectar a Internet ou só com autorização judicial?
Uber Driver
Eu iria no caminho da autorização judical, que é mais moroso, mas menos arriscado!
Positivo. Concordo.
Se você tiver o Cloud Analyser, pode tentar fazer extração dos *Pacotes de Contas* (fontes de dados) e verificar se vem os pacotes desses aplicativos pra baixar o conteúdo online
Entendi. Obrigado.
Origem 290 — 16/12/2020 13:21 a 15:21 — Root e extração em dispositivo Positivo
Boa tarde. Está ocorrendo também com vocês?
aconteceu semma passada comigo
acho que reinciei o ufed e deu certo
3 últimos cartões assim.
e target aí no caso acho que é referência ao dispositivo pra onde você quer copiar.
se continuar não dando certo depois de reiniciar, muda o hd/pendrive para onde você tá tentando extrair
Deve ser porque o arquivo de extração é maior do que 4 gigas, limite do fat32
Formata o cartão para exfat
Talvez se houver arquivo maior que 4 gb na extração, o ufed não trate a divisão do arquivo no fat32.
Onde está gravando
quando deu problema comigo tb pensei nisso, daí fui checar e a mídia tava exfat já. por isso acho que foi só bug mesmo
Pois eh. Verifiquei e era isso mesmo. Já tá tão no automatico que nem verifico a partição do pen drive, né imagino algum ainda usando o fat32. Rs
Origem 291 — 17/12/2020 09:42 a 12:08 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia senhores, algum dos senhores já conseguiu realizar a extração física de celulares da Positivo, estou com um Twist 2018, desbloqueado, verifiquei que no Ufed ele não possui dispositivos da marca, tentei extrações genéricas que não conseguem completar a extração 100%, não retornando entre outros dados, as conversas de aplicativos ...
Alguns positivos você consegue pelo recovery fazer uma full filesystem (na opção backup user data) para um cartão de memória.
Depois de fazer tem que remover os primeiros 512 bytes dos arquivos gerados e concatena-los em um só
Só tem que ser descriptografado
Se for desencriptado também alguns positivos consegue física pela ferramenta da mediatek
‘Muito procurado’, rapaz que desbloqueava até iPhone 12 é preso em Campo Grande
https://www.midiamax.com.br/policia/2020/muito-procurado-rapaz-que-desbloqueava-ate-ip [ID-CASO]
https://www.midiamax.com.br/policia/2020/muito-procurado-rapaz-que-desbloqueava-ate-ip [ID-CASO]
Chamou a atenção esses programas chineses
Imagino que "desbloquear" nesse caso seja somente remover o FRP, destruindo os dados... Afinal não tinham interesse no conteúdo, só no hardware.
Deve ser isso mesmo. Se ele só reiniciava o aparelho qual o crime imputado?
Ele fazia receptação?
invasão de dispositivo informático - 154-A do CP
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Se encaixa esse aí tb realmente
Como ele vai saber quem é o verdadeiro proprietário? vai exigir nota de todos os aparelhos para reparo?
sim. é o que qualque assistência técnica idônea é obrigada a fazer
Ele pode fazer uma declaração para o cliente assinar com a autorização para resetar
"A formatação podia durar até 12 horas e ele lucrava R$ 4 mil por mês." Na reportagem
Depois da "CarolinaDickman" muita empresa só faz manutenção de aparelho mediante WIPE na entrega para o serviço junto com o cliente.
na reportagem também fala que ele foi enquadrado por "receptação qualificada", o que, pra mim, não é o caso, pq ele não é o receptador, ele é meramente o cara que desbloqueia, configurando a invasão, não a receptação.
Receptação
Art. 180 - Adquirir, receber, transportar, conduzir ou ocultar, em proveito próprio ou alheio, coisa que sabe ser produto de crime, ou influir para que terceiro, de boa-fé, a adquira, receba ou oculte: (Redação dada pela Lei nº 9.426, de 1996)
Pena - reclusão, de um a quatro anos, e multa. (Redação dada pela Lei nº 9.426, de 1996)
Receptação qualificada (Redação dada pela Lei nº 9.426, de 1996)
§ 1º - Adquirir, receber, transportar, conduzir, ocultar, ter em depósito, desmontar, montar, remontar, vender, expor à venda, ou de qualquer forma utilizar, em proveito próprio ou alheio, no exercício de atividade comercial ou industrial, coisa que deve saber ser produto de crime: (Redação dada pela Lei nº 9.426, de 1996)
Pena - reclusão, de três a oito anos, e multa. (Redação dada pela Lei nº 9.426, de 1996)
§ 2º - Equipara-se à atividade comercial, para efeito do parágrafo anterior, qualquer forma de comércio irregular ou clandestino, inclusive o exercício em residência. (Redação dada pela Lei nº 9.426, de 1996)
§ 3º - Adquirir ou receber coisa que, por sua natureza ou pela desproporção entre o valor e o preço, ou pela condição de quem a oferece, deve presumir-se obtida por meio criminoso: (Redação dada pela Lei nº 9.426, de 1996)
Pena - detenção, de um mês a um ano, ou multa, ou ambas as penas. (Redação dada pela Lei nº 9.426, de 1996)
§ 4º - A receptação é punível, ainda que desconhecido ou isento de pena o autor do crime de que proveio a coisa. (Redação dada pela Lei nº 9.426, de 1996)
§ 5º - Na hipótese do § 3º, se o criminoso é primário, pode o juiz, tendo em consideração as circunstâncias, deixar de aplicar a pena. Na receptação dolosa aplica-se o disposto no § 2º do art. 155. (Incluído pela Lei nº 9.426, de 1996)
§ 6o Tratando-se de bens do patrimônio da União, de Estado, do Distrito Federal, de Município ou de autarquia, fundação pública, empresa pública, sociedade de economia mista ou empresa concessionária de serviços públicos, aplica-se em dobro a pena prevista no caput deste artigo. (Redação dada pela Lei nº 13.531, de 2017)
Art. 180 - Adquirir, receber, transportar, conduzir ou ocultar, em proveito próprio ou alheio, coisa que sabe ser produto de crime, ou influir para que terceiro, de boa-fé, a adquira, receba ou oculte: (Redação dada pela Lei nº 9.426, de 1996)
Pena - reclusão, de um a quatro anos, e multa. (Redação dada pela Lei nº 9.426, de 1996)
Receptação qualificada (Redação dada pela Lei nº 9.426, de 1996)
§ 1º - Adquirir, receber, transportar, conduzir, ocultar, ter em depósito, desmontar, montar, remontar, vender, expor à venda, ou de qualquer forma utilizar, em proveito próprio ou alheio, no exercício de atividade comercial ou industrial, coisa que deve saber ser produto de crime: (Redação dada pela Lei nº 9.426, de 1996)
Pena - reclusão, de três a oito anos, e multa. (Redação dada pela Lei nº 9.426, de 1996)
§ 2º - Equipara-se à atividade comercial, para efeito do parágrafo anterior, qualquer forma de comércio irregular ou clandestino, inclusive o exercício em residência. (Redação dada pela Lei nº 9.426, de 1996)
§ 3º - Adquirir ou receber coisa que, por sua natureza ou pela desproporção entre o valor e o preço, ou pela condição de quem a oferece, deve presumir-se obtida por meio criminoso: (Redação dada pela Lei nº 9.426, de 1996)
Pena - detenção, de um mês a um ano, ou multa, ou ambas as penas. (Redação dada pela Lei nº 9.426, de 1996)
§ 4º - A receptação é punível, ainda que desconhecido ou isento de pena o autor do crime de que proveio a coisa. (Redação dada pela Lei nº 9.426, de 1996)
§ 5º - Na hipótese do § 3º, se o criminoso é primário, pode o juiz, tendo em consideração as circunstâncias, deixar de aplicar a pena. Na receptação dolosa aplica-se o disposto no § 2º do art. 155. (Incluído pela Lei nº 9.426, de 1996)
§ 6o Tratando-se de bens do patrimônio da União, de Estado, do Distrito Federal, de Município ou de autarquia, fundação pública, empresa pública, sociedade de economia mista ou empresa concessionária de serviços públicos, aplica-se em dobro a pena prevista no caput deste artigo. (Redação dada pela Lei nº 13.531, de 2017)
no § 1º há vários verbos que se encaixam na situação da reportagem, como transportar, ter em depósito, desmontar, montar, remontar, ou utilizar em proveito próprio ou alheio, coisa que deve saber ser produto de crime.
acho que não caracteriza invasão pois ele não adentrou em nenhum conteúdo e recuperou. Faço a analogia com o chaveiro, rs
Origem 292 — 21/12/2020 11:40 a 13:17 — Extração e root em dispositivos LG
Bom dia! Fui intimado como testemunha de acusação sobre um laudo que expedi. Isso também acontece com vocês? Eu quero solicitar a dispensa da audiencia e solicitar quesitos por escrito para expedir laudo complementar. Alguém tem um modelo?
<Mídia oculta>
Modelo de recusa para testemunhar IC RONDONIA.pdf
Modelo de recusa para testemunhar IC RONDONIA.pdf
O pessoal aqui no Ceará têm usado esse modelo de Rondônia
Pessoal, boa tarde. Preciso da ajuda e opinião dos senhores.
Estou com um caso de repercussão onde um motorista de aplicativo está sendo acusado de ter cometido pelo menos 3 estupros. Trata-se de um LG K130F com cartão de memória, bloqueado por senha [SEGREDO] criptografado. O UFED4PC específica pra esse modelo, fiz extração de algumas partições através do LGUP, mas depois tive sucesso na extração física usando o perfil LG K121 (infelizmente a remoção de senha não funcionou). Tive que extrair o cartão de memória em separado, pois a extração física do celular não trouxe os dados dele.
O delta solicitou “extração e recuperação de dados armazenamentos em sua memória tais como: fotos e vídeos de mulheres nuas em situação de assédio etc”. Na narrativa do inquérito uma das vítimas relatou que o mesmo tirou várias fotos durante o ato. Analisei os dados no PA, fiz vasculhamento e só encontrei um único frame de pornô do XVIDEOS. Na aba “APLICATIVOS INSTALADOS” foram listados vários apps de chat que podem ser relevantes para a investigação, inclusive um tal de “Omega chat for Omegle” que costumo encontrar esse termo em casos de pornografia infantil... Pergunta, atender somente o solicitado pelo Delta? Tentar estender mais um pouco sobre tais aplicativos? Penso que nesse caso uma extração lógica pode trazer dados mais relevantes. Uma coisa intrigante é que na aba “REGISTRO DE USO DE APLICATIVOS” ao apps suspeitos não aparecem.
Estou com um caso de repercussão onde um motorista de aplicativo está sendo acusado de ter cometido pelo menos 3 estupros. Trata-se de um LG K130F com cartão de memória, bloqueado por senha [SEGREDO] criptografado. O UFED4PC específica pra esse modelo, fiz extração de algumas partições através do LGUP, mas depois tive sucesso na extração física usando o perfil LG K121 (infelizmente a remoção de senha não funcionou). Tive que extrair o cartão de memória em separado, pois a extração física do celular não trouxe os dados dele.
O delta solicitou “extração e recuperação de dados armazenamentos em sua memória tais como: fotos e vídeos de mulheres nuas em situação de assédio etc”. Na narrativa do inquérito uma das vítimas relatou que o mesmo tirou várias fotos durante o ato. Analisei os dados no PA, fiz vasculhamento e só encontrei um único frame de pornô do XVIDEOS. Na aba “APLICATIVOS INSTALADOS” foram listados vários apps de chat que podem ser relevantes para a investigação, inclusive um tal de “Omega chat for Omegle” que costumo encontrar esse termo em casos de pornografia infantil... Pergunta, atender somente o solicitado pelo Delta? Tentar estender mais um pouco sobre tais aplicativos? Penso que nesse caso uma extração lógica pode trazer dados mais relevantes. Uma coisa intrigante é que na aba “REGISTRO DE USO DE APLICATIVOS” ao apps suspeitos não aparecem.
[NOME] aí vai do seu tato sobre o caso, se vc acha que pode ter um resultado melhor, faça.... lembrando que querendo ou não, esses casos dão mídia pra Perícia! O ideal é vc bater um papo com o delta e explicar a ele....
Normalmente coloco que foi feita uma seleção ampla de vestígios vez que ia Peritos desconhecem o contexto completo do procedimento investigatório. Daí, mando tudo!
Obrigado pessoal só vou estudar um pouco mais pra tentar desbloquear e fazer uma extração lógica, mas vou sim conversar com o delta
Origem 293 — 21/12/2020 14:23 a 14:55 — A extração física não já teria obtido tudo da memória interna do aparelho
Boa tarde, [NOME]! A extração física não já teria obtido tudo da memória interna do aparelho?
Foi no 4PC?
Foi no 4pc. Fiz essa pergunta pro [NOME] sala da cellebrite e ele respondeu, depende. Recomendamos fazer todas as extrações disponíveis
Ainda tem aquele problema de fazer a extração
Do cartão separado, dá uns probleminhas
Consegui remover a senha usando o procedimento disponível no perfil 410f
Faz separado, mas coloca o arquivo junto na pasta e altera o arquivo do ufed que faz a indexação dos arquivos, aí ele faz os links.
Não é 100%, mas às vezes dá certo
Origem 294 — 22/12/2020 10:19 a 12:40 — Bootloader, desbloqueio OEM e risco de wipe
Samsung J600GT Android 10, desbloqueado. Alguma ideia pra fazer a extração física? Aqui na gerência já fizemos o decryptbootloader desse mesmo modelo nos Androids 8 e 9. Mas no no Android 10 não estou conseguindo. Já usei os modelos j600 F, FN e G.
Segundo o suporte da cellebrite ainda não tem suporte no Android 10
Valeu pela informação, [NOME]. Engraçado que quando tento fazer a extração, o ufed ainda pergunta se a versão do Android é menor que 10, ou igual/acima de 10. Vou fazer só a lógica/sistema de arquivos mesmo. 👍
Uma outra saída seria fazer o downgrade da versão do Android. Já resolvi dificuldades de extração aqui com esse procedimento. Fazendo o flash com cuidado não tem risco de ocorrer nenhum problema.
Blza. Vou dar uma olhada nas ROMs disponiveis, e tentar instalar via ODIN. Tempo atrás tentei em outro celular fazer o downgrade, mas dava erro pelo ODIN.
Tenho um caso extremamente sensível, estou pensando em fazer o downgrade
Onde vcs pegam as ROMs
No sammobile! Mesmo
https://updato.com/
Se o número do binário do android que se quiser instalar for menor do que o que tiver instalado, o Odin não vai deixar, tem que ser igual ou maior. Eu normalmente procuro uma versão do Android menor, mas com mesmo número de binário, pra ter um lastro, caso precise instalar outros firmwares. Normalmente pego os firmwares no Clansoft.
Já fiz alguns que estavam com Android 10
O decryptbootloader só funcionou depois de fazer downgrade de J600GTVJU7CTC8
Android: 10
para
J600GTVJU7BTB2,
Android 9
mesmo binario 7
O decryptbootloader só funcionou depois de fazer downgrade de J600GTVJU7CTC8
Android: 10
para
J600GTVJU7BTB2,
Android 9
mesmo binario 7
A Rom que tenho é: J600GTVJU8CTF2. Vou testar baixando do mesmo binario.
A sua rom tá mais recente, já tá com binário 8,
aí complica porque você só consegue instalar firmware com o mesmo binário ou superior,
aí complica porque você só consegue instalar firmware com o mesmo binário ou superior,
Pois é, estamos pesquisando aqui pra ver se achamos. 👍
Origem 295 — 23/12/2020 09:31 a 09:48 — Extração e compatibilidade em Samsung SM-J610
Bom dia. Alguém poderia orientar para desbloquear Samsung sm-j610.
Ou pelo menos tirar as informações dele.
Tentou o J610FN? Ele tem a opção de extração física com contorno de bloqueio
que foi atualizado para o android 10
estou baixando um downgrade
https://www.stockrom.net/2020/04/j6plus-b4-zto-j610gubu4bslb.html
Origem 296 — 24/12/2020 10:33 a 10:54 — Extração e bloqueios em Xiaomi/Redmi/POCO
Bom dia. Estou com um dispositivo xiaomi mi 9 e está com a tela touch com defeito (inoperante)
Ajustei o fone pelo cabo otg
Ocorre que após inserido no sistema de extração a ferramenta pede permissão.
Como faço pra ajustar.
Coloca um Hub usb
Vai funcionar o mouse e a extração
Sou meio novo no campo
Como eh esse Hub?
Pra conectar vários equipamentos USB numa mesma porta
Aí vc coloca um mouse numa entrada
E vai precisa de um adaptador USB para micro USB
Pra ligar o cabo de extração
Ou um USB macho x macho
Que é mais fácil conseguir
Na maleta do celebrite acreto que tenha um macho x macho
ou, se não tiver hub, bota um mouse normal e conecta um mouse bluetooth, depois desconecta o mouse e continua usando o bluetooth
Achei o Hub aqui mas não está dando certo
Faz essa sugestão. Já fiz isso e deu certo várias vezes.
Vc tem um cabo com entrada usb e um de entrada de energia?
Esse cabo no celular tem que ser otg
Eu já conectei usando esse cabo
PTT-20201224-WA0008.opus (arquivo anexado)
Um com três pontas se não me engano
PTT-20201224-WA0009.opus (arquivo anexado)
Origem 297 — 28/12/2020 18:05 a 19:32 — Extração e análise de variantes do WhatsApp
Pessoal, estou com um Samsung J6+ aqui com GBWhatsApp. Consegui fazer o backup completo dele, obtendo inclusive os bancos de dados decodificados (msgstore.db), pasta Media e a "key".
Tentei algumas vezes importar esse conteúdo do backup completo pelo ABRIR AVANÇADO do Physical Analyzer, selecionando o dispositivo e optando, por exemplo, pelo ANDROID ADB.
Ele importa do conteúdo mas não interpreta como bate-papo. Alguma luz?
Há situações que o 4PC através de uma Lógica Avançada e um Android Backup já identifica de boa esse conteúdo do GBWhatsApp, mas ultimamente não tenho mais tido esse sucesso.
Tentei algumas vezes importar esse conteúdo do backup completo pelo ABRIR AVANÇADO do Physical Analyzer, selecionando o dispositivo e optando, por exemplo, pelo ANDROID ADB.
Ele importa do conteúdo mas não interpreta como bate-papo. Alguma luz?
Há situações que o 4PC através de uma Lógica Avançada e um Android Backup já identifica de boa esse conteúdo do GBWhatsApp, mas ultimamente não tenho mais tido esse sucesso.
Eu tenho um S6 com root aqui que pensei em copiar todo esse conteúdo para abrir no WhatsApp oficial e depois fazer uma extração de Android Bkp Downgrade no 4PC... Mas apenas copiando o conteúdo pra pasta "com.whatsapp" na raíz e a pasta "WhatsApp" para o Armazenamento Interno, não funcionou.
Pensei em tbm usar o SIM que acompanha a peça pra receber o SMS de ativação e ativar esse conteúdo no NOX ou nesse S6, mas o investigado já cancelou a conta do WhatsApp vinculada a este número.
Perdão pelo textão. Se alguém tiver sugestão, agradeço demais.
Na hora de importar pelo PA selecione a opção extração física, ele irá executar os plugins e parsers para o GB
Eu já tentei fazer isso, mas não incorporei à extração completa do aparelho, que já estava aberta. E deu errado.
Faz diferença incorporar ou não à extração já aberta?
Faz diferença incorporar ou não à extração já aberta?
Nas q eu fiz não houve problema
Vc tb pode renomear todos os diretórios e arquivos q iniciam com GBWhatsApp para Whatsapp
Beleza. Vou tentar isso
Boa tarde!
O [MENCAO] já fez isso, mas "montando a árvore de diretórios" da aplicação e então faz a abertura da raiz no PA....
O [MENCAO] já fez isso, mas "montando a árvore de diretórios" da aplicação e então faz a abertura da raiz no PA....
Identifiquei a minha mancada. Além do GBWhatsApp que estava em uso. Havia tbm o WhatsApp oficial instalado, mas sem conteúdo.
Esse foi o conflito.
Desinstalei de vez o WhatsApp oficial e refiz à extração. Aí abri o plugin WhatsApp Standalone e deu certo 🙌🏻
Esse foi o conflito.
Desinstalei de vez o WhatsApp oficial e refiz à extração. Aí abri o plugin WhatsApp Standalone e deu certo 🙌🏻
Origem 298 — 06/01/2021 15:04 a 15:04 — Compatibilidade e extração em dispositivos Samsung Galaxy
Pessoal, formatei meu computador e reinstalei o 4PC. Coincidência ou não estou tendo dificuldades com a extração dos FILES nas LÓGICAS AVANÇADAS.
Vejam o print abaixo. Testei com um Samsung J4 e agora com um Samsung A013.
São novos, então não sei se é uma infeliz coincidência ou se deixei de instalar algum driver.
Opiniões?
Vejam o print abaixo. Testei com um Samsung J4 e agora com um Samsung A013.
São novos, então não sei se é uma infeliz coincidência ou se deixei de instalar algum driver.
Opiniões?
Origem 299 — 07/01/2021 13:44 a 14:41 — Extração e limitações em dispositivos Motorola
Pessoal, quem usa box para extrair celulares? quem comprou sentiu que usa para alguns casos que não são resolvidos pelo UFED ou pelo XRY? valeu a pena?
Boa pergunta, [NOME]. Quem usa as duas ferramentas Ufed e XRY pode comentar, se o XRY faz várias extrações q o UFED não realiza. Atualmente estamos apenas com o UFED.
XRY aqui foi aposentado!
Cedemos para um núcleo que não tinha UFED
XRY é aquela coisa, extrai bem se o celular estiver desbloqueado, caso contrário não extrai nada. Quanto a trabalhar com a box não tenho experiência...
Entendi, [NOME]. Nosso maior problema mesmo é quando o celular está desbloqueado.
Infelizmente não posso te dizer um comparativo pq só temos o XRY
mas seria interessante realizar esse tipo de teste
Eu estou sem utilizar há pouco mais de um ano e meio, mas tive várias experiências em que o xry pegava dados de navegação e pesquisas e o ufed não pegava, porque ele extraía partições que o ufed não pegava.
Tinha uns 8 meses que não usava o xry... Essa semana percebi que ele faz extração física do Blu t176t e o UFED só extrai o conteúdo multimídia. O pessoal aqui do grupo fala que já extraiu o lg a275 por ele que o UFED não faz
Grato pelas experiências compartilhadas .
Usamos muito em Motorolas com Android 8 e 8.1 para pegar extração física
Motorolas sem senha
Exato. LG A275 o XRY faz
Eu uso Box, consegue-se fazer uma coisa ou outra [NOME], eu estava com oito, mas algumas delas venceram (prazo anual), daí quando eu voltar de férias vou iniciar a campanha pra renovar. Elas ampliam um pouco o nosso leque, já consegui alguns poucos casos, nesses modelos mais modernos, que o ufed não conseguiu. Mas pelo que tenho visto, a idéia dos caras é ampliar a utilização delas, de forma que expanda pra mais modelos e mais funcionalidades.
Origem 300 — 08/01/2021 08:59 a 10:23 — Extração e root em dispositivos LG
Bom dia pessoal, estou de posse de um LG K12 Prime bloqueado e não estou encontrando opção para extração nem no UFED nem no XRY. Alguém já obteve êxito com esse aparelho e poderia me ajudar?
Se não falha a memória no UFED não consegui nem no K11+, infelizmente
Origem 301 — 13/01/2021 23:50 a 14/01/2021 01:11 — Uma opção é extrair tudo do grupo pelo UFED para consultas futuras das
Uma opção é extrair tudo do grupo pelo ufed para consultas futuras das conversas passadas
Podemos migrar e deixar aqui configurado pelos admins pra ninguém poder mandar msg, fica só como histórico
Até pra se for necessário, voltar sem maiores problemas
Origem 302 — 19/01/2021 14:36 a 14:47 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, boa tarde. Estou com um Motorola xt1802, sem senha, Android 8.1.0. No UFED, sem root, só faz via advanced adb e tá dando erro. Consegui extração física pelo xry, pelo que vi é soft root... Alguma luz pra fazer a física pelo UFED?
Se você fez física pelo XRY, você consegue exportar o binário extraído e importar no Physical Analyser.
Não precisa fazer de novo.
Meu aproveitamento de abrir extração do xry no PA tá perto de 0%... Utilizando aqueles projetos customizados... Alguma coisa que posso estar esquecendo?
Tem que exportar o binário no XRY antes de importar no PA. Se tentar abrir o .xry nunca funciona para mim também.
Para exportar, no XAMN tem que abrir o Elements.
Para exportar, no XAMN tem que abrir o Elements.
Blz, vou tentar aqui
Origem 303 — 22/01/2021 12:28 a 12:51 — Extração e bloqueios em Redmi com o touch
Pessoal, estou com um Redmi com o touch parcialmente operante (consegui navegar com mouse e cabo OTG).
Mas na extração com o UFED esse modelo pede pra instalar o cliente APK manualmente.
Se desconecto o aparelho o UFED finaliza o procedimento, mas se não desconecto não consigo conectar mouse pra navegar.
Alguma ideia?
Mas na extração com o UFED esse modelo pede pra instalar o cliente APK manualmente.
Se desconecto o aparelho o UFED finaliza o procedimento, mas se não desconecto não consigo conectar mouse pra navegar.
Alguma ideia?
Comigo fiz o seguinte. Tenho um mouse bluetooth. Aí é só conecta-lo.
Preciso arrumar um.
usa um HUB usb
[NOME], nesse caso, como é esse seu HUB? Ele tem uma entrada micro USB pra conectar o PC a ele tbm?
melhor usar bluetooth mesmo. Agora que entendi exatamente o problema.
Qual vc tem, [NOME]?
A maioria aqui tem o adaptador USB próprio. Se for pelo seu modelo me facilita a busca 👍🏻
A maioria aqui tem o adaptador USB próprio. Se for pelo seu modelo me facilita a busca 👍🏻
Eu tenho da Logitech aqui que funciona com aquele adaptador. O seu não tem esse adaptador, tem que parear mesmo? Ou será que consigo tbm parear esse tipo que tem adaptador?
usa o que vem com UFED
o de ler SD card
Origem 304 — 22/01/2021 14:10 a 18:08 — Extração e decodificação de bancos do WhatsApp
Boa tarde! Haveria alguma forma fácil de ativar a opção de instalar aplicativos por USB nos xiaomi com MIUI?
Toda vez q tento ativar, ele desativa, tentando conectar com algum servidor
vi q falam em instalar uma vpn da china, mas tem alguma forma mais simples?
Já tentou esse procedimento?
These steps worked for me for Redmi 8 Pro. Follow them in the exact same order.
Enable Developer Options.
Settings -> Additional Settings -> Disable MIUI Optimizations
Reboot Phone
Settings -> Additional Settings -> Developer Options -> Allow USB Debugging
Security (system app) -> Manage apps -> Permissions -> Gear icon (in top right) -> Install via USB (true)
Reboot Phone
Settings -> Additional Settings -> Developer Options -> Enable Install via USB
It will ask for MIUI account. Don't close it and reboot from there. From next run onwards you can install apps either using adb install or via Android Studio.
These steps worked for me for Redmi 8 Pro. Follow them in the exact same order.
Enable Developer Options.
Settings -> Additional Settings -> Disable MIUI Optimizations
Reboot Phone
Settings -> Additional Settings -> Developer Options -> Allow USB Debugging
Security (system app) -> Manage apps -> Permissions -> Gear icon (in top right) -> Install via USB (true)
Reboot Phone
Settings -> Additional Settings -> Developer Options -> Enable Install via USB
It will ask for MIUI account. Don't close it and reboot from there. From next run onwards you can install apps either using adb install or via Android Studio.
o forensictools havia bugado por conta dessa opção ativada, mas agora deu certo
há alguma forma de realizar reinstall do apk sem ser pelo adb? Mantendo os dados.
por exemplo, pelo cartão SD ou memoria interna
pode dar os mesmos comandos do adb no terminal do cellar
mas com a opção clara pra não apagar
Na verdade você precisa passar o comando via Adb para desinstalar sem perder dados. Instalar pode ser até pelo explorador de arquivos.
usage: pm list packages [-f] [-d] [-e] [-s] [-3] [-i] [-u] [--user USER_ID] [FILTER]
pm list permission-groups
pm list permissions [-g] [-f] [-d] [-u] [GROUP]
pm list instrumentation [-f] [TARGET-PACKAGE]
pm list features
pm list libraries
pm list users
pm path PACKAGE
pm dump PACKAGE
pm install [-lrtsfd] [-i PACKAGE] [PATH]
pm install-create [-lrtsfdp] [-i PACKAGE] [-S BYTES]
pm install-write [-S BYTES] SESSION_ID SPLIT_NAME [PATH]
pm install-commit SESSION_ID
pm install-abandon SESSION_ID
pm uninstall [-k] [--user USER_ID] PACKAGE
pm set-installer PACKAGE INSTALLER
pm clear [--user USER_ID] PACKAGE
pm enable [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable-user [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable-until-used [--user USER_ID] PACKAGE_OR_COMPONENT
pm hide [--user USER_ID] PACKAGE_OR_COMPONENT
pm unhide [--user USER_ID] PACKAGE_OR_COMPONENT
pm grant PACKAGE PERMISSION
pm revoke PACKAGE PERMISSION
pm set-install-location [0/auto] [1/internal] [2/external]
pm get-install-location
pm set-permission-enforced PERMISSION [true|false]
pm trim-caches DESIRED_FREE_SPACE
pm create-user [--profileOf USER_ID] [--managed] USER_NAME
pm remove-user USER_ID
pm get-max-users
pm list packages: prints all packages, optionally only
those whose package name contains the text in FILTER. Options:
-f: see their associated file.
-d: filter to only show disbled packages.
-e: filter to only show enabled packages.
-s: filter to only show system packages.
-3: filter to only show third party packages.
-i: see the installer for the packages.
-u: also include uninstalled packages.
pm list permission-groups: prints all known permission groups.
pm list permissions: prints all known permissions, optionally only
those in GROUP. Options:
-g: organize by group.
-f: print all information.
-s: short summary.
-d: only list dangerous permissions.
-u: list only the permissions users will see.
pm list instrumentation: use to list all test packages; optionally
supply to list the test packages for a particular
application. Options:
-f: list the .apk file for the test package.
pm list features: prints all features of the system.
pm list users: prints all users on the system.
pm path: print the path to the .apk of the given PACKAGE.
pm dump: print system state associated with the given PACKAGE.
pm install: install a single legacy package
pm install-create: create an install session
-l: forward lock application
-r: replace existing application
-t: allow test packages
-i: specify the installer package name
-s: install application on sdcard
-f: install application on internal flash
-d: allow version code downgrade
-p: partial application install
-S: size in bytes of entire session
pm install-write: write a package into existing session; path may
be '-' to read from stdin
-S: size in bytes of package, required for stdin
pm install-commit: perform install of fully staged session
pm install-abandon: abandon session
pm set-installer: set installer package name
pm uninstall: removes a package from the system. Options:
-k: keep the data and cache directories around after package removal.
pm clear: deletes all data associated with a package.
pm enable, disable, disable-user, disable-until-used: these commands
change the enabled state of a given package or component (written
as "package/class").
pm grant, revoke: these commands either grant or revoke permissions
to applications. Only optional permissions the application has
declared can be granted or revoked.
pm get-install-location: returns the current install location.
0 [auto]: Let system decide the best location
1 [internal]: Install on internal device storage
2 [external]: Install on external media
pm set-install-location: changes the default install location.
NOTE: this is only intended for debugging; using this can cause
applications to break and other undersireable behavior.
0 [auto]: Let system decide the best location
1 [internal]: Install on internal device storage
2 [external]: Install on external media
pm trim-caches: trim cache files to reach the given free space.
pm create-user: create a new user with the given USER_NAME,
printing the new user identifier of the user.
pm remove-user: remove the user with the given USER_IDENTIFIER,
deleting all data associated with that user
pm list permission-groups
pm list permissions [-g] [-f] [-d] [-u] [GROUP]
pm list instrumentation [-f] [TARGET-PACKAGE]
pm list features
pm list libraries
pm list users
pm path PACKAGE
pm dump PACKAGE
pm install [-lrtsfd] [-i PACKAGE] [PATH]
pm install-create [-lrtsfdp] [-i PACKAGE] [-S BYTES]
pm install-write [-S BYTES] SESSION_ID SPLIT_NAME [PATH]
pm install-commit SESSION_ID
pm install-abandon SESSION_ID
pm uninstall [-k] [--user USER_ID] PACKAGE
pm set-installer PACKAGE INSTALLER
pm clear [--user USER_ID] PACKAGE
pm enable [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable-user [--user USER_ID] PACKAGE_OR_COMPONENT
pm disable-until-used [--user USER_ID] PACKAGE_OR_COMPONENT
pm hide [--user USER_ID] PACKAGE_OR_COMPONENT
pm unhide [--user USER_ID] PACKAGE_OR_COMPONENT
pm grant PACKAGE PERMISSION
pm revoke PACKAGE PERMISSION
pm set-install-location [0/auto] [1/internal] [2/external]
pm get-install-location
pm set-permission-enforced PERMISSION [true|false]
pm trim-caches DESIRED_FREE_SPACE
pm create-user [--profileOf USER_ID] [--managed] USER_NAME
pm remove-user USER_ID
pm get-max-users
pm list packages: prints all packages, optionally only
those whose package name contains the text in FILTER. Options:
-f: see their associated file.
-d: filter to only show disbled packages.
-e: filter to only show enabled packages.
-s: filter to only show system packages.
-3: filter to only show third party packages.
-i: see the installer for the packages.
-u: also include uninstalled packages.
pm list permission-groups: prints all known permission groups.
pm list permissions: prints all known permissions, optionally only
those in GROUP. Options:
-g: organize by group.
-f: print all information.
-s: short summary.
-d: only list dangerous permissions.
-u: list only the permissions users will see.
pm list instrumentation: use to list all test packages; optionally
supply to list the test packages for a particular
application. Options:
-f: list the .apk file for the test package.
pm list features: prints all features of the system.
pm list users: prints all users on the system.
pm path: print the path to the .apk of the given PACKAGE.
pm dump: print system state associated with the given PACKAGE.
pm install: install a single legacy package
pm install-create: create an install session
-l: forward lock application
-r: replace existing application
-t: allow test packages
-i: specify the installer package name
-s: install application on sdcard
-f: install application on internal flash
-d: allow version code downgrade
-p: partial application install
-S: size in bytes of entire session
pm install-write: write a package into existing session; path may
be '-' to read from stdin
-S: size in bytes of package, required for stdin
pm install-commit: perform install of fully staged session
pm install-abandon: abandon session
pm set-installer: set installer package name
pm uninstall: removes a package from the system. Options:
-k: keep the data and cache directories around after package removal.
pm clear: deletes all data associated with a package.
pm enable, disable, disable-user, disable-until-used: these commands
change the enabled state of a given package or component (written
as "package/class").
pm grant, revoke: these commands either grant or revoke permissions
to applications. Only optional permissions the application has
declared can be granted or revoked.
pm get-install-location: returns the current install location.
0 [auto]: Let system decide the best location
1 [internal]: Install on internal device storage
2 [external]: Install on external media
pm set-install-location: changes the default install location.
NOTE: this is only intended for debugging; using this can cause
applications to break and other undersireable behavior.
0 [auto]: Let system decide the best location
1 [internal]: Install on internal device storage
2 [external]: Install on external media
pm trim-caches: trim cache files to reach the given free space.
pm create-user: create a new user with the given USER_NAME,
printing the new user identifier of the user.
pm remove-user: remove the user with the given USER_IDENTIFIER,
deleting all data associated with that user
Quando apaga pelo gerenciador de aplicativos ele apaga tbm os dados?
na memória protegida sim, mas nem sempre da memória compartilhada
Fazendo isso será que é possível apagar o WhatsApp Plus e reinstalar o WhatsApp oficial? Pq o Plus é feito em cima de uma versão oficial.
acho que os pacotes devem ter nomes diferentes
mas vale o experimento
Pq o WhatsApp Plus não faz downgrade e tbm não gera backup completo. Vou testar.
Pessoal, um Motorola XT2015, vi que o chipset é mediatek
tem alguma forma de ativarmos o modo de download q normalmente os chipset mediatek fornecem? Para fazer uma extração física
até pelo spflashtool tb, mas não sei como fazer esse modelo entrar nesse modo
Teve um coelga q desenvolveu uma ferramenta de extração física dos mediatek
Origem 305 — 28/01/2021 13:21 a 15:53 — Extração e análise de variantes do WhatsApp
Ufed 4pc 7.40 ou mais novo também faz extração fotográfica automatizada (estilo androidviewclient) de app (inclusive zap). Bem bacana, com possibilidade de escolher quais chats e na versão mais nova, se nao me engano (7.42), é possível inclusive delimitar o período das mensagens de interesse.
O xry tem o photon que faz isso também!
<Mídia oculta>
Boa tarde, tenho um sm-a217m/ds e não estamos conseguindo fazer a comunicação dele com o computador. Tentamos em todos os computadores e não está sendo possível fazer a extração dele pelo exynos fbe do cellebrite
Boa tarde, tenho um sm-a217m/ds e não estamos conseguindo fazer a comunicação dele com o computador. Tentamos em todos os computadores e não está sendo possível fazer a extração dele pelo exynos fbe do cellebrite
Alguém passou por isso?
Está com o cabo correto e mesmo assim não funciona
Não aparenta ter defeito nas entradas também
Está usando qual software para extração?
Ufed 4pc 7.40.0.229
Quando conecto ele aparenta sempre estar em modo carregamento
Mesmo trocando na configuração de usb padrão das opções de desenvolvedor nada acontece
<Mídia oculta>
Fica piscando
Fica piscando
Parece algum problema com o cabo ou com a porta USB C
Houveram pessoas que relataram problemas com as USBs com a versão 7.40 (parece que o Generic USB está dando problema com alguns Windows), porém, parece que com a versão 7.42 muitos voltaram a funcionar
ele está clicando fora das opções
aparenta só as opções estarem piscando, o resto da tela não, é isso mesmo?
Então. Eu acho que esse GBWhatsApp não está dentre os apps compatíveis.
Pessoal, um colega me passou uma dúvida que não sei como responder. Se alguém puder ajudar eu agradeço mais uma vez!
Chegou um Samsung a30s da vítima de “invasão” no aparelho. Foi pedido se seria possível encontrar algo que identifique ou aponte para o autor.
Parece que foram invadidas as redes sociais da vítima.
Pelo aparelho teria algo a buscar?
Chegou um Samsung a30s da vítima de “invasão” no aparelho. Foi pedido se seria possível encontrar algo que identifique ou aponte para o autor.
Parece que foram invadidas as redes sociais da vítima.
Pelo aparelho teria algo a buscar?
O UFED PA tem uma função de busca por malware tbm, né? Ajudaria?
Tem sim uma varredura dos APKs e outros arquivos se não me engao
Eu faria uma varredura de malware, analisaria os e-mails, SMS,e mensagens (em busca de fishing), e tb faria uma "escuta" com wireshark numa rede controlada.
bom ver os histórico de navegação WEB tb
E aí no wireshark tentaria identificar as conexões?
Origem 306 — 29/01/2021 08:12 a 10:17 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia! Estou com um XT1640 que só funciona quando plugado no carregador. A bateria não aguenta mais carga. Tá desbloqueado, mas o app de configuração apresenta erro e não consigo configurar nada. Alguém teria uma sugestão de como realizar esta extração?
Ele tem a opção de fazer por bootloader mas fiquei pensando se a condição da bateria vai atrapalhar no momento da extração!
Se não conseguir por bootloader, tem como você ativar o modo EDL para extração qualcomm, mas tem q abrir a carcaça
Devido o indicativo de instabilidade de operação devido a falha da bateria, desmontaria e ligaria o aparelho diretamente numa fonte variável e procederia com a extração. por bootloader
Ja usei em um caso semelhante. Lembra de atualiza a base antes da varredura
Se não me engano, nesse modelo você não vai precisar da bateria na extração por EDL.
Aliás, se estiver criptografado precisa.
Origem 307 — 29/01/2021 14:54 a 14:54 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, Srs. Alguém por aqui usa o UFED4PC com windows 7?
Tentei instalar aqui numa máquina com windows 7, mas parece que nesse so o UFED4PC não reconhece o adaptador. Alguém já teve esse problema?
Origem 308 — 29/01/2021 15:37 a 16:00 — Extração e root em dispositivos LG
<Mídia oculta>
LG bloqueado. Alguém tem alguma solução? Nem UFED e nem XRY. Obg
LG bloqueado. Alguém tem alguma solução? Nem UFED e nem XRY. Obg
bem novo esse aí, acho que o modelo é do final do ano passado.
LG X Power. 2017 ou 2018, acho. 🤦🏻♂️
é um LG-K220 então?
Se for (com CPU MediaTek MT6735), o UFED4PC, na versão 7.42, diz que faz extração física com bypass
Mas pelo imei tá dando que é um modelo de 2020 com qualcomm qm215
pois é, inicialmente tb pensei que seria esse aí
Origem 309 — 03/02/2021 21:44 a 21:44 — Extração e análise de mensagens do WhatsApp
boa noite. gostaria de uma dica dos colegas referente a extração de conversas do aplicativo whatsapp do dispositivo sm-j410g.
não estou conseguindo abrir no PA a extração
Origem 310 — 04/02/2021 08:06 a 08:15 — Compatibilidade e extração em dispositivos Samsung Galaxy
[MENCAO] logo essa verba: https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/02/03/empresa-norte-americana-afirma-ter-criado-tecnologia-para-obter-dados-de-celulares-android-bloqueados.ghtml
Se não me engano, já sondaram no passado para extração de iOS, e a GreyShift comunicou que não vende para o Brasil. Não sei se para Samsung's seria diferente.
Só se eles vão praticar o que a Cellebrite exige para o Premium, como sala cofre, segurança biométrica, etc...
Origem 311 — 05/02/2021 14:24 a 15:19 — Vestígios de uso e cópia para mídias USB no Windows
Vc encontrou essa extração pelo modelo ou chipset?
Pode tentar tb usar essa ferramenta aqui (que o colega [MENCAO] da PCDF deu a dica):
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
Aqui tb:
https://github.com/JunioJsv/mtk-easy-su
https://github.com/JunioJsv/mtk-easy-su
mas tem que estar desbloqueado
acho que no seu caso, está bloqueado não é?
Bloqueado
<Mídia oculta>
🤦🏻♂️ na física. No 7.40 e no 7.42 deu o mesmo erro
🤦🏻♂️ na física. No 7.40 e no 7.42 deu o mesmo erro
Esse erro do themida tem reinstalar o ufed4pc de novo. Desinstala boot instala boot de novo
Use s versão 7.42.0.*82*
Tem que desinstalar mesmo, cpm boot
Instalar depois do boot, e novamente , boot
Alguém falou aqui de existir um lance de não instalar com o dongle plugado na USB, não sei se procede
Antivirus do windows tem apagado umas DLLs.. recomendo colocar a pasta de instalação do UFED na lista de exclusões do antivirus
procede. tem esse detalhe tb
Origem 312 — 08/02/2021 15:49 a 16:01 — Extração e root em dispositivos LG
Pessoal, boa tarde. Alguem ja conseguiu fazer extração física em um LG k 10 pro (M400DF) desbloqueado? No UFED, no modelo dele, só aparece a opção rooteada. Consegui pegar o "MMC(0x0-0x0747C00000).bin" extraindo pelo k410f, mas vem criptrografada.
CPU MediaTek MT6750
Colega [MENCAO] outro dia deu um macete de softroot para ele
https://github.com/JunioJsv/mtk-easy-su
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
Opa, valeu [NOME]. Vou dar uma olhada!
Acho que é melhor usar o do XDA:
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
Boa tarde, aproveitando a deixa. Saiu uma atualização para a box infinity para MTK com possibilidade de ultrapassar a autorização de flash. Por acaso alguém que tenha acesso a essa box sabe dizer se há a possibilidade de fazer readback ou dump?
https://forum.gsmhosting.com/vbb/f296/infinity-chinese-miracle-2-mtk-mediatek-v2-19-standalone-mtk-auth-new-cpu-2943106/
Origem 313 — 09/02/2021 14:48 a 18:46 — Extração e decodificação de bancos do WhatsApp
Alguma solução pra o Samsung SM-G531H/DL bloqueado e com FRP Lock ativado?
Clan soft tem removedor, dependendo do binary
Mas os arquivos do ClanSoft são pagos né?
Infelizmente não temos orçamento pra isso.
Esse tiramos a senha com o Cellebrite mesmo, se não me engano.
Então, não tenho essa opção no perfil do modelo.
Usam qual perfil, no caso?
Vai no Samsung GSM Generic Android, e usa a opção Rmove Screen Lock.
Se me lembro bem, esse funciona.
Certo, vou tentar.. depois retorno com o resultado! Obrigado..
A quem tiver acesso ao XRY, conseguimos realizar força bruta em Samsung A205G (A20) no perfil do A202F. Além disso, vários modelos de S10 também estão fazendo força bruta.
Nobres, boa tarde!
Em um desktop que estou examinado, encontravam-se 02 backups de dispositivos iOS, no caminho usual usado pelo iTunes ([usuario]\AppData\Roaming\Apple Computer\MobileSync\Backup\).
No entanto, o P. Analyzer (v. 7.42.0.50) não está decodificando esses backups corretamente, e está reconhecendo, apenas, os arquivos de mídia.
Algum dos colegas saberia me informar se estou pulando alguma etapa? No caso, estou abrindo a extração via opção "Add" > "iOS File System / Backup / GrayKey extraction", e apontando para a pasta contendo o backup (pasta nomeada com UDID do aparelho).
Em um desktop que estou examinado, encontravam-se 02 backups de dispositivos iOS, no caminho usual usado pelo iTunes ([usuario]\AppData\Roaming\Apple Computer\MobileSync\Backup\).
No entanto, o P. Analyzer (v. 7.42.0.50) não está decodificando esses backups corretamente, e está reconhecendo, apenas, os arquivos de mídia.
Algum dos colegas saberia me informar se estou pulando alguma etapa? No caso, estou abrindo a extração via opção "Add" > "iOS File System / Backup / GrayKey extraction", e apontando para a pasta contendo o backup (pasta nomeada com UDID do aparelho).
Complementando, tb tentei pelo menu "Add" > "Common source" > "Backup" > "iTunes backup", mas sem sucesso.
Já o AXIOM conseguiu abrir esses backups.
Já o AXIOM conseguiu abrir esses backups.
Boa tarde!
Já tive sucesso usando o IPED.
Já tive sucesso usando o IPED.
Boa tarde! Alguém possui TR de máquinas forenses? Saberia informar também se há algum projeto para aquisição pela SENASP a fim de repassar aos Estados ou até mesmo alguma Ata de Registro de Preço?
Também tenho interesse! (Perícia Forense do Ceará)
Fizemos aquisição ano passado aqui em MT. Vou ver se consigo pra repassar.
Opa! Se puder, manda pra mim também, por favor.
Opa Max 👍🏻
Prezades colegas.
Foi lançada nova versão do script de carga de exportação do Whatsapp, agora num formato como plugin do UFEDPA,
pois a nova versão do UFEDPA (7.42.0.50) apresenta um provável erro interno que exigiu que o script python fosse transformado em plugin para
contornar o problema. Também foram feitas algumas correções pequenas na carga dos anexos.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Qualquer problema, nos informem.
Manual atualizado:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/ManualScriptCargaUFEDExtracaoEmailWhatsAapp.pdf
Foi lançada nova versão do script de carga de exportação do Whatsapp, agora num formato como plugin do UFEDPA,
pois a nova versão do UFEDPA (7.42.0.50) apresenta um provável erro interno que exigiu que o script python fosse transformado em plugin para
contornar o problema. Também foram feitas algumas correções pequenas na carga dos anexos.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Qualquer problema, nos informem.
Manual atualizado:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/ManualScriptCargaUFEDExtracaoEmailWhatsAapp.pdf
Origem 314 — 10/02/2021 15:50 a 16:24 — Bloqueio FRP e conta Google em dispositivo Android
Pessoal, estou com um Sony E2124 em looping
Tudo que olhei na internet envolve baixar o Xperia Companion e reparar o software do dispostivo, porém, com alerta de que os dados pessoais serão perdidos
Se alguém já conseguiu contornar sem perder os dados, me avise por favor
Tudo que olhei na internet envolve baixar o Xperia Companion e reparar o software do dispostivo, porém, com alerta de que os dados pessoais serão perdidos
Se alguém já conseguiu contornar sem perder os dados, me avise por favor
Conseguiu remover a senha?
Eu estou com um caso semelhante ao seu. Mesmo modelo, FRP Lock ativado
Tentei remover pelo Samsung GSM Generic Android, porém, sem sucesso
Então fiz a Partial File System (Lock Bypass) e consegui a senha por la
No próprio modelo G531H
Olá. Eu tentei a partial filesystem, mas não obtive sucesso tb. Talvez seja versão diferente do SO.
Origem 315 — 11/02/2021 09:33 a 10:45 — Extração Samsung em modo Download/ODIN
Estou com um sm-j400m
Durante a extração física ele bricou
E ficou em loop infinito quando ligado
Solicito ajuda dos colegas como voltar a máquina ao normal
No próprio cellebrite vai na opção Samsung Exynos Recovery
Dentro da tela de Device Tool
Já resolvemos problemas semelhantes com flash das partições sboot e param, via Odin.
Baixa a custom rom e extrai somente essas partições.
Baixa a custom rom e extrai somente essas partições.
baixar a "custom" não, melhor a oem/stock rom não?
Esse problema parece ser corrupção ou incompatiblidade de versões do sboot com a param
Foi alterado para permitir a extração, aí deu boot no meio, e não se voltou para versão compatível
eu já resolvi algumas vezes isso só colocando para fazer extração física novamente
Desafio é que as vezes não se consegue entrar no DL mode/ODIN. Mas se entrar, aí deve funcionar refazer.
é porque durante o processo de extração física ele dá esse comando que entra em modo inválido, mas se você inicia o processo novamente algumas vezes ele manda o comando de reboot sem esse comando inválido
Origem 316 — 11/02/2021 11:01 a 13:01 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, vcs tem boas soluções de soft root que não envolvam utilizar o Kingo Root, framaroot e similares? Algo parecido com o MTK-SU, mas para processadores Qualcomm.
Estou com um aparelho G530H, Android 4.4.4, certamente rooteavel.
Acontece que o aparelho está com a interface microUSB avariada, na pinagem de dados.
Preciso rootear via emulador de terminal.
Estou com um aparelho G530H, Android 4.4.4, certamente rooteavel.
Acontece que o aparelho está com a interface microUSB avariada, na pinagem de dados.
Preciso rootear via emulador de terminal.
Pessoal alguma luz pra extrair Motorola xt1773 bloqueado por senha?
Tenta desbloquear via lockpick no XT1922-5 e depois fazer a extração fisica (SmartAdb) no XT1922-5 tb.
Acho que esse modelo tbm tem a opção de backup user data lá no recovery
Pois é, o lockpik não desbloqueou
O que conseguimos aqui foi realizar a extração física via SmartAdb no XT1922-5, mas o celular estava desbloqueado. Imaginei que funcionaria.
Pessoal, usando o MTK-SU consegui acesso root um Moto E6 Play XT2029-3, consigo listar e acessar pelo terminal o /data
fiz a cópia da mmcblck0p39, q é a do /data
mas veio criptografado, creio
em o /dm-1 é o /vendor, com menos de 2 GB
alguém tem alguma luz de como fazer o dump do /data?
terminou de baixar, DM-0 só tem perto de 3 GB =/
já baixei o mmcblk0p39 e o bloco todo, e nada, vem criptografado creio
os blk1 são o SDcard
Origem 317 — 12/02/2021 09:30 a 10:31 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal bom dia. Estou com um Motorola XT1032 bloqueado tentei fazer no ufed e diz q o firmware não é suportado e para o modelo dele não tem edl. Aparentemente. Alguém já conseguiu fazer alguma coisa com esse aparelho nestas condições?
Pelo initroot só tem o padding pro xt1033
Bom, vale a tentativa
https://github.com/leosol/initroot
Melhor não hein... É tenso
Acho que o AXIOM faz a extração física.
Vou dar uma olhada nele, eu vi o xry e só faz sem senha
Bom dia, amigos. Vocês fazem transcrição de áudio nas unidades de vocês? Caso não façam, existe algum modelo de recusa?
Aqui indicamos que a seção responsável é a de áudio e vídeo
Mas não temos um modelo específico, geralmente é encaminhado internamente
Aqui no Ceará já existe uma portaria da sspds informando que se o áudio estiver inteligível a transcrição deve ser feita pela própria delegacia
Pelo initroot faz com certeza, mas talvez tenha que criar o pacote malicioso para ele, ao invés de utilizar o do XT1033 ou do XT1034, mas acredito que o dos modelos similares funcionem. Vou mandar para você um artigo não finalizado ensinando como faz. Como não está finalizado não vou mandar para todos, mas se alguém precisar é só pedir.
para versões distintas, tipo XT1022 / XT1033, é possível que o CMDLINE passado para o kernel do linux seja diferente. Ao fazer o initroot com versões diferentes, não testadas, é possível que o aparelho entre em bootloop. Ao final do boot, o CMDLINE é salvo para ser repetido no próximo boot. Para esses casos, a solução é entrar em fastboot e fazer o flash da partição "boot" apenas
de outra forma, achar o padding é bem simples e praticamente sem risco algum, usando uma stockrom original como base
citei o caso do XT1022/XT1033 pq são muito parecidos, com apenas uma pequena diferença no CMDLINE
e creio que deve entrar em bootloop
Aqui no Piauí tem um parecer da Corregedoria da Polícia Civil informando o mesmo: se o áudio o áudio estiver inteligível não se trata de exame pericial.
A gente tem um parecer da pge que menciona que simples degradação de áudio não eh perícia e pode ser realizada pelo escrivão. A perícia eh quando se utiliza de meios técnicos para reconhecimento de voz e tratamento do material.
Pedimos informaçao técnica para o núcleo de áudio e video
Nessa linha de "perícia eh quando se utiliza de meios técnicos", nos estados de vocês, alguma delegacia é autorizada a fazer extração de celular usando UFED ou ferramenta semelhante?
A gente vê no diário oficial a compra de ufed
Mas não sabemos para onde vai. Mas quando ligam pedindo modelo de laudo a gente flagra kkkk
aqui em MT, várias delegacias e MP já utilizam UFED. Já oficiamos a direção do órgão sobre isso, mas não está adiantando. O próprio juiz já está autorizando eles "mexerem"
e aqui somos totalmente desvinculados da PJC
Já tbm. Inclusive com dinheiro dado pelo TJ
Autorização explícita não existe, mas aqui no Ceará muitas delegacias possuem UFED e vários "operadores de UFED"
Em Goiás até a agência prisional tem UFED atualizado e a perícia não tem. 😂
Aqui em PE o MP tem no GAECO ufed e estações forenses. Lá, servidores de nível médio emitem os "laudos"
E a PCPE tem na Inteligência tb, doado pela Senasp, contudo com algumas regras
Tem q enviar extração para o MJ e ter relação com crime organizado
E o juiz autorizar isso
Mas não são Peritos
Origem 318 — 16/02/2021 13:35 a 13:59 — Root em dispositivo Android para extração pericial
A respeito de um samsung a10s, Mediatek 6762, após rodar o ./mtk-su -v, recebi como resposta:
armv8l machine
Failed critical init step 1
armv8l machine
Failed critical init step 1
O mtk-su não funciona em Samsung... infelizmente
alguma idéia do que possa estar ocorrendo?
Ah, ok! =/. Valeu 👍🏻
Há alguma forma de extração física, root ou combination para esse modelo A10s?
Origem 319 — 19/02/2021 10:18 a 10:28 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia!
Sugestão para desbloquear ou extrair o modelo Samsung A013M.DS bloqueado com senha?
Já temos o Cellebrite 4PC.
Sugestão para desbloquear ou extrair o modelo Samsung A013M.DS bloqueado com senha?
Já temos o Cellebrite 4PC.
Acho que esse é FBE. O ufed padrão não desbloqueia
O que significa FBE?
O Android é 10.
O Android é 10.
File-based encryption (vai utilizar a senha do usuário como chave para encriptar, se não me engano).
Nesse caso, talvez o ufed premium.
É o mesmo que os iPhone usam.
Sem chance se não tiver serviço vip das ferramentas forenses.
Nesse caso, talvez o ufed premium.
É o mesmo que os iPhone usam.
Sem chance se não tiver serviço vip das ferramentas forenses.
O que conseguimos as vezes é ficar tentando as mais prováveis
As vezes temos sucesso
Certo. Entendi. Obrigado.
É Android 10 de fabrica. Entao é fbe mesmo.
Tbm é mediatek, o que complica mais um pouquinho. se desbloquear vai ser só uma extração lógica
Consegue file system e apk down
Full file system temos dificuldades ainda dos MTK Android 10.
Origem 320 — 19/02/2021 12:14 a 12:18 — Extração e análise de dados em iPhone/iOS
Olá pessoal, alguém sabe se é possível recuperar de um aparelho, após uma extração do UFED, a quantidade de tentativas de desbloqueio com informações de data e hora?
Nos dispositivos iOS essa seção é bem mais rica do que nos dispositivos Android
Origem 321 — 24/02/2021 10:22 a 10:46 — Extração e acesso a dados em iPhone 11
Dois iPhone 11, quebrados pelo suspeito. Caso consigamos o milagre de religar, um 4PC atualizado conseguiria alguma extração mesmo q parcial?
Estão bloqueados provavelmente
Ou apenas pelo CAS?
Eu acho q só vai até o X
A extração por check8, ou tou enganado?
Segura os aparelhos aí, até uma nova atualização
Sempre bom testar tudo...
Mesmo sabendo disso, a gente tenta
Venho tentando convencer minhas chefias a fazer custódia de aparelhos para uma situação futura, guardo alguns, mas eles não gostam, mas acho q seria o ideal.
de todo modo, sugerir ao delegado para pedirem judicialmente os dados q estão no icloud vinculados a esses imeis.
Apple Watch, tem como extrair algo? rsrs
veio junto, vinculado a um desses iphones
Nunca chegou pra mim
Posso estar enganado mas eles não armazenam muitos dados nele próprio ....
como é um caso de feminicidio q alegaram q ela teria cometido suicidio por remédio, quem sabe teria alguma utilidade os bpms
apesar q acho q conseguiram amarrar bem direitinho o feminicidio
Verificar se algumas mensagens ficam no aparelho
no apple watch, no caso
Estamos com um tbm. Mas parece que depende do iPhone. Daria para extrair alguma coisa com um cabo especial, mas talvez não seja relevante ao caso
Eu creio que os dados sempre são sincronizados com o iPhone, então se conseguir extrair do aparelho, tá beleza.
https://blog.elcomsoft.com/2019/06/apple-tv-and-apple-watch-forensics-01-acquisition/
Precisa desse adaptador
Ou do celular ao qual está conectado....
Apple e suas "exclusividades" :)
E muda o cabo por modelo tbm
Origem 322 — 24/02/2021 13:55 a 14:05 — Sem a senha só faz extração BFU
Alguém já passou por esse problema?
Sem a senha só faz extração BFU
Esse que eh X da questão
No UFED, em ferramentas, tem uma opção pra sair disso
Cancelei a extração. Aí apareceu um opção. Aí cliquei em Ok. Aí começou a fazer.
Extração BFU... Pouca coisa, mas ajuda
Origem 323 — 25/02/2021 11:00 a 11:15 — Extração e decodificação de bancos do WhatsApp
Bom dia!
Alguma opção para extrair ou desbloquear o Motorola XT 1926 bloqueado com desenho padrão?
Alguma opção para extrair ou desbloquear o Motorola XT 1926 bloqueado com desenho padrão?
Bom dia
Samsung A105M, desbloqueado, Android 9
FBE não pegou YoWhatsApp
Alguma solução? Somente emailtobkp?
O Ufed tem a opção de extração física por Decrypted Boot Loader (Untested method) porém não obtive sucesso quando tento conectar o cel no cabo 130
Samsung A105M, desbloqueado, Android 9
FBE não pegou YoWhatsApp
Alguma solução? Somente emailtobkp?
O Ufed tem a opção de extração física por Decrypted Boot Loader (Untested method) porém não obtive sucesso quando tento conectar o cel no cabo 130
Tentou fazer com o modelo XT 1926-7? Ou tenta desbloquear usando o modelo XT1922-5, com Lock Pick
Se você tiver o chip ativado, pode recuperar a key desse YoWhatsApp talvez?
Se fez a Full File System, pegou o YoWhatsapp, mas provavelmente não decodificou. O Physical Analizer não procura por Whatsapp em outras pastas além das conhecidas por ele. Se for o caso, extrair os arquivos do YoWhatsApp da extração existente, renomear as pastas só para WhatsApp (na memória compartilhada) e com.whatsapp (no /data/data), e mandar decodificar novamente deve resolver.
Bleza.
Vou tentar aqui
Obrigado [MENCAO] e [MENCAO]
Vou tentar aqui
Obrigado [MENCAO] e [MENCAO]
Origem 324 — 25/02/2021 15:36 a 16:41 — Extração e análise de mensagens do WhatsApp
Pessoal, estou com um celular relacionada a tráfico de drogas aqui. Tem alguns contatos no WhatsApp com nomenclatura nesse padrão aqui... Me chamou a atenção... Alguém já viu algo parecido?
• CM6C+IAG, CMaC+IAG, CP2A+IAG, COyA+IAG, CNGA+IAG, CNCA+IAG, CM2A+IAG, CMGA+IAG, CLSA+IAG, CK+A+IAG
• CPvY9oAG, CODY9oAG, CN7Y9oAG
• CIvv84AG
E por aí vai...
• CM6C+IAG, CMaC+IAG, CP2A+IAG, COyA+IAG, CNGA+IAG, CNCA+IAG, CM2A+IAG, CMGA+IAG, CLSA+IAG, CK+A+IAG
• CPvY9oAG, CODY9oAG, CN7Y9oAG
• CIvv84AG
E por aí vai...
Cada tópico é um nome
Que doideira! Nunca vi isso.
vai ter que descobrir a chave de criptografia haha
na extração e no aparelho estao assim?
Origem 325 — 02/03/2021 11:12 a 12:53 — Extração e decodificação de bancos do WhatsApp
Bom dia
J810M, desbloqueado, Android 10
Alguém já teve sucesso com a Física?
J810M, desbloqueado, Android 10
Alguém já teve sucesso com a Física?
Peguei um recente, android 10, atualizado, e só lógica mesmo
Parti para exportação do ZAP e filmagem de aplicativos exóticos
Exportação do Zap pelo mailtobackup?
spitools
'Exportar conversa'
No meu caso, tem 2 WhatsApp (tradicional e Business)
Quando fui tentar fazer o Android backup downgrade deu o seguinte alerta
Quando fui tentar fazer o Android backup downgrade deu o seguinte alerta
Não continuei por receio de perder
Androids novos da Samsung, grande probabilidade de não instalar com downgrade e se perde tudo
Pelo que tenho visto funciona bem mesmo em Samsungs novos. O problema ocorre se a função de Dual Messenger (ver nas configurações do aparelho) está habilitada, ou tem uma instalação na pasta segura, ou tem algum aplicativo tipo Parallel Spaces instalado. Garantindo que não tenha dois WA no mesmo aparelho tem funcionado sempre aqui.
(sendo que o WA normal não interfere no WA for Business)
(sendo que o WA normal não interfere no WA for Business)
Bom saber. Eu perdi a coragem um tempo atrás depois de uns episódios "emocionantes"
De fato a função Dual Messenger está habilitada 😕
Android 10 por padrão implementa File Based Encryption, nestes casos não adianta obter uma extração física, pois cada arquivo é cifrado com uma chave diferente. O melhor resultado seria uma extração Full File System
Isso mesmo. Daqui uns anos física vai ser coisa de antigo. 😅
Só um complemento: Android 10 que foi feito upgrade de uma versão antiga pode ser disk based encryption. Se já veio de fábrica com o 10 é certeza que é file based.
Faz downgrade pro 9
A gente tava com um bloqueado aqui
Fizemos o downgrade e pegou a física
J600GT em Android 10 tbm é um problema.
Origem 326 — 05/03/2021 17:51 a 18:04 — Extração e decodificação de bancos do WhatsApp
Boa tarde! Tenho um XT-1955, bloqueado. Alguém já teve sucesso no desbloqueio?
Boa noite! Alguma forma de obter acesso aos dados da área de um ocultador de aplicativos?
daqueles q pede senha numa calculadora falsa
numa extração de sistemas veio a pasta "virtual", na qual contém a pasta pública do WhatsApp
mas o programa, a key, etc, não estão visíveis numa mera extração de sistemas
Origem 327 — 09/03/2021 11:23 a 15:58 — Extração e decodificação de bancos do WhatsApp
Pessoal, bom dia. Estou com um LG x230ds, bloqueado por senha e o UFED não conseguiu remover a senha [SEGREDO] métodos convencionais de extração física falharam. Consegui fazer backup do userdata pro cartão de memória através do recovery mode. Dentro do PA abri como mtk backup... Até os dados da extração apareceram porém as mensagens do WhatsApp ficaram todas sem referência com aqueles balões cinza. Alguma solução?
Bom dia. Nas pastas exibidas no PA, há a pasta data/com.whatsapp?
os balões cinza geralmente são por carving apenas, creio
Elas perderam referência de remetente e destinatário e todas ficaram assim
a estrutura das pastas exibida no PA está certinha, sem bugs?
Tá uma confusão só
Alguém poderia me disponibilizar um Laudo de defacement?
De constatação ou alguma coisa do tipo.. o que pudee ser feito..
Vou tentar abrir pelo xamn do xry...
Tem um esquema para abrir esse backup direito. Estou almoçando, quando voltar eu posto aqui.
Segue:
Esta extração gera no MicroSD diversos arquivos com a exensão .backup.
Para transformá-los em 1, remove-se de todos eles os primeiros 512 bytes e se concatena todos na sequência em um só.
(eu utilizei o HxD para remover os primeiros 512 bytes, e o comando copy para concatenar, como no exemplo: "copy /B a.backup + a.backup1 + a.backup2 out.ext4")
Para abrir no Physical Analyzer:
1) Clique em File -> Open Case...
2) Clique em Add
3) Dentro do menu "Common source" escolha a opção "Backup" -> "Android MTK backup (.backup files)"
4) Clique no botão "Backup" e selecione o arquivo out.ext4 (que é a concatenação dos .backup sem os primeiros 512 bytes de cada um)
5) Continue normalmente
Esta extração gera no MicroSD diversos arquivos com a exensão .backup.
Para transformá-los em 1, remove-se de todos eles os primeiros 512 bytes e se concatena todos na sequência em um só.
(eu utilizei o HxD para remover os primeiros 512 bytes, e o comando copy para concatenar, como no exemplo: "copy /B a.backup + a.backup1 + a.backup2 out.ext4")
Para abrir no Physical Analyzer:
1) Clique em File -> Open Case...
2) Clique em Add
3) Dentro do menu "Common source" escolha a opção "Backup" -> "Android MTK backup (.backup files)"
4) Clique no botão "Backup" e selecione o arquivo out.ext4 (que é a concatenação dos .backup sem os primeiros 512 bytes de cada um)
5) Continue normalmente
Dica: o arquivo .ext4 também pode ser aberto no 7Zip.
Já peguei alguns modelos positivo e asus em que o mtk backup estava em um formato com características de estar compactado (era possível fazer carving de imagens e vídeos). O pouco que consegui estudar sobre estes modelos apontavam que tinha relação com o sistema de arquivos UBIFS
Fazendo o mesmo esquema (remover os 512 primeiros bytes de cada arquivo e concatená-los), se estiver em UBIFS, normalmente funciona aqui, só não abre no 7zip como mencionei, mas no PA funciona.
Não funcionou. Fizemos várias tentativas sem sucesso.
https://www.juscatarina.com.br/2021/03/09/stj-reafirma-invalidade-de-prova-obtida-pelo-espelhamento-de-conversas-via-whatsapp-web/
Era muito importante conseguir essa extração. O celular encontra-se em modo avião, bloqueado por senha, modo debug ativado (devido a senha não conseguia autorizar a conexão)... A impressão que tenho é que os "operadores de ufed" da delegacia realizaram a extração, fizeram aquele procedimento de colocar a senha de volta e agora quando chegou na perícia o UFED não estava conseguindo remover a senha novamente
Boa tarde, pessoal. Meu tio acabou de cair num golpe do cartão na Caixa. Segundo ele:
- Ligaram para perguntar se ele reconhecia uma compra. Meu tio disse que não reconhecia.
- Aí eles pediram para meu tio ligar para o número que estava escrito no cartão. Meu tio ligou primeiro para o 4004 que não aceitou a ligação vinda de celular e depois ligou para o 0800.
- Aí a pessoa que atendeu orientou meu tio a entregar o cartão e senha para um "funcionário do banco" que iria pegar na casa dele.
Aí, o resto é história.
A minha dúvida é: alguém já ouviu falar de caso parecido em que a pessoa liga para o número que está escrito no cartão e quem atende são os golpistas? Que outras hipóteses podem ser consideradas nesse caso?
Obrigado.
- Ligaram para perguntar se ele reconhecia uma compra. Meu tio disse que não reconhecia.
- Aí eles pediram para meu tio ligar para o número que estava escrito no cartão. Meu tio ligou primeiro para o 4004 que não aceitou a ligação vinda de celular e depois ligou para o 0800.
- Aí a pessoa que atendeu orientou meu tio a entregar o cartão e senha para um "funcionário do banco" que iria pegar na casa dele.
Aí, o resto é história.
A minha dúvida é: alguém já ouviu falar de caso parecido em que a pessoa liga para o número que está escrito no cartão e quem atende são os golpistas? Que outras hipóteses podem ser consideradas nesse caso?
Obrigado.
Aqui na região quase que semanalmente pegam alguns desses estelionatários aplicando esse golpe.
Pelo que eu já li nos boletins de ocorrência, após a vítima terminar a chamada com o golpista para poder ligar na Caixa, o golpista não desliga e a linha fica travada. A vítima acha que está ligando pro número, mas na verdade ainda está na chamada anterior, agora travestida de atendimento da Caixa.
E nessa chamada a vítima até digita da senha do cartão, é os golpistas identificam os números digitados pelo som né.
Na cartilha da PM-MG divulgada aqui contra golpes tem esse caso
<Mídia oculta>
Cartilha Golpe To Fora - MATO GROSSO.pdf
Cartilha Golpe To Fora - MATO GROSSO.pdf
Dá uma olhada nessa cartilha👆🏼
Pois é. Pensei nessa possibilidade. Mas achei estranho porque, segundo meu tio, ele ligou duas vezes. Uma para o 4004 e outra para o 0800 e, quando ligou para o 4004 recebeu até um aviso que esse número não aceita ligação de celular. Acho que seria desnecessário os golpistas fazerem isso. A não ser que eles realmente queiram caprichar.
Mas também eu estou considerando meu tio não está contando a história direito porque, na cabeça dele, ele deve ter feito tudo direito e nem sabe.
Mas também eu estou considerando meu tio não está contando a história direito porque, na cabeça dele, ele deve ter feito tudo direito e nem sabe.
<Mídia oculta>
Polícia Civil - Cartilha Golpe To Fora
Polícia Civil - Cartilha Golpe To Fora
Acho que foi isso que aconteceu com meu tio mesmo. Teve até o lance da matrícula. Obrigado, gente.
Origem 328 — 11/03/2021 13:54 a 13:57 — Conexão USB, ADB e diagnóstico de porta em Android
Quando o aparelho reiniciou já tava desbloqueado. Mas no UFED deu erro como se não tivesse sido bem sucedido.
Se você fizer o flash do firmware inteiro, não vai violar o DM-Verity.
Origem 329 — 12/03/2021 12:25 a 12:43 — Extração e limitações em Motorola XT2013
Bom dia gente. Estou com um Motorola XT2013-1 (One Action), android 10, desbloqueado. O perfil exato não tem nos UFEDS, mas tem os perfis primos XT2013-2 e XT2013-4. Porém, não estou obtendo sucesso na extração. Alguém já tentou esse modelo?
Está sem sucesso na extração física? Qual é o kernel dele?
Estou tentando a lógica mesmo. Mas não procede...
No perfil android generico também está enfrentando o mesmo problema?
As vezes está com algum app que bloqueia a instalação do app da cellebrite
É isso que eu tô achando... tem um antivirus instalado, e o UFEd não tá conseguindo dar as permissões... estou verificando aqui...
pode habilitar o "Permitir instalação de fontes desconhecidas"
Bem, não sei bem o que aconteceu, mas agora passou.. Só tive que dar as permissões manualmente, tocando na tela do dispositivo, igual como ele faz automaticamente... 😅
Origem 330 — 15/03/2021 17:26 a 17:26 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde senhores, alguém já conseguiu fazer extração de Multilaser modelo zapp com SO kaiOS?
Origem 331 — 19/03/2021 15:20 a 15:20 — Root e extração em dispositivo Positivo
Boa tarde! Há algum método para extração física de aparelho Positivo S533 64 GB?
Pela ferramenta SPDResearch dá certo?
Origem 332 — 20/03/2021 13:49 a 14:43 — Conexão USB, ADB e diagnóstico de porta em Android
O ForensicTools não está detectando o Positivo S533 de 64 GB:
e a comunicação adb está funcionando, pois realizei extração de sistemas no touch
Tenta adb kill-server e depois adb devices
no minimal adb eu consigo acessar o aparelho normalmente
Deve ser o fds 🤣🤣🤣
Está com cara de que o adb do aplicativo não está conseguindo acessar o celular
Origem 333 — 23/03/2021 09:01 a 09:40 — Localização por ERB, Cell ID, BSSID e bases externas
Bom dia, pessoal. Estou com a seguinte demanda. Houve um homicídio e estão desconfiando que a própria vítima armou a sua morte para fraudar seguro. O celular dela não foi encontrado e as operadoras de telefonia indicam que o último sinal do IMEI do aparelho foi registrado na época do homicídio (há um ano). Ou seja, o celular deve ter sido destruído ou perdido. O que estão me perguntado é: que tipo de informações a justiça consegue pedir e receber das BigTechs (Facebook e Google)? Alguém aí já teve experiência com esses pedidos judiciais para saber? E se alguém tiver um modelo de pedido, seria ótimo. Obrigado.
Bom dia pessoal, alguém tem uma solução para extração física do LM-X410bcw (K11+) desbloqueado. Android 7.1.2
Lembro de ter lido essa reportagem que mostra o tipo de coisa que se consegue pedir para o google sobre localização:
https://www.nytimes.com/interactive/2019/04/13/us/google-location-tracking-police.html
https://www.nytimes.com/interactive/2019/04/13/us/google-location-tracking-police.html
Valeu, [NOME]. Vou ler aqui.
Guarda esse nome: SensorVault
https://en.wikipedia.org/wiki/Sensorvault
https://en.wikipedia.org/wiki/Sensorvault
Origem 334 — 26/03/2021 08:18 a 10:46 — Extração e decodificação de bancos do WhatsApp
Bom dia! Estou com um Samsung A107M desbloqueado, mas não consigo fazer a extração física e, assim, não consigo WhatsApp. Como faço pra descobrir qual das opções de Samsung GSM Genérico Android Decrypted posso usar? Ou tem outra forma de consegui o WhatsApp?
MediaTek Helio P22 MT6762, 2018
Não estou com UFED aqui, mas Procura um Samsung generic profile com esse chipset Mt 6762
Recebi isso em outro grupo... Mas realmente é o velho golpe se sequestro do WhatsApp
Boa tarde. Há como extrair por edl um Mi 9 Lite?
Bloqueado
Origem 335 — 29/03/2021 10:33 a 10:58 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia pessoal, alguma novidade em relação ao Motorola XT2013-1 (Motorola One)? O aparelho está bloqueado por padrao [SEGREDO] estou conseguindo fazer nada, nem no Ufed, nem XRY.
Bom dia, Srs. Alguém já conseguiu fazer o Samsung SM-A305GT/DS (Galaxy A30)? No site maiscelular aponta o chipset Samsung Exynos 7 Octa 7904. Esse chipset especificamente não tem no UFED. Tentei com o modelo Decrypt Bootloader Exynos Generic, a extração física foi feita, mas quando abro a extração no physical analyzer, ela está vazia, apenas com os arquivos nativos da Samsung, como se não tivesse sido descriptografado. 😥
Ele tá bloqueado. Tentei do desbloqueio com o mesmo perfil também, mas não funcionou.
Tentou um exynos FBE (extração BFU) ? Tem um perfil generico que, se tiver compatibilidade, poderá extrair algumas coisas como screenshots e conta Google. Talvez tenha alguma informação útil para descobrir a senha
Não, esse não tentei. Vou tentar aqui. Obrigado pela dica!
Origem 336 — 31/03/2021 10:38 a 12:19 — Extração e análise de variantes do WhatsApp
Qual a versão do IPED?
Esqueci de falar... Testei na versão 3.18.4 e 3.18.5
Colocou no profile pt-BR desse jeito assim?
<parser class="org.apache.tika.parser.microsoft.OfficeParser">
<params>
<param name="extractMacros" type="bool">false</param>
<param name="includeDeletedContent" type="bool">false</param>
<param name="byteArrayMaxOverride" type="int">2000000</param>
</params>
</parser>
<parser class="org.apache.tika.parser.microsoft.OfficeParser">
<params>
<param name="extractMacros" type="bool">false</param>
<param name="includeDeletedContent" type="bool">false</param>
<param name="byteArrayMaxOverride" type="int">2000000</param>
</params>
</parser>
Em tese teria que colocar no profile que vc está usando (ou coloca em todos) essa configuração para passar para o TIKA
Fiz exatamente assim, [NOME]! Até conferi no log se o profile estava sendo selecionado corretamente. Mas vou tentar colocar em todos profiles por via das dúvidas...
Pessoal, bom dia.
Estou com um Redmi Note 8 (M1908C3JI), Android 9, desbloqueado
Não consegui fazer a extração física mas fiz a Qualcomm Full File System.
A extração recuperou 2 whatspps: convencional e business.
O caso (homicídio) tem um ponto crítico que é: houve alteração no período em que o celular, da vítima, permaneceu com o suspeito?
Mexendo no cel, consigo visualizar somente o ícone do WhatsApp Business, sendo que ao lado, o espaço encontra-se vazio (o único "buraco" em todas as páginas de atalhos).
Dúvida: existe algum arquivo no Android onde eu poderia obter a informação da exclusão, com data/hora, do WhatsApp? Estranho é que no relatório do UFED não veio como excluído, constando os 2 whatsapp.
Estou com um Redmi Note 8 (M1908C3JI), Android 9, desbloqueado
Não consegui fazer a extração física mas fiz a Qualcomm Full File System.
A extração recuperou 2 whatspps: convencional e business.
O caso (homicídio) tem um ponto crítico que é: houve alteração no período em que o celular, da vítima, permaneceu com o suspeito?
Mexendo no cel, consigo visualizar somente o ícone do WhatsApp Business, sendo que ao lado, o espaço encontra-se vazio (o único "buraco" em todas as páginas de atalhos).
Dúvida: existe algum arquivo no Android onde eu poderia obter a informação da exclusão, com data/hora, do WhatsApp? Estranho é que no relatório do UFED não veio como excluído, constando os 2 whatsapp.
Acredito q o suspeito removeu apenas o ícone (atalho) e que a key continuou disponível e por isso o PA conseguiu montar normalmente.
Ou seria uma premissa errada, não sendo possível remover o ícone (atalho) sem desinstalar o app?
É possível alterar o ícone da aplicação, dependendo do modelo do launcher
Se você apertar e segurar no ícone da aplicação e for em editar, você pode escolher o ícone
Exatamente, ele alterou o ícone para algo vazio ou preto
Clicando no "buraco" ao lado do WhatsApp business, deve abrir o WhatsApp normal, não?
Não. É um espaço sem ícone
mas apertando nele não acontece nada?
Origem 337 — 31/03/2021 16:14 a 16:44 — Análise de Registro Windows e arquivo NTUSER.DAT
STK-20210331-WA0009.webp (arquivo anexado)
STK-20210320-WA0024.webp (arquivo anexado)
👏🏼👏🏼
Essa ferramenta é a agregação de várias técnicas desenvolvidas pela equipe da SPI/PCDF, em especial: [MENCAO] (uso do ViewClient), [MENCAO] (spi_tools), [MENCAO] (registro de extração), entre outros.
Essa ferramenta é a agregação de várias técnicas desenvolvidas pela equipe da SPI/PCDF, em especial: [MENCAO] (uso do ViewClient), [MENCAO] (spi_tools), [MENCAO] (registro de extração), entre outros.
Origem 338 — 07/04/2021 20:12 a 20:19 — Extração e análise de dados em iPhone/iOS
Alguma possibilidade?
Talvez uma BFU via checkm8 se for modelo e ios compatível.
Origem 339 — 08/04/2021 17:21 a 17:31 — Extração e análise de mensagens do WhatsApp
Pessoal, alguém já pegou algumas extrações físicas em que as imagens e vídeos do WhatsApp só aparece o thumbnail?
A pasta Media tem os arquivos originais?
Esses thumbs vêm direto do .db
Você fala a pasta direto no sistema de arquivos ou a seção Dados analisados > bate-papos > WhatsApp?
No sistema de arquivos
Quando o thumb é exibido é pq pegou direto do .db, sem provavelmente ter localizado a mídia na pasta
Na pasta média realmente estão todos marcados como apagado 😱
0 bytes no caso né?
Isso mesmo, tô rodando carving de imagem. Caso de pornografia infantil
Origem 340 — 10/04/2021 15:11 a 16:30 — Extração e análise de mensagens do WhatsApp
No entanto, nós somos quem aperta o botão e, aparentemente, não teria perícia nenhuma, contudo somos alguém que aperta o botão mas, de certa forma, sabe o que tá acontecendo, diferente de alguém que não tenha peso, respeito e conhecimento ou domínio técnico. Dias atrás eu peguei um telefone importantíssimo, com “Dual Messenger”, duas contas de WhatsApp recheadas, o UFED simplesmente zerou as duas contas, apagou os dois WhatsApp (hoje ele já avisa sobre essa possibilidade, mas antes não avisava). Tive que fazer um apanhado técnico elaborado, pra poder explicar e justificar a perca das informações, e tudo também foi integralmente corroborado pela equipe da Cellebrite, se eu não tivesse tido a segurança e a tranquilidade, fundamentada em conhecimento técnico, pra explicar o que tinha ocorrido, podia ter me dado problema. Por isso, é um apertar de botão, mas precisa ser feito por alguém com preparo e conhecimento técnico, pra poder agir em situações eventuais como essa que eu passei, por isso a importância de ser um perito criminal.
O problema é que se você passa o ano inteiro só apertando botão você não precisa aprender nada e com o tempo vai ficando a equipe toda despreparada e quando surge um problema de verdade quase ninguém vai saber resolver. Se o trabalho diário não exigir de você aprender como as coisas funcionam você pode passar anos extraindo dados de um determinado aplicativo sem saber em qual arquivo, em qual pasta, aquele dado é armazenado.
Aí compete ao "apertador" de botão estudar e entender como funciona. E quem deve fazer isso é o perito oficial
Mas por pensamentos como esse, que hj até um terceirizado tá fazendo nosso trabalho.
Sabemos que as pessoas só estudam como algo funciona se aquilo for necessário para obter o resultado. Enquanto tá funcionando sem ter de entender ninguém procura aprender isso é fato
Na verdade só tem gente se arriscando a fazer nosso trabalho porque nós estamos trabalhando a ideia de que nosso trabalho é fazer coisas simples.
De forma alguma. Mas não podemos menosprezar as coisas simples, pq alguém vai fazer.
O fato é que as ferramentas do Cellebrite são muito boas, mas nos deixam preguiçosos. É preciso correr atrás quando o fácil não resolve.
Mas é preciso ter esse conhecimento, por mais que seja superficial, a qualquer momento você pode precisar. Aqui tem um Delta que queria que a gente explicasse Deconvolução pra ele, preparamos o material, e na hora de explicar a “Transformada de Fourier” , ele desistiu de tentar entender, mas ele tentou achar uma deficiência na perícia, que precisamos estar prontos pra enfrentar.
Temos que fazer o que compete a gente, do mais simples ao mais complexo. Sendo perícia de natureza criminal, compete ao perito oficial. (Até rimou 😆
A questão é definir o que compete a nós e o que não compete. O simples fato de algo estar dentro de um comptuador significa que é perícia de informática? Tem as seções de documentoscopia, mas o fato de a seção lidar com documentos significa que é papel do perito que trabalha lá ler o conteúdo do documento e interpretar e fazer apontamentos de provas que nem naqueles documentos? Não, eles só fazem exame se houver suspeita de falsificação.
Sim, mas o fato que o ufed é uma ferramenta para atividade pericial.
Caso houver algum questionamento sobre o aparelho em si e você precise estrair dados para fazer alguma análise acho que sim. A questão é que pelo nome técnico cientifico da nossa atividade deveriamso fazer coisas que envolvem isso. A ideia é: tem um quesito técnico, você faz alguma análise e faz um laudo apontando evidências e no final mostra uma conclusão. Mas o que tá ocorrendo na prática é que maioria das requsiçoes é de mera extração de dados sem nenhum quesito. E quando tem quesito o quesito não é pericial. É algo tipo perguntando se existe no celular alguma conversa que seja indícidio do crime de estelionato, tráfico de drogas, etc. Isso é uma coisa que envolve você analisar o conteúdo das conversas. E nesse ponto o conhecimento técnico em informática não faz do perito masi capaz de entender uma conversa ou outra que qualquer outra pessoa. Isso envolve é conhecimento do contexto, dos envolvidos, etc.
Aí já é outro problema. Falta de quesitos claros e objetivos, relacionados ao caso. O simples (que a ferramenta faz ser simples em alguns casos) fato de extrair, ao meu ver exige conhecimento técnico , mesmo que não aplicado no ato da extração pela facilidade da ferramenta.
Mas certamente, essa é uma discussão longa. Rsrs
Eu só acho que não é brigando para ter exclusividade em fazer coisas simples que vamos ser mais valorizados. Acho que o que mais poderá fazer nós sermos valorizados é resolvendo casos complexos e mostrando que somos bem preparados e capazes de dar respostas em casos que não é qualquer um que faz.
Não é questão de exclusividade. Rsrs é o que tá na lei mesmo. Simples ou complexo, se for perícia quem deve fazer é o perito criminal.
E nem adianta a gente ficar pedindo exclusividade para fazer algo sem ter condições de atender a demanda.
Perícia na área Criminal*
Um problema não se resolve com outro.
Ah sim, mas o meu ponto não é dizer que não devemos fazer o que a lei prevê. Nâo é dizer que não devemos fazer perícia e sim relfletir sobre certas coisas que a meu ver não são perícia.
Pra resolver a demanda, contrata-se mais peritos.
O que não é, não deve ser feito.
Se o aparelho não tiver extração no seu ponto de vista o perito fazer a análise do conteúdo das conversas na tela do próprio aparelho é perícia?
É perícia, a partir do momento que quem faz o trabalho é um profissional com fé pública, que tem peso e reconhecimento de excelência técnica; essa prova assume um peso diferenciado dentro do processo, só pelo simples fato de ter sido feita por um perito criminal, independente do método ter sido complexo ou não.
Origem 341 — 12/04/2021 10:04 a 10:52 — Uso do IPED na triagem, indexação e análise
Bom dia. Qual a experiência de vcs com chat capture no UFEd? Conseguem extrair tudo sem erros? Demora mt?
Bem ruim por enquanto. Mas não testei a última versão q no release notes diz q teve melhorias.
A última versão 7.44.0.80 implementou melhorias, mas inda não testei.
Caso bem interessante! Não é de informática mas é importante analisar.
Alguém aqui já utilizou as bibliotecas do Project Vic ou PhotoDNA com o IPED?
Origem 342 — 20/04/2021 11:47 a 12:19 — Root e extração em SM-A207M
Bom dia, me perguntaram se iPhone com faceid desbloquearia com cadáver.
(Tenho quase certeza que não, mas por via das dúvidas 😅)
(Tenho quase certeza que não, mas por via das dúvidas 😅)
Isso é uma boa pergunta ein. Não consigo ver motivo para não funcionar. O reconhecimento facial é feito com medidas do rosto que em conjunto dificilmente se repetem de pessoas para pessoas. O morto preserva essas medidas, desde que a causa morte não implique na destruição ou avaria da face. Talvez se vc deixar o olho do morto aberto e tentar, funcione sim.
O problema é que depois de alguém tempo ele só desbloqueia com a senha
Sim sim. Não deixaria nem confiar para fazer a extração
No local de crime é viável
Já tentei uma vez. Porém falhou, creio que possivelmente devido aos dois buracos de bala no rosto.... e a dificuldade de deixar os olhos abertos sem sobrepor as mãos sobre a face.
Vez ou outra a gente consegue com impressão digital. O perito no local configura pra não "dormir" a tela, e trás pro laboratório ligado, pq geralmente vai ter o pin/bloqueios se desligar.
Pessoal, Samsung sm-a207m/ds sem senha, sem root, Android 9, patch 03/2020 alguém já conseguiu extração física?
Beleza. Se ocorrer a tentativa dou um retorno aqui do resultado. Obrigado
Origem 343 — 20/04/2021 13:58 a 15:10 — Extração e análise de variantes do WhatsApp
Pessoal. Boa-tarde. Alguns já conseguiu abrir um arquivo .met do emule? Estou com uma imagem de um HD que tem os arquivos .met do emule do alvo. Mas não consigo abrir...
IPED abre
IPED?
https://github.com/sepinf-inc/IPED
Ah tá. Obrigado 🙏🏻
Abre e, se estiver vinculado à base de dados do LED, ele realça arquivos de pornografia infantil
Fiz aqui, a física o UFED falou que não faz em dispositivos FBE e recomendou a extração sistema de arquivos. Fiz a sistema de arquivos e ela trouxe Facebook messenger, WhatsApp e WhatsApp business. Muito obrigado 👍🏼
Origem 344 — 20/04/2021 18:37 a 19:06 — Extração e análise de mensagens do WhatsApp
Pessoal, como vocês estão fazendo pra retirar o whats business pelo cellebrite
Principalmente no Samsung A315
Se não rolar full fs ou fisica, estamos fazendo na mão/script através de um apk
Esse modelo não tem opção de full fs e nem fisica, então iriamos nessa.
Opa!
Qual aplicativo?
Qual aplicativo?
Um que foi desenvolvido pela equipe da Computação daqui do PR.
E o q esse aplicativo faz ?
No WhatsApp tem aquela opção de exporta conversa. Com isso, fazemos o export para o app. Simula um WhatsApp export por email.
Ai salvamos em um microsd
Tem algumas limitações de mídias, mas na maioria ajuda muito.
As limitações no caso são do próprio whats, que não consegur exportar corretamente.
Prezades colegas.
Foi lançada nova versão do script de carga de exportação do Whatsapp, agora num formato como plugin do UFEDPA,
pois a nova versão do UFEDPA (7.42.0.50) apresenta um provável erro interno que exigiu que o script python fosse transformado em plugin para
contornar o problema. Também foram feitas algumas correções pequenas na carga dos anexos.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Qualquer problema, nos informem.
Manual atualizado:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/ManualScriptCargaUFEDExtracaoEmailWhatsAapp.pdf
Foi lançada nova versão do script de carga de exportação do Whatsapp, agora num formato como plugin do UFEDPA,
pois a nova versão do UFEDPA (7.42.0.50) apresenta um provável erro interno que exigiu que o script python fosse transformado em plugin para
contornar o problema. Também foram feitas algumas correções pequenas na carga dos anexos.
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Qualquer problema, nos informem.
Manual atualizado:
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/blob/master/SPIWhatsAppEmail/ManualScriptCargaUFEDExtracaoEmailWhatsAapp.pdf
*PrezadEs*?
De novo?🤦🏼♂️
😔😖
De novo?🤦🏼♂️
😔😖
Depois de exportar dá pra usar a ferramenta do [MENCAO]
Tive dois problemas com essa abordagem. Primeiro o spitools não gera os arquivos de conversas, mesmo clicando em exportar e selecionando o apk instalado. Com outro apk similar funcionou.
O segundo problema foi rodar ao script, aparece um erro com um código [SEGREDO] faz o parser das conversas.
Alguém já passou por ested problemas e encontrou alguma solução?
O segundo problema foi rodar ao script, aparece um erro com um código [SEGREDO] faz o parser das conversas.
Alguém já passou por ested problemas e encontrou alguma solução?
<Mídia oculta>
EXTRATOR_0.4
EXTRATOR_0.4
Quanto ao primeiro problema tenho usado esse apk aí
Obrigado, vou testar esse
Origem 345 — 21/04/2021 18:04 a 18:23 — Executa o UFED como admin
Executa o ufed como admin
Alterei ate as configurações de segurança (permissão) da pasta
Essa máquina está em algum domínio corporativo?
Pode ter uma gpo impedindo a execução do runtime ou do diretório temporário
Origem 346 — 23/04/2021 09:45 a 12:34 — Extração e análise de variantes do WhatsApp
https://github.com/leosol/storage-based-edl/tree/main/redmi-note-5a
"Redmi Note 5A (Bypass user lock)"
caso seja útil para alguém
celular ficou ligado e o dono já ativou em outro aparelho
olha se tem a pasta whatsapp com mídias e backups
Eu diria que a situação indica que o aparelho permaneceu comunicando com a rede de dados, e que o último arquivo foi recebido na data tal, posteriormente houve a ativação em outro aparelho, o que inativou o whatsapp nesse.
Faz a extracao fisica do celular. Deve pegar as conversas do whats.
Não funciona o downgrade?
mesmo com o aparelho neste estado?
mesmo com o aparelho nesse estado o msgstore.db permanece dentro da pasta na memória interna
mas a chave [SEGREDO]
acabei de ver aqui em um celular meu
As tabelas sqlite dentro da estrutura são fechadas, quando o zap é ativado em outro telefone,não adianta downgrade ou extração física. Os malas de Rondônia estão inteirados, ativam o WhatsApp com um chip, e jogam o chip fora, em determinadas situações, simplesmente inviabilizam qualquer intervenção da perícia, tá ficando difícil.
Em outras situações são orientados a ativar a inicialização segura no aparelho, tem chegado muito aqui com essa configuração setada, outra quebrada de perna...
Não entendi a parte de jogar o chip fora. O esquema não é ter um chip guardado em outro local. Aí se perder , ativa em outro fone.
Ter o chip que ativou o bate papo, em situação funcional, nos ajuda, em muitas situações, a extrair o bate papo do cara, quando outra opção (física, fbe, downgrade, etc...) não for aplicável, eu ativo o bate papo do cara em um telefone dublê, que tenho aqui, e pego absolutamente tudo, uma vez que a key gerada vai ser exatamente a mesma, mas, sem o chip, não tem como. Devolvi um, semana passada, pedindo pra equipe de investigação levantar e individualizar o que fosse de interesse, e se fosse o caso, me mandar de novo. Pq o GBWhatsapp do cara, já sem a possibilidade de backup total, tinha milhões de mensagens, o que inviabilizava qualquer tentativa manual de extração.
Ummmm. Isso aí da uma longa conversa.
Isso quando dá sorte de o chip não ter sido cancelado por terceiro, né?!
Aqui os 🐁🐀 quando rodam, já tem alguém de prontidão que solicita o cancelamento total do chip junto à operadora. É quase automático!
Há alguma maneira de extrair nesses casos?
Aqui os 🐁🐀 quando rodam, já tem alguém de prontidão que solicita o cancelamento total do chip junto à operadora. É quase automático!
Há alguma maneira de extrair nesses casos?
Até que ponto o perito pode extrair os dados de uma conversa por meios alternativos?
Senao fizer, também ajuda os miliantes com laudos sem dados extraídos. Complicado! 🤔🤔
Senao fizer, também ajuda os miliantes com laudos sem dados extraídos. Complicado! 🤔🤔
Extração física adianta sim, o msgstore permanece na memória interna
É um Samsung SM-G973F. É possível realizar extração física?
Putz! Bem complicado!
Mas ele fica criptografado, e não tem mais key, depois que as tabelas foram fechadas, depois do zap ativado em outro telefone, daí não adianta muito ele estar presente.
Desde que o perito não “invente” uma mensagem que não existia, uma vez que você pode comparar a extração com o diálogo existente no telefone, nós estaremos usando métodos científicos pra extrair a verdade dos fatos. Se fosse levado ao pé da letra, muitas das técnicas utilizadas pelo ufed, são implementadas por meio de “exploits”, e então, a gente pode usar essas técnicas ??
Penso da mesma forma, [NOME].
O problema é quando se recupera conversas excluídas por meio de tecnicas alternativas e nao tem como comparar no celular.
G973f da pra tentar uma exynos FBE. Se tiver o xry atualizado em 2021 tbm deve fazer
Sim, sim, quando uso dublê eu só trabalho com mensagens ativas, pq realmente corre-se o risco de mandar alguma coisa indevida.
Só temos o "UFED 2" atualizado.
Tente uma file system exynos FBE. É o mais próximo de uma física.
Origem 347 — 23/04/2021 12:34 a 13:42 — Extração e decodificação de bancos do WhatsApp
Você menciona no laudo quando você realiza esse procedimento alternativo?
Certo. Irei fazer. Obrigado!
Obrigado a todos.
Obrigado a todos.
abri no notepad++ e consigo ver minha lista de compras
o whatsapp viewer reclamou porque não tem o wa_contacts
O problema maior nem é sobre se pode ou não e sim se é obrigação ou não
Se formos obrigados a extrair manual sempre que não houver extração automatizada ferrou daqui para frente
O msgstore.db não é criptografado na memória protegida do celular, então uma extração física poderia ser útil sim.
Sei q o assunto do cel dublê é controverso e respeito as opiniões contrárias, mas eu sempre informo no laudo a existência de conversa criptografada e a possibilidade de obtenção das mesmas via esse procedimento e solicito que o delegado, caso tenha interesse, peça autorização judicial uma vez q vou obter arquivos fora do escopo da autorização judicial, que originalmente é no aparelho
Mês passado, em um caso de homicídio em q eu estava com o cel do suspeito, liguei pro delegado e expliquei e ele falou: “pode fazer, sem problemas”.
Daí eu solicitei q ele mandasse por email funcional, solicitando q eu executasse o procedimento.
20 min depois ele liga.
“Olha [NOME], conversei com o promotor e achamos mais prudente solicitar autorização judicial”
20 dias depois a autorização chegou, inclusive intimando a operadora a ativar o chip
Daí eu solicitei q ele mandasse por email funcional, solicitando q eu executasse o procedimento.
20 min depois ele liga.
“Olha [NOME], conversei com o promotor e achamos mais prudente solicitar autorização judicial”
20 dias depois a autorização chegou, inclusive intimando a operadora a ativar o chip
Menciono no laudo, de forma geral, que foi utilizado o equipamento UFED. Somente isso. Guardo hashs, e guardo cópias de DVDs (quando for aceitável a quantidade produzida), e se for necessário, aplico a propriedade da reprodutibilidade no trabalho feito. Estou tentando emplacar o projeto do UFED Premium, mas, já tenho uma certa preocupação, desde já, pra quando o juiz vier me perguntar : “O Sr. sabe o que acontece dentro daquela caixa preta”??, aí enrolou a guerra...
E tbem respondendo o que eu alertei q poderia haver: enquanto utilizo o dublê, ligações/SMS podem chegar. Além das conversas de WhatsApp q por ventura estivessem ainda no servidor.
A autorização judicial englobou todos esses pontos e pronto. Fiz meu trabalho
A autorização judicial englobou todos esses pontos e pronto. Fiz meu trabalho
O que eu costumo fazer no caso do uso de duble para recuperar as msgs é pegar apenas a key do celular q fiz a ativação do wpp e abrir o backup do celular original q está em cript12
é o que eu ia dizer, não precisa recuperar da nuvem, basta pegar a chave do aparelho "novo"
E isso tem como justificar tecnicamente pq a chave é a mesma
E desconsidera o q chega?
Sim, vc só pega a chave do celular rooteado os dados pega do celular de perícia
E essas msgs são perdidas pra sempre, uma vez q o cel dublê será restaurado
Assim vc garante q não foi modificado conteúdo em banco e vc conectou para pegar a chave, q pela forma da criptografia usada tem q ser a mesma
Testei agora em um leitor de sqllite e realmente não é criptografado o msgstore.db, então é possível fazer a leitura mesmo após a ativação em outro celular.
Se fizer extração de sistemas, e depois usar o dB criptografado e o chip para recuperar a Key, você vai usar só a Key e tá tudo certo.
A extração não foi adulterada em nenhuma forma
Não há necessidade de usar os dbs do dublê
Essas q ficam nele não seriam de interesse da perícia a meu ver
Quando não rola física ou downgrade: sistemas com chip, sem precisar usar nenhum database do dublê
Sim, a idéia principal sempre é pegar a chave.
Tirei o msgstore.db do meu antigo celular que era rooteado e abri.
O whatsapp está ativado no novo e desativado no antigo.
Como falei, a chave [SEGREDO], mas o msgstore.db permanece não criptografado na memória protegida do aparelho, então uma extração física seria útil para um aparelho nessa situação.
A física é sempre útil
Em um caso recente aqui, foi apreendido um telefone chave numa operação, que tinha dual messenger, duas contas ativas de WhatsApp, quando eu fiz o Apk downgrade, não tinha opção no UFED pra extração física, resultado: O UFED desativou as duas contas. Na ocasião a delegacia acionou a equipe da cellebrite, onde estudamos juntos a situação. Dias depois veio uma versão trazendo a extração física pra esse modelo de Samsung, fiquei todo alegre pq ia pegar de volta os dados que tinham sido desativados. Depois que a física acabou, não tinha nem cheiro de bate papo nenhum, infelizmente. Digo isso pq também já tinha testado em outros modelos também, nunca conseguiu pegar, depois que o WhatsApp é desativado. A não ser que agora tenha havido alguma alteração que viabilize esse aproveitamento. De qualquer forma, vou testar novamente, em outro caso, isso seria de extrema valia, em muitas situações, caso desse certo.
Pode ser que o erro procedimento de downgrade tenha apagado os dados, o que não deveria ter acontecido. Mas o fato é que o arquivo permanece lá quando só desativado.
tb acho que foi isso
Downgrade com dual messenger/parallel spaces/secure folder/similares já vi na prática que é receita para dar ruim e perder os dados de forma permanente. Quando tem um só Whatsapp funciona na grande maioria das vezes, e quando não funciona consegue recuperar a versão original (as vezes manualmente).
Eles foram desativados, os dois aplicativos continuavam instalados, mas, ambos, pedindo ativação.
O próprio colega do team da cellebrite também ficou com essa esperança, mas, infelizmente não deu.
Origem 348 — 28/04/2021 12:20 a 12:29 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia
Motorola XT1563 (Qualcomm Snapdragon 615) bloqueado
No UfedTouch 2 tem a opção de remoção de senha (lockpick e disable user lock) e de extração física por Boot Loader (lock bypass). Todos sem sucesso
Alguma dica?
Motorola XT1563 (Qualcomm Snapdragon 615) bloqueado
No UfedTouch 2 tem a opção de remoção de senha (lockpick e disable user lock) e de extração física por Boot Loader (lock bypass). Todos sem sucesso
Alguma dica?
Edl talvez? Não fiz os testes neste modelo. Mas consta o esquema do xt1565b que parece similar
sim, MSM8939
Bleza pessoal. Vlw
Vou tentar aqui
Vou tentar aqui
Origem 349 — 29/04/2021 15:51 a 16:41 — Extração e compatibilidade em Samsung SMARTPHONE
Pessoal, smartphone Android com inicialização segura... Alguma esperança no UFED?
Só premium
https://www.instagram.com/p/COQwE80j-Gb/?igshid=pwhj8gjewecs
Origem 350 — 30/04/2021 14:40 a 14:44 — Extração Samsung em modo Download/ODIN
Sistema de arquivos
Entrar no modo download:
Pressionar ao mesmo tempo volume para baixo e volume para cima, conectar no computador ou UFED, e depois Pressionar volume para cima.
Pressionar ao mesmo tempo volume para baixo e volume para cima, conectar no computador ou UFED, e depois Pressionar volume para cima.
Escolher "Menor que 10" ou "10" de acordo com a versão do Android.
Escolhi "NÃO (BFU)".
Origem 351 — 30/04/2021 17:38 a 18:21 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde, pessoal. Estou com um LG LM-K200BMW. Não achei solução pronta no UFED para fazer a extração física. Tem a famosa ADB (root). Eu não costumo fazer root nos celulares por falta de experiência, mas estava pensando em arriscar nesse. Não consigo achar muita literatura específica para o modelo, mas, basicamente o que sugerem é instalar um TWRP no celular e usá-lo para instalar um SuperSU ou Magisk. Quem tem experiência no assunto sabe me falar se é isso mesmo? Se pode pegar qualquer TWRP e qualquer Magisk e tentar? Alguma recomendação específica? Desde já, muito obrigado.
Tem que ser o TWRP específico dele.
Se você não tem experiência, sugiro não fazer. Comece primeiro no seu ou um celular que tenha sobrando por aí. As chances de você brickar o celular são grandes.
Normalmente os aparelhos mais recentes requerem formatação como etapa do root, durante os desbloqueios de OEM pede a formatação
não sei se nesse LG K22 é assim
Sabe se bloqueado tem alguma solução? estou com um K22 e um K22+ (BMW e BAW)
Acredito que só premium/cas.
Obrigado, [NOME]. Parece que funcionou aqui. Está extraindo o filesystem. Vamos ver se vai "resolver" a perícia. Hehehe.
Boa sugestão, [NOME]. Na verdade, já fiz alguns roots na minha vida. Mas foi há alguns anos. Queria poder me dedicar mais aos estudos, mas a demanda aqui é grande e todo dia tem um juiz pedindo pra fazer com urgência. Acho que vou acatar sua sugestão de não fazer. Obrigado.
Origem 352 — 03/05/2021 16:39 a 17:42 — Extração e análise de dados em iPhone/iOS
Pessoal, já aconteceu com alguém a situação do UFED não conseguir fazer extração de um iPhone pois o iTunes está crypto? Já executei algumas vezes aquela opção de remover crypto do iTunes e mesmo o UFED dizendo que removeu, continua ocorrendo o impedimento da extração por estar crypto.
Se sim, o que fizeram para viabilizar a extração?
Se sim, o que fizeram para viabilizar a extração?
já apagou as configurações de usuário ?
Não. O que seria isso?
Só consegui extrair, numa situação similar, utilizando a opção de extração de iOS do PA, aquela que removeram, na última versão.
Experimente fazer um backup via iTunes primeiro. (Por segurança, tire sua estação da rede, antes de plugar o celular)
Origem 353 — 04/05/2021 08:46 a 08:46 — Um celular RED, modelo Prime 2.4 para extração, esse modelo não tem no
Bom dia, estou com um celular RED, modelo Prime 2.4 para extração, esse modelo não tem no UFED, em contato com o suporte da Celebrity, nos indicaram para usarmos o chinese phones Generic MTK, tentamos a extração via cabo, porém não deu certo, agora estamos tentando via Bluetooth, porém, o UFED e o aparelho celular pedem um PIN, já tentamos 0000, 1234, mas não deu certo, alguma ideia?
Origem 354 — 04/05/2021 11:24 a 12:29 — Extração e compatibilidade em Samsung SM-015M
Bom dia!
Sugestão de desbloquear e/ou extrair o dispositivo Samsung SM-015M (A01)?
Sugestão de desbloquear e/ou extrair o dispositivo Samsung SM-015M (A01)?
Sem senha não rola
O padrão do ufed, quando fiz esse tipo de extração, é pin 0000
Tentei algumas vezes e foi
Mas sem fisica**
Obrigado, realmente na hora que vc dá okay, já carrega o 0000 no UFED, mas no aparelho tb pede um PIN, repeti o 0000 mas não deu certo naquele momento, mas vou continuar tentando.
Valeu.
Obrigado
Valeu.
Obrigado
Sim. Aconteceu comigo tbm. Fiquei repetindo e depois de algumas tentativas deu boa.
Vou continuar tentando.
Valeu
Valeu
Origem 355 — 05/05/2021 10:17 a 10:53 — Extração e análise de dados em iPhone/iOS
Geralmente uso script para fazer uma wordlist baseada na permutação com pedaços de letras contendo dados do proprietário como nome, idade, cpf, rg, número do telefone, data nascimento, nome da esposa, data da esposa, cidade, email, etc...
aí 'joga o dado', e escolhe umas 5 aí que ficaram bacana e testa :)
A senha não fica armazenada no aparelho. Costumo informar a conta da icloud e buscar no arquivo ldbackup se há informações da data do último backup na icloud. Com isso o juiz pode solicitar a Apple esses dados.
Caminho interessante
Já fiz esse kkkkkk
https://www.epochconverter.com/coredata
Apple sempre querendo ser "a diferente" :)
É raro, mas acontece muito 😅
Último backup Cloud " Monday, October 1, 2018 2:52:10 AM GMT-03:00" data do homicídio "19/01/2019" 😭😭
de todo modo, útil eheh
opa homicídio não, feminicídio
coincidência ou não, segundo o inquérito, ela estava vivendo com o novo companheiro há 3 meses ... que droga, começou o novo relacionamento e parou o backup cloud 😭😭😭
ah, li errado, achei q era no mesmo dia.
Uma dúvida q sempre tive
depois de realizar todas as extrações possíveis
se ativarmos um 3G no iphone, ele vai fazer backup, mesmo bloqueado?
ou colocar de volta na rede wifi configurada automaticamente
sem desbloquear, ele faz?
a experiência com Iphones no nosso laboratório é mínima, deve ser devido ao salário de perito por aqui. Já pedimos várias vezes doação de equipamentos pro judiciário e nunca tivemos retorno.
recebemos poucos iphones tb aqui em homicidios-PE, mas vem aumentando a frequência
Bom dia colegas. Estou com 2 quesitos aqui que gostaria da colaboração de vocês:
2. A vítima afirma que o estelionatário teria invadido o seu aparelho telefônico através do aplicativo TeamViewer. É possível identificar o Internet Protocol (IP) da máquina, o número ou IMEI do terminal móvel do suspeito? Há vestígios virtuais do contato estabelecido entre o suspeito e a vítima no aparelho?
3. No registro de chamadas realizadas e recebidas no dia 14/10/2020 é possível verificar a existência dos números 40020022 e 40040001, além de outros números 0800, que dizem respeito ao serviço de operações bancárias? É possível que o estelionatário tenha utilizados tais números como espelho e em segundo plano tenha se valido de outro terminal móvel para ludibriar a vítima?
2. A vítima afirma que o estelionatário teria invadido o seu aparelho telefônico através do aplicativo TeamViewer. É possível identificar o Internet Protocol (IP) da máquina, o número ou IMEI do terminal móvel do suspeito? Há vestígios virtuais do contato estabelecido entre o suspeito e a vítima no aparelho?
3. No registro de chamadas realizadas e recebidas no dia 14/10/2020 é possível verificar a existência dos números 40020022 e 40040001, além de outros números 0800, que dizem respeito ao serviço de operações bancárias? É possível que o estelionatário tenha utilizados tais números como espelho e em segundo plano tenha se valido de outro terminal móvel para ludibriar a vítima?
é um celular Asus que consegui fazer a extração física.
Tentei procurar logs do TeamViewer pra ver se encontraria algum ip de conexão, mas não estou conseguindo encontrar esses logs na extração.
sobre o quesito 3, me parece a dúvida sobre algo parecido com o que aconteceu com o Juiz [NOME], onde simularam a ligação do próprio número dele. Estão achando que alguém pode ter simulado os números e feito as ligações
Vocês teriam uma ideia de como responder tais quesitos?
Seria necessário simular em um aparelho teste. Talvez seria preciso que o aparelho fosse mantido ligado (pelo menos uma vez inserido a senha após a reinicialização). Isso considerando que ainda estaria habilitado o backup (o que nesse caso sugere que não estava mais, já que passou três meses sem fazer)
pois é, no caso de homicídio, a gente poderia pegar o roteador da casa da vítima
e deixar esperando ver se faz backup
mas fica a dúvida: sem passar a senha
num caso de aparelho bloqueado
Origem 356 — 06/05/2021 09:16 a 09:16 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia.
Alguém com experiência em extração de mensagens do aplicativo Wickr?
Alguém com experiência em extração de mensagens do aplicativo Wickr?
Origem 357 — 06/05/2021 12:28 a 12:52 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia.
Alguém já teve sucesso na remoção de senha ou extração física do g611mt samsung?
No perfil do ufed ele não fornece essas opções.
Ja tentei o perfil g610m (mesmo chipset), porém sem sucesso.
Alguém já teve sucesso na remoção de senha ou extração física do g611mt samsung?
No perfil do ufed ele não fornece essas opções.
Ja tentei o perfil g610m (mesmo chipset), porém sem sucesso.
usa o modelo 730F ou 730GT
Decrypted Bootloader
Beleza. Vou testar. Valeuu
Depois posta aqui o resultado se deu certo.
Não deu boa aqui. No step 1 o ufed aborta.
Tanto física como remoção de senha.
Tanto física como remoção de senha.
Mas o perfil 730FM esta fazendo a fisica 😅😅
Origem 358 — 06/05/2021 17:07 a 18:25 — Extração e bloqueios em Redmi Note 7
Boa tarde, alguem tem um metodo que faça extração do WP Business? Aparelho Redmi Note 7 desbloqueado. UFED nao faz fisica e file system não descriptografou
Erro na física?
Tente na filesystem. Possivelmente esse já é fbe
Vai na file system que deve dar sucesso. 4.4 estamos conseguindo tranq depois da versão 7.44, inclusive com patch de seg de 2021
aqui deu o mesmo erro
a filesystem selecionadno o aparelho direto, deu certo mas n é fbe
Não entendi. Conseguiu ou voltou a dar erro?
Se deu erro, tente umas cinco vezes no método alternativo.
Para confirmar é só clicar no botão "console" e ele deve mostrar se é file based encryption. Aí você sabe que não adianta tentar as alternativas de extração física
file system tb deu erro nos 3 metodos
A cellebrite recomenda tentar várias vezes. Se começar a mudar os códigos de erro, ou em uma tentativa com erro ele reinicia e na próxima não reinicia, significa que está progredindo no exploit
blz, realmente fica dando erros
ficar tentando aqui
Pela nossa experiência, normalmente funciona até a quinta vez.
Acima disso não consegui mais
Ja fomos até 15x e persistiu o erro. Alguém já conseguiu além disso?
Já tivemos aparelhos que não funcionou, mas depois de fazer as lógicas e downgrade resolveu fazer.
pediu pra selecionar os app ou fazer full
FS completo deve extrair praticamente tudo
Origem 359 — 07/05/2021 08:05 a 10:19 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia. Informar que deu certo a extração inclusive com wp business
Alguém ja viu essa tarja verde? Untested method
Sim, aparece já tem um tempo. Acho que é meio que eles dizendo, tente por sua conta e risco. Eu sempre tento usar. Já deu certo e já não deu. Mas ainda não deu brick em nada
Essa do "autodetect" é novidade para mim.
Qual foi exatamente, o perfil utilizado ??
Me bati muito com isso já, você seleciona o perfil manualmente e aparece somente um método de extração física. Já quando faz o auto detect no mesmo perfil aparecem até 8 métodos de extração diferentes
Eu não uso autodetect 🤦🏻♂️
Pois é, exatamente assim
Eu tb nao, mas vou começar depois desse episódio
Easteregg da Cellebrite essa
So q perdi as contas de quantas tentativas foram
Arrisquei usar uma opção com essa tarja em um LG, e ela colocou o rapaz em Modo Qualcomm 9008 definitivo, irreversível, mas também já usei outras vezes, em outros aparelhos, que deu certo, e assim vai...
STK-20210507-WA0002.webp (arquivo anexado)
Isso pode ser bom, tá em edl eheh
Não deu pra extrair?
Pois é, o UFED me ensinou que para os aparelhos sem bloqueio de senha só fazer a física após fazer a lógica e/ou sistema de arquivos. Isso já me ajudou muito pra explicar no laudo celulares bricados pelo UFED. Ah... E sempre, sempre fotografar telas de erro de extração do UFED
Existe o log de extração tb onde constam os eventuais erros na extração tb que podem ser copiados
EDL definitivo, não extrai, não inicializa, não faz nada, a equipe da techbiz bateu cabeça um pouco também, a solução vai ser formatar, mas ele ainda tá por aqui, quem sabe ele recebe uma benção divina...
<Mídia oculta>
Security Startup-Decrypted Bootloader-Brute Force.pdf
Security Startup-Decrypted Bootloader-Brute Force.pdf
Opções novas do UFED?
Alguém mais já viu isso?
Ontem fazendo um J400M, com tela danificada,
usando o UFED beta 7.45.0.2
após a etapa 5/5 do Decrypted Bootloader,
ao invés de começar a extrair, como normalmente
apareceu opção no UFED de fazer Força Bruta,
então baixou um dicionário de 389.113 (combinações de padrões)
após algumas horas apresentou o password.
Continuando, aparece mensagem de erro de desbloquear automaticamente
e pede para digitar a senha no celular.
A tela foi trocada para ver o que estava acontecendo
O aparelho estava com Security Startup
Mas iniciando o aparelho e digitando a senha padrão informada,
foi desabilitado a Inicialização Segura
e então a extração foi feita normalmente.
Resumo
o aparelho estava com Security Startup
e o UFED, por Força Bruta, quebrou a senha.
?????
Alguém mais já viu isso?
Ontem fazendo um J400M, com tela danificada,
usando o UFED beta 7.45.0.2
após a etapa 5/5 do Decrypted Bootloader,
ao invés de começar a extrair, como normalmente
apareceu opção no UFED de fazer Força Bruta,
então baixou um dicionário de 389.113 (combinações de padrões)
após algumas horas apresentou o password.
Continuando, aparece mensagem de erro de desbloquear automaticamente
e pede para digitar a senha no celular.
A tela foi trocada para ver o que estava acontecendo
O aparelho estava com Security Startup
Mas iniciando o aparelho e digitando a senha padrão informada,
foi desabilitado a Inicialização Segura
e então a extração foi feita normalmente.
Resumo
o aparelho estava com Security Startup
e o UFED, por Força Bruta, quebrou a senha.
?????
eita, sério. Tirando bloqueio de inicialização segura? Versão 7.45? Baixei ontem a atualização da 7.44
Origem 360 — 07/05/2021 15:40 a 17:37 — Ativação do modo desenvolvedor e depuração USB
Pessoal boa tarde, estou com um LG LM-K200BMW com a tela estressalhada sem apresentar resposta. Consegui colocar ele em modo download. Alguém já conseguiu fazer extração desse modelo no modo download dele?
Let's shop together on AliExpress with new user coupons
Your US $4.00 in coupons are here!
https://a.aliexpress.com/_mOaeXZr
Your US $4.00 in coupons are here!
https://a.aliexpress.com/_mOaeXZr
Comprei um hub desses pra tentar usar nessas ocasiões, mas ainda não chegou da China. O lance seria plugar um monitor no aparelho.
Comprei esse no mercado livre.
Pelo que os reviews dizem, sim
Comprei esse também no mercado livre.
É possível usar o cabo OTG para configurar o dispositivo e fazer a extração via Bluetooth.
OTG + mouse.
O problema é q não vejo nada na tela
Comprarei esse também.
OTG + mouse teria q ver algo, não?
Outro dia fiz a extração de um dispositivo via Bluetooth onde a tela estava inoperante (trincada mas visível), usei o cabo OTG e mouse pra configurar.
Neste caso é necessário um hub mesmo, com HDMI e mouse.
Mas parece q funciona só para o 210BMW
Tem o Vysor tb... um app que espelha a tela no PC, só que acho que nesse caso, é preciso a confirmação na tela do dispositivo.
Aquela confirmação de depuração usb.
Não conseguirá espelhar se não tiver previamente configurado.
boa tarde pessoal, alguém sabe se tem um modo de extração para o XR2019-2 que está bloqueado por PIN
Esse aqui é possível usar o mouse e espelhar a tela para um monitor usando um cabo HDMI.
Configura o dispositivo e realiza a extração via Bluetooth.
Este hub não permite usar o mouse e HDMI junto com o UFED via cabo USB.
Este hub não permite usar o mouse e HDMI junto com o UFED via cabo USB.
Acredito que hub seja possível.
Usa o cabo MHL, maioria das controladoras USB dos celulares funciona para espelhar tela no via HDMI
eu tenho um velho, que não fuciona mais nas controladoras novas, mas nas velhas funcionava blz
Hub Usb 3.0 4 Entradas Ugreen Compacto E Portátil 50985 Nfe | Mercado Livre https://produto.mercadolivre.com.br/MLB-[TELEFONE]-hub-usb-30-4-entradas-ugreen-compacto-e-portatil-50985-nfe-_JM#position=1&search_layout=mosaic&type=item&tracking_id=13a109b2-148d-4f49-ba96-29947b74978c
Origem 361 — 10/05/2021 08:38 a 11:02 — Extração Samsung em modo Download/ODIN
Tem como identificar quando o celular foi restaurado pela última vez?
restaurado=Reset de Fábrica?
Se for Android e dependendo da versão, pode haver informação no log (last_log)
Foi feita extração pelo UFED?
procura pelo arquivo last_log
Ok. Valeu. Vou verificar
em /cache/recovery/last_log
Starting recovery (pid 190) on Mon Feb 18 15:05:24 2019
Seria essa a informação?
não, tem mensagem de wipe específica que depende da versão do android
qual a versão do android?
procura o termo "wipe"
Android mais antigo como esse não têm muita informação
Galaxy J2 Prime SM-G532M
Command: "/sbin/recovery" "--update_package=/cache/fota/update.zip" "--carry_out=open_fota" "--locale=pt_BR"
send_intent = (null)
update_package = /cache/fota/update.zip
att_fota_update = 0
tmo_fota_update = 0
should_wipe_data = 0, should_wipe_cache = 0,wipe_sdcard = 0,wipe_data_crypto = 0,should_wipe_carrier = 0,no_wipe_custom=0
data_resizing = 0
wipe_hdd_secure = 0
send_intent = (null)
update_package = /cache/fota/update.zip
att_fota_update = 0
tmo_fota_update = 0
should_wipe_data = 0, should_wipe_cache = 0,wipe_sdcard = 0,wipe_data_crypto = 0,should_wipe_carrier = 0,no_wipe_custom=0
data_resizing = 0
wipe_hdd_secure = 0
só tem isso com o termo wipe
então, esse arquivo do último log (last_log) só foi feito um update de fábrica, sem wipe
tem outros arquivos de "last_log" mais antigos
last_log.n (n>1), não lembro direito
Tem sim. Outros dois. O mais antigo é de 2015
procura "wipe" neles.
Command: "/sbin/recovery" "--update_package=CACHE:recovery/sec_csc.zip" "--carry_out=csc_factory" "--data_resizing" "--delete_apn_changes"
send_intent = (null)
update_package = CACHE:recovery/sec_csc.zip
att_fota_update = 0
tmo_fota_update = 0
should_wipe_data = 0, should_wipe_cache = 1,wipe_sdcard = 0,wipe_data_crypto = 0,should_wipe_carrier = 0,no_wipe_custom=0
data_resizing = 1
wipe_hdd_secure = 0
send_intent = (null)
update_package = CACHE:recovery/sec_csc.zip
att_fota_update = 0
tmo_fota_update = 0
should_wipe_data = 0, should_wipe_cache = 1,wipe_sdcard = 0,wipe_data_crypto = 0,should_wipe_carrier = 0,no_wipe_custom=0
data_resizing = 1
wipe_hdd_secure = 0
mas, não ter registro de wipe do recovery não implica que não houve restauração. Pode-se usar o ODIN para flahear tudo apagando os dados do usuário tb
Não rolou wipe dos dados do usuário, só atualização do CSC (partição da operadora) com wipe do cache
Samsung evoluiu o registro de wipe mais a partir do Android 7
aí vem mais detalhado a causa do wipe
Pessoal, bom dia. Preciso da ajuda e opinião dos senhores. Estou trabalhando em um caso em que o MP faz vários quesitos, inclusive esses aqui: 1) É possível assegurar, com absoluta certeza, que o aparelho ora questionado é o mesmo que aparece nas fotografias de fls. 33/34?
2) Caso a confirmação seja possível, quais elementos comprovam?
2) Caso a confirmação seja possível, quais elementos comprovam?
trata-se daqueles aparelhos chineses antigos réplica do NOKIA E71, COM A INTERFACE USB QUEBRADA. Através do comando *#06# consegui isso aqui:
no ofício que recebi tem essa imagem aqui:
Na minha opinião, sem uma extração física e baseado nas imagens fornecidas no ofício, a resposta ao quesito o quesito fica prejudicada. Está certo meu entendimento?
Certeza nem DNA dá.
"Absoluta certeza" é difícil
Origem 362 — 11/05/2021 10:40 a 11:57 — Bootloader, desbloqueio OEM e risco de wipe
Extração concluída com sucesso.
Bootloader.
Fiz ontem a extração do dispositivo LEIOA. É um smartphone chinês. Não tem essa marca e modelo no UFED.
Fiz pelo Android Chineses phones, Android MTK, primeira opção.
Bom dia! Tentai remover o bloqueio de senha do SM-J410G pelo modelo SM- J410F do UFED, não consegui e agora tá dando erro.
Alguém sabe como resolver isso?
É continuidade do processo
Vai colocando em modo download enquanto vai pedindo
Vai pedir 2 ou 3 vezes
Ai vai começar a fisica
Acabei de fazer um desse 😅
Ou remover a senha.
Irá ocorrer o mesmo nos dois
Força um reboot e coloca em modo download
Quando faço Reboot cai nesta tela
Coloca em modo download e preciosas continue
Como faço a partir desta tela?
Vai nessa opção "reboot to bootloader
Vai cair ja no modo download
Ou vai na opção "power off" e coloca em modo download normalmente
O ideal é utilizar o cabo 133 pra colocar em modo Download ao invés de utilizar as combinações de teclas. Como tem que entrar no modo diversas vezes, utilizar o cabo facilita o processo.
Apanhei um pouco já com esse aparelho e resolvi o problema utilizando o cabo 133..
O mesmo processo de remoção de senha [SEGREDO] pra extração física, então recomendo já fazer a extração integral.
O mesmo processo de remoção de senha [SEGREDO] pra extração física, então recomendo já fazer a extração integral.
Tô tentando já a física. Mas o aparelho não tá fazendo o Reboot normalmente. Tive que fazer manualmente e agora tô esperando.
Ele demora bastante para fazer o reboot as vezes, mas faz sozinho. Quando reboota manualmente nem sempre funciona.
No meu caso cai na tela do Android Recovery, senão mandar fazer manualmente acho que vai ficar parado
LEIOA P40
Chip: MTK6580P
Chip: MTK6580P
Tem que evitar entrar no modo recovery... É bem chata essa extração mesmo para acertar entrar no modo download as 3 vezes que precisa.
Origem 363 — 19/05/2021 10:37 a 11:26 — Extração e decodificação de bancos do WhatsApp
Camaradas preciso de ajuda referente a um quesito do juiz.
Fiz a extração física de um dispositivo sm-j600gt e puxou um monte de informação menos a que ele queria. No caso conversas de WhatsApp.
usou qual modelo para fazer a extração? Aqui usamos o J600F, por Decrypted Boot Loader para esse modelo
O dispositivo estava com o whatsapp desabilitado e passou a conta Google e a senha para se fosse preciso instalar novamente o whatsapp pois as informações (conversas) estariam no backup da conta Google.
Usei o j600g
Pergunto mesmo passando a conta Google as conversas podem se perder no backup. Digo não serem recuperadas?
Consegui obter somente três conversas que foram apagadas e fora de contexto.
o celular está desbloqueado? Se estiver, dá uma olhada na pasta WhatsApp/Databases e veja se o banco está lá e compara o tamanho em MB. Acredito que se estiver lá era pra pegar normalmente. Qualquer coisa tenta extrair com esse outro modelo
Está desbloqueado
Consegui extrair vários vídeos, imagens e áudios do whatsapp
Menos as conversas escritas
Vou tentar sim. Obrigado.
Pessoal, preciso de ajuda com um cel que entrou em bootloop.
Na etiqueta do cel consta J700M. No modo recovery, consta instalado o J701MTVJS7CSG1
Cel bloqueado com senha alfanumérica (não é senha de inicialização segura)
Fazendo as tentativas de extração física, lógica, remoção de senha, o cel entrou em bootloop.
TENTEI: (sem sucesso em todas)
Samsung Exynos Recovery. Na lista de modelos, selecionei J700F, J701F e J701M. O procedimento conclui com sucesso segundo o UFED. Ele ainda fala pra apagar a partição cache caso não inicie normalmente o celular.
Exit Cellebrite Mode
Exit Android Recovery Mode: Opção Exit Android Recovery Mode.
Exit Android Recovery Mode: Opção Exit Bootloop. (Nesse caso, pede pra colocar o dispositivo em "Forensic Recovery Partition" . Não obtive sucesso em colocar nesse modo. Pelo ufed, diz que seria com VOL+ HOME POWER.
Baixei a ROM exata (J701MTVJS7CSG1). Pelo Odin, conclui com sucesso.
Alguma salvação?
Na etiqueta do cel consta J700M. No modo recovery, consta instalado o J701MTVJS7CSG1
Cel bloqueado com senha alfanumérica (não é senha de inicialização segura)
Fazendo as tentativas de extração física, lógica, remoção de senha, o cel entrou em bootloop.
TENTEI: (sem sucesso em todas)
Samsung Exynos Recovery. Na lista de modelos, selecionei J700F, J701F e J701M. O procedimento conclui com sucesso segundo o UFED. Ele ainda fala pra apagar a partição cache caso não inicie normalmente o celular.
Exit Cellebrite Mode
Exit Android Recovery Mode: Opção Exit Android Recovery Mode.
Exit Android Recovery Mode: Opção Exit Bootloop. (Nesse caso, pede pra colocar o dispositivo em "Forensic Recovery Partition" . Não obtive sucesso em colocar nesse modo. Pelo ufed, diz que seria com VOL+ HOME POWER.
Baixei a ROM exata (J701MTVJS7CSG1). Pelo Odin, conclui com sucesso.
Alguma salvação?
Se tu tentar extrair novamente e esperar ele dar erro, o ufed pode acabar "consertando"
Pode reinstalar o firmware também. Não tem risco de perder nada, mas desse SM-J700M também já tinha acontecido comigo, e o próprio UFED conseguiu consertar, retomando as etapas várias vezes, até que ele conseguiu reviver o rapaz.
O firmware eu reinstalei. Consegui encontrar a versão idêntica. O Odin termina com sucesso, porém o loop continua
Origem 364 — 19/05/2021 11:42 a 12:46 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, alguém teria o esquema da placa do Asus ZB501KL A007
especificamente dos pontos EDL?
Pessoal, alguém tem conhecimento de ARP (Ata de Registro de Preço) para aquisição de “Estação Pericial”?
Teve um asus que segurando vol + e vol - (desligado) entrava em edl ao conectar no ufed
Limpou a partição cache?
acho que o J700M é um exynos 7580 e o J701MT é um exynos 7880
tenta conferir certinho, pra vc sair desse bootloop... acho que nao rola de usar a ROM do J701MT toda
pois ele tem tv tb
o hardware é um pouco diferente
obrigado, mano!! vamos testar aqui
grava partes isoladas da rom
esses dois aparelhos podem entram em bootloop mostrando uma mensagem "command line invalid", se a extração por bootloader nao concluir.
se for esse o caso, tem uma ferramenta para sair desse bootloop
esses dois aparelhos podem entram em bootloop mostrando uma mensagem "command line invalid", se a extração por bootloader nao concluir.
se for esse o caso, tem uma ferramenta para sair desse bootloop
Pois é... de fato o chipset é diferente. Não sei se o cara aproveitou a carcaça do aparelho
Esse J7 antigo tem dessas mesmo, teve um aqui que eu cheguei a comentar com o delegado que ele tinha brickado, mas resolvi insistir, e o UFED, que foi que tinha estragado, conseguiu reaver o bicho...
Boa tarde. Redmi 9
Chipset mediatek helios
Bloqueado
Alguma possibilidade de extração?
Acho que esse é Android 10, então deve ser FBE. Sem chance.
Origem 365 — 20/05/2021 14:52 a 14:52 — Extração e limitações em dispositivos Motorola
Boa tarde!
Há alguma método para realizar a extração física do dispositivo Motorola XT 2041-1,G8, Android 10, chip Qualcomm Snapdragon 665 no "UFED 2"?
Há alguma método para realizar a extração física do dispositivo Motorola XT 2041-1,G8, Android 10, chip Qualcomm Snapdragon 665 no "UFED 2"?
Origem 366 — 21/05/2021 07:35 a 07:35 — Um problema na utilização do ForensicTools. Ele ficou travado no início da extração
Bom dia! Estou com um problema na utilização do ForensicTools. Ele ficou travado no início da extração.
Alguém tem alguma dica do que fazer?
Origem 367 — 27/05/2021 08:27 a 08:55 — Ativação do modo desenvolvedor e depuração USB
Alguém já obteve êxito em importar uma extração do XRY com o Physical Analyzer?
O XRY conseguiu contornar a senha, por força bruta, de um A307 e fazer a extração física.
Mesmo com a remoção da senha [SEGREDO] da depuração usb, não consegui fazer a física no UFED.
Mesmo com a remoção da senha [SEGREDO] da depuração usb, não consegui fazer a física no UFED.
Pelo XRY, consegui fazer a exportação para binário, mas quando abro no PA, vem quase nada (mais carving)
Tenta exportar a árvore de arquivos e importar as pastas no Physical Analyzer
Se abrir a extração no XAM as vezes dá para tirar a imagem da extração física. Dessa forma, fica mais tranquilo de importar no UFED
Tem que exportar o binário no XRY antes de importar no PA. Se tentar abrir o .xry nunca funciona para mim também.
Para exportar, no XAMN tem que abrir o Elements.
Para exportar, no XAMN tem que abrir o Elements.
Não funcionou exportar o bin para esses fbe. Mas exportando todos os arquivos pela visualização do sistema de arquivos funcionou no PA
É fbe, é verdade, nesse caso teria que exportar todos os arquivos mesmo 😔
No XAMN
Eita. Aí imagino que tem que passar dados das chaves de cada arquivo no FS. Não sei como o UFED recebe isso e como processa
Obrigado pelas sugestões pessoal. Vou tentar aqui
Origem 368 — 28/05/2021 11:21 a 13:42 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia! Quando o PA gera o relatório da extração e cria um arquivo de áudio no formato wav para cada áudio no formato opus. Isso tem gerado um aumento do espaço para armazenamento. Alguém sabe como posso desabilitar está criação de outro arquivo de áudio?
tb notei isso e acho isso bem ruim... especialmente se vc quiser fazer a transcriçao do iped...
O áudio opus, e não me engano é só de sistema, não?
Se sim, entre em configurações no PA e desabilite esse arquivo que ele não vai para o relatório, mas, todas vez que atualizar o PA, tem que repetir a operação.
Não. Tem áudio de conversas.
Talvez na configuração do PA você consiga isso.
Eu acabo apagando manualmente os WAV gerado na pasta do relatório em PDF.
Por qual motivo o PA produz esses wav? Reprodução diretamente no pdf?
Pois é, mas o link referente ao arquivo wav fica inoperante no relatório.
Eu acabo não me preocupando, já que tem o OPUS.
Não sei o motivo. Mas gera dois links distintos para cada um dos formatos. Creio que seja somente para facilita a abertura do arquivo.
Acho que é isso mesmo. Opus vai nos VLC da vida. Wav vai em qq app.
Extração física via bootloader do dispositivo SM-J600GT usando o modelo SM-J600F.
Um detalhe, não há tela no dispositivo.
Um detalhe, não há tela no dispositivo.
Estou com um J4 SM-415G neste estado. Como conseguiu colocar em modo download?
Também não temos esse adaptador do UFED.
Abre chamado na cellebrite, se não me engano eles trocam se o contrato estiver vigente
Até na techbiz serve
Já troquei fonte de clonador e outros acessórios abrindo chamado na techbiz
Ok. Esse adaptador tem alguma identificação específica?
Pelo que vi na imagem ele deve ter colocado o 133 pra entrar em modo download e depois colocou o cabo 100 pra fazer a extração.
Pressionar volume para cima e volume para baixo simultaneamente e depois volume para cima e conectar no UED ou
Usar a ponta T133.
Usar a ponta T133.
Extração concluída com sucesso.
Usar o cabo 100.
E conectar o cabo 100 no UFED ou no computador*
Origem 369 — 28/05/2021 17:37 a 17:58 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde!
Por acaso, algum dos colegas já precisou lidar com o aplicativo mensageiro TamTam?
O P.A. até conseguiu uma interpretação meia-boca do database, via App Genie. Mas, na hora de exportar, p/ qualquer formato (html, pdf, UFED Reader), as conversações estão todas vazias.
AXIOM, sem sucesso tb. Só exportou os contatos, e as threads (sem as mensagens).
Por acaso, algum dos colegas já precisou lidar com o aplicativo mensageiro TamTam?
O P.A. até conseguiu uma interpretação meia-boca do database, via App Genie. Mas, na hora de exportar, p/ qualquer formato (html, pdf, UFED Reader), as conversações estão todas vazias.
AXIOM, sem sucesso tb. Só exportou os contatos, e as threads (sem as mensagens).
<Mídia oculta>
P.A.
P.A.
<Mídia oculta>
UFED Reader
UFED Reader
Esse erro aí é no parser da cellebrite. Já até imagino onde é o erro
Eles usam campo contador de mensagens para saber se as mensagens vão ou não para o relatório (quem descobriu foi o [MENCAO] ). Dvem ter esquecido de atualizar.
Será que existe um workaround?😬
Ou melhor abrir um ticket com eles?
Ou melhor abrir um ticket com eles?
posso fazer um script rápido aqui para tentar resolver rapidão
vou tentar um genérico aqui
Elucidado aqui. Falha de BIOS. Muito obrigado aos colegas pelo pronto auxílio!😂
Origem 370 — 31/05/2021 15:49 a 16:26 — / Boa tarde, tenho um caso que questiona se o sigilo do celular
<Mídia oculta>
Boa tarde, tenho um caso que questiona se o sigilo do celular foi violado antes da decisão. A pessoa foi presa dia 11 e a decisão judicial é do dia 14. Na extração física pelo cellebrite conseguimos localizar esses cookies de acesso do dia 13 (um dia antes da decisão). Questiono se esses cookies de acesso podem caracterizar uma violação ou se podem ser apenas propagandas ou notificações que fazem os aplicativos abrirem e gerarem esses cookies
Boa tarde, tenho um caso que questiona se o sigilo do celular foi violado antes da decisão. A pessoa foi presa dia 11 e a decisão judicial é do dia 14. Na extração física pelo cellebrite conseguimos localizar esses cookies de acesso do dia 13 (um dia antes da decisão). Questiono se esses cookies de acesso podem caracterizar uma violação ou se podem ser apenas propagandas ou notificações que fazem os aplicativos abrirem e gerarem esses cookies
É bom ver se vários foram criados ao mesmo tempo de endereços diferentes
Pode ser que o celular tenha sido ligado e nisso conectou à rede
Ligado, pelos cookies, indica que sim.
só nisso eu considero violado
Mas o celular não pode ter sido apreendido ligado e assim ficou gerando esses cookies ao longo do tempo?
ele ficou ligado então?
qual é o celular oOs ou Android?
Pois é. Mas essas BigTechs vivem pegando dados sem a gente saber. De qualquer forma, só levantei uma hipótese.
Tem acesso ao tiqcdn.com (não se o que é), accounts.google.com, doubleclick.net, e no dia 14 tem do chrome no google
geralmente cookies ficam em browsers, mas nada impede de aplicativos usarem tb
mas vc tem razão, vai saber o que rola nos serviços que estão rodando em BG
interessante monitorar o celular talvez. Conecta num AP junto com um wireshark e vê e as 13h ele fica tentando acesso por aí
Origem 371 — 02/06/2021 07:51 a 11:56 — Bloqueio FRP e conta Google em dispositivo Android
Bom dia! Alguma dica pra fazer extração de um LG K9 LM-X210BMW bloqueado por senha?
Bom dia. Vcs possuem a box octoplus?
O perfil x210k faz a fisica dele lá
No axiom faz. Via modo download
Se não estiver com inicialização segura
Também não temos o axiom
Show. É o mesmo modo que o octoplus tbm usa
Vê se não tem a opção backup user data no recovery.
Blz. Vou tentar aqui. Obrigado!
Tem essa opção. Mas tá dando erro.
Usei 3 cartões (8, 16 e 128 GB) com FAT32 e não foi. Mesmo erro.
Não está com inicialização segura?se não, tenta iniciar o aparelho com o cartão inserido. Depois desliga e retorna no recovery.
Outra opção seria o axiom via modo mtk. Se não me engano esse aparelho não estaria criptografado
Não sei se tá. A questão do cartão inserido já tentei tbm.
Esse modelo ainda não testamos.
Já fizemos vários downgrade do LG M250DS
Já fizemos vários downgrade do LG M250DS
Sim sim. O tutorial também funciona para o M250E com a rom m250e10d
dump ou downgrade?
Uns 30 dias atrás fiz um LM-X210BMW, com a versão do Android 7.1.2 Nougat. Estava sem inicialização segura e a _userdata_ estava unencrypted. Bastou ir pelo dump do LGUP
Downgrade
em "View recovery logs" talvez exista alguma mensagem que ajude a entender o erro...
Agora que percebi que o erro apresentado na tela é na montagem da partição de dados do usuário no "/data". Acredito que talvez não haja correlação com o SD.
o recovery por algum motivo, talvez registro no log, não consegue montar a partição de usuário para realizar o backup
exatamente.... por isso falei dos logs...
alvez haja registro no log
chuto que se o recovery não consegue montar diretamente o userdata, deve ser relacionado com cifragem da partição
talvez tenha um FDE
Não montar partição data é característico de criptografados.
Ou está brickado. O aparelho chega a iniciar?
Inicia. Padrão de desenho.
Vou dá uma olhada depois
<Mídia oculta>
Aproveitando, pessoal, ficar atento com o LG K10 (K430tv). O comando "adb reboot recovery" faz com que o cryptofooter seja apagado. Algo totalmente estranho e creio que seja um bug da LG. A mudança é facilmente constatável fazendo-se um dump antes e outro depois do comando. Falhará em iniciar e montar os dados do usuário.
Aproveitando, pessoal, ficar atento com o LG K10 (K430tv). O comando "adb reboot recovery" faz com que o cryptofooter seja apagado. Algo totalmente estranho e creio que seja um bug da LG. A mudança é facilmente constatável fazendo-se um dump antes e outro depois do comando. Falhará em iniciar e montar os dados do usuário.
Que maravilha esse comportamento...
Talvez, mais uma das causas da LG ter largado a produção de celulares.
Senhores, alguma dica pra fazer a extração do J3 SM-J320M. Tá bloqueado por senha [SEGREDO] o botão de Power.
ANDROID 5.1.1 extração física via UFED 4PC -> J320FN -> DECRYPTED BOOTLOADER
Coloca a ponta 133 nele, depois que subir o modo download se tiver com FRP Off, dá pra fazer por twrp.
Pode utilizar o cabo amarelo T-133 em razão do defeito do botão Power
Blz. Obrigado pessoal
Origem 372 — 04/06/2021 14:33 a 15:04 — Conexão USB, ADB e diagnóstico de porta em Android
https://github.com/osintbrazuca/OSINT-Brazuca
Pessoal, boa tarde. Alguém saberia informar qual o modelo desse Motorola
Bateria integrada e dual chip. Tá bloqueado por padrão
<Mídia oculta>
Nessa região não tem nada escrito?
Nessa região não tem nada escrito?
Não entra em modo Fastboot?
Bar codes no fastboot
Se ele entrar em modo fastboot, pode conseguir o modelo via comandos adb
Acho que é "fastboot getvar all" o comando
Conecta em um PC e executa o comando.
Precisa ter o plataform-tools na sua maquina
Precisa ter o plataform-tools na sua maquina
Eu chuto que é algum XT10??
Essa linha são todos muito parecidos.
Essa linha são todos muito parecidos.
Parece um XT1033 mas no barcodes aí deve ter a informação
Deve consegui fisica via exploit do initroot
Barcodes ficou tudo preto aqui
A seleção do menu é pelo vol up e não pelo power
XT1068 ou XT1069
Será que é esse 1032 aí?
tá unlocked esse aí
acho q até twrp nele vai
parece um xt1032 ou xt1033
Blz pessoal, obrigado pelas dicas. Vou tentar a extração aqui
precisa nem flashear, capaz dele dar boot no twrp
tenta fastboot getvar product
sem flash
o imei tá até vazio nele, já fizeram alguma 💩 nele
touch / 4PC talvez faça ele
AXIOM idem.
Pois é. Ja tive a felicidade de pegar uma vez uma desse. Tava pronto para extração 🤣🤣
https://www.imei.info/pt/?imei=[IMEI]
moto g 4g
tava achando muito gordinho para um xt1033
o imei.info às vezes erra, poucas vezes
Pelo IMEI, mas não dá pra garantir
ah, estava confundindo o xt1033 com o 1069, o 1033 é o moto G mesmo
Origem 373 — 07/06/2021 18:08 a 18:33 — Tudo indica que é um delta do momento do início do recovery
É log do recovery esse ái?
Em qual diretório está esse arquivo?
"/data/misc/bootstat/" ou "/data/misc/recovery" ?
data/log/recovery_last_log
Esses recoveris até que mudam muito de versão para versão
tudo indica que é um delta do momento do início do recovery, mas não achei no código do android opensource.
É de um homicídio q ocorreu em Outubro/2019.
Estou com o cel desde o mês passado e estava enfrentando problemas com a placa dele, pois estava dando mensagem de super-aquecimento.
Hj consegui um outro A50 e peguei "emprestado" a placa de carga.
Quando liguei o cel, estava com senha padrão.
O Ufed conseguiu obter por força bruta e, na sequência, fazer a Full File System.
Ocorre que não recuperou nada. O cel está zerado
Estou com o cel desde o mês passado e estava enfrentando problemas com a placa dele, pois estava dando mensagem de super-aquecimento.
Hj consegui um outro A50 e peguei "emprestado" a placa de carga.
Quando liguei o cel, estava com senha padrão.
O Ufed conseguiu obter por força bruta e, na sequência, fazer a Full File System.
Ocorre que não recuperou nada. O cel está zerado
A data do aparelho atualmente consta 01/01/2019
perguntei do bootstat, pq ele geralmente loga o delta do ínicio do boot
No arquivo extra_history tem o seguinte:
[]C] created at Mon Jun 3 15:22:55 2019
[]C] [S] resizing data
[]C] [S] erase footer
[]C] [E] erase footer
[]C] [E] resizing data
[[r] [S] wipe_data
[[r] [S] format_volume_dir : /data
[[r] [S] erase footer
[[r] [E] erase footer
[[r] [E] format_volume_dir : /data
[[r] [S] format_volume_dir : /cache
[[r] [E] format_volume_dir : /cache
[[r] [E] wipe_data (complete)
[]C] [S] resizing data
[]C] [S] erase footer
[]C] [E] erase footer
[]C] [E] resizing data
[[r] [S] wipe_data
[[r] [S] format_volume_dir : /data
[[r] [S] erase footer
[[r] [E] erase footer
[[r] [E] format_volume_dir : /data
[[r] [S] format_volume_dir : /cache
[[r] [E] format_volume_dir : /cache
[[r] [E] wipe_data (complete)
o cabeçalho aí parece que indica tudo... um boot do recovery com operação que dentre outras coisas fez wipe. E acredito que essa operação iniciou dia 3 de jun ás 15h22m55 e o número fracionário no começo das linhas são um delta dessa data
Mas se o último wipe foi no dia 03/06/2019, não era pra ele estar zerado assim
A não ser q o ufed fez algo
na tentativa de força bruta
mas acredito q não, pois não preservaria a senha padrão
Ela ainda está no aparelho
Falhou talvez a extração?
Outra teoria seria o assassino ter dado wipe no aparelho da vítima antes de fugir
Como está o diretório no PA?
Não pois manualmente tbém não vejo nada
Tudo vazio. Cel restaurado
Hum, usando a senha que o 4pc achou, é isso?
Na extração veio o arquivo Arquivo 0.xml da pasta “/userdata/users/0”?
0.xml
Encontrei esse arquivo em "data/system/users/0.xml"
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<user id="0" serialNumber="0" flags="19" attributes="0" created="0" lastLoggedIn="1546346748639" lastLoggedInFingerprint="samsung/a50dtvvj/a50:9/PPR1.180610.011/A505GTUBS3ASI2:user/release-keys" icon="/data/system/users/0/photo.png" profileBadge="0">
<name>+5565</name>
<restrictions />
</user>
<user id="0" serialNumber="0" flags="19" attributes="0" created="0" lastLoggedIn="1546346748639" lastLoggedInFingerprint="samsung/a50dtvvj/a50:9/PPR1.180610.011/A505GTUBS3ASI2:user/release-keys" icon="/data/system/users/0/photo.png" profileBadge="0">
<name>+5565</name>
<restrictions />
</user>
Nesse campo <name> consta o número do chip que veio inserido no cel
lastLoggedIn='15.." é 1 January 2019 12:45:48.639
Esse horário acredito q possa ser por um erro, pois a data do cel está completamente desconfigurada
Deve ter voltado para data padrão de fabricação talvez por falta de carga por muito tempo
Esse celular deve ser do primeiro quarto de 2019
Acho que a data de JUN pode estar correta, talvez foi solicitado um factoryreset nessa data
Infelizmente não vai servir pq resetou a hora
Pode ter ocorrido outra
mas aí teeria outro arquivo
Origem 374 — 08/06/2021 10:09 a 10:20 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia! Alguma dica pra fazer a extração de um ASUS ZA550KL bloqueado por senha? O UFED tem o modelo mas só faz extração por ADB. Na internet achei que chipset é o Qualcomm MSM8917 Snapdragon!
<Mídia oculta>
Não testei, mas acho que pode considerar a possibilidade de extrair por EDL. Na pior das hipóteses, vem cifrado...
Não testei, mas acho que pode considerar a possibilidade de extrair por EDL. Na pior das hipóteses, vem cifrado...
Tenta segurar vol + e vol - pra colocar em edl.
Origem 375 — 09/06/2021 22:08 a 22:08 — Extração e análise de mensagens do WhatsApp
Boa noite, pessoal!
Alguém teve resultado positivo na extração de whatsapp plus?
O aparelho questionado é um Samsung A107M, tentei de várias formas no Ufed e XRY, mas sem sucesso. Estou fazendo a captura de bate-papo pelo Ufed.
Alguém teve resultado positivo na extração de whatsapp plus?
O aparelho questionado é um Samsung A107M, tentei de várias formas no Ufed e XRY, mas sem sucesso. Estou fazendo a captura de bate-papo pelo Ufed.
Origem 376 — 12/06/2021 09:16 a 09:47 — Extração e compatibilidade em Samsung SM-G980D
Bom dia!
Alguma solução p desbloqueio/extração do Sm-G980D/DS
Alguma solução p desbloqueio/extração do Sm-G980D/DS
Samsung S20
O Axiom e o UFED não fazem
Alguém que utiliza o XRY sabe se há suporte para esse aparelho?
Mesma pergunta para o modelo SM-A107M
Samsung A10s
Origem 377 — 15/06/2021 14:31 a 15:25 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, estou com um samsung J730G bloqueado. Ja tentei remoção de senha ou fisica do modelo no ufed e não tive sucesso. Tentei tbm do o 730F sem sucesso e o 730FM colocou o celular em bootloop. (Depois foi contornado com a instalação do firmware dele)
Alguém já teve sucesso?
Alguém já teve sucesso?
O ufed diz que não suporta Android 9 no perfil dele, porém na tela de instrução indica que suporta até o 10.
Já foi atualizado?
UFED sim.
Felizmente conseguimos descobrir a senha. =D
Mas física ainda estamos sem caminho
Vc vai conseguir fazer a física dele, se fizer o downgrade pro Android 8.
Pessoal, boa tarde. Alguém aí tem o esquema pra colocar o xt1640 em modo EDL? Ele está bloqueador por padrão, já tentei extração física via boot loader e diz que a versão do SO não é compatível
Ou algum outro método
Lockpick acho que desbloqueia esse, depois acho que faz física via EDL Adb
<Mídia oculta>
Essa opção do meio.
Essa opção do meio.
Ou Smar Adb
*smart adb
Vai depender da versão do Android a fisica.
Se for 8.1, ai precisa ir para EDL
Dá para entrar no modo EDL via test point, como o colega mandou as imagens, mas aqui acho que sempre funcionou lockpick para desbloquear, eu tentaria novamente.
Tentei dias vezes e falou que a versão do SO não é compatível. Vou tentar mais uma
Sem sucesso mesmo o desbloqueio. O interessante é que quando sobe e conecto o cabo aparece a mensagem de que a depuração USB está ativada, porém a extração não é possível porque não consigo autorizar o acesso do UFED devido ao bloqueio (acho que foi mexido na delegacia)
Esse não é o Lockpick, esse é o via bootloader, não?
O Lockpick usa o cabo 500
Tá pedindo cabo 100 no perfil dele, vou tentar no perfil genérico aqui
Não sei se tem o método lockpick no perfil dele... o do genérico deve funcionar.
Origem 378 — 15/06/2021 15:50 a 16:15 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Atualizei o touch 2 hoje e não acho nenhum profile Qualcomm que tenha o método de desbloqueio por lockpick... Alguém tem uma luz aí? Kkkk
Só achei o do Samsung e mesmo assim não é lockpick
Tenta fazer no xt1922-5
a remoção por lock picj
Lockpick tem no Android genérico
Aqui na gerencia, conseguimos de duas formas, segundo as anotações que temos no servidor:
"Modelo XT1640 bloqueado - Remoção de senha com o modelo XT1922-5 (Lock Pick) - Android 7.0 e patch de abril de 2018. Extração física por SMART ADB no mesmo modelo."
"Remoção de senha com o método Lock Pick no modelo XT1644 e Extração física com o método "Decrypted EDL ADB" no modelo XT1644."
"Modelo XT1640 bloqueado - Remoção de senha com o modelo XT1922-5 (Lock Pick) - Android 7.0 e patch de abril de 2018. Extração física por SMART ADB no mesmo modelo."
"Remoção de senha com o método Lock Pick no modelo XT1644 e Extração física com o método "Decrypted EDL ADB" no modelo XT1644."
Lockpick talvez só no 4PC, n?
Nos perfis do xt1644 e xt1922-5 tem... Tô testando
Funcionou no perfil do xt1644, muito obrigado pessoal
Origem 379 — 16/06/2021 13:28 a 13:42 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, alguma esperança de extração de dados de um XT2041-1, bloqueado com PIN?
Motorola Moto G8, acho que com android 10
alguém teria alguma carta na manga?
Dando feedback, o desbloqueio do xt1640 funcionou via lock pick no perfil do xt1644 e a extração física funcionou pelo perfil xt1922-5, método smart adb. Obrigado
Origem 380 — 24/06/2021 16:18 a 16:33 — Extração e análise de variantes do WhatsApp
Pessoal, fiz uma extração Full Filesystem (FBE) em um A205 e no caminho "data/media/0/" existem as pastas GBWhatsapp (crypt12) e WhatsApp (crypt12 + crypt14)
Tanto no aparelho celular quanto na extração (dados analisados), nenhuma conversa desses 2 apps foi observada.
Dúvida: pelo script, é possível tentar localizar a key? Ou esse carving só é possível no arquivo binário da extração física?
Tanto no aparelho celular quanto na extração (dados analisados), nenhuma conversa desses 2 apps foi observada.
Dúvida: pelo script, é possível tentar localizar a key? Ou esse carving só é possível no arquivo binário da extração física?
creio q nao... vale para unencrypted e Full Disk Encription (que tenha uma extraçao decriptada)
Origem 381 — 25/06/2021 15:12 a 15:25 — Extração e análise de dados em iPhone/iOS
Alguém já teve problemas com parser do PA de mensagens do Signal?
Consegui uma extração física mas o PA não listou nos chats
Android? Parece que o ufed/PA só suporta no iOS
É Android.
Então é isso, obrigado. Vou tentar de outro jeito
Acho que tem. Alguma opção de chat backup no signal
Origem 382 — 29/06/2021 09:21 a 10:27 — Extração e limitações em dispositivos Motorola
Conseguiu alguma coisa com esse Motorola? Estou um do mesmo modelo.
Não funcionou também, apresenta erro. Acredito que realmente o msgstore.db está de alguma forma corrompido.
Valeu. Tá difícil mesmo.
Versão 9.5 do XRY liberada
A apura deixou de comercializar o Xry no Brasil. Alguém sabe se tem alguma outra empresa representando?
Essa ormax agora é representante exclusiva do XRY
Opa
https://www.passware.com/kit-mobile/
Ksenia Agentova (Passware)
Jun 28, 2021, 9:40 PDT
Hello [NOME]:
Thank you for taking interest in Passware Kit Mobile!
First of all, this product will be available in South America, especially Brazil (we are state level law enforcement)?
Yes, you are welcome to place the order online:
https://www.passware.com/kit-mobile/buynow/
Once the order is verified, you will get the license details.
Which packages will be available for buying (like 10, 50 extractions)?
5 extraction - Passware Kit Mobile Beta - Trial
300 extractions - Passware Kit Mobile Beta - Annual License
Regarding to Apple devices that are supported by now, there is any limitation to ios versions?
iOS 11 - 14.6.
Also, there are included bruteforce or only full file system of unlocked/password known devices?
Brute-force is included.
Let me know if I can be of any further assistance.
Regards,
Ksenia Agentova
Inside Sales Representative
Passware
Jun 28, 2021, 9:40 PDT
Hello [NOME]:
Thank you for taking interest in Passware Kit Mobile!
First of all, this product will be available in South America, especially Brazil (we are state level law enforcement)?
Yes, you are welcome to place the order online:
https://www.passware.com/kit-mobile/buynow/
Once the order is verified, you will get the license details.
Which packages will be available for buying (like 10, 50 extractions)?
5 extraction - Passware Kit Mobile Beta - Trial
300 extractions - Passware Kit Mobile Beta - Annual License
Regarding to Apple devices that are supported by now, there is any limitation to ios versions?
iOS 11 - 14.6.
Also, there are included bruteforce or only full file system of unlocked/password known devices?
Brute-force is included.
Let me know if I can be of any further assistance.
Regards,
Ksenia Agentova
Inside Sales Representative
Passware
Origem 383 — 05/07/2021 22:31 a 22:48 — Extrações, importação e limitações no XRY
alguem tem um arquivo de senhas para esses casos??
Que tipo de senha seria?
E qual tipo de extração é essa?
Modelo e marca do equipamento?
Vix, exclui essa mensagem.
é um Alcatel 403
Qual extração seria essa?
Fisica?
ta com a senha na inicializacao
Ah, entendi.
Cara, nunca tive sucesso com isso, mesmo com senhas limitadas do tipo geométrica no secure startup. Essa crypto pode envolver hardware crypto.
Ai esquece, não vai conseguir quebrar.
Cara, nunca tive sucesso com isso, mesmo com senhas limitadas do tipo geométrica no secure startup. Essa crypto pode envolver hardware crypto.
Ai esquece, não vai conseguir quebrar.
Só vi funcionar quando o armazenamento da senha [SEGREDO] apenas software e coisa simples.n
Quando coloca hash e salt, ai ja era. Nunca conseguimos.
vou cancelar e ve se passa algum dado util
Apenas em alguns raros casos com o XRY. Mas nao secure startup
Apenas senha do user mesmo.
Beleza. Mas nao deve passar, já que o disco completo está crypto.
so veio imagens e arquvivos da propria Alcatel
parte do usuario totalmente criptograda
*criptografada
Sim. Deve ser das partições de recovery e semelhantes. Area não crypto
Origem 384 — 08/07/2021 17:56 a 17:56 — Uso do Magnet AXIOM/IEF em artefatos digitais
Pessoal, apenas pra dar um retorno sobre o Multilaser MS50X (S074)
Consegui fazer a extração pelo Axiom conforme a dica do [MENCAO] porém veio criptografada, o que impossibilitou tbém seguir com a outra opção, sp flash, que agradeço demais a disponibilidade do [MENCAO] e [MENCAO] pessoal!
Consegui fazer a extração pelo Axiom conforme a dica do [MENCAO] porém veio criptografada, o que impossibilitou tbém seguir com a outra opção, sp flash, que agradeço demais a disponibilidade do [MENCAO] e [MENCAO] pessoal!
Origem 385 — 15/07/2021 09:43 a 11:44 — Extração e compatibilidade em Samsung SM-107M
Pessoal, Samsung A10s (SM-107M)
Mediatek 6762 (Helio)
Android 10
Bloqueado
Mediatek 6762 (Helio)
Android 10
Bloqueado
alguém saberia de alguma treta para desbloquear?
Poucas opções no UFED... Na verdade, há poucas opções para qualquer aparelho com esse MT 6762
Por ser android 10, esse é FBE já, então talvez o UFED premium. Ferramentas normais acho que nenhuma desbloqueia.
15/07/2021 09:48 - [TELEFONE]:
Please see a link for the beta version for 4PC(TC2 will be available later on this week), this version is only compatible with windows 10
4PC: https://cdn5.cellebrite.org/Forensic/Test_Versions/UFED/4PC/UFED4PC_7.45_Beta/UFED4PC_7.45.0.2.zip
The content of the UFED 7.45 beta:
Samsung Exynos Full file system support for locked devices : Bringing advanced unlocking capability for Android devices to UFED.
The new unlocking capability will cover popular Samsung phone models with Exynos chipsets
Will allow users to unlock Samsung Exynos FBE devices and FDE with Secure start-up
Supporting wide range of devices including S8, S9 S10 and A10- A50 , up to Android 11 (see list of tested devices below)
15/07/2021 09:48 - [TELEFONE]:
Please see a link for the beta version for 4PC(TC2 will be available later on this week), this version is only compatible with windows 10
4PC: https://cdn5.cellebrite.org/Forensic/Test_Versions/UFED/4PC/UFED4PC_7.45_Beta/UFED4PC_7.45.0.2.zip
The content of the UFED 7.45 beta:
Samsung Exynos Full file system support for locked devices : Bringing advanced unlocking capability for Android devices to UFED.
The new unlocking capability will cover popular Samsung phone models with Exynos chipsets
Will allow users to unlock Samsung Exynos FBE devices and FDE with Secure start-up
Supporting wide range of devices including S8, S9 S10 and A10- A50 , up to Android 11 (see list of tested devices below)
Q casos seriam esses FDE?
Já tem release oficial da 7.45.
Full Disk Encription
Para dispositivos com chipset exynos
ah entendi, legal... obg!
J600gt e J400M são exemplos
Foi desbloqueado o dispositivo SM-A105M usando força bruta pelo modelo sm-a105f. Em seguindo realizando extração FS completa.
Android 10.
Rapaz acho q estou com um desse aqui vou testar
O 105m ou 105f são exynos, ai esse método funciona tranq.
Principalmente com senhas geométricas ou pin
Alguém sabe se o 107M tem alguma possibilidade?
Esse é Mediatek com FBE. Até onde eu sem, sem chance.
exatamente, Exynos 7884
mas vale o registro que funcionou para um modelo similar
Sim. Qualquer samsung FBE exynos pode tbm tentar o perfil generico
Até agora apenas 1 modelo não conseguimos. Era um exynos bem diferente tbm.
Origem 386 — 20/07/2021 11:13 a 15:10 — Extração e decodificação de bancos do WhatsApp
Ajustando a imagem para o caso de alguém precisar no futuro
Fechamos um curto nesses pontos vermelhos?
Mais outro celular com o App Hider, calculadora "falsa"
sem possibilidade de extração física para esse modelo
tem alguma forma de acessar os dados ocultos?
Fiz um caso desses esse tempo atrás, o app armazena o hash da senha em um arquivo xml em SharedPreferences... Eu comecei a documentar esse caso, mas não consegui finalizar... Mas no meu caso deu extração física... Outra possibilidade é tentar usar o adb para pular a activity de autenticação, teria q ver se o app tem essa vulnerabilidade...
Hum! será que dá pra quebrar a senha pelo hash? Tem salt no xml tb, ou o menciona o algoritmo?
Era um hash MD5 simples, só joguei em uma base de hashes e deu match... Pela senha ser numérica a chance de sucesso é grande!
Qualquer coisa dá um grito! 👊🏻
o ECA diz, no artigo Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente:
então, nesse caso, sendo filme premiado ou não, se encaixa no tipo penal
eu coloco como tendo imagens de criança, e aponto o vídeo, tb fazendo como o colega de colocar screenshots do video.
aih, deixa o promotor se virar, o q ele faz com a informação!
👍🏼 Obrigado por compartilhar a experiência
O do caso aqui em específico é o Calculator Vault
https://play.google.com/store/apps/details?id=com.app.calculator.vault.hider&hl=en&gl=US
<Mídia oculta>
Na lista de apps do celular aparecerá como "ngalería"
Na lista de apps do celular aparecerá como "ngalería"
Calculadora bem pesada em MB, vc nota logo kkk
boa parte desses MB são os arquivos ocultados, zap, etc.
<Mídia oculta>
MD5 - padrão - sem salt
MD5 - padrão - sem salt
no backup adb virá esse shared_prefs?
infelizmente não vem no backup...
Eheh. Pior que tudo aponta que o conteúdo interessante tá nessa área virtual
Segundo celular já empacado nesse app
Acho q criar um quebrador de senha
tem duas opções de uso, uma instalando um app dentro do Hide e outra apenas escondendo o link do aplicativo
AndroidViewClient
<Mídia oculta>
deve "capturar" um monte de dados do usuário...
deve "capturar" um monte de dados do usuário...
pede um monte de permissões7
até soft reset kkk
<Mídia oculta>
o aplicativo na "Sandbox" usa um sdcard montado em /sdcard/virtual/
o aplicativo na "Sandbox" usa um sdcard montado em /sdcard/virtual/
🤦🏻♂️ Não vi essa pasta. Chequei agora aqui e realmente.
Valeu e foi mal pelo trabalho! Eheh
tá sem as databases o whatsapp, pelo q lembro ele não gera
só se deixar o vault aberto
toda vez q sai e fecha a calculadora, os processos relacionados não rodam
aí não faz backups locais de 02h
Pode tentar como colega falou de chamar os Activities diretamente, vai que
ele tem dois modos, em um ele apenas esconde o link
Origem 387 — 22/07/2021 16:09 a 16:23 — Extração e análise de variantes do WhatsApp
Boa tarde, pessoal. Alguma dica para conseguir abrir o GBWhatsApp? Peguei um LG e consegui fazer a extração física. Vieram as conversas do WhatsApp, mas não do GBWhatsApp. No aparelho, o WhatsApp estava funcional, mas o GBWhatsApp estava pedindo para entrar com o número de telefone. Alguém tem algum método para resolver isso? Obrigado.
carving da "key"
ou tentar usar a mesma key do whatsapp para decryptar os backups do gb? (se forem do mesmo cel)
Seria aquele processo que o pessoal aqui estava conversando sobre procurar umas string ao longo da memória?
https://github.com/leosol/whatsapp-key-carver
faz um
hexdump -C db.crypt12|tail
hexdump -C db.crypt12|tail
e confere se os 2 digitos finais batem com o do nro do whatsapp
Funcionaria para carving do crypt14? Estamos com um caso que o suspeito apagou as mensagens e os backups. Temos a key
o header nao mudou
Origem 388 — 22/07/2021 16:49 a 19:09 — Extração e análise de variantes do WhatsApp
Eu consegui pegar a key com o seu programa. Já agradeço por isso. Agora não consegui ver o número porque não tenho o hexdump. Mas abri com outro editor hexadecimal. Seria qual posição os bytes do número de telefone?
[MENCAO], obrigado pela ajuda. As informações que você me passou aqui me deram um norte. Infelizmente, acho que o GBWhatsApp aqui não usa a mesma chave do WhatsApp. Eu costumo ver extrações de GBWhatsApp feitas "automagicamente" pelo UFED. Acredito que ele não conseguiu agora por conta da chave não ser compatível mesmo. Eu voltei nas conversas do grupo aqui e testei a solução que o
[MENCAO] fez de usar o WhatsApp viewer. Eu usei a chave na base de dados do WhatsApp e funcionou. Usei na do GBWhatsApp e não funcionou. Infelizmente. De qualquer forma, a pasta do GBWhatsApp tá cheia de áudios e, por sorte, nos primeiros áudios que ouvi já achei material de interesse. Vou constar isso no laudo e mandar para a delegacia só o que consegui. Mais uma vez, obrigado a todos pela ajuda.
[MENCAO] fez de usar o WhatsApp viewer. Eu usei a chave na base de dados do WhatsApp e funcionou. Usei na do GBWhatsApp e não funcionou. Infelizmente. De qualquer forma, a pasta do GBWhatsApp tá cheia de áudios e, por sorte, nos primeiros áudios que ouvi já achei material de interesse. Vou constar isso no laudo e mandar para a delegacia só o que consegui. Mais uma vez, obrigado a todos pela ajuda.
Se tiver o chip correspondente, daria para recuperar a key em um aparelho virtual (estilo noxplayer) ou num celular de laboratório com root
Sem chip no aparelho. 😞
Será q fazendo downgrade do GBWhatsApp no estilo do forensictools daria certo? Nunca fiz pra GB
De todo modo, só daria certo se os dados (key, .db) ainda estivessem na memoria interna
ah, veio a física já
Boa tarde pessoal, há algum arquivo que registra alteração de data e hora num celular Android (versão 4.4.2)?
Ou ainda que indique as configurações de data e hora em determinado dia, indicando se o usuário definiu manualmente ou recebeu de forma automática pela operadora?
Ou ainda que indique as configurações de data e hora em determinado dia, indicando se o usuário definiu manualmente ou recebeu de forma automática pela operadora?
Pessoal, sobre a extração física usando o 4PC naquele método BOOTLOADER (Legacy), geralmente de Samsung... Passado um tempo é pedido pra que se insira um cartão SD, de preferência SanDisk 64GB... Comigo nunca o cartão é reconhecido, mesmo usando cartões diferentes... Alguma dica?
tive esse mesmo problema
no aparelho tinha GB, FM e Yo whatsapp
a chave que o UFED pegou so era do FM e nao dava pra descriptografar os bancos dos outros app. Usei o Keycarver tambem e me trouxe a mesma chave do UFED
o ruim é q no PA mostra nos relatorios que as mensagens sao do "WhatsApp"
Qual celular está tentando fazer essa extração? Geralmente usamos outros métodos em alguns modelos que usam essa opção.
Esta bloqueado?
Origem 389 — 22/07/2021 19:50 a 20:19 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
comigo tambem nunca reconheceu..
Nos tbm temos dificuldade com esse tecnica. Por isso usamos ela como última opção. Vamos para outras técnicas de extração física. Ai vai depender do modelo
Está com qual sistema de arquivos no cartão?
SM-G530H
exFAT
Esse é bem tranq com o método EDL adb
O chipset dele é o qualcomm mesmo 8916
Faz suave com esse metod
Vai lá nos perfis generico, escolhe a opção qualcomm, fisica e depois a opção do meio. EDL ADB
O celular vai rebutar e entrar em EDL e fazer a extração em seguida
É a mesma coisa com o J500m e motorola xt1543
Show de bola. Vou tentar
Tenta com fat32 mesmo
Ele vai quebrar os arquivos da extração
Nem todos suportam exfat
Origem 390 — 27/07/2021 08:59 a 09:04 — Root e extração em dispositivo Positivo
Pessoal, em um celular Android que o UFED não extraiu as informações de dispositivos bluetooth pareados e respectivos MAC, como seria uma alternativa pra eu conseguir esse endereço MAC?
Queria vincular uma impressora de pule ao aparelho.
Queria vincular uma impressora de pule ao aparelho.
https://dfir.pubpub.org/pub/6ysxvhvc/release/1
Tem algumas informações neste blog.
Origem 391 — 29/07/2021 11:55 a 12:46 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia.
Estou com um G800H (S5 mini Duos) com a tela queimada. Chipset Exynos 3 Quad 3470
No UFED tem apenas a extração física por Advanced ADB ou Rooted ADB.
Tentei por modelos genéricos pra ver se conseguia fazer bootloader às cegas, apenas colocando no modo download, mas não obtive sucesso.
Tentei Axiom e XRY tbém.
Alguma outra técnica que estou deixando passar ou resta devolver informando que somente com o reparo?
Estou com um G800H (S5 mini Duos) com a tela queimada. Chipset Exynos 3 Quad 3470
No UFED tem apenas a extração física por Advanced ADB ou Rooted ADB.
Tentei por modelos genéricos pra ver se conseguia fazer bootloader às cegas, apenas colocando no modo download, mas não obtive sucesso.
Tentei Axiom e XRY tbém.
Alguma outra técnica que estou deixando passar ou resta devolver informando que somente com o reparo?
Inclusive iPhone X
Aqui, além de conseguirmos com a vara de tóxicos, também conseguimos alguns itens junto à secretaria de Assuntos Penitenciários.
Origem 392 — 30/07/2021 13:03 a 14:15 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde, pessoal. Alguém já tentou usar o UFED 4PC para fazer uma extração física no GT-S5310 na opção Boot Loader? O meu está dando este erro.
Já reiniciei o computador e já fiz Downgrade na versão do UFED. Dá sempre esse erro ou coisa mais "feia". Acho que é um erro interno.
Boa tarde. Esse faz por twrp. Se tiver axiom, pode pegar o recovery deles tbm.
Vou considerar essa solução. Valeu.
Origem 393 — 05/08/2021 08:54 a 09:28 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia! Geralmente quando uso o Axiom só realizo a extração e processo no Physical Analyser
Obrigado pelo retorno, mas aqui por se tratar de uma imagem de um computador tô tendo que processar no axiom mesmo 👍🏼
Origem 394 — 06/08/2021 16:31 a 17:28 — Bootloader, desbloqueio OEM e risco de wipe
boa tarde. J600GT android 10, seria tranquilo fazer downgrade para 9 sem perder dados? Viabilizaria uma extração full file system?
Não rolou a fisica dele?
To fazendo um agora
Esse FDE, então tem fisica no ufed
Usei o modelo do J600G
Q falta faz um 4PC...
Só temos o touch kkkk
Vcs saberiam dizer qual é a vulnerabilidade q o 4PC ataca nesse modelo?
para ver se na mão conseguiríamos desenrolar
👍🏻👍🏻 vou verificar se tem no nosso touch, mas acho q n
Qual touch vc possuem?
touch 1, atualizado até julho 2018
Ah, entendi. Acho que não faz nesse.
Android 10 foi recente a atualização. Precisa de um ufed mais atualizado
tá no android 10 mesmo esse nosso caso =/
Conseguimos com sucesso aqui no PR utilizar leitura/escrita direta da eMMC sem necessidade de solda (além de JTAG), utilizando um projeto impresso em 3D e algumas agulhas retráteis compradas no AliExpress:
https://www.thingiverse.com/thing:2318886
https://www.aliexpress.com/item/P50-B-Nickel-Plated-Test-Probe-Dia-0-48mm-Electronic-Spring-Detection-Needle-100-Pcs-Package/[CPF].html?spm=a2g0s.9042311.0.0.232c4c4dHgKcYt
É um projeto relativamente barato, que valeu muito a pena.
Neste caso da foto abaixo é um aparelho que teve o bootloader danificado durante uma extração, e com isso podemos repará-lo e realizar a extração dos dados.
https://www.thingiverse.com/thing:2318886
https://www.aliexpress.com/item/P50-B-Nickel-Plated-Test-Probe-Dia-0-48mm-Electronic-Spring-Detection-Needle-100-Pcs-Package/[CPF].html?spm=a2g0s.9042311.0.0.232c4c4dHgKcYt
É um projeto relativamente barato, que valeu muito a pena.
Neste caso da foto abaixo é um aparelho que teve o bootloader danificado durante uma extração, e com isso podemos repará-lo e realizar a extração dos dados.
o melhor projeto q fiz até agora no lab foi um clip entortado para fazer EDL.
Boa sugestão. Fizemos tentativas com agulhas de acupuntura e vez que outra perde conexão.
Uma sugestão que tbm tem baixo custo é utilizar um adaptador USB para emmc. Uns 90 reais no aliexpress
Uma sugestão que tbm tem baixo custo é utilizar um adaptador USB para emmc. Uns 90 reais no aliexpress
IMG-20210806-WA0013.jpg (arquivo anexado)
Me ajuda a escolher!
R$ 51,36 8%de desconto | Aparelho de reparo de celular au6438bs, máquina flash de desbloqueio de inverto, ferramenta de intercomunicação
https://a.aliexpress.com/_mPf6REX
R$ 51,36 8%de desconto | Aparelho de reparo de celular au6438bs, máquina flash de desbloqueio de inverto, ferramenta de intercomunicação
https://a.aliexpress.com/_mPf6REX
caramba, q bacana!!!
👏👏👏👏👏
👏👏👏👏👏
Muito bom 👏👏👏👏👏👏👏👏👏👏
STK-20210806-WA0012.webp (arquivo anexado)
Empresa Impressão 3D em Natal
Pedido no 56 [NOME] Ramos de Figueiredo
Dissertação de mestrado do professor [NOME], custa em torno de 140,00 a impressão 3d
Boa tarde Senhores(as). Alguma sugestão para extração de um A207M (A20s) bloqueado por PIN?
Mestre, tem o modelo 3D para disponibilizar ?
Está no link que eu mandei lá em cima
Aqui estamos tentando usar um comparador balístico aposentado
Aqui temos um velho, mas que funciona. Faz bastante diferença para alguns casos. Recomendo também.
https://academiadeforensedigital.com.br/services/extracao-avancada-em-dispositivos-moveis-modulo-ii-isp-e-box/
Laboratório deles é muito bem equipado
IMG-20210806-WA0015.jpg (arquivo anexado)
Tem previsão? Ou são módulos já gravados?
Me lembrei no dia que fui fazer um jtag num NOKIA WindowsPhone das antigas, só na solda e com meus óculos... Nesse dia eu entendi na pratica que sem um microscópio e agulhas fica muito difícil.
Participei módulo de ISP agora no final de julho, eles afirmaram que antes do fim do não vai ter outra turma de ISP, quero fazer o de chipoff
É inviável sem microscópio
Origem 395 — 09/08/2021 15:50 a 15:50 — Extração e acesso a dados em iPhone 6
Pessoal, boa tarde!
Estamos com um questionamento sobre um iPhone 6 que chegou para periciar resetado, com os padrões iniciais de fábrica.
Já fizemos alguns testes anteriormente com outros aparelhos e ao fazer esse procedimento é feito wipe.
O delegado entrou em contato informando que conseguiu o backup do iCloud com a Apple e queria saber se há possibilidade de sucesso em uma nova extração se configurar o aparelho com as credenciais da vítima.
Gostaria de saber dos colegas se já passaram por situação semelhante e se tiveram sucesso?
Com os novos serviços da Cellebrite é possível recuperar dados de aparelhos que passaram por reset?
Estamos com um questionamento sobre um iPhone 6 que chegou para periciar resetado, com os padrões iniciais de fábrica.
Já fizemos alguns testes anteriormente com outros aparelhos e ao fazer esse procedimento é feito wipe.
O delegado entrou em contato informando que conseguiu o backup do iCloud com a Apple e queria saber se há possibilidade de sucesso em uma nova extração se configurar o aparelho com as credenciais da vítima.
Gostaria de saber dos colegas se já passaram por situação semelhante e se tiveram sucesso?
Com os novos serviços da Cellebrite é possível recuperar dados de aparelhos que passaram por reset?
Origem 396 — 17/08/2021 11:22 a 11:58 — Bloqueio FRP e conta Google em dispositivo Android
qual é a senha?
padrão? pin ou alpha?
padrão? pin ou alpha?
mesmo com inicialização segura
<Mídia oculta>
K430tv basta retirar o dump LGUP ou UFED e mandar aquela força bruta do UFED
K430tv basta retirar o dump LGUP ou UFED e mandar aquela força bruta do UFED
caso faça o dump com LGUP:
cat pgpt_COM* proinfo_COM* misc2_COM* ftm_COM* nvram_COM* protect1_COM* protect2_COM* lk_COM* lkbak_COM* laf_COM* para_COM* boot_COM* recovery_COM* recoverybak_COM* logo_COM* lo_bak_go_COM* expdb_COM* seccfg_COM* oemkeystore_COM* secro_COM* keystore_COM* tee1_COM* tee2_COM* eksst_COM* encrypt_COM* persist_lg_COM* mpt_COM* persistent_COM* lgfota_COM* cust_COM* rct_COM* factory_COM* persist_COM* efuse_COM* frp_COM* nvdata_COM* system_COM* cache_COM* OP_COM* userdata_COM* flashinfo_COM* sgpt_COM* > mmcblk0.dd
cat pgpt_COM* proinfo_COM* misc2_COM* ftm_COM* nvram_COM* protect1_COM* protect2_COM* lk_COM* lkbak_COM* laf_COM* para_COM* boot_COM* recovery_COM* recoverybak_COM* logo_COM* lo_bak_go_COM* expdb_COM* seccfg_COM* oemkeystore_COM* secro_COM* keystore_COM* tee1_COM* tee2_COM* eksst_COM* encrypt_COM* persist_lg_COM* mpt_COM* persistent_COM* lgfota_COM* cust_COM* rct_COM* factory_COM* persist_COM* efuse_COM* frp_COM* nvdata_COM* system_COM* cache_COM* OP_COM* userdata_COM* flashinfo_COM* sgpt_COM* > mmcblk0.dd
☝️ comandinho para montar uma imagem única
<Mídia oculta>
Opções para descriptografar
☝️
Opções para descriptografar
☝️
Padrão
Tá rodando a extração sem precisar de downgrade no Octoplus Box, tomará que dê certo! Vai poupar um tempo grande! 😂😂😂
<Mídia oculta>
100k.zip
100k.zip
Caso tenha o mmcblk0 (seja por LGUP ou pelo ufed)
costumo abrir 4 janelas do UFED e colocar cada arquivo contendo um conjunto de padrões
esse 100k.zip tem 4 arquivos
cada um tem um subconjunto de todos os padrões possíveis
costuma quebrar em 1 dia
o UFED PA é mono threaded... por isso abro uma 4 janelas...
Massa, [NOME], mas cara, nessa inicialização segura ele só permite 30 tentativas para o hard reset... seria o caso usar essa ferramenta também?
tem de fazer a extraçao fisica
a força bruta é feita pelo UFED PA
Origem 397 — 18/08/2021 15:58 a 17:08 — Extração e análise de mensagens do WhatsApp
Site com links para softwares de perícia: https://www.professor.bike/tools
Olá, alguém tem o esquema elétrico do Samsung SM-G3502L para fazer ISP? Não achei no Google nem no manual de reparo dele.
Muito bacana. Obrigado pela dica. 👍
Pessoal foi confirmado, a partir da versão 16.21 do Whatsapp não está sendo mais possível a geração dos relatórios dos chats, os softwares de análise terão que se adequar a nova versão, os softwares de extração permanecem funcionando 100%
Forensics Tools e Forensics
Origem 398 — 19/08/2021 19:09 a 20:26 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa noite!
Estou com um xt1626 e não estou conseguindo colocá-lo no modo EDL pelos procedimentos do UFED e para ajudar ele esta um pouco danificado (sem botões e o display lascado), dá colocar em EDL por teste point nesse modelo?
Estou com um xt1626 e não estou conseguindo colocá-lo no modo EDL pelos procedimentos do UFED e para ajudar ele esta um pouco danificado (sem botões e o display lascado), dá colocar em EDL por teste point nesse modelo?
Verifica se é igual ao xt1640. Precisa ser a extração decrypt
<Mídia oculta>
*NeuralHash*, o novo algoritmo que a Apple implementará a fim de detectar conteúdos de pornografia infantil nos aparelhos mal entrou em funcionamento e a galera já tá pondo à prova!
😅😅😅
*NeuralHash*, o novo algoritmo que a Apple implementará a fim de detectar conteúdos de pornografia infantil nos aparelhos mal entrou em funcionamento e a galera já tá pondo à prova!
😅😅😅
https://github.com/AsuharietYgvar/AppleNeuralHash2ONNX
Origem 399 — 27/08/2021 09:06 a 09:06 — Ferramenta para extracao de informações do Google Chrome
ferramenta para extracao de informações do Google Chrome: https://github.com/obsidianforensics/hindsight
Origem 400 — 30/08/2021 08:44 a 08:44 — Extração e compatibilidade em Samsung SM-A217M
Bom dia Senhores! Alguma dica para extração do Samsung A21s (SM-A217M) com chipset Exynos 850 bloqueado com senha alfanumérica?
Origem 401 — 31/08/2021 09:31 a 09:57 — Extração e compatibilidade em Samsung SM-A715F
Bom dia, estou com um Sansung A71, SM-A715F, bloqueado por PIN, alguma sugestão para a extração?
Bom dia. Esse é FBE e chipset Qualcomm. Então sem a senha, não há extração no ufed.
Valeu [NOME], obrigado, bom dia🙏🏻🙏🏻
Origem 402 — 06/09/2021 10:35 a 11:20 — Extração e acesso a dados em iPhone 4
Caros, bom dia!
Estou tentando fazer uma aquisição física de um iPhone 4, via PA. Mas, estou me deparando com o erro ilustrado a seguir.
Tentei em 3 máquinas distintas, porém estou deparando com o mesmo erro.
Alguém já passou por esse problema, ou saberia de alguma solução?
Estou tentando fazer uma aquisição física de um iPhone 4, via PA. Mas, estou me deparando com o erro ilustrado a seguir.
Tentei em 3 máquinas distintas, porém estou deparando com o mesmo erro.
Alguém já passou por esse problema, ou saberia de alguma solução?
IMG-20210906-WA0002.jpg (arquivo anexado)
Vc já instalou o apple_support_package.zip?
Olá, [NOME]! Obrigado pela ajuda!
Então, eu até baixei ele aqui, mas não sei como faço sua instalação. Pois ele só possui um arquivo .epr e um .xml.. Faço a cópia simples dele na pasta do PA?
Não dei muita atenção a ele pois, há poucos meses atrás, eu já havia feito a extração física de um mesmo modelo. E, na ocasião, não precisei instalar este pacote…
Então, eu até baixei ele aqui, mas não sei como faço sua instalação. Pois ele só possui um arquivo .epr e um .xml.. Faço a cópia simples dele na pasta do PA?
Não dei muita atenção a ele pois, há poucos meses atrás, eu já havia feito a extração física de um mesmo modelo. E, na ocasião, não precisei instalar este pacote…
Aqui instalei quando fui fazer uma extração. Quando entrei pra na opção ele abriu a opção de instalar este pacote.
Não sei se está relacionado com este teu erro, mas podes tentar.
<Mídia oculta>
Esta tela, correto? Estou testando em outra máquina..
Esta tela, correto? Estou testando em outra máquina..
Os drivers que os fabricantes disponibilizam para os usuários muitas vezes não implementam todas as funções que o dispositivo pode oferecer via usb/serial ou não permitem um acesso mais baixo nível, aí vc precisa de um sistema para filtrar e trocar o driver a ser usado. Esse filtros que esses programas forenses instalam é exatamente para isso. Muitas vezes eles trocam para se poder usar um libusb mais baixo nível, ou chamar uma função não pública.
Origem 403 — 08/09/2021 11:06 a 11:32 — Compatibilidade de modelos e métodos de extração no UFED
Pessoal. Motorista G6 bloqueado. Alguém já conseguiu extrair?
Bom dia. Qual é o código desse G6? É XT oq?
No modo fastboot vc consegue verificar o código do modelo tbm.
Dependendo do modelo, é possível desbloquear via lookpick
Bom dia pessoal, alguém tem um modelo de projeto para solicitarmos equipamento de informática? Estações de trabalho e UFED, pode ser um projeto bem enxuto.
Caso alguém possua, segue meu e-mail: [EMAIL]
Desde já agradeço.
Um abraço.
Caso alguém possua, segue meu e-mail: [EMAIL]
Desde já agradeço.
Um abraço.
Origem 404 — 08/09/2021 12:48 a 13:04 — Extração e análise de mensagens do WhatsApp
Pessoal, eventualmente a gente pega uns WhatsApps enormes, certo?
Eu juntei um monte de scripts antigos do UFED PA em uma interface gráfica com o intuito de auxiliar na redução do tamanho da extração do whatsapp.
Segue a imagem do resultado! 👇
Eu juntei um monte de scripts antigos do UFED PA em uma interface gráfica com o intuito de auxiliar na redução do tamanho da extração do whatsapp.
Segue a imagem do resultado! 👇
IMG-20210908-WA0004.jpg (arquivo anexado)
<Mídia oculta>
ChatsCleaner.zip
ChatsCleaner.zip
Para executar:
Python -> Run Script -> main.py
Python -> Run Script -> main.py
qualquer coisa manda um alô inbox!
👍
👍
Os botões permitem:
remover todos os anexos de uma conversa,
remover todos os anexos maiores que X bytes...
remover apenas videos
remover videos maiores que X bytes
o programinha tb gera um CSV com um resumo e um log com tudo que ficou de fora do relatorio do UFED
remover todos os anexos de uma conversa,
remover todos os anexos maiores que X bytes...
remover apenas videos
remover videos maiores que X bytes
o programinha tb gera um CSV com um resumo e um log com tudo que ficou de fora do relatorio do UFED
STK-20210507-WA0002.webp (arquivo anexado)
Putz. Muiiiitoo bom. Parabéns e muito obrigado pela contribuição.
Origem 405 — 09/09/2021 09:07 a 10:30 — Extração e compatibilidade em Samsung SM-A715F
Bom dia Senhores. Estou com um Samsung A71 (SM-A715F) bloqueado com senha PIN. Alguma dica pra conseguir a extração?
Acho que apenas com o Ufed premium. Esse é FBE e chipset QC.
<Mídia oculta>
ChatsCleaner-v1.0.zip
ChatsCleaner-v1.0.zip
Correção de um bug
Valeu pela informação. 👍🏻👍🏻👍🏻
Origem 406 — 16/09/2021 09:30 a 09:35 — Compatibilidade de modelos e métodos de extração no UFED
A tua versão do PA tá atualizada? Fiz uma extração aqui que o PA decodificou.
Vou verificar novamente
Origem 407 — 17/09/2021 11:04 a 11:43 — Elaboração de laudo e relatório técnico pericial
Bom dia! Quando vem uma requisição com um pen drive e áudio solicitando a transcrição do conteúdo, como os senhores procedem? Fazem esse tipo de exame ou devolvem por não necessitar de conhecimento pericial para realizar tal atividade?
Na PCDF tem uma seção específica SPBA (Seção de perícias de biometria forense e audiovisuais).
Mera transcrição de áudio (sem reconhecimento de locutor ou uso de qualquer ferramenta forense) é perícia?
Aqui temos uma portaria do SSP dizendo que não
Aí é "juridico". Extração simples de dados clicando no UFED é perícia?
O que vejo que o que mais importa é da onde que sai o timbre do papel.
Se não for, outros cargos podem realizar.
Precisaria de uma legislação regulando mais precisamente.
Vejo que analistas de outros orgãos realizam a extração. Mas sempre requisitam para o laudo sair pelo órgão oficial.
Quem avalia a necessidade de perícia ou não em um caso concreto na estrutura da SSP?
Exato. Já observei vários casos assim. Um agnete publico mais "ousado" faz extração. Aí uma das partes cutuca o capapreta e contesta a falta de perícia oficial. Aí vai o áudio para transcrição, o ZAP para extração, etc....
É o pedido. Se o pedido é de melhorar uma parte do áudio que está ininteligível, ou só de transcrever. Se for só transcrever não é perícia.
Entendi. Aqui na PCDF já é assim tb.
Vídeo tb, tem que delimitar o tempo e o que precisa de informação da perícia
Nesse caso precisa pelo menos um conhecimento técnico para manuseio da evidência, assim como alguém que extrai DNA aperta botões na máquina. Sem esse conhecimento técnico pode fazer 💩 como o MP normalmente faz.
Eu concordo. Lancei esse questionamento exatamente para chegar nesse ponto.
Entendi o posicionamento dos senhores. Aqui falta apenas documentar essa situação para diferenciar esses contextos, do que é ou não um exame pericial.
Origem 408 — 21/09/2021 10:11 a 11:26 — Extração e decodificação de bancos do WhatsApp
bom dia. No sm-j610g qual tipo de procedimento no 4PC tem sido feito para extrair o YoWhatsApp.
SAMSUNG SM-J610G ANDROID 9.0 Extração física via UFED 4PC -> Decrypted Bootloader
Ontem fiz a extração física desse modelo.
Prezados (as), alguma dica para fazer a extração do LG K40s (LM-K430BMW) desbloqueado?
https://www.cnnbrasil.com.br/business/entenda-o-que-e-o-chip-esim-e-quais-as-vantagens-para-seguranca-do-usuario/?fbclid=IwAR0nCPsJ4EuCBu-SU8ztpgjCT_id64CKvIg9OyBj1aQCQ5R_dT15MDXGb88
Origem 409 — 21/09/2021 12:01 a 13:11 — Extração e root em dispositivos LG
Qual versão do Android e patch de segurança?
Conseguimos uma extração de sistema de arquivo com o perfil do K40 - K420MM.
O Android é o 9, mas o patch só verificando depois com o colega que tá com ofício.
Sabe dizer se ele é FBE ou FDE? Não lembro qual é.
Não sei. O chipset é o mtk6762
Origem 410 — 28/09/2021 13:48 a 16:00 — Extração e compatibilidade em Samsung SM-J530G
Pessoal, boa tarde. Alguma dica de extração física do Samsung sm-j530g/ds, bloqueado com senha [SEGREDO] quebrada?
A extração física disponível no UFED para o perfil não funcionou
Já tentei a física pelo perfil dele no UFED e também Samsung GSM generic Android Exynos 7870 > física > boot loader, ambas informaram que a versão do firmware dos dispositivo não é compatível com a extração. No xry só faz lógica
Já verificou sem tem os modelos J530F ou J530Y?
Ou o J530FM
Vou tentar aqui. Estou tentando remover a senha por lockpick, pois disable user lock falhou também
Agora me deu medo, esse perfil também fala que é específico para o modelo
Deveria ser a mesma coisa. Só mudança de nome porque comercializado em outro país
Esse j5 cada extração é uma surpresa, nunca é a mesma coisa kkk
Habemus física, na última tentativa com o perfil sm-j530f. Obrigado [MENCAO] 👍🏼
Origem 411 — 29/09/2021 08:31 a 09:27 — Recuperação de mensagens e vestígios do WhatsApp
Bom dia, pessoal! Alguma dica pra gravar arquivos com nomes extensos em CD/DVD? Obg
Pessoal, não sei se o problema já é do conhecimento de vocês, mas aqui no Ceará constatamos um sério bug na versão 7.48 do PA. Por volta do dia 15/09, tive sérios problemas quando essa versão não interpretou dados de WhatsApp de uma extração física usando o modo advanced adb (instala um client no aparelho e faz o dump para um cartão ou pendrive).
No começo achei que era algum erro de extração, mas após fazer novamente a extração obtive o mesmo resultado (sem WhatsApp e poucos artefatos interpretados) . Rodei o caving de sqlite e o plug-in de modo difuso em também não achei muita coisa para tratar.
Resolvi fazer downgrade para a versão 7.47, detalhe não basta instalar a versão anterior por cima da mais recente que o problema irá persistir, fiz a desinstalação completa com o programa Revouninstaller e depois fiz a instalação da versão 7.47 e os dados interpretados foram completamente diferentes e com WhatsApp.
Não cheguei a abrir chamado na cellebrite, mas ontem à noite outro perito da nossa seção reproduziu o mesmo problema e, por coincidência, com uma extração advanced adb.
Então, fica a dica, para evitar resultados equivocados, é prudente voltar para a versão 7.47.
No começo achei que era algum erro de extração, mas após fazer novamente a extração obtive o mesmo resultado (sem WhatsApp e poucos artefatos interpretados) . Rodei o caving de sqlite e o plug-in de modo difuso em também não achei muita coisa para tratar.
Resolvi fazer downgrade para a versão 7.47, detalhe não basta instalar a versão anterior por cima da mais recente que o problema irá persistir, fiz a desinstalação completa com o programa Revouninstaller e depois fiz a instalação da versão 7.47 e os dados interpretados foram completamente diferentes e com WhatsApp.
Não cheguei a abrir chamado na cellebrite, mas ontem à noite outro perito da nossa seção reproduziu o mesmo problema e, por coincidência, com uma extração advanced adb.
Então, fica a dica, para evitar resultados equivocados, é prudente voltar para a versão 7.47.
Dica de software...
De windows não sei de memória.
Já tentou fazer um zip e copiar zipado?
UDF é o formato mais moderno, sem limites de tamanho do nome, e pega unicode etc...
Putz. Atualizei ontem para a 7.48
É um relatório do FTK. Aí tá quebrando os links...
Compacta e depois grava
UDF só escala até 127 caracteres. Sendo relatório do FTK, caso esteja exportando emails, em que o nome do arquivo seja o nome do assunto do email, provavelmente continuará quebrando o link..
Melhor, mesmo, compactar antes de gravar.
Melhor, mesmo, compactar antes de gravar.
Faz tempo que não uso FTK, mas, salvo engano, ele permite renomear, para o relatório, os nomes dos arquivos pelo ID do artefato (arquivo). Aí dá uma encurtada tb.
Falei errado. Me desculpem. Realmente o tamanho do nome do arquivo é 127 caracteres unicode. 👍🏼
O que me confundi é que salvo engano, o limite do nome de arquivo são 255 bytes e o do path são 1024
Se usar unicode reduz. Mas tb depende do programa que monta o udf dentro do dvd. Acho que nos programas windows, se vc arrastar ele já trunca ignorando algumas características. Lembrando tb que tem várias versões do UDF. A última é a 2.6, salvo engano.
<Mídia oculta>
Fonte: Wikipedia. Se for path normal+nome: 1278 bytes=chars, se for unicode, metade (639). Dá muita coisa, mas o problema que o FTK realmente gera paths bem grandes.
Fonte: Wikipedia. Se for path normal+nome: 1278 bytes=chars, se for unicode, metade (639). Dá muita coisa, mas o problema que o FTK realmente gera paths bem grandes.
Origem 412 — 29/09/2021 09:49 a 10:18 — Ativação do modo desenvolvedor e depuração USB
Bom dia, pessoal. A Depol me chamou agora para ver se consigo pegar um histórico de GPS de um carro. Alguém já pegou coisa parecida para poder me dar uma dica?
Qual o carro? Modelo?
O carro é um new beattle
Depende muito do carro. Algumas centrais multimidia são android e têm algumas vulnerabilidades (geralmente são Android 4.4). Muitas vezes se resolve na fotografia. Abre-se o programa de navegação e se inspeciona o programa de navegação.
Nunca examinei esse modelo.
Tem centrais, como da Hyundai, que tem uns eastereggs para entrar em modo debug e que permite dump para um pendrive dos dados
Já fiz um caso em que conseguir bootar uma central no Windows CE e fiz dump para um pendrive. Mas consegui basicamente o histórico de endereços buscados (exatamente a mesma coisa que aparece na tela).
Valeu, gente. Vou ver o que dá para fazer aqui.
Maioria das vezes é tela mesmo.
Uma vez eu desmontei um GPS e tinha uma memória SD com ligação proprietária. Aí eu tirei e fui numa microsoldagem e fiz uma conexão padrão. Mas o conteúdo da memória não tinha muita coisa. Acho que era só o firmware.
Geralmente os SDs são atualizações de mapas do programa de navegação.
Bom dia senhores estou com dois dispositivos genéricos, sem perfil definido tanto no XRY quanto no UFED 4 PC com bloqueio de tela alfanumérico: Motorola ED30, e um POSITIVO Twist Mini, alguém já conseguiu trabalhar nestes smartphones?
Já tentei a realização do contorno de bloqueio por perfil genérico sugerido pelo próprio UFED, mas não obtive êxito!
A dona do veículo desistiu de disponibilizar o carro para a perícia. Hehehehe
Origem 413 — 29/09/2021 11:12 a 13:17 — Extração e limitações em Motorola XT1033
Podes confirmar novamente o modelo do Motorola?
E o modelo do positivo? Verifica se não teria a opção backup userdata na recovery. Daria uma tentativa no axiom em extração mtk (se for esse o chipset). É provável que esteja criptografado pq é Android 8
Então [NOME], esse motorola tá descrito como ED30, aparentemente modelo que é comercializado! Mas não o original, ele não permite consulta ao IMEI pelo bloqueio de tela, e a bateria é integrada! Então tive que realizar uma busca na internet pra consultar um IMEI genérico e jogar no UFED
O Farias me alertou que o [NOME] do Ceará já fez um modelo parecido e postou aqui no grupo, pelo MTK mesmo! Tou entrando em contato com ele, pra ver se consigo realizar a extração!
Se procuro aqui por ed30 puxa como a bateria da primeira geração do Motorola G
Se puder confirmar no tela de fastboot
ED30 é o modelo da bateria, não é?
Deve ser um XT1033 ou XT1032
XT1032
Esse aí tentar a ferramenta do [MENCAO]
Daria pra tentar a extração initroot
https://github.com/leosol/initroot
Só pra marcar, caso alguém precise no futuro!
Tá gerando o binário, aparentemente tudo funcionando perfeitamente! Depois vou abrir no PA e confirmo aqui no grupo se funcionou!
Origem 414 — 06/10/2021 08:42 a 09:09 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia! Estou com um LG K9 (LM-X210BMW) que tá apresentou um erro na tela quando coloque para carregar a bateria.
Alguém sabe como posso resolver isso?
Nesse modelo é possível uma extração física no axiom via modo download (se não estiver com inicialização segura).
Infelizmente não tenho o Axiom
Não sei ele tá carregando a bateria ou se o erro tá impossibilitando o carregamento
ele entra no modo de atualizacao de firmware?
Não sei. Como faço?
☝️um caso interessante de cifra q é de boa de retirar: LG K10
vol down, conecta o usb no pc, mantém segurando por uns 10s?
Acho que é vol up nesse modelo
Ligar na usb com o cabo edl com o seletor no 910k (se não me engano) tbm entra o modo download
Ok. Vou carregar a bateria fora do aparelho, depois vou tentar o Lgup. Valeu!!!!
Bom dia. Não entendi muito bem a dica.
Origem 415 — 06/10/2021 10:01 a 11:49 — Extração e análise de mensagens do WhatsApp
Vcs tem octoplus? Faz fisica por lá tbm.
Pessoal, bom dia. Preciso de uma ajuda dos senhores. Estou trabalhando em um caso em que o MP fez a "perícia" em um aparelho celular em 2018. Pelo que eu entendi, o judiciário parece ter anulado o processo agora em 2021 e mandou os aparelhos para a perícia, sendo que um dos quesitos é informar se os dados extraídos pela perícia são os mesmos do MP. Fiz as extrações e estou constatando que apesar de imei, marca, modelo, Id do Bluetooth e Android fingerprint serem os mesmos nas duas extrações, o conteúdo de aplicativos como WhatsApp por exemplo são de períodos completamente diferentes. Uma coisa que está me chamando muita atenção é que o conteúdo da variável "Android ID" é totalmente diferente.
Nas pesquisas que tenho feito tenho encontrado que o Android Id é gerado randomicamente no primeiro boot e não muda com update do Android. Porém ele muda após factory reset e também pode ser alterado pelo usuário em dispositivos com root (o aparelho analisado não está com root).
A minha dúvida seria o quão confiável é o conteúdo do "Android id" e se existem outras variáveis que seriam interessante consultar para constatar a alteração da evidência.
Detalhe, na extração do MP consta hora de ativação do telefone 22/08/2016 às 19h35 e na extração da perícia 15/05/2018 as 00h51. As extrações do MP aconteceram entre 01/03/2018 e 02/03/2018.
Nas pesquisas que tenho feito tenho encontrado que o Android Id é gerado randomicamente no primeiro boot e não muda com update do Android. Porém ele muda após factory reset e também pode ser alterado pelo usuário em dispositivos com root (o aparelho analisado não está com root).
A minha dúvida seria o quão confiável é o conteúdo do "Android id" e se existem outras variáveis que seriam interessante consultar para constatar a alteração da evidência.
Detalhe, na extração do MP consta hora de ativação do telefone 22/08/2016 às 19h35 e na extração da perícia 15/05/2018 as 00h51. As extrações do MP aconteceram entre 01/03/2018 e 02/03/2018.
Desculpem aí o textão
Como o celular morreu total a bateria, o horário dele é pouco confiável.
Qual a versão do Android?
Cara, havia esquecido que tive que ressuscitar a bateria
Pois é, se você não ajustou o horário quando deu boot, provavelmente pegou um horário bem diferente do real, e isso pode dar um pouco de inconsistência nas datas.
O androidID é vinculado ao usuário. Se mudar o usuário, tipo factoryreset, muda o androidId.
O aparelho fisicamente deve ser o mesmo
Certo, Mas não mudaria o Android id
Sim, estou convencido disso
É, não mudaria mesmo. Com root você consegue mudar mesmo, ou factory reset. Vou dar uma pesquisada sobre isso.
In O, Android ID (Settings.Secure.ANDROID_ID or SSAID) has a different value for each app and each user on the device.
No Oreo o ID é por usuário e por aplicação, mas o Oreo é o android 8.0
Pelo que eu saiba, mas não tenho total certeza, o androidID é criado na criação do perfil de usuário do aparelho, na configuração inicial. Aí ele fica vinculado ao usuário e as suas configurações. Agora vou pesquisar quando que há mudança disso. Imagino que se vc resetou o aparelho, ele vai criar novo perfil de usuário, logo, criaria novo UderId com novo AndroidID
Vou dar uma olhada no fonte do android 6
Não entendi o contexto do "resetou" , adiciono também a informação de que recebemos o aparelho já desbloqueado (sem senha)
No 6 é o mesmo, vi aqui no código. Para cada userId é um AndroidId. Como no android, cada app tem seu usuário, cada usuário de aplicativo vai ter seu androidId
adb shell settings get secure android_id
esse comando pega o android_id
adb shell settings put secure android_id <new_android_id>
esse pode trocar o android_id 🤔
https://forum.xda-developers.com/t/how-to-restore-change-android-id-in-android-6-0-marshmallow.3219345/
Mas aí precisa root, não?
Resetou = ResetFactory
Pelo que entendi do código do android 6:
String androidId = Long.toHexString(new SecureRandom().nextLong());
secureSettings.insertSettingLocked(Settings.Secure.ANDROID_ID, androidId,
SettingsState.SYSTEM_PACKAGE_NAME);
Slog.d(LOG_TAG, "Generated and saved new ANDROID_ID [" + androidId
+ "] for user " + userId);
É no momento das configurações iniciais do aparelho (no código do SettingsProvider.java)
String androidId = Long.toHexString(new SecureRandom().nextLong());
secureSettings.insertSettingLocked(Settings.Secure.ANDROID_ID, androidId,
SettingsState.SYSTEM_PACKAGE_NAME);
Slog.d(LOG_TAG, "Generated and saved new ANDROID_ID [" + androidId
+ "] for user " + userId);
É no momento das configurações iniciais do aparelho (no código do SettingsProvider.java)
Estou chagando a essa conclusão de que o aparelho sofreu um factory reset após apreensão. Outro quesito do judiciário é se existe algum programa espião instalado no aparelho
https://cs.android.com/android/platform/superproject/+/android-6.0.0_r1:frameworks/base/packages/SettingsProvider/src/com/android/providers/settings/SettingsProvider.java
um reset após a extração do MP? Acho pouco provável
Realmente pelo que entendi do código, quando há o upgrade ele *mantem o androidId*
Parece que quando ele faz o update ele verifica se já tem o AndroidID setado. Se tem, ele deixa queto. Logo, mantem o android ID
Pior que estou achando que foi sim. A extração do MP aconteceu 01/03/2018 e na minha, realizada agora em 2021 está constando hora de ativação do telefone 15/05/2018 (na extração do MP está constando hora de ativação 22/08/2016)... Não acredito que o fato da bateria ter morrido eu eu ter ressuscitado agora pode causado essa alteração
Origem 416 — 06/10/2021 11:50 a 12:04 — Elaboração de laudo e relatório técnico pericial
Acho que essa mudança do AndroidId sugere que houve um factoryreset. Agora nessa extração mais nova, vieram SMSs?
Mas o conteúdo é semelhante? Porque se tiver sido resetado ele deveria estar praticamente zerado.
A mudança do ID e essa datação de ativação indicam factoryrest
Estou perguntando do SMSs pq geralmente quando se faz factoryreset o aparelho já vem configurado para usar a rede de dados móveis, e aí ele sincorniza SMSs e outras coisas da rede celular. Seria mais um elemeto para tese do factoryreset
Eu também acho improvável a morte da bateria causar isso. Mas tem que ver o conteúdo direitinho antes de afirmar isso.
Sim, na extração recente o primeiro SMS encontrado na extração física do aparelho possui data 15/05/2018.
Se o celular estava com SIMCARD inserido, no fatory há grande chance dele ter pego dados da rede móvel cellular mais atual
Aí confirma que ele entrou na rede celular, típico de um resetfactory com simcard inserido, já que o aparelho já sobe com a rede móvel ligada.
Vixi mesma data que consta na data de ativação. Matou a charada [MENCAO] 👏🏼👏🏼👏🏼
Putz, aí vai ficar ruim para o MP essa quebra da custódia.
Sempre foi meu sonho me vingar disso aí
Rapaz, se conseguir amarrar bem isso dá para botar uma grande pá de terra nessa marmota do MP de ficar quebrando cadeia de custódia
Preciso de mais uns 04 peritos pra assinar comigo 😬😬😜
Eu estava lembrando disso essa semana. De como o MP achou que só existia um Paulo no mundo, não leu o laudo e confundiu tudo.
Devíamos já ter dado o troco naquela época. Mas nunca é tarde demais 😏
Origem 417 — 06/10/2021 12:17 a 14:08 — Extração e decodificação de bancos do WhatsApp
Isso foi um lance de laudos de trânsito?
Ou foi específico da informática?
Lembro de uma confusão asssim no trânsito ou estou enganado?
Rapaz, eu estava de férias [MENCAO] sabe contar melhor
Mas o ódio é o mesmo
A história é um pouco longa, então vai por áudio, mas vale a pena ser contada toda
PTT-20211006-WA0006.opus (arquivo anexado)
PTT-20211006-WA0007.opus (arquivo anexado)
Só sei que o MP falou que o nosso setor era uma organização criminosos e só existiam 4 peritos lotados no setor... Então, de acordo com o MP todo mundo era bandido. Pra completar na semana seguinte tomaram posse 3 peritos novatos e todo mundo passava na frente da sala e ficava apontando "essa aqui é a quadrilha" e nem era mês de festa junina
Isto não dá direito a uma ação ou uma retratação? Deve ser difícil ganhar já que a coisa é assim ai, mas talvez compensa, decisão pessoal. Acho que sendo de 2016 não deve ter prescrito o prazo ainda. Talvez entre como sindicato e não individualmente.
Na época estávamos em meio a uma negociação salarial e fomos desaconselhados a fazer algo... Mas o MP realmente campeão das declarações infundadas por aqui
Esse grupo só tem informações boas. Até os causos são interessantes.
Mas voltando ao assunto, fiquei na dúvida se após o factory reset as informações do aparelho são semelhantes.
Com o factory reset, cirurgicamente cerca de 8 meses de conversas de WhatsApp desapareceram
Depois desse causo ficamos bem cautelosos com a quesitação "faça-se perícia"
Tinha arquivos de backup do zap? Se a data é pós pericia, é indicativo de operação do celular pós operação. Se algum deles é antigo, pode se decriptografar e recuperar as antigas
Só o conteúdo do WhatsApp desapareceu? Porque se fizeram um reset não foi tão cirúrgico assim 😬
Se bem que reset, foram apagados
Bom, não ter eles na data do mp tb e informacao
Tem a extração do mp? Pode ver se tem o backup e fazer um "delta" da diferença
Tudo tem que ficar bem explicado. O MP vai partir pra cima.
No log do recovery tem algo?
Recovery.log
Data de compra/instalação do WhatsApp na extração da Perícia 07/06/2018 versão 2.18.230, na extração mp 08/12/2017.... A instalação do WhatsApp se deu após o suposto factory reset ocorrido 15/05/2018
Versão do WhatsApp na extração do MP 2.18.46
Ficando cada vez mais interessante. Se conseguir algum IP ainda e falar quem instalou vira a cereja do bolo.
Rodei o carving de sqlite e o plugin de modelo difuso e eles achou alguns backups do WhatsApp, inclusive um com data de um dia após o factory reset...
Vou dar uma vasculhada nesses backups
Pessoal, boa tarde! Motorola XT1965-2. Moto G7 Plus. Padrão de desenho. Alguma sugestão?
Origem 418 — 08/10/2021 06:53 a 07:50 — Recuperação de arquivos apagados e carving
[MENCAO] fazer como você explicou. Gerei a imagem do HD do DVR com o FTK, montei com o Arsenal Image Mounter e estou extraindo com o DVD Extractor agora.
Muito obrigado 👏🏻👏🏻👏🏻
Muito obrigado 👏🏻👏🏻👏🏻
<Mídia oculta>
Bom dia, pessoal! Alguém já pegou um desses? O DVR Extractor não identificou o sistema de arquivos.
Bom dia, pessoal! Alguém já pegou um desses? O DVR Extractor não identificou o sistema de arquivos.
talvez seja o sistema TVT
👍🏻👍🏻 rodar aqui pra ver. Valeu, [MENCAO] !
no dvrextractor ele roda no modo carving para recuperar por frame.
se quiser recuperar do modo "normal" no site do fabricante tem esse app N9000-HDDtool-RPAS
http://en.tvt.net.cn/service/download196.html
se quiser recuperar do modo "normal" no site do fabricante tem esse app N9000-HDDtool-RPAS
http://en.tvt.net.cn/service/download196.html
Origem 419 — 10/10/2021 19:49 a 20:19 — Root e extração em dispositivo Positivo
Pessoal, beleza? Estou usando o DVR Extractor. Já fiz a extração DHFS 4.1 sem carving.
E ao que parece apenas uma das quatro partições ainda tem espaço disponível, o que me leva a crer que é lá que tenho possibilidade de recuperar algum arquivo.
Porém, estou na dúvida se há como delimitar o vasculhamento apenas para aqueles setores. Abaixo segue o início do arquivo IndexTable dessa partição:
E ao que parece apenas uma das quatro partições ainda tem espaço disponível, o que me leva a crer que é lá que tenho possibilidade de recuperar algum arquivo.
Porém, estou na dúvida se há como delimitar o vasculhamento apenas para aqueles setores. Abaixo segue o início do arquivo IndexTable dessa partição:
Partition Offset: 0x3A3A000000
Partition Header Offset: 0x3A3A004400
Start Time: 2021/08/25 13:02:00
End Time: 2021/08/26 06:26:36
Start Time 2: 2021/08/19 08:42:05
End Time 2: 2021/08/20 09:00:55
NumOfBlocks: 119214
StartBlock: 64
CurrentBlock: 49663
CurrentBlock2: 49663
IndexOffset: 0x17600
VideoOffset: 0x960000
DiskLogOffset: 0x1B60000 [Address: 0x3A3BB60000] <-- Check this address to see older logs
Partition Header Offset: 0x3A3A004400
Start Time: 2021/08/25 13:02:00
End Time: 2021/08/26 06:26:36
Start Time 2: 2021/08/19 08:42:05
End Time 2: 2021/08/20 09:00:55
NumOfBlocks: 119214
StartBlock: 64
CurrentBlock: 49663
CurrentBlock2: 49663
IndexOffset: 0x17600
VideoOffset: 0x960000
DiskLogOffset: 0x1B60000 [Address: 0x3A3BB60000] <-- Check this address to see older logs
E pra fazer a tentativa de recuperação devo selecionar a opção DHFS Carving ou Recovery?
Se for possível delimitar a região a se tentar o vasculhamento, alguém saberia dizer como fazê-lo no arquivo SETTINGS?
.
[DHFSCarv]
startOffset=0x8F60000 ; Endereço do primeiro bloco da partição 1. Recomendo executar o modo DHFS primeiro para encontrar o endereço do primeiro bloco. 0 = início do disco
endOffset=0 ; 0 é o valor padrão [SEGREDO] do disco
analyseOnly=false ; true = não realiza a extração. Apenas salva o banco de dados
consistentOnly=true ; true = considerada como válidos apenas os fragmentos em que o tamanho do pacote DHAV é consistente para ignorar falsos positivos. Pacote DHAV é do seguinte formato: DHAV...dhavSIZE
[DHFSRecovery]
startOffset=0x8F60000 ; endereço do primeiro bloco da partição. Para pegar o endereço execute no modo DHFS e pegue o endereço do primeiro bloco
endOffset=0 ; endereço do último bloco+1 da partição. Para pegar o endereço execute no modo DHFS e pegue o endereço do último bloco + 0x200000.
analyseOnly=false ; true = não realiza a extração. Apenas salva o banco de dados
.
[DHFSCarv]
startOffset=0x8F60000 ; Endereço do primeiro bloco da partição 1. Recomendo executar o modo DHFS primeiro para encontrar o endereço do primeiro bloco. 0 = início do disco
endOffset=0 ; 0 é o valor padrão [SEGREDO] do disco
analyseOnly=false ; true = não realiza a extração. Apenas salva o banco de dados
consistentOnly=true ; true = considerada como válidos apenas os fragmentos em que o tamanho do pacote DHAV é consistente para ignorar falsos positivos. Pacote DHAV é do seguinte formato: DHAV...dhavSIZE
[DHFSRecovery]
startOffset=0x8F60000 ; endereço do primeiro bloco da partição. Para pegar o endereço execute no modo DHFS e pegue o endereço do primeiro bloco
endOffset=0 ; endereço do último bloco+1 da partição. Para pegar o endereço execute no modo DHFS e pegue o endereço do último bloco + 0x200000.
analyseOnly=false ; true = não realiza a extração. Apenas salva o banco de dados
Opa, é no carving.
Olha no arquivo de block da partição que você quer. Lá tem os endereços dos blocos. Pega o endereço do primeiro bloco e o endereço do último bloco+0x200000. E coloca esses valores no start offset e endoffset lá DHFSCarv no settings. E roda com o dahua carving.
Olha no arquivo de block da partição que você quer. Lá tem os endereços dos blocos. Pega o endereço do primeiro bloco e o endereço do último bloco+0x200000. E coloca esses valores no start offset e endoffset lá DHFSCarv no settings. E roda com o dahua carving.
OPA
No último bloco está
BlockID: 119213
Offset: 0x[TELEFONE]
.
Então no SETTINGS coloco o endoffset como Offset: 0x[TELEFONE]... É isso?
BlockID: 119213
Offset: 0x[TELEFONE]
.
Então no SETTINGS coloco o endoffset como Offset: 0x[TELEFONE]... É isso?
E o primeiro bloco é
BlockID: 0
Offset: 0x3A3A960000
.
Aí coloca esse endereço mesmo como start offset?
BlockID: 0
Offset: 0x3A3A960000
.
Aí coloca esse endereço mesmo como start offset?
Coloca o valor do offset lá
O valor do offset + 0x200000 né
Show de bola. Muito obrigado. Não mandei msg no privado por conta do dia e hora impróprios, mas você estava aqui na prontidão, kkkk. Valeu [NOME].
E serve de referência para turma.
Origem 420 — 20/10/2021 10:42 a 11:19 — Conexão USB, ADB e diagnóstico de porta em Android
IMG-20211020-WA0006.jpg (arquivo anexado)
Vamos aprender com um Delegado como realizar extrações...
Ele vai explicar HTML? 🤔
O que seria esse sistema "Alias"???
é um sistema de extração e parser de informações
faz parser de whats e outras evidências
mas acho que fica limitado à extração via ADB (me pareceu)
Bom dia, pessoal. Alguém arrisca qual seria esse modelo de Motorola?
Não liga em fastboot? Lá tem o modelo
Usar a função de foto do Google tradutor não resolveu?
Xt1710 provavelmente
Tá com cara de moto z2 play
Essa bateria é do z2 play
Beleza. Obrigadão, gente. Já vai resolver aqui. É uma avaliação direta para um crime de dano. Mais uma vez, obrigado.
Se quiser comparar as partes internas, aqui tem:
https://de.ifixit.com/Anleitung/Motorola+Moto+Z2+Play+Motherboard+Replacement/103359
https://de.ifixit.com/Anleitung/Motorola+Moto+Z2+Play+Motherboard+Replacement/103359
Origem 421 — 21/10/2021 09:21 a 12:01 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia pessoal, estou fazendo a extração de um Samsung J7, uma física , por bootloader, e no andamento da extração o UFED pediu o comando : pressionar simultaneamente as teclas volume up e down e conectar, ao conectar caiu nessa tela👇🏻, HARDWARE RESER, a pergunta é a seguinte: devo continuar?
O modelo é sm-j710mn
Normal, aparece isso mesmo.
Dei continuidade, foi tudo dentro da normalidade,
Infelizmente a extração não concluiu, apareceu a msg: a extração não é suportado para esta versão do firmware, na finalização o celular ligou normalmente, valeu, obrigado 👍🏻👍🏻
Infelizmente a extração não concluiu, apareceu a msg: a extração não é suportado para esta versão do firmware, na finalização o celular ligou normalmente, valeu, obrigado 👍🏻👍🏻
Tenta extrair pelo perfil dos modelos vizinhos...
Por curiosidade: Está bloqueado?
Não está bloqueado.
Ele veio bloqueado por PIN, mas no ofício da delegacia informava o PIN, que desativei, configurei sem bloqueio de tela.
Vou tentar, obrigado 👍🏻👍🏻
Faz decrypted boot loader com o modelo J710F
Tentei mas deu erro, apareceu a msg que dizia que extração não era suportada, por isso tentei o outro método.
Origem 422 — 25/10/2021 15:48 a 16:25 — Bootloader, desbloqueio OEM e risco de wipe
Boa Tarde senhores! Alguém já fez alguma espécie de perícia referente a análise de softwares relacionados a jogo do bicho?
Estou com uma maquineta, que roda Android e nela possui um aplicativo com nome "LE" que acredito que seja utilizado para a prática do delito.
Vocês já fizeram algo do tipo? Realizaram o debug e através da análise do código conseguiram identificar que se trata de jogo de azar e etc..?
Estou com uma maquineta, que roda Android e nela possui um aplicativo com nome "LE" que acredito que seja utilizado para a prática do delito.
Vocês já fizeram algo do tipo? Realizaram o debug e através da análise do código conseguiram identificar que se trata de jogo de azar e etc..?
Fiz uma, mas era da ciello com sw proprietário. Tinha o nome da empresa. Fiz tirando fotos da máquina e gerando um relatório das apostas que eram possíveis serem feitas
No caso fiz dessa forma pq não consegui acessar o fonte.
Tbm na época achei q uns tutoriais de como era possível adulterar as máquinas instalando um outro sw nelas
No caso dessa como é Android tentaria isolar o APP e rodar em uma sandbox
É um daqueles Sunmi V1, não?
Consegui a extração física de uns 2 desses via MTK genérico (bootloader).
O Ufed não reconhece ele
tentou os profiles genéricos mtk? salvo engano, ele tem que estar desligado, no início do método.
Em Relação ao debug, fez algo do tipo ?
Saindo a extração, vc consegue trabalhar no seu apk suspeito, usando alguma ferramenta de eng. reversa. Aqui, usei o Jadx.
Aqui no ES tem muitas dessas maquininhas. Fazemos um laudo descritivo com lista de aplicativos instalados, conta de usuário e tals... Nada de análise do apk
no meu caso aqui, o apk tava mais pra uma espécie de canvas que recebia os dados de um webserver. e no código, havia uma variável estática com o endereço desse webserver, cujo nome já praticamente entregava a finalidade😅
Mesmo se a destinação desse terminal for para o bicho, provavelmente teu apk não vai conter qualquer lógica da parte lotérica. Mas, possivelmente vá te apontar o caminho dos resources, e então, vc pode aprofundar a partir daí...
Duro é: tanto trabalho pra instruir TCIP.. :/
Origem 423 — 27/10/2021 08:58 a 09:20 — Extração e análise de dados em iPhone/iOS
Pessoal, bom dia. Tudo bem? Um iPhone Xs Max restaurado aos padrões de fábrica. É possível, ao menos, determinar quando ocorreu a restauração?
<Mídia oculta>
30 (1).pdf
30 (1).pdf
Vc consegue uma extração backup do itunes ou coletar os logs sysdiagnose? Se sim ali no poster tem os arquivos que indicam aproximadamente a data do wipe
Hum. Vou tentar. Como seria para coletar esses logs?
Esse backup seria via aparelho msm ou tentar obter via iCloud vc diz?
Extração filesystem no celular
Pluguei no iTunes e tá com bloqueio de ativação.
Tem uma sequência de teclas. Muda um pouco por aparelho. Aqui tem um procedimento: https://greypatterson.me/2020/11/how-to-get-a-sysdiagnose-on-ios-14/
Ah legal. Vou ver.
Se o aparelho esta na tela pedindo a senha da icloud, aí acredito que não terá como extrair. Esse modelo não é compatível com checkm8.
Origem 424 — 03/11/2021 18:29 a 18:32 — Extração e root em dispositivos LG
Boa tarde
Estou com um LG K200BAW desbloqueado, Android 10.
Caso alguém já tenha conseguido fazer extração física nele, me avise por favor.
Estou com um LG K200BAW desbloqueado, Android 10.
Caso alguém já tenha conseguido fazer extração física nele, me avise por favor.
Além disso, estou com um K22 bloqueado com senha padrão.
Nesse não consegui fazer nada
Nesse não consegui fazer nada
LG K22
Origem 425 — 04/11/2021 11:17 a 11:17 — Extração e compatibilidade em Samsung SM-G532MT
Bom dia! Samsung SM-G532MT bloqueado. Galaxy J2 Prime TV. Patch 24/06/2018. Vi aqui algumas postagens sobre esse modelo. Alguém encontrou alguma solução? Obg
Origem 426 — 08/11/2021 11:27 a 14:34 — Extração e decodificação de bancos do WhatsApp
Bom dia pessoal tenho um notebook com HD integrado e ao liga-lo mostrou esta tela, tem como contornar?
No texto aí não diz para acessar uma URL para recuperar a chave?
Inclusive ele passa o ID da chave
Provavelmente o Secure Boot foi desabilitado. Entra na BIOS e reabilita o Secure Boot.
Bom dia!
Sugestão para extrair o dispositivo TCL 5159J desbloqueio?
Não vi o modelo exato no UFED 2.
Sugestão para extrair o dispositivo TCL 5159J desbloqueio?
Não vi o modelo exato no UFED 2.
Não conheço esse modelo, mas sendo tcl deve ser mediatek. Sebdo midia tek pode tentar um parecido (mesmo process.) Ou usar os perfis genericos de mediatek
Sim é mediatek.
Qual modelo do chipset
MTK MT6739
Tem ai tbm em mãos a versão do Android, patch de seg e tipo de crypto?
Estou verificando.
Android 8.1.0
Maximo até fev/2020
Mostre aquela opção de "Android debug console" do ufed para ver qual opção é de crypto
Vai abrir uma janela que apresenta essas infos
Com base nessas informações qual o método que será usado para extrair esse dispositivo?
Além da lógica? Não sei
Nesse caso apenas a lógica, file system android backup e apk downgrade dos aplicativos disponíveis e suportados.
Sem opção de fisica no ufed convencional.
Obrigado [NOME] e [NOME]!
Peguei um modelo qualquer da marca TCL para testar.
Extração lógica.
Somente extração lógica do Dispositivo TCL 5159J, usando o modelo TCL M2M.
Bom dia Senhores. Estou fazendo a extração do tipo apkdowngrade em um galaxy note 20. Está acontecendo algo curioso... O dispositivo pede uma senha pra realizar o android backup, e o UFED, por padrão, insere a senha 12345, e informa que ao abrir no Physical Analyzer, esta senha deve ser inserida para decodificar os dados. Acontece que quando tento abrir a extração no PA, ele informa que a senha [SEGREDO] errada. Já realizei 3 extrações, e continua esse mesmo bug. Alguém já se deparou com essa situação?
De qual aplicativo é isso?
Observamos em outro aparelho que no momento que o ufed "digitava" a senha, ocorria que era inserido 6 dígitos (112345). Não sei se é esse o problema
Vou fazer o teste aqui...
WhatsApp e Telegram
Foram os dois aplicativos habilitados para fazer o downgrade.
Origem 427 — 11/11/2021 08:35 a 09:27 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Pessoal, estou com uma máquina de cartão que é quase um smartphone Android. Para acesso aos relatórios de vendas seria necessária uma conexão de dados. Como vocês fazem nesse caso? Conectam de alguma forma? O receio é o comando remoto para apagamento dos dados.
Pessoal, estou com uma máquina de cartão que é quase um smartphone Android. Para acesso aos relatórios de vendas seria necessária uma conexão de dados. Como vocês fazem nesse caso? Conectam de alguma forma? O receio é o comando remoto para apagamento dos dados.
Eu colocaria justamente esse risco a termo, no meu laudo. E, havendo necessidade do aplicativo buscar esses dados em nuvem, talvez a necessidade da autorização judicial expressa para isso.
Se conseguir uma extração desse terminal, poderia vasculhar se não há alguma base de dados desse aplicativo, e que pudesse conter algum dado residual.
Legal. Inicialmente pensei em algo nesse sentido mesmo.
O duro é que não consigo nem ativar modo desenvolvedor, pq é um menino protegido por senha do Pagseguro.
Fiz alguns com aspecto bastante parecido com esse, e que usavam chipset MTK. Naqueles casos, consegui a física via bootloader. Mas, precisará confirmar o chipset desse seu modelo, em específico.
Ele tem interface USB-C, aí em sua lateral?
Se conseguir as especificações desse terminal, e verificar compatibilidade do chipset com o UFED, talvez consiga conectividade e extração via bootloader.
legal, vou tentar isso
Fiz uma perícia parecida na maquineta Sunmi, com extração MTK genérico no UFED, deu certo! Mas consegui habilitar o modo desenvolvedor!
Origem 428 — 12/11/2021 07:42 a 07:42 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, pessoal. Alguém fez uma cotação recente do UFED4PC?
Origem 429 — 12/11/2021 10:21 a 12:41 — Extração e decodificação de bancos do WhatsApp
Bom dia! Como vcs estão fazendo a extração desses aparelhos mais simples? Multilaser S076
Ah... bons tempos! 😁
Dependendo do caso usando o XRY vai melhor que o UFED. As vezes com o kit chinex do UFED vai, mas varia muito de modelo para modelo e chipsets.
Esse modelo específico não lembro de ter recebido aqui.
Esse aí é symbian ou brew?
Brew geralmente vai tranquilo de chinex ou velho xry mesmo
Brew não, bada, confundi
Ok. Valeu pelas informações.
Boa tarde, amigos! Fiz um merger genérico de dbs, aparentemente está funcionando bem para o WhatsApp, incluindo mais tabelas do que o whamerge
segue o link, se puderem testar agradeço!
https://drive.expresso.pe.gov.br/s/RGtCqfhQPe1BVOY
basta substituir o whamerge.py da pasta libs
A lógica do código [SEGREDO] sendo a seguinte: ordena a lista de msgstore por nome de arquivo, na ordem reversa, primeiro ele vai pegar o mais "recente", depois vai fazendo merge genérico em todas as tabelas, através do comando INSERT OR IGNORE (se já houve na tabela aquele id, ele pula)
a maioria das tabelas do whatsapp tem chave primária cadastrada, então funciona corretamente, mas algumas tabelas não tem, então ele junta tudo, replicando, mas pelo que vi as tabelas mais importantes (chat, messages, etc.) estão com chave primária, então funciona corretamente.
<Mídia oculta>
whamerge.py
whamerge.py
Origem 430 — 26/11/2021 10:20 a 10:25 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia!
Tentei fazer uma extração física via bootloader do dispositivo SM-J530G, Android 8.1.0 usando os modelos no UFED J530G e J530F. Mas, o UFED mostrou um aviso que o dispositivo não é suportado. Todavia, há uma observação que a extração é compatível com Android até 10.0.
Já conseguiram realizar a extração física via bootloader dessa dispositivo?
Tentei fazer uma extração física via bootloader do dispositivo SM-J530G, Android 8.1.0 usando os modelos no UFED J530G e J530F. Mas, o UFED mostrou um aviso que o dispositivo não é suportado. Todavia, há uma observação que a extração é compatível com Android até 10.0.
Já conseguiram realizar a extração física via bootloader dessa dispositivo?
Tenta o modelo J730F
Mesmo chipset
Espero que dê certo
Origem 431 — 03/12/2021 17:13 a 17:13 — Recuperação de arquivos apagados e carving
legal, qual dúvida pode chamar aqui
na próxima versão vai ter suporte a carving no sistema de arquivos da zviewtech.cn, no caso aqui é um da marca citrox que está usando essa sistema.
na próxima versão vai ter suporte a carving no sistema de arquivos da zviewtech.cn, no caso aqui é um da marca citrox que está usando essa sistema.
Origem 432 — 07/12/2021 07:31 a 07:31 — Compatibilidade e extração em dispositivos Samsung Galaxy
<Mídia oculta>
Bom dia, pessoal. Em uma extração FFS de um Samsung foram encontradas diversas contas de usuário que não estão listadas no aparelho em si (em contas ou no aplicativo do Google Drive)… Um exemplo é o dessa figura. Pesquisei mas não encontrei muita coisa. Será que posso dizer que esta conta já esteve vinculada ou aparelho? Alguém sabe algo mais sobre esses doclist.db e cello.db?
Bom dia, pessoal. Em uma extração FFS de um Samsung foram encontradas diversas contas de usuário que não estão listadas no aparelho em si (em contas ou no aplicativo do Google Drive)… Um exemplo é o dessa figura. Pesquisei mas não encontrei muita coisa. Será que posso dizer que esta conta já esteve vinculada ou aparelho? Alguém sabe algo mais sobre esses doclist.db e cello.db?
Origem 433 — 07/12/2021 18:13 a 18:13 — Ausência de suporte do modelo no UFED
Verifiquei agora que não tem esse modelo no UFED
Origem 434 — 23/12/2021 11:40 a 13:20 — Extração e root em dispositivos LG
bom dia, estou com caso de formatação recente de um LG GSM LM-x525Zaw Q60 (LG k12 Prime). Alguma ideia de como recuperar os dados?
Não sei a versão do Android, mas imgino que seja >9 com encriptação sobre sistema de arquivos f2fs, que "formatado" sobre wipe da userdata, Logo, na minha opinião, não tem como recuperar dados de usuário. No máximo um log no cache/recovery indicando a operação de factoryreset
pelo modo dw, vi q roda mt6762
Depois de wipe, não sobra nada de dados do usuário
como conseguiria o log pra certificar q foi feito o wipe?
Extração física de todas as partições
Tentei com 4pc, nao reconhece dispositivo
Acredito q tenha q fazer o cadastro inicial
<Mídia oculta>
Avançando..
Avançando..
Seria a senha antiga?
No grupo aqui deve ter conversas explicando como
Boa tarde... Pessoal, estou iniciando perícia em HD. Já fiz toda a análise e estou prestes a gerar o relatório através da ferramenta Axion Examine v 5.8.0.2749. Estou com um seguinte probleminha..... No Physical Analiser bastava desmarcar um áudio, imagem e vídeo que não ia pro relatório. Já no Axion não estou conseguindo fazer isso. Estou com alguns vídeos grandes que não são de interesse para a autoridade. Alguem tem alguma luz?
Origem 435 — 05/01/2022 11:04 a 11:26 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, bom dia. Beleza?
Samsung SM-J260MU (J2 CORE) com inicialização segura.
Processador Exynos 7570
No 4PC, tanto a física com contorno de bloqueio quando o perfil Samsung Exynos FBE retornam que a OPERAÇÃO NÃO É SUPORTADA PELO DISPOSITIVO. Alguém sugere alguma alternativa?
Samsung SM-J260MU (J2 CORE) com inicialização segura.
Processador Exynos 7570
No 4PC, tanto a física com contorno de bloqueio quando o perfil Samsung Exynos FBE retornam que a OPERAÇÃO NÃO É SUPORTADA PELO DISPOSITIVO. Alguém sugere alguma alternativa?
Aqui temos anotado o seguinte:
Fez remoção de inicialização segura (mostrou a senha por força bruta), no decryptbootloader, versão Beta do Touch 7.45
Fez remoção de inicialização segura (mostrou a senha por força bruta), no decryptbootloader, versão Beta do Touch 7.45
Se não me engano consegui fazer esse utilizando isso
Esse é FDE, então o método FBE exynos não é compatível.
Acredito que o MU deve ser o mesmo chipset do J260m
Acredito que o MU deve ser o mesmo chipset do J260m
Então tem a opção de fisica, que ira fazer brute-force se compatível e em seguida a extração dos dados
Após a 7.45 já tem disponível essa opção no modelo do J260M
Pode usar tbm na superiores
Nem sempre é suportado a fisica via decrypt nesse com inicialização segura, conforme é indicado na mensagem do 4pc antes de iniciar a extração
[MENCAO], ao que parece aqui foi esse caso mesmo... Pois pra nenhum dos modelos de J260 (A, M, F) deu compatibilidade pra física...
Origem 436 — 07/01/2022 10:36 a 10:48 — Extração e root em dispositivos LG
Bom dia pessoal, por um caso alguém aí teria um termo de referência de aquisição da farramenta Pathfinder teams (antigo analytics enterprise)?
Bom dia! Qual foi o modelo que vc usou no UFED?
Estou com um LG K11 Alpha (X410BTW), mas não encontro nenhum modelo pra ele.
No nosso servidor, consta que para o modelo X410BCW K11+, desbloqueado, foi obtido com sucesso a lógica + apk downgrade com o modelo M250ds
Origem 437 — 10/01/2022 12:17 a 12:37 — Compatibilidade de modelos e métodos de extração no UFED
bom dia, alguem ja conseguiu descobrir a senha do "appLock" por meio de alguma extração?
Já algo para aqueles cofres de arquivo e não especificamente para o AppLock... Tipo você paga a base criptografada , de posse de outro celular Android instala o app do cofre e importa a base , como você sabe a senha no celular de destino ele exibe os dados em texto claro... Mas acredito que para o AppLock essa técnica não funcione
Se vc quiser apenas bypass ele, pode iniciar o celular em modo seguro. Ai com isso ele não inicia
Mas ai terei acesso aos arquivos escondidos nele?
Origem 438 — 12/01/2022 08:16 a 08:21 — Recuperação de arquivos apagados e carving
Bom dia, colegas. Gostaria de dar um feedback em relação ao DVR extractor do colega [MENCAO] 2 casos de DVR Intelbrás com senha. Um fiz carving e recuperou um arquivo de interesse criminal. O outro foi só para extração de imagens sem carving. Em ambos os casos sucesso absoluto. Software leve e rápido. Obrigada pela disponibilização da ferramenta e auxílio na utilização [MENCAO] A ferramenta tem nos auxiliado bastante por aqui. 🙏🏼😄
Olá. Bom dia. Entrei há poucos dias no grupo, estou com um DVR para analisar ... posso ter acesso ao à referida ferramenta? se sim, onde eu consigo baixá-la? desde já mto obrigado! =)
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=sharing
baixa a 0.2.4
baixa a 0.2.4
Origem 439 — 12/01/2022 14:27 a 14:41 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Boa tarde, pessoal! K11+. Alguma dica? Obg
Boa tarde, pessoal! K11+. Alguma dica? Obg
O que precisa? Extracao ou desbloqueio?
Extração
Qual patch segurança?
Desbloqueio tbm serve
Desbloqueio depende da versão do Android
Se for bem desatualizado, talvez o lock pick
Se não, sem chance
Caso desbloqueie
Origem 440 — 16/01/2022 18:37 a 19:38 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, boa tarde! Estou com um XT1922-5 aqui. Até consegui colocar no modo EDL mas logo que inicia o processo da extração física (Decrypting Bootloader), no passo 1 de 6, ele já retorna PROCESS FAILED.
Já tentei no perfil sugerido pelo UFED e tbm pelo DECRYPTING EDL do perfil QUALCOMM GENERIC.
Estou no 4PC 7.50.0.137.
Faz diferença fazer com a bateria conectado ou desconectada?
Alguma dica?
Já tentei no perfil sugerido pelo UFED e tbm pelo DECRYPTING EDL do perfil QUALCOMM GENERIC.
Estou no 4PC 7.50.0.137.
Faz diferença fazer com a bateria conectado ou desconectada?
Alguma dica?
Salvo engano, Se for fbe só com a bateria conectada , pois ele precisa reiniciar o celular e explorar a vulnerabilidade para o Android fazer o dump para a interface USB.
Android 9. FBE, né?
As vezes, por algum motivo, entre o passo 4 e o 6 ele não consegue dar o boot e a extração falha
Aqui nem chegou a isso. No passo 1 já era.
Tá com a bateria conectada?
Já tentei sem estar conectada tbm
Certeza que ele entrou em edl né? E o conector tá 100% funcional
Conector OK.
Ao fazer o jumper nos test points e conectar a USB ele habilita o CONTINUAR. Mas vou conferir no gerenciador de dispositivos tbm.
Ao fazer o jumper nos test points e conectar a USB ele habilita o CONTINUAR. Mas vou conferir no gerenciador de dispositivos tbm.
Hum. Motorola rola downgrade?
Processors that can be exploited by the UFED via EDL Mode
Widely Supported
Limited Support
MSM8909
MSM8996
MSM8916
MSM8917
MSM8936
MSM8937
MSM8939
MSM8940
MSM8952
MSM8953
Widely Supported
Limited Support
MSM8909
MSM8996
MSM8916
MSM8917
MSM8936
MSM8937
MSM8939
MSM8940
MSM8952
MSM8953
De SO acredito que não. Não em um método "simples" como no Samsung
<Mídia oculta>
EDL correto, né?
EDL correto, né?
Então acho que deve ser a limitação do UFED com o processador msm.
Testando aqui. Vamos ver.
Vou estar no 7.45 que tem uma diferença no perfil.
Testando aqui. Vamos ver.
Vou estar no 7.45 que tem uma diferença no perfil.
Nesse celular que eu perfuntei dos test points nao obtive sucesso no ufed infelizmente
Recentemente eu estava com um 1922-5 desbloqueado, acho que Android 9. Não estava obtendo sucesso nem mesmo nas extrações lógicas no Ufed.
Consegui fazer a lógica full read no XRY e depois abri no PA
Consegui fazer a lógica full read no XRY e depois abri no PA
Origem 441 — 16/01/2022 21:50 a 21:50 — Esse é FDE, se não me engano
Esse é FDE, se não me engano. Mas pode confirmar no ufed mesmo
Origem 442 — 20/01/2022 14:44 a 14:48 — Quesitação e delimitação de escopo em exames digitais
Já comentaram sobre a extração do conteúdo desses disponíveis portáteis de pagamento por cartão (POS). Já conseguiram e qual foi software ou equipamento utilizado?
Depende do quesito, se é de clonagem de cartão eu verifico se tem rompimento de lacres e geralmente abro a máquina para ver se tem alguma gambiarra nela para fazer keylogger.
Nunca extrai por equipamento, geralmente quando pedem informações tento gerar os relatórios que elas emitem
Nunca extrai por equipamento, geralmente quando pedem informações tento gerar os relatórios que elas emitem
Origem 443 — 24/01/2022 09:13 a 09:13 — Recuperação de arquivos apagados e carving
Bom dia pessoal!
Lançada a versão 0.2.5 do DVRExtractor!
As principais novidades são:
- suporte a imagens E01
- carving do sistema de arquivos teswell
- carving do sistema de arquivos zviewtech
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=sharing
Lançada a versão 0.2.5 do DVRExtractor!
As principais novidades são:
- suporte a imagens E01
- carving do sistema de arquivos teswell
- carving do sistema de arquivos zviewtech
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=sharing
Origem 444 — 02/02/2022 18:07 a 20:08 — Extração e análise de dados em iPhone/iOS
Boa noite, pessoal. A extração Checkm8 do iPhone tem algum macete? Eu nunca consgui.
Seguir exatamente os passos solicitados. Aqui, fizemos vários.
Após a atualização recente não consegui fazer.
Entre iOS 12 e 14 se fornecer a senha rola Full file system... Se não souber a senha [SEGREDO] faz bfu. Mas, segundo o perito [MENCAO] , após a última atualização do touch 2 tá dando erro (chega a entrar no modo cellebrite, porém no meio do procedimento ele reinicia e sobe o iOS e da falha na extração)
Esta mesmo. Nós deixamos 1 touch com uma versão sem esse problema para poder fazer, mas só ocorre nos casos que o iOS é inferior ao 14. No 14 pode insistir nas novas versões que rola, ou no método antigo ou no novo.
Origem 445 — 21/02/2022 10:00 a 10:53 — Extração e bloqueios em Xiaomi/Redmi/POCO
Bom dia Prezados (as). Estava fazendo uma extração por força bruto mas não tive sucesso. Alguém tem outro dicionário além do padrão do UFED.
Alguma dica para extração um XIAOMI Redimi Note 9 Pro (M2003J6B2G) bloqueado por senha de 4 dígitos?
tens dados do alvo? às vezes é o ano de nascimento dele, de um dos filhos.
parte do número do telefone tb...
Origem 446 — 22/02/2022 11:58 a 13:19 — Uso do IPED na triagem, indexação e análise
Curiosidade! Quebrou a senha em menos de 1min.
Pessoal, to precisando processar um sistema de arquivos XFS de um Cent OS.
O IPED usa sleuthkit, que por padrão nao processa. Vi que tem uns Pull requests no github de projetos em que tentaram dar suporte a esse sistema de arquivos, mas nenhum foi inserido no branch de desenvolvimento.
Tentei compilar na mão, mas nao funcionou.
Alguem tem uma solução boa pra processar XFS?
O IPED usa sleuthkit, que por padrão nao processa. Vi que tem uns Pull requests no github de projetos em que tentaram dar suporte a esse sistema de arquivos, mas nenhum foi inserido no branch de desenvolvimento.
Tentei compilar na mão, mas nao funcionou.
Alguem tem uma solução boa pra processar XFS?
Origem 447 — 22/02/2022 14:04 a 14:05 — Uso do IPED na triagem, indexação e análise
Você não poderia montar o sistema de arquivos e usar o ponto de montagem como data source no IPED?
Boa.. vou tentar 👍
Origem 448 — 24/02/2022 09:50 a 10:31 — Bootloader, desbloqueio OEM e risco de wipe
PTT-20220224-WA0002.opus (arquivo anexado)
Extração física via bootloader.
A tela está danificada.
SM-G570M.ds.
Com senha?
estou agora com esse mesmo modelo e nada
Sem senha.
A tela está danificada.
A tela está danificada.
Tem que seguir os procedimentos.
Presionar ao mesmo tempo os botões ligar/desligar e home (início) e depois o volume para cima.
Origem 449 — 25/02/2022 13:16 a 13:18 — Bootloader, desbloqueio OEM e risco de wipe
O modelo SM-G130BT não tem a opção de extração física via bootloader.
Usei o kingo root para aplicar o root e depois realizar a extração física.
Usei o kingo root para aplicar o root e depois realizar a extração física.
Android 4.4.
4 GB de memória interna.
4 GB de memória interna.
Origem 450 — 04/03/2022 15:53 a 17:40 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Pessoal, boa tarde!
Alguma saída para fazer a extração sem as credenciais do iCloud?
Pessoal, boa tarde!
Alguma saída para fazer a extração sem as credenciais do iCloud?
Nesse caso não tem o que fazer. Nos iPhones mais novos ele invalida a chave de criptografia quando chega nesse estado.
Peguei uma assim semana passada. Coloquei em modo dfu e cheguei a iniciar a extração via checkm8 (BFU), mas apresentou erro....
Origem 451 — 09/03/2022 12:03 a 12:11 — Extração e análise de mensagens do WhatsApp
Bom dia.
Estou com um iPhone 13 Pro Max desbloqueado, iOS 15.2.1
Fiz no 4PC a Lógica (Parcial) e a File System
Veio muita coisa, inclusive Whatsapp.
No entanto, não pegou Telegram.
Se alguém conhecer alguma técnica pra extração, agradeço.
Estou com um iPhone 13 Pro Max desbloqueado, iOS 15.2.1
Fiz no 4PC a Lógica (Parcial) e a File System
Veio muita coisa, inclusive Whatsapp.
No entanto, não pegou Telegram.
Se alguém conhecer alguma técnica pra extração, agradeço.
Vc interpretou essa extração em qual versão do PA?
Tem umas antigas que não interpretam o telegram
Acho q vc matou a charada
Não estamos atualizando o PA pois os UFED touch estão com a licença vencida.
O único que está atualizado é o 4PC
O único que está atualizado é o 4PC
Vou instalar e re-processar
Uhnn. Veja as releases das próximas. Acho que a 7.52 tem essa questão sobre o telegram.
Ah, acho que nessa versão ele não pega os anexos tbm.
Para os anexos teria que processar a file system no axiom. Ele deve estar conseguindo nas últimas versões.
Origem 452 — 13/03/2022 15:54 a 15:55 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde!
Alguém já testou o programa Avila Forensics, para extração de dados em celulares? Preciso do contato do desenvolvedor do programa, o Sr. [NOME]. Procurei algum link para baixar e testar a ferramenta, mas não encontrei.
Alguém já testou o programa Avila Forensics, para extração de dados em celulares? Preciso do contato do desenvolvedor do programa, o Sr. [NOME]. Procurei algum link para baixar e testar a ferramenta, mas não encontrei.
https://www.avillaforensics.com.br/
Origem 453 — 15/03/2022 15:28 a 16:13 — Root em dispositivo Android para extração pericial
Boa tarde, pessoal. Alguma sugestão para fazer extração física de um tablet Samsung p5110 Android 4.1.2?
Olá. Já tentou root com KingoRoot ou trocar o recovery?
Não tentei não. Vou tentar aqui. Obrigado.
Nós temos uma box da octoplus e nao é raro usar ela. Ainda aparece celulares mais antigos e além disso temos um estoque com vários desses que apenas nessa box é possível remover a senha ou conseguir a fisica.
Como foi feito a aquisição dela
Putz, pior que não sei. Faz bastante tempo e quem conseguiu já não esta mais na computação.
Kingo Root funcionou. Mais uma vez, obrigado.
Para os eq com essa versão de Android o kingoRoot é muito bom
Origem 454 — 16/03/2022 14:35 a 19:22 — Ativação do modo desenvolvedor e depuração USB
Pessoal, estou com um Multilaser OBASMART3 aqui. Desbloqueado. Ruim de extrair pelo UFED.
Fiz a física pelo SPD Research Tools, mas no Physical Analyzer acho que não estou acertando o perfil a escolher pra processar. 99% do conteúdo vem como Não Categorizado. Nada de chamadas, mensagens, conversas, mídias, etc.
Fiz a física pelo SPD Research Tools, mas no Physical Analyzer acho que não estou acertando o perfil a escolher pra processar. 99% do conteúdo vem como Não Categorizado. Nada de chamadas, mensagens, conversas, mídias, etc.
Unisoc SC7331E (28nm)
Android 9 Versão GO
IPED ou Axiom acho que fazem o parsing
Confirme se ele não é crypto
Se for, não irá conseguir interpretar os dados
No touch 2 ou 4pc é possível verificar
pra verificar seria naquela tela de resumo do aparelho? antes da extração?
Naquele botão "console" que tem antes das extrações ou naquele Android debug que tem no tools do ufed
La mostra o tipo de crypto
"Android debug console" é a tool
Encrypted File-Based
Por isso que não deve ter lido então?
Nesse caso não irá conseguir interpretar o sistema de arquivos e carving tbm nao deve rolar, já que é FBE
Nesse caso caberia apenas lógica padrao, android backup (ver se é o caso) e apk downgrade
Tá joia. Muito obrigado!
creio que basta realizar o flash do BL e do HOME CSC
se vc não souber a versão do firmware para poder baixar, insere o sdcard
era para esse caso! vi depois que já tinha sido resolvido.
desculpe
desculpe
Eu só consigo extrair esse equipamento com o perfil do 9650
Indiferente se é o S9 ou S9+
Mesmo com o Android 10 vc conseguiu? Bloqueado?
Eu ainda não pude fazer na versão mais atual do UFED. Estou na fila aqui pois nossas licenças venceram e só temos 1 atualizado
Teve 1 android 10 que não conseguimos, porém não brikou. Apenas informou que não era suportado e recuperou o eq. Porém não sei se era por causa do patch de segurança, que na época era bem atual.
Acredito que na 7.52 já consegue fazer, caso tenha outro atualizado
Os 9600 e 9650 com Android 10 que tentamos aqui nenhum funcionou.
Uma pena não ter outra opção para remover a senha.
Origem 455 — 17/03/2022 11:16 a 12:43 — Extração e compatibilidade em Samsung SM-A515F
É a segunda vez que estou fazendo o mesmo modelo.
SM-A515F.DST
Ontem fiz um SM-J410G/DS (J4 Core) bloqueado. Usei um perfil sugerido aqui, o J410F, mas não foi. Daí resolvi tentar o perfil original e tive sorte 😅. Só pra constar. 👍
+ - 1h30min fez força bruta e fez extração física.
Origem 456 — 21/03/2022 07:32 a 10:02 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia. Tem alguma maneira de fazer a física de um G531H?
Bom dia. Aqui fazemos root via twrp ou cfautoroot + modelo G531H Extração UFED (ADB root)
Bom dia, via TWRP tbm é nossa opção por aqui
Obrigado, pessoal. Estava querendo evitar o root. Mas se não tem outro jeito...
Via trwp vc evita um pouco. Apenas altera temporariamente o recovery.
Tem que usar o twrp específico de acordo com a marca, modelo e número de compilação do dispositivo.
Bom dia!
Bom dia!
Isso mesmo, tem que ser para o modelo específico. O modelo G531H é o utilizado no UFED para fazer a extração
Aplicar o root*
Consegui fazer o root aqui e já estou fazendo a extração. Obrigado pela ajuda. Aqui, tentamos evitar ao máximo fazer root. Só fazemos em casos específicos.
Origem 457 — 22/03/2022 09:06 a 09:40 — Extração e limitações em dispositivos Motorola
<Mídia oculta>
Pessoal. Bom dia. Estou com esse celular que não sai dessa tela. Não inicia o Android. Trata-se do Moto XT 1941-3 moto one. Alguém tem alguma dica? Obrigado.
Pessoal. Bom dia. Estou com esse celular que não sai dessa tela. Não inicia o Android. Trata-se do Moto XT 1941-3 moto one. Alguém tem alguma dica? Obrigado.
já tentou power e volume para cima 10 segundos?
Tela de carregamento. Acho que tem que esperar pegar um mínimo de carga.
<Mídia oculta>
Vem pra essa, mas não alçar-te-ás
Vem pra essa, mas não alçar-te-ás
Coincidentemente estou com um idêntico. Estou conseguindo fazer só lógica e APK downgrade.
Outras técnicas da erro.
Outras técnicas da erro.
Já pegamos um assim e era bateria o problema
E vcs conseguiram extrair alguma coisa?
Mas ele tá iniciando?
Eu acredito que há uma chance de ser a bateria. Tentaria trocar o carregador para um mais "compatível" e verificar o cabo. Compatível seria um carregador com uma boa amperagem de saída.
Tinha outro aparelho igual, então usamos a bateria dele
<Mídia oculta>
Também funciona com esses cabos que simulam a bateria
Também funciona com esses cabos que simulam a bateria
Origem 458 — 22/03/2022 09:57 a 10:08 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
<Mídia oculta>
Bom dia! Alguém sabe se o kingo root funciona neste aparelho?
Bom dia! Alguém sabe se o kingo root funciona neste aparelho?
Acabei de fazer um G530BT, fiz com EDL ADB do modelo G530H do Ufed
Ok [NOME]. Muito obrigado
Origem 459 — 22/03/2022 13:23 a 15:48 — Extração e compatibilidade em Samsung SM-A015M
Vi que essa opção não está mais disponível no UFED 4PC atualizado.
Alguma possibilidade de extração física no modelo SM-A015M, Android 10, chipset Qualcomm Snapdragon 439, desbloqueado?
Alguma possibilidade de extração física no modelo SM-A015M, Android 10, chipset Qualcomm Snapdragon 439, desbloqueado?
Entendi. Obrigado!
Show!
Obrigado. Vou testar.
Obrigado. Vou testar.
Alguna possibilidade de extração física no modelo SM-A307GT, Android 10, chipset Exynos 7, desbloqueado?
Perfil generico Exynos fbe
Ou se tu tiver o xry, ele tbm deve fazer esse modelo
Não temos o xry.
Desculpe, isso no caso do A307GT que é exynos.
Xt1710-07
Funcionou, Android Qualcomm física
Origem 460 — 22/03/2022 19:22 a 20:45 — Extração lógica por Android Backup via ADB
Pessoal, G532M/DS
no UFED conseguimos fazer poucos aparelhos como este
ele sequer tem conseguido retirar o bloqueio
tb tentamos sem sucesso no Celeb. Premium
alguém teria alguma dica?
O perfil dele tem a opção de remoção de senha [SEGREDO]. Usa o cabo 130 nesses casos.
Difícil não funcionar nos casos que fazemos com o ufed tradicional e fazemos bastante desse modelo.
Difícil não funcionar nos casos que fazemos com o ufed tradicional e fazemos bastante desse modelo.
As vezes não temos sucesso na remoção de senha, mas fisica é muito raro não dar boa.
Normalmente é puq o celular estar um pouco corrompido.
Qual o problema que ocorre com os seus casos?
ele seguiu o processo convencional, com o 130
mas não costuma terminar
mais a frente, quando ele pede para trocar do 130 para o 100
o G531 é de boa
mas tem falhado bastante com o G532
Salvo engano é possível realizar a extração do "sistema de arquivos" para identificar a senha.
Amanhã cedo verificarei o método que usamos aqui na seção.
Amanhã cedo verificarei o método que usamos aqui na seção.
O G531 é outro chipset e é bem mais tranquilo mesmo. Tem várias opções para física e senha para esse, além de não ser crypto.
Já o G532M é MTK e é encrypt (FDE). Bem chato mesmo. Contudo temos sucesso nele no UFED.
Quando ele pede o 130 é preciso desligar o celular (remover a bateria resolve) aí seguir os passos do UFED (Com o equi desligado conectar no cabo 130 segurando vol + e vol -. O eq vai ligar e só esperar - No final vai pedir para trocar para o 100 e iniciar a extração ou remoção de senha).
Já o G532M é MTK e é encrypt (FDE). Bem chato mesmo. Contudo temos sucesso nele no UFED.
Quando ele pede o 130 é preciso desligar o celular (remover a bateria resolve) aí seguir os passos do UFED (Com o equi desligado conectar no cabo 130 segurando vol + e vol -. O eq vai ligar e só esperar - No final vai pedir para trocar para o 100 e iniciar a extração ou remoção de senha).
Nesse caso normalmente é quando deu tudo OK e executa o que precisa
Em alguns celulares precisamos tentar mais de 1x, mas normalmente da boa.
O que percebemos que da erro é quando o celular está muito atualizado. Aí nesse caso ele da ruim sempre.
Acredito que esse método da "Partial File System" não terá sucesso, pois o G532 já tem Android 6 nativo. Com isso não é possível identificar a senha através da extração.
tb estamos com essa impressão por aqui
Percebemos isso puq fazemos esse check de Patch de Seg sempre nas extrações. Aí os casos que tem updates bem recentes para a época do EQ vimos que esses dois métodos não funcionavam.
e vc tenta fazer um downgrade?
quando está atualizado?
Não. Para EQ Samsung não fazemos isso. Fazemos apenas as disponíveis (Caso desbloqueado), como Lógica, Android Backup e Apk Downgrade.
Mas se for arriscar e tiver sucesso, aceitamos os passo a passo hehehehe
Origem 461 — 23/03/2022 10:05 a 10:05 — Bootloader, desbloqueio OEM e risco de wipe
Também tivemos problemas semelhantes com esse modelo SM-G532M e SM-G532MT
2 Situações:
- Mesmo com a último firmware: G532MUMU1ASA1
deu certo quando usamos o perfil genérico SAMSUNG MTK 6737 - Decrypted Bootloader
Sendo que no perfil dele mesmo sempre falhava.
- Também conseguimos extração no perfil dele mesmo,
fazendo downgrade do firmware
2 Situações:
- Mesmo com a último firmware: G532MUMU1ASA1
deu certo quando usamos o perfil genérico SAMSUNG MTK 6737 - Decrypted Bootloader
Sendo que no perfil dele mesmo sempre falhava.
- Também conseguimos extração no perfil dele mesmo,
fazendo downgrade do firmware
Origem 462 — 23/03/2022 18:11 a 18:22 — Compatibilidade e extração em dispositivos Samsung Galaxy
Ah, lembrei. Já conseguimos tbm a fisica com o perfil do g532F e g532g. Acho que nesses perfis não usa o cabo 130 e mesmo assim da boa 😅
Veja se é seu caso
Veja se é seu caso
Lembrei disso puq fiz um J710MN com o perfil do J710F. Mesmo sintoma desse G532M. No 710MN usa o 130 e o 710F não e no primeira da ruim e segunda da boa.
Em alguns modelos da Samsung com final M e só escolher um modelo no UFED com final F que será possível a extração física.
Boa noite. Alguém já lidou com algum caso ou tem algum artigo científico sobre Idoser? Gostaria de ler mais sobre esse assunto.
Origem 463 — 04/04/2022 10:02 a 10:45 — Ativação do modo desenvolvedor e depuração USB
tela azul ou a clássica do LG?
lg k20 vai até a versão 9 do android, acredito
tela de LG mesmo rsrs
esse factory mode, creio q só tem nos mediatek
LG gourmetizado para Samsung
mt6580
para ficar bacana, pega as dimensões físicas e explicita que não correspondem com as dimensões oficiais (pega no site da samsung)
LM-X120BMW - LG k20
é o que dá para o imei
sim sim, mas se for mt6580 é mais antigo q k20
é para ser um MT6739
isso, mt6739
essa tela tá exibindo mt6580
uhum, outra divergência
acho q vc consegue uma extração física completa no modo firmware upgrade
no perfil lg generic
se quiser ver os dados
para delinear o sistema
monstrinho feio esse aí🤣
estamos sem autorizacao judicial para tanto😅
<Mídia oculta>
"Samsung Clone"
"Samsung Clone"
Eu fecharia na incoerência do IMEI, componentes físicos e características físicas com a descrição do modelo questionado.
Se quiser e puder abrir o aparelho
pq vai ter o alienígena
dentro dessa carcaça
um ADB no getproprs deve vir o processador
Dá um adb shell getprop |findstr hardware
adb shell getprop |findstr hardware
em alguma dessas propriedades as vezes vem "chipname", algo assim
acho que outra possibilidade é pelo MAC do bluetooth ou do WIFI, vc pode identificar o fabricante
muita coisa para amarrar certinho a conclusão
pelo android debug console do ufed
MT6580 para S20+ não bate, teria que ser Exynos no brasil
pode registrar essa incongruência no seu laudo
Origem 464 — 07/04/2022 09:31 a 12:24 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia! Alguém já conseguiu extração de um Samsung Galaxy A02 (SM-A022M) bloqueado por senha numérica?
Bom dia Senhores, tbm estou precisando de ajuda com um aparelho Samsung Galaxy A52 (SM-A525M). Se encontra com bloqueio alfanumérico, não possui nenhuma opção de extração com desbloqueio de tela no UFED 4PC ou XRY. Também não encontrei nenhuma referência aqui no grupo sobre algum modelo parecido...
Bom dia pessoal.
Estamos aqui com um J500 com a tela danificada e pelo documento de EDL, é possível fazer.
Abrimos o cel, identificamos os test points
Estamos aqui com um J500 com a tela danificada e pelo documento de EDL, é possível fazer.
Abrimos o cel, identificamos os test points
Estamos usando o modelo Qualcomm Generic
Ele até habilita o CONTINUE quando conectado e com os pontos em curto, porém pede pra habilitar o adb debugging
Bom dia. Acho que não entrou em EDL
No gerenciador de dispositivos aparece Qualcomm etc?
Mas ele todo desmontado, sem bateria quando habilita o continue, necessariamente não é pq ele está em EDL?
Estamos fazendo pelo ufed touch
Recomenda fazer pelo 4PC pra ver isso?
pra ter certeza q de fato o EDL tá entrando
No gerenciador de disposito não mostrou nada referente a qualcomn, mostrou Cellebrite Device
Mas agora parece q foi
Origem 465 — 25/04/2022 08:11 a 10:44 — Recuperação de mensagens e vestígios do WhatsApp
Bom dia senhores! Estou realizando a perícia de um cartão sd que se encontrava acoplada a uma câmera de segurança. Esta câmera provavelmente registrou o homicídio no qual a perita de local coletou o cartão. Realizei a extração de dados do cartão e só foi recuperado arquivos ".av", que não consigo visualizar. Alguém já conseguiu converter este tipo de arquivo? Sem utilizar o software proprietário da câmera (a perita não registrou o modelo da câmera)?
Já processei uma camera no qual fiz um programa em cima do ffmpeg, mas não ficou o mesmo rate bit
Abre num editor hexadecimal e manda um print.
E o sistema de arquivos do cartão é fat?
E o sistema de arquivos do cartão é fat?
Bom dia!
As extrações dos modelos da marca Xiaomi estão a cada dia mais difíceis e demorados.
O modelo Xiaomi M2003J 15SS inicialmente só fez extração das mídias.
Já no Xiaimi M2101K7 AG ainda não foi possível extrair as mídias e os registros telefônicos.
Foram realizadas tentativas de extrações via cabo e/ou bluetooth mesmo seguindo os procedimentos apresentados.
É comum apresentar esses problemas e quais as possíveis soluções?
As extrações dos modelos da marca Xiaomi estão a cada dia mais difíceis e demorados.
O modelo Xiaomi M2003J 15SS inicialmente só fez extração das mídias.
Já no Xiaimi M2101K7 AG ainda não foi possível extrair as mídias e os registros telefônicos.
Foram realizadas tentativas de extrações via cabo e/ou bluetooth mesmo seguindo os procedimentos apresentados.
É comum apresentar esses problemas e quais as possíveis soluções?
Bom dia. A lógica sempre conseguimos.
Os xiaomis tem aquele esquema de ter que instalar o pacote do ufed para conseguir as infos.
Sim. Foi instalado o apk para conexão, via cabo e via bluetooth. Inicia a conexão e leitura da memória interna e logo apresenta falhas.
Vou verificar e testar.
Agradeço a todos pelas explicações.
Vi que havia uma pasta do WhatsApp na raiz, mas o aplicativo estava desistindo. Instalei novamente e consegui visualizar o conteúdo e extrair as conversas.
Chipset
64bits - MediaTek Helio G85.
64bits - MediaTek Helio G85.
Neste caso não foi necessário instalar manualmente o apk.
Eu fiz de umas câmeras de segurança Intelbras recente. Os arquivos do SD não rodavam em player nenhum… nem no intelbras media player. Falei com o suporte e me informaram q os vídeos ficam criptografados e q a Intelbras descriptografa através de ordem judicial
nesse caso, dessas câmeras IC3 você pode usar o VSPlayer da hikvision usando a senha que fica na etiqueta do aparelho
Bom saber… era essa mesmo!
Origem 466 — 25/04/2022 12:55 a 13:03 — Extração e bloqueios em Xiaomi/Redmi/POCO
Iniciando a extração do dispositivo Xiaomi M2101K7AG.
O outro dispositivo Xiaomi M2003J15SS com chipset MTK não foi possível realizar a extração por esse método citado.
Sempre acho esse "grátis " engraçado 😁
Origem 467 — 25/04/2022 15:33 a 15:49 — Conexão USB, ADB e diagnóstico de porta em Android
<Mídia oculta>
Pessoal, boa tarde! Tava rolando a extração ADB (root feito com o twrp + superSU) mas qnd cheguei no dia seguinte encontrei essa msg e erro na extração. Agora o aparelho não passa dessa tela e desliga, alguém teria alguma sugestão?
Pessoal, boa tarde! Tava rolando a extração ADB (root feito com o twrp + superSU) mas qnd cheguei no dia seguinte encontrei essa msg e erro na extração. Agora o aparelho não passa dessa tela e desliga, alguém teria alguma sugestão?
Samsung SM-J320M
Terminou a extração?
Provavelmente se alterou a system. Twrp não precisa instalar su, recomeno fazer extração no twrp bootado.
Deu erro na extração. O que consigo a partir de agora é apenas colocar em Modo Download, apenas
Para voltar acho que teria que flashear a system original
Origem 468 — 25/04/2022 20:23 a 21:18 — Extração e análise de mensagens do WhatsApp
Estou com um. Bem enjoado. Nem downgrade do WhatsApp estou conseguindo
Segui as dicas acima dos colegas e consegui extrair os modelos da marcar Xiaomi.
1. Um com chipset Qualcomm.
2. Um com chipset MTK.
1. Um com chipset Qualcomm.
2. Um com chipset MTK.
A extração do WhatsApp só é possível se for "original".
É necessário instalar manualmente no dispositivo móvel o apk do WhatsApp via transferência do UFED.
É necessário instalar manualmente no dispositivo móvel o apk do WhatsApp via transferência do UFED.
No modelo citado acima não foi possível. Foi realizado extração só das mídias e extração apk downgrade (foram extraídos as mídias, mensagens, chamadas, contatos, WhatsApp etc.).
Extração do WhatsApp no modelo com chipset MTK.
Extração do dispositivo Xiaomi com chipset Qualcomm.
Deve estar com patch depois de jul/2021
Blz!
Entendi.
Aqui também conseguimos extrair modelos Samsung com Exynos.
Entendi.
Aqui também conseguimos extrair modelos Samsung com Exynos.
Origem 469 — 28/04/2022 10:34 a 10:42 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia! Estamos com Samsung SM-J200BT, mas não conseguimos fazer uma extração física. Alguém teria alguma dica?
Aqui fizemos root via TWRP e posteriormente extração via adb(root)
Vc teria com disponibilizar a TWRP desse aparelho?
Nesses aparelhos, tendo o TWRP instalado, não precisa nem fazer root. Basta fazer extração via adb (adb pull /dev/block/mmcblk0 destino.bin) direto no TWRP (que já tem root).
sim, há esta possibilidade tbm
Origem 470 — 02/05/2022 09:12 a 09:56 — Bloqueio FRP e conta Google em dispositivo Android
FRP HiJacker ?
Se for essa, não dá suporte a esse modelo
Pode tentar entrar em modo de segurança, caso esteja travado por causa de algum aplicativo em conflito.
reboota (segurando voldown+power), assim que aparecer o logo: larga o power e deixa só o voldown
Esse boot de segurança demora um pouco para completar.
Seria uma tentativa que acho pouco provável de funcionar, mas #vaique
Seria uma tentativa que acho pouco provável de funcionar, mas #vaique
Foi não. Acho q é caso de assistência técnica
Provavelmente a assitência vai fazer um Factory reset e os dados do usuário serão apagados
Eu já usei esse programa sem ter o modelo do aparelho, utilizando o default que aparece e deu certo. Porém foi com S9
Vou tentar aqui 👍🏼
Não foi. Acho q a partição tá corrompida
Pode ser corrupção da partição "param". Nela tem dados usados no processo de checkagem de integridade
Pior q já reinstalei o firmware. Exatamente o q tava nele. E não resolveu.
<Mídia oculta>
agenda-cyber-10-ed-v37.pdf
agenda-cyber-10-ed-v37.pdf
Origem 471 — 05/05/2022 14:16 a 14:16 — IMG-20220505-WA0004.jpg (arquivo anexado) / Olá pessoal! Nova versão do DVRExtractor, agora
IMG-20220505-WA0004.jpg (arquivo anexado)
Olá pessoal! Nova versão do DVRExtractor, agora com suporte ao sistema de arquivos "HUAYI1.1"
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=sharing
Olá pessoal! Nova versão do DVRExtractor, agora com suporte ao sistema de arquivos "HUAYI1.1"
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=sharing
Origem 472 — 06/05/2022 09:58 a 10:01 — Extração e acesso a dados em iPhone 11
Bom dia.
Estou com um iPhone 11, onde fiz a extração Advanced Logical File System, processei e não encontrei a fotografia que a vítima alegou que o suspeito tirou, com data e hora fornecida. Porém agora me veio a questão: eu não fiz carving de imagem no PA.
Vcs acham válido reprocessar e fazer esse carving ou, para esse tipo de extração, não trará resultado?
Estou com um iPhone 11, onde fiz a extração Advanced Logical File System, processei e não encontrei a fotografia que a vítima alegou que o suspeito tirou, com data e hora fornecida. Porém agora me veio a questão: eu não fiz carving de imagem no PA.
Vcs acham válido reprocessar e fazer esse carving ou, para esse tipo de extração, não trará resultado?
Recentemente fiz carving em um cartão de memória, claro que com a extração física, e fiquei impressionado com a quantidade de imagens recuperadas.
iPhone após o 4s são todos FBE. Carving não é mais possível. No máximo consegue se estiver em algum banco de dados ou lixeira.
E iPhone tem validade na lixeira, então apaga automaticamente após alguns dias.
Depende em qual app ele tirou a foto
Se for da câmera mesmo, gravando no apfs não deve sobrar nada
Origem 473 — 09/05/2022 18:38 a 19:17 — Extração e compatibilidade em Samsung SM-A315G
Boa noite. Alguém já conseguiu extração do SM-A315G (Galaxy A31) com senha?
Esse é chipset MediaTek. Não tem no UFED opção para brute-force de senha para viabilizar extração, visto que é um FBE esse modelo.
Acredito que apenas em serviço estilo CAS da cellebrite consegue.
Esses aparelhos modernos (FBE) que possuem chipset MediaTek são tensos. Sem serviço vip fica sem opção.
Origem 474 — 19/05/2022 12:06 a 13:33 — Extração e compatibilidade em Samsung SMARTPHONE
Bom dia!
Estou com um cartão micro SD que foi formando via Android no smartphone.
Fiz a extração física e abrir pelo PA mas não conseguiu realizar a extração e recuperação dos arquivos e registros formados.
Também usei o programa Recuva mas não recuperou os dados formatados.
Existe alguma método ou software para recuperar os dados formatados no smartphone Android?
Estou com um cartão micro SD que foi formando via Android no smartphone.
Fiz a extração física e abrir pelo PA mas não conseguiu realizar a extração e recuperação dos arquivos e registros formados.
Também usei o programa Recuva mas não recuperou os dados formatados.
Existe alguma método ou software para recuperar os dados formatados no smartphone Android?
Esse cartão não estaria criptografado?
Não sei se tem um software específico para isso, eu tentaria abrir com o iped usando o perfil forensic
Bom dia! Aqui temos obtido melhores resultados com o PhotoRec (Test Disk)
Nesse caso faça a extração normal com o cartão dentro do celular, pois pode acontecer dele tbm ser extensão da memoria interna. Seria uma boa certificar isso.
Verifica via hex se está tudo FF ou 00. Esta com cara de wipe tbm.
Mas tbm pode ser que ele foi crypto pelo Android mesmo, visto que em algumas versões existe essa opção para o usuário.
Se estiver criptografado e você tiver conseguido uma extração física do celular, talvez dê pra descriptografar, a chave [SEGREDO] na física do aparelho. Dá um trabalhinho, mas dá certo geralmente.
Entendi. Obrigado!!!
Certo. Sim, pode ser wipe.
Entendi. Vou testar.
Acredito que a dica do [MENCAO] de extrair o celular com o cartão instalado já faça essa descriptografia.
Só se a ferramenta não compreender, aí teria que fazer "na mão"
Bom dia Srs. Atualizei o Physical Analyzer pra versão 7.55, e depois disso, toda vez que [NOME] uma etiqueta ele exibe uma mensagem de erro, e logo em seguida, fecha bruscamente a aplicação. Já tentei até voltar para a versão 7.53, mas não teve jeito.. o erro agora persiste. Alguém já passou por essa situação?
Meu problema foi exatamente o contrário. Eu estava com esse mesmo erro e depois que atualizei pra 7.55 o erro sumiu
Já é a segunda máquina que acontece isso por aqui
Na primeira, pelo menos, ele não fechava bruscamente depois da mensagem de erro... agora ficou pior.. 😖
Origem 475 — 23/05/2022 09:27 a 11:55 — Extração e análise de dados em iPhone/iOS
Bom dia. Algum colega teve experiência com o dvr da marca JFL Alarmes? Saber a possibilidade de extração via software em PC pois o S. O. deles está travando.
Bom dia! Confirma se o sistema de arquivos do hd é da hikvision, abre o disco no ftk imager e olha na posição 0x210. aí tem o DVRExtractor ou até mesmo o hikvision local playback.
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs
http://www.hikvisioneurope.com/uk/portal/?dir=portal/Software/Software%20Tools/Local%20Playback
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs
http://www.hikvisioneurope.com/uk/portal/?dir=portal/Software/Software%20Tools/Local%20Playback
blz, irei verificar e dou retorno
Xiaomi chipset Qualcomm.
Bloqueado ou sem senha?*
Desbloqueado.
Android 8.1 e 16GB
Bom dia! Estamos com o iPhone XR A2105 - IOS: 13.6 que foi fornecida a senha de desbloqueio da tela.
Mas quando vamos fazer a extração o UFED informa que o backup tá criptografado
Utilize a opção de remoção de encrypt do itunes nas ferramentas do próprio ufed
Tem como conseguir ver essa extração?
Execute 2x. Deve resolver
Depois faça a extração normalmente
Origem 476 — 02/06/2022 13:44 a 15:04 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde pessoal. Eu realizei uma extração física com o UFED em um aparelho Samsung SM-J500M. O UFED procedeu a extração com sucesso. Entretanto, a extração realizada não abriu os arquivos de usuário e o aparelho apresentou problema ao final da extração. Ao abrir o arquivo da extração no FTK é possível constatar que a partição data está criptografada. Alguém já passou por essa situação? Consegui abrir a extração ou recuperar o aparelho?
<Mídia oculta>
Tela apresentada após a extração física
Tela apresentada após a extração física
Sim. Ja passamos por isso 1x. Normalemnte reiniciando o aparelho resolve o problema.
Esse J500M é raro ser criptografado. Quase todos são nao crypto e fazemos via EDL ADB da opção não crypto.
O que conseguimos é, após algumas tentativas, utilizar o método EDL Adb Decrypt. É comum não dar boa de primeira, mas com algumas tentativas deu certo.
Com aquela opção de "console debug" do UFED vc pode constatar que esse aparelho deve ser crypto. (Cripset QC 8916)
Nesse caso quando ele esta crypto.
Foi justamente o que aconteceu. Na primeira tentativa deu erro e ao reiniciar o aparelho ele voltou. Na segunda tentativa exibiu a mensagem de êxito na extração e o aparelho não volta mais.
Qual método de extração foi utilizado?
Qualcomm edl decrypt
Talvez reescrevendo o firmware desse aparelho pode resolver.
Eu estou com receio de piorar a situação apagando os dados.
Mas será a última tentativa
No momento de reescrever o firmware, tenha certeza que o userdata não esteja incluso no pacote.
Já até baixei. Eu olhei e não encontrei o userdata dentro do arquivo tar.md5. Porém tem alguns vídeos no YouTube que mostram que foi feito um reset após injetar o novo firmware.
Converse com [MENCAO]. Ele tem bem mais conhecimento que eu sobre essas escritas de firmware. Ja resolveu muitos problemas com isso. Caso ele esteja disponível, poderá te ajudar.
Muito obrigado pela ajuda. [MENCAO] . Vou entrar em contato com ele.
Origem 477 — 08/06/2022 11:36 a 11:36 — Extração e root em dispositivos LG
Bom dia, pessoal. Há algo que possa ser feito em um LG K22? Para desbloquear a senha ou fazer a extração?
Origem 478 — 08/06/2022 19:55 a 19:55 — Emprestado da máquina de um colega 4 pentes de 4gb, ficando no total
Peguei emprestado da máquina de um colega 4 pentes de 4gb, ficando no total com 32Gb de RAM. Finalmente depois de 10hrs, o PA conseguiu processar a extração.
Origem 479 — 10/06/2022 09:27 a 14:35 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal. Bom dia. Estou com um Samsung SM-J510MN/DS desbloqueado e que fiz o root e mesmo assim não consegui fazer a extração física. Alguém já conseguiu fazer?
Tentou um dd no braço?
Ess é um qualcomm msm8916. Não seria necessário o root para fisica.
Tem a opção de edl adb no ufed.
Tem a opção de edl adb no ufed.
Confirme se é crypto para ver se usa a opção de crypto ou não crypto.
Poderia confirma aí o tipo de crypto e versão do Android?
Com isso podemos avaliar as opções de fisica para esse eq
Android 6.0.1 e patch 1/7/2017
Faz um dd da partição de usuário. Se estiver cifrada, só ver onde está montada a partição. Dependendo, faz um chmod 777 na partição e um adb pull de fora para um shell promptdos
Edl adb entao. Vai que é sucesso
<Mídia oculta>
Tá moendo. Boa EDL ADB…
Tá moendo. Boa EDL ADB…
Obrigado pessoal. Vcs são bons demais.
Confirme depois se não é crypto esse celular. Puq mesmo fazendo vai vir tudo crypto,
Então se for crypto precisa fazer via edl adb crypto.
Então se for crypto precisa fazer via edl adb crypto.
Ainda tá processando aqui
Aproveitando. Estou com um Chromebook da Samsung. Nunca fiz. Queria dar o boot pelo pendrive com Linux pra espelhar o conteúdo dele. Alguém sabe como entra no setup?
Salvo engano a magnetforensics tem uma ferramenta free para aquisição de dados
https://dfir.pubpub.org/pub/inkjsqrh/release/2
IMG-20220610-WA0009.jpg (arquivo anexado)
Procedimentos adotados para o 510MN
Procedimentos adotados para o 510MN
Com twrp instalado, pode fazer a cópia direta para o cartão SD, usando o caminho
dev/block/mmcblk0
dev/block/mmcblk0
Alguém deu a ideia de fazer um Wiki uma vez... seria muito dahora..
Poderíamos fazer um arquivo na nuvem, com controle rígido de edição e acesso, para não dar arma para os "clientes".😂😂
[MENCAO], temos um banco de procedimentos que costumamos atualizar a cara nova técnica empregada.
Seria muito interessante, a experiência de todos agrupada num wiki... ia ajudar bastante.. mas teria que ser bem restrito mesmo... 😅 talvez controlado por senha [SEGREDO] institucional...
A PF tem um Wiki com a colaboração de todos os Peritos Federais.
Faz + - 3 anos que foi criada uma conta no Google e com uma planilha com alguns dispositivos e os métodos de aplicação de root e desbloqueio e seus arquivos. Infelizmente, a ótima ideia não vingou pela não adesão.
Poderia neste momento criar uma planilha compartilhada no Google Drive contendo os dispositivos e seus métodos de root e desbloqueio disponíveis, e outros métodos de extração física. No futuro um Wiki.
Origem 480 — 14/06/2022 11:46 a 11:47 — Artefatos e vestígios de uso do WhatsApp Web
Colegas.
Há mais de um ano, implementei técnica inédita para extração de conversas do WhatsApp Web denominada ZAPiXWEB.
No começo do ano publiquei artigo em conferência internacional (https://doi.org/10.5220/0011006400003120). A técnica já foi utilizada com sucesso em locais e operações com participação de peritos da SPI/PCDF. Inclusive a implementação conta com plugin para Cellebrite/UFED de carga desses dados. Os dados de extração são essencialmente JSON e arquivos de mídia compactados com cálculo automático do hash SHA512, dentro das melhores práticas forenses de custódia, o que também possibilita a implementação de carga para outras ferramentas forenses com facilidade.
Em virtude da solicitação de vários pesquisadores com interesse na implementação da técnica e, também devido ao código-fonte estar mais amadurecido, compartilho-o para uso e contribuição. Informo ainda que estou desenvolvendo adaptação para uso com o TelegramWeb.
O código [SEGREDO] sob licença GNU General Public License v3.0, e com devido monitoramento dos direitos autorais, sujeitos a sanções legais e exigência de citação dos devidos créditos do autor.
Código disponível em:
https://github.com/kraftdenker/ZAPiXWEB
Qualquer dúvida entrar em contato no privado que responderei assim que possível.
Há mais de um ano, implementei técnica inédita para extração de conversas do WhatsApp Web denominada ZAPiXWEB.
No começo do ano publiquei artigo em conferência internacional (https://doi.org/10.5220/0011006400003120). A técnica já foi utilizada com sucesso em locais e operações com participação de peritos da SPI/PCDF. Inclusive a implementação conta com plugin para Cellebrite/UFED de carga desses dados. Os dados de extração são essencialmente JSON e arquivos de mídia compactados com cálculo automático do hash SHA512, dentro das melhores práticas forenses de custódia, o que também possibilita a implementação de carga para outras ferramentas forenses com facilidade.
Em virtude da solicitação de vários pesquisadores com interesse na implementação da técnica e, também devido ao código-fonte estar mais amadurecido, compartilho-o para uso e contribuição. Informo ainda que estou desenvolvendo adaptação para uso com o TelegramWeb.
O código [SEGREDO] sob licença GNU General Public License v3.0, e com devido monitoramento dos direitos autorais, sujeitos a sanções legais e exigência de citação dos devidos créditos do autor.
Código disponível em:
https://github.com/kraftdenker/ZAPiXWEB
Qualquer dúvida entrar em contato no privado que responderei assim que possível.
Excelente! Parabéns pelo trabalho! 👏🏻👏🏻
Origem 481 — 14/06/2022 13:55 a 14:47 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde!
Estão conseguindo fazer a extração física do Samsung SM-A207M e Android 11? Qual método?
Estão conseguindo fazer a extração física do Samsung SM-A207M e Android 11? Qual método?
E Samsung J530G.ds desbloqueio e Android 8.1 é possível física?
desbloqueado***
Já conseguiram realizar a extração física? Qual método?
No método dele do UFED não teve sucesso?
Não consegui. Tentarei novamente.
O método via bootloader costuma funcionar. Se não der no perfil do J530G, pode tentar dos similares do J530.
Entendi. Tentarei novamente. Conseguindo eu informarei aqui no grupo.
Obrigado!
Obrigado!
Pode fazer tambem no J530F ou no 730F.
Origem 482 — 15/06/2022 16:47 a 17:00 — Root em dispositivo Android para extração pericial
<Mídia oculta>
Alguém conseguiu fazer a física do Samsung I9060C?
Alguém conseguiu fazer a física do Samsung I9060C?
Acho q já fiz alguma vez mas posso estar confundindo =/
Qual a versão do Android?
Faz a instalação via cartão de memória
É possível aplicar root usando o kingo root.
Primeiro faz a extração lógica.
Acredito que seja possível realizar a extração física via bootload no UFED. Tenta aplicar o root no kingo root.
Origem 483 — 17/06/2022 11:29 a 11:31 — Compatibilidade e extração em dispositivos Samsung Galaxy
<Mídia oculta>
Bom dia a todos.
Samsung GT-S3332, não é android. Algum bizu pra extração dele? Não tem no UFED. Os mais próximos são dois GT-S3350 que aparecem, mas nada de dar certo.
Bom dia a todos.
Samsung GT-S3332, não é android. Algum bizu pra extração dele? Não tem no UFED. Os mais próximos são dois GT-S3350 que aparecem, mas nada de dar certo.
<Mídia oculta>
Quando pluga ele já fica assim direto...
Quando pluga ele já fica assim direto...
Tem o XRY? Ele é bom para esses aparelhos rodando BADA ou BREW.
Tem. Obgdo pela dica, vou testar
Origem 484 — 23/06/2022 11:32 a 11:44 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Ele tem a opção de extração física Decrypting Boot Loader (não testada), mas pede pra colocar em EDL.
Mas a forma como ele explica pra entrar em EDL (volume + volume - e conecta) entra na verdade no modo recovery
Mas a forma como ele explica pra entrar em EDL (volume + volume - e conecta) entra na verdade no modo recovery
ou seja lá qual o nome certo pra essa tela no motorola
Moto até dá para fazer EDL usando os pinpoints na placamãe. Mas o problema é ter o loader (firehose) para o modelo do aparelho.
Praticamente certo que esse modelo é FBE, então não vai por edl
Existem técnicas que conseguem decryptar, trocando o trustzone do aparelho, salvo engano
vc dá uma bizurada no trustzone e consegue tirar a chave do hardware
mas é uma técnica muito específica para alguns tipos de aparelhos, não sei se esse com MSM8953 no motorola pega
Acho que não pega em motorola
Origem 485 — 08/07/2022 16:21 a 16:59 — Extração lógica por Android Backup via ADB
Boa tarde! SM-A315G, desbloqueado... Extração FS Android Backup não vieram as conversas... Alguém já fez downgrade nesse modelo? Ou alguma outra sugestão?
Pode fazer downgrade sem problema. O que precisa certificar antes é existência de dual app ou esses app que criando contas duplicadas de app.
O que fazemos tbm é anotar a versão do app (pegar através das conf do Android, não do app). Pois caso de problema e o ufed não conseguir salvar o app certo para posterior restauração, só baixar a versão correta na Internet.
O que fazemos tbm é anotar a versão do app (pegar através das conf do Android, não do app). Pois caso de problema e o ufed não conseguir salvar o app certo para posterior restauração, só baixar a versão correta na Internet.
👍🏻👍🏻.. muito obrigada!!
Boa tarde. Sugestão é extrair pelo XRY fazendo o downgrade do Apk
Normalmente Quando não faz pelo UFED consegue pelo XRY.
Quaker coisa estou aqui na polícia científica ainda [MENCAO]
Origem 486 — 11/07/2022 08:56 a 09:57 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia, colegas. Uma duvida em relação ao controle parental do ANdroid. Estou com dois celulares aqui de casos diferentes em que o controle parental está ativado. Não consigo, dessa forma, ativar o modo desenvolvedor. Tem algo a ser feito antes de chamar os pais para desabilitar o controle???? hehehe
Talvez entrando em modo de segurança o controle parental fique desativado
O ideal seria delegacia ja enviar em isso, pois será necessário conectar na Internet para desativar
Ai vai alterar o dispositivo. Acredito que teria que alinhar com a delegacia e ver como fica a situação de acesso aos dados no judiciário nesse xaso
Então, aqui acabei de pensar que teremos que criar um protocolo junto a DP. Segundo aparelho em menos de 1 semana com o mesmo problema.
Sim, já tivemos bastante casos desses.
Quando o aparelho é FBE, ficamos bastante limitados.b
Sua sugestão seria enviar à DP para os procedimentos cabíveis?
Mas se for FDE, tentamos a fisica quando há opção via bootloader. Nesse caso conseguimos tudo.
Tive o mesmo problema por 2 vezes aqui no Pará
Tivemos que chamar os pais dos afetados
Um dos casais eram mudos
Aí ficou difícil falar em libras
Talvez. É uma opção. Explicar a situação e verificar possibilidade de desativação da proteção. Depois disso seria necessário verificar se o acesso aos dados teria que ser renovado pelo judiciário, visto que pode ocorrer alteração no eq, inclusive wipe remoto.
SM-A225M e SM-A217M são os modelos
foi a opção que pensei tb
Para ambos, não há a opção de bootloader no Cellebrite
Pessoal. Bom dia. Estou com um S9 (SM-G9600/DS) sem bloqueio de usuário e nenhuma opção de extração do UFED está sendo concluída. Botei q ele fica alternando o modo USB de transferência de arquivo pra carregamento. Alguém já passou por isso?
Ele pode dar erro algumas vezes, mas sempre tivesses sucesso. Ja opção de bootloader nele vai depender da versão do Android principalmente.
Quando diz nenhuma, até a lógica não teve sucesso?
Puq essa tem que funcionar.
O a217m deve conseguir via exynos FBE bootloader.
Nesse nao precisa do debug ativo.
O debug está comunicando ok?
vendo como faz pra verificar o debug
Na tela inicial do ufed tem o item ferramentas
Então teria que funcionar a lógica.
A memoria esta cheia?
<Mídia oculta>
Vazio
Vazio
<Mídia oculta>
Já aconteceu outras vezes
Já aconteceu outras vezes
Pode ignorar.
<Mídia oculta>
Ignorando. Fica nessa tela. Aguardando…
Ignorando. Fica nessa tela. Aguardando…
Tentando novamente
Reiniciar o seu ufed e celular
Tem algum problema de comunicao ai, não de falha no método de extração.
A lógica veio parcialmente agora
Vc desativou aquela opção de instalar app desconhecido?
Ou quando iniciou a lógica, deixou em "apenas carregar"?
Ele fica “chaveando” de transferência de mídia pra carregar apenas
Na parte de lógica com o app da cellebrite, normalmente é preciso usar a opção "apenas carregar". Ja nas minhas normalmente a opção transferência de arquivos.
não consegui. Dá erro! 😞
Origem 487 — 12/07/2022 21:28 a 23:37 — Root em dispositivo Android para extração pericial
<Mídia oculta>
Métodos de extração e desbloqueio.doc
Métodos de extração e desbloqueio.doc
Algumas sugestões.
Seria interessante a criação incialmente de uma planilha com todos as marcas e modelos já usados (desbloqueio, root, extrações etc.).
Alô administradores
Minha parceira de setor do núcleo de fonética Forense e extração de dados
Fiquem à vontade para corrigir e acrescentar.
Vamos tirar papel a idéia de criação de um Wiki para a extração, desbloqueo etc. dos dispositivos informáticos.
Vamos tirar papel a idéia de criação de um Wiki para a extração, desbloqueo etc. dos dispositivos informáticos.
Me passe o e-mail funcional dela no privado
Perfeito agora mesmo
Ótima ideia 👏🏼👏🏼👏🏼
Seja bem vinda Perita Criminal [MENCAO]
STK-20220708-WA0008.webp (arquivo anexado)
<Mídia oculta>
Métodos de extração e desbloqueio 02.docx
Métodos de extração e desbloqueio 02.docx
Desbloqueio**
Origem 488 — 14/07/2022 12:29 a 14:22 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Métodos de extração, root e desbloqueio 04.docx
Métodos de extração, root e desbloqueio 04.docx
Boa tarde, [MENCAO] ! Dica: deixa sem imagens. O arquivo vai ficar muito pesado. Parabéns pela iniciativa! 👍🏻👍🏻
Deixa com imagens mesmo 😅
Fazer 2 opções, com imagens e outro sem imagens.
É importante a participação de todos para incluir novos métodos e dispositivos. Assim, podemos otimizar as extrações, por exemplo.
Acho que é interessante sempre reportar quando ocorrem situações fora do que seria usual nas ferramentas de extração. Vou ver no que posso colaborar.
Como está a situação do APK downgrade do WhatsApp para o Android 12? Alguém já fez em um A325M (MT6769V) com essa versão de Android? Tenho medo de perder os dados do Whats. 😬
<Mídia oculta>
Métodos de extração, root e desbloqueio 04.docx
Métodos de extração, root e desbloqueio 04.docx
Origem 489 — 19/07/2022 12:45 a 13:12 — Extração e análise de variantes do WhatsApp
Dispositivo Xiaomi Redmi Note 9s
Vi que nas contas de usuário e na raiz da memória interna que havia o aplicativo de WhatsApp instalado. Todavia não aparecia o ícone do aplicativo.
Instalei o APK do Whatsapp e constatei que o aplicativo "Segurança" estava ocultando o aplicativo Whatsapp e o bloqueando com senha.
Mesmo assim foi possível realizar a extração no UFED via sistema de arquivos/APK downgrade (é necessário instalar manualmente um aplicativo de extração do Whatsapp.
Já conseguiram desinstalar ou Desbloquear este aplicativo "Segurança" para ter acesso ao WhatsApp ou outro aplicativo?
WhatsApp bloqueado
Normalmente desinstalando o APK de segurança resolve
Conseguiu localizar e desinstalar ou o APK não deixa?
Não consegui desinstalar. Bem provável que é um aplicativo nativo desse versão do Android do Xiaomi.
Se conseguir uma FFS pode olhar nos arquivos de configuração do Whatsapp para ver se há senha cadastrada
Recentemente fizemos um GBWhatsapp com bloqueio de padrão que o SHA-1 da senha [SEGREDO] num dos arquivos de configuração
Origem 490 — 19/07/2022 13:55 a 15:03 — Root e extração em RMX2170
Boa tarde Senhores!! Alguém já conseguiu extração física xiaomi, modelo RMX2170. No UFED ele faz se tiver root.
Boa tarde! Haveria alguma forma de configurar o Cellebrite Reader para abrir os áudios de conversas em um programa externo? As últimas versões estão abrindo o áudio no player interno do programa.
Olá. Acho que esse não é Xiaomi, mas Realme.
Qual versão do UFED vc está usando?
Poderia verificar versão do Patch Seg e Kernel?
Qual versão do UFED vc está usando?
Poderia verificar versão do Patch Seg e Kernel?
Ah, está tentando física ou Full FS?
Esse eq é FBE, não tem suporte para física.
https://www.maiscelular.com.br/fichas-tecnicas/realme/7-pro/
Física
Então, esse é FBE. Vá na Full FS que deve funcionar
Estou utilizando 7.54.
Origem 491 — 22/07/2022 10:34 a 12:32 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia. Mesmo com essa versão do 4PC não tive sucesso.
Consegui remover o “deslizar” para acessar a tela inicial nas opções de desenvolvedor, deixei a opção padrão USB para “transferência de dados”, mas ainda assim não deu certo.
Não sei se o app nativo Segurança está sendo o vilão ou se tem alguma configuração q deixei de fazer.
Terei q partir para as extrações mais básicos mesmo.
Consegui remover o “deslizar” para acessar a tela inicial nas opções de desenvolvedor, deixei a opção padrão USB para “transferência de dados”, mas ainda assim não deu certo.
Não sei se o app nativo Segurança está sendo o vilão ou se tem alguma configuração q deixei de fazer.
Terei q partir para as extrações mais básicos mesmo.
Bom dia!
Um Antivírus pode impossibilitar a transferência. As vezes é melhor deixar o USB em carregamento.
Um Antivírus pode impossibilitar a transferência. As vezes é melhor deixar o USB em carregamento.
<Mídia oculta>
Essa opção “nenhuma transferência de dados”?
Essa opção “nenhuma transferência de dados”?
Já consegui dessa forma alguns dispositivos.
Verifica se há algum antivírus. Se tiver, desabilita ou desinstala.
Vou tentar com essa configuração
Verifica essa possibilidade.
Bom dia! SM-G532MT bloqueado. Não tem perfil no Ufed. Alguma dica? Obg
Usa o G532G, decrypted boot loader
SAMSUNG MTK 6737 - Decrypted Bootloader tb funciona
Segunda tentativa já. Faz tudo certinho. Na etapa final, quando o aparelho reinicia, dá erro. 🤦🏻♂️
<Mídia oculta>
Não sei se é por conta do patch de segurança
Não sei se é por conta do patch de segurança
Tenta fazer primeiro o desbloqueio.
SM-G532M, Farias, faço sempre por esse.
É possível fazer a extração do "sistema de arquivos" e identificar a senha.
Vou tentar aqui. 👍🏻👍🏻👍🏻
Nesse caso infelizmente não é possível. Essa opção é apenas possível até a versão 5 do Android. Do 6 em diante a forma de armazenamento da senha [SEGREDO], impossibitando essa opção.
Usamos essa opção tbm.
O patch de segurança pode ser um impeditivo sim, mas é uma boa tentar utilizar outros perfis de celulares com características similares. Esses podem utilizar exploits diferentes e garantir o sucesso.
O patch de segurança pode ser um impeditivo sim, mas é uma boa tentar utilizar outros perfis de celulares com características similares. Esses podem utilizar exploits diferentes e garantir o sucesso.
Mas esse modelo sempre é uma incognita. Não é algo que sempre terá sucesso como outros modelos.
Tive dificuldades com esse modelo essa semana.
O que ajudou foi a mensagem do colega. Só saiu com o perfil SAMSUNG MTK 6737
O que ajudou foi a mensagem do colega. Só saiu com o perfil SAMSUNG MTK 6737
Pois é. São várias opções para esse modelo. As vezes vai ter que ficar tentando todas disponíveis.
Origem 492 — 24/07/2022 19:16 a 20:04 — Tentou mais de uma vez
Tentou mais de uma vez?
Com o pacote correto, geralmente na terceira vai 😅
Foi pouco 🤣🤣🤣🤣 faça o procedimento 3 ou 4 vezes...
O pacote correto deve ir de primeira. Se entrou em bootloop o pacote deve ser errado ou o espaço da memoria em que vc mandou escrever não é o certo para esse aparelho.
Amanhã entre em contato que conversamos e vemos o seu caso. Temos vários pacotes já configurados para diferentesnbuilds e modelos. 🤟🏻🤟🏻
Amanhã entre em contato que conversamos e vemos o seu caso. Temos vários pacotes já configurados para diferentesnbuilds e modelos. 🤟🏻🤟🏻
Quando fiz, não foi de primeira. Entrou em looping e repeti até dá certo. 3 vezes, acho. Juro! 🙏🏻🤣🤣
Origem 493 — 27/07/2022 09:24 a 12:54 — Root e extração em dispositivo Positivo
Bom dia a todos. Estou fazendo um estudo sobre a descentralização da extração de dados de dispositivos móveis. A ideia é ver a viabilidade e o que é necessário para aplicar no estado do RJ. Tem alguém de SP aqui na lista que possa me tirar algumas dúvidas sobre isso? Tem algum outro estado que tenha algo como postos avançados que descentraliza esse processo?
Bom dia, [NOME]. Não sei se é exatamente o que procura, mas aqui em Minas tem UFED em várias cidades do Interior.
É algo nessa linha sim. Vou enviar msg pra vc no privado para tirar algumas dúvidas, se possível.
Como é uma pesquisa para saber as soluções que foram dadas. Se tiver outros estados que tenham esse modelo, também me ajudaria muito. A ideia é ver como os estados fizeram e adequar a realidade do RJ.
No MS a capital centraliza os exames em celulares. Inicialmente criamos um polo no interior q também realiza exames. Vamos abri o segundo polo de atendimento no interior daqui a 2 meses.
Estamos descentralizado aos poucos, devido a falta de ufed. Estamos comprando + 6 licenças.
Esse erro tem dado bem frequente nos computadores nessas últimas 2 versões liberadas pela Celebrite.
Mas tem acontecido na solucao 4PC. No touch nao percebi.
Se continuar muito frequente essa mensagem, será melhor reinstalar o programa. 😉
talvez tenha terminado o processo antes do erro, pq fez um arquivo de 16 gigas
mas vou fazer de novo só por garantia
Aconteceu comigo recentemente. Ele termina o processo mas não gera os arquivos do PA. Abre avançado q vem tudo.
Aconteceu comigo tb em um caso de homicídio e eu consegui abrir dessa forma.
A versão atual do Ufed touch promete reparar esse erro. Vejamos…
A versão atual do Ufed touch promete reparar esse erro. Vejamos…
estou tentando novamente no perfil j410G mesmo e está indo
mesma coisa, dá um reboot no final da extração e trava o ufed
Idem aqui, o erro é bem determinístico 😄
Sim, no 4PC extrai sem problemas.
Origem 494 — 28/07/2022 09:10 a 10:27 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia colegas. Alguém conseguiu contornar esse erro?
Está acontecendo aqui comigo. No 4PC.
Extração de aparelho Samsung bloqueado por senha. Ele está realizando a etapa 1/4. Quando termina a primeira aparece a mensagem que foi necessário um novo boot e aparece o erro acima.
esse erro acontece já na hora de gerar o arquivo do projeto para o ufed, mas a extração toda é feita
abre avançado no physical analyzer, escolhe o modelo do aparelho e aponta para pasta que dá certo
Já fiz esse procedimento.
Bom dia senhores, novamente recebi um IPHONE bloqueado, 7 PLUS A1784, com bloqueio de tela SO 14.3 ... alguém já conseguiu algo ?
no meio da extração ele pede a senha, que obviamente não tenho! E permite a extração dos dados bfu
existe algum método que traga mais dados, ou só com a obtenção da senha via força bruta ?
extração via chechm8
Só com obtenção da senha. Iphones após 4s são todos FBE. Entao extração dos dados relavabtes apenas com senha do usuário.
Essa BFU vc talvez consiga solicitar acesso da conta cloud do dono do celular. Ai talvez consiga algo bom lá se tiver backup.
VLw [NOME], eu já tinha perguntando anteriormente, mas queria confirmar se não havia alguma novidade! Agradeço!
Fora isso, sem mais dados a serem extraídos.
vou aguardar a conclusão dessa BFU então
Por enquanto não. Até o momento apenas serviços premium ou ferramentas não disponíveis aqui no Brasil que talvez consigam fazer Brute-force.
Origem 495 — 28/07/2022 19:07 a 20:12 — Elaboração de laudo e relatório técnico pericial
Em Minas, se não detalharem o pedido, fazemos só a extração e conta no sistema como laudo sim. E muitas vezes, eles pedem exatamente isto: fazer a extração no Cellebrite e gravar em DVD.
Às vezes chega esse tipo de pedido tbm. Aí não há o q fazer. Manda a extração e conta como laudo tbm.
O problema é quando vem: fazer perícia no equipamento. 🤦🏻♂️
Eu peguei um essa semana que o ofício encaminhava a autorização de quebra de sigilo de dados, nem o faça-se perícia dizia 🤣
Como é bom ter visão e comprar as ferramentas necessarias. 👍
kkkkk....Já peguei um assim também. Fiz a extração completa dos dados e encaminhei ao solicitante.
Aqui acontece isso
Existem extrações de dados realizadas para compor a base de dados da polícia. Eles analisam pra ver se tem dados relevantes sobre facções, comparsas, etc.
Com base nessas informações eles realizam as operações.
Tem chegado autorização judicial nesse sentido: que o laudo seja encaminhado e q a extração seja compartilhada com órgãos de inteligência...
Mas só depois da devida quebra de sigilo de dado pelo juiz
Origem 496 — 29/07/2022 11:05 a 11:18 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, Galaxy On7 (SM-G600FY) bloqueado. Alguma dica? Obg
alguem conhece essa ferramenta?
https://www.adfsolutions.com/mobile-device-investigator
https://www.adfsolutions.com/mobile-device-investigator
UFED 7.38 - Remoção de senha com o método "Remove Screen Lock" (SM-G6000) e extração física com o método "EDL ADB" (SM-G6000)
Só funciona nessa versão do UFED?
Essa versão é a que consta que funcionou. Acredito que na versão atual tbém funcione
Esse é um Qualcomm. Caso não consiga remover a senha, pode usar os pinos para por em EDL e fazer a extração física.
Fizemos assim na última com esse aí (no nosso caso a tela estava zuada e com isso não foi possível ativar debug).
Fizemos assim na última com esse aí (no nosso caso a tela estava zuada e com isso não foi possível ativar debug).
Parece que tem uma proposta semelhante ao Kiosk da Cellebrite:
https://cellebrite.com/en/platforms/kiosk/
https://cellebrite.com/en/platforms/kiosk/
Origem 497 — 29/07/2022 14:02 a 14:18 — Extração e root em dispositivos LG
Alguém já teve sucesso com LG X410BTW (K11) bloqueado?
Eu consegui fazer a extração física pelo XRY através do modelo M250n, porém veio criptografado
Tem um campo assim: Revisão 7.1.2
Acredito q seja a versão do Android
Acredito q seja a versão do Android
É a versão do Android sim. Conferi aqui
A opção decrypt LG no UFED não deu boa?
O que fazemos nesses x410 é downgrade de firmware. E apos isso fazemos no ufed.
Puq no ufed funciona apenas nos patch até 2019.
Para esses LG decrypt
Decrypt Boot Loader? Não, não foi.
Tentei tbém remover senha, lock pick, etc..
Tentei tbém remover senha, lock pick, etc..
Veja se consegue descobrir o patch de seg
Como eu conseguiria ver a versão do firmware (binário) pra baixar a correta e fazer downgrade? Ou esse patch de seg?
A versão de downgrade vc pegaria uma de 2019.
No modo firmware update vc consegue coletar a build e outras infos. Usamos normalmente o Octoplus para isso.
Com essa build vc consegue identificar o firmware correto.
Origem 498 — 05/08/2022 13:04 a 13:27 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, Motorola XT1543 desbloqueado. Alguma dica para a extração física? Obg
Muito bom realizar esse levantamento de informações. Pelo que entendi apenas o MP tem nuvem pra guardar os dados extraídos , as perícias nao tem.
Aquu no DF armazenamos em um storage e disponibilizamos internamente para as delegacias via intranet.
Isso é uma boa solução. Vc acabam gravando em mídias quando requisitado pelo TJ ou MP?
Caso seja solicitante externo é disponibilizado em mídia óptica
Se o conteúdo for grande demais pedimos ao solicitante para fornecer o meio de armazenamento
Aqui quando o conteúdo é muito grande, finalizamos o laudo e na conclusao solicitamos o envio da mídia para armazenar.
Aqui já conseguimos no UFED pelo próprio modelo, fazendo a Physical Decrypting EDL ADB
Origem 499 — 09/08/2022 10:23 a 10:23 — Elaboração de laudo e relatório técnico pericial
Bom dia a todos! Alguém possui modelo de laudo para _Chapolin_ (bloqueador de alarme de veículos) ou possui alguma dica?
Origem 500 — 11/08/2022 11:29 a 12:16 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Estamos com um Motorola xt2091-3 sem senha. O perfil dele no ufed só faz a física dele com Root... As conversas do whatsapp são fundamentais para o caso, alguma sugestão de extração?
Temos evitado fazer downgrade apk , mas acho que está parecendo a única solução
Percebi ultimamente que a Qualcomm genérica tem funcionado mais que a específica do modelo
Até fiz aquele procedimento de captura de tela disponível no ufed, mas são muitas conversas relevantes por áudio
O erro é não suportado? Se sim, realmente não deve ter suporte. Já se o erro é outro, minha sugestão seria tentar mais um pouco ou até tentar em uma versão ou pouco mais antiga (uns dois a três releases anteriores)
Tentando aqui novamente
Ufed tá na versão 7.56 vou atualizar e tentar novamente
Vá para o 7.57. Esse kernel não funciona muito bem no 7.56.
Apenas no 7.57 que houve suporte mais eficiente nessa versão e superiores (5.x)
Apenas no 7.57 que houve suporte mais eficiente nessa versão e superiores (5.x)
O Patch de Seg mesma situação. No 7.57 houve melhor suporte.
O método é o mesmo. Usar a opção do perfil ou do generico não deve ter diferença.
O exploit que permiti a extração a princípio é o mesmo.
O exploit que permiti a extração a princípio é o mesmo.
Curiosamente já notamos isso tbm. As vezes roda 20 tentativas no específico, e no genérico vai de primeira. Provavelmente inicia com outros parâmetros e aí que deve ser a diferença.
Origem 501 — 12/08/2022 12:23 a 12:26 — Extrações, importação e limitações no XRY
Uhnn.. Eu lembro que nas primeiras versões funciona bem nos Qualcomm com kernel 3.18. Depois disso lascaram e nunca mais corrigiram.
O Patch Seg é mais antigo. Se insistir um pouco terá uma chance boa no UFED 7.57
Mas esse kernel é comum ficar travando
Nós até abrimos chamados com eles sobre isso, mas sem sucesso na correção. Aí desistimos
Pois então. Acho que o patch é o mesmo do que consegui fazer a extração
Se tiver o XRY aí, acho que ele consegue fazer.
Não lembro se é esse modelo.
Não tem XRY aqui
Origem 502 — 16/08/2022 19:30 a 19:39 — Extração e análise de mensagens do WhatsApp
O ufed extrai o whatsApp
Do SM-G780G
É um Galaxy S20 FE
Tentei pelo XRY e outras ferramentas forenses free
Não conseguem fazer o downgrade
Android 12?
o XRY havia desabilitado o downgrade no Android 12 nos Samsungs por conta da possibilidade de perda de dados
Tenho como fazer o downgrade da versão?
Como posso proceder nesse caso
Provavelmente não, não vai bootar totalmente
Então tenho que partir pro ufed?
Já estou com essa versão
Vou ver se tem uma mais nova no site
O último release do XRY dizia isso:
App downgrade: The new release brings a new method to perform app downgrade on Samsung devices running Android 12. This reenables access to data that has been inaccessible through standard extractions from many apps.
App downgrade: The new release brings a new method to perform app downgrade on Samsung devices running Android 12. This reenables access to data that has been inaccessible through standard extractions from many apps.
Pode ser que ainda esteja desabilitado lá nas configurações do método, precisa dar uma investigada no log. Mas se ele for qualcomm iria de UFED mesmo, deve conseguir uma extração FFS bem mais completa.
Perfeito muito obrigado [NOME]
Origem 503 — 17/08/2022 12:41 a 13:10 — Extração e análise de variantes do WhatsApp
Boa tarde a todos! Sobre o GBWhatsApp/WhatsApp. Alguém sabe informar em qual situação há diferença entre o número contido no arquivo *registration.RegisterPhone.xml* e o número configurado no aplicativo instalado?
<Mídia oculta>
Bom dia pessoal. Estou tentando fazer um apk downgrade, e o ufed solicita a instalação do apk do whatsapp manualmente. Mas quando vou instalar recebo essa mensagem simples, sem nenhuma informação mais apurada. Existe alguma forma de contornar isso?
Bom dia pessoal. Estou tentando fazer um apk downgrade, e o ufed solicita a instalação do apk do whatsapp manualmente. Mas quando vou instalar recebo essa mensagem simples, sem nenhuma informação mais apurada. Existe alguma forma de contornar isso?
Ou alguém sabe o pq de não conseguir instalar?
Acho que tu já deve ter verificado mas, just in case. - tem espaço na memória?
Qual o commando de instalação usado?
Não tinha não, mas sim tem.. 😅
Foi manual, o UFED copia um apk pra memória intena e solicita a instalação manual..
Um colega da seção observou que o numero que o UFED PA indica como sendo do usuário e o número que está no *registration.RegisterPhone.xml* . Mas se o usuário migrar de numero, o arquivo *registration.RegisterPhone.xml* permanece, mas dentro do com.whatsapp_preferences_light, o novo numero fica registrado no campo <string name="registration_jid">.
O numero que o UFED PA apresente nao corresponde ao que é visualizado no aparelho.
O numero que o UFED PA apresente nao corresponde ao que é visualizado no aparelho.
Exatamente o que encontrei e desconfiei. Obrigado, [NOME]! 👍🏻
Origem 504 — 22/08/2022 10:44 a 11:37 — Extração em dispositivos Realme/Oppo
Bom dia! Preciso de modelos de laudos de Computação e de extração de dados de celulares, bem como modelos de POPs de informática para fazer a atualização. Alguém poderia me ajudar? Comentaram q os peritos de Brasília e Parana tem um material bem legal.
Como esse pessoal consegue a foto da gente e os contatos?
Eu acho que é rede social
Outro dia tentaram aplicar o golpe na minha tia se passando pelo meu primo. Olhei a rede social dele tinha os laços familiares como informação pública, e olhando pelos primos dava para chegar na minha tia, que tinha uma foto vendendo coisas com um número de pix que era o celular dela. Então já chegaram chamando ela de tia.
Estou com o contato dele aqui no celular e estou vendo que a cada 5, 10 minutos, ele troca de foto. Deve ter uma base de dados grande e fica jogando pra galera para ver quem morde a isca.
Realmente. Mesmo que não tenha o número nas contas, como tem centenas de vazamentos de dados na Internet, basta pegar os nomes das pessoas e a ligação entre elas. O número eles pegam nos bancos de dados. Aí automatizam a bagaça.
Origem 505 — 24/08/2022 12:17 a 12:17 — Compatibilidade de modelos e métodos de extração no UFED
Alguém possui (e que poderia disponibilizar) um modelo de ETPA (Estudo Técnico Preliminar de Aquisição) de *UFED*?
Origem 506 — 02/09/2022 17:54 a 17:54 — Informar se mesmo o whats pedindo a senha de verificaçao de 2 etapas
Alguem saberia informar se mesmo o whats pedindo a senha de verificaçao de 2 etapas, consegue extraçao?
Origem 507 — 05/09/2022 11:15 a 11:21 — Extração e compatibilidade em Samsung SM-A107M
Bom dia. Estou com Samsung SM-A107M bloqueado com senha de desenho. O UFED não tem nenhuma opção de extração desse modelo contornando o bloqueio de senha. Algum dica pra fazer a extração?
Esse só Premium/CAS para descobrir a senha.
Blz. Obrigado pela informação.
Origem 508 — 05/09/2022 13:36 a 13:36 — Passando no UFED Premium às vezes dá para saber pelo menos uma data
Passando no UFED Premium às vezes dá para saber pelo menos uma data aproximada de quando se deu o "reset" e até se foi manual ou remotor
mas só funciona para alguns modelos...
Origem 509 — 07/09/2022 20:59 a 20:59 — / Polícia científica do Pará / Perito criminal em Forense computacional / Gerente
[NOME]
Polícia científica do Pará
Perito criminal em Forense computacional
Gerente do núcleo de fonética Forense e extração de dados
Polícia científica do Pará
Perito criminal em Forense computacional
Gerente do núcleo de fonética Forense e extração de dados
Origem 510 — 08/09/2022 10:34 a 12:20 — Análise de dados em Telegram, Facebook Messenger e mensageiros
O mesmo criador desenvolveu uma ferramenta de extração de dados tambem, ALIAS Extractor. ALguem ja usou?
[NOME] Romano Pigari
Perito Oficial Criminal
Gerência de Perícias de Computação
POLITEC-MT
Perito Oficial Criminal
Gerência de Perícias de Computação
POLITEC-MT
Weberson Lima
Perito Criminal
Polícia Científica Paraná
Perito Criminal
Polícia Científica Paraná
[NOME] Gaspar
Perito Criminal
Polícia Científica Paraná
Perito Criminal
Polícia Científica Paraná
Conrado [NOME] Rebessi
Perito Criminal
Polícia Científica Paraná
Perito Criminal
Polícia Científica Paraná
No período da tarde eu continuo o processo de inserção. 😉
Kim Rocha
Perito Criminal Oficial
Núcleo Esp Comp Forense
Polícia Científica Tocantins
Perito Criminal Oficial
Núcleo Esp Comp Forense
Polícia Científica Tocantins
Marcus [NOME]
Perito Criminal
Polícia Científica Paraná
Perito Criminal
Polícia Científica Paraná
Eu ([NOME] Maués) estava com problema no Telegram. Tudo resolvido.
[NOME] Leão
Perito Criminal Oficial
Instituto de Criminalística
Departamento de Polícia Técnico-Científica
Polícia Civil do Estado do Acre
Perito Criminal Oficial
Instituto de Criminalística
Departamento de Polícia Técnico-Científica
Polícia Civil do Estado do Acre
Origem 511 — 09/09/2022 14:16 a 14:42 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde! SM-G531BT. Sem perfil no ufed. Alguma dica?
Desbloqueio ou extração?
Se estiver bloqueado vc faz a parcial file system. Caso tenha sorte, ele está no android 5 e é possível pegar a senha ao processar no PA.
Depois de desbloqueado, pode fazer via Custom Recovery
Depois de desbloqueado, pode fazer via Custom Recovery
Se for senha geométrica ou pin
Tá bloqueado. PIN
Fisica via custom recovery
a parcial vc pode ver lá no perfil generico da samsung
Já abri um desses pra fazer EDL porque achei que era Qualcomm 8916. Era Spreadtrum - versão “value edition” (Brasil) 🤦🏻♂️
Acho que esse não é Spread não. É um Marvel.
Marvell Armada PXA1908
Origem 512 — 09/09/2022 15:36 a 16:50 — Extração e root em dispositivos LG
Boa tarde! Vocês sabem dizer se a central multimídia do veículo Spin armazena internamente registros de GPS? Modelo 2022.
E como se faz para obter os dados?
tava lendo dia desses sobre isso e vi que o axiom faz o processamento de dados extraidos de veiculos. So que pra extrair indicam a ferramenta dessa empresa: https://berla.co/
dizem q usam a mesma interface obd2 que as concessionarias usam pra fazer diagnosticos porem o aparelho deles é "modificado" pra pegar mais infomracoes que o normal
ai vem localizacoes gps, chamadas, contatos, playlists...
LG-E450f bloqueado. LG Octoplus, sem sucesso. Alguma dica?
Seria octoplus mesmo
Pelo menos para fisica.
O G531BT, depois de remover o PIN, fiz downgrade app pelo XRY e abri a extração no PA. Resolvido. 👍🏻👍🏻👍🏻
Origem 513 — 12/09/2022 13:31 a 15:12 — Extração e compatibilidade em Samsung SM-307GT
Extração do SM-307GT - Bloqueado.
Data 12/09/2022 - SUCESSO
Versão Android: 10 ou maior
Bloqueado com senha padrão [SEGREDO] "Full File System FBE"
Utilizando o Four PC - quebrou a senha [SEGREDO] a extração
Data 12/09/2022 - SUCESSO
Versão Android: 10 ou maior
Bloqueado com senha padrão [SEGREDO] "Full File System FBE"
Utilizando o Four PC - quebrou a senha [SEGREDO] a extração
IMG-20220912-WA0008.jpg (arquivo anexado)
O imei.info foi longe demais .... "cachorro sorridente"
O imei.info foi longe demais .... "cachorro sorridente"
Cada um melhor que outro 🤣🤣
STK-20220912-WA0007.webp (arquivo anexado)
Eu já tô duvidando se sou humano
Origem 514 — 13/09/2022 12:18 a 15:43 — Extração e análise de variantes do WhatsApp
<Mídia oculta>
Boa tarde! Alguém já conseguiu extrair os dados desse telefone (bloqueado)?
Boa tarde! Alguém já conseguiu extrair os dados desse telefone (bloqueado)?
Não tem baypass pelo xry
Não consegue com perfil Exynos FBE?
Boa tarde.
Eu fiz o emailtobkp em um WhatsApp Business que o UFED não pegou no downgrade, porém, não estou conseguindo executar o plug-in no PA
Eu fiz o emailtobkp em um WhatsApp Business que o UFED não pegou no downgrade, porém, não estou conseguindo executar o plug-in no PA
ERRO: Error importing whatsapp data
Alguém já teve sucesso com WhatsApp Business? Preciso executar algum outro plug-in?
É um J810M com Android 10, binário 3, por isso não consegui a física
Tentou extração full file system?
Tentei. Não faz de jeito nenhum
Vixe só downgrade então
Tem o XRY?
Pois é. Fiz downgrade mas não pegou, acredito q por ser o WhatsApp Business
Xry pegou bussiness de um iPhone que eu fiz
Mas acho que não consegue pra Android ainda
O business faz com gbwhatsapp.
Digo gbemailtobkp.
Não consegui nem com XRY nem com Axiom
Se alguém tiver mais alguma ideia, agradeço. Senão, vou ter q entregar sem as conversar do WhatsApp Business
Fotos e/ou extração manual.
Deu certo. Eu estava utilizando o plug-in do GBWhatsapp e nem sabia da existência do outro plug-in pro Whatsapp, pois nunca tinha utilizado. E por se tratar de WhatsApp Business, tinha de ser esse outro, também feito pelo [MENCAO]
Tudo certo agora. Obrigado pessoal
Tudo certo agora. Obrigado pessoal
Origem 515 — 13/09/2022 17:40 a 18:30 — Extração e análise de variantes do WhatsApp
O FTK Imager nao reconhece particoes Linux. Acessa pelo Linux. Caso mesmo assim nao consiga, pode ser um formato de particoes proprietario/derivado do linux.
Onde tem o plug-in para GBWhatsApp? Pode compartilhar?
Pessoal, alguém sabe se tem algum lugar que mostra o histórico de soluções que o UFED tem de um aparelho? Tipo: versão X passou a suportar extração física do modelo Y.
Origem 516 — 14/09/2022 10:13 a 11:18 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Tentei pelo [NOME] e nada de reconhecer a partição
E quanto ao XT1635-02?
Tenta então o desbloqueio mencionado pelo [MENCAO]
Tenta este 👆🏻👆🏻👆🏻 método que já fizemos aqui.
Obrigado, [MENCAO] e os outros. A questão não é fazer agora. Embora isso vai ser útil para extrações futuras. A questão agora é responder ao MP sobre conseguir quebrar agora vs conseguir quebrar antes vs enviar para BH.
Passa essa partição pelo binwalk para medir o grau de entropia. Aí vai saber se está cifrado.
binwalk -E
binwalk -E
Pode analisar a outra partição e ver se tem algum "loader" de truecrypt ou algo parecido
Quando não é possível extrair eu sempre costumo colocar algo assim no laudo "utilizando as ferramentas e metodologias disponíveis no laboratório e descritas na seção DOS EXAMES, até a data de entrega do laudo, não foi possível realizar a extração do aparelho analisado ". Sempre constar também versão do PA e Ufed. Quanto ao EDL a gente faz, mas é uma técnica invasiva que implica em alguns riscos. Alguns Peritos aqui constam que a extração é possível por esse método, mas pedem autorização específica pra realizar o procedimento (essa autorização quase nunca volta).
A ferramenta ainda não está integrada nem comercializada pelo pessoal do xry, atualmente o módulo XAMN é capaz de interpretar as aquisições realizadas através do grayshift
Aqui colocamos as versões das ferramentas. Também colocamos que estamos disponíveis para novos exames. Mas essa mudança no texto foi mais recente. O laudo da época não era tão claro.
Por isso, estamos tendo que explicar. Heheh
Outra coisa no tempo que nossas licenças estavam vencidas (sem atualização), a gente também constava algo pra informar já que uma versão atual talvez poderia ser capaz de fazer a extração
Origem 517 — 20/09/2022 09:30 a 09:30 — Extração e limitações em Motorola XT2083
Bom dia. Alguém já conseguiu extração de dados do aparelho celular XT2083-1, bloqueado por senha.
Origem 518 — 21/09/2022 18:53 a 18:53 — Gente utilizando o UFED
Gente utilizando o ufed
Origem 519 — 10/10/2022 11:03 a 12:42 — Extração e limitações em Motorola XT1792
Bom dia. Estou tentando exportar a árvore de arquivos, no XAMN, e está dando a seguinte mensagem?
Já alterei o nome da extração pra a.xry
Estou tentando exportar pra raiz do C:
mas nada resolve
Estou tentando exportar pra raiz do C:
mas nada resolve
https://www.howtogeek.com/266621/how-to-make-windows-10-accept-file-paths-over-260-characters/
In the value’s properties window, change the value from 0 to 1 in the “Value data” box and then click OK
O meu já está setado com o valor 1
Mais embaixo tem uma política de grupo que muda para versão pro
Mesmo clicando pra executar como administrador
Obrigada... vou testar em casos futuros
Inclusive deixa eu explicar aqui pq quero fazer essa extração da árvore de arquivos, pois talvez tenha alguma outra solução q desconheço.
Estou com um Motorola desbloqueado XT1792, com Android 8.1.0 que não fez a extração física de jeito nenhum no 4PC.
Consegui fazer no XRY e por isso quero exportar a árvore de arquivos pra abrir no PA
Estou com um Motorola desbloqueado XT1792, com Android 8.1.0 que não fez a extração física de jeito nenhum no 4PC.
Consegui fazer no XRY e por isso quero exportar a árvore de arquivos pra abrir no PA
Eu testei no meu aqui e deu certo. Uso conta de administrador local
O xry fez física? Pode tentar abrir no PA como avançado
Se tu tentar gerar o relatório com os arquivos e selecionar pra salvar como zip/compactado ?
O bin estará criptografado
Esse [NOME] é aquele da Academia Forense Digital?
C:\Windows\System32\GroupPolicy\Machine
Dá permissão nos arquivos lá, ou renomeia para que o sistema crie novos
Vi aqui também que existe a possibilidade de abrir um cmd como administrador e executar de lá
Solução 1 deu o mesmo erro. Solução 2 já está feita (minha conta é de admin)
Estou tentando por aqui
Enquanto exporto por zip conforme sugestão do [MENCAO]
<Mídia oculta>
XACT.exe
XACT.exe
[MENCAO] , tenta abrir o .xry e exportar com o XACT
Máquina está logada com conta local ou de rede?
Pode ser uma conta de rede com uma GPO bloqueando geral o gpedit
Talvez deslogando e logando com conta local para não receber a GPO do DC
Até retornei no gpedit.msc pra ver se a alteração não tinha sido desfeita
Tentei abrir aqui mas com o seguinte erro
Tenho instalado aqui na máquina a versão 9.3.2 do XRY.
Estou com a versão 10.0.0
Nunca usei esse programa
Nunca usei esse programa
Ele vinha com versões mais antigas do XRY.
Tô vendo aqui se localizo essa dll
Origem 520 — 10/10/2022 12:54 a 13:53 — / Bom dia, srs! UFED solicitando a instalação manual do app de downgrade
<Mídia oculta>
Bom dia, srs! Ufed solicitando a instalação manual do app de downgrade, todavia, recebo essa mensagem simples de app não instalado. Alguém sabe o que acontece?
Bom dia, srs! Ufed solicitando a instalação manual do app de downgrade, todavia, recebo essa mensagem simples de app não instalado. Alguém sabe o que acontece?
Configure o celular pra aceitar instalações de apps de fontes desconhecidas.
Já fiz... mas continuou o problema, aparentemente trata-se de incompatibilidade do app com a versão atual do android.
Tentou atualizar o app com a versão superior manualmente?
Já chamei ele Alexandre para vir trabalhar comigo, agora que meu setor de extração tá bombando aqui no Pará.
Com a versão superior não, por enquanto está na primeira etapa ainda, com a versão inferior do app..
Instale a versão superior, logo depois tente o downgrade pelo ufed
Eu atualizei a versão do UFED TOUCH 2 ontem
Atualize o seu PA também
Já está disponível no site da Celebrite
<Mídia oculta>
XryCore.rar
XryCore.rar
C:\Program Files\Micro Systemation\XryCore\1
Origem 521 — 11/10/2022 08:17 a 08:21 — Extração e limitações em dispositivos Motorola
<Mídia oculta>
Moto Z2 Play. Conseguir retirar o bloqueio de usuário, mas o alvo pós este app e ele coloca senha em tudo, inclusive nos Ajustes. Alguém sabe como “tirar” esse app? Bom dia.
Moto Z2 Play. Conseguir retirar o bloqueio de usuário, mas o alvo pós este app e ele coloca senha em tudo, inclusive nos Ajustes. Alguém sabe como “tirar” esse app? Bom dia.
A maioria destes app nem criptografia faz. Acho que se fizer a extração física vem tudo
Consegui. Era a letra inicial do nome dele
Já peguei um desses app de bloqueio que se tu errava muito a senha [SEGREDO] entrava normal 😂
Eu geralmente entro em modo de segurança e desinsta-lo. Não sei se ainda dá para fazer isso, faz tempo que não pego aparelho com esses programas.
Origem 522 — 13/10/2022 09:05 a 10:00 — Extração e decodificação de bancos do WhatsApp
Bom dia senhores, estou com um Samsung J2 PRime SM-G532MT, em que consegui fazer a extração física no XRY.... No objetivo da perícia pede histórico de utilização do app Uber, em determinado período, mas na extração não veio nada correlacionado! Alguém já fez algo do tipo ? Tbm não vieram artefatos de georreferenciamento ....
Pessoal, tudo bem?
Estamos com um SM-G610 que deu problema no downgrade do WhatsApp. Na hora de reinstalar o APK do WhatsApp deu como "não instalado". Ao instalar manualmente ele voltou na tela de "concordar e continuar".
A colega que está com o caso depois até conseguiu uma física e no Physical Analyzer apresentou o conteúdo, mas queríamos tentar deixar disponível novamente no aparelho. Alguma dica?
Estamos com um SM-G610 que deu problema no downgrade do WhatsApp. Na hora de reinstalar o APK do WhatsApp deu como "não instalado". Ao instalar manualmente ele voltou na tela de "concordar e continuar".
A colega que está com o caso depois até conseguiu uma física e no Physical Analyzer apresentou o conteúdo, mas queríamos tentar deixar disponível novamente no aparelho. Alguma dica?
Qual commando vc usou para instalação manual?
adb install -r zap.apk ?
Não foi via ADB. Foi baixando e rodando o APK salvo pelo UFED.
Qual a versão do Android?
Você pode, no ufed, recuperar o aplicativo em um porém drive, colocar na memória do aparelho e executar a instalação.
Segundo a colega, parece que o aparelho está com mau contato e interrompeu o processo de dowgrade no meio.
Isso eu nunca cheguei a fazer.
Onde que colocaria o conteúdo exportado do UFED?
Não o conteúdo, somente o app
O processo de downgrade envolve os seguintes passos
1) adb.exe shell pm uninstall -k com.whatsapp
2) adb.exe install -r -d LegacyWhatsApp.apk
3) adb.exe backup -f whatsapp.ab com.whatsapp
4) adb.exe install -r -d apk-original.apk
1) adb.exe shell pm uninstall -k com.whatsapp
2) adb.exe install -r -d LegacyWhatsApp.apk
3) adb.exe backup -f whatsapp.ab com.whatsapp
4) adb.exe install -r -d apk-original.apk
me parece que vc parou ali perto do passo 4)
Device tools-> saved APKs from APK downgrade.
acho que eu tentaria novamente concluir o passo 4
passando o apk atual e -r -d
-r: Replace existing application
-d: Allow version code downgrade.
passando o apk atual e -r -d
-r: Replace existing application
-d: Allow version code downgrade.
meio que não precisa do -d, mas não faz mal adicionar o parâmetro
Ah, sim. Agora entendi. Isso eu tentei fazer sim, mas não permitiu mais a instalação.
Nos androids novos, acho que do 10 pra cima, tem um esquema de instalação com rollback. Nunca testei, mas pretendo fazer uns testes depois para fazer os downgrades
O q seria esse rollback, [NOME]?
https://blog.esper.io/adb-29-how-to-downgrade-rollback-app/
"Android used to not apply the INSTALL_ALLOW_DOWNGRADE flag when the installation session was created by the shell user. This change was introduced in early 2019 so it became available in Android 10 onward. This is why the ‘pm install -d’ command was inconsistent for many users in the past and why it became more consistent with Android 10 (though I don’t think anyone noticed this change). However, there’s an even better method to downgrade apps in Android 10+, one that takes a snapshot of both the app and its data files so that downgrading actually restores the app to its previous state."
Não usei ainda pq não tive muito tempo, mas pretendo testar. Parece que é mais seguro usar o pm com essa flag ao invés de fazer via adb install/uninstall básico
Origem 523 — 13/10/2022 18:00 a 18:37 — Extração e decodificação de bancos do WhatsApp
Boa tarde. A respeito da extração física que fiz com o XRY no Motorola XT1792
Consegui exportar o .bin pelo XAMN. Como tudo no XRY, fica em um local nada intuitivo, mas deu certo.
Entretanto, o PA não conseguiu pegar praticamente nada desse bin (WhatsApp, vídeos, etc..)
Consegui exportar o .bin pelo XAMN. Como tudo no XRY, fica em um local nada intuitivo, mas deu certo.
Entretanto, o PA não conseguiu pegar praticamente nada desse bin (WhatsApp, vídeos, etc..)
Essa é a extração exibida no XAMN
<Mídia oculta>
Bin montado no PA
Bin montado no PA
Mesmo utilizando os perfis “Android Generic”, “XT1793”, ele não consegue
Creio que seja uma partição do sistema operacional apenas
Não sei se o bin veio faltando algo, mas a memória interna do cel tem 32GB tal qual o bin exportado pelo XAMN
o PA parece que só interpretou a partição system
Em Memory Ranges, aparece o q?
na janela de rastreio de log deve ter exibindo cada partição que ele foi detectando ou pulando
Seria interessante gerar um binário para cada partição, ou gerar só o binário do userdata
Comigo funcionou melhor abrindo um projeto avançado e lá dentro informar o modelo mais semelhante ao aparelho analisado
Mas foi o q eu fiz
Nos logs da janela de rastreio deve exibir o que aconteceu
Até onde sei, o XAMN não dá essa opção
Na interface em inglês acredito que seja no menu View
O que aparece abaixo desse a2.xry ?
Enfim... já estava até gerando o relatório em PDF pelo XRY mesmo e desistindo da missão de mandar pelo PA, mas aí achei essa opção do .bin
Pode ser que exportou sem a tabela de onde fica cada partição
Aí talvez o PA só detectou a primeira?
Pode ser. Pela janela de rastreio, não vi nenhum erro que chamasse atenção
Só estou estranhando o binário ter 32GB
E pesquisa no bruto do binário?
Se bem q deve estar crypt
Quando eu fiz ... Era algo tipo: tem que abrir a extração no xman do xry, ir em elements > export data que o sistema vai gerar um binário.
Mas o PA informou quais partições detectou?
17:05:23 Open advanced images: G:\53741\Extracoes\Objeto 02\bin\Dados.bin
17:05:23 Open advanced selected Chain: AndroidDD
17:05:23 Open advanced selected Chain: AndroidDD
17:05:28 Parsing MBR for memory range: New Image #1
17:05:28 Parsing MBR for memory range: New Image #1
a system ele encontra
Não encontrei esse ELEMENTS. É no menu superior?
Pois é, faz bastante tempo que fiz esse procedimento e a nossa licença já venceu. Achei esse roteiro nas minhas anotações do caso
Origem 524 — 21/10/2022 13:38 a 14:08 — Conexão USB, ADB e diagnóstico de porta em Android
o HTTRACKER é uma boa opção?
Boa tarde. Preciso fazer a extração física de um J7 neo (j701mt), mas aqui só faz com root. Fiz o root, porém precisa redefinir aos padrões de fábrica. Ainda conseguiria extrair dados apagados da instalação atual via adb root após essa redefinição - mesmo que não todos?
Ps: O processo pedia para formatar a partição /data, mas pulei essa etapa e agora pede para redefinir.
Ps: O processo pedia para formatar a partição /data, mas pulei essa etapa e agora pede para redefinir.
Boa tarde! Acho q depois de redefinir, já era.
Vc tem o XRY
Acho que tem a física nele
Tem sim, mas pede root
Se redefinir vai dá ruim
Tem axiom?
Axiom na parte de cloud faz. Se quiser copiar o site mesmo de maneira forense, pode usar o magnet web page saver
https://www.magnetforensics.com/resources/web-page-saver/
Ele já faz até o hash dos elementos
por ano? uma licença?
Origem 525 — 21/10/2022 17:03 a 17:39 — Root em dispositivo Android para extração pericial
creio que quando vc fez o root, deve ter feito a gravação de uma parte do firmware com o su
provavelmente o boot.img
ao inicializar, o processo não entende a userdata que está encriptada
creio que para esse aparelho, por ser um Samsung Exynos 7870,
o melhor seria usar a extração para esse chip
acho que vai de boa...
provavelmente o boot.img
ao inicializar, o processo não entende a userdata que está encriptada
creio que para esse aparelho, por ser um Samsung Exynos 7870,
o melhor seria usar a extração para esse chip
acho que vai de boa...
no seu caso, acho que talvez seja necessário desfazer o root e tentar fazer o aparelho voltar a inicializar
eu também tentei com o perfil Exynos generic do XRY e não deu certo, mas vou tentar de novo. obrigado.
uma dúvida... tem como desfazer o root sem ter que reinstalar a ROM original?
Esse J701 é bem tranquilo no UFED
nosso UFED está com licença de 2018 😢
teria de tentar regravar via ODIN as partições que foram gravadas durante o processo de root,
retornando o estado do aparelho para um estado que ele consiga descriptografar a userdata e inicializar o sistema
em seguida vc poderia tentar extrair no UFED ou no xry...
retornando o estado do aparelho para um estado que ele consiga descriptografar a userdata e inicializar o sistema
em seguida vc poderia tentar extrair no UFED ou no xry...
vou ter que estudar como faz isso... espero que dê bom. obrigado 👊🏻
As extrações físicas que tenho foram no perfil dele no decrypted boot loader. Não sei se tinha nas versões de 2018
se não me engano, não seria possível fazer aqui porque a atualização de segurança que nosso UFED pega vai até Nov/2016. a atualização do aparelho em questão é de Dez/2020. confesso que nem tentei... espero não ter sido um vacilo...
o perfil do aparelho no XRY só faz física se estiver com root.
também tentei o Exynos, mas não deu certo
o perfil do aparelho no XRY só faz física se estiver com root.
também tentei o Exynos, mas não deu certo
Origem 526 — 26/10/2022 09:15 a 09:19 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia! Samsung A720F (exynos 7880) bloqueado com inicialização segura, alguma recomendação de extração no 4PC?
Ele está bloqueado como? Não dá para fazer FB?
Origem 527 — 27/10/2022 11:22 a 12:17 — Extração e decodificação de bancos do WhatsApp
bom dia, quero compartilhar uma informação: aparelho Sony Xperia c2304; UFED faz apenas extracao logica. WhatsApp: FT nao conseguiu nem [NOME] pois o Android 4.2.2 modificado pela Sony nao permite instalação de app via usb e nem disponibiliza navegador de arquivos internos sem fazer root. Solução para extração do WhatsApp (cripty12) foi usar o antigo "WhatsApp-Key-DB-Extractor-master" que foi descontinuado desde 2016, mas trouxe o msgstore.db, chave key, wa.db . Depois só jogar no iPED ou usar o WhatsApp View
Bom dia. Logs/Registros do AnyDesk, vocês sabem dizer se há algum?
de acessos, conexões?
AnyDesk é top em termos de logs
Arquivo anytrace salvo engano
Precisa de extração física, se for celular
No pc tb deixa bons registros
Valeu, encontrei aqui no appdata
ele loga as conexões por ID. Não forneceu IP, mas já ajuda!
Origem 528 — 27/10/2022 14:18 a 15:53 — Extração e compatibilidade em Samsung SM-J810M
Boa tarde, pessoal. Alguma dica para o SM-J810M/DS ou SM-G611MT/DS?
O primeiro o UFED pega até a versão 9, mas este está na versão 10. 🙁
Nos casos, seriam só remoção de senha mesmo.
Não consegui quebrar a senha, mas estou conseguindo fazer a extração. Já ajuda demais. Muito obrigado.
Estou com as atualizações do Windows suspensas e começou de novo
Alguém está com o mesmo problema no PÁ?
1) Feche o PA e certifique-se que não há nenhum processo do Physical Analyzer ou Cloud rodando no Gerenciador de Tarefas
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
Seguir os passos acima.
Solução
Hello,
Thanks for the information.
Please follow the steps below.
Uninstall all of the Windows updates below (You may not have all 3 installed)
KB5017262
KB5017270
KB5017857
Navigate to Windows Features, then remove the latest .NET Framework.
Open PA, navigate to Tools > General Settings > Views. Deselect "Display cloud data source results," then select OK
See if this resolves the issue.
Try PA again
Hello,
Thanks for the information.
Please follow the steps below.
Uninstall all of the Windows updates below (You may not have all 3 installed)
KB5017262
KB5017270
KB5017857
Navigate to Windows Features, then remove the latest .NET Framework.
Open PA, navigate to Tools > General Settings > Views. Deselect "Display cloud data source results," then select OK
See if this resolves the issue.
Try PA again
Já fiz tudo que tinha sido postado aqui
<Mídia oculta>
Achei um dos KB amaldiçoados
Achei um dos KB amaldiçoados
Origem 529 — 28/10/2022 11:01 a 11:26 — Extração e decodificação de bancos do WhatsApp
Não... achei o link https do Whats, mas deu erro 404
Ixi, então o arquivo não está mais disponível 😔
Nesse caso, acho que não será possível recuperá-lo.
Pois é, além disso fiz carving e tentei pelo UFED cloud tbem... Nada!
Pelos testes que fiz, os arquivos ficam disponíveis nos servidores do zap por aproximadamente 15 dias
Dentro desse período é possível baixar esses arquivos .enc novamente
Ixi, sem chance então
Carving em sistema de arquivos de dispositivos móveis não vem quase nada
Eu implementei um script em python que automatiza a recuperação de arquivos de mídia do whatsapp cujos links ainda estejam ativos. Esse script basicamente varre o banco de dados do wa verificando quais arquivos de mídia estão ausentes no diretório 'media', verifica se o link ainda está ativo, caso esteja, o arquivo é baixado, descriptogrado, renomeado para seu nome original e colocado em seu diretório padrão. Dessa forma, ao fazer o parser pelo PA os vínculos dos arquivos funcionam normalmente
Mas como eu disse, basicamente consegue recuperar os arquivos mais recentes (aproximadamente últimos 15 dias)
Estou fazendo uns ofícios de 2014, mas tenho interesse nesse script mesmo assim
Origem 530 — 31/10/2022 18:11 a 18:50 — Extração e análise de mensagens do WhatsApp
IMG-20221031-WA0025.jpg (arquivo anexado)
Pessoal, não sei se vcs já perceberam, acho que eu já comentei aqui...
mas repetindo caso seja útil para alguém...
em alguns casos dá para saber o IP de alguém que recebe/faz uma chamada do whatsapp
Pessoal, não sei se vcs já perceberam, acho que eu já comentei aqui...
mas repetindo caso seja útil para alguém...
em alguns casos dá para saber o IP de alguém que recebe/faz uma chamada do whatsapp
apenas passando a informação caso seja útil em algum caso em que se queira descobrir o IP de alguém que esteja aplicando golpes de OLX etc...
a imagem foi retirada de um log do whatsapp, portanto, tb dá para usar em vestígios
mais informações em:
https://github.com/leosol/waip
a imagem foi retirada de um log do whatsapp, portanto, tb dá para usar em vestígios
mais informações em:
https://github.com/leosol/waip
Parabéns. Obrigado por compartilhar essa informação.
Dispositivo Motorola XT1771
Extração física via bootloader.
Origem 531 — 09/11/2022 09:07 a 10:15 — Extração e análise de dados em iPhone/iOS
IMG-20221109-WA0003.jpg (arquivo anexado)
Pessoal alguém já teve esse problema?
Pessoal alguém já teve esse problema?
Pede 280TB no cellebrite
280tb de armazenamento pra extrair um iPhone 8s
"pequeno demais" 😆... pelo menos deveria se dizer "insuficiente"
IPhone é como fazer duplicações absurdas de arquivos na extração full fs. Até 3x o tamanho da memória já vi, mas 280TB foi tenso.
Ja tivemos uma dessa que pedia mais de 2TB. Ai nesse caso vai ter que fazer um "app select" ao invés de tudao
pode ser que tenha um "zip bomb" no meios dos arquivos
Selecione os de interesse na perícia e veja se consegue resolver o caso, ai se não, vai fazendo novos app nessa extração.
já pegou algum caso assim??
Valeu. Qualquer dúvida, só chamar.
Em computador as vezes acontece. Por isso que os programas geralmente têm um limite de recursão de extrações de arquivos compactados
Muito boas as traduções que eles fazem. Outra é o espaço livre de armazenamento traduzirem como "espaço *grátis*"
essa do "grátis" é o clássico da Cellebrite 😆😆
Acho que o "home" no UFED PA em português, é um termo muito non-sense, tipo "espaço de casa", algo assim
Sim. “Tipo Residencial” 😂😂
Isso, não estava me recordando 🤣🤣🤣🤣🤣
Colega aqui hoje de manhã estava me perguntando o que é esculturar, do axiom. Deduzi que seria o carving 🤣
Axiom em português é ruim de usar, pq eles ordenam os artefatos alfabeticamente em inglês apenas, em português os artefatos ficam "desordenados" alfabeticamente. Só tenho usado em inglês mesmo.
Origem 532 — 09/11/2022 15:49 a 16:16 — Um deste modelo bloqueado. Alguma possibilidade de extração
Boa tarde!! Estou com um deste modelo bloqueado. Alguma possibilidade de extração?
Premium faz extração
Origem 533 — 18/11/2022 11:52 a 12:21 — Extração Samsung em modo Download/ODIN
EFS corrompida... caceta....
será que foi alguma tentativa de regravar o IMEI?
será que foi alguma tentativa de regravar o IMEI?
https://forum.xda-developers.com/t/guide-efs-partitions-what-they-are-and-how-to-get-it-back-if-lost.3307793/
"If you lose your EFS folder, you lose pretty much any chance of your phone being able to use data, Wifi, Bluetooth, and (in my case) your phone will just not wanna respond and reboot quite a lot."
Tentou o cabo amarelo (cabo para entrar direto em download-mode)?
Tentaria esse cabo, e tentaria ou flashear uma ROM compatível. Se a rom estiver parcialmente avariada, pode tentar mudar a tabela de partição para um recovery em outra região de memória, e gravar um recovery por lá
Tentaria o cabo amarelho e depois flash de uma ROM compatível
O esquema de mudar a PIT é só se for confirmado corrupção da memória.
Boa tarde. Alguém sabe o contato do colega que desenvolveu a DVRExtractor, do Paraná?
Mas o modo download eu consigo entrar
Origem 534 — 22/11/2022 09:54 a 10:33 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia.
Estou com um G532M que a princípio não seria problema nenhum.
Ocorre que estava fazendo a física (Decrypted Boot Loader) e quando a barra de progresso estava em aprox. 60%, o cel desconectou do PC e não liga mais.
Quando emitiu o som de desconexão (eu percebi, pois estava de fone), até olhei na tela de celular e a tela ainda estava ligada, com 17% de bateria.
Depois o cel desligou e não liga mais, inclusive com alimentação externa
Estou com um G532M que a princípio não seria problema nenhum.
Ocorre que estava fazendo a física (Decrypted Boot Loader) e quando a barra de progresso estava em aprox. 60%, o cel desconectou do PC e não liga mais.
Quando emitiu o som de desconexão (eu percebi, pois estava de fone), até olhei na tela de celular e a tela ainda estava ligada, com 17% de bateria.
Depois o cel desligou e não liga mais, inclusive com alimentação externa
As dúvidas:
a) ainda tem o q fazer? Alguma sugestão?
b) com relação à extração parcial que fez (7,4GB), tem como eu aproveitar? Tentei rodar no PA mas não pegou nada. Provavelmente está criptografada né? E dependia do término da extração
a) ainda tem o q fazer? Alguma sugestão?
b) com relação à extração parcial que fez (7,4GB), tem como eu aproveitar? Tentei rodar no PA mas não pegou nada. Provavelmente está criptografada né? E dependia do término da extração
Na verdade, só atualizando a informação: com os comandos POWER, HOME, VOL+ o cel emite um som no computador de conexão e logo em seguida de desconexão. Somente isso.
Sem aparecer imagem na tela.
Sem aparecer imagem na tela.
Origem 535 — 07/12/2022 10:56 a 10:59 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
SPI_WHATSAPP_EMAIL_NPA.7z
SPI_WHATSAPP_EMAIL_NPA.7z
Bom dia [NOME],
Esse é o novo plug-in?
Esse é o novo plug-in?
👆🏼Foi feito _port_ do script de carga de extrações do SPITOOLS para novas versões do UFEDPA (*NPA*).
Como mudaram a API, agora o uso é um pouco diferente. Manual acompanha o plugin e os scripts.
Documentação está bem simples, mas para quem usou as outras versões, acredito que não haverão dificuldades.
O plugin está compilado para UFEDPA 7.58, mas inclui o fonte para adaptações e compilações para outras versões.
Devido a correria, foi feito apenas um teste. QQ problema, pode entrar em contato.
Como mudaram a API, agora o uso é um pouco diferente. Manual acompanha o plugin e os scripts.
Documentação está bem simples, mas para quem usou as outras versões, acredito que não haverão dificuldades.
O plugin está compilado para UFEDPA 7.58, mas inclui o fonte para adaptações e compilações para outras versões.
Devido a correria, foi feito apenas um teste. QQ problema, pode entrar em contato.
Origem 536 — 15/12/2022 11:42 a 11:51 — Extração e root em dispositivos LG
Pessoal, blz? Alguma dica pra extração física ou FFS de um LG K11+?
Chipset MT6750 e Android 7.1.2
Chipset MT6750 e Android 7.1.2
Bom dia, colegas.
Alguém já pegou para exame celular com bloqueio de sistema de leasing da https://nuovopay.com/ ?
Alguém já pegou para exame celular com bloqueio de sistema de leasing da https://nuovopay.com/ ?
Já tentei vários aqui. Tanto no UFED 7.60 quanto no 7.50. Nada só o básico lógica + downgrade mesmo.
Pois é. Tentei tbm. Nada. Acho q não vai ter muito jeito.
Origem 537 — 16/12/2022 10:27 a 12:26 — Root e extração em dispositivo Positivo
https://g1.globo.com/tecnologia/noticia/2022/12/15/instagram-lanca-ferramenta-para-quem-teve-conta-hackeada-veja-como-usar.ghtml
Boa tarde a todos. Estou conduzindo uma pesquisa sobra a parte de extração de dados de celulares nos diferentes estados do Brasil.
- Em algum dos estados de vocês a extração é feita por outro profissional que não o Perito Criminal?
- Caso positivo, qual o profissional e aonde é realizado?
- Esses profissionais possuem equipamento próprio para isso (ex: UFED)?
O objetivo dessa pesquisa é avaliar até aonde a pura extração de dados é considerada perícia ou se é uma atividade semelhante a transcrição de áudio ou escolha de documentos durante uma apreensão. Em alguns artigos que estou achando na literatura, a extração de dados faz parte da etapa de aquisição do processo pericial, mas ainda não achei artigos que falem sobre o processo simplesmente terminar na própria extração, sem as demais etapas.
- Em algum dos estados de vocês a extração é feita por outro profissional que não o Perito Criminal?
- Caso positivo, qual o profissional e aonde é realizado?
- Esses profissionais possuem equipamento próprio para isso (ex: UFED)?
O objetivo dessa pesquisa é avaliar até aonde a pura extração de dados é considerada perícia ou se é uma atividade semelhante a transcrição de áudio ou escolha de documentos durante uma apreensão. Em alguns artigos que estou achando na literatura, a extração de dados faz parte da etapa de aquisição do processo pericial, mas ainda não achei artigos que falem sobre o processo simplesmente terminar na própria extração, sem as demais etapas.
Origem 538 — 19/12/2022 13:15 a 13:32 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde senhores, estou com um MOTO G4 PLAY XT1607, em loop de inicialização, alguma dica?
Daria pra tentar via edl. Não precisa que o so inicie
Pode usar a ferramenta de recovery loop q tem no UFEd
Isso mesmo. Via test point vc coloca o celular em EDL e faz a extração física no UFED
O chipset desse celular (msm8916) costuma dar boa via EDL.
Facinho no EDL sem decrypting mesmo
Origem 539 — 20/12/2022 12:22 a 13:32 — Extração e compatibilidade em Samsung SMARTFLOW
Bom dia. Estou com um J400M desbloqueado. Pelo q tinha visto, era para ser tranquila a extração no UFED, só que ele tá com um patch de segurança recente, de 05/22 e Android 10. Extrações física, de sistema de arquivos e smartflow só dando erro. Alguém tem alguma sugestão?
Os dois J400M que achei aqui foi com o decrypted boot loader
Sabe dizer se já Android 10?
São registros de outro servidor que não relata nada sobre isso 🤦🏻♂️
Mas no 4PC diz que era para funcionar até o 10
Diz mesmo, mas nessa minha versão não tá funcionando nem com reza... Os casos de sucesso q tivemos com esse modelo eram Android 8 e 9
Ja tentou na versão J400F?
Abri um report que tinha no servidor e vi que era 9
O outro é mais antigo, também não deve ser 10
Tentei sim... sem sucesso tbem
Esse patch fechou a falha q o ufed explorava
Dá pra tentar uma downgrade, se não me engano vi uma rom chilena com bit E e spl de dezembro/21. Só que é possível que ele entre em bootloop
Origem 540 — 22/12/2022 10:17 a 10:30 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia, colegas. Estamos tendo vários problemas com conectividade de aparelhos Samsung, principalmente os mais recentes: nessa semana tivemos problemas com um S10 e S20. Trocamos cabos, trocamos de UFED e nada. Ele não reconhece a conexão USB ou quando reconhece fica naquele "conecta e desconecta". Alguém já passou por isso? Conseguiu resolver?
bomdia,testaram em outro PC?
Sim, geralmente fazemos 3 passos:
1 - Limpeza do conector
2 - Verificacao de impedancia e carregamento com conector externo
3 - Abertura e analise do circuito eletrônico
1 - Limpeza do conector
2 - Verificacao de impedancia e carregamento com conector externo
3 - Abertura e analise do circuito eletrônico
Sendo conector do tipo usb C, sugiro limpar e tentar inverter o cabo.
Resolvemos um essa semana que veio sem bateria, sem tela, sem botao power e sem usb.
temos 3 UFEDs e em nenhum deles funciona
Mas temos Premium, ja facilita nao ter tela
Sim. Acho que essa será a opção por aqui.
o problema é que se não funciona a conexão USB, não teria muito o que fazer tb no premium. Só atuando internamente, como vc disse, fazendo a análise do circuito né?
Isso, esses celulares tem mto problema no flat que liga a placa mae na placa usb. Mas como está intermitente, eu chutaria que é o conector usb.
Origem 541 — 22/12/2022 17:21 a 17:40 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde! Recebi uma requisição pra ver se o aplicativo do banco do celular de uma pessoa foi invadido. Como vcs procedem? Pensei em fazer a extração e verificar via ufed se tem malwares ou softwares estranhos. Alguém tem algum outra ideia?
O Axiom também é muito bom para ver as evidências de malwares
Ainda não temos. Estamos com isso ief e o ftk ainda desatualizado.
Aqueles doados pela Senasp.
Aqueles doados pela Senasp.
Acho q desde 2019 desatualizados.
Então é o UFED mesmo
Origem 542 — 23/12/2022 11:47 a 11:49 — / Depois de um ano maravilhoso e se consagrando o melhor setor de
<Mídia oculta>
Depois de um ano maravilhoso e se consagrando o melhor setor de Perícias Tecnológicas do Estado do Pará, o Núcleo de Fonética Forense e Extração de Dados deseja a todos um Feliz Natal e um próspero ano Novo. Obrigado a todos que fazem parte dessa nova História e apoiam nosso setor!!!
Depois de um ano maravilhoso e se consagrando o melhor setor de Perícias Tecnológicas do Estado do Pará, o Núcleo de Fonética Forense e Extração de Dados deseja a todos um Feliz Natal e um próspero ano Novo. Obrigado a todos que fazem parte dessa nova História e apoiam nosso setor!!!
Um ótimo Natal a todos e seus familiares.
Muito obrigado Dr Marcus
Origem 543 — 27/12/2022 12:43 a 12:52 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia. Peguei um A105M com a tela inoperante. Fui tentar fazer "às cegas" a extração FBE e até apareceu a tela com as opções de Força Bruta, etc... daí eu imaginei que o cel estivesse bloqueado. Porém, quando clico pra começar a força bruta, ele fica repetindo essa mesma tela.
Fiz v
Fiz v
Fiz várias tentativas, tanto no UFED Touch quanto no 4PC, e o fato se repetiu
Não sei se o cel está desbloqueado, porém, como não foi feita nenhuma configuração de depuração adb, ele mostra essa tela...
Na sequência, como essa opção não dava certo, fiz a BFU, extraiu 5,97 GB e exibiu na tela final que foi feito Full File System (FBE) com sucesso
Porém só veio aparentemente imagens e áudio do sistema
Ja tivemos esse problema tbm. Acredito que seja algum falha na versão 7.60 ou 7.59 do UFED. Talvez tentar um downgrade para versão 7.58 e ver se da boa.
A que deu ruim na nossa foi 7.60. E foi em outro modelo de celular tbm.
A que deu ruim na nossa foi 7.60. E foi em outro modelo de celular tbm.
BFU é apenas isso mesmo. Não virá nada além disso.
Aqui foi na 7.60. Obrigado pela dica, vou tentar o downgrade
Não testei na 7.59. Talvez tentar ela primeiro
Pois é... já tinha ouvido falar q pega apenas arquivos de sistema, porém, o que estranhei foi a msg final, falando que a Full File System (FBE) tinha sido feita com sucesso, e também o diretório veio com esse nome
Outro erro. BFU é apenas isso. Só arquivos que ficam na área de partição não crypto do FBE. Arquivos do usuário e apps ficam na area da partição crypto. Ai nesse caso precisa da senha para ter acesso.
Faz FFS mas criptografada
Origem 544 — 30/12/2022 15:44 a 15:53 — Extração e bloqueios em Redmi Note 11
Pessoal, alguém sabe dizer se há algum arquivo no Redmi Note 11 (XIAOMI) que eu consiga verificar a data de formatação? Obs.: temos o UFED TOUCH 2 de julho/2018
talvez em /mnt/rescue/recovery/
se conseguir uma extração física
lá tem o last_log
Origem 545 — 04/01/2023 09:09 a 10:05 — Compatibilidade e extração em dispositivos Samsung Galaxy
https://tecnoblog.net/noticias/2023/01/02/hacker-invade-hospital-para-criancas-e-grupo-de-ransomware-se-desculpa/
Interessante, disponibilizaram uma vm para descriptografar. Botando em um computador "limpo", fora da rede, pode servir para estudar
Samsung bloqueado, com a tela quebrada, mas ligando (vibra) e dá pra ver parcialmente poucos pixels
alguma forma de extração sem precisar consertar a tela?
um M12 (M127F)
Bom dia. Talvez FBE Exynos. Pode ser que seja compatível e possa fazer BF.
Ainda não tive sucesso no FBE com esse Exynos 850. Pelo menos não até o UFED 7.58…
Origem 546 — 04/01/2023 18:34 a 18:34 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde. Alguém já precisou extrair mensagens de um aplicativo com nome LITMATCH? Ele está instalado celular, porem só acessa com internet.
O UFED conseguiu extrair as mensagens dele.
Origem 547 — 10/01/2023 16:04 a 17:10 — Extração e decodificação de bancos do WhatsApp
Boa tarde, pessoal. Estou com um G532MT. Eu faço o procedimento para extração física, mas quando chega na hora de colocar o cabo 130 e ligar o aparelho com os botões + - apertados, ele não liga. No procedimento, diz que, nesse caso, apertar o power. O aparelho liga, mas não detecta e não dá prosseguimento. O que pode estar dando de errado?
Os botões estão funcionando bem?
Sinal do id do usb pode estar zoado
Os botões estão funcionando sim.
Vixe! Só se for isso.
Apesar de que o modelo não bate certinho. Estou usando G532M para fazer no G532MT
É possível aplicar o root e fazer extração física via adb.
Aqui deu certo usando este modelo.
Mesma coisa do outro. Mas obrigado pela ajuda.
Acho que vai ter que ser o jeito. Queria evitar isso a todo custo. Hehehe
Ja tentou a opção de smart flow do ufed 7.60?
Provavel que não tenha sucesso. Esse é crypto, então terá uma extração nao decifração.
Não cheguei a testar nesse modelo ainda.
Vou testar em breve. Estou só terminando um Backup aqui.
Tem quer verificar o número de compilação pra usar o twrp/cwm correto.
Gosto de aplicar root em dispositivos Samsung com a versão do Android abaixo do 7. É bem prático.
Gosto de aplicar root em dispositivos Samsung com a versão do Android abaixo do 7. É bem prático.
Vc já chegou a aplicar esse método no SM-G532MT?
Esse é um crypto full disk.
Esse é um crypto full disk.
Sim. Há complicação que permite e outra não.
Tenho que verifcar para tirar a dúvida.
Mas deu boa a interpretação dos dados?
Esse erro ai da /data o que foi?
Compare o número de compilação, por exemplo.
Outra dúvida: seria possível recuperar as conversas de WhatsApp depois que a pessoa habilitou em outro aparelho?
Se houver banco de dados das conversas no aparelho, provavelmente sim. Pelo menos ate o momento da migração.
Se o aparelho anterior não estiver ligado ou for ligado durante ou depois da ativação no outro aparelho, dá
Apresenta algumas falhas mas no final foi possível instalar o TWRP e o superSU e realizar a extração física via adb.
Beleza, quanto a extração tranq. Mas a interpretação dos dados? Puq dispositivos que são FDE a extração vira crypto. Como conseguiu bypass essa limitação nesse eq?
É necessário realizar primeiro a extração lógica, por exemplo.
Mesmo sabendo que dará certo a aplicação de root, faço a extração lógica.
Mesmo sabendo que dará certo a aplicação de root, faço a extração lógica.
O superSU vc instalou no Android mesmo? Ai depois iniciou o sistema e fez via ADB?
Qual seria o método?
Tem que ter extração física ou full fs nos casos de FBE.
1. Instalar primeiro o TWRP.
2. Abrir/acessar o "recovery pessonalizado" (TWRP).
3. Instalar o superSU via TWRP.
2. Abrir/acessar o "recovery pessonalizado" (TWRP).
3. Instalar o superSU via TWRP.
Aí se tiver algum BD antigo, pode ter sucesso.
Origem 548 — 10/01/2023 17:11 a 17:30 — Conexão USB, ADB e diagnóstico de porta em Android
Ai depois iniciar o Android e boa, certo?
Sim. É o último passo.
Depois é só realizar extração física via adb no UFED Touch, por exemplo.
Depois é só realizar extração física via adb no UFED Touch, por exemplo.
Há exemplos no YouTube e na internet.
Se precisar posso enviar um passo a posso.
Se precisar posso enviar um passo a posso.
Cara, se não for pedir muito, gostaria de um passo a passo sim.
Tranquilo!
Enviarei amanhã.
Enviarei amanhã.
Chat errado... desculpe
Não é preciso instalar supersu.
Com twrp instalado, insira um cartão sim e faça cópia do mmcblk0, depois abre no PA como caso avançado .bin
Com twrp instalado, insira um cartão sim e faça cópia do mmcblk0, depois abre no PA como caso avançado .bin
Origem 549 — 10/01/2023 18:03 a 19:29 — Extração Samsung em modo Download/ODIN
Você está desligando ele como? Quando vai trocar pelo cabo 130?
Pode ser coincidência, mas estava com esse mesmo problema,
e a extração deu certo depois que desliguei pelo botão mesmo.
Antes estava tirando a bateria para desligar mais rápido.
Pode ser coincidência, mas estava com esse mesmo problema,
e a extração deu certo depois que desliguei pelo botão mesmo.
Antes estava tirando a bateria para desligar mais rápido.
Eu reinicio o celular pelos botões (porque estava em modo download), espero iniciar e desligo apertando o botão mesmo.
E quando você tirava a bateria e colocava de volta, conseguia, pelo menos, fazer o lance dos botões + e - ? Porque no meu caso, passa direito.
Quando tirava a bateria, quando apertava os botões + e - passava direto.
Quando desliguei sem tirar bateria e apertei + e -
e pluguei o cabo 130, aí entrou no modo, sem nem precisar apertar power, se me lembro bem.
Desse modelo também consegui extração usando
Generic Samsung MT6737T
Quando desliguei sem tirar bateria e apertei + e -
e pluguei o cabo 130, aí entrou no modo, sem nem precisar apertar power, se me lembro bem.
Desse modelo também consegui extração usando
Generic Samsung MT6737T
*Computação:* ciência não exata, entretanto, se insistir, acaba dando certo.😂😂
Eu sempre digo: Computação é uma ciência esotérica.
Obrigado a todos pelas ajudas.
Se mexer, pertence à Biologia. Se feder, pertence à Química. Se não funcionar, pertence à Física. Se ninguém entende, é Matemática. Se não faz sentido, é Economia ou Psicologia. Se não mexe, não fede, não funciona, ninguém entende e não faz sentido... Com certeza é Informática!
Eu quero colocar aquela frase da definição de insanidade na parede da seção faz tempo 🤣
Origem 550 — 11/01/2023 12:45 a 16:09 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Boa tarde.
Fiz uma Partial File System de um G531BT e o PA trouxe os arquivos gesture.key, password.key, porém, não exibiu a senha.
Android 5.1.1
Como era mesmo o procedimento para revelar a senha?
Fiz uma Partial File System de um G531BT e o PA trouxe os arquivos gesture.key, password.key, porém, não exibiu a senha.
Android 5.1.1
Como era mesmo o procedimento para revelar a senha?
Se tiver bloqueado por padrão
Pra alfanumérico essa engenharia reversa não funciona né?
Já passou a extração pelo PA?
No resumo da extração, mostrava.
No final do resumo da extração, mostrava a sequência numérica do gesto.
Tem outro arquivo que mostra o tipo de senha, quantas letras, números, maiúsculas, caracteres especias…
Acabei de fazer um desse 😅😅
Eu peguei o salt do "locksettings.db "
Eu peguei o salt do "locksettings.db "
Junto do hash do password.key
Nesse password tem o sha1 e MD5. Eu usei o MD5
Depois rodei no hashcat e me trouxe a senha
Rodar pelo PA não, porém pode fazer manualmente com um dicionário
Massa! Que dicionário vc usou?
Nos dois casos que fiz agora eram senhas PIN. Então fui add dígitos no hashcat até que encontrasse a senha.
Mas já fiz no passado um desses com alfanumerico. Aí usei vários dicionários, aí tivemos sucesso com o rockyou.
Mas já fiz no passado um desses com alfanumerico. Aí usei vários dicionários, aí tivemos sucesso com o rockyou.
O Poder Judiciário do Estado do Pará comunica que a rede de tecnologia da informação do Tribunal de Justiça do Pará identificou suposto ataque cibernético.
Imediatamente, a Secretaria de Informática iniciou os procedimentos cabíveis. Não houve perda alguma de dados já que os principais sistemas não foram acessados.
Por precaução, em razão do registrado, os serviços ficarão indisponíveis de 11 a 15 de janeiro de 2023 para indispensáveis procedimentos de segurança.
Durante o período mencionado, as medidas urgentes serão apreciadas em regime de plantão. Para isso, as petições deverão ser apresentadas de forma manual, nos moldes preceituados pela art. 4-A, parágrafo 4, da Resolução do TJPA n. 16, de 1 de junho de 2016, que regulamenta o serviço de plantão judiciário em 1 e 2 Graus. Os contatos das unidades judiciárias plantonistas podem ser consultadas nos links abaixo.
Ressalta-se que até o dia 20 de janeiro de 2023, os prazos e a realização de atos processuais observarão o Artigo 220 do Código de Processo Civil, o Artigo 798-A do Código de Processo Penal e as disposições da Resolução nº. 33/2016, com as alterações promovidas pela Resolução nº. 01/2017.
O atendimento ao público e o expediente forense estão mantidos e permanecem inalterados neste período.
A Presidência do TJPA comunicou o registro do fato ao Conselho Nacional de Justiça.
A área de tecnologia da informação do TJPA recomenda aos usuários – magistrado(a)s, servidore(a)s, estagiário(a)s e terceirizado(a)s - que façam a troca de suas senhas e que não utilizem computadores, ainda que os pessoais, até que seja garantida a segurança do procedimento.
Imediatamente, a Secretaria de Informática iniciou os procedimentos cabíveis. Não houve perda alguma de dados já que os principais sistemas não foram acessados.
Por precaução, em razão do registrado, os serviços ficarão indisponíveis de 11 a 15 de janeiro de 2023 para indispensáveis procedimentos de segurança.
Durante o período mencionado, as medidas urgentes serão apreciadas em regime de plantão. Para isso, as petições deverão ser apresentadas de forma manual, nos moldes preceituados pela art. 4-A, parágrafo 4, da Resolução do TJPA n. 16, de 1 de junho de 2016, que regulamenta o serviço de plantão judiciário em 1 e 2 Graus. Os contatos das unidades judiciárias plantonistas podem ser consultadas nos links abaixo.
Ressalta-se que até o dia 20 de janeiro de 2023, os prazos e a realização de atos processuais observarão o Artigo 220 do Código de Processo Civil, o Artigo 798-A do Código de Processo Penal e as disposições da Resolução nº. 33/2016, com as alterações promovidas pela Resolução nº. 01/2017.
O atendimento ao público e o expediente forense estão mantidos e permanecem inalterados neste período.
A Presidência do TJPA comunicou o registro do fato ao Conselho Nacional de Justiça.
A área de tecnologia da informação do TJPA recomenda aos usuários – magistrado(a)s, servidore(a)s, estagiário(a)s e terceirizado(a)s - que façam a troca de suas senhas e que não utilizem computadores, ainda que os pessoais, até que seja garantida a segurança do procedimento.
Trabalhando para os Peritos do Pará
Origem 551 — 20/01/2023 09:48 a 10:23 — Extração e limitações em Motorola XT1032
Bom dia! Moto XT1032. Alguma opção específica pra fazer a física? No 4PC tem várias.
Tem uma extração física de um XT1033 com o perfil do XT1039 - boot loader
Vou tentar aqui 👍🏻
<Mídia oculta>
Inicia mas dá erro 4PC
Inicia mas dá erro 4PC
Esses fazemos via exploit initRoot
No touch normalmente não rola
Origem 552 — 23/01/2023 11:20 a 11:32 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia. Estou com um Motorola XT1603, desbloqueado, Android 7.1.1, patch de segurança 01/06/2018
Não consigo fazer nele nenhuma extração mais completa (Física, FFS)...
Alguma dica?
Não consigo fazer nele nenhuma extração mais completa (Física, FFS)...
Alguma dica?
Em 2020 já tiveram sucesso aqui na seção fazendo física por bootloader no modelo XT1607 e Smart ADB no XT1922-5
Esse é um QC8916
Com opção edl adb da boa
No UFED é a generica qualcomm (ADB)
Mas como colocar no modo EDL?
Ah, esquece. Android 7.1
Tentei por linha de comando fastboot..
Nesse caso tem que usar os test point para entrar em EDL e depois usar opção de edl recommended
Nesse Android foi removida essa opção.
Ainda não fiz extração via EDL.
Alguém tem material que explique o que é e como entrar, além das ferramentas usadas?
Alguém tem material que explique o que é e como entrar, além das ferramentas usadas?
Vai ter que abrir o celular.
Após isso, identificar os test point e dar curto neles para entrar em EDL. (Tem o pontos já mapeados em algum link já compartilhado aqui no grupo). Depois disso, só conectar no UFED e colocar no perfil correto de EDL.
Após isso, identificar os test point e dar curto neles para entrar em EDL. (Tem o pontos já mapeados em algum link já compartilhado aqui no grupo). Depois disso, só conectar no UFED e colocar no perfil correto de EDL.
Resumidamente, seria isso.
Tentei no genérico e foi a mesma coisa. Deve ser um bug das versões acima da 7.58 do 4PC. Verifiquei que o colega teve sucesso com a versão 7.45. Se alguém tiver essa versão e puder disponibilizar pra download... Vou instalar aqui e testar pra ver se funciona.
O pessoal da tech biz enviou esse material, veja se ajuda. 👇🏻
<Mídia oculta>
EDL_extraction.pptx
EDL_extraction.pptx
Origem 553 — 24/01/2023 08:35 a 08:56 — Extração e compatibilidade em Samsung SM-A115M
Bom dia pessoal, estou com um Samsung SM-A115M bloqueado com senha alfanumérica, o UFED não apresenta esse modelo.
Alguma dica?
Alguma dica?
Bom dia PC e amigo [NOME]. Acredito que só o Premium para fazer FB, porém deixo em aberto para outro colega que tenha outras alternativas
Um forte abraço e um ótimo dia de trabalho para todos
Estamos por aqui de Pé e a ordem
.'.
.'.
Origem 554 — 25/01/2023 12:47 a 12:57 — Bootloader, desbloqueio OEM e risco de wipe
Alguém já fez uma extração em EDL por test point em um J410G? Ele é um 8917.
Sempre usamos a opção via bootloader nesse modelo. Não teve sucesso nesse método?
Não. Tentei várias vezes.
Qual erro informado?
Esta bloqueado?
Bloqueado com padrão em modo de inicialização segura
Ah, então esquece. EDL não vai ser efetivo. Estará todo crytpp
Putz. É mesmo. Mas o booloader, se desse, também não viria criptografado?
Premium remando também
Teria que fazer brute force antes
Só depois funcionaria o bootloader. No UFED ele ia pedir a senha antes de fazer a extração, caso tivesse suporte
Vai até o método 4 e não rola
Origem 555 — 28/01/2023 12:18 a 13:31 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Qual atividade os auxiliares de vocês desempenham?
São estagiários?
Aqui em Campo Grande/MS fazemos, em média, 200 celulares/mês um pouco mais. Somos em 7 peritos, nu núcleo só fazemos exames em celulares e computadores.
Eles fazem extração e organizam o laudo no Word. Quem joga no sistema é o Perito e faz a análise. O perito também extrai e faz as análises.
Temos 1 auxiliar e 3 estagiários. 2 peritos de extração e 7 de áudio, vídeo e imagem.
Vamos tentar contratar 2 desses estagiários eles foram treinados por mim.
Vocês fazem a análise de todas as extrações? Quantas pessoas tem na equipe?
De extração só 2 peritos
Áudio, vídeo e imagem são 7
90% dos casos é só fazer a extração e mandar o relatório com os dados. Somos em 7
Entendi. Obgdo [NOME]
Outra dúvida. Quando os celulares chegam sem funcionar, vocês tentar "consertar"? Se sim, o quanto vão a fundo nessa tentativa?
Número impressionante, Parabéns a sua equipe 👏🏼👏🏼👏🏼👏🏼
Conseguimos fazer algumas extrações pelo ufed com celulares que vem com display quebrado, utilizando o cabo de baypass e modo download fazendo a extração física.
Outros com a placa oxidada ou queimada já fica meio difícil
Boooa, tbm já fiz dessas
É o caso de celulares guardados a muito tempo
Excelente Ênio. Parabéns amigo
Vlw
Mas tem uns celulares que a gnt até abre, limpa a placa, troca solda.. mas mesmo assim não dá.
Queria saber se alguém tem algum suporte que ajuda nessa parte de hardware por assim dizer... Até pra trocar figurinha
Mas tem uns celulares que a gnt até abre, limpa a placa, troca solda.. mas mesmo assim não dá.
Queria saber se alguém tem algum suporte que ajuda nessa parte de hardware por assim dizer... Até pra trocar figurinha
PTT-20230128-WA0007.opus (arquivo anexado)
Show de bola
Nosso esforço aqui é nesse sentido
Parabéns [NOME] 👏🏽
Nosso esforço aqui é nesse sentido
Parabéns [NOME] 👏🏽
Tem o famoso Chip Off
Tem o amigo investigador da Polícia Civil lá de SP [NOME]
Tenho trabalhado bastante no hardware. Quem quiser trocar ideias tô por aqui
Exato. Agora so vai com o Premium. Não tem pra onde correr.
Opa 😁 🤜🏽🤛🏽
Esse grupo é fantástico
Origem 556 — 30/01/2023 11:46 a 11:49 — Extração e análise de mensagens do WhatsApp
Bom dia, senhores! Saberiam informar qual a versão anterior que o UFED instala pra fazer o downgrade??
Do whatsapp
Origem 557 — 01/02/2023 11:05 a 11:22 — Root e extração em dispositivo Positivo
Bom dia.
Recebi um quesito sobre um aplicativo grindg.
Fiz a extração e não encontrei conversar deste.
Alguém já fez algo parecido e conseguiu encontrar as conversas?
Recebi um quesito sobre um aplicativo grindg.
Fiz a extração e não encontrei conversar deste.
Alguém já fez algo parecido e conseguiu encontrar as conversas?
Normalmente extrações ffs de Android trazem as conversas do grindr
Foi feito física em um dispositivo e FFS no outro e não veio, ou não consegui achar.
Ela vem como bate papo?
Ela vem como bate papo?
Na extração, da pra ver que tem o aplicativo, mas, não encontrei junto aos instalados.
normalmente fica como bate-papos
pode estar removido. O PA coloca o aplicativo como "Fundo" no relatório. Procura pela pasta dele na árvore de diretórios "/data/data/com.grindapp.android"
Origem 558 — 01/02/2023 16:54 a 17:32 — Ativação do modo desenvolvedor e depuração USB
Alguém tem Physical Analyzer instalado no Windows 11? Tá funcionando normal? Aqui tá fechando do nada nas três máquinas que temos instalados.
Eu tenho em dois computadores funcionando normalmente
Eu mantenho as maquinas do meu setor com o Windows 10
Nossas ferramentas forenses pagas e até as gratuitas já deram problema no Windows 11
o physical analyzer, de vez em quando, para de responder na minha máquina com windows 10
é bem frustrante, principalmente pra extração lenta p abrir
Na minha tbm.
Eu boto pra abrir várias vezes até pegar no tranco
Eu boto pra abrir várias vezes até pegar no tranco
sim. o PA simplesmente fecha, do nada
Quando a extração é muito grande o PA tenta alocar toda a extração na memória, uma dica para mitigar o problema é tentar mexer no tamanho do arquivo de paginação do windows.... De preferência colocar o pagefile em um disco SSD (m2) talvez de 2x o tamanho da ram
Eu tinha esse problema no 10, mas no 11 não tive mais
Boa tarde!
Tentei fazer a extração de um Samsung SM-J701MT via Exynos mas ocorreu um erro e a extração foi interrompida.
Agora o disponível está em loop mostrando o logotipo da empresa e não liga.
Na opção Samsung Exynos Recovery não tem o modelo exato.
Foi realizada recuperação com modelos aproximados mas o loop continua.
A sorte que foi realizada a extração lógica.
Tem solução?
Tentei fazer a extração de um Samsung SM-J701MT via Exynos mas ocorreu um erro e a extração foi interrompida.
Agora o disponível está em loop mostrando o logotipo da empresa e não liga.
Na opção Samsung Exynos Recovery não tem o modelo exato.
Foi realizada recuperação com modelos aproximados mas o loop continua.
A sorte que foi realizada a extração lógica.
Tem solução?
Tenta colocar em modo download e fazer decrypted no modelo J701F.
Temos feito com sucesso aqui.
Temos feito com sucesso aqui.
<Mídia oculta>
Alguem sabe como desabilitar esses apps no sam A51? Creio q eles n estao deixando colocar no modo desenvolvedor
Alguem sabe como desabilitar esses apps no sam A51? Creio q eles n estao deixando colocar no modo desenvolvedor
Não dá pra usar o modelo J701M? O MT acho que a única diferença é a tv digital.
Não corrigiu o recovery.
Tentarei novamente.
Tentarei novamente.
Não foi possível realizar a extração talvez pelo erro no recovery.
Origem 559 — 02/02/2023 16:49 a 18:52 — Root e extração em dispositivo Positivo
A extração não é suportada para está versão do firmware.
esse daí costumava ser de boa...
será que rola algum downgrade? sabe [MENCAO] ?
Até o momento foram realizadas 2 extrações com sucesso: 1) lógica e 2) File System APK Downgrande.
tá bem velho esse patch de segurança
será que não veleria a pena tentar em uma versão mais antiga?
do ufed
Sim. Tentarei essa opção.
🤝🤝
🤝🤝
Boa noite, pessoal. Estou com um HD de DVR. DHFS4.1. O que vocês sugerem para que eu possa ler o conteúdo. A Delegacia está me pedindo para recuperar as imagens de um período de quase 1 mês.
Usa o software DVR extrator que o [NOME] fez. Muito bom!
DVRExtractor ou o Dahua Toolbox tbm lê se não estiver apagado
Poderia me passar o link?
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs
É um apk?
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs
Já usei o DVR extrator e recuperou os dados excluídos. Excelente!
O Estado do Ceará também já deve uns precatórios pro [MENCAO] , excelente ferramenta.... Inclusive ele ajudou o pessoal da PC-SP a elucidar um caso de repercussão 👏🏼👏🏼👏🏼
Muito obrigado, gente.
O processamento foi bem rápido. Mas parece que não achou nada. Pode ser algo de errado que eu fiz? Ou não tem nada no HD?
Roda no modo Carving para ver
Nós txts você vê os períodos gravados. Está usando qual versão?
lembro de alguém ter comentando sobre ISP (In-System Programming)
pensei que fosse vc.. devo ter confundido
pensei que fosse vc.. devo ter confundido
Esse dispositivo j701mt é chato mesmo.
Vi comentários anteriores com os mesmos problemas atuais (mesmo após a atualização do UFED TOUCH 2).
Vi comentários anteriores com os mesmos problemas atuais (mesmo após a atualização do UFED TOUCH 2).
"Bom dia, estamos com um J701mt com Android 9 binário 10. Bloqueado com pattern (não é inicialização segura). Já tentamos o perfil próprio, os j730F, J730fm, J710F e exynos 7870 sem sucesso. Alguma sugestão?"
Comentário de dezembro de 2021.
Comentário de dezembro de 2021.
Já tentou no perfil J701?
Origem 560 — 03/02/2023 08:46 a 09:05 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia pessoal.
Estou com um J610G bloqueado por senha padrão. O UFED tem extração física com contorno de bloqueio, tem remoção da senha, mas não faz de maneira nenhuma. Já tentei outras versos, tipo J610FN, também sem sucesso. Alguma dica ?
Estou com um J610G bloqueado por senha padrão. O UFED tem extração física com contorno de bloqueio, tem remoção da senha, mas não faz de maneira nenhuma. Já tentei outras versos, tipo J610FN, também sem sucesso. Alguma dica ?
Sempre esse mesmo erro.
<Mídia oculta>
Será que esse bloqueio está causando o problema?
Será que esse bloqueio está causando o problema?
Já tentei tambem com uma versão antiga do UFED, 7.49.
Acredito que essa não seja a causa. Pelo que eu saiba, de fábrica, todo qualcomm e outros sobem o secure boot (imagens do firmware assinadas e verificadas em cadeia)
Eu desconfio que seja a conexão com o celular que não está ocorrendo
Verifica que se quando vc conecta no sistema operacional, se ele aparece algo lá do "gerenciador de dispositivos"
pode ser o cabo, ou o conector do celular com sujeira, algo assim
Tb pode ser driver, mas acho mais difícil de ser, pois acredito que vc tenha feito extrações de samsung com sucesso nessa máquina
ja troquei vários cabos e nada.
Sim. Carrega sim. Percebi que eventualmente o dispositivo perde a conexão com o UFED. Como citei, foi possível realizar a extração lógica e APK Downgrande.
Tentarei novamente com decrypted boot loader.
Fiz esse método é informa que "A extração não é suportada para está versão do firmware."
Ou a extração não continua.
Fiz esse método é informa que "A extração não é suportada para está versão do firmware."
Ou a extração não continua.
Origem 561 — 03/02/2023 11:44 a 12:05 — Extração e bloqueios em Xiaomi/Redmi/POCO
Bom dia! Estou com um Xiaomi M1901F9E ele começou a fazer a extração no 4PC e agora não inicia mais. Alguma dica?
Qual erro esta gerando?
Esta entrando em modo recovery?
Esta entrando em modo recovery?
Não fica na tela aparecendo MI e não incia
O celular está desbloqueado
Começou a fazer a extração e deu o bug no meio
Essa dica do colega deu certo.
Origem 562 — 06/02/2023 14:55 a 15:10 — Root em dispositivo Android para extração pericial
Inclusão de mais alguns dispositivos informáticos.
Caso tenham outros métodos para adicionar ao documento, por gentileza incluir no documento e compartilhar aqui no grupo. Fim de semana será atualizado novamente.
<Mídia oculta>
Métodos de extração, root e desbloqueio 04.docx
Métodos de extração, root e desbloqueio 04.docx
STK-20200519-WA0005.webp (arquivo anexado)
Muito bom, parabéns pela organização
Parabéns pela iniciativa, ficou bom mesmo 🤜🏽🤛🏽
Origem 563 — 07/02/2023 20:36 a 20:42 — E pelo que li, tinha autorização judicial para a extração, a ilegalidade foi
https://www.instagram.com/p/CoXOj4YJE_u/?igshid=YmMyMTA2M2Y=
E pelo que li, tinha autorização judicial para a extração, a ilegalidade foi na apreensão em si
pq não era alvo do mandado de busca a pessoa que tinha o celular
https://diariodonordeste.verdesmares.com.br/seguranca/mae-e-tios-de-majestade-sao-soltos-no-ceara-apos-justica-anular-prova-por-apreensao-ilegal-1.3332670
Origem 564 — 09/02/2023 09:51 a 10:45 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
8916 sempre deu a extração EDL. Tentou naquela opção que não é decrypting?
Qual versão do Android e tipo de crypto desse ai?
Qual método EDL esta usando?
Msm8928. Ppdd não funcionar edl mesmo
Pois é. Eu achei esse modelo na Internet. Consegue confirmar se é esse mesmo [NOME]?
Achei esse 8916 e esse 8928. Pode confirmar?
Tinha visto no gsmarena que era 8916
Anteriormente, ocorreu erro na extração via APK Downgrande e Samsung Exynos FBE.
E agora deu certo com SmartPhones Android Exynos.
E agora deu certo com SmartPhones Android Exynos.
E ganhou 52GB grátis. Adoro as traduções. 😂
Edl coloquei fazendo curto na placa
Fez o EDL recommend?
Sim, testei todos os edl
Se usar ai o EDL adb?
O nome novo está como qualcomm (adb)
Eu fiz um Asus ZE550KL que também era 8916 e deu legal o EDL
Lá nos perfil generico Android qualcomm
Android 6 é para dar boa esse edl via adb
Sim, esse chipset é o mais tranq para EDL. Tem que funcionar
Se não der boa via edl adb, via test point usando o perfil edl recommended vai funcionar.
As vezes tem umas de com bateria, sem bateria…
Faça o curto sem e conect o USB. O ufed vai reconhecer o EDL. Ai só continue e sucesso.
Beleza.
Então vai ter que ir para test point mesmo. Esse não deve ter erro.
Então vai ter que ir para test point mesmo. Esse não deve ter erro.
Tem algo enterrado nesse aparelho (magia negra contra extração) 👹
Segue a dica do Flávio. Faça sem bateria via test point.
Vou tentar isso agora
Putz. Magia negra mesmo
Roda o console aí pra confirmar se é crypto e o chipset
Só um instante, estou tentando mais um método edl sem a bateria e está demorando na etapa 2 que antes dava erro de cara
as fotos ficaram lindas! :-O
Bom dia senhores! Alguém teria processo a aberto para subscrição do Touch3 e Ufed Premium com a techbiz? Estamos querendo adquirir um e se alguém já tiver os documentos necessários irá facilitar nossa vida aqui em Alagoas....
Uhnn. A etapa 2 passa normalmente rapido tbm.
Não deve ficar travada ai.
Origem 565 — 10/02/2023 11:42 a 11:45 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia. Macbook no qual a senha [SEGREDO], qual ferramenta de extração e análise poderia se utilizar?
https://support.apple.com/pt-br/guide/mac-help/mchlp2560/mac
Tem que retirar a criptografia, depois dar boot com o [NOME] e clonar.... Aí pode usar o axiom
Origem 566 — 11/02/2023 11:26 a 13:38 — Extração e limitações em Motorola XT1078
https://www.migalhas.com.br/quentes/381258/stj-invalida-prova-digital-por-quebra-de-cadeia-de-custodia?s=09
<Mídia oculta>
stj_dje_20220923_0_33922032_230211_091254.pdf
stj_dje_20220923_0_33922032_230211_091254.pdf
Vi aqui e não temos do xt1078, porém o um pacote do xt1069 parece ser bem promissor. Me chama na na segunda que fazemos. 🤟🏻🤟🏻
<Mídia oculta>
[MENCAO] ☝️ Vc me passou certa vez o do XT1069. 👏🏻👏🏻👏🏻🤟🏻👊🏻
[MENCAO] ☝️ Vc me passou certa vez o do XT1069. 👏🏻👏🏻👏🏻🤟🏻👊🏻
Temos algumas do xt1069. Teria que ver se essa que te passei é compatível. O nome da pasta vc consegue veriricar isso, ai nao precisa testar.
Já deu certo, rapá! 🤣🤣🤣👏🏻👏🏻👏🏻
👆🏻👆🏻👆🏻👆🏻👆🏻 essa já é a extração do XT1078. Errei o nome do arquivo
em geral é de boa testar com outras imagens de aparelhos diferentes
tive problemas apenas com o XT1022, ao tentar subir a imagem do XT1033 🤣🤣🤣🤣
ele passava alguns parâmetros de inicialização do kernel do linux que ficam persistidos salvo engano na partição "cache"
daí o aparelho entra em um bootloop e não voltou sozinho...
mas foi bem de boa de recuperar via fastboot...
tive problemas apenas com o XT1022, ao tentar subir a imagem do XT1033 🤣🤣🤣🤣
ele passava alguns parâmetros de inicialização do kernel do linux que ficam persistidos salvo engano na partição "cache"
daí o aparelho entra em um bootloop e não voltou sozinho...
mas foi bem de boa de recuperar via fastboot...
A primeira vez de initroot com Motorola em bootloop é tenso, perito já fica pensando no que vai falar durante a audiência na controladoria 😬
Origem 567 — 14/02/2023 10:12 a 14:45 — Extração e compatibilidade em Samsung SMARTFLOW
<Mídia oculta>
Esse modelo com controle parental (family link) ativado. Alguma sugestão para extração? Data/hora errada, não permite sequer fazer a correção.
Esse modelo com controle parental (family link) ativado. Alguma sugestão para extração? Data/hora errada, não permite sequer fazer a correção.
Vix, esse é Unisoc. Sem chance sem desativar. Depois disso, da para fazer via smartflow no ufed.
Bom dia. LG K52 (LM-K420BMW) bloqueado pro senha de desenho. Alguma dica. Caso de repercussão.
Bom dia colegas, alguém saberia me informar se aquelas hps z820 recepcionam ssd do tipo nvme?
https://support.hp.com/br-pt/product/hp-z820-workstation/5225041/document/c03271150
Aqui colocaram com adaptador na PCI 4X que ela tem. Só a bios não tem suporte para boot nele. (copiei a resposta de um colega)
Certo... obrigado!
O seu ainda está rápido
<Mídia oculta>
Esse outro estava assim sexta. Segunda de manhã deu o desbloqueio.
Esse outro estava assim sexta. Segunda de manhã deu o desbloqueio.
Eu já estava achando que ia dar erro porque foram dois SE que tinha colocado junto.
Origem 568 — 19/02/2023 21:06 a 21:06 — Compatibilidade de modelos e métodos de extração no UFED
Acho que a extração via chip set ainda se salva
Vamos ver como a cellebrite vai resolver esse problema
Origem 569 — 01/03/2023 10:21 a 11:03 — Extração e compatibilidade em Samsung SM-A325M
Bom dia pessoal, estou com os seguintes aparelhos bloqueados por senha [SEGREDO] SM-A325M
Xiaomi M2010J19SL
Xiaomi M2004J19G
Xiaomi M2003J6B2G
Xiaomi M2007J20CG
Alguma ideia para extração física?
Obrigado.
Xiaomi M2010J19SL
Xiaomi M2004J19G
Xiaomi M2003J6B2G
Xiaomi M2007J20CG
Alguma ideia para extração física?
Obrigado.
São todos FBE. Não possue extração física disponível.
Nesses casos para desbloqueio, precisa de ferramenta premium.
Nesses casos para desbloqueio, precisa de ferramenta premium.
O M2004J19G é mtk. Há chance se suporte em força bruta na XRY ou no passware kit mobile, caso não tenha o Premium disponível
Okay [NOME], obrigado!
Valeu [NOME], vou ver aqui, obrigado.
Não temos aqui o Premium disponível.
Valeu pessoal.
Obrigado.
Bom dia.
Valeu pessoal.
Obrigado.
Bom dia.
Tbm acredito que o oxygen detective tbm tenha suporte a esse mtk.
Origem 570 — 02/03/2023 11:42 a 12:08 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia pessoal, Motorola xt1925 bloqueado por senha.... Alguma solução para a física? Consegui colocar ele em edl mas não tive sucesso ainda do ufed
No histórico que tem aqui, com o 4PC não teve extração
Extração não é o forte deles, o negócio deles é decodificação inteligente e seletiva.
Certo. Obrigado pelo feedback
Origem 571 — 03/03/2023 10:22 a 10:58 — Extração e análise de dados em iPhone/iOS
Bom dia. Alguém saberia informar se há algum arquivo de log no iOS registrando as alterações intencionais ou automáticas de data e hora ocorridas no aparelho?
Talvez tenha algo no knowledgeC ou no powerlog, pois registram muita coisa do funcionamento do aparelho, mas nunca procurei especificamente por registros desse tipo
Só me vem na mente os logs do sysdiagnose
São muito mais robustos que os do android... fiz uns testes e o volume registrado é bastante grande, sendo possível encontrar informações delicadas de transferências de dados via bluetooth ou até mesmo um número de telefone de uma transferência via *AirDrop*
São muito mais robustos que os do android... fiz uns testes e o volume registrado é bastante grande, sendo possível encontrar informações delicadas de transferências de dados via bluetooth ou até mesmo um número de telefone de uma transferência via *AirDrop*
vc exporta no próprio aparelho
Nunca pesquisei também. Mas valeria tbm olhar nos logs do sysdiagnose
e analisa com o RLEAPP parser
👍🏻 vou rodar no axiom os logs do sysdiagnose
É melhor que o do axiom?
segue um link do experimento de busca por um número de telefone via airdrop
https://gforce4n6.blogspot.com/2022/03/airdropping-some-knowledge-using-rleapp.html
eu quis dizer sysdiagnose ao invés de knowledgeC
ele faz o parsing dos logs? nao sabia.. mostra depois como fica o resultado!?
Axiom faz parser. Fica bão
O powerlog fica em que diretório?
pode usar esses scripts aqui para extrair no braço o sysdiag
https://github.com/cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts
https://github.com/cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts
é um sqlite que vem no sysdiagnose
Esses dados não saem em extração padrão de backup. Tem um procedimento específico e demorado para fazer. Não sei se vc sabe como
sysdiagnose sai de buenas, não?
Vc já havia me ensinado antes eheh
Tô fazendo uma extração no Axiom pra ver se ele por si só faz, se não fizer vou fazer daquela forma que vc ensinou, usando os executáveis do Axiom
tem que gerar explicitamente no aparelho.
Settings > General > Privacy > Analytics & Improvement > Analytics Data
_"Export the sysdiagnose logs to a Mac computer using your favorite method: iBackupBot, iTunes, AirDrop"_
suave, suave
_"Export the sysdiagnose logs to a Mac computer using your favorite method: iBackupBot, iTunes, AirDrop"_
suave, suave
Vol Down Up Side por 250 ms
fiz aqui no meu iphone um dia desses,
deveria até fazer mais vezes...
https://developer.apple.com/forums/thread/80811
Foi mal, falei besteira aqui.
O powerlog só vem com extração full file system. ele fica num diretório que não me lembro o caminho
O powerlog só vem com extração full file system. ele fica num diretório que não me lembro o caminho
é um formato meio estranho
acho que é administrado por essa ferramenta
https://www.dssw.co.uk/reference/log/
mas se o axiom faz o parsing dele, tá suave!
CurrentPowerLog.PLSQL é o nome do arquivo
É SQLITE ele
Origem 572 — 03/03/2023 14:34 a 14:49 — Extração e análise de variantes do WhatsApp
Oi pessoal Boa tarde
Já coloquei "esqueceu o pin"
Fiz uma extração via chipset
E só trouxe o bussiness
Acredito que por causa da senha de 2 fatores não pegou a extração do whatsapp peoregogo5
GBWhatsApp ou um desses genéricos, não lembro, armazenava o hash da senha em um xml
Origem 573 — 07/03/2023 09:42 a 11:22 — Elaboração de laudo e relatório técnico pericial
No 4PC, funcionou o BFU Full File system, Android menor que 10, com o perfil do próprio modelo!
Bom dia colegas. Alguém teria um modelo de laudo para responder quesitos se houve acesso a deep web.
Origem 574 — 08/03/2023 08:50 a 08:59 — Extração e compatibilidade em Samsung SM-A515F
Bom dia senhores, estou com um Samsung A51 bloqueado com padrão, modelo SM-A515F, no qual conseguir realizar uma extração BFU.... o objetivo da perícia é saber se o dispositivo foi formatado após o fato e se sim, recuperar os dados (kkk)... então, existe algum arquivo do Android informando a data de ativação nessa extração parcial, ou no recovery mode que possa me retornar essa informação ?
Olá. Vc pode conseguir visualizar manualmente nos logs do recovery do aparelho
Se conseguisse a senha, ai poderia fazer a full fs e em seguida analisar os arquivos que são obtidos na extração.
Mas nao rolou força bruta nesse?
Deu erro no UFED nesse aparelho?
vou deixar rodando no fds
Ah, beleza. Normalmenre é rápido. São poucas opções para o BF. Se rodar agora, deve conseguir até final do dia.
Para padrão [SEGREDO].
arquivos do recovery log
Se fosse PIN ou alfa, ai muda o cenário.
Veja nesse last ou no kmsg
Normalmente estão nesse arquivo
Vai ter que olhar eles e os outros antigos.
Ai visualizar se há menção de wipe
Normalmente consegue identificar o dia e motivo do wipe, caso tenha ocorrido
Com a extração full FS fica mais fácil isso. Puq ai procura esses mesmos arquivos.
Usando um "grep" no Linux faz uma busca super rápida sobre wipe
Usando um "grep" no Linux faz uma busca super rápida sobre wipe
Origem 575 — 17/03/2023 09:58 a 11:05 — Extração Samsung em modo Download/ODIN
Pessoal. Bom dia. Alguém já conseguiu fazer a extração do SM-A105M/DS com bloqueio?
Força bruta no UFED
Foi desbloqueado o dispositivo SM-A105M usando força bruta pelo modelo sm-a105f. Em seguindo realizando extração FS completa.
Android 10.
Bom dia!
Alguém adquiriu recentemente a versão Premium do UFED? preciso repassar o valor do produto para a chefia para uma tomada de decisão.
Sabem também me dizer se existe algum material que informa um percentual de melhoria nas extrações utilizando a versão Premium em relação a versão normal? Isso pra justificar tecnicamente quanto melhora a acurácia dos exames?
Alguém adquiriu recentemente a versão Premium do UFED? preciso repassar o valor do produto para a chefia para uma tomada de decisão.
Sabem também me dizer se existe algum material que informa um percentual de melhoria nas extrações utilizando a versão Premium em relação a versão normal? Isso pra justificar tecnicamente quanto melhora a acurácia dos exames?
Bom dia, [NOME]! Não fizemos aquisição mas recebemos aqui o pessoal da Techbiz. A licença para 3 anos no modo subscrição tá saindo por 1 milhão e 800 mil, com desbloqueio ilimitado de aparelhos.
Aqui em MT compramos ano passado por 1 milhão e 450 mil
esse novo modelo de contratação (subscrição) não está sendo autorizado pela SENASP, logo a utilização de recuso federal tá inviabilizada
Na prática, melhorou demais. Android está fazendo tudo, bloqueado ou não, iPhone até 11 faz força bruta (demora muiiiito, mas faz)
Então a capacidade de atendimento melhorou demais, fazemos tudo que mandam agora, praticamente.
Exatamente. Sem Premium, a perícia em celulares fica muito limitada.
Aqui em SC, temos o Premium ES, com 3 endpoints e licença de 3 anos unlimited.
Tá fazendo uns 70% do que o ufed não consegue.
Tá fazendo uns 70% do que o ufed não consegue.
Não consigo mais entrar no modo download
Tá conectado no computador?
Alguns só entram em modo download se estiverem conectados
Esse precisa estar conectado. Vol Up+Down e conectado.
O problema é que ele não está desligado
Origem 576 — 17/03/2023 13:59 a 14:19 — / Bom dia! Recebemos um DVR da marca Ayla. Reconhece o HD normalmente
<Mídia oculta>
Bom dia! Recebemos um DVR da marca Ayla. Reconhece o HD normalmente. No Windows e no Linux mostra apenas 128GB.
Bom dia! Recebemos um DVR da marca Ayla. Reconhece o HD normalmente. No Windows e no Linux mostra apenas 128GB.
Alguém tem ideia qual seria o sistema de arquivos?
Hmm, como aparece no ftk imager?
IMG-20230317-WA0008.jpg (arquivo anexado)
Que estranho, como o HD está conectado ao computador?
<Mídia oculta>
O Tableau sequer reconheceu o disco. Aí usei um adaptador
O Tableau sequer reconheceu o disco. Aí usei um adaptador
Só assim o Windows reconheceu o disco. Com um adaptador
<Mídia oculta>
Tentando adicionar o disco
Tentando adicionar o disco
Você tem aquele duplicador?
Origem 577 — 20/03/2023 10:23 a 12:10 — Compatibilidade e extração em dispositivos Samsung Galaxy
Obrigado!
Usei a opção de "Desabilitar a senha de criptografia do itunes" e depois a extração lógica.
Usei a opção de "Desabilitar a senha de criptografia do itunes" e depois a extração lógica.
Boa dia pessoal.
Estamos tentando automatizar algumas tarefas, criando alguns robôs, e gostaria de ver o que tem sido utilizado nos estados.
Em muitos casos, gostaríamos de gerar o UFED Reader com todo o conteúdo da extração.
Em contato com a Cellebrite, me informaram que não existe uma solução por linha do comando.
Vocês possuem alguma solução para automatizar o processo de abrir o PA e gerar o Reader? Seria algo tipo Selenium para navegar nas telas?
Obrigado 👊
Estamos tentando automatizar algumas tarefas, criando alguns robôs, e gostaria de ver o que tem sido utilizado nos estados.
Em muitos casos, gostaríamos de gerar o UFED Reader com todo o conteúdo da extração.
Em contato com a Cellebrite, me informaram que não existe uma solução por linha do comando.
Vocês possuem alguma solução para automatizar o processo de abrir o PA e gerar o Reader? Seria algo tipo Selenium para navegar nas telas?
Obrigado 👊
Obrigado 👍
Quando puderem compartilhar, vai ser muito útil pra outras unidades.
Quando puderem compartilhar, vai ser muito útil pra outras unidades.
Bom dia. Em dois Xiaomi bloqueados tinha a opção de força bruta para a senha do dispositivo e a outra opção de força bruta para o second space. Fizemos o desbloqueio e a extração ffs mas agora não tem mais a opção de fb do second space. Não tem nada na extração que seja do second space e no dispositivo pede senha para o acesso a ele. Alguém já teve caso semelhante?
Vc verificou se o second space está ativo mesmo?
É comum aparecer essa opção mesmo quando não está ativo
Mesma coisa nos casos de Samsung com secure folder
Caso esteja esteja ativo, quando entrar na opção de "fusion", aí vc coloca a senha do celular para que ele identifique como Hot
Nesse caso deve aparecer a opção de BF para second
Ele parece que pede um padrão para definir mas tu coloca e da a mensagem que tá errado
O exploit pode estar um pouco zuado e só identifica quando está Cold. Aí tem que fazer esse esquema para "enganar" o exploit.
Entro pelo cold e aí coloco a senha?
Já estava assim quando acessou o celular, certo?
Isso. Mas só quando iniciar o pacote "fusion"
Deixa exploitar normal no cold
Aì quando entrar no fusion, vc coloca a senha
O exploit de "cold" e "hot" em alguns celulares é diferente, apenas de ser o mesmo metódo
E inicio ele em AFU mesmo ou reinicio?
Inicia em BFU
Reinicia sem colocar a senha
Aí quando comecar a carregar o "fusion", vc coloca a senha. Deve dar boa
Já tivemos cenário desse e fizemos isso
Beleza. Vou tentar aqui
Origem 578 — 21/03/2023 13:45 a 15:44 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde! iPhone SE com botão home quebrado, como entrar em DFU? (Sem iMac)
Olá, [NOME]. Normalmente os iphones possuem test point que possibilitam colocar direto em DFU quando é feito o curto circuito. Teria que pesquisar esse seu modelo e identificar esses pontos.
Certo, esse é o A1723, vou dar uma olhada aqui então, obrigado!
Boa tarde. Vcs tem a ferramenta premium aí?
Em modo recovery é possível entrar sem o botão HOME
Eu utilizo aqui o ReiBoot
opa, vou tentar... em recovery havia conseguido entrar
ah, agora entendi... achei que com o reiboot entraria em DFU, mas de fato não vai... precisava colocar em DFU para fazer extração checkm8 no UFED... partirei pros test points então
Dependendo, é fácil se tiver outro, trocar o botão que é só conectar o flex
Origem 579 — 22/03/2023 13:02 a 13:48 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Alguém aqui já usou essa ferramenta? A promessa é boa
Alguém aqui já usou essa ferramenta? A promessa é boa
STK-20230322-WA0003.webp (arquivo anexado)
Boa tarde, haveria alguma forma de extrair os lastl_og do recovery android? sem extração física
Acho que quando a gente contrata o CAS a cellebrite usa essa ferramenta aí 🤣🤣
Origem 580 — 29/03/2023 17:54 a 17:57 — / Estou com um cel antigo aqui, que já fiz desse modelo várias
Boa tarde.
Estou com um cel antigo aqui, que já fiz desse modelo várias vezes, mas estou apanhando desde ontem dele.
G532MT bloqueado com senha, Android 6.0.1 (binário 1).
Não faz a extração de forma alguma através do cabo 130. Quando conecto pressionando o vol + e vol - , o celular não liga.
Já tentei fazer a Partial File System (pra pegar a senha) pelo modelo G532F.. já tentei o Decrypted Boot Loader (Física)...
Estou com um cel antigo aqui, que já fiz desse modelo várias vezes, mas estou apanhando desde ontem dele.
G532MT bloqueado com senha, Android 6.0.1 (binário 1).
Não faz a extração de forma alguma através do cabo 130. Quando conecto pressionando o vol + e vol - , o celular não liga.
Já tentei fazer a Partial File System (pra pegar a senha) pelo modelo G532F.. já tentei o Decrypted Boot Loader (Física)...
Boa tarde! Tenta pelo perfil SM-G532G_DS. Física
Vou tentar. Obrigado
Origem 581 — 05/04/2023 13:52 a 14:09 — Recuperação de mensagens e vestígios do WhatsApp
Boa tarde. Alguma sabe me dizer se é possível obter a data de desinstalação de aplicativos no Android ? Sem ter feito a extração física.
Isso fiva lá no localappstate.db
Acho que é esse o nome
Pasta com.android.vending
Tu só consegue ver a data de última atualizaçao
E primeira instalaçao
Infelizmente desinstalaçao nao sei onde encontrar...pq é comum em celular do tráfico não se encontrar mais o Whatsapp instalado 🤔🤔
Hmmm. Entendi. Valeu. 👊🏻
Origem 582 — 06/04/2023 15:25 a 16:09 — Geralmente tem a possibilidade de se tirar o relatório de vendas
Geralmente tem a possibilidade de se tirar o relatório de vendas
Talvez seja um vestígio interessante para esse objetivo
Só não sei se sai "pelo cabo", mas as vezes dá para fotografar pela tela
Ou pelo menos o último comprovante
Entrei no menu da maquina e não encontrei essa opção, pelo que verifiquei, trata-se somente de um comunicador por NFC com o telefone configurado no mercado pago. Ele tem um chip SIM, que extraído, não trouxe dados
Esse modelo mini aí é reduzidíssimo, na máquina mesmo não fica nada, toda informação e acompanhamento são feitos pelo site.
Mas se ela tem SiM, pode ser que temha mais coisa por operar independente do aparelho velular
Mas cada modelo é diferente. Tem que ver se tem mais especificações dela pela Internet
Que eu saiba as transações não ficam armazenadas nelas. Costumeiramente indicamos o número de série para que a Autoridade solicite ao mercadopago a conta vinculada e o histórico de transações.
Exatamente, passamos além do número de série, as informações do SIM, pro magistrado tentar achar alguma coisa, e ver como é dura a vida do Perito…
Origem 583 — 11/04/2023 09:30 a 11:24 — Root e extração em dispositivo Positivo
Bom dia, pessoal. Esse é um Perito aqui de Minas Gerais que começou a usar o UFED. Ele pediu para entrar no grupo. Alguém poderia adicioná-lo? Obrigado.
Bom dia SJ701M com senha na inicialização do dispositivo, alguém já conseguiu algo?
Origem 584 — 12/04/2023 10:55 a 11:01 — Conexão USB, ADB e diagnóstico de porta em Android
aqui no RS todas as extrações ficam salvas num servidor. É raríssimo alguém da defesa pedir a cópia...até porque no laudo colocamos que após a emissão do laudo as "cópias temporárias são destruídas"
No RJ não guardamos a extração, apenas a cópia (no instituto) das mídias geradas como resultado do exame
Só o que mandamos para a DP. Informamos que não fica armazenado e que tem que guardar o vestígio original até for necessário como demanda a lei.
Origem 585 — 12/04/2023 19:51 a 20:50 — Root e extração em dispositivo Positivo
Aqui no MS todos os objetos examinados são retirados juntamente com o laudo pericial. Não temos condições no momento de armazenar este objetos no IC.
Como não estamos subordinados a PC e sim, ao secretário de justiça, não temos problema nessa sistemática. Armazenamos apenas as cópias das mídias geradas durante o exame e que tenham pertinência com o objetivo dos exames.
Haja HD para isso hein? Ficaria absurdamente caro armazenar dados de perícias passadas.
além disso se houver questionamento em relação a autenticidade da copia só com o objeto original para tirar prova
A lei diz q temos q armazenar o vestígio. Nesse caso o celular, até o descarte no fim do processo.
Ah sim, vocẽ se refere ao aparelho original né?
Na vdd as duas coisas.
Na minha visão, ou armazenamos o celular até o fim do processo ou armazenamos a extração.
Na minha visão, ou armazenamos o celular até o fim do processo ou armazenamos a extração.
Mas a extração não é o vestígio. Seria tipo gaurdar xerox de documento de papel. Se houver necessidade de fazer alguma segunda perícia ela tem de ser feita no objeto original pois a primeira coisa que vai ser alegada é que pode ter havido alteração durante a cópia.
Não vejo assim.
Uma vez extraído por um perito, calculado o hash e assinado, é prova válida p resto do processo.
Uma vez extraído por um perito, calculado o hash e assinado, é prova válida p resto do processo.
Outra interpretação poderia ser que apenas o que foi criado na memória do dispositivo diretamente advindo da prática do crime é vestígio do crime...
As vezes é o trabalho do perito que está sendo questionado. Então não adianta fazer outra perícia nos dados que ele produziu, tem de fazer é no objeto original.
Concordo q é uma interpretação possível, mas daria um pouco mais de margem p defesa causar.
Na perícia de local de crime o cadáver é um vestígio? Ou a foto da lesão? Deve-se congelar todos os corpos para futura perícia?
Então, se tem uma gota de sangue na parede. Se.coleta com um swab ou traz a parede inteira.
Por isso que fazem exumação as vezes
Dados são os vestígios. Aparelho pode ser visto como um suporte.
Sim mas de nada adianta se não está provada a origem dos dados.
Nesse ponto, devemos lembrar que nossa atividade é regulada por lei, e o artigo 158-F diz q o material deve permanecer na central de custódia.
caso nao seja possível, pode ser devolvido, com pedido do Diretor do órgão de perícia.
Art. 158-F. Após a realização da perícia, o material deverá ser devolvido à central de custódia, devendo nela permanecer.
Parágrafo único. Caso a central de custódia não possua espaço ou condições de armazenar determinado material, deverá a autoridade policial ou judiciária determinar as condições de depósito do referido material em local diverso, mediante requerimento do diretor do órgão central de perícia oficial de natureza criminal.
caso nao seja possível, pode ser devolvido, com pedido do Diretor do órgão de perícia.
Art. 158-F. Após a realização da perícia, o material deverá ser devolvido à central de custódia, devendo nela permanecer.
Parágrafo único. Caso a central de custódia não possua espaço ou condições de armazenar determinado material, deverá a autoridade policial ou judiciária determinar as condições de depósito do referido material em local diverso, mediante requerimento do diretor do órgão central de perícia oficial de natureza criminal.
Lei escrita claramente p vestígios de local
Daí tem q encaixar o resto
Mas se interpretar literalmente, parece q tem q guardar o objeto mesmo.
Aí o mesmo questionamento vale pro sangue.
O aparelho pode danificar no armazenamento, baterias vazam, soldas, ferrugem.
O aparelho pode danificar no armazenamento, baterias vazam, soldas, ferrugem.
Convencer ou conhecer? Kkkk
Não é a verdade que condena ou absolve e sim a conviccao do juiz.
No meu ver a discussão fica ainda mais complexa em casos como aparelhos em AFU. Uma vez feita a extração do aparelho neste estado, vais manter até o fim do processo ele assim? Tem aparelhos que se cair pra BFU pode não ser possível uma nova extração.
Tem tb as mensagens temporárias.
Que duram alguns dias
É bem complexo e essa lei não foi feita da informática forense.
Mas, temos q adaptar agora.
Com certeza quem escreveu no dia que escreveu não tava pensando em informática
Origem 586 — 12/04/2023 20:54 a 22:29 — Extração e análise de mensagens do WhatsApp
O problema maior que vejo é que, não sei no estado de vocês, tem a cultura de achar que tem de extrair tudo. Porque teria? Se fosse levar esse raciocínio para outras coisas em cena de crime deveria ser recolhido tudo pois tudo pode ser evidência depois de um tempo investigando. Mas ninguém discute que tem de ser feito filtros e focar somente no que tem potencial de ter relação com o caso em tela. Mas quando chega na informática ai a história já muda. Já tem de extrair tudo, guardar tudo, etc.
Para celulares a grande maioria das requisições é pra extração total ou extração de whatsapp.
Extraçao total vocês mandam o .ufdr pro solicitante? Ou dão uma "garimpada" e só mandam o que realmente seria útil ?
Quando pede extração total, mandamos tudo.
O problema, [NOME], já tive essa discussão aqui, e o próprio delegado me falou, eu não tenho a menor idéia do que procurar, por isso qualquer coisa que você achar, já me ajuda.
Por isso, aqui 95% é extração integral.
Origem 587 — 13/04/2023 08:33 a 08:56 — Extração e compatibilidade em Samsung SMARTPHONES
Pessoal, alguém está acostumado a trabalhar com o UFED e com o XRY? Aqui até hj, dessas ferramentas pagas, só trabalhei com o UFED. O XRY foi renovado. Ele cumpre bem o que o UFED faz hj em dia pra smartphones? Muita diferença de desempenho?
Já tinha usado versões bem antigas do XRY, e uns poucos anos atrás usei um trial deles do Logical. XRY na época parecia ter evoluído muito, inclusive vc tinha bem mais domínio da decodificação do que um UFEDPA, coisa que só recentemente o UFED implementou.
Uma ideia é pedir um trial para eles do produto que vc tem interesse:
https://www.msab.com/free-trial/
Uma ideia é pedir um trial para eles do produto que vc tem interesse:
https://www.msab.com/free-trial/
Na verdade a gente está com um dongle disponível aqui. Renovou agora. Queria mesmo saber a impressão de quem já trabalhou com os dois.
Parece q não recomendam ter instalando os dois no mesmo PC. Será que procede?
procede, lembro de ter problemas
XRY instalava um HUB USB virtual deles para interceptar os dispositivos USB conectados
Bom dia.
Trabalho com os dois.
Em relação a desbloqueio e qualidade de extração (com o Full File system, por exemplo), o UFED é melhor.
A vantagem do XRY fica mais na questão do software de análise (XMAN), que é bem mais organizado que o physical analyzer. E também pelo fato dele conseguir extrair múltiplos celulares ao mesmo tempo.
Trabalho com os dois.
Em relação a desbloqueio e qualidade de extração (com o Full File system, por exemplo), o UFED é melhor.
A vantagem do XRY fica mais na questão do software de análise (XMAN), que é bem mais organizado que o physical analyzer. E também pelo fato dele conseguir extrair múltiplos celulares ao mesmo tempo.
O XMAN é o diferencial mesmo
Aqui temos tido uma melhor compatibilidade com aparelhos antigos com o XRY.
Origem 588 — 17/04/2023 11:26 a 11:40 — Extração e decodificação de bancos do WhatsApp
sabádo estavam todos de folga
<Mídia oculta>
Bom dia senhores alguém já extraiu esse modelo? Ta desbloqueado mas n consigo extrair WhatsApp e Facebook Messenger....
Bom dia senhores alguém já extraiu esse modelo? Ta desbloqueado mas n consigo extrair WhatsApp e Facebook Messenger....
Não faz pelo genérico?
alguém já fez este dispositivo ? Só consegui o Android Backup que não me trouxe aplicativos de mensagem
tentei Android MTK genérico
Que tipo de Crypto é esse?
não deu resultados
acredito que seja disk
onde posso confirmar essa informação
XRY tbm não me deu resultados
No próprio ufed
tenta pela mediatek generic
Na opção de debug concole
acho que esse chipset tem suporte para extração das chaves de hardware
Tem lá nas ferramentas na tela inicial do UFED
Manda uma foto, por gentileza, do resultado desse debug console.
não obtive sucessos
Única opção seria smart flow mesmo.
no modelo específico que o UFED oferece o Tecno KE7 SPARK 6, consegui Android Backup, a Android Backup APK downgrade não foi e ainda apagou não restaurou o whatsapp
mas eu salvei o apk
Esses bootloader não vai funcionar.
coloquei no smartflow pra ver se traz algum outro modelo
Nós já fizemos 2 celulares Tecno. Ambos eram MTK e FBE tbm.
Um deles conseguimos via SmartFlow
Já outro foi por ferramenta Premium
Pior que é um celular advindo dessa onda de ameaças de massacre
via smartflow nada feito
Ele chegou a fazer o dump e só não decodificou? ou nem isso?
Veja se há diferença entre deixar na opção "apenas carregar" e "transferência de arquivos". Alguns LGs têm essa chatice.
Talvez nesse caso seja isso.
Não lembro se ocorreu o mesmo nesses que fizemos.
Origem 589 — 17/04/2023 11:41 a 11:51 — Extração e decodificação de bancos do WhatsApp
Ele chega a conseguir exploitar? Ou fica em estabelecendo conexão?
ta fazendo isso direto
toda vez que o usb conecta ele vai pro apenas carregar
Conseguir iniciar o exploit*
no android backup ele conseguiu, nas demais não
Sobre o smartflow.
Como ele apresenta no ufed?
Fica na tela de "estabelecendo conexão.
Ficou, depois erro de extração
No autodetect apareceu um modelo anterior o tecno KE5K vou tentar a lógica
Então va nas conf de desenvolvedor e força ficar nos modos de "apenas carregar" e depois tenta em "transferências".
No grupo "Rede" terá essa opção de modo de comunicação no USB
No grupo "Rede" terá essa opção de modo de comunicação no USB
Lógica não terá esses apps que vc precisa.
Vou verificar aqui
No smartflow precisa conseguir que ele estabeleça a conexão.
Ele tá moendo na lógica aqui...
Em alguns dos modos deve dar boa. Quando conseguir, ai o UFED tentara os exploits.
Beleza. Mas nao deve conseguir esses apps. Logica não tem exploit para escalar privilégios para ter acesso nesses apps.
No android backup, achou o discord e telegram , mas o appgenie não conseguiiu decodificar
Já já dou o feedback no smartflow então
Abra o zip da lógica e veja se tem o BD do WhatsApp entao.
Vai saber antes de terminar o processamento.
Precisa da chave tbm.
No android apk downgrade ele não reinstalou o whatsapp
Mas salvei o apk do aplicativo
Mas fez a extração?
Puq resintala seria o último processo.
Ainda por cima não
Origem 590 — 19/04/2023 10:20 a 10:25 — Root e extração em SMART
Bom dia, estou com um LG K8+, o LM-X120BMW, com última atualização em 6 de agosto de 2021. Alguém já conseguiu fazer root nesse modelo ou extração física? Ele está desbloqueado, mas só consegui fazer lógica.
Usando o modelo do x210k
Consegue a fisica dele assim
Via smart flow tbm nao foi ai?
Então seria essa opção apenas.
Origem 591 — 20/04/2023 09:25 a 09:43 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Pessoal, bom dia
Estou com um HD que no FTK aparecem muitos arquivos mas quando coloco no iped ele avisa q existe uma possível encriptação e para o processamento.
Alguma dica pro iped processar tudo?
Estou com um HD que no FTK aparecem muitos arquivos mas quando coloco no iped ele avisa q existe uma possível encriptação e para o processamento.
Alguma dica pro iped processar tudo?
manda foto aí do FTK
chegou a tentar converter a imagem .dd pra .vmdk e rodar no VirtualBox/VMWare?
Não converti. Seria pra converter e processar a imagem convertida no IPED?
eu te sugiro converter a imagem para .vmdk
Conseguiu identificar o sistema de arquivos?
e executar o sistema operacional
pra ver o que vai solicitar/apresentar
eu já peguei situação que o HD tinha uma partição bem pequena com o Windows e rodando o .vmdk aparecia dentro do Windows uma instalação do VeraCrypt solicitando a senha para montar as demais partições
Obgdo [MENCAO] e [MENCAO]
Bom dia. Uma dúvida: MacBook Pro vem por padrão criptografado? Se não tiver a senha de login, é possível ter acesso aos dados como normalmente é no Windows?
até hoje só peguei 1 macbook, e sem a senha do usuário nem consegui fazer nada
no FTK imager aparecia quase nada
Origem 592 — 25/04/2023 13:28 a 13:29 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde, esse é um j260mu
O que seria essa tela? Toda tentativa de extração ela aparece e trava o aparelho, tendo que reiniciá-lo
Origem 593 — 26/04/2023 09:46 a 11:16 — Artefatos e vestígios de uso do WhatsApp Web
Bom dia, Saulo.
Já aconteceu isso conosco tbm. Principalmente em casos se Secure Sartup.
Infelizmente não tivemos sucesso na recuperação do equipamento. Tentamos reescrever o firmware e nada de voltar.
Já aconteceu isso conosco tbm. Principalmente em casos se Secure Sartup.
Infelizmente não tivemos sucesso na recuperação do equipamento. Tentamos reescrever o firmware e nada de voltar.
Obrigado, o jeito vai ser devolver assim mesmo
Bom dia! Alguma disca para conseguir a extração de um Samsung SM-A127M bloqueado com senha de desenho?
Bom dia. Esse equipamento é FBE, portanto necessita da senha para extração dos dados do usuário. Apenas ferramenta Premium para tentativa de desbloqueio e posterior extração.
Ok. Obrigado [MENCAO]
Ok. [MENCAO] .'. já tentei algumas mas ainda sem sucesso.
É Exynos, não dá pra fazer a força bruta no 4PC?
Acho que já é Android 11, aí não dá
Tem esse Tinder das senhas que um colega desenvolveu .... As vezes ajuda. https://www.alias.seg.br/apd
A informação que tinha encontrado dizia que era MTK MT6765
👍🏽👍🏽 já tá pedindo 5 minutos para nova tentativa
É Exynos o A127M
Pode ser uma opção mesmo
Essas aí já me ajudaram bastante
Já fiquei até 1440 min. Num xiaomi
Bom dia.
Estou com uma perícia onde o juiz solicita "extração do conteúdo, mídias e acesso de cópias de segurança de mensagens (backup) das contas utilizadas pelos números supra nos servidores do Google Drive".
Realizei a extração FFS do celular e, quando abro no PA a aba CLOUD, tem o google drive vinculado a 2 contas do usuário, com a mensagem "enriquecer dados móveis e adquirir arquivos armazenados"
Eu vi um tutorial da Cellebrite quanto à aquisição desses dados, pelo caminho "Cloud > Extraction > Private cloud data", porém explicando como adquirir as conversas do WhatsApp Web, pelo QRcode.
Alguém já utilizou esse método para o Google Drive?
Estou com uma perícia onde o juiz solicita "extração do conteúdo, mídias e acesso de cópias de segurança de mensagens (backup) das contas utilizadas pelos números supra nos servidores do Google Drive".
Realizei a extração FFS do celular e, quando abro no PA a aba CLOUD, tem o google drive vinculado a 2 contas do usuário, com a mensagem "enriquecer dados móveis e adquirir arquivos armazenados"
Eu vi um tutorial da Cellebrite quanto à aquisição desses dados, pelo caminho "Cloud > Extraction > Private cloud data", porém explicando como adquirir as conversas do WhatsApp Web, pelo QRcode.
Alguém já utilizou esse método para o Google Drive?
essa história do cloud
tem que exportar pelo Physical Analyzer os tokens
e importar no Cloud para acessar Google Drive, DropBox, Instagram, etc
e mesmo assim não é garantido
Origem 594 — 28/04/2023 13:42 a 13:50 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Boa tarde! SM-G570M/DS bloqueado. Alguma dica?
Boa tarde! SM-G570M/DS bloqueado. Alguma dica?
O que vc tem de ferramentas?
Puq no UFED tem o modelo dele a fisica via bootloader. Remocao de senha tbm. Super tranq.
Ah blza. Vou ver aqui 👍🏻👍🏻👍🏻
Confundi aqui o modelo 🤦🏻♂️
Pessoal, boa tarde. Td bem? Estamos com um SSD de 960GB aqui, recém adquirido, onde estava o Windows em uma das workstations. Começou a dar muito pau e verifiquei aqui numa ferramenta que baixei (Victoria) e parece tem bastante setor corrompido.
Alguém indica algum programa bom pra diagnóstico e tentativa de solução? Mesmo que acabe diminuindo a capacidade do disco...
Alguém indica algum programa bom pra diagnóstico e tentativa de solução? Mesmo que acabe diminuindo a capacidade do disco...
Origem 595 — 03/05/2023 08:41 a 09:00 — Extração e bloqueios em Xiaomi/Redmi/POCO
Pessoal, um Xiaomi M1906F9SH bloqueado com PIN, dá para desbloquear ou fazer alguma extração?
Só se tiver o premium
Bom dia. Alguém sabe ou ja ouviu falar de uma forma de preservar as msgs temporárias do wpp no aparelho apos apreensão?
Acho que só fazendo a extração urgentemente após a apreensão , pq isso deve ter um "garbage collector" que de tempos em tempos vai limpando
Origem 596 — 03/05/2023 10:41 a 11:06 — Extração e compatibilidade em Samsung SMART
Bom dia! XIAOMI M2006C3MMG conseguimos desbloquear por tentativa, mas não consigo habilitar a opção instalar apps via USB porque pede a conta MI. Alguma dica??
Vixe já parei nessa situação também.
Tem opção pra fazer extração física nesse modelo?
Uma tentativa é tentar instalar "no braço":
- coloca o APK em /data/local/tmp, e
- instalar ele com comando pm install app.apk
Pode ser que funcione.
- coloca o APK em /data/local/tmp, e
- instalar ele com comando pm install app.apk
Pode ser que funcione.
No UFED, ao menos, por mais chato que seja, ele copia os apks pro aparelho pra fazer a instalação manualmente
Tem. Ele conseguiu detectar.
Consegui fazer manualmente a instalação app do UFED, mas ainda ta dando erro na extração. Não consegue comunicar
Torcer pra dar certo a física, mas se não der, teve um caso que após instalar o App eu tive que deixar o modo usb pra carregando, em vez de transferir arquivos, pra daí conseguir fazer os backups
Deu certo pelo smart flow. FS completo
Origem 597 — 04/05/2023 14:20 a 14:41 — Recuperação de arquivos apagados e carving
Este gap não poderia ter sido causado por um período de não uso? Tem algum indício de que pode ter ficado, por exemplo, apenas desligado nesse período?
então, estou tentando contato com a Delegada pra ver sobre isso, mas aparentemente é um período importante pra investigação.
Esse modelo é FBE. Não há suporte para física. Mesmo que houvesse, não iria retornar carving.
Wipe em FBE vc iria perder todo o passado do eq.
Tbm acho que está mais próximo dessa linha. Ou alteração de horário do eq.
Eu iria na full timeline do merge para analisar essas infos nesse períodos. Talvez ainda exista algum log com informações sobre o que ocorreu nesse gap
foi mais ou menos isso que eu disse à delegada, to esperando terminar o relatorio do merger pra ter mais certeza, mas que acho q não tem mais informação no celular, não.
Origem 598 — 05/05/2023 09:12 a 10:20 — Extração e análise de variantes do WhatsApp
Existe Downgrade APK de GBWhatsapp? Ou algum método de extração das conversas?
A opção de Backup Completo em GBConfigurações aparece, avisa que criou uma pasta /yoBackup
mas parece ter bugado, pois não localizei a pasta em nenhum lugar
O ufed tem uns problemas quando a base não está no caminho padrão (não sei se já corrigiram. No passado eu dive que exportar, colocar o que foi exportado no path padrão, criar um projeto especial no PA e finalmente conseguir visualizar as conversas no PA
Mas parece que nem no celular a pasta yoBackup foi criada
Achou alguma database do whatsapp?
Não, apenas a criptografada, e não temos o chip correspondente nesse caso =/
esse backup completo do GB quando funciona vem a pasta com.gbwhatsapp completa, key, msgstore.db sem criptografia etc
mas o app informa que criou o backup, mas parece q não
Se tiver a extração física, um colega aqui desse grupo desenvolveu um WhatsAppkeycarver que me ajudou muito em alguns casos
https://github.com/leosol/whatsapp-key-carver
app downgrade não tem pro WhatsApp Business, YOWhatsApp, GBWhatsApp .... vai ter que conseguir extração FFS ou física mesmo
Bom dia pessoal, alguém teve problema de fazer a extração, APK Downgrade, em alguns modelos de aparelhos e nao trazer os áudios. É possível reproduzir os áudios pelo aparelhos, mas, no PA diz que o arquivo não existe.
já fiz a extração em diferentes versões do UFED, 7.64 e 7.49, já mais de uma vez a mesma extração, já em versões do WIN10 e 11 e nada
aparelho é um SM-G531BT
detalhe que tem a opção de fazer e física, mas não faz
A mensagem que aparece quando tento fazer a física é que a extração não é compatível para essa versão do sistema operacional.
Aqui geralmente aparece essa mensagem quando a versão do android ou patch de segurança não é suportado
Bom dia. Estou com um samsung g900t1, galaxy s5, que não é reconhecido de jeito algum pelo Odin. O aparelho é reconhecido pelo Windows, tanto que já fiz uma extração lógica pelo XRY, já instalei algumas versões dos samsung drivers e rodei algumas versões do Odin. Há algo que posso fazer?
Esse vc faz via custom recovery a fisica
Não. Não há versão antiga com a função de fazer extração via Android backup para esse app.
Caso não consiga extração mais completa, existe a possibilidade de extrair via apk por email.
Caso não consiga extração mais completa, existe a possibilidade de extrair via apk por email.
Esse caso ocorre quando existe apenas audios nas conversas (sem outras midias).
O whatsapp não considera como mídia nesses casos, ai nao faz a copia desses arquivos de áudio. Infelizmente é uma limitação do próprio app.
Precisa de uma extração mais completa, puq ai faz a extração do banco completo, incluindo esses audios
O whatsapp não considera como mídia nesses casos, ai nao faz a copia desses arquivos de áudio. Infelizmente é uma limitação do próprio app.
Precisa de uma extração mais completa, puq ai faz a extração do banco completo, incluindo esses audios
Mas nesse caso de downgrade viria o db todo com as indexações dos áudio, n?
Verifica no PA qual msgstore foi utilizado para exibir a mensagem bugada
pode ser q ele esteja pegando um msgstore diferente/bugado?
Os áudios em si aparecem na seção de Áudios?
Normalmente sim 😅
Ja vimos acontecer isso.
Nos casos de export por email, sempre acontece. No apk, as vezes.
Ja vimos acontecer isso.
Nos casos de export por email, sempre acontece. No apk, as vezes.
Isso aconteceu comigo esses dias atrás. Na verdade ele gerou sim o bkp completo, porém, numa pasta totalmente fora do padrão, só não me lembro agora qual era o nome da pasta (talvez fosse a recording). Mas de qualquer forma, aconselho vc a procurar em todas as pastas do diretório raiz do aparelho, que provavelmente o bkp estará lá
Exatamente, amigo, obrigado! Foi parar em \Documents
mudaram o padrão
Algumas versões tá gerando só os backups criptografados mesmo, e outras já gera a estrutura da pasta toda, totalmente sem padrão nenhum…
Sim. Na seção existem áudios e é possível reproduzir.
Origem 599 — 11/05/2023 12:49 a 14:10 — Bootloader, desbloqueio OEM e risco de wipe
Chaves privadas de assinatura de drivers da MSI foram vazadas, pode ser mais um vetor de ataques futuros.
https://www.tomshardware.com/news/msi-bootguard-keys-leaked-to-internet
https://www.tomshardware.com/news/msi-bootguard-keys-leaked-to-internet
<Mídia oculta>
Boa tarde. Interfere na extração? Smartflow não deu certo e pela detecção automática não deu. Só conseguimos a lógica
Boa tarde. Interfere na extração? Smartflow não deu certo e pela detecção automática não deu. Só conseguimos a lógica
J530 GALAXY J5 2017 (SM-J530G)
SAMSUNG
SAMSUNG
Pelo perfil do processador tbm não rolou.
Samsung Exynos 7870
Samsung Exynos 7870
Esse modelo fazemos a física pelo Physical Decrypted Boot Loader no modelo J530F
Não. Essa mensagem pode ignorar.
Já conseguimos via bootloader e smartflow esse modelo.
Entendi. Era pra dar certo mas só dá operação não suportada pelo dispositivo.
Qual versão do Android e Patch Seg?
Android 9
Patch 01/07/2021
Patch 01/07/2021
Com android 9, temos 2 no histórico. 1 foi via bootloader e outro com ferramenta premium.
Se não rolar o que o Pigari indicar, acredito que apenas ferramenta premium, devido o patch seg
Origem 600 — 15/05/2023 09:28 a 12:31 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, eu peguei um SIM card da TIM cujo ICCID inscrito na superfície do cartão difere do extraído pelo UFED. Ignorando os 4 caracteres finais do ICCID inscrito na superfície do cartão (que são "B234"), sobram 16 dígitos. O ICCID obtido na extração contém 20 dígitos, logo, 4 não estão inscritos na superfície do cartão. Isso é normal?
normal. O ICCID são os 20
O que pode ocorrer é ter sido trocado o SIM por um da mesma operadora
Os cartões TIM, geralmente apresentam essa configuração.
Extração física via bootloader.
Samsung sm-j530g.ds.
Origem 601 — 18/05/2023 10:07 a 11:25 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, bom dia... Estou com aquele velho problema do cartão não ser reconhecido pelo celular
Alguma Luz? Esse celular sm-j500m chegou em bootloop e estou tentando por bootloader
Coloque o sorriso em modo download.
Instale o twrp e faça a extração mmcblk0
Instale o twrp e faça a extração mmcblk0
É raro dar certo de reconhecer o SD.
Sugiro tentar o perfil do J500F... Se não me engano recentemente tive sucesso com a extração Decrypting EDL (ADB)
Sugiro tentar o perfil do J500F... Se não me engano recentemente tive sucesso com a extração Decrypting EDL (ADB)
Já tentou j500f? Eu tenho tido mais sucesso em usar a extração com F no lugar do M
Tenta fazer EDL utilizando o modelo J500H ou J500F
Tentei o F e não funcionou.... Vou tentar o H e depois via twrp então
Pode tentar edl no próprio modelo J500M
Bom dia!!
Xiaomi M2002J9G desbloqueiado.
O dispositivo não está conectando no PC e no Cellebrite UFED.
Após conectar o cabo no dispositivo e no PC, não aparece a opção de permitir para ter acesso ao conteúdo da memória interna.
Já foram realizadas/aplicadas todas as configurações necessárias.
Será que há algum bloqueio via sistema operacional ou alguma aplicativo que bloqueia o acesso?
Xiaomi M2002J9G desbloqueiado.
O dispositivo não está conectando no PC e no Cellebrite UFED.
Após conectar o cabo no dispositivo e no PC, não aparece a opção de permitir para ter acesso ao conteúdo da memória interna.
Já foram realizadas/aplicadas todas as configurações necessárias.
Será que há algum bloqueio via sistema operacional ou alguma aplicativo que bloqueia o acesso?
Salvo engano...esses Xiaomi tem que desbloquear em alguma configuraçao lá
E vai te pedir senha
Nao é só habilitar a depuraçao USB...
Tem mais uma "trava" no caminho
E se eu não me engano...ainda pede conexão com a internet
Então deve ser isso mesmo.
Cliquei em uma confirmação que solicitou usuário e senha.
Cliquei em uma confirmação que solicitou usuário e senha.
Pessoal, para abrir uma extração feita no XRY utilizando o Physical Analyzer, é preciso algum macete diferente de plug-in ou perfil? Ou simplesmente escolher o arquivo .XRY na hora de abrir a extração?
Xiaomi
Vou verificar.
Obrigado.
Obrigado.
Desabilitei essas 2 configurações mas mesmo assim não obtive acesso
Abre o arquivo no XAMN, exporta as partições para uma pasta e depois "abrir avançado" no PA.
https://www.msab.com/blog/how-to-export-binary-data/
Será que a trilha de dados não está avariada?
Não sei.
O celular liga e é possível visualizar o conteúdo pela tela do próprio celular.
O celular liga e é possível visualizar o conteúdo pela tela do próprio celular.
bom dia, alguem tem arquivo pdf com essas reguas?
Vou tentar extrair via Bluetooth agora.
Origem 602 — 22/05/2023 19:18 a 19:53 — Extração e análise de mensagens do WhatsApp
Vocês estão conseguindo extração de whatsapp do xiaomi? Tô com um redmi 9s, fiz lógica e física no XRY, e não veio
Redmi 9
O [NOME] tá conseguindo pegar?
Apk downgrade.
No ufed
O nosso tá desatualizado desde 2018...
Origem 603 — 23/05/2023 15:50 a 17:52 — Extração e compatibilidade em Samsung SM-A107M
Moto E5 plus bloqueado. Alguma possibilidade de desbloqueio?
Alguma ideia do que fazer com um SM-A107M com a tela totalmente quebrada? Não tenho como trocar a tela. Teria como fazer alguma extração que eu não precise interagir com a tela?
Consegue caso tenha Premium. Ufed não rola.
Precisa interação no ufed.
Origem 604 — 24/05/2023 12:53 a 14:28 — Extração e decodificação de bancos do WhatsApp
Boa tarde!
Estou com Moto Edge 30 Fusion apreendido em uma operação policial e levado diretamente para realizar a extração.
Constatou-se que o dispositivo está com senha [SEGREDO] ativado o tempo máximo de 30 min para bloquear a tela. É possível acessar as configurações mas não é possível ativar o modo desenvolvedor porque é solicitado o PIN.
Realizei com sucesso a extração lógica via bluetooth.
Há alguma forma de desbloquear/retirar/Identificar a senha?
Estou com Moto Edge 30 Fusion apreendido em uma operação policial e levado diretamente para realizar a extração.
Constatou-se que o dispositivo está com senha [SEGREDO] ativado o tempo máximo de 30 min para bloquear a tela. É possível acessar as configurações mas não é possível ativar o modo desenvolvedor porque é solicitado o PIN.
Realizei com sucesso a extração lógica via bluetooth.
Há alguma forma de desbloquear/retirar/Identificar a senha?
Esse "bloqueio" que possui para acessar o modo de desenvolvedor, seria de algum app? Conseguiu identificar isso?
Caso positivo, pode iniciar o dispositivo em modo de segurança e depois remover a opção de "sobreposição" desse app.
Aí ele não irá aparecer quando tenta acessar essas confs
Não sei.
Irei verificar agora.
Se for por meio de uma aplicativo, ao reiniciar no modo segurança não conseguirei acessar porque não tenho a senha de desbloqueio.O que farei neste caso?
Irei verificar agora.
Se for por meio de uma aplicativo, ao reiniciar no modo segurança não conseguirei acessar porque não tenho a senha de desbloqueio.O que farei neste caso?
Bloqueio de tela:
PIN
PIN
Se for um app, no modo de segurança ele não inicia, aí consegue fazer essas alterações.
Se for algo nativo, aí sem chance.
Se tentar smart flow no UFED ele reconhece?
(Só não sei o risco dele reiniciar o cel)
Faz uma transferência MTP para vir a pasta do whatsapp
a lógica por bluetooth acho q talvez perca a hierarquia das pastas
Em seguida, se vc tiver o chip pode fazer o esquema de recuperar o database
Desculpe me mas não conheço.
É uma opção de desbloqueio?
É uma opção de desbloqueio?
obter a key na verdade
É uma funcionalidade nova que ele identifica o melhor modelo de extração pro aparelho automaticamente
Na tela inicial de celulares é a primeira opção
bom dia senhores, iPhone 12 (A2402) bloqueado, não extrai nenhuma informação sem o premium?
Cuidado que o smart flow as vezes reinicia a dispositivo
Sim, não sei em que condições especificamente, então teria que avaliar
Origem 605 — 24/05/2023 14:45 a 19:22 — Extração e análise de variantes do WhatsApp
Boa tarde senhores Smartphone Samsung Galaxy A03, modelo SM-A035M/DS desbloqueado realizei a extração lógica avançada e sistema de arquivos android backup .... tbm realizei a extração lógica no XRY e nada de WhatsApp, alguma sugestão ?
Apk downgrade ou tentar Full file system se tiver UFED atualizado
Smart flow com ufed vc deve conseguir a full fs.
Estou na mesma situação com um xiaomi redmi 9...
Essas estações básicas não trazem whatsapp.
Precisa ser essas completas (full FS ou fisica) ou apk downgrade quando aplicável (whatsapp business e derivados do whatsapp não rola)
Só eq muito antigo ou uns bem específicos conseguem trazer na lógica o whatsapp.
Regra geral, seria essa.
Consegui fazer a física nesse xiaomi com o xry, só que não esperei quebrar um arquivo chamado password file, porque tava dando 10 dias para quebrar e já rodava há 3, aí desisti - estava nos 9 dígitos. A extração física ficou com a decodificação bem incompleta...
O xry achou a senha de desbloqueio, desbloqueei e depois fiz a lógica avançada. Não veio whatsapp.
Alguém sabe dizer que arquivo é esse password file? Seria alguma partição? Desconfiei do second space.
O xry achou a senha de desbloqueio, desbloqueei e depois fiz a lógica avançada. Não veio whatsapp.
Alguém sabe dizer que arquivo é esse password file? Seria alguma partição? Desconfiei do second space.
xiaomi tem aquele bloqueio de instalação de apk que já me deu muita dor de cabeça, por isso não tentei apk downgrade ainda.
Vc tem ufed?
está desatualizado desde 2018. só o xry tá atualizado.
Tem o código do modelo desse seu xiaomi?
o xry reconheceu como m2004j19c
Uhnn. Esse seu aí é um file-based encrypt. Nesse método que usou no XRY, não teria uma opção de full fs com o celular ligado?
Talvez algum método generico de chipset MTK com o eq ligado.
Talvez algum método generico de chipset MTK com o eq ligado.
Essa senha que ele achou, não deu boa de informar e possibilitar o acesso aos dados?
eu consegui desbloquear o celular com essa senha que ele achou, aí fiz a lógica avançada depois.
vou fuçar melhor o celular amanhã, ver se acho alguma configuração que explique esse problema, e talvez tente uma nova extração física.
até pensei em fazer downgrade do whatsapp pelo XRY, mas sempre deu problema em xiaomi
vou fuçar melhor o celular amanhã, ver se acho alguma configuração que explique esse problema, e talvez tente uma nova extração física.
até pensei em fazer downgrade do whatsapp pelo XRY, mas sempre deu problema em xiaomi
Informa: Emprestimo solicitado com sucesso no valor R$6.890,00. Caso desconheca essa operacao ligue para: 0800 666 6099
IMG-20230524-WA0007.jpg (arquivo anexado)
STK-20230524-WA0006.webp (arquivo anexado)
Recebi essa mensagem por SMS
Recebo essas mensagens há alguns meses.
Origem 606 — 25/05/2023 10:27 a 10:32 — Extração e decodificação de bancos do WhatsApp
Ele me jogou numa extração que n tinha feito ainda Unisoc que falhou
Coloquei um modelo similar e tá moendo SM-A035F e tá moendo a Android Backup APK downgrade
Falhou tbm no meio da extração igual a Unisoc
extraiu parcialmente, resta saber se virá o WhatsApp
Uhnn. Os últimos 035 conseguimos via smartflow. Talvez tentar mais umas vezes.
Origem 607 — 29/05/2023 08:52 a 09:09 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Estou com uma extração física aberta no Phys Analyzer, o delegado me requisitou o número de telefone atrelado ao aparelho.
encontrei três números diferentes, um nas infos do dispositivo, outro nos dados sim (MSISDN 1) e outro vinculado ao WhatsApp.
conseguem explicar isso?
encontrei três números diferentes, um nas infos do dispositivo, outro nos dados sim (MSISDN 1) e outro vinculado ao WhatsApp.
conseguem explicar isso?
<Mídia oculta>
infos do dispositivo
infos do dispositivo
O número do whatsapp no aparelho não necessariamente precisa ser o do chip. Você pode fazer a confirmação por sms ou ligação que podem ser recebido em qualquer outro aparelho.
<Mídia oculta>
dados sim > MSISDN 1
dados sim > MSISDN 1
sim, imaginei dessa forma mesmo
o chip pode ter sido trocado tb, e a conta do whatsapp era do chip anterior
Vai ter que requisitar pra operadora de telefone...informando o ICCID do chip e o IMEI do telefone
Pra ter 100% de certeza
Eu informaria que foram encontrados registros desses 3 números distintos, mas recomendaria também oficiar as operadoras quanto aos números utilizados por aquele imei, como o [NOME] falou.
imsi precisa?
Pode oficiar a operadora para qual o MSISDN associado a tal IMEI em determinado momento
É a fonte mais fiel
Origem 608 — 01/06/2023 15:27 a 17:20 — Root e extração em dispositivo Positivo
aqui em BSB sei apenas de um cara naqueles quiosques, sabe
colocar de volta é muito foda...
tirar é bem suave
E olha que tu és craque na soldagem [MENCAO] . Negócio deve ser bem difícil mesmo
é foda msm mano...
tirar tá sendo de boa (ou pelo menos foi)
mas colocar eu nunca tentei
o único bga que eu recoloquei era com contatos bem grandes, um pouco menores que o tsop mas não tão pequenos quanto os BGAs 221 ou as memórias UFS que estão vindo agora...
Não colocar de volta e sobrar parafuso é o lema da computação. Não abandonemos, pessoal.
Daqui um tempo, com toda a nanometrizacao, só um robô da neurallink vai conseguir soldar de volta um componente
Boa tarde.
Pessoal vocês que tem mapeado (em txt ou outra forma) os métodos de extração por dispositivo e puder compartilhar será de grande ajuda pra gente aqui no lab 🙏🏽
Já me desculpo antecipadamente caso já tenham postado e não vi.
Pessoal vocês que tem mapeado (em txt ou outra forma) os métodos de extração por dispositivo e puder compartilhar será de grande ajuda pra gente aqui no lab 🙏🏽
Já me desculpo antecipadamente caso já tenham postado e não vi.
STK-20210603-WA0034.webp (arquivo anexado)
pra mim TSV (Through Silicon Via + empacotamento 3D vão dominar os dispositivos)
uma placa de circuito impresso hoje é como se vc olhasse uma cidade que hoje é cheia de estradas conectando centros urbanos, regiões industriais, etc...
vai ser como olhar para um único prédio com habitações, e tudo junto, verticalizado
ou seja, vai ser tão pequeno que somente com máquinas mesmo
Origem 609 — 02/06/2023 18:48 a 19:18 — Extração e análise de mensagens do WhatsApp
Boa noite . É possível desbloquear a pasta segura da samsung - bloqueio tipo padrão? É um a205g com one ui 3.1 (android 11). O telefone não tem whatsapp aparente, então creio que está na pasta segura.
Tentei fazer a física no xry, mas informou que já tinha patch de correção. O patch de segurança é nov 2022
As vezes é possível com ferramenta Premium.
Ah, então só com premium?
Esse é um FBE. Então física terá que fazer BF de qualquer forma.
Talvez. Não são todos os eq que tem suporte para BF de Pasta segura ou semelhante
Ah tá. Mas tá desbloqueado. A física não deu por conta do patch atualizado. Não sei se faria bf da Pasta Segura, porque não fiz ainda no xry.
pelo ufed, tem como eu espontaneamente iniciar brute force em celular bloqueado? Digo, a unica vez que realizei brute force foi quando iniciei um extracao fisica e o celular, durante o processo, me sugeriu.
nao foi uma opcao que eu escolhi, o ufed que me trouxe. a maioria dos aparelhos ele n me traz essa opcao.
nao foi uma opcao que eu escolhi, o ufed que me trouxe. a maioria dos aparelhos ele n me traz essa opcao.
E só Samsung, se não me engano
O smart flow é mais novo, não lembro de ter feito fb por ali. No perfil genérico de Exynos que dá essa opção.
Origem 610 — 06/06/2023 12:15 a 13:14 — Extração e análise de dados em iPhone/iOS
A extração não veio cripto?
boa tarde pessoal. iPhone 4s que não dá sinal de tela. eu sei que ele está ligado, o UFED detecta inclusive o modelo, mas fica pedindo pra desbloquear a tela pra iniciar a extração. já entrei em modo recovery, mas também não inicia a extração.
alguma coisa a fazer?
alguma coisa a fazer?
Origem 611 — 06/06/2023 14:29 a 16:54 — Extração e decodificação de bancos do WhatsApp
Boa tarde.
Processei no PA, uma extração física e nos áudios do whatsapp "PTT****.opus", vários vieram com marca de apagados.
Existe alguma formas de recuperar este áudios?
Processei no PA, uma extração física e nos áudios do whatsapp "PTT****.opus", vários vieram com marca de apagados.
Existe alguma formas de recuperar este áudios?
Esse exige um procedimento antes da extração via UFED.
Precisa fazer downgrade de firmware para um anterior a 2019.
O exploit que funciona o UFED tem essa limitação.
Após fazer isso, o perfil LG decrypt generic deve funcionar.
Precisa fazer downgrade de firmware para um anterior a 2019.
O exploit que funciona o UFED tem essa limitação.
Após fazer isso, o perfil LG decrypt generic deve funcionar.
Vc consegue fazer downgrade via LG UP.
Precisa cuidar bastante, puq essa ferramenta tem a opção padrão para formatar o celular
Precisa certificar que está escolhendo a opção de "Upgrade"
Essa extração criptografada não dá a opção de força bruta quando abre no physical analizer que nem o k430?
Estou com um lm-x410bcw (k11+) na minha mesa. O ufed falhou em remover a senha [SEGREDO] métodos de extração física falharam. Fiz o dump do userdata pelo lgup.... Mas está criptografado, alguma Luz?
Esse nunca conseguimos tbm. Mesmo quando conseguimos a senha de alguma forma, a física nunca tivemos sucesso.
Se alguém já teve sucesso, agradeço tbm 😅
Se alguém já teve sucesso, agradeço tbm 😅
Pois é, esse está com senha
Lembra patch e versão Android?
Fala Pessoal Boa tarde
Estou com um Samsung S9
SM-G9600-DS
Alguém já conseguiu desbloquear?
Essa versão do S9 me deu sempre problema tanto no ufed quanto no XRY
Sobre o X410BCW abri a extração e não achei nem a versão do Android, e o técnico que fez não anota nada. O que não teve extração era 7.1.2 e patch de seg 01/05/20.
Uhnn.. Beleza. Valeuu
Cara, aqui em Alagoas peguei um, não consegui no 4PC , o juiz determinou q fosse enviado a PF pra fazer no premium
E lá eles conseguiram
Pois é tô pensando nisso
Esse é chato para desbloquear no UFED. Com Android 8 vc até consegue seguindo o procedimento do perfil dele, porém se for android 10, aí da ruim. E esse procedimento é bem chato. Super fácil de bricar o celular.
No Premium não é para ter problema.
No perfil dele está dando pau direto aqui [NOME]
Pede pra fazer retry toda hora
Veja no modo recovery se é android 10.
Se for, nem perca tempo, vai direto no Premium
Tentei um perfil genérico e ele até abre o odin
Nesse modelo não recomendo. É bem fácil bricar ele.
Ele usa uma sequencia beeem diferente dos outros no método via bootloader. São várias sequencias de telas e formas de entrar nessas telas. Precisa seguir conforme informado no UFED. Bem chato esse.
Ele usa uma sequencia beeem diferente dos outros no método via bootloader. São várias sequencias de telas e formas de entrar nessas telas. Precisa seguir conforme informado no UFED. Bem chato esse.
Origem 612 — 09/06/2023 11:44 a 12:38 — Extração e análise de mensagens do WhatsApp
Bom dia! Caso aqui onde o Zap não aparece na lista de aplicativos mas está instalado. Tô me perguntando como o sujeito fazia pra abrir o aplicativo.
Por acaso o WhatsApp não é uma versão dessas genéricas? Aí talvez apareça com nome diferente do padrão
Por exemplo: FMWhatsApp
Abri um por um 🤦🏻♂️
E nada de WhatsApp
<Mídia oculta>
Só consegui abrir pelas notificações
Só consegui abrir pelas notificações
Em alguns eq é possível esconder o icone
LG K10
Dá pra ver todas as conversas
Já verificou se não pode ser algum WhatsApp escondido dentro de algum outro app?
Abri todos pra verificar isso
Veja lá na lista de apps se tem algum App repetido ou que o tamanho dele seja suspeito
Já tivemos um caso, por exemplo, que o WhatsApp estava escondido em uma calculadora. Aí se digitasse um código na calculadora, abria o whatsapp
<Mídia oculta>
Abri o zap pelas notificações
Abri o zap pelas notificações
Levantou a suspeita puq a calculadora estava ocupando dezenas de MB, ao invés de menos de 2MB na memória
Normalmente é uma calculadora
Tbm tem isso. Algum App de duplicação de APP.
Positivo operante
Nesses casos acaba ficando mais explicito que há duplicação.
Nesses de calculadora, fica bem mais escodido.
Todos os celulares estavam com second space
10,35 MB a calculadora
Todas as extrações foram realizadas com sucesso 🙏🏼⭐🌟
A maioria vem com senha
Esse aparelho é do tráfico tbm
Chances de ser o mesmo caso nosso
Nenhum pediu senha. Abri todos
Veja se não tem dois Apps de calculadora no Celular
O padrão do Android e um segundo app
Vai ver isso lá na lista de Apps dentro das conf do Android.
Não parece estar escondido em calculadora esse caso. Está na lista de App o WhatsApp.
Pois é! Por isso q tô intrigado. Nunca vi isso
Talvez tenha alguma função de esconder icone nesse LG. Vi isso em um Xiaomi uma vez. Talvez tenha algo semelhante.
<Mídia oculta>
Olha o Zap aberto 🤣
Olha o Zap aberto 🤣
Têm extração física pra ele? Ou vendor?
Fiz a física 👍🏻
https://www.wikihow.com/Hide-Apps-on-Android
Tem um jeito para o LG
Não vou ter mais como verificar. Já entreguei o material. Mas obg! 👍🏻
Origem 613 — 13/06/2023 13:27 a 13:50 — Extrações, importação e limitações no XRY
Pessoal, pra exportar a extração física do XRY para BIN (pra poder abrir no UFED) é esse o caminho? Até vi um link que enviaram esses dias, mas ainda assim estou apanhando.
Exporta só a partição do userdata.... Fica melhor pro ufed entender
O XACT é melhor pra fazer esse procedimento, na minha opinião
Nem mexe em nome ou extensão? Quando tenho mandado exportar ali onde está o mouse, ele fica como DATA, sem extensão nem nada. É isso aí? Mando abrir avançado abrindo como pasta?
É a versão anterior ao XAMN?
Software complementar da MSAB
Vem com o XRY
Vou procurar aqui. Nossa licença renovou esses dias. Estou me habituando com ele.
Aí vai listar as partições, então seleciona o userdata
Origem 614 — 13/06/2023 14:57 a 15:39 — Extração e compatibilidade em Samsung SMARFLOW
Esse XACT eu teria que baixar do site? Pq aqui na instalação consta apenas o XRY e o XAMN.
<Mídia oculta>
Será que é a forma que estou abrindo no PA? Pq eu exportei apenas a USERDATA e fui no ABRIR AVANÇADO >> EXTRAÇÃO BINÁRIA... E selecionei o dispositivo lá em cima, depois selecionei a extração física... Ele rodou, demorou para abrir, mas não processou legal.
Será que é a forma que estou abrindo no PA? Pq eu exportei apenas a USERDATA e fui no ABRIR AVANÇADO >> EXTRAÇÃO BINÁRIA... E selecionei o dispositivo lá em cima, depois selecionei a extração física... Ele rodou, demorou para abrir, mas não processou legal.
<Mídia oculta>
Saiu basicamente NÃO CATEGORIZADO.
Saiu basicamente NÃO CATEGORIZADO.
Gostaria de uma orientação. Estou com um disco de DVR, da marca TECVOZ. Utilizei a solução do colega [NOME], que não detectou o sistema de arquivos. Tentei utilizar outras soluções que também não logrou êxito.
Abri o FTK imager e o hexadecimal viewer mostra que os primeiros bytes estão todos zerados, há algum dado em outra seção e depois mais bytes zerados.
Alguma sugestão para o caso?
Desde já agradeço a força!
Primeiro olha o binário em um editor hexa pra saber se está criptografado.... se não estiver cifrado, dentro do PA no novo projeto avançado, vai precisar testar alguns perfis. Eu Acredito que de acordo com o perfil do aparelho selecionado o PA executa um conjunto de plugins ....
Tenta com aquele software pago, acho que é DVR Extractor
Pra ver se suporta
Pois é. Isso que eu achei estranho, pq foi direto no modelo do aparelho... E dentro dele selecionei a única opção de física que tinha, então imaginei que ia para os plug-ins corretos já.
Já tive bons resultados com generic Android.... Mas precisa testar.... Já tive esse problema com uns LG, mas percebi que o dump gerado no xry estava criptografado
Entendi. O XRY conseguiu a senha via força-bruta. Mas é um Redmi 9, então tem chance de ser mesmo.
Alguma dica sobre como verificar que está cripto?
No Editor hexa vai estar tudo bem embaralhado
opa, Danilo TECVOZ é geralmente é o sistema de arquivo TVT
Grande [NOME]! Obrigado, então é só escolher esse sistema de arquivos e mandar rodar, certo?
isso.
no caso o DVRExtractor faz o carving. também tem o software do fabricante lá na pasta do google drive. link direto aqui:
https://drive.google.com/drive/folders/161esgnAnZDmM8q9wUSBNQxd-u4AOPGgh?usp=sharing
tem que rodar como admin.
no caso o DVRExtractor faz o carving. também tem o software do fabricante lá na pasta do google drive. link direto aqui:
https://drive.google.com/drive/folders/161esgnAnZDmM8q9wUSBNQxd-u4AOPGgh?usp=sharing
tem que rodar como admin.
Beleza, meu amigo! Muito obrigado pela atenção e suporte!
O xry vai exportar o bin criptografado. Faça o dump no XAMN dos sistema de arquivos para um ".zip", refletindo o caminho original. Depois carregue no PA em um perfil aproximado desse aparelho
Não é a solução ideal pois há alguma perda de informações de metadados. Ou faça a extração no ufed na smarflow.
O UFED não está dando conta. O aparelho está desbloqueado. Mas todo app está com bloqueio pé senha geométrica.
Origem 615 — 20/06/2023 17:19 a 19:26 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde! SM-A217M, no UFED é possível tentar força bruta via extração FFS FBE? estou com um bloqueado em AFU, e não queria reiniciar pra testar pois perderia estado útil pro Premium, se não houver a possibilidade no UFED... obrigado
(p.s: não tenho premium na minha unidade)
Qual tipo de senha desse celular?
A princípio teria suporte. Essa opção de BF no ufed é para samsung com chipset exynos, que é o caso desse modelo.
Se for senha geométrica, não vejo problema de tentar, puq ai caso não funcione, poderá fazer a quebra de senha no premium e posterior extração
Não tenho certeza, mas acho que esse Exynos em AFU o ufed extrai direto sem precisar da senha
PIN
pelo método FFS FBE?
Nesse método de exynos FBE não faz. Ele precisa inicar via bootloader
Entao obriga a desligar o eq
Se não for um PIN absurdo (8 ou até mais) o premium deve pegar suave.
então vou testar por aqui e se não der mando pra unidade que tem o premium
novidades, retorno
meh, não deu "the operation is not supported by the device"
Eita, que chato. Talvez por motivo de versão de Android ou patch seg
Não deve ser um problema para premium.
provável... é oq importa... obrigado!!
IMG-20230620-WA0014.jpg (arquivo anexado)
Origem 616 — 21/06/2023 16:24 a 16:38 — Extração e compatibilidade em Samsung SMART
Pessoal, boa tarde. Estamos com um caso bastante relevante aqui com um Redmi Note 8 (M1908C3JG), chipset Qualcomm SDM665 Snapdragon 665, que está desbloqueado, porém com segundo espaço ativado. O segundo espaço está com senha numérica.
O UFED conseguiu o Smart Flow, mas parece que quando adentra a área do sistema de arquivos deste segundo espaço a extração encerra. Tentamos tbm no XRY, mas a física pra esse modelo ou aparelhos de mesmo chipset não é possível.
Algúem tem alguma dica? Será que esta senha pode estar em algum arquivo específico?
O UFED conseguiu o Smart Flow, mas parece que quando adentra a área do sistema de arquivos deste segundo espaço a extração encerra. Tentamos tbm no XRY, mas a física pra esse modelo ou aparelhos de mesmo chipset não é possível.
Algúem tem alguma dica? Será que esta senha pode estar em algum arquivo específico?
Vc já processou esse caso no PA e verificou de foi possível interpretar esse segundo espaço?
Em alguns casos em que há segundo espaço e é FDE, não há necessidade de realizar extração desse container, pois na fisica já vem a key para decrypt. Normalmente a ferramenta forense consegue interpretar nesses casos. Teria que avaliar como o PA apresenta os dados.
Em alguns casos em que há segundo espaço e é FDE, não há necessidade de realizar extração desse container, pois na fisica já vem a key para decrypt. Normalmente a ferramenta forense consegue interpretar nesses casos. Teria que avaliar como o PA apresenta os dados.
Tentou abrir a extração no PA 8 ultra? Tenho observado algumas diferenças entre abrir a extração no PA 7.xx e no PA 8 ultra
Aparentemente não pegou esse segundo espaço. Parece que pegou alguma coisa das credenciais do usuário.
Existe tbm a possibilidade desse segundo espaço estar vazio, mas achamos que é lá que estão as informações que precisamos.
Você vê alguma forma prática de se verificar se pegou o conteúdo do segundo espaço?
Existe tbm a possibilidade desse segundo espaço estar vazio, mas achamos que é lá que estão as informações que precisamos.
Você vê alguma forma prática de se verificar se pegou o conteúdo do segundo espaço?
Pode tentar abrir essa imagem em software estilo FTK e navegar nos diretórios. O segundo espaço tem a identificação de um outro usuário. As vezes tem o id 10, as vezes 99, ou até outro id. Depende do eq. O user padrão normalmente tem o id 0
Mesmo não sendo uma física e sim um FFS que foi feita?
Ah, desculpa. Entendi que tinha feito física.
Bom nesse caso apenas com Premium já que não possui a senha. Aí talvez forneça opção de BF para o segundo espaço e posterior extração desse container.
Origem 617 — 28/06/2023 14:46 a 15:30 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, pessoal. Estou com um XT1600 (moto g4 play) bloqueado, com os botões de volume sem funcionar. alguma outra maneira de ativar o modo fastboot flash? precisaria do volume down funcionando
pelo lockpick não tá desbloqueando
Outro que faz fácil por EDL
pela busca manual, só disponibiliza lockpick e disable user lock
seria por algum genérico?
ou esse seria já na extração?
Seria abrindo e colocando em EDL pelo test point. Tem naquele pdf do Lorenz
Tentou com o ap desligado, plugar o cabo A com a ponta 133 (amarela)?
sim, normalmente consigo pelo 133 quando é um samsung e tal. por esse motorola não vai
Esse vc faz extração via EDL. Se não precisa realmente desbloquear, só desmontar e fazer via test point a extração física via EDL.
se possivel, pode mandar esse pdf pra que eu possa dar uma olhada? seria de grande valia, acredito que ninguem aqui tenha feito até então
IMG-20230628-WA0013.jpg (arquivo anexado)
Limpe o tropicalizador da placa para melhor contato
Origem 618 — 29/06/2023 14:52 a 14:58 — Extração e decodificação de bancos do WhatsApp
Boa tarde.
Fiz a extração em um iPhone 14 desbloqueado no ufed 4pc. Entretanto, não veio o banco de dados do whatsapp. Isso tá sendo o normal para esse tipo de aparelho?
Fiz a extração em um iPhone 14 desbloqueado no ufed 4pc. Entretanto, não veio o banco de dados do whatsapp. Isso tá sendo o normal para esse tipo de aparelho?
No caso, o WhatsApp aparece em tela, mas o PA não exibe?
Usou o Premium?
O Premium que temos aqui é pelo sistema de voucher. Estou evitando usar.
às vezes o WhatsApp muda o layout do banco de dados e o PA desatualizado não reconhece, não sei se é o caso
na visualização de sistema de arquivos do PA não há o .sqlite?
Estranho isso. Nunca vi isso acontecer em um Ios desbloqueado
bem, se não vieram os arquivos, aí é alguma situação da extração mesmo...
Parece que o iOS não "joga" mais o whatsapp no backup
Já tivemos alguns casos
backup do itunes não vem mais então?
Ultimamente parou de vir
Putz... Que merda. Mas obrigado pela ajuda então
Origem 619 — 06/07/2023 08:35 a 09:45 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
bom dia, estou com uma partição apfs criptografada, e tenho uma lista de possívies combinações para a senha.
tentei abrir usando o axiom, mas ele pede a senha, não consigo usar uma lista de palavras chave ou pedir que ele faça um brute force.
alguém tem uma luz de como fazer brute force, ou outra alternativa?
tentei abrir usando o axiom, mas ele pede a senha, não consigo usar uma lista de palavras chave ou pedir que ele faça um brute force.
alguém tem uma luz de como fazer brute force, ou outra alternativa?
Pelo que sei, dicionário no Axiom não tem. Eles "recomendam" usar o passware.
Mas acho que tem como vc tirar o hash do filevault e rodar o ataque no hashcat
Mas acho que tem como vc tirar o hash do filevault e rodar o ataque no hashcat
acho que tem 1 script chamado apfs2hashcat
https://github.com/Banaanhangwagen/apfs2hashcat
https://www.fortalicesolutions.com/posts/macos-password-recovery-on-a-disk-with-filevault-2-encryption
show. obrigado, [NOME]!
Pessoal, há pouco tempo temos utilizado o XRY e temos tido sucesso com a extração física e força-bruta em alguns aparelhos que o UFED não consegue.
Nesses casos, quando é senha geométrica ou PIN, até que a força-bruta faz rápido... Mas quando é alfanumérica com quantidade indefinida de dígitos esse tempo tende ao infinito... E aí, como vcs fazem? Seguem algum protocolo? Estabelecem um limite de tempo pra desistir?
Nesses casos, quando é senha geométrica ou PIN, até que a força-bruta faz rápido... Mas quando é alfanumérica com quantidade indefinida de dígitos esse tempo tende ao infinito... E aí, como vcs fazem? Seguem algum protocolo? Estabelecem um limite de tempo pra desistir?
Pq acaba sendo inviável deixar o processo correndo ad eternum, né...
Brincadeira a parte, geralmente se coloca uma wordlist preparada para o caso específico. Exaurindo-a, devolve-se o material informando a impossibilidade de quebra no momento do exame.
essa wordlist tem algum processo automatico que usa, levando em conta as informacoes da pessoa... como q vcs procedem?
Depende do caso.
Quando se tem algo, geralmente usa-se uma genérica acrescida de senhas construídas específicas para o caso.
Também tem a possibilidade de usar o wordlist generator da Magnet, que pega um caso no Axiom e gera palavras baseadas no que se tem em alguma extração. As vezes da certo para quebrar celular baseada em dados de outro aparelho ou computador, e versa-vice.
Quando se tem algo, geralmente usa-se uma genérica acrescida de senhas construídas específicas para o caso.
Também tem a possibilidade de usar o wordlist generator da Magnet, que pega um caso no Axiom e gera palavras baseadas no que se tem em alguma extração. As vezes da certo para quebrar celular baseada em dados de outro aparelho ou computador, e versa-vice.
muitas vezes se pega senhas dos navegadores do computador do alvo e usa-se no aparelho tb, com variações
tem muitas outras possibilidades tb
cada caso merece um estudo
Origem 620 — 07/07/2023 08:59 a 11:10 — Bootloader, desbloqueio OEM e risco de wipe
BOm dia senhores, estou com um Samsung Galaxy J1 Mini, modelo SM-J105B/DL, bloqueado com senha alfanumérica... embora o 4PC possua extrações para o modelo com desbloqueio de tela.... o telefone não entra em modo download, alguma dica ?
Tentou colocar em modo download com a ponteira 133 e com vol-, home e power?
na verdade quando pediu modo download eu fui logo na ponteira mágica (133 amarela)
Uma vez eu tive algo similar e usei o freeware do https://www.ultfone.com/ pra colocar no modo download
Outra coisa, em recovery ele entra? (Vol+ em vez do vol-), que aí também tem o restart to bootloader
boa, é uma opção que nem sempre se lembra
mas não consigo usar os botões up/down
De sorte na computação não se reclama kkk deu boa
Ainda rolou uma extração física
Origem 621 — 14/07/2023 10:07 a 10:09 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia, pessoal. Estou na Delegacia e sem acesso ao UFED no momento. Saberiam me dizer se dá para quebrar senha do Galaxy A21?
<Mídia oculta>
Pelo perfil não.
Pelo perfil não.
Tendo em vista que é Mediatek, tbm não vai rolar nos perfil Exynos FBE.
Origem 622 — 18/07/2023 19:15 a 20:41 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa noite pessoal.
Estou com um Samsung G903M/DS que aparece a mensagem de Hard Reset ao tentar a física.
Na Sistema de Arquivos ele entrou em boot loop em um dos métodos, mas o boot loop foi contornado. Ao tentar outro método de Sistema de Arquivos deu erro e finalizou incompleto.
Algum bizu?
Estou com um Samsung G903M/DS que aparece a mensagem de Hard Reset ao tentar a física.
Na Sistema de Arquivos ele entrou em boot loop em um dos métodos, mas o boot loop foi contornado. Ao tentar outro método de Sistema de Arquivos deu erro e finalizou incompleto.
Algum bizu?
Vc está tentando desbloquear ele ?
Fazer a física. Está sem senha.
Extrair os dados, está sem senha
Esses Samsung da muito problema
Talvez no XRY seja melhor
Tentar nele.
Obgdo [NOME]
Obgdo [NOME]
Acredito que esse não seja crypto. É possível fazer via custom recovery a fisica tbm.
Caso realmente não seja fde
Blza, obgdo [NOME]
Pessoal, um colega aqui do DF realizou uma avaliação nos mecanismos de transcrição de áudio do IPED gratuitos e fez um pedido de ajuste no IPED. Quem tiver interesse em ter mais uma opção de transcrição, se puder...
dá um "UP" na issue https://github.com/sepinf-inc/IPED/issues/1335
ajuda bastante a dar uma força para esta implementação...
lá tem os detalhes que indicam que a acurácia ficaria muito boa com mais uma opção para transcrição de áudios
dá um "UP" na issue https://github.com/sepinf-inc/IPED/issues/1335
ajuda bastante a dar uma força para esta implementação...
lá tem os detalhes que indicam que a acurácia ficaria muito boa com mais uma opção para transcrição de áudios
infelizmente, a gente ainda não tem equipe de desenvolvimento...
quem sabe no futuro a gente consiga contribuir desenvolvendo mais....
<Mídia oculta>
para dar uma força, basta entrar no github e dar um "👍"
para dar uma força, basta entrar no github e dar um "👍"
Olhei aqui a issue e tenho algumas ponderações de experiências práticas.
Whisper é boa mas é como ele falou ali, 4 dias de transcrições e ele deixou logo o teste, inviável.
O wav2vec é o estado da arte nessa questão mesmo, até o momento não tem como fugir considerando o impasse de tempo x resultados aceitáveis.
Parabéns ao guerreiro que encontrou a whisper no hugging face, certamente irei fazer o teste e reportar os resultados 🤜🏽🤛🏽
Whisper é boa mas é como ele falou ali, 4 dias de transcrições e ele deixou logo o teste, inviável.
O wav2vec é o estado da arte nessa questão mesmo, até o momento não tem como fugir considerando o impasse de tempo x resultados aceitáveis.
Parabéns ao guerreiro que encontrou a whisper no hugging face, certamente irei fazer o teste e reportar os resultados 🤜🏽🤛🏽
Pra transcriçao eu acho muito bom o [NOME] Forensics
O [NOME] usa ferramentas e inclusive ícones do IPED e não dá nenhum Copyright sendo isso uma issue aberta pelo próprio Nassif no repositório da ferramenta citada.
Comportamento lamentável dentro da comunidade de desenvolvimento. E não é um caso isolado!
Comportamento lamentável dentro da comunidade de desenvolvimento. E não é um caso isolado!
na Issue a gente queria uma força para a implementação recente do *"faster-whisper"*
realmente, o whisper tem um tempo impraticável, porém, esta implementação do whisper super recente jogou o tempo numa escala muuuuuito competitiva e animadora!
comparando com o wav2vec, ficou muito melhor o resultado final
realmente, o whisper tem um tempo impraticável, porém, esta implementação do whisper super recente jogou o tempo numa escala muuuuuito competitiva e animadora!
comparando com o wav2vec, ficou muito melhor o resultado final
talvez não tenha ficado claro...
esse lance de escrever em inglês talvez... sei lá! qq coisa avisa se acharem que precisa de mais detalhes!!
Ficou sim, eu entendi o que você respondeu lá pra ele. Mais tarde mesmo eu já dou uma olhada nessa versão do whisper e já te passo algo 🤜🏽🤛🏽
IMG-20230718-WA0017.jpg (arquivo anexado)
Para mim tem mais vantagens, apesar do tempo lento a transcrição é muito melhor que o wav2vec, traz pontuação, é gratuito, não manda nada para nuvem. O Azure da para usar, mas é caro, manda para nuvem, mas tempo melhor. Wav2vec a taxa de erro é muito alta. Acho o Whisper o melhor custo benefício.
Origem 623 — 20/07/2023 13:28 a 13:29 — Extração e root em dispositivos LG
Boa tarde. LG x430bmw (k40s) desbloqueado. O UFEd não consegue fazer nenhuma extração. No Flow, fecha a janela e volta pra tela inicial. Alguém ja extraiu esse aparelho?
Ja vasculhei por software bloqueador mas n encontrei
Origem 624 — 21/07/2023 08:11 a 08:34 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia. Colocamos no nosso sistema de transcrição que está em implementação nos nossos Relatórios. Acho que deu boa!
Transcrição:
é bug, olha bug, aqui é o mago, mago da vida, olha, e aí pijá, o bagulho lá, do, do, do, do ferro, olha aí, olha aí, estou com dois micros da mão, para, para, para, para, o ferro então, e aí, precisa pegar uma, pegar uma tira, dois, dois, dois teclas, olha aí, e aí, e aí, tu dá ideia, tu tá aí, olha, se tu achou bagulho, e, e, e, e vai lá baixar então, e aí, olha, o bagulho tá aí na mão, na mão, na mão, na mão, na mão então, e aí, dá ideia
Linguagen detectada:pt 91
Transcrição:
é bug, olha bug, aqui é o mago, mago da vida, olha, e aí pijá, o bagulho lá, do, do, do, do ferro, olha aí, olha aí, estou com dois micros da mão, para, para, para, para, o ferro então, e aí, precisa pegar uma, pegar uma tira, dois, dois, dois teclas, olha aí, e aí, e aí, tu dá ideia, tu tá aí, olha, se tu achou bagulho, e, e, e, e vai lá baixar então, e aí, olha, o bagulho tá aí na mão, na mão, na mão, na mão, na mão então, e aí, dá ideia
Linguagen detectada:pt 91
Demorou 5 segundos a transcrição.
Muito boa a transcrição, mas faltou a parte mais relevante do áudio: a de que o suspeito tá com o c* na mão
acho que vc entendeu c* na mão, mas, pela transcrição e que entendi também, "dois micros na mão"
Sempre terá alguma coisa mais ou menos. Acredito que a transcrição esta ai para ajudar a ter uma ideia do conteúdo do áudio sem obrigar a ficar ouvindo 100% dos arquivos.
Ai nos casos em que há relevância, seria indispensável ouvir o áudio para confirmar o conteúdo.
Ai nos casos em que há relevância, seria indispensável ouvir o áudio para confirmar o conteúdo.
Em MS não fazemos a mera transcrição de áudio. Sempre devolvemos este tipo de requicao. Só executamos a transcrição, quando tem suspeita de edição no áudio.
É uma mão na roda pro pessoal que faz exame de comparação de locutor. Pessoal do MP também usa para reduzir a termo o conteúdo das audiências. Aqui no Ceará o perito [MENCAO] está implantando uma rotina de automação para enviar junto com os relatórios de extração de celular
Bom dia amigos Peritos do grupo
Estou tendo dificuldades para extrair via chipset
Um Galaxy A30
Alguém já conseguiu?
Tentei até um genérico aqui e nada
Origem 625 — 21/07/2023 10:38 a 11:04 — Plugin pro UFED
vcs usaram algum modelo de IA destes disponíveis gratuitamente ou criaram um próprio [MENCAO] ?
Estamos usando whisper mesmo.
Não sei se esta customizado, pois é outro colega Perito que esta desenvolvendo. Está quase pronto para entrar nos nosso relatórios.
Estamos em fase de teste, automatização e adaptação nos relatórios.
Não sei se esta customizado, pois é outro colega Perito que esta desenvolvendo. Está quase pronto para entrar nos nosso relatórios.
Estamos em fase de teste, automatização e adaptação nos relatórios.
plugin pro UFED?
Não. Será uma ferramenta nossa mesmo.
Como estamos encontrando algumas limitações das ferramentas forenses nas codificações alguns apps, estamos desenvolvendo nossos próprios plug-ins e no final gerando um merge de tudo.
Como estamos encontrando algumas limitações das ferramentas forenses nas codificações alguns apps, estamos desenvolvendo nossos próprios plug-ins e no final gerando um merge de tudo.
bacana hein! boa sorte aí!
[MENCAO], vcs estão o whisper mesmo o ou faster-whisper? poderia confirmar? o Nassif(PF) e o Werneck (PCDF) estão trabalhando nisto e poderia nos ajudar a selecionar o melhor.
Posso confirmar depois.
Mas adianto que o que faz ficar muito rápido a transcrição é rodar em gpu.
Em cpu é muito lento.
Mas adianto que o que faz ficar muito rápido a transcrição é rodar em gpu.
Em cpu é muito lento.
Estamos fazendo o teste com os dois aqui, e comparando o resultado de vários áudios para ver qual tem resultados melhores. Os dois funcionam muito bem, com algumas pequenas diferenças.
nos próximos anos, todos nós vamos ter de investir em GPUs...
vcs escolheram alguma parruda tipo A-100 ou seguem com rtx3090, etc? montaram cluster?
desculpe as perguntas, mas acho que o teu experimento é muito interessante
Alguém já conseguiu rodar em TPU?
Nós estamos rodando em NVIDIA Quadro RTX 5000
Origem 626 — 24/07/2023 17:45 a 19:35 — Extração e decodificação de bancos do WhatsApp
Boa tarde.
Estou com um J500M com a tela estragada. Tentei fazer boot loader legacy às cegas mas pede pra colocar cartão de memória e da erro. Até substitui, com sucesso, a ROM por uma q temos aqui no servidor e o problema persiste.
Então parti pra EDL pura.
Desmontei e fui no modelo PDA Android Qualcomm.
Nele tento o EDL sem ser decrypt e nada.
Até tentei o crypt tbem, mas dá erro.
O cel entra no modo EDL
Estou com um J500M com a tela estragada. Tentei fazer boot loader legacy às cegas mas pede pra colocar cartão de memória e da erro. Até substitui, com sucesso, a ROM por uma q temos aqui no servidor e o problema persiste.
Então parti pra EDL pura.
Desmontei e fui no modelo PDA Android Qualcomm.
Nele tento o EDL sem ser decrypt e nada.
Até tentei o crypt tbem, mas dá erro.
O cel entra no modo EDL
Alguma dica? Qual modelo vcs usam pra extrair pelo EDL?
O J5 rola extraçào física com o bootloader, mas acho que trocar a tela é inevitável
Sempre deu no EDL não decrypt. Talvez esteja com problema mesmo.
Você tá usando a extração com a bateria? Alguns modelos a técnica funciona sem a bateria, se não me engano o J500 ja fiz EDL sem a bateria
Estou usando sem a bateria. Dou o curto e está habituando normalmente o botão continuar
Não era para ter problema com esse modelo
Qual erro está sendo apresentado?
No caso de quando usa o EDL não crypto
Nos casos em que usa curto, usar o "EDL recomendado"
Existe uma pequena chance desse j500 ser FDE. Aí complica um pouco via EDL. Fica bem mais chato de fazer.
Mas depende do que é apresentado pelo UFED quando vc consegue colocar em EDL e iniciar o processo da extração não crypto
Mas depende do que é apresentado pelo UFED quando vc consegue colocar em EDL e iniciar o processo da extração não crypto
<Mídia oculta>
Mudei de UFED: deu certo. Essa tal da computação jamais será uma ciência exata kkkk
Mudei de UFED: deu certo. Essa tal da computação jamais será uma ciência exata kkkk
A definição de insanidade...
um celular nao extrair no 4pc e funcionar no touch2 tá virando hábito por aqui
O [NOME] 3.6 não reconhece celular muito atualizado? Coloquei um A11 com android 12 patch de maio 2023 e não reconhece.
E até qual android faz whatsapp downgrade? É o 11 ainda?
E até qual android faz whatsapp downgrade? É o 11 ainda?
Parece que ele faz downgrade até do Android 13
Mas tudo vai depender do patch de segurança...já vi Android 11 que nao deu
Por isso tem que testar usando aquele app de teste dele ...se conseguir instalar o app é pq vai dar certo o downgrade
Sim, mas o [NOME] não tem nem reconhecido celular muito recente, mas não sei se é algo que deixei de fazer. Eu instalei no C: e sempre rodo com privilégio de admin.
Eu sempre vou no "test connection" antes
Pra ver se tá reconhecendo o debug usb
Depuração usb tá ativo. Inclusive fiz uma extração lógica avançada no xry nele
Origem 627 — 25/07/2023 10:42 a 10:55 — Extração em dispositivos Realme/Oppo
Pessoal, beleza?
Supondo que eu tenha autorização judicial para acesso aos dados em nuvem e que, na extração do aparelho, eu tenha conseguido as informações de e-mail e senha do investigado... Eu posso acessar via navegador o Google Drive ou Fotos, por exemplo?
Supondo que eu tenha autorização judicial para acesso aos dados em nuvem e que, na extração do aparelho, eu tenha conseguido as informações de e-mail e senha do investigado... Eu posso acessar via navegador o Google Drive ou Fotos, por exemplo?
se o MBA autoriza...mas aí tem o problema da autenticação em dois fatores
fora que o "suspeito" vai ser avisado né...do login em outro computador
aqui temos uma licença do UFED Cloud pra isso
Na minha opinião, sim. De certo modo é o q as ferramentas Cloud fazem, mas através do token armazenado, creio.
Se for acessar, utiliza o site takeout.google.com
O takeout do Google, vai criar um backup completo da conta, incluindo tudo
vc escolhe o q inclui, histórico de localização, email, pesquisas noyoutube, chrome, etc
E o PA reconhece
Show de bola!
Realmente tem a questão da autenticação... Eu até estou com o cartão SIM aqui... E supondo que esta autenticação seja por SMS, entra até outra questão: posso pegar um aparelho alheio ao caso pra receber esse SMS?
Realmente tem a questão da autenticação... Eu até estou com o cartão SIM aqui... E supondo que esta autenticação seja por SMS, entra até outra questão: posso pegar um aparelho alheio ao caso pra receber esse SMS?
Na minha opinião, se tem ordem judicial, vc pode arregaçar
é igual a mandado de busca e apreensão, se tiver um cadeado no imóvel, estoura o cadeado (a senha no nosso caso)
[NOME], outro caminho, mais demorado e menos invasivo é o seguinte: vc se cadastrar no site LERS do google (Law Enforcement Request System)
Fornecer a autorização judicial
e eles google fazem o takeout...
só q a autorização judicial tem q mencionar o email em específico
vc recebe no sistema o zip com os dados
mas no seu caso aí, eu iria acessando mesmo o takeout diretamente já q tens a senha
Origem 628 — 03/08/2023 16:45 a 17:01 — Acesso a arquivos da Pasta Segura Samsung
Boa tarde
Alguém já teve sucesso com iPad Mini A1454?
Alguém já teve sucesso com iPad Mini A1454?
A FileSystem diz que está criptografada 🫠
Está usando UFED
A pasta segura está protegida por senha, certo?
Use aquela função nas ferramentas "remover iTunes crypt". (o nome é algo assim)
É do próprio UFED
Acessa as ferramentas na tela inicial dele
Tentamos, deu falha
Está com senha o celular? Que versão do UFED está usando?
Então talvez com Premium. Não são todos que possuem suporte para esse tipo de container.
No Premium deu que não é compatível
iPad tem pouco suporte
no premium
E no UFED deu esse problema da criptografia
Esse iPad está com senha?
Eu já tive isso e tive que usar aquela opção de "resetar iphone". É aquela que não perder os dados, porém exclui as credenciais do usuário. Acaba perdendo alguma coisa nesse sentido, porém os dados do usuário não mantidos.
Eu já tive isso e tive que usar aquela opção de "resetar iphone". É aquela que não perder os dados, porém exclui as credenciais do usuário. Acaba perdendo alguma coisa nesse sentido, porém os dados do usuário não mantidos.
se conseguir a senha, é só fazer nova extração e o ufed vai trazer as informações?
Está sem senha.
Bom, aí talvez.
Aí teria que testar se desbloqueado e depois nova extração vem as infos da parta segura.
No zip da Full é possível verificar isso.
No premium é feito uma extração separada, então não sei ao certo como o UFED vai interagir com essa pasta segura descrypt.
Aí teria que testar se desbloqueado e depois nova extração vem as infos da parta segura.
No zip da Full é possível verificar isso.
No premium é feito uma extração separada, então não sei ao certo como o UFED vai interagir com essa pasta segura descrypt.
Já tentou reiniciar o touch e ipad?
Se não, unica opção seria isso mesmo
Fazer esse soft-reset.
blz. amanhã vou testar e falo o q consegui
O UFED não é tão transparente nesses casos de outros usuários no celular. Já o Premium é bem melhor para entender como a ferramenta está interpretando esses containers.
Entendi.
Muito obgdo [MENCAO]
🤜🏽🤛🏽
Muito obgdo [MENCAO]
🤜🏽🤛🏽
Putz. então eu iria para esse caminho.
Já tive casos assim
Que por nada ele removia esse crypto do iTunes
Vms tentar por ele.
Já conseguimos algo com uma lógica parcial
Já conseguimos algo com uma lógica parcial
Aí fiz isso e deu boa
Aí funcionou a função do remove crypto e as extrações seguintes.
Na lógica tbm da esse erro
Como conseguiu a extração?
Origem 629 — 04/08/2023 08:48 a 12:27 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia meus nobres!
Algum dos senhores tem algum estudo da porcentagem de aparelhos, que não possui opção de desbloqueio com o UFED 4PC e que seria possível desbloquear com o Premium? Ou mesmo uma listagem dos modelos que são possíveis de realizar o desbloqueio com o Premium? Estamos iniciando o processo de compra do Premium e precisamos dessa justificativa. Na prática, os aparelhos mais novos, só realizamos o exame quando mandam a senha. Desde já agradeço.
Algum dos senhores tem algum estudo da porcentagem de aparelhos, que não possui opção de desbloqueio com o UFED 4PC e que seria possível desbloquear com o Premium? Ou mesmo uma listagem dos modelos que são possíveis de realizar o desbloqueio com o Premium? Estamos iniciando o processo de compra do Premium e precisamos dessa justificativa. Na prática, os aparelhos mais novos, só realizamos o exame quando mandam a senha. Desde já agradeço.
Vcs desbloqueiam 70% dos aparelhos sem o premium?
No Ceará a gente costuma falar que o ufed convencional só está desbloqueando e fazendo extração física ou FFS dos celulares do tempo da Odete Roitman (os meia idade do grupo entenderão).
Brincadeiras a parte a taxa realmente deve ficar em torno de 70%, sem contar que os métodos utilizados pelo convencional são bem mais demorados e complexos para conseguir a extração física ou FFS
Brincadeiras a parte a taxa realmente deve ficar em torno de 70%, sem contar que os métodos utilizados pelo convencional são bem mais demorados e complexos para conseguir a extração física ou FFS
depois de desbloqueada a pasta segura, a FFS terminou com o mesmo tamanho de extração de antes de desbloquear. abrir a extração no PA vai demorar algumas eras, então to tentando buscar o conteúdo da pasta segura dentro do zip gerado. alguém faz ideia onde fica?
Não. Essa é a taxa de sucesso do premium, daqueles que não foram desbloqueados no ufed.
<Mídia oculta>
consegui encontrar.
na extração inicial, essa pasta "150" existia, mas não possuía arquivos , apenas umas pastas com nomes aleatorios.
depois da pasta segura desbloqueada, a nova extração trouxe dentro dessa pasta "150" todo o conteúdo da pasta segura.
consegui encontrar.
na extração inicial, essa pasta "150" existia, mas não possuía arquivos , apenas umas pastas com nomes aleatorios.
depois da pasta segura desbloqueada, a nova extração trouxe dentro dessa pasta "150" todo o conteúdo da pasta segura.
Então, esses números indicam os "usuarios" do Android. Ai nesse caso vc consegue ver de qual foi o local que pegou os dados. Se da pasta segura ou não.
Ai nesse caso, o código 150 foi utilizado. Então, provavel que os arquivos que estão indicando 150 no caminho são da pasta segura
Vc encontra em outros diretórios isso tbm.
Essa indicação de outros usuários.
então é possível q tenha esse "150" em outros lugares, com mais arquivos da pasta segura?
Sim. Se você for futucar os diretórios, irá encontrar em outros locais tbm esse 150.
Esse numero vai depender do modelo, fabricante, versão android, etc
Esse numero vai depender do modelo, fabricante, versão android, etc
As vezes é 10, as vezes 99
User profile 150 é do Secure Folder 👍🏼
Para vc saber os profiles, basta ir no ADB e dar um :
adb shell pm list users
adb shell pm list users
Aqui no Paraná temos um processo de cadastro de todas as extrações que fazemos, com bastante informação dos procedimentos, métodos e etc.
Aí com base nesses dados, dos celulares que chegam bloqueados para nós e desconsiderando os que são fornecidos a senha [SEGREDO] que conseguimos por tentativas (senhas fáceis), 84% é desbloqueado pelo Premium.
Aí com base nesses dados, dos celulares que chegam bloqueados para nós e desconsiderando os que são fornecidos a senha [SEGREDO] que conseguimos por tentativas (senhas fáceis), 84% é desbloqueado pelo Premium.
<Mídia oculta>
Vai aparecer algo assim.
Vai aparecer algo assim.
Interessante notar aí na imagem que se tem esse 95 ou ou DUAL_APP, como no meu celular, já sabe que podem ter 2 zaps, ou outros programas em modo dual
e vc consegue saber as pastas que eles usam tb
E tem outro detalhe bem bacana tbm que são as extrações que o premium oferece e que não possuí suporte nas outras ferramentas.
Para os eqs FBE (modernos), ele representa 28% das FFS e 23% das Físicas. Acredito que seja um número bem expressivo. <Mensagem editada>
Top. Não sabia dessa. Bem bacana.
Por isso acredito que hoje é totalmente indispensável ter ferramenta desse nível em Seção de Computação Forense. As convencionais estão muito limitadas.
Origem 630 — 04/08/2023 17:18 a 17:44 — Se clica em anular, acho que faz a extração cripto e aí quando
J530G/DS bloqueado. Pelo perfil dele não foi. Tentando pelo perfil do J530F mas os dados do usuário estão criptografados. Alguma salvação?
Inicialização segura
Se clica em anular, acho que faz a extração cripto e aí quando carregar no PA, dependendo, dá pra carregar um dicionário.
Vou tentar. Obg 👍🏻
Origem 631 — 08/08/2023 12:17 a 15:50 — Extração e compatibilidade em Samsung SMART
bom dia! houve alguma atualização do windows esse fim de semana que quebrou o Physical analyzer?
temos duas estações que estão inviabilizadas, uma w10 e outra w11
nao me permite também reinstalar os apps.
Geralmente os KB da MS são às terças-feiras
Logo, pode ser que foram aplicados hoje mesmo
suspeitei da sexta pq foi criado ponto de restauração com algumas atts
Estou com esse erro em uma estação. Tenho chamado aberto mas não foi resolvido ainda.
IMG-20230808-WA0009.jpg (arquivo anexado)
esse é outro erro que dá quando tento abrir o PA já instalado
esse é outro erro que dá quando tento abrir o PA já instalado
[MENCAO] , consegui resolver o problema do SWbemObjectSet: invalid class
resolveu até esse erro do PA:
CMD como administrador
cd C:\Windows\System32\WBEM
dir /b *.mof *.mfl | findstr /v /i uninstall > moflist.txt & for /F %s in (moflist.txt) do mofcomp %s
CMD como administrador
cd C:\Windows\System32\WBEM
dir /b *.mof *.mfl | findstr /v /i uninstall > moflist.txt & for /F %s in (moflist.txt) do mofcomp %s
confere se resolve na sua estação
aparentemente, erro no serviço da microsoft mesmo..
<Mídia oculta>
Cortex A7 Unisoc SC7731E (Positivo Twist 3 Pro S533). Extração Física
Cortex A7 Unisoc SC7731E (Positivo Twist 3 Pro S533). Extração Física
Extração via UFED smart flow.
Versão do Android 8.1.0.
Origem 632 — 09/08/2023 15:14 a 15:35 — Compatibilidade de modelos e métodos de extração no UFED
Alguém já conseguiu uma extração física de um K11plus? Pensa num demônio…
Se configura em MTP o 4PC nem detecta. Em PTP faz
Nunca conseguimos tbm
Talvez alguma ferramenta dessas concorrentes consiga usando algum outro método
O padrão da cellebrite não rola.
Aos administradores, podem adicionar o colega do Rio de Janeiro [NOME]
Origem 633 — 11/08/2023 14:11 a 14:33 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Pessoal, tudo bem? Boa tarde!
Alguém tem algum registro de sucesso de desbloqueio ou física com contorno do jurássico Samsung GT-S5301B?
Se sim, em qual perfil?
Alguém tem algum registro de sucesso de desbloqueio ou física com contorno do jurássico Samsung GT-S5301B?
Se sim, em qual perfil?
Já tentou fazer a parcial nele? "Partial File System" lá no perfil do samsung generico?
Temos um registro aqui e deu boa por lá.
Aí depois processar no PA e pegar a senha
Aí depois processar no PA e pegar a senha
Aí depois fazer o restante das extrações. Aqui a física deu boa via ADB mesmo.
No nosso caso, a senha [SEGREDO] de 8 dígitos, aí foi necessário pegar o HASH e Salt e processar no hashcat.
Ah, show de bola! Não tinha pensado na extração parcial... Valeu!
ou que seria "salt" e o "hashcat"?
Que tipo de senha [SEGREDO] aparelho?
De forma genérica, são as infos que o Android até versão 5 usa para armazenar a senha do eq
padrão
6 em diante aí muda o esquema. Justamente puq é relativamente tranq quebrar
Provável que o próprio PA quebre a senha [SEGREDO]
cara, tá fazendo a parcial... oremos!
Vai aparecer lá no final do processamento no resumo da extração.
deu certo, pegou o padrão, valeu d++++
E era esquisito hein kkk
4->2->7->5->3->8->6->9->1
Tráfico?
Cheio de raio aí na senha 🤣
Cheio de raio aí na senha 🤣
fuga de local de acidente, mas tá parecendo q vai vir um tráfico com extra
Origem 634 — 14/08/2023 19:04 a 19:56 — Extração em dispositivos Realme/Oppo
https://www.instagram.com/p/Cv7-DtVPMfo/?igshid=MTc4MmM1YmI2Ng==
Tentei, mas deu boot loop. Corrigi com o comando que você passou. Tem algo que posso fazer? É a 1a vez que tento usar esse método.
já tentou a versão q está no repositório de [MENCAO] ?
https://github.com/leosol/initroot/tree/master/xt1033
Já tentei esses dois, mas com os mesmo valor do comando initrd que tá aqui no grupo.
Tenho dúvida se o valor do comando initrd muda
Tenho dúvida se o valor do comando initrd muda
Eu não entendi nem como chega nesse valor...
muda
o valor é obtido a partir de uma mini reversa do Aboot
scratch address é o endereço de carga de imagens na memória e varia de Aboot para Aboot
o valor é obtido a partir de uma mini reversa do Aboot
scratch address é o endereço de carga de imagens na memória e varia de Aboot para Aboot
Como faço para encontrar esse valor? Continuo não entendendo kk. É realmente a 1a vez que tento e estou bem perdido.
https://github.com/leosol/initroot/blob/master/xt1033/run-malicious.sh
Tem que ver a versão do firmware, se é compatível. Eu já criei para a maioria dos firmwares, se me passar a versão certinha te passo amanhã.
Origem 635 — 17/08/2023 11:12 a 12:38 — Ativação do modo desenvolvedor e depuração USB
Bom dia senhores, estou com um celular marca UMIDIGI (pois é, também nem sabia que existia essa marca) DESBLOQUEADO, modelo A13S, CHIPset UNISOC, com family link ativado... alguma dica para colocar em modo desenvolvedor ? alguma dica para realiar extração desse modelo?
Não tem o macete dos 7 toques no buildnumber? Pelo que vi na internet fica em settings->SYSTEM->ABOUT PHONE->Build Number (7x)
Quando está com family link ativo essa opção fica desativada
Excluindo essas opções de pedir ao tutor que desative o family link, conectar o celular que será períciado na internet e por fim remover esse bloqueio, sem chance
Se tiver por aí, o premium faz ele, mesmo com family link.
Talvez com Premium da Cellebrite. As vezes é possível fazer
Como é UNISOC, aí pode ser que não de boa. Mas em outros casos com outros chipsets, normalmente da boa a extração.
Entrando no modo de segurança não dá não?
não consigo entrar em modo de segurança
Unisoc não tem dado certo, nem no Premium, por aqui
Temos conseguido algumas extrações do Unisoc..até físicas, com o XRY, usando o perfil genérico do spreadtrum
bom dia, alguem sabe uma forma de colocar um lg-m250 em modo firmware update sem usar botão de vol+ pq ta com defeito
Bloqueado?
A opção 4 daquele cabo 523 não deu boa?
não sabia q tinha essa função tambem. Ja tentar
se estiver com Pattern Lock o XRY consegue contornar, só não chegamos a mapear quais os modelos que o perfil genérico do spreadtrum contornou o bloqueio.. mas sempre quando chega um unisoc aqui a gente já lembra dessa opção para tentar.
Nos LGs usando sempre essa opção, puq, em alguns casos, o comando de power e vol down executa comando de formart do celular sem qualquer aviso. <Mensagem editada>
Origem 636 — 18/08/2023 12:31 a 16:31 — Extração e compatibilidade em Samsung SMART
Boa tarde.
Quando o aparelho tem second space e é feito a FFS do principal e do segundo espaço, vocês costumam processar no PA ambas em conjunto?
Quando o aparelho tem second space e é feito a FFS do principal e do segundo espaço, vocês costumam processar no PA ambas em conjunto?
Ou recomendam gerar 2 ufdr pra evitar bug's, perda de informações?
Eu costumo processar tudo junto
<Mídia oculta>
Boa tarde, pessoal. Estou tentando extrair esse Xiaomi. Tudo vai dando certo, aí, quando clico em Full File System, começa a querer extrair e, na hora que começa, trava. Alguma luz?
Boa tarde, pessoal. Estou tentando extrair esse Xiaomi. Tudo vai dando certo, aí, quando clico em Full File System, começa a querer extrair e, na hora que começa, trava. Alguma luz?
Xiaomi
Consegui extrair o modelo acima agora.
Tá no "sempre on" para não bloquear ou apagar a tela?
Faça por Smart Flow
É assim mesmo que estou fazendo. Aí sempre chega na parte de começar a extrair e trava. Eu notei que ele baixa 16k de dados e, em algumas vezes, o celular trava por alguns segundos. Mas depois que ele volta do travamento, ele não "continua" a extração.
Mesmo eu tirando o celular, colocando de novo ou reiniciando o UFED fica dizendo que perdeu a conexão.
algum aplicativo talvez esteja "bloqueando" de alguma forma?
Estou olhando aqui, mas não parece nada suspeito. Já tentei entrar em modo seguro também.
Cancele e inicie tudo de novo. Uma vez perdida a conexão, não irá mais extrair. Ao atacar novamente e chegar nessa tela coloque para extrair por pastas. Tente extrair inicialmente o data e o media pra ver se vai
Farei isso. Obrigado.
E de cabo também, só pra ter certeza
Origem 637 — 18/08/2023 16:55 a 18:44 — Conexão USB, ADB e diagnóstico de porta em Android
Já tinha trocado de cabo antes.
Resultados preliminares:
- está dando certo escolher as pastas individuais como [MENCAO] sugeriu.
- posteriormente, tentarei em outra máquina como o [MENCAO] falou.
No mais, muito obrigado pela ajuda, pessoal.
Resultados preliminares:
- está dando certo escolher as pastas individuais como [MENCAO] sugeriu.
- posteriormente, tentarei em outra máquina como o [MENCAO] falou.
No mais, muito obrigado pela ajuda, pessoal.
Segunda-feira tu pega a extração 😀
Recentemente fiz um Xiaomi desse modelo, que estava com o conector usb danificado (somente carregava). Tentei fazer bluetooth, consegui extrair alguns poucos registros (contatos, chamadas e mensagens sms), todavia, quando tentava a extração dos arquivos multimídias, ele iniciava, completava dois ou três arquivos e depois perdia conexão tb.
Acho que de todas as marcas e modelos os Xaiomi são os que tem o comportamento mais aleatório. Uns pedem 24h ligado, quando parece que vai iniciar o ataque de FB carrega tudo mas não sai da 1ª tentativa, desconecta do nada…
Já tive esse problema quando escolhia a full. Tentei a seletiva mas selecionando todos e n deu certo. Finalmente Escolhi so o wpp q era mais importante e deu certo. Dos demais fiquei na advanced logic
So n me recordo qual era o aparelho
Origem 638 — 22/08/2023 15:32 a 17:14 — Bootloader, desbloqueio OEM e risco de wipe
EDL no Moto G7 Play, XT1952-5, haveria alguma forma?
Pessoal, boa tarde. Estamos com um LG LMX430BMW, desbloqueado. Não existe perfil dele no ufed e quando coloca no autodetect a extração volta para a tela inicial sozinho. Tentei perfil genérico LG mediatek e fala quando e o dispositivo não é compatível. Alguma luz para a extração?
acredito que por smartflow, vá
Normalmente quando fecha sozinho no modelo, no Flow acontece tb
Boa tarde pessoal. Só pra compartilhar uma informação. Faz alguns meses perguntei sobre esse problema. Ocorreu novamente ao fazer o downgrade em um SM-J610G. Fiz três extrações e não terceira os áudios apareceram nas conversas.
seu UFED está na versão 7.66?
Talvez alguns já saibam, mas pode ajudar alguém.
o ufed às vezes é de lua, já aconteceu comigo de repetir a extracao e trazer novos arquivos. Acontece numa frequencia maior ainda quando mudo do 4pc pro touch2.
Já aconteceu algumas vezes de não extrair no 4PC e colocar no Touch extrair. Principalmente com modelos antigos.
Sim. Tem bootloader que só dá no touch aqui vencido em 2018
Alguém já conseguiu física num GT-G7102T. Tá muito estragado, sem tela, e era pra ser um Qualcomm 8226 mas na cpu tá escrito Smart Brazil. Não completa o bootloader, só consegui aquela de arquivos parcial e remover a senha.
Talvez seja exynos
Acho que deve ser qualcomm mesmo.
É um cel bem antigo e vagabundo. Só pra incomodar 🤦🏻♂️
Esse é da Época do kingoroot
Usa o perfil x440m
So faz advanced logic
Wpp consegui usando o [NOME]
Origem 639 — 23/08/2023 10:08 a 12:17 — Extração e limitações em Motorola XT1025
Xiaomi com opção para extração física e FS.
Só 8 GB de uso?! Tá "zerado"
e 120 GB "Grátis" 😆
Pessoal, fui add no grupo por um colega da perícia. Vejo que a maioria das mensagens são relativas a cellebrite e afins (aparelhos celulares). Estou precisando fazer um filtro por data no IPED. Preciso filtrar as ocorrências entre às 23hs do dia 11/03/2016 à 00hs30 min do dia 12/03/2016. Estou fazendo alguns testes aqui, mas nem sempre estão filtrando corretamente. Só para confirmar, neste caso o filtro ficaria assim?
accessed:[2016-03-11T23\:30\:00Z TO 2016-03-12T00\:30\:00]
Colegas. Alguém tem o scratch e o padding e todo material para initroot em um XT1025?
Última forma. Arranjamos aqui
Eu consegui fazer um 1033 com ajuda do [MENCAO] com os dados que ele passou. Deu tudo certo. Física top. Só não entendi ainda como se acha esses valores
tem analisar a imagem da stock e ver onde caí o shift da imagem do linux na memória.
nao testei o comando mas falta um "Z" no termino da hora final
Jesus... Kkk tem alguma documentação a respeito?
E a stock vai depender de qual android está instalado. Como está bloqueado, é no chute mesmo? Ou tem algum método?
E a stock vai depender de qual android está instalado. Como está bloqueado, é no chute mesmo? Ou tem algum método?
sim, o Z está presente no comando. O erro foi na hora de copiar e colar.
Pode ver em algum decompilador
<Mídia oculta>
https://alephsecurity.com/2017/06/07/initroot-moto/
https://alephsecurity.com/2017/06/07/initroot-moto/
Origem 640 — 24/08/2023 18:37 a 19:37 — Extração e acesso a dados em iPhone 13
<Mídia oculta>
Boa noite pessoal,
Estou com uma extração de iphone aqui no Cellebrite Reader
Abri ela em dois modos, com ajuste de UTC-3 e sem ajuste de UTC-3, porém o timestamp da localização continua o mesmo, alguém sabe se esse dado do "Device Locations" vem por padrão já em utc-3 ou em utc?
Boa noite pessoal,
Estou com uma extração de iphone aqui no Cellebrite Reader
Abri ela em dois modos, com ajuste de UTC-3 e sem ajuste de UTC-3, porém o timestamp da localização continua o mesmo, alguém sabe se esse dado do "Device Locations" vem por padrão já em utc-3 ou em utc?
extração de qual aparelho?
e qual a fonte dessa informação na extração (source)
Iphone SE A2296
Geralmente quando está com timezone ele precisa calcular, logo mudando a localização e não mudando indica que não tinha essa informação.
Logo, acredito que há grande chance de ser horário local do aparelho. <Mensagem editada>
Logo, acredito que há grande chance de ser horário local do aparelho. <Mensagem editada>
Tenta visualizar pelo PA o binário da fonte, talvez o campo venha em formato de texto (corroborando o que [MENCAO] disse) ou então epoch?
O grau de confiança do carving está em 22. Alguém qual é a escala do carving no UFED?
Estamos com um iPhone 13, 512Gb sendo 72Gb usado, senha fornecida, e tá dando uma loucura na extração. O Premium pede uns 120TB de espaço. Aceitei o truco e criamos um disco virtual com essa capacidade. Usou todo os 3TB que era o que tinha no HD… 🤦🏻♂️
Ele extrai vários arquivos mas aí chega nessa pasta aí e não tem fim
Já aconteceu com alguém?
Já vi acontecer e quando ia na parte de armazenamento tinha gravações de áudios com tamanho absurdo
Foi necessário desativar o aplicativo pra poder conseguir extro
Extrair*
Boa. Vi que podem ser arquivos de áudio. Vou olhar no gravador de voz amanhã. Muito obrigado
Origem 641 — 25/08/2023 14:06 a 15:42 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, pessoal. O XRY consegue desbloquear o Samsung A127M?
Senhores, boa tarde
Estamos tentando gerar imagem forense de um MacBook a2338. A senha [SEGREDO] e o dispositivo não está com criptografia ativada. Alguma ferramenta específica para fazer essa aquisição?
consegue fazer boot por pendrive?
talvez usar um boot com deft linux e usar o ewfacquire, ou mesmo o dd.
talvez usar um boot com deft linux e usar o ewfacquire, ou mesmo o dd.
Boa tarde!
Já fiz a imagem de Macbook Air usando o [NOME] no pen-drive.
Já fiz a imagem de Macbook Air usando o [NOME] no pen-drive.
Até conseguimos um adaptador compatível para tentar o boot, porém esse processador parece não ser compatível com as imagens de SO que temos aqui
É grande a chance de fazer. Precisará desmontar e fechar o curto no test point. Se não tiver perfil próprio, dá pra usar o mediatek generic
Usei comando DD e uma ferramenta gráfica para fazer a cópia física.
Cellebrite vende o BlackBag
é o mesmo chipset do A037M, que já fizemos
M1 não dá para copiar com o [NOME], nem via target mode.
Tô encontrando só alguns métodos de aquisição lógica
Obrigado, [MENCAO]. No UFED é sem chance, né?
Forense acho que só o Cellebrite Colector e o Sumuri Recon.
Premium só
https://macmagazine.com.br/post/2023/02/21/linux-6-2-traz-suporte-para-macs-com-chip-m1/
parece que ele tem o processador M1, e que o suporte dele no linux só apareceu no kernel 6.2, mas isso é informação de fevereiro.
parece que ele tem o processador M1, e que o suporte dele no linux só apareceu no kernel 6.2, mas isso é informação de fevereiro.
agora, até ter alguma distro utilizável, pode levar um tempo
A última versão do linux que fizemos aqui, pra usar o iped 4, eu usei o Ubuntu 22, justamente por esse motivo, o kernel não encontrava hds m1, m2, agora tá enxergando bem.
É Exynos, talvez o 4PC faça força bruta.
Tem lugar que fala que seria um Mediatek. Mas achei aqui sites falando que pode ser um Exynos 850. De qualquer forma, testei aqui alguns perfis Exynos e deu aparelho não suportado.
Na licença padrão [SEGREDO] Porque vi que só na Pro dá para fazer isso
sim. Não olhei se tem o perfil próprio. Mas tente no mediatek generic. Feche o test point para detectar em modo brom. A013M, A325M, A037M, A125M, A225M são alguns que fizemos. Após extrair, se tiver suporte a extração da chave de hw e estar com senha, vai solicitar os parametros para força-bruta.
Há um documento na página de suporte da licença com algumas informações e localização de test-points.
Há um documento na página de suporte da licença com algumas informações e localização de test-points.
Motorolas Mtk que tem o test-point tbm tem feito.
só não tem suporte a uso da GPU para acelerar o brute-force
Origem 642 — 26/08/2023 10:47 a 11:36 — Extração e decodificação de bancos do WhatsApp
Bom dia! Tenho aqui um msgstore-2023-07-28.1.db (criado em 27/07 02h) contendo uma mensagem, que já não aparece mais no msgstore-2023-07-29.1.db (criado em 28/07 02h). Ou seja, excluída entre 27/07 02h e 28/07 02h.
24h de intervalo, haveria alguma forma de determinar com maior precisão o horário de exclusão?
o msgstore guarda ou deixa algum resquício de msgs excluídas?
Eu fiz um programinha em C# pra unificar isso das mensagens
"Em busca das mensagens apagadas" kkkk
uma coisa que se pode fazer, mas não sei se no backup ele mantém, é ver o sequencial da chave primária
O meu programa vai varrendo isso nos backup
vc abre o Banco em um programa tipo o DBBrowser
Pra remontar o último msgstore.db
mas acho que vc quer o momento da exclusão. Esse lance do sequencial não ajuda muito
o backup do WhatsApp é geralmente programado para começar sempre as 2h da madrugada
pensando aqui se tem algo no Banco que registre o momento do apagamento <Mensagem editada>
Pq senao imagina o tamanho do log
Registrando insert, update
vc fez extração física?
pode tentar processar o write-ahead-log
lá talvez tenha várias operações distintas ainda não colapsadas para o banco
e vão ter registros de operações juntas. logo, talvez tenha uma mensagem que chegou em momento próximo ao da deleção
caso seja útil pra vc [MENCAO] um link com algumas queries baseadas no sequencial (ID)
https://github.com/leosol/forensic-bites/tree/main
https://github.com/leosol/forensic-bites/tree/main
<Mídia oculta>
Meio que vc conseguiria aproximar pelo ID, observando a lacuna existente, como disse o [MENCAO]
de qualquer forma, se existe no backup, creio que olhar a tabela inteira pode ser importante, por poder ter algum dado extra não processado pelo UFED
Meio que vc conseguiria aproximar pelo ID, observando a lacuna existente, como disse o [MENCAO]
de qualquer forma, se existe no backup, creio que olhar a tabela inteira pode ser importante, por poder ter algum dado extra não processado pelo UFED
no WAL vc tem páginas que estão abertas para atualização no Banco. Tem Como fazer carving delas inclusive. Se não me engano tem um número de checkpoint que é sequencial, logo pode tentar melhorar um pouco a precisão, mas não sei
eu já consegui provar que dados foram apagados pelo WAL, mas acho que não conseguimos precisar o momento
acho que o WAL não vai no msgstore.db
vai?
vai?
mas se vc pegar o sequencial e for bem próximo e tiver o registro lá da página alterada, talvez pela data de modificação do arquivo WAL dê para melhorar a datação
https://digitalinvestigation.wordpress.com/2012/05/04/the-forensic-implications-of-sqlites-write-ahead-log/
Estou tentando achar a ferramenta free que usei para processar o WAL e fazer o carving das páginas
a última vez que eu achei uma mensagem no WAL foi bem de boa de analisar...
o UFED processou legal e salvo engano, tem timestamp, texto e usuário
o UFED processou legal e salvo engano, tem timestamp, texto e usuário
daí vc posiciona ela ali no meio do resto pelo timestamp
nao me lembro bem... mas foi bem tranquilo
no UFED, em sources, ele já apontava para o registro dentro do wal
Origem 643 — 26/08/2023 14:20 a 15:47 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, pessoal. Desculpe incomodar no fim de semana, mas tem alguém aí no QAP para me ajudar num mediatek generic do XRY?
<Mídia oculta>
Quando chega nessa tela faz o quê?
Quando chega nessa tela faz o quê?
Tire o telefone se estiver conectado e reconecta. Se não inicia, repita isso e tente o de baixo.
Assim. Estou tentando fazer um EDL via test point. Quando eu "acho que" consigo colocar em modo EDL (no gerenciador de dispositivos aparece MSAB Generic USB), então eu tento fazer a extração física no perfil Generic Mediatek. Só que aí para nessa tela. Eu desconecto e conecto novamente, reconecto a bateria para conseguir iniciar, aí depois o celular dá o Boot continua nessa tela. Não sei se estou fazendo algo errado
E para apertar volume + - com o celular desmontado dá um trabalho danado. Estou tentado achar que não precisaria disso.
Ah tá. Nunca fiz edl de mtk, aí não vou poder te ajudar. Se conseguir, dá o retorno para a gente. Sua licença é padrão ou Pro?
Sabe dizer qual o modelo aparelho?
Sem problema, [MENCAO] A nossa é normal. Estamos testando um esquema de licença flutuante. Parece que tem um número de licenças e o pessoal do Estado todo pode usar desde que marque um horário. Eu agendei neste fim de semana para testar aqui. Mas é a primeira vez que testo o XRY e, ainda por cima, resolvi testar num MediaTek.
É o A127M
Eu vi lugares dizendo que é um Mediatek e outros que é um Exynos 850
<Mídia oculta>
Com ele desligado, bateria conectada, tenta fechar curto com uma pinça nesse ponto pra gnd. E conecta o usb.
Com ele desligado, bateria conectada, tenta fechar curto com uma pinça nesse ponto pra gnd. E conecta o usb.
Interessante. Vocês pegam a licença física ou usam algum usb virtual via internet?
<Mídia oculta>
Assim
Assim
Pelo que eu entendi. A gente tem um serial. Quando eu for usar, eu coloco o serial e habilito via um servidor da MS. Aí quando eu terminar eu tenho que desconectar. Assim, outra pessoa pode habilitar em outro lugar.
Eu acho que consegui. Eu fiz esse procedimento com e sem bateria. Aí, quando acho que consegui, no gerenciador de dispositivos aparece MASB Generic USB Device. Só que aí eu começo a fazer o procedimento no XRY e para naquela tela.
Deixe o XRY naquela tela aguardando o aparelho. Aí faça o procedimento no aparelho, com o curto mantido conecte o aparelho. Se seguir os passos, solte o curto.
Nada. 🙁 Tem algum lugar para olhar o Chipset? Estou desconfiado que pode ser um Exynos
Em uma máquina sem o XRY pode tentar fechar o curto, conectar na USB e observar se aparece um dispositivo mediatek no gerenciador de dispositivos. Lembre de a cada tentativa de remover e reconectar a bateria
Acho que é Exynos mesmo.
Na outra máquina, apareceu Exynos 3830 também.
Nesse caso, Exynos 3830, acho que não tem solução, né?
Exynos só Premium mesmo.
XRY comum só mtk, xry pro tem alguma coisa pra unisoc
XRY comum só mtk, xry pro tem alguma coisa pra unisoc
Beleza. Obrigado, gente. Bom fim de semana.
Origem 644 — 29/08/2023 11:22 a 11:43 — Extração e análise de dados em iPhone/iOS
Pessoal, vocês tem algum procedimento para detecção de apps de rastreamento ou espião em dispositivos IOS? o UFED é suficiente para detecção?
já fiz laudo assim
puxei todos .apk (extração Full File System)
e subi lá no vírus-total
e fiz uma tabela no laudo com o hash dos arquivos .apk , caminho da instalação oficial, etc
Tem uma análise de vírus e malware dentro de PA que me ajudou bastante em um laudo. Ele identificou o malware, peguei o arquivo e submeti ao fabricante do antivírus e eles me retornaram o tipo de atividade maliciosa da família daquele malware
humm obrigado pelas dicas. Vou executar de inicio o analisador de malware
Origem 645 — 31/08/2023 07:58 a 09:33 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Pessoal, bom dia. Alguém tem nos registros um caso de sucesso no desbloqueio e extração de um SM-J320M?
Chipset aparentemente Spreadtrum. Somente nos EUA que é Exynos.
Será que o SPD Research Tool faz?
Esse vc usa o generico bootloader spred da Samsung no ufed
Consegue fisica.
Senha, teria que tentar aquele método file system parcial. Aí dependendo da senha, ver se o pa descobre ou hashcat
Tá osso esse cara aqui.
O frp esta ativado?
se você conseguir instalar o twrp nele, faça a extração pelo cartão de memória.
Mas com o FRP ON não rola né?
Não. Ai nao rola twrp
<Mídia oculta>
No modelo FN, faz decrypted com contorno de bloqueio.
No modelo FN, faz decrypted com contorno de bloqueio.
Pior que eu tentei esse aí. Vou mudar de PC. Vamos ver.
Verifica antes se é o mesmo Chipset, pode brickar o aparelho, se não me engano tem submodelos do j320 com Chipsets diferentes
é... parece q nos eua é exynos... pelo q li no xda tem uma versão qualcomm tbm
É possível instalar o TWRP e executar o SuperSU.
Há 6 compilações desse modelo que conseguimos aplicar o root.
Há 6 compilações desse modelo que conseguimos aplicar o root.
Pode informar a versão do Android, número de compilação e banda de base do dispositivo?
Isso aqui tem tudo, [NOME]?
Mesmo com FRP LOCK ativado?
Estou verificando.
É possível aplicar o root.
esse /persdata é normalmente usado no LineageOS, então pode ser que ele tenha uma custom rom e já esteja com o frp desabilitado
já viu qual recovery ele está?
Vi em algum site ou artigo (não lembro agora) que era possível remover essa proteção.
Inclusive fiz essa pergunta. Alguém saberia informar?
Tenta instalar o TWRP.
Inclusive fiz essa pergunta. Alguém saberia informar?
Tenta instalar o TWRP.
ah, já é essa recovery 😅
TWRP_3.0.2-0_SM-J320M.TAR.MD5
É possível remover o FRP em dispositivos da marca Samsung com a versão do Android abaixo de 7 e bloqueado?
Existe algum técnica e ferramenta?
O Factory Reset Protection (FRP) ou Proteção contra Restauração de Fábrica.
Existe algum técnica e ferramenta?
O Factory Reset Protection (FRP) ou Proteção contra Restauração de Fábrica.
Até onde eu sei, tem que formatar para fazer isso.
Talvez tenha ferramentas que fazem sem formatar, mas aí são pagas.
O octoplus faz em alguns, porém o gratis sempre formata.
Talvez tenha ferramentas que fazem sem formatar, mas aí são pagas.
O octoplus faz em alguns, porém o gratis sempre formata.
Entendi. Então há ferramentas pagas.
O octoplus faz em alguns sem formatar, mas precisa de credito para remover sem formatar em alguns modelos. Não são todos que tem suporte sem formatar.
Origem 646 — 04/09/2023 10:10 a 12:32 — Extração e compatibilidade em Samsung SMARTPHONES
Bom dia!
Como faço para localizar e acessar o log de acesso de dispositivos informáticos (smartphones) com SO Android (Samsung e Motorola)?
**Observação**: solicitação do judiciário:
"o aparelho celular dos custodiados foi acessado após suas prisões, com a efetuação de login?"
Como faço para localizar e acessar o log de acesso de dispositivos informáticos (smartphones) com SO Android (Samsung e Motorola)?
**Observação**: solicitação do judiciário:
"o aparelho celular dos custodiados foi acessado após suas prisões, com a efetuação de login?"
timeline
o autopsy monta isso
o próprio Cellebrite monta também a timeline
Se for um celular que não foi muito usado, o log batterystats é muito bom, tem até quando o botão power é apertado e o celular desbloqueado. Não sei se o PA atualizado carrega ele
O axiom é muito bom pra esses tipos de logs também
Não temos o Axion. É pago?
Pode pedir um trial de 30 dias
Como acessar esse log batterystats?
Se foi uma extração física ou full filesystem, deverão estar na pasta /data/system/log/batterystats
Tem alguma ferramenta específica para abrir esse log?
Não sei se o PA atualizado carrega, creio q o Axiom sim
É textual, vc consegue ler em editor de texto, só é bem extensa
ALEAPP não processa esse log? https://github.com/abrignoni/ALEAPP
Entendi. Obrigado. Vou testar.
É possível usar no Windows?
Sim, pode processar diretamente o zip da extração full filesystem
Interessante! Vou testar aqui se carrega os batterystats
Interessante!
Na extração mostrou as opções física e FS completa.
Na extração mostrou as opções física e FS completa.
Nos casos em que a crypto é FDE, ele mostra os dois.
Mesmo o Android 10 é FDE?
Quando o celular sai de fabrica com o 10, aí normalmente é FBE. Raros os casos em que não são.
Nesse modelo aí, saiu de fábrica com o Android 9. Aí saiu como FDE mesmo.
Mas vai de fabricante. Tem uns motorolas com Android 9 que já são fbe.
Nesse modelo aí, saiu de fábrica com o Android 9. Aí saiu como FDE mesmo.
Mas vai de fabricante. Tem uns motorolas com Android 9 que já são fbe.
FBE não é a partir do Android 7?
Ou como você citou vai depender de cada fabricante?
Ou como você citou vai depender de cada fabricante?
Que há suporte sim.
Mas é bem raro modelos com android 7 e FBE.
Mas é bem raro modelos com android 7 e FBE.
Mas sempre vai depender do fabricante
Já vi alguns android 8 com qualquer crypto.
Origem 647 — 04/09/2023 18:21 a 18:56 — Extração e análise de mensagens do WhatsApp
Pessoal, estou com um iPhone 12 Pro Max que fiz a extração de boa pelo 4PC, pois está desbloqueado.
Tem uma conversa de interesse que está no app Google Chat... O PA não interpretou o conteúdo desse app... Nem após executar o App Genie...
Alguém já conseguiu extrair esse app do iOS? Tem alguma dica?
Tem uma conversa de interesse que está no app Google Chat... O PA não interpretou o conteúdo desse app... Nem após executar o App Genie...
Alguém já conseguiu extrair esse app do iOS? Tem alguma dica?
O 4PC não faz a full file que nem o Premium para iPhones mais novos. Talvez seja isso
A básica do UFED consegue apenas WhatsApp.
Se for para telegram, signal, discord, threema e outros, só com a extração completa com essas ferramentas mais tops.
Se for para telegram, signal, discord, threema e outros, só com a extração completa com essas ferramentas mais tops.
o XRY básico possivelmente tbm não pega né?
caramba, não sabia disso
Putz, aí teria que tentar. Provável que não.
Não temos XRY com licença para testar.
Não temos XRY com licença para testar.
Hoje sem essas ferramentas tops, a perícia em computação fica bem limitada, Tanto na extração como no desbloqueio.
Origem 648 — 07/09/2023 14:28 a 16:04 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde. O a107m é chitsep mtk. Não tem edl mode.
Os edl mode são apenas para os qualcomm. <Mensagem editada>
Os edl mode são apenas para os qualcomm. <Mensagem editada>
Extracao nele rola via smatflow. Ai desbloqueio apenas premium.
Não sei se xry tem opção de BF para samsung mtk.
Não sei se xry tem opção de BF para samsung mtk.
Eu me expressei mal então. Hehehe. Mas assim, eu estou com um a107m e um a042m. Ambos são mt6765. O a042m eu consegui via test point. Já o a107m não. Estou na dúvida se ambos celulares conseguem entrar no modo via test point.
Eu notei que ambos celulares ao conectarem desligados ao PC aparecem o modo “preload” e logo somem. Aí, quando ligo o a042m com o test point. Esse modo aparece, mas não some. No a107m não consigo “estabilizar” essa conexão. Em vídeos do YouTube eu vi indicação de test point diferentes. Nenhum deu certo
Isso mesmo. São os pre bootloader dos mtk, que são diferentes do modo edl.
Vc esta querendo fazer oq?
Eu suspeito que se eu acertar o testpoint certo do a107m, vou conseguir deixar o preload conectado e “acho” que vai conseguir extrair
Iria extrair por qual método?
Puq ambos são FBE. Iria processar depois como?
Com o XRY.
Mano, um tempo atrás tive problema com um A107M
do nada entrou no modo pre-loader sem muita explicação
do nada entrou no modo pre-loader sem muita explicação
nao lembro bem, mas veja se estas anotaçoes te ajudam
https://forum.xda-developers.com/t/guide-sm-a107-mtk6765-unbrick-your-samsung-galaxy-a10s-stuck-on-a-black-screen-recognized-as-preloader-usb-vcom-and-cycling-rebooting.4322581/page-3
O mtkclient que eu usei foi o do bkerler
que é sensacional, mano! muito top!
tem um menu que faz 1M de coisas!
https://github.com/bkerler/mtkclient
creio que vc extrai, mas vem encryptado... não?
android 9 ou 10... FDE ou FBE, provavelmente FBE... nao?
android 9 ou 10... FDE ou FBE, provavelmente FBE... nao?
*Se o XRY fizer... caramba... eu ficaria bastante surpreso*
Teria de ser uma treta de bootloader, similar ao método Encrypted Qualcom EDL, que usa as funções Peek e Poke (que permitem acesso à fragmentos de parte da memória) e que seria utilizado num processo longo de implantação de um bootloader modificado (ou de modificação daquelas flags do ABOOT que autorizam código não assinado)
avisa depois, se der certo! 🙏
Teria de ser uma treta de bootloader, similar ao método Encrypted Qualcom EDL, que usa as funções Peek e Poke (que permitem acesso à fragmentos de parte da memória) e que seria utilizado num processo longo de implantação de um bootloader modificado (ou de modificação daquelas flags do ABOOT que autorizam código não assinado)
avisa depois, se der certo! 🙏
O a042m tem Android 12. O XRY extraiu e interpretou aqui. Não sei se foi aqueeeeela interpretação, mas fez.
<Mídia oculta>
XRY Log - p014233902----Samsung SM-A042m Galaxy A04e.txt
XRY Log - p014233902----Samsung SM-A042m Galaxy A04e.txt
Vou mandar o log da extração aí para vocês darem uma olhada. Posso estar enganado. Estamos testando o XRY por aqui há pouco tempo. Ainda não temos tanta intimidade.
O grande lance seria começar o BOOT pelo modo que nos MTKs chamamos de MTKBROM
(equivalente ao modo EDL)
Iniciando um processo de boot de código assinado e transformando em um boot que admite código não assinado
Nos Qualcoms, tem exatos dois modos de extrair
1. Explora as funções do EDL de exposição da EMMC (ou UFS nos mais novos) - *celulares unencrypted*
2. Explora o peek and poke para construir um implante e dar boot - *celulares encrypted*
Minha curiosidade é sobre a possibilidade de implante de código no modo MTKBROM
(equivalente ao modo EDL)
Iniciando um processo de boot de código assinado e transformando em um boot que admite código não assinado
Nos Qualcoms, tem exatos dois modos de extrair
1. Explora as funções do EDL de exposição da EMMC (ou UFS nos mais novos) - *celulares unencrypted*
2. Explora o peek and poke para construir um implante e dar boot - *celulares encrypted*
Minha curiosidade é sobre a possibilidade de implante de código no modo MTKBROM
acho que ficou confuso
🤣🤣🤣🤣🤣🤣🤣🤣
ficou?
🤣🤣🤣🤣🤣🤣🤣🤣
ficou?
Cara, essa parte é muito baixo nível para mim. Mas.... estamos tentando aqui. Então deixa eu ver se entendi: quando eu ligo o celular a042m com o test point, ele entra em modo MTKBROM? Ou é outra coisa?
legal esse log [MENCAO]
isso
creio que vc consegue confirmar isso usando um cliente do modo MTK
creio que vc consegue confirmar isso usando um cliente do modo MTK
Até a penúltima versão não estava fazendo o dump do a107m. Cheguei a abrir um ticket no suporte, mas não recebi atualização sobre o problema.
nós não temos XRY aqui [MENCAO] eu tive muito pouco tempo para estudar o MTKBROM
mas o seu log mostra claramente a extração da memória interna e da descriptografia
dentro do seu processo de extração de dados, vc teria iniciado ele pelo modo que poderia ser este MTKBROM?
mas o seu log mostra claramente a extração da memória interna e da descriptografia
dentro do seu processo de extração de dados, vc teria iniciado ele pelo modo que poderia ser este MTKBROM?
usando o test point (ou de outros aparelhos que vc tenha feito)
Foi sim. Em determinado ponto, pediu para eu conectar o celular. Aí conectei com o test point ligado e aí começou a festa. Mas no A107m, não consigo fazer isso.
Eu estou vendo alguns lugares aqui ensinando colocar o a107m em MTKBROM via software. Usando o Chimera.
Origem 649 — 07/09/2023 16:05 a 17:14 — Bloqueio FRP e conta Google em dispositivo Android
top!!
👏👏👏👏👏
muito bom saber!!
talvez o UFED tenha algo e eu não esteja sabendo...
👏👏👏👏👏
muito bom saber!!
talvez o UFED tenha algo e eu não esteja sabendo...
eu acho que o mtkclient do bkerler ajusta esse detalhe
o meu ficava caindo, não segurava
o meu ficava caindo, não segurava
parece que forçar a entrada pelo chimera pode nao dar certo em alguns casos e é um software pago (eu acho)
talvez não valha a pena vc insistir
talvez não valha a pena vc insistir
Vou estudar mais o assunto aqui. Se eu conseguir, posto aqui. Obrigado, pessoal, pela ajuda.
Tenho um redmi, m1908c3jgg e fiz extração android mediatek generic, já que não tem o perfil oficial. Fez o dump da memória, mas depois diz encontrar um arquivo com senha. Rodei um tempo o bf, mas desisti e deixei continuar o decoding; veio pouquíssima coisa, sendo nada relevante e alguns arquivos encriptados. O aparelho está sem senha nem nada, a lógica veio muito ruim (800mb de 36gb), por isso fiz a física genérica sabendo que poderia dar errado. O que pode ser?
então... existe uma diferença muito grande entre os dois modos de extração que eu citei
no dump simples da memória (1), vem tudo encriptado e só costuma evoluir nos LGs (que não usam o hardware de crypto) 🤣🤣🤣
creio que só LG antigo msm
no dump simples da memória (1), vem tudo encriptado e só costuma evoluir nos LGs (que não usam o hardware de crypto) 🤣🤣🤣
creio que só LG antigo msm
mas quando há criptografia, a coisa muda bastante...
surgem muitos passos que precisam ser seguidos para acessar os dados...
surgem muitos passos que precisam ser seguidos para acessar os dados...
provavelmente o XRY possui o conhecimento de uma vulnerabilidade no modo BOOTROM..
este redmi tu teria de rodar um "oem unlock" via BOOTROM....
recentemente peguei um e tava com FRP ON
deu para tirar o FRP via modo MTKBROM, talvez tenha como realizar uma coisa que se chama "storage attack"
que consiste em editar partes da memória que guardam valores sensíveis para o ABOOT
recentemente peguei um e tava com FRP ON
deu para tirar o FRP via modo MTKBROM, talvez tenha como realizar uma coisa que se chama "storage attack"
que consiste em editar partes da memória que guardam valores sensíveis para o ABOOT
Origem 650 — 11/09/2023 11:01 a 13:02 — Chave de recuperação e senha em volume BitLocker
Pessoal. Bom dia. Estou com um POCO M2102 bloqueado com senha numérica de 4 dígitos. No UFED tem o perfil mas nenhuma das opções de extração disponibiliza para diapositivos bloqueados
envaminhei no privado. Favor manter a autoria.
Alvo: bitlocker
Origem 651 — 12/09/2023 13:39 a 13:42 — Extração e análise de variantes do WhatsApp
Boa tarde!
Vi que já tentaram fazer extração física do dispositivo informático Samsung SM-G570M.DS Android 8 mas parece que sem sucesso.
No meu caso, o dispositivo está desbloqueado. Já fiz a extração lógica e a APK Downgrade mas não consegue extrair o WhatsApp porque não é o original.
Já conseguiram fazer a extração física atualmente?
Se não, é possível extrair o WhatsApp não original de forma automática?
*Observação*: é o Whatsapp business.
Vi que já tentaram fazer extração física do dispositivo informático Samsung SM-G570M.DS Android 8 mas parece que sem sucesso.
No meu caso, o dispositivo está desbloqueado. Já fiz a extração lógica e a APK Downgrade mas não consegue extrair o WhatsApp porque não é o original.
Já conseguiram fazer a extração física atualmente?
Se não, é possível extrair o WhatsApp não original de forma automática?
*Observação*: é o Whatsapp business.
Foi corrigido fazendo downgrade para 7.65
Do ufed
Ou talvez tentar a versão 7.66.1
A 7.66.0 esta com erro.
Não é só o g570 que esta com erro no 7.66. Vários samsung via bootloader tbm estão
J105, 415g, 410m. 610m
J105, 415g, 410m. 610m
Estou com essa versão.
Na 7.65 esta ok. Pode fazer downgrade de versão
Ou testar a 7.66.1.
Origem 652 — 12/09/2023 16:21 a 17:39 — Consegui resolver, e a resolução me pareceu bem ridícula. / / Precisei colocar
Consegui resolver, e a resolução me pareceu bem ridícula.
Precisei colocar uma senha no celular desbloqueado; achou a senha que coloquei e depois fez o decoding perfeitamente. Isso faz sentido para alguém?
Precisei colocar uma senha no celular desbloqueado; achou a senha que coloquei e depois fez o decoding perfeitamente. Isso faz sentido para alguém?
Pessoal. Esse aparelho nesse patch, bloqueado, continua zicado?
Sugiro submeter a imagem .dd pra alguns antivirus, já que subir a imagem pro VirusTotal é inviável
https://cuckoosandbox.org/
Indicaram esse aqui. Não cheguei a usar. 👆🏻👆🏻
[MENCAO] .'. a Dra. Jéssica da delegacia de crime cibernéticos falou muito bem de vc. <Mensagem editada>
Opa que honra meu amigo 🙏🏼❤️
Conheço a Dra Jessica
Já resolvemos vários casos de repercussão aqui no Estado do Pará
Mande um abração pra ela
Ela falou sobre seu empenho e expressou muita gratidão pelo seu apoio.
O setor de Extração de Dados da Polícia científica do Pará foi criado por mim e pelo diretor Geral Celso Mascarenhas
Para realizar as demandas de perícias tecnológicas
Do estado do Pará, pois até então eram muito carentes.
Nosso objetivo é alcançar e ampliar ainda mais nossos serviços
Para outras delegacias e outros órgãos do nosso estado
E é claro, formar novos peritos e técnicos que tenham a mesma vontade de trabalhar como a gente
Aqui no Ceará foi separado a extração recentemente.
Nosso setor hoje é exemplo de trabalho e comprometimento em nosso estado, graças a todos que estão lá
Sim essa é a tendência
Caso queira marcar minha visita ai com vcs
Estou a disposição
Temos que unir força sempre
Como que funciona por aí? Tem um setor que extrai e outro que analisa? Ou quis dizer que as perícias em computadores são separadas das de celulares?
[MENCAO] .'. depois vou conversar com você no PV para entender melhor como esta funcionando a extração.
Estou a disposição sempre
Se puder compartilhar aqui, [MENCAO], é melhor para que possamos adotar as melhores práticas nos laboratórios recém-implementados. <Mensagem editada>
Origem 653 — 14/09/2023 09:55 a 10:14 — Bootloader, desbloqueio OEM e risco de wipe
Dispositivo SM-G570M.DS
Extração física via bootloader.
Fiz o downgrade informado pelo colega [MENCAO] que ainda disponibilizou a versão 7.65 do UFED for PC.
Grato!
Grato!
Outro dispositivo Xiaomi acima com extração do sistema de arquivos.
Fazia um tempo que a Cellebrite não errava tanto em uma versão nova. Tomara que façam a correção na próxima.
Origem 654 — 14/09/2023 15:30 a 15:51 — Extração e decodificação de bancos do WhatsApp
Boa tarde Srs.
De posse dos dados extraídos (extração física) há alguma informação que possa indicar a localização do dispositivo móvel em determinado intervalo de tempo ou tal informação ficaria apenas vinculada à conta e salva em nuvem?
De posse dos dados extraídos (extração física) há alguma informação que possa indicar a localização do dispositivo móvel em determinado intervalo de tempo ou tal informação ficaria apenas vinculada à conta e salva em nuvem?
mas no relatório do Cellebrite
tem ali uma lista das posições do GPS
ou pelas conversas do WhatsApp tu pode mencionar que o usuário do aparelho enviou dia XXXX a localização tal
no caso do WhatsApp tem um código [SEGREDO] das mensagens de localização (só não lembro de cabeça qual é )
estou usando o relatório UFDR nesse momento.
tentar localizar essa informação
vê se tinha o whatsapp instalado
porque no msgstore.db tem a table "message_location"
esse arquivo pode ser visualizado direto no PA?
eu sempre exporto a pasta inteira do whatsapp no /data/data/com.whatsapp
aí vai em /databases/msgstore.db
e abre com DB Browser for SQLite
Geralmente é na nuvem mesmo a principal fonte de localização
pois é. Imaginei isso, mas a dica do colega já vai me ajudar a apontar algumas importantes informações.
👍🏻 essa tabela message_location deve vir as localizações compartilhada dos outros interlocutores também, suponho? Vc sabe dizer se daria pra filtrar diretamente na tabela [MENCAO] ?
Tem que fazer um join com a tabela message, tabela chat e tabela jid
Pra chegar num numero de telefone específico
Origem 655 — 15/09/2023 21:51 a 21:57 — Extração e root em dispositivos LG
Boa noite.
Estou com um Celular LG com tela requerendo PIN para desbloquear. Alguma dica, por gentileza?
Estou com um Celular LG com tela requerendo PIN para desbloquear. Alguma dica, por gentileza?
Qual modelo de LG?
Vou verificar se na parte traseira tem o modelo ou tentar na inicialização e acrescento a informação aqui. Obrigado
Origem 656 — 16/09/2023 11:51 a 13:38 — Extração em dispositivos Realme/Oppo
É o setor de Fonética Forense e Extração de Dados Forense da Polícia científica do Pará fazendo História novamente
Acima de tudo com compromisso e muito trabalho por nossa instituição
Estive no SNPC (e ainda estou em Maceió 🌤️) e realmente o nível foi elevado! 👏👏👏👏
Origem 657 — 19/09/2023 15:37 a 16:02 — Análise de dados em Telegram, Facebook Messenger e mensageiros
boa tarde pessoal! Messenger Lite armazena mensagens no smartphone ou somente em nuvem?
se sim, com extração física, quais seriam os dbs que conteriam os dados?
Se eu nao me engano fica quase tudo na nuvem
O IPED nao montou os chats?
Salvo engano fica num banco de dados o nome começa com "threads" e tem uma numeraçao estranha no no nome do arquivo
E as mensagens vao estar num formato (json) eu acho
(Estou caminhando na rua agora, nao tenho um exemplo de imediato pra verificar)
Opa, show, já ajuda, vou verificar com o que tenho aqui, obrigado!!
tentei só no PA
Uma vez fiz o teste com o xry, que montou algumas mensagens do fb messenger. Joguei tudo no iped e não montou nenhuma mensagem.
Origem 658 — 20/09/2023 09:48 a 09:58 — Bootloader, desbloqueio OEM e risco de wipe
bom dia, alguém sabe dizer se é possível determinar se um usuario usava ou não VPN, apenas analisando a imagem (copia) do HD?
Veja os programas instalados, logs e histórico da web
Já a opção de Exynos FBE bootloader no UFED, qual erro foi apresentado?
Testou em qual versão do UFED? 7.66 ou 7.65?
Dispositivo não suportado
STK-20210603-WA0034.webp (arquivo anexado)
Veja se ja 7.65 da boa então
A 7.66 está zuada em relação aos bootloader de samsung.
Não chegamos a testar esse específico, mas vi que outros estão.
Nosso 4PC não atualiza mais! Estamos com processo de aquisição e de renovação, mas o Governo tá difícil com a POLCAL
Origem 659 — 21/09/2023 10:07 a 12:48 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, alguém saberia explicar as diferenças, por exemplo, da extração File System... Pra Full File System... Como temos nos iPhones?
acho q poderiamos resumir assim: FFS é a extracao mais completa possível nos iPhones e nos androids com criptografa FBE. Geralmente vai precisar de algum tipo de exploit por parte da cellebrite. Nos iPhones, pelo UFED, FFS só nos modelos desbloqueados e que suportem checkm8 pu que ja venham com jail break (nunca vi). No premium, eh tudo FFS.
FS nos iphones eh basicamente um backup
Poderiam adicionar o colega, por favor 👍🏻
Galera, quando vocês recebem dados das nuvem da Apple e Google para "processarem" vocês usam o PA mesmo? IPED? Recebi um catatau de material aqui, quase 1 TB de dados da nuvem.
Cloud da Cellebrite
Cloud do Axiom faz tb, mas tem que ter a licença cloud
Esse aqui é licença específica ou vem junto com o PA e Premium?
nao precisa ter o cloud. o PA faz a interpretacao dos dados da nuvem
na maioria dos casos
as vezes enrosca e usamos o iped
Pois é, ele travou aqui. Vou testar o iped e dividir o caso pra ver se o PA da conta de abrir.
Boa tarde!
No UFED for PC (ou UFED Touch) há a opção de extração via ADB (root) para alguns dispositivos informáticos com a versão do Android acima do 7 e 8.
Em "Desenvolvedor" do dispositivo existe a opção "Desbloqueio de OEM" que caso seja marcada ocorrer a formatação da memória interna do dispositivo. Alguns colegas informaram que existem ferramentas pagas que conseguem fazer o desbloqueio sem formatar.
Algum colega já conseguiu aplicar root em dispositivos informáticos com Android acima de 7 e 8?
No UFED for PC (ou UFED Touch) há a opção de extração via ADB (root) para alguns dispositivos informáticos com a versão do Android acima do 7 e 8.
Em "Desenvolvedor" do dispositivo existe a opção "Desbloqueio de OEM" que caso seja marcada ocorrer a formatação da memória interna do dispositivo. Alguns colegas informaram que existem ferramentas pagas que conseguem fazer o desbloqueio sem formatar.
Algum colega já conseguiu aplicar root em dispositivos informáticos com Android acima de 7 e 8?
Origem 660 — 22/09/2023 11:03 a 11:31 — Bootloader, desbloqueio OEM e risco de wipe
Alguma dica para extrair ou desbloquear o dispositivo sm-g532mt?
Android 6.0.1
Bloqueado por "desenho.
Android 6.0.1
Bloqueado por "desenho.
Estou com uma versão antiga do UFED for PC 7.65.0.247.
Só há essa opção de desbloqueio
Já tentei 3 vezes e ainda não desbloqueou.
Já tentei 3 vezes e ainda não desbloqueou.
Não há a opção de extração física via bootloader.
Tente pelo XRY
Acho que tem bypass
Não temos esse equipamento/software.
Se quiser o ctt do representante eu tenho, vem de pv.
Podes aderir a uma ata
Pode enviar. Agradeço!
Nós meu registros já consegui com o perfil g532G. E aqui no grupo outros colegas já conseguiram com o g532m pelo UFED.
Não deu a extração direto no decrypted boot loader sem desbloquear mesmo ?
Tentei bootloader e desbloqueio.
Vou testar novamente.
Android 6 é vulnerável ao método de desbloqueio Lock Pick:
DESBLOQUEIO VIA UFED 4PC -> LG D821 -> REMOVE LOCKSCREEN EXTRAÇÃO -> ROOT VIA TWRP -> 4PC -> ADB
Origem 661 — 22/09/2023 11:46 a 12:43 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia! Realizei um backup do Itunes em um Iphone com 128GB de armazenamento (40% usado). Ao finalizar, o backup ficou com 236GB no total. Alguém sabe explicar o motivo deste tamanho de backup?
Acontece. Deve ser alguma coisa que é descompactada
E o relatório para o Reader pode ficar maior ainda 🤦🏻♂️
O que vimos é alguns arquivos ".tar" de backups das mídias. Além das mídias em si, é realizado a extração desse tar contendo todas as mídias ja extraídas separadamente.
Dessa forma, a extração acaba duplicando o tamanho real dos arquivos.
Ai tem tar para documentos, vídeos, imagens, etc...
Veja se não é seu caso.
Dessa forma, a extração acaba duplicando o tamanho real dos arquivos.
Ai tem tar para documentos, vídeos, imagens, etc...
Veja se não é seu caso.
Entendi. Vou verificar
Obrigado pelas respostas
Agora está realizando a extração física via bootloader usando o modelo SM-G532G.
Antes havia usado os modelos G532MT e G532F. Faltava os modelos com finais G e M.
Origem 662 — 25/09/2023 23:44 a 23:45 — Vc está com o UFED atualizado amigo
Vc está com o UFED atualizado amigo?
Extrai esse celular via chipset pelo ufed touch 2
Origem 663 — 26/09/2023 05:59 a 06:00 — Full File System
Full File System?
Esta desatualizada sua versão
É 4PC ?
Mas a 7.66 não estava com alguns problemas?
Origem 664 — 26/09/2023 15:56 a 16:43 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Motorola com Family Link ativado e não consigo ativar a depuração usb. Alguém sabe o que dá para fazer?
Normalmente eu convoco os pais
Não acho que seja o caso aqui. Dá para fazer alguma extração da forma que está?
Porque o xry não deixa fazer nem uma extração básicos sem a depuração ativa
Aqui já fizemos, mas era um Samsung antigo.. Com extração física... Que nem precisava dessas configurações preliminares...
O xry só faz lógica. É um xt1941-3, chipset qualcomm. O máximo que dá para tentar é um edl genérico, mas nunca tentei
Aqui o que fizemos foi no UFED
O ufed é excelente com qualcomm, enquanto o xry é excelente com mediatek. Acho que esse motorola não tem jeito aqui
Tente a física pelo xry
Só tem edl qualcomm. O perfil só tem lógica.
Origem 665 — 27/09/2023 12:09 a 14:08 — Bootloader, desbloqueio OEM e risco de wipe
É possível fazer física via Bootloader do disposto SM-A105M desbloqueado, Android 9, patch de segurança 01.03.2020?
Já tentei fazer a extração via bootloader no perfil genérico Exynos sem sucesso.
Já tentei fazer a extração via bootloader no perfil genérico Exynos sem sucesso.
Já fiz a extração do sistema de arquivos.
J710
Já fiz a extração FFS.
Neste caso não é possível a física.
Obrigado [MENCAO].
Neste caso não é possível a física.
Obrigado [MENCAO].
Boa tarde pessoal. Alguma solução para extração de um M2003J15SS bloqueado por senha padrão desenho?
O XRY utiliza um método parecido e Extrai uma imagem da memória e as chaves de hardware. Supostamente é uma física, mas se recupera mais coisas só comparando
Infelizmente, aqui não temos o XRY. Vamos solicitar a compra de alguns.
Boa tarde, uma dúvida: extrações FFS trazem a lista de arquivos com 0 bytes (apagados e q não deu pra recuperar) como a física traz?
Origem 666 — 28/09/2023 12:56 a 13:27 — Extração e compatibilidade em Samsung SMART
<Mídia oculta>
Só por curiosidade... O comparativo de dois Smart Flow do mesmo aparelho... Um LG K51S... À esquerda Full File System... À direita Física.
Só por curiosidade... O comparativo de dois Smart Flow do mesmo aparelho... Um LG K51S... À esquerda Full File System... À direita Física.
Pessoal da Cellebrite tem dito que o FFS é mais completo...
Interessante que a quantidade de "aplicativos instalados" é maior na FFS
mas não cheguei ainda a olhar detalhadamente pra ver que seria essa diferença pra mais
Isso depende.
Nos casos de FBE, no qual a física se torna irrelevante, será mais completa mesmo.
Já nos casos sem crypto ou FDE, não tem como ser mais completa que física.
Nos casos de FBE, no qual a física se torna irrelevante, será mais completa mesmo.
Já nos casos sem crypto ou FDE, não tem como ser mais completa que física.
Pois é. A diferença foi absurda. Quase 200.
Até parece algum erro.
Até parece algum erro.
Ou talvez é a build de decodificação dos dados. Isso muda bastante o resultado.
opa, legal saber...
Origem 667 — 28/09/2023 16:01 a 16:02 — Extração e compatibilidade em Samsung SMART
Boa tarde!
Interessante!! No UFED, pelo smart flow mostrou a opção de extração física para o dispositivo da imagem acima.
Interessante!! No UFED, pelo smart flow mostrou a opção de extração física para o dispositivo da imagem acima.
UFED for PC***
Origem 668 — 03/10/2023 09:38 a 09:45 — Extração e compatibilidade em Samsung SMART
Pessoal, beleza? Estou com Redmi 12C desbloqueado. Não fez Smart Flow de jeito nenhum no UFED. Por isso foi pro XRY e fiz física.
Mas ao terminar a extração ele pediu o tipo de senha pra ele fazer a força bruta e decodificar a extração.
Mas, denovo, ele não está bloqueado e não tenho a senha informada.
O que será? Será que crio uma senha [SEGREDO] a extração pra poder informar nessa hora?
Mas ao terminar a extração ele pediu o tipo de senha pra ele fazer a força bruta e decodificar a extração.
Mas, denovo, ele não está bloqueado e não tenho a senha informada.
O que será? Será que crio uma senha [SEGREDO] a extração pra poder informar nessa hora?
Fez com perfil mediatek generic?
Esse bug tem acontecido com o xry 10.6.1. Colocar senha resolve
Fiz num M2003….
Eu coloco pin 0000
Origem 669 — 03/10/2023 14:01 a 14:10 — Que tipo de extração é essa que vc esta tentando
<Mídia oculta>
Alguém saberia me informar como funciona essa questão do SSH ativo, por favor?
Alguém saberia me informar como funciona essa questão do SSH ativo, por favor?
Que tipo de extração é essa que vc esta tentando?
Origem 670 — 03/10/2023 14:43 a 15:06 — Extração e análise de dados em iPhone/iOS
Tem algum jeito de ligar um xiaomi depois de uma tentativa de extração física? Tô segurando os botões e nada. Nem o carregador mostra sinal de corrente. É um m2006c3mg
Uhnn.
Essas FFS com jailbroken precisa que o iOS esteja "rootado". Não irá funcionar sem isso antes.
Acredito que para isso precisa formatar o celular. Acho que chegou apenas 1x um iOS assim aqui e faz tempo
Essas FFS com jailbroken precisa que o iOS esteja "rootado". Não irá funcionar sem isso antes.
Acredito que para isso precisa formatar o celular. Acho que chegou apenas 1x um iOS assim aqui e faz tempo
Força o reboot. Vol down e power
Segura por um bom tempo ai (10 segundos).
Já segurei uns 3 min direto e nada 🥲
Não acabou a bateria?
Talvez abrindo ele, desconecta a bateria e conecta novamente. Pode ser que travou em algo.
Já tive sucesso assim tbm.
Deixei no carregador desde ontem e não deu sinal
Origem 671 — 06/10/2023 12:46 a 12:46 — Extração e compatibilidade em Samsung SMART
Motorola XTI802 G5S PLUS, Android 8.1, desbloqueado.
Opção para extração física usando Smart Flow.
Opção para extração física usando Smart Flow.
Origem 672 — 06/10/2023 18:54 a 19:01 — Extração e compatibilidade em Samsung SM-G610M
Pessoal, SM-G610M/DS bloqueado continua sendo complicado? Alguém tem algum registro de sucesso?
610m é para ser tranq
O g611 que era mais chato
Com o perfil do próprio modelo não deu boa?
Está usando qual versão do UFED?
não deu... aqui UFED 7,66.1.150
Já tentou na 7.65?
no perfil dele mesmo:?
É senha normal ou secure startup??
Então é para dar boa. Não é comum esse dar problema. Fisica no modelo dele é para ser tranq
tá... vou mudar de versão, PC, cabo aqui... quem sabe
Origem 673 — 09/10/2023 16:50 a 19:03 — Uso do IPED na triagem, indexação e análise
Boa tarde, Srs.
Alguém já conseguiu indexar uma extração do UFED no IPED, de qualquer tipo (Full FS, Física ou Lógica), sem necessariamente gerar o relatório UFDR?
Alguém já conseguiu indexar uma extração do UFED no IPED, de qualquer tipo (Full FS, Física ou Lógica), sem necessariamente gerar o relatório UFDR?
Nunca fiz mas dizem que aceita o ufd e ufdr
Aponta pro arquivo e n pro arquivo de extração
Creio que seja possível extrair a userdata de uma física com o FTK e indexar com o IPED
corrigindo, é apenas ufdr
E exatamente essa questão
Indexar sem ter que gerar o ufdr primeiro
Indexar direto o arquivo de extração
Pq meio que não faz sentido indexar se o ufdr já foi gerado e o reader le
Se o objetivo for a extração do conteúdo, está correto; se o objetivo for o tratamento e análise dos dados, cabe o IPED ou outra solução similar.
Vdd. Acontece que as vezes são implementados alguns parsers no iped
Que o PA não faz ou faz de outra maneira
Origem 674 — 09/10/2023 19:29 a 19:46 — Extração e bloqueios em Xiaomi/Redmi/POCO
Na prática: tenho a extração feita pelo ufed, mas não tenho licença disponível pra indexar os dados no Physical Analyzer… pensei em indexar no IPED, mas não é possível somente com a extração, correto?
Foi uma extração física ou lógica?
Só perguntando mesmo porque tenho a mesma dúvida. Pensei que bin tivesse como indexar
Só perguntando mesmo porque tenho a mesma dúvida. Pensei que bin tivesse como indexar
É uma Full File System
De um Xiaomi
Origem 675 — 10/10/2023 08:37 a 08:52 — Extração e decodificação de bancos do WhatsApp
Pessoal, bom dia. Tudo bem? Estou curioso com uma situação aqui. Fiz a extração física com contorno de bloqueio de um SM-G610M. Este aparelho está bloqueado, a extração não informou o PIN e a tela está bem danificada, então não consigo conferir manualmente.
Ao analisar a conversas do WhatsApp, percebi que as conversas estão duplicadas, porém em cada uma o número e nome do proprietário está diferente. Vejam só:
Ao analisar a conversas do WhatsApp, percebi que as conversas estão duplicadas, porém em cada uma o número e nome do proprietário está diferente. Vejam só:
Percebi que os arquivos de origem mudam tbm, mas não entendi a divergência dos números.
um é o do aplicativo vigente, o outro vem de um backup
como são arquivos distintos ele duplicou a informação
beleza... mas como se explica essa mudança de número vc acha?
os dois arquivos de origem tem 50 dias de diferença... pode ter havido mudança de número... mas ainda assim fiquei escasquetado
mas seria estranho mudar só um dígito, mesmo se ele tivesse mudado de número
pior que o número vinculado ao chip examinado é o que aparece no arquivo mais antigo, e não no mais novo
a não ser que fosse número virtual, mas como é, em tese, a mesma conversa, só que o backup dela, não faria muito sentido essa troca de número
Abre os XML registerPhone
Pra ver se também há essa discrepância entre o backup e o original
E assim descartar ou confirmar erro no parser do PA
mesma discrepância
ainda tem até uma outra questão nesse aparelho que me chamou a atenção... tem o registro de um outro número de WhatsApp nesse dispositivo, mas não há conversa nenhuma... só que está dentro do Samsung Secure Folder... eu tbm nunca tinha visto isso
ja viu se esse aparelho so tem um usuario no android?
não encontrei essa informação na extração, mas imagino que seja somente um mesmo... é razoavelmente antigo... um SM-G610M... e manualmente não vejo nada... está estraçalhado
Origem 676 — 17/10/2023 10:49 a 11:24 — Extração e compatibilidade em Samsung SM-A037F
Bom dia senhores, estou com o um Samsung SM-A037F com bloquei por PIN, é possível realizar as extrações sem ferramento premium ?
no Ufed da gente não tem nenhuma extração com contorno de bloqueio
Bom dia. Infelizmente não. Esse é um MTK.
Nem sei se o premium tbm consegue.
Esses da linha de entrada da serie A tem suporte bem limitado por enquanto.
Nem sei se o premium tbm consegue.
Esses da linha de entrada da serie A tem suporte bem limitado por enquanto.
Tens o XRY? Nele é possível extrair e fazer a brute force off-line desse modelo
Vou dar uma olhada
Origem 677 — 17/10/2023 12:02 a 12:03 — Extração e análise de mensagens do WhatsApp
Bom dia. Alguém já se deparou com uma extração realizada, onde no aparelho se visualiza todas as trocas de mensagens do WhatsApp, porém, todas aparecem no analyser como Cripitografada
No Xiaomi
e se tu exportar pelo UFED a pasta do WhatsApp ?
Origem 678 — 17/10/2023 12:39 a 14:08 — Compatibilidade de modelos e métodos de extração no UFED
Qual foi o tipo da extração?
Pode ser que nessa sua extração estão apenas os backups.
Possivelmente não é uma extração completa dos dados.
Possivelmente não é uma extração completa dos dados.
Sistema de arquivo
É o [MENCAO] disse, não tem o .db descriptografado nessa extração
Precisa ser uma full ou física para poder vir a chave de decrypt.
Se não terá apenas esses BDs crypto.
Qual eq é?
Não deu boa extração mais completa?
Se não terá apenas esses BDs crypto.
Qual eq é?
Não deu boa extração mais completa?
Origem 679 — 18/10/2023 12:16 a 13:37 — Análise de dados em Telegram, Facebook Messenger e mensageiros
Senhores muito bom dia, estou com um caso interessante. Os arquivos de interesse estão dentro do aplicativo “drive” do telefone android, visualizáveis e funcionais. É um A750G fde, fiz até a extração física dele, mas eu não consigo achar, de forma alguma, na extração, esses arquivos de interesse, são algumas imagens e alguns vídeos, já montei o binário decorrente da extração física, no Linux, de 128 GB, montei todas as sub-partições existentes, e em absolutamente nenhuma delas consegui achar os arquivos que estão no aplicativo “drive”, o telefone tá em modo avião, portanto, os arquivos estão locais, mas não consigo achar esses benditos. Eu até poderia tirar eles manualmente do aplicativo, mas eu queria demonstrar a localização deles dentro do FS, mas tô apanhando feio. Alguém já passou por isso ??
Quando vc abre essa extração no PA, vc consegue achar ele pesquisando? Por nome ou por algum outro identificador?
Puq ai talvez conseguiria ver o diretório que ele está.
Normalmente os apps ficam em /data/data/pacote.app.com.
Puq ai talvez conseguiria ver o diretório que ele está.
Normalmente os apps ficam em /data/data/pacote.app.com.
Já vi em um caso em que os arquivos de interesse estavam em um container crytpo.
Aí acabei achando o diretório com uma pesquisa na internet sobre aquele app. Ele salvava as midias em um diretório diferente dos demais apps.
Aí acabei achando o diretório com uma pesquisa na internet sobre aquele app. Ele salvava as midias em um diretório diferente dos demais apps.
No PA ele não consta, nem ele, nem nenhum dos trocentos arquivos que estão dentro do aplicativo “drive”. E é o PA resultante da extração física, onde, teoricamente, tudo que estivesse no File System, era pra constar, mas eu não sei o que o Google fez, pra armazenar esses arquivos, que eles simplesmente não aparecem, fucei tudo, montando a partição no Linux, e eles também não estão.
O aplicativo é o Google drive.
Talvez esteja dentro de algum container. Ou alguma pasta diferente.
O nome da pasta do drive é:
com.google.android.apps.docs
O nome da pasta do drive é:
com.google.android.apps.docs
Veja se em /data/data não tem esse aí
Isso se estiver off-line o arquivo.
Mas pelo menos um cache deve abrir, já que consegue visualizar.
Boa tarde! Estamos com um caso aqui de uma vítima que vem sendo obrigada a produzir vídeos e compartilhar em um grupo privado , com duas pessoas (a vítima e o agressor) no telegram. Fizemos a extração lógica avançada do iPhone 11 Pro Max, mas não trouxe o telegram. Tem muito conteúdo nesse grupo . O grupo está privado e não conseguimos fazer muita coisa manualmente também. Teriam alguma sugestão pra exportar esse conteúdo?
Nesse caso, talvez uma full FS em alguma ferramenta premium.
Um talvez, puq nao é sempre que o telegram é interpretado, mesmo com a full.
Parcial (seu caso) raramente vem.
Um talvez, puq nao é sempre que o telegram é interpretado, mesmo com a full.
Parcial (seu caso) raramente vem.
recentemente também tive o mesmo problema com iPhone XR, o telegram estava no aparelho com muitos grupos, mas a extração nao trouxe nada do telegram
Bem, as extração FFS do Premium estão trazendo muito mais artefatos
Origem 680 — 19/10/2023 10:10 a 10:25 — / Algum colega já fez extração nesse modelo de GPS: Garmin echoMAP CHIRP
Bom dia!
Algum colega já fez extração nesse modelo de GPS: Garmin echoMAP CHIRP 54v?
É um GPS Náutico, não tem fonte independente, fica ligado diretamente na parte elétrica da embarcação e vem com um cartão de memória com a carta náutica da área em que a embarcação trafega.
Nós fizemos a extração do cartão , porém na extração vieram uns arquivos não categorizados, o problema é que a gente não está conseguindo o plugin certo para abrir esses arquivos.
Obrigado.
Algum colega já fez extração nesse modelo de GPS: Garmin echoMAP CHIRP 54v?
É um GPS Náutico, não tem fonte independente, fica ligado diretamente na parte elétrica da embarcação e vem com um cartão de memória com a carta náutica da área em que a embarcação trafega.
Nós fizemos a extração do cartão , porém na extração vieram uns arquivos não categorizados, o problema é que a gente não está conseguindo o plugin certo para abrir esses arquivos.
Obrigado.
Não sei esse modelo, mas geralmente o cartão é usado só para atualizaçao de MAPA
Logo, deve ter só mapa
mapa e firmware
Os arquivos tem qual extensão?
Origem 681 — 21/10/2023 11:27 a 12:53 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia galera! Estou usando o DVR Extractor, já instalei o ffmpeg e botei no path, rodando como administrador, windows 11, fiz a imagem do HD do DVR e ao rodar o programa ele gera os txt e aparentemente tudo certo até começar a recuperar os vídeos, quando da 0,72% ele simplesmente fecha, não sei se é problema no ffmpeg ou o que. Não achei um log também pra ajudar. Alguém já passou por isso?
Bom dia!
O log de saída no console deve ser habilitado no arquivo de configuração.
O log de saída no console deve ser habilitado no arquivo de configuração.
<Mídia oculta>
Pessoal, boa tarde! Não tô conseguindo colocar esse modelo no modo download. Já tentei Vol + e Vol - conectando o cabo. Já tentei entrar no modo recuperação: Vol + e Power. Ao ligar com o Vol - + Power aparece essa tela e desliga.
Pessoal, boa tarde! Não tô conseguindo colocar esse modelo no modo download. Já tentei Vol + e Vol - conectando o cabo. Já tentei entrar no modo recuperação: Vol + e Power. Ao ligar com o Vol - + Power aparece essa tela e desliga.
Essas letrinhas vermelhas na parte superior a esquerda indica algum problema de bootloader
Deixa a carga em 100%
Em seguida faça o procedimento via UFED
Desbloqueio ou lock bypass
No final do procedimento vai aparecer um menu de opções no celular
Vá em exit recovery system now
Ele vai reinciar normalmente
Daí vc vai conseguir fazer os procedimentos normais para desbloqueio ou lock bypass
Isso. Foi depois de uma tentativa de extração física mal sucedida.
Vou tentar a sua dica. Obg
Origem 682 — 23/10/2023 14:09 a 17:57 — Extração e compatibilidade em Samsung SMARTPHONE
Pessoal, tudo bem?
Estou com um smartphone Asus aqui que consegui fazer a física no UFED e a extração abriu sem problemas no PA.
Porém, os vídeos de interesse estão no Google Photos... Consigo reproduzi-los no aplicativo, mas a extração não encontrou o arquivo de vídeo.
Penso que o backup já foi feito pra nuvem e aquilo que ficou reproduzindo no dispositivo já pode ser um arquivo cripto que o PA não reconhece. Acha q faz sentido? Tem algum dica?
Já fiz tbm Smart Flow até com aquela extração seletiva de apps, mas nada...
Estou com um smartphone Asus aqui que consegui fazer a física no UFED e a extração abriu sem problemas no PA.
Porém, os vídeos de interesse estão no Google Photos... Consigo reproduzi-los no aplicativo, mas a extração não encontrou o arquivo de vídeo.
Penso que o backup já foi feito pra nuvem e aquilo que ficou reproduzindo no dispositivo já pode ser um arquivo cripto que o PA não reconhece. Acha q faz sentido? Tem algum dica?
Já fiz tbm Smart Flow até com aquela extração seletiva de apps, mas nada...
Uma possível explicação é o UFED não está fazendo a decodificação de forma adequada ou a versão no aparelho não é suportada no PA
Se tiveres disponível o Axiom, podes tentar ver se ele decodifica.
vou tentar no Axiom
tbm nao pegou... PA pegou mais coisa
pesquisei no manual e somente achei isso
Vc esta enviando para um HD externo, certo?
Qual file system esta nesse HD?
E qual tamanho de cada arquivo E0x vc configurou?
Tenho que verificar
Quando vc abre essa extração no PA, vc consegue achar ele pesquisando? Por nome ou por algum outro identificador?
Puq ai talvez conseguiria ver o diretório que ele está.
Normalmente esse app fica em:
com.google.android.apps.docs <Mensagem editada>
Puq ai talvez conseguiria ver o diretório que ele está.
Normalmente esse app fica em:
com.google.android.apps.docs <Mensagem editada>
Não estou com acesso ao equipamento, mas qual seria a dica. Acredito que FAT 33
Bom, ai nesse caso precisa verificar se o E0x configurado no tableu esta muito grande para esse sistema de arquivos.
de qualquer forma vou verificar amanhã. De qualquer forma, muito obrigado pela ajuda. Acredito que seja outra situação. Sempre utilizo basicamente o mesmo HD quando utilizo o tableau. O equipamento basicamente só é utilizado por mim. Não foi feita alteração nas configurações que eu saiba.
Tô com um caso idêntico a esse, já montamos, inclusive, a imagem binária decorrente da física no Linux, olhamos em todas as partições, acho que 28, e não consegui achar o bendito arquivo de forma alguma, e ele tá visualizável e reproduzível no telefone.
Só que o meu tá no aplicativo Google drive. <Mensagem editada>
Origem 683 — 26/10/2023 09:14 a 09:32 — Bootloader, desbloqueio OEM e risco de wipe
Estou com um J260MU bloqueado com senha.
Não consegui com perfis semelhantes e nem com o J260F citado por outro colega.
Alguma outra sugestão?
Não consegui com perfis semelhantes e nem com o J260F citado por outro colega.
Alguma outra sugestão?
Ja tentou smartflow?
Esse modelo conseguimos a fisica via Premium. Os perfis 260F ou 260M não funcionaram
Não lembro se smartflow dava erro.
Tenho registro de extração física com decrypted bootloader
Mas estava sem modo de inicialização segura e deu como FDE
Origem 684 — 26/10/2023 12:43 a 12:46 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Bom dia. Alguém já obteve êxito na extração desse aparelho? Está bloqueado com senha de padrão.
Bom dia. Alguém já obteve êxito na extração desse aparelho? Está bloqueado com senha de padrão.
Tentou verificar o chipset do aparelho para tentar extração via chipset?
Origem 685 — 27/10/2023 10:53 a 11:19 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia! SM-J600GT/DS. Não tem o perfil no 4PC. Alguma sugestão? Obg
EXTRAÇÃO FÍSICA VIA UFED 4PC -> SM-J600G -> DECRYPTED BOOTLOADER
Com esse deu erro.
Tá indo no XRY 👍🏻 obg
A sorte foi q o patch de segurança era de 01-12-2019.
Passando a solução: descarregar totalmente a bateria. Depois, Vol + - e conectar no computador. Modo download 👍🏻
Origem 686 — 27/10/2023 12:02 a 12:42 — Extração e limitações em Motorola Moto G8
Bom dia.
Alguém já teve a experiência de realizar uma extração "Full files system" e acontecer de não vir imagens que estão claramente presentes na galeria do celular ?
Dispositivo: Motorola Moto G8.
Versão do UFED: 7.66.1.158
Estou repetindo a extração e, posteriormente, farei uma Lógica avançada para comparar.
Alguém já teve a experiência de realizar uma extração "Full files system" e acontecer de não vir imagens que estão claramente presentes na galeria do celular ?
Dispositivo: Motorola Moto G8.
Versão do UFED: 7.66.1.158
Estou repetindo a extração e, posteriormente, farei uma Lógica avançada para comparar.
Opa pessoal. Estou com um caso aqui que questiona se o HD examinado contém informações relativas à rede WI-Fi xxxxxx. Estou utilizando o IPED. Há algum caminho para identificar. Estou apenas da posse do HD. Obrigado
converte a imagem .dd para .vmdk
Poderia fazer busca pelo MAC address.
e executa em máquina virtual
pra ver a configuração dele rodando o Windows
é uma boa ideia. Vou tentar a solução sugerida pelo amigo. Obrigado
http://iccyber.org.br/2009/uploads/trabalhos/20090925/RCMP_Eric_Rowe.pdf
eu acho mais fácil de encontrar as coisas rodando via máquina virtual
senão vai a pesquisa manual com algum leitor dos arquivos do Regedit
senão vai a pesquisa manual com algum leitor dos arquivos do Regedit
Origem 687 — 30/10/2023 10:02 a 10:15 — Será que não precisa do UFED Cloud
Bom dia colegas.
Por gentileza, como vocês estão fazendo em relação às extrações dos arquivos (fotos/vídeos) armazenados no Google Fotos? percebi que as extrações (Sistema de Arquivos/Lógica Avançada) não estão contemplando tais arquivos quando acesso a parte de mídia no PA.
Por gentileza, como vocês estão fazendo em relação às extrações dos arquivos (fotos/vídeos) armazenados no Google Fotos? percebi que as extrações (Sistema de Arquivos/Lógica Avançada) não estão contemplando tais arquivos quando acesso a parte de mídia no PA.
será que não precisa do UFED Cloud ?
então, não sei ao certo se é obrigatório.
vi que na instalação tem algo a esse respeito
sobre um plugin de Cloud
ele é exclusivo do Premium?
aí eu não sei te dizer
mas ele precisa de um dongle específico
mas ele precisa de um dongle específico
vou tentar pesquisar. Obrigado assim mesmo.
Origem 688 — 07/11/2023 09:07 a 09:14 — Extração e decodificação de bancos do WhatsApp
pessoal, alguém já passou pela seguinte situação:
WhatsApp foi re-instalado e/ou atualizado
chave atual encontrada no /data/data/com.whatsapp/files abre alguns arquivos .crypt12 (só os gerados após essa re-instalação/atualização)
os anteriores a esta data não abre (o que me faz supor que foram criptografados com uma chave diferente)
aí senta e chora entao?
se foi extração física vc pode tentar carving de key creio eu
sim, deu extração física
se não me engano [MENCAO] tem um script pra isso
eu usei aquele programa whatsapp-carver
mas voltou a chave que eu já tenho
Eu lembro q eu fazia uma busca no binário por alguns hexadecimais q eram meio q fixos das chaves se não me engano
acho q o começo da key
https://github.com/leosol/whatsapp-key-carver
Script do [MENCAO]
Script do [MENCAO]
isso tá na explicação do script do colega
é, então já era, só se vc tivesse o chip
e nem sei se o whatsapp ainda recupera backup crypt12
apesar de ter 158 bytes o arquivo da chave
não são usados todos os 158 bytes
não parei pra estudar, mas já imagino que seja inviável tentar montar uma força-bruta de combinações
Origem 689 — 07/11/2023 12:11 a 12:22 — Extração e acesso em Realme Esses
Alguém já conseguiu desbloqueio de aparelho Realme
Esses Realme são bem difíceis. Normalmente são chipset Unisoc e o suporte para esse tipo de chipset é bem limitado.
Esse aí a princípio é o "T610 Unisoc". Teria que ver na lista de suporte das ferramentas se é possível.
Procurei o modelo nos chipsets, não encontrei
No UFED
No UFED não tem opção. Teria que ser ferramenta premium ou não tradicional.
Por exemplo: PC3000 Mobile.
Na lista dele indica que faz BF nesse chipset, mas não temos para teste.
Na lista dele indica que faz BF nesse chipset, mas não temos para teste.
Não temos premium... =(
Origem 690 — 08/11/2023 14:21 a 14:56 — O último que fiz aqui foi em maio. Fez a extração física no
Pessoal, para fazer o G570M/ds
a recomendação seria usar o perfil do G570F e usar uma versão antiga do 4PC?
a recomendação seria usar o perfil do G570F e usar uma versão antiga do 4PC?
O último que fiz aqui foi em maio. Fez a extração física no perfil dele mesmo com o decrypted boot loader
Boa tarde, srs. Alguém poderia me indicar ferramentas que identifique tipos de criptografias aplicadas em discos?
Origem 691 — 20/11/2023 14:14 a 14:15 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde. Alguém já fez extração de um A032M bloqueado? Não estamos conseguindo nem com o Premium.
Chipset Unisoc
Origem 692 — 23/11/2023 20:14 a 20:14 — Elaboração de laudo e relatório técnico pericial
Boa noite! Alguém pode me enviar no privado, algum modelo de laudo de verificação de edição de áudio em formato OGG? Grato. <Mensagem editada>
Origem 693 — 30/11/2023 10:30 a 10:50 — Compatibilidade e extração em dispositivos Samsung Galaxy
<Mídia oculta>
Pessoal, bom dia. Beleza? Esse aqui é o Poco. Essa tela permite afirmar que foi apagamento remoto? É possível dizer quando foi feito? Chipset Qualcomm.
Pessoal, bom dia. Beleza? Esse aqui é o Poco. Essa tela permite afirmar que foi apagamento remoto? É possível dizer quando foi feito? Chipset Qualcomm.
Teria que fazer uma full fs para pegas as infos. Ou tentar ver no recovery.
Pode ter sido apenas desativado pelo usuário.
Blz, não achei logs de recovery como no Samsung por aqui... Se fosse MTK ainda conseguiria fazer algo no XRY, mas acho q tô travado
No premium já consegui fazer extração full em um caso assim
A extração estava como se estivesse formatada. Não veio dados de usuário.
A extração estava como se estivesse formatada. Não veio dados de usuário.
Fiz a física no xry de um xiaomi mtk que estava assim e não vieram dados de usuário.
Só não lembro se deu para ver se foi formatação.
Origem 694 — 07/12/2023 10:17 a 12:57 — Análise de dados em Telegram, Facebook Messenger e mensageiros
Bom dia.
Estou com um SAMSUNG A325M que se encontrava bloqueado com senha padrão. Fiz a extração FFS no PREMIUM.
Entretanto, mostrou a opção de força bruta para a pasta segura e exibiu que a mesma encontrava-se bloqueada com senha alfanumérica.
Navegando pelo celular, em SEGURANÇA E PRIVACIDADE > PASTA SEGURA, mostra como se não estivesse configurada.
Devo insistir na força bruta ou realmente não há chances de ter algo nessa pasta segura? <Mensagem editada>
Estou com um SAMSUNG A325M que se encontrava bloqueado com senha padrão. Fiz a extração FFS no PREMIUM.
Entretanto, mostrou a opção de força bruta para a pasta segura e exibiu que a mesma encontrava-se bloqueada com senha alfanumérica.
Navegando pelo celular, em SEGURANÇA E PRIVACIDADE > PASTA SEGURA, mostra como se não estivesse configurada.
Devo insistir na força bruta ou realmente não há chances de ter algo nessa pasta segura? <Mensagem editada>
Como assim? Nao entendi
Quando vc usa "pasta segura", o android da samsung tem um usuário específico, cuja identificação é 150
vc pode verificar isso via adb, se esse usuário está ativo
adb shell pm list users
Ja vi isso.
Se em algum momento ele foi ativado ou pre ativado, o usuário do secure folder é ativado e o premium acaba reconhecendo ele.
Se em algum momento ele foi ativado ou pre ativado, o usuário do secure folder é ativado e o premium acaba reconhecendo ele.
150 é secure folder e o 95 é aquele esquema de Dual-Messager (dois zaps etc..)
<Mídia oculta>
Pessoal, alguém já passou por isso? A extração FFS via Smart Flow se completa com 0 bytes, às vezes com 4 MB... É um Xiaomi 21121119SG com chipset MT6768. Não deveria dar esse trabalho.
Pessoal, alguém já passou por isso? A extração FFS via Smart Flow se completa com 0 bytes, às vezes com 4 MB... É um Xiaomi 21121119SG com chipset MT6768. Não deveria dar esse trabalho.
Por padrão, sempre fazemos a extração desse usuário, mas eu tenho visto que ele vem zerado.
A ideia da extração é apenas para ter os arquivos relacionados e ele e o relatório ficar mais completo.
A ideia da extração é apenas para ter os arquivos relacionados e ele e o relatório ficar mais completo.
vc pode ver quais aplicativos o 150 está usando:
adb shell pm list packages --user 150
acho que é esse o comando
adb shell pm list packages --user 150
acho que é esse o comando
Mas não fazemos BF nesses casos. Apenas a extração mesmo.
Se fizer aquela menos completa (app) tem o mesmo resultado?
Ja tivemos casos parecidos. Aí acreditamos que algum arquivo está travando a extração, pois na de app ia tranq. <Mensagem editada>
Ja tivemos casos parecidos. Aí acreditamos que algum arquivo está travando a extração, pois na de app ia tranq. <Mensagem editada>
Esse print que mandei foi a de app mesmo. A completa vai até 10MB no máximo.
Já tivemos um caso que foi possível fazer a extração completa da "pasta segura" e nada do celular puq o usuário 0 estava bloqueado por alfa, e o premium permitiu a extração do 150 sem necessidade de BF. 🤣🤣
Dual Messenger tbm
Mas do LG
É o antivírus tem que desabilitar ele
Bom dia!
Estão conseguindo extrair via bootloader o dispositivo Samsung SM-J410G bloqueado com senha [SEGREDO] 8.1.0, FAP LOCK ON?
Estão conseguindo extrair via bootloader o dispositivo Samsung SM-J410G bloqueado com senha [SEGREDO] 8.1.0, FAP LOCK ON?
Isso. Um LG K62+ que o Premium encontrou o pin do usuário principal e depois que rodei o ataque no outro que era alfa, não desbloqueia mais com o pin que tinha achado. Uma doideira…
Não é o problema da última (penúltima, saiu uma esta semana) versão do 4PC?
Pow, então é padrão do LG. Ja tive um caso assim tbm. Depois de desbloquear o segundo espaço, a senha do usuário 0 se perdeu 😅
Tbm acho. Veja se na 7.65 da boa.
Estou usando a versão 7.66.1.150.
Puts. Pelo menos fiz a extração.
Obrigado.
Vou testar com essa versão.
Vou testar com essa versão.
Listei aqui, realmente não tem o 150, mas tem o 95:DUAL_APP
Aí eu ficaria mais tranquilo de informar que o secure folder não está ativado <Mensagem editada>
Bleza. Muito obrigado.
Mas agora vou ficar de olho nesse dual app pra ver se vem 2 zaps no PA
Mas agora vou ficar de olho nesse dual app pra ver se vem 2 zaps no PA
sim, mas acho que tem o problema que uma vez usado esse usuário parece que fica criado
Acho que o smasung não apaga o usuário se foi desativado o dual
Obrigado.
Instalei a versão 7.65 do UFED.
Instalei a versão 7.65 do UFED.
Ja fizemos teste com xiaomi e não apaga mesmo. Uma vez criado fica sempre lá.
Origem 695 — 08/12/2023 11:35 a 12:27 — Extração e acesso a dados em iPhone 13 pro max
bom dia, alguém sabe dizer qual o caminho dos arquivos da pasta de apagados do iphone? estou com um iPhone 13 pro max, e queria ter certeza que os arquivos da pasta apagados foram extraídos pelo ufed.
Que tipo de arquivos?
E qual extração vc tem?
Conrado, eu peguei um essa semana, olhei na mão mesmo e todos os arquivos da lixeira estavam na extração! Nossa versão do ufed só permitia a extração file system!
Telefone tava desbloqueado
tenho uma extração FFS, do touch 2, e vi que essa pasta tem diversas fotos
praticamente o mesmo caso, temos a senha do telefone, o touch 2 só deu a opção de ffs, a pasta tava protegida por face id, desabilitamos, e encontramos um número grande de arquivos, por isso não queria ficar olhando na mão, é muita coisa
por isso queria saber o caminho, pra verificar se o ufed trouxe a pasta, e conferir o conteúdo dessa pasta
ah, em tempo, desativamos o face id DEPOIS de já ter feito a extração
https://www.magnetforensics.com/blog/checking-in-on-ios-16-in-magnet-axiom-6-8/
"Finally, since iOS 16 changed deleting messages a little, AXIOM has that covered too. As a reminder, when a message is deleted now as of iOS 16 or higher, the message really isn’t deleted. Similar to Photos, it just gets tagged as “Recently Deleted” and stays available within the database for 30 days. AXIOM now pulls out this information and displays it with an additional fragment called “Recently Deleted Date/Time.”
"Finally, since iOS 16 changed deleting messages a little, AXIOM has that covered too. As a reminder, when a message is deleted now as of iOS 16 or higher, the message really isn’t deleted. Similar to Photos, it just gets tagged as “Recently Deleted” and stays available within the database for 30 days. AXIOM now pulls out this information and displays it with an additional fragment called “Recently Deleted Date/Time.”
Origem 696 — 11/12/2023 17:09 a 17:30 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, boa tarde. Sobre exportar o conteúdo da extração XRY para o Physical Analyzer abrir, alguns colegas aqui já me ajudaram e hoje consigo fazer sem muitos problemas.
Mas percebo que alguns modelos eu consigo exportar o arquivo BIN e o PA consegue processar sem problemas, mas em outros casos o conteúdo do BIN ainda está criptografado e o PA não interpreta...
Nesses casos acabo fazendo a exportação de "todos os arquivos" apenas da partição USER DATA, já decodificados.
É assim mesmo aí com vocês? Tem algum macete que conseguem fazer o PA processar todos os arquivos BIN exportados?
Mas percebo que alguns modelos eu consigo exportar o arquivo BIN e o PA consegue processar sem problemas, mas em outros casos o conteúdo do BIN ainda está criptografado e o PA não interpreta...
Nesses casos acabo fazendo a exportação de "todos os arquivos" apenas da partição USER DATA, já decodificados.
É assim mesmo aí com vocês? Tem algum macete que conseguem fazer o PA processar todos os arquivos BIN exportados?
Eu faço dessa forma também
Fiz isso num celular de uma das operações do GAECO, o promotor solicitou que eu colocasse a extração para o PA
Quando faço a extração física pelo EDL que vem mais de um arquivo bin, se não carregar todos de uma vez só no PA não abre direito.
Tem que catar o modelo manualmente também
E será q faz diferença no PA se escolher de fato o modelo do aparelho ou usar aqueles perfis genéricos, como "Google Android Generic"
Se escolher certo, acho que não faz diferença. Mas se tiver o modelo aí não tem erro
Quando tem duas opções para selecionar na física, lembro que a advanced não fazia os parsings direito. Usava a outra
Origem 697 — 13/12/2023 20:16 a 20:16 — Extração e análise de mensagens do WhatsApp
Pessoal, disponibilizei uns scripts (*super simples - nada muito elaborado*) no github sobre apks, origem (se veio ou não do Google Play) e quais apps estão como "hidden"
por sorte, estou com um celular que tá com o whatsapp escondido
a extração física veio tudo e só notei por causa do script, mas se nao tivesse extração física, teria mais dificuldade de notar que havia um whatsapp
por sorte, estou com um celular que tá com o whatsapp escondido
a extração física veio tudo e só notei por causa do script, mas se nao tivesse extração física, teria mais dificuldade de notar que havia um whatsapp
são bem básicos e agradeço sugestões
https://github.com/leosol/androbash
Origem 698 — 14/12/2023 20:25 a 20:25 — Conexão USB, ADB e diagnóstico de porta em Android
IMG-20231214-WA0015.jpg (arquivo anexado)
Colegas, caso de [NOME] espião ou similares ficam mais fáceis com os scripts.
Neste caso, via adb já deu para identificar e aí sim a gente segue com a extração física com mais confiança, só para achar os dados da conta cadastrada.
https://github.com/leosol/androbash
Colegas, caso de [NOME] espião ou similares ficam mais fáceis com os scripts.
Neste caso, via adb já deu para identificar e aí sim a gente segue com a extração física com mais confiança, só para achar os dados da conta cadastrada.
https://github.com/leosol/androbash
Origem 699 — 18/12/2023 10:47 a 11:12 — Extração e compatibilidade em Samsung SMARTFLOW
Bom dia Srs.
Alguém já conseguiu realizar a extração do *Motorola XT2053-2*?
_Não encontrei o modelo exato aqui no UFED._
Caso alguém já tenha feito essa extração, qual modelo aproximado e tipo de extração executada, por favor?
Grato.
Alguém já conseguiu realizar a extração do *Motorola XT2053-2*?
_Não encontrei o modelo exato aqui no UFED._
Caso alguém já tenha feito essa extração, qual modelo aproximado e tipo de extração executada, por favor?
Grato.
pois então, estou tentando por ele mesmo, mas ainda não obtive êxito.
Falha na 1ª tentativa.
Estou tentando pela 2ª vez
Falha na 1ª tentativa.
Estou tentando pela 2ª vez
está desbloqueado, correto?
Faz pelo Smartflow
Será uma file system
blza...vou persistir. rsrs
Alguém já conseguiu FFS no Xry?
no xry faz tbm. só que precisa abrir pra fazer o curto
Origem 700 — 18/12/2023 13:02 a 14:03 — Extração e limitações em Motorola iPhone 8 Plus
Boa tarde, Senhores.
Alguma das versões mais atuais do UFED é capaz de extrair dados de um IPhone 8 Plus (A1864) com bloqueio por senha ou Touch ID? Em caso positivo, a partir de qual versão?
Alguma das versões mais atuais do UFED é capaz de extrair dados de um IPhone 8 Plus (A1864) com bloqueio por senha ou Touch ID? Em caso positivo, a partir de qual versão?
BOa tarde. O 4PC não faz extração de iPhone bloqueado
Só o UFED Premium
fiz a extrção com um modelo similar
[MENCAO] [MENCAO] .'. Obrigado
Por nada meu amigo, no que precisar estamos as ordens
usou qual deles? o XT2052? <Mensagem editada>
Origem 701 — 19/12/2023 11:16 a 12:21 — Extração e decodificação de bancos do WhatsApp
Pessoal, bom dia! Esse valor "timestamp" q o WhatsApp armazena na tabela "call_log" refere-se à data/hora configurada no aparelho no momento da chamada. É isso?
Acredito nisso também Farias
a última vez que olhei o timestamp da tabela messages era um unix epoch * 1000
testa strftime('%Y/%m/%d %H:%M', datetime(*timestamp*/1000, 'unixepoch')) em uma query
veja se faz algum sentido
Acredito que por só ter esse campo, e por não ter nenhuma outra denominação da coluna, provavelmente é datação local
Acho q pode ser o timestamp fornecido pelo servidor do whatsapp
As mensagens creio q sejam o servidor q fornece, mas seria bom testar pra saber
O formato é epoch mesmo
É. Converti e bateu com a extração. A questão é se essa informação q tá no banco é fidedigna.
Eu acredito que seja o servidor do ZAP q fornece o timestamp, mas o ideal é realizar alguns testes, idealmente com um modelo igual de aparelho
na table message tem campos de timestamp q é o servidor q fornece, o received
para saber exatamente de onde veio, acho que a forma mais simples seria fazer uma chamada em um cell de testes, downgrade
ajusta a data para sei lá... algumas horas ou dias (para nao ter problema com tls com o servidor voip)
faz outra chamada
extrai via downgrade
ajusta a data para sei lá... algumas horas ou dias (para nao ter problema com tls com o servidor voip)
faz outra chamada
extrai via downgrade
da um trabalhinho, mas simulando vc mata se ele pega do sistema ou do servidor
creio que é data local msm
do ponto de vista do desenvolvedor (programador)
inviável acessar a rede para buscar a data e registrar
creio que é data local msm
do ponto de vista do desenvolvedor (programador)
inviável acessar a rede para buscar a data e registrar
os programadores estão mais preocupados com a funcionalidade em geral (qualidade da chamada voip, tempo de conexão)
Exatamente, testando descobre. Mas acho q as mensagens há um certo controle do servidor, ao menos no campo de timestamp received message, por exemplo
Origem 702 — 20/12/2023 14:02 a 14:02 — Extração e análise de dados em iPhone/iOS
Boa tarde,
Iphone 5s (A1457) no boot loop (aparece a maçã da apple e desliga). Alguma solução que preserve os dados do usuário?
Obs. 1: Já tentei forçar reinicialização (Tecla Home + Power) e plugar o cabo de dados com a tecla Home pressionada.
Obs. 2: UFED reconhece o aparelho (mesmo com a tela preta) mas, após iniciar a extração algumas falhas ocorrem e não consegue extrair nada de fato.
Obs. 3: Ao plugar em um MacOS o Finder reconhece o dispositivo, informando que está com uma falha e que pode solucionar com a atualização, porém, não informa se os dados do usuário serão preservados. <Mensagem editada>
Iphone 5s (A1457) no boot loop (aparece a maçã da apple e desliga). Alguma solução que preserve os dados do usuário?
Obs. 1: Já tentei forçar reinicialização (Tecla Home + Power) e plugar o cabo de dados com a tecla Home pressionada.
Obs. 2: UFED reconhece o aparelho (mesmo com a tela preta) mas, após iniciar a extração algumas falhas ocorrem e não consegue extrair nada de fato.
Obs. 3: Ao plugar em um MacOS o Finder reconhece o dispositivo, informando que está com uma falha e que pode solucionar com a atualização, porém, não informa se os dados do usuário serão preservados. <Mensagem editada>
Origem 703 — 22/12/2023 09:11 a 10:09 — Extração e análise de mensagens do WhatsApp
https://github.com/abrignoni/ALEAPP
envia para esse programa o .zip gerado pelo Cellebrite
que ele te gera uns relatórios bem interessantes
Bom dia. Muito obrigado [MENCAO]
caso nao tenha a extracao física
abre ele no app ou de alguma forma deixa ele ativo
1. Identifica o pacote
adb shell "dumpsys window windows | grep -E 'mCurrentFocus|mFocusedApp'"
2. adb shell pm path package-name
3. puxa o apk
adb pull (resultado do pm path)
4. submete ele pro virus total (ver obs2)
abre ele no app ou de alguma forma deixa ele ativo
1. Identifica o pacote
adb shell "dumpsys window windows | grep -E 'mCurrentFocus|mFocusedApp'"
2. adb shell pm path package-name
3. puxa o apk
adb pull (resultado do pm path)
4. submete ele pro virus total (ver obs2)
Obs2: em geral, se é um malware genérico é de boa submeter para o virus total
se for algo específico para a pessoa que foi alvo, melhor analisar antes de submeter...
se for algo específico para a pessoa que foi alvo, melhor analisar antes de submeter...
acabei de executar o ALEAPP.
gerou um relatório HTML, mas com muitas saídas
estuo tentando entender essa página HTML gerada
se vc quer apenas saber se o APP é malware, jogaria no VT primeiro...
meio que uma regrinha usada em análise de malware é
score > 10 => grandes chances de ser malware
score entre 5 e 9 => possibilidade de ser malware
score entre 1 e 4 => ou malware muito novo (zero day) ou falso positivo
meio que uma regrinha usada em análise de malware é
score > 10 => grandes chances de ser malware
score entre 5 e 9 => possibilidade de ser malware
score entre 1 e 4 => ou malware muito novo (zero day) ou falso positivo
é que ontem vi esse App aqui (App Zenly)
parece legal ele
nao conhecia!
nao conhecia!
e tb alguns prints com o App Yansa
tb não conheço, mas é bem interessante
o .ZIP excede o tamanho do VT.
obrigado pela força [MENCAO]
O zip da extracao?
tem dados pessoais la!
e nem que tentasse não daria por conta do tamanho
o vt nao vai sar tb...
vc tem de submeter o APK
adb shell pm path com.whatsapp
vou tentar ver o App Zenly pra ver o que dá
adb pull ...
se tem o zip
se vc tem o ZIP, creio que os APKs devem estar em algo parecido com isso:
/data/app/~~1Hl4WoaFhOmA_S8MKUNqmQ==/com.whatsapp-Uc7W0pLNqxpnXIbb5vjZ8A==/base.apk
(este eu tirei aqui pro whatsapp)
extrai a pasta /data/app do ZIP
procura por algum arquivo que tenha parte do nome do app procurado
em geral, malware tem o package muito diferente do nome
por isso uso o comando dumpsys (mandei antes)
/data/app/~~1Hl4WoaFhOmA_S8MKUNqmQ==/com.whatsapp-Uc7W0pLNqxpnXIbb5vjZ8A==/base.apk
(este eu tirei aqui pro whatsapp)
extrai a pasta /data/app do ZIP
procura por algum arquivo que tenha parte do nome do app procurado
em geral, malware tem o package muito diferente do nome
por isso uso o comando dumpsys (mandei antes)
muito bom! Valeu demais.
Origem 704 — 28/12/2023 17:14 a 17:45 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde, pessoal. Alguém sabe se tem alguma maneira de fazer extração física de um Samsung G110B via bootloader?
Quais as ferramentas forenses vcs tem ?
XRY e Cellebrite. Nenhuma é pro
Seu UFED é atualizado?
Acho que tem a física pra esse celular
Achei o g110h nele, mas não tinha a física
Tem que ser a física?
Acho que poderia tentar um smartflow
Veja qual é o chipset dele
Tenta fazer via chipset
Origem 705 — 29/12/2023 16:35 a 16:42 — Bootloader, desbloqueio OEM e risco de wipe
Outra possibilidade que também funcionou por aqui, nesses tipos de bricks, é dar andamento com o telefone brickado no próprio procedimento de extração, nesse caso aí, com o uso do plugin decrypt bootloader, por vezes ele conseguiu, no meio do procedimento, retornar o firmware pro estado funcional.
No decrypted bootloader fica pedindo fica igual a ferramenta do recovery - pedindo pra tirar e pôr o cabo
Já nem tô escrevendo direito mais, já deu por hoje 😂 🍺🍺 , agradeço a todos e bom ano novo!
Origem 706 — 03/01/2024 13:27 a 13:45 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia Srs.
Alguém já obteve êxito na extração do SM-J410G utilizando o contorno de bloqueio via bootloader, por favor?
Alguém já obteve êxito na extração do SM-J410G utilizando o contorno de bloqueio via bootloader, por favor?
Olá. Sim
Difícil dar problema nesse celular.
Difícil dar problema nesse celular.
Que versão do ufed está usando?
E qual erro esta sendo apresentado?
Telefone não suportado.
parece que tiveram êxito numa versão anterior. Foi a dica dada no grupo...vou tentar com ela.
versão 7.65 do UFED, me parece.
Saiu uma versão nova no final de dezembro. Pelo o que testei arrumaram essa qye estava dando problema.
Essa seria a que esta ok. A 7.66 estava com erro e a 7.68 parece que arrumaram
*estou usando a 7.66.1.158*
Origem 707 — 05/01/2024 15:08 a 16:08 — Usamos um cluster com 8 Quadro RTX 5000
Usamos um cluster com 8 Quadro RTX 5000
STK-20240105-WA0008.webp (arquivo anexado)
carai! que massa!!
Estou passeando em Curitiba, só para ficar com inveja de perto hehehe
Usei recentemente o transkriptor. Paguei 1 mês para testar.
Gostei. Foi online, não lembro se tem versão para download.
vcs chegaram a realizar algum tipo de teste estilo _transfer learning_ ou _fine tuning_ no whisper ou em algum modelo?
Origem 708 — 08/01/2024 12:11 a 15:27 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Bom dia
Estou com um Macbook Air A2337 com senha
Dúvidas: esses macbooks mais novos já vem com a unidade de armazenamento embutida na placa? Nem adianta abrir?
E os dados são criptografados por default? É possível/viável fazer extração via [NOME] (ou outro software)?
Estou com um Macbook Air A2337 com senha
Dúvidas: esses macbooks mais novos já vem com a unidade de armazenamento embutida na placa? Nem adianta abrir?
E os dados são criptografados por default? É possível/viável fazer extração via [NOME] (ou outro software)?
Peguei esse macbook na esperança q a extração pudesse me fornecer alguma dica de senha pro iPhone 14 Pro Max q veio em BFU e é do mesmo alvo
Pelo que sei, MacbooksAir`s têm o SSD na PCB. Não adianta abrir se for usar ferramentas convencionais.
Dados são cifrados (FileVault2). Extração acho possível, mas não consegue decriptar por causa do T2 ( enclave de segurança).
Dados são cifrados (FileVault2). Extração acho possível, mas não consegue decriptar por causa do T2 ( enclave de segurança).
Creio que você vai precisar da ferramenta cellebrite blackbag ou semelhante para fazer a cópia forense das unidades que são integradas na placa mãe. Quando tentei, fiz vários testes com [NOME] usando o kernel mais recente do Ubuntu, todos sem sucesso <Mensagem editada>
Vi aqui, uma coisa importante é verificar se o Filevault está ativado, pq estava pesquisando, acho que para esse modelo ele não está ativado por padrão.
Os que eu peguei não estavam, o problema realmente consiste em como fazer a cópia forense
Tem uns modelos que realmente não vinham ativados por padrão. acho que tem que verificar em cada caso se está ativado.
Essas ferramentas são pagas?
Às vezes é possível pela ferramenta de recovery do Mac, que vem pré-instalada. Pra entrar no modo tem uma combinação, geralmente Command+Option
Tenho feito um cpio básico
Via recovery mode
Depois de montar
Quem possui ferramentas? Vale a pena?
Via recovery mode
Depois de montar
Quem possui ferramentas? Vale a pena?
Na ferramenta tem Terminal (sudo/dd, cp -R ?) e tem uma ferramenta gráfica também, Disk Utility
Passei um dia inteiro tentando a cópia via recovery mode, o procedimento até inicia e parece prosseguir, mas termina com um erro inesperado
Hibernou durante a copia?
Costuma dar erro sê hibernou
Costuma dar erro sê hibernou
Não hibernou. Ressalto que os testes aconteceram no mês 08/2023, pode ser que tenham desenvolvido alguma técnica mais eficiente
Puxa, que coisa
Vou fazer um teste em breve e te falo se deu certo!
Vou fazer um teste em breve e te falo se deu certo!
Acho que talvez se entrar no recoverymode e dar um comando apropriado. Acho que é esse comando:
fdesetup status
fdesetup status
Entrar no terminal
https://support.apple.com/pt-br/guide/mac-help/mchlp2560/mac
Tentei entrar aqui no modo recovery mas não vai sem senha do usuário
No meu caso a senha [SEGREDO].... Mas falhamos na cópia forense
*MUNDO 📱 iPhone sobrevive a queda de 4.800 metros após avião voar de "porta aberta"*
https://canaltech.com.br/smartphone/iphone-sobrevive-a-queda-de-4800-metros-apos-aviao-voar-de-porta-aberta-275143/
https://canaltech.com.br/smartphone/iphone-sobrevive-a-queda-de-4800-metros-apos-aviao-voar-de-porta-aberta-275143/
Origem 709 — 11/01/2024 16:50 a 21:59 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Tenho um samsung A205g que fiz extração física e vejo que havia whatsapp instalado, tanto que há 6 arquivos msgstore crypt12, além dos arquivos de mídia, mas não veio o db descriptografado. Há algo que pode ser feito?
Há desconfiança que tenham tentado downgrade antes e deu ruim...
Talvez o carving do leosol consiga localizar alguma chave
Vou dar uma olhada. Valeu
Ah. Vi aqui que serve só para binário. A extração física que fiz foi no XRY, que fica no formato proprietário XRY
Alguma chance ainda?
Exporta o binário pelo XAN do xry e acredito que o carving da key vai funcionar
Fiz isso e executei o comando com o executavel, mas não parece estar acontecendo nada...
Demora um pouco. Ele percorre todo o binário em busca do hexa correspondente ao flag de início da key do whatsapp, uma vez encontrado, ele traz a sequência de bits do tamanho da(s) chave(s) encontradas .... Se o binário estiver correto e tiver alguma chave ele vai encontrar. Última vez que usei ele trouxe 4 chaves das quais consegui abrir 3 backups de diferentes instâncias do whatsapp. Também já aconteceu de ele não achar nada .
<Mídia oculta>
É uma imagem bin de 29 gb. O que estou achando estranho é que não parece ter nada rodando.
É uma imagem bin de 29 gb. O que estou achando estranho é que não parece ter nada rodando.
O binario vai estar criptografado. Além disso, esse é um aparelho já com FBE (File Based Encryption), então arquivos apagados são "quase" irrecuperáveis já que a chave de criptografia do arquivo é apagada.
o xry até consegue mostra alguns arquivos "deletados" que foram recuperados. Mas 99% é lixo
Se o objetivo é so o wpp... Faz o backup das pastas, instala uma versão do wpp próxima a data da apreensão... Depois usa o [NOME] forensic pra extrair
Outra opção é tentar indexar esse bin no iped
acho que precisa ter uma dll tb na mesma pasta
https://github.com/leosol/whatsapp-key-carver/tree/main/build
veja se está com o exe e com a dll
(usei POSIX 😅 ... zero de NTDLL...)
como disseram... FBE nao funciona... foda carving...
Isso, abre o binário em um editor hexa, se estiver criptografado.... Não vai funcionar
Vou tentar fazer o que vocês fizeram amanhã. Valeu
se tudo der errado, tem o backup das pastas..so voltar
não vejo sentido em arriscar instalar o aplicativo
só vejo uma única solução aí...
pegar os crypt12, colocar eles em um emulador ou um celular de testes e
colocar o chip SIM em um aparelho de testes (tem de ser o mesmo SIM da conta de telefone usada no WhatsApp)
e torcer para o cabra não ter configurado o pin de confirmação...
fora isso, desconheço outra saida
só vejo uma única solução aí...
pegar os crypt12, colocar eles em um emulador ou um celular de testes e
colocar o chip SIM em um aparelho de testes (tem de ser o mesmo SIM da conta de telefone usada no WhatsApp)
e torcer para o cabra não ter configurado o pin de confirmação...
fora isso, desconheço outra saida
por ser um crypt12, se tiver SIM... nem deve funcionar...
ou seja, tá dureza...
ou seja, tá dureza...
nao vejo como fazer de outra forma... como o Avila Forensic poderia resolver este problema de recuperacao de arquivos em sys FBE pela instalação do aplicativo?
quem conhece o Avila Forensic melhor, comenta aí...
Rapaz, então esse meu caso é bem mais complicado do que eu pensava 🥲
Amanhã vou tentar o que vocês me disseram, menos a instalação do app por enquanto. Espero conseguir uma solução
Aqui não temos celular para testes. Se eu rodar em emulador, vou ter que usar o SIM de alguma forma? A última vez que mexi com emulador de android foi no tcc há uns bons anos...
E obrigadão pelo help até o momento 🙏🏻
Origem 710 — 11/01/2024 23:22 a 23:22 — Esse celular tá com o sim card, já fiz extração
Esse celular tá com o sim card, já fiz extração, mas não sei se está ativo, pois o caso é antigo. Mas não entendi direito: teria que colocar o aparelho na rede?
Origem 711 — 12/01/2024 14:05 a 15:23 — Extração e decodificação de bancos do WhatsApp
Bom dia meus nobres colegas!
Algum dos Srs. pode explicar ou encaminhar material, que mostre as diferenças entra a extração física e a sistema de arquivos completa, o que cada uma faz e os tipos de dados que uma traz e a outra não.
Desde já agradeço.
Algum dos Srs. pode explicar ou encaminhar material, que mostre as diferenças entra a extração física e a sistema de arquivos completa, o que cada uma faz e os tipos de dados que uma traz e a outra não.
Desde já agradeço.
IMG-20240112-WA0024.jpg (arquivo anexado)
eu coloco essa imagem nos meus laudos de smartphone
eu coloco essa imagem nos meus laudos de smartphone
Isso serve pra sistema de arquivos completo? Não traz dados apagados neste método?
dados apagados só com extraçaõ física
vai ter que fazer carving pra recuperar os apagados
smartphones da Apple...esquece extração física
Depois de um tempo foi. Aceitou o comando de envio, no modo avião.
Encontrei o OPUS na pasta Voice Notes.
Encontrei o OPUS na pasta Voice Notes.
"Arquivos" são os arquivos de sistema, né?
Isso, que vem com a extração full file system/física. Roubei essa imagem de algum laudo do [MENCAO]
Há um detalhe que, na minha opinião, deve ser observado e que essa tabela não apresenta. Mensagens apagadas de whatsapp, em geral, são mensagens que ainda ocupam espaço no banco de dados do WhatsApp, mas já não estão apontadas pela aplicação e ainda não foram sobrescritas. Nesse caso elas são recuperadas na extração do SISTEMA DE ARQUIVOS.
Explicando de forma simples, a extração lógica pega tudo que a aplicação exibe. Ja no sistema de arquivos é tudo que foi endereçado, logo o banco de dadoa se inclui e é possivel recuperar dentro do banco.
O conteúdo presente na lixeira é outro exemplo, pelo fato da lixeira ser endereçada, a extração do sistema de arquivos recupera os dados da lixeira.
Espero ter ajudado.
Explicando de forma simples, a extração lógica pega tudo que a aplicação exibe. Ja no sistema de arquivos é tudo que foi endereçado, logo o banco de dadoa se inclui e é possivel recuperar dentro do banco.
O conteúdo presente na lixeira é outro exemplo, pelo fato da lixeira ser endereçada, a extração do sistema de arquivos recupera os dados da lixeira.
Espero ter ajudado.
Percebi essa questão com o extrator de whatsapp mais recente do [NOME], que fiz do meu celular. Um monte de mensagens apagadas foram recuperadas. Percebi que as conversas apagadas não foram recuperadas, aparecem vazias. Ao menos foi o que concluí verificando no iped.
Essa questão que falo é do db do Whats manter as mensagens que foram apagadas
Realmente essa aplicação recente do [NOME] de extração do whatsapp está melhor que o PA nesse quesito, uma mão na roda para celulares desbloqueados que a gente não consegue Full ou FFS
https://www.dropbox.com/scl/fi/y4ky58rtl3goo2drsndnx/[NOME]-Universal-Whatsapp-Extraction.exe?rlkey=pf9550qz9cp6loil7pqrz8m5k&dl=1
Origem 712 — 15/01/2024 16:40 a 18:59 — Análise de Registro Windows e arquivo NTUSER.DAT
vdd. mas há algum tipo de extração de informação via cabo p saber de algum sw?
Quando eu fiz exames nessas maquinas eu constatei com fotos, os comprovantes impressos e descrevendo o funcionamento do sw
Aqui também é só constatação
Isso mesmo. Isso já seria o bastante.
Alguns casos essas maquinas possuem Android. Ai poderia ver o app.
Mas nessa sua, impressão é o caminho.
Alguns casos essas maquinas possuem Android. Ai poderia ver o app.
Mas nessa sua, impressão é o caminho.
Também e incluí os dados do chip
Pessoal, alguém sabe sobre algum registro de preços para aquisição estação de trabalho?
Os dados do chip eu inclui, mas não veio nada de importância
Origem 713 — 17/01/2024 11:37 a 12:18 — Extração e análise de variantes do WhatsApp
Bom dia senhores, estou com um smartphone SM-A013M, Galaxy A01 Core, OS 10 , desbloqueado, consegui 2 extrações no UFED: Lógica avançada e sistemas de arquivos, nenhuma retornou as conversas do GB-WhatsApp. Não consegui realizar a física no perfil específico do aparelho e no perfil genérico MTK ! Alguma dica
XRY também não deu liga!
tentou via test point no xry?
e smartflow no ufed?
não extraiu na smartflow ou extraiu e não decodificou o GBWhatsApp no PA?
Não temos material para realizar via test point!
<Mídia oculta>
MSAB - MTK Boot ROM Exploit Test Point Guide 10.7.1.pdf
MSAB - MTK Boot ROM Exploit Test Point Guide 10.7.1.pdf
Fechar o curto com uma pinça e conectar. Mas se extraiu via smartflow o resultado tende ser o mesmo. Precisa ver se não é problema de decodificação.
...teria que levar ele em algum lugar pra abrir o aparelho sem quebrar nada! Estamos com o processo aberto para ferramentas que permitam desmontar estes aparelhos!
No smartflow ele não decodificou o GB
Que estranho. Ele fez a extração correta?
Veja se a app select vem.
Puq se foi a full fs completa, deveria ter vindo o BD tbm
Na extração tem o BD do GB?
Puq se extraiu e não decodificou, aí teria que ver o PA.
Essa extração deve estar zuada.
veio os arquivos de mídia na pasta GBWhatsApp
e um zip do app com.gbwhatsapp.zip
em outro diretório
Eu tentaria aquela app select na smart flow
E ver se ele reconhece o GB lá e faria a extração.
As vezes ocorre em alguns casos a extração full não ser full.
Ai acabamos fazendo essas outras para complementar
no perfil do dispositivo ele permite a captura de tela das conversas, o GB é identificado apenas como "Generic"
Esse aparelho não tem cola. Remove-se a gaveta e com uma espátula se destaca a tampa traseira. As tampinhas internas são parafusadas. É bom assistir algum vídeo de desmontagem no youtube pra se familiarizar.
Vou verificar aqui
qual a versao do 4PC?
Esta vencida a de vcs? <Mensagem editada>
que não conseguimos comprar nada
Ah, beleza. Deve ser por isso então que não esta extraindo corretamente.
o touch 1 ainda...
Origem 714 — 23/01/2024 11:16 a 11:17 — Extração e compatibilidade em Samsung SMARTFLOW
O Smartflow não deu boa?
Normalmente é utilizado esse método.
Vc está com o UFED atualizado? <Mensagem editada>
Então smartflow deve dar boa
Origem 715 — 30/01/2024 09:43 a 10:40 — Root e extração em dispositivo Positivo
Bom dia.
Estou usando o DVRExtractor 0.2.5 (nem sei se é a versão mais recente) pra processar uma imagem
Já vi aqui pelo output que os vídeos foram descobertos, porém, o processo travou na geração do hash, algo que nem preciso.
Já posso fechar o prompt né? Acho que tem algum bug aí, pois estou aguardando desde ontem e não sai de 0,00%
Deixei um tempo a mais pois a imagem era de 1,7 Tb e pensei q talvez estivesse rodando mas não incrementando o percentual, mas pelo visto não
Estou usando o DVRExtractor 0.2.5 (nem sei se é a versão mais recente) pra processar uma imagem
Já vi aqui pelo output que os vídeos foram descobertos, porém, o processo travou na geração do hash, algo que nem preciso.
Já posso fechar o prompt né? Acho que tem algum bug aí, pois estou aguardando desde ontem e não sai de 0,00%
Deixei um tempo a mais pois a imagem era de 1,7 Tb e pensei q talvez estivesse rodando mas não incrementando o percentual, mas pelo visto não
Bom dia!
já tem mais nova
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=drive_link
já tem mais nova
https://drive.google.com/drive/folders/1iWaO5-5Pr-mou8Odc-1up6OdS_jevgVs?usp=drive_link
mas está com uma seleção ali no cmd, talvez seja por isso que parou.
Bom dia!
Tentei 2 vezes e informa que o dispositivo não é suportado pelo modelo selecionado.
Tentei 2 vezes e informa que o dispositivo não é suportado pelo modelo selecionado.
Qual versão do seu UFED?
Versão 7.68.0.809 UFED for PC.
Talvez com a versão 7.65 seja possível? <Mensagem editada>
Talvez com a versão 7.65 seja possível? <Mensagem editada>
Talvez.
Mas na 68 deveria funcionar tbm. Porém, acho que vale o teste, puq uso esse perfil a muito tempo para extrair o 611
Mas na 68 deveria funcionar tbm. Porém, acho que vale o teste, puq uso esse perfil a muito tempo para extrair o 611
Sim. Vou testar.
Obrigado!
Obrigado!
Origem 716 — 30/01/2024 15:56 a 16:12 — No Linux haveria algum arquivo que indique a data de criação de um
Boa tarde, no Linux haveria algum arquivo que indique a data de criação de um usuário do SO?
provável que com o comando "ls -la /home/" na pasta home vc descubra.
vai apontar a data de criação do homedir do usuário, o que em tese aponta para a data de criação deste.
Blz eu espelhei aí tô vendo pelo sistema de arquivos, vi que tem vários arquivosna pasta com mesma data e hora de criação, .profile .bash
tenta consulta também o /var/log com |grep usuario
Teria algum arquivo específico do sistema listando os usuários?
👍🏻 blz vou procurar, obrigado!
desculpe-me a intromissão, mas esse arquivo não existe. o arquivoq contém as informações de usuários no Linux é o /etc/passwd
a data de criação do home do usuário e desses arquivos ocultos é uma boa dica, mas podem ser comprometidos
Origem 717 — 31/01/2024 10:05 a 11:48 — Metadados EXIF/JPEG e individualização de câmera
Bom dia Srs.
Alguém já fez extração manual do histórico de navegação de um celular samsung? Indicaria algum App que o faça?
O dispositivo está com defeito na porta usb.
Alguém já fez extração manual do histórico de navegação de um celular samsung? Indicaria algum App que o faça?
O dispositivo está com defeito na porta usb.
Os aplicativos de navegação (Chrome, Samsung Browser, etc...), no Android, geralmente armazenam seus dados em diretório protegido, logo só root ou outro macete para ter acesso a essa base. Uma forma é fotografar/snapshot do histórico no próprio aplicativo e transmitir por BT.
Srs. alguém saberia como acessar o log do Xiaomi?
Celular Xiaomi *redefinido*, é possível acessar logs de forma a verificar possíveis datas relacionadas à wipe data?
Celular Xiaomi *redefinido*, é possível acessar logs de forma a verificar possíveis datas relacionadas à wipe data?
Bom dia, colegas.
Como vocês procedem quando há quesito pedindo a geolocalização do aparelho apreendido?
Estão querendo algo semelhante ao que consta no google maps. Querem o trajeto de um dia específico.
obs: só temos o UFED por aqui <Mensagem editada>
Como vocês procedem quando há quesito pedindo a geolocalização do aparelho apreendido?
Estão querendo algo semelhante ao que consta no google maps. Querem o trajeto de um dia específico.
obs: só temos o UFED por aqui <Mensagem editada>
tem que ver se existe aquela pasta "com.android.vending"
que normalmente é criado um banco de dados com o usuário que foi configurado (Conta Google)
ou então tentar achar o arquivo "localappstate.db" (acho que é esse o nome), que fica o histórico de instalação dos apps
que normalmente é criado um banco de dados com o usuário que foi configurado (Conta Google)
ou então tentar achar o arquivo "localappstate.db" (acho que é esse o nome), que fica o histórico de instalação dos apps
vou tentar verificar. Muito obrigado [MENCAO]
O PA tem informações de geolocalizações nas extrações FFS ou física. Processando essas extrações vc deve obter essas infos, caso existam no celular.
Além disso, é possível ainda pedir quebra da nuvem "Google" do usuário do eq (via conta google registrada) e obter essas possíveis infos por lá tbm.
Além disso, é possível ainda pedir quebra da nuvem "Google" do usuário do eq (via conta google registrada) e obter essas possíveis infos por lá tbm.
Tem a opção das ERBs tbm através dos IMEIs. Pode ser orientado isso na resposta.
Então, a extração trouxe a seção de localizações relacionadas, mas vi que ela se limita a torres de gps e imagens e vídeos quando há lat/long nos metadados.
Da forma como o delegado pede, ele só menciona o trajeto como é disposto no google maps
Da forma como o delegado pede, ele só menciona o trajeto como é disposto no google maps
Então eu indicaria as contas googles que podem estar associada ao celular, IMEI e informar que essas infos extras devem ser solicitadas nas operadores/google.
O caminho vai ser esse mesmo. Brigadão, [MENCAO] !
Origem 718 — 02/02/2024 08:48 a 11:41 — Extração e compatibilidade em Samsung SM-M225FV
Sucesso!
SM-M225FV BLOQUEADO (Android 13, SPL 01/08/2023) no perfil do SM-A325F no XRY.
SM-M225FV BLOQUEADO (Android 13, SPL 01/08/2023) no perfil do SM-A325F no XRY.
bom dia, Pessoal.
existe alguma forma de, via PA, encontrar:
as datas em que o celular foi ligado;
as datas em que houve tentativa de desbloqueio, com sucesso ou falha
?
existe alguma forma de, via PA, encontrar:
as datas em que o celular foi ligado;
as datas em que houve tentativa de desbloqueio, com sucesso ou falha
?
Normalmente vc acha essas informações no log de bateria. Teria que ter uma extração FFS ou física para que esse log esteja presente.
Mas tbm depende do fabricante do aparelho, como o colega já comentou. Samsung segue essa linha. Motorolas e xiaomis já podem seguir outra. Apple tbm.
Mas tbm depende do fabricante do aparelho, como o colega já comentou. Samsung segue essa linha. Motorolas e xiaomis já podem seguir outra. Apple tbm.
Nos android há um diretório com arquivos de nome batterystats
no qual vem muita informação nesse sentido
Colocando o dispositivo no modo recovery, em alguns casos, pode-se ver vários logs.
Talvez a ferramenta "AFE" possa tratar isso.
Vimos no arquivo batterystats-daily.xml que consta algumas datas de utilizacao da bateria. o que nos é estranho é que lá não aparece as datas em que efetivamente ligamos para realizar a extração
A data do aparelho está correta ou está errada?
Já vimos isso tbm, porém bateu com as datas que estavam no aparelho. Quando acaba a bateria em alguns casos data/hora fica parada e ao ligar pega essa data antiga. outros casos ele volta para uma data antiga específica
Já vimos isso tbm, porém bateu com as datas que estavam no aparelho. Quando acaba a bateria em alguns casos data/hora fica parada e ao ligar pega essa data antiga. outros casos ele volta para uma data antiga específica
Não bate o horário ou não bate o dia? O relógio tá correta?
Estamos respondendo quesitos da defesa de um celular que já foi pro TJ. Só temos a extração disponível.
esse celular foi apreendido em nov/2022 e só encontramos registros de bateria de dezembro/2022 pra frente.
O colega iniciou a perícia em 10/jan/2024 e nada tem após esse dia
esse celular foi apreendido em nov/2022 e só encontramos registros de bateria de dezembro/2022 pra frente.
O colega iniciou a perícia em 10/jan/2024 e nada tem após esse dia
O tempo é dado de forma relativa a última descarga da bateria
claramente a tentativa da defesa é ir na CC, essas datas pós-apreensão são complicadas
iOS tem um diferença nos relógios internos. Inclusive é bom entender bem o conceito do relógio monotônico.
vc tem medição tempo que considera o processador suspenso e outro que não considera isso, continua a contar o tempo mesmo com a cpu suspensa. Isso é exatamente para quando se muda o relógio e outras situações que vc precisa saber um intervalo de tempo independente de mudar hora etc..
tem que ver como é essa medição de tempo aí no batterystats-daily.xml
Então, trata-se de um samsung.
Considerando que tenha havido inconsistencia de data, acredito que, nesse sentido, não seja um problema pro colega. O que nos deixa com dúvida é que todas as datas do batterystats-daily são de pós-apreensão da delegacia. Elas não deveriam todas ter vindo em data anterior à da apreensão?
Outro detalhe é que outras informações, como data de conversas, metadados de imagens, estão compatíveis com a data da apreensão. Nenhuma ultrapassa essa data
Considerando que tenha havido inconsistencia de data, acredito que, nesse sentido, não seja um problema pro colega. O que nos deixa com dúvida é que todas as datas do batterystats-daily são de pós-apreensão da delegacia. Elas não deveriam todas ter vindo em data anterior à da apreensão?
Outro detalhe é que outras informações, como data de conversas, metadados de imagens, estão compatíveis com a data da apreensão. Nenhuma ultrapassa essa data
Estou vendo no código aqui onde e como ele pega a datação. pode mostrar um trecho do log?
do batterystats-daily ?
sim, só para eu comparar aqui se a versão do código que estou vendo é compatível.
IMG-20240202-WA0012.jpg (arquivo anexado)
Esse XML é um resumo dos logs battery stats
Há outro maior acho q o nome é puro batterystats
com exceção desse, outros são binários <Mensagem editada>
deixe eu ver aqui, quais tem
<Mídia oculta>
dentro de uma pasta batterystats
dentro de uma pasta batterystats
Esse tipo de informação, eu confio mais no Axiom para decodificação.
é um inferno pra interpretar, mas tem muita informação interessante
é, pesquisei pela substring e só veio esses
deixa eu ver se localizo o diretório no caso q fiz aqui
acho que não consta essa pasta
pode ser q varie de modelo e modelo, mas era um Samsung tb
/data/log/batterystats
é, não tem a pasta
Samsung A73 esse q fiz, deve variar mesmo infelizmente
last_history trouxe informacoes de reboot
wipes tambem
Origem 719 — 06/02/2024 18:56 a 19:07 — Extração e decodificação de bancos do WhatsApp
Boa noite.
Quando se tem o crypt12 na extração física, mas o whatsapp não está instalado no aparelho e nem veio a key na extração, qual poderia ser o motivo?
Quando se tem o crypt12 na extração física, mas o whatsapp não está instalado no aparelho e nem veio a key na extração, qual poderia ser o motivo?
boa noite. Quando o wpp é desinstalado a pasta ainda fica la com os bancos criptografados..se nao me engano as midias tambem
Origem 720 — 08/02/2024 15:35 a 16:03 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa tarde Srs.
Já obtiveram êxito na extração do dispositivo Galaxy J8 (*J810M/DS*), *Android versão 10*. *Bloqueado por PADRÃO*?
***as opções habituais e disponíveis, até onde consegui constatar só abrangem até o android 9.
usando o Cellebrite UFED Toutch 2 na versão 7.68 <Mensagem editada>
Já obtiveram êxito na extração do dispositivo Galaxy J8 (*J810M/DS*), *Android versão 10*. *Bloqueado por PADRÃO*?
***as opções habituais e disponíveis, até onde consegui constatar só abrangem até o android 9.
usando o Cellebrite UFED Toutch 2 na versão 7.68 <Mensagem editada>
fazendo o downgrade para o android 9, consegue-se fazer a extração física.
A exigência é que o binário da versão 9 tem que ser igual ou menor que o binário da versão que voce tem.
A exigência é que o binário da versão 9 tem que ser igual ou menor que o binário da versão que voce tem.
ainda não tentei fazer por receio de perder os dados em caso de algum erro de procedimento.
Origem 721 — 16/02/2024 09:34 a 09:37 — Extração e compatibilidade em Samsung SMARTFLOW
Bom dia! Moto e7 Plus (XT2081-1) desbloqueado. Alguma dica para a física ou sistema de arquivos? Obg
SmartFlow deve resolver. No caso é FFS, por ser FBE esse modelo
Aqui também fiz só FFS no smartflow
Jóia! Vou tentar. Obg 👍🏻
Um bloqueado e pego a senha alfanumérica no dicionário default do Premium - “dinheiro”. 😂
Origem 722 — 16/02/2024 10:26 a 10:53 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Prezados colegas, bom dia.
Alguém com sucesso no desbloqueio de tela de um dispositivo Samsung A03 CORE? (lembrando que esse é UNISOC).
Alguém com sucesso no desbloqueio de tela de um dispositivo Samsung A03 CORE? (lembrando que esse é UNISOC).
Olá bom dia [MENCAO] ! aqui temos a versão básica do XRY...Esse modelo vimos que é possível um(a) desbloqueio/extração física mas somente na versão PRO do XRY :(
Não desbloqueou no Premium, mas numa versão de fevereiro do ano passado.
No Premium não temos conseguido esse aparelho. Pelo que vi xry pro e possivelmente o oxygen possuem métodos de dump e bruteforce via test point
Obrigado senhores pelas informações
Origem 723 — 21/02/2024 17:13 a 17:40 — Triagem visual de imagens e vídeos no IPED
Não. Na verdade queremos automatizar todo o processo de criação da imagem e indexação via IPed. A ideia basicamente é assim que a imagem for concluída, inicia-se o IPED com os parâmetros necessários para execução. O usuário basicamente irá informar o diretório no qual a imagem será criada e onde será processada. Obviamente, necessários outros parâmetros para ambos os programas. Atualmente, o processo da criação da imagem é iniciado pelo perito. Assim que ela termina, o programa automaticamente inicia o IPED. Para criar a imagem "manualmente" , usamos o access ftk. Alguém com algo parecido? Desde já, agradeço a ajuda
[MENCAO] [MENCAO]
Acredito que a PF de Curitiba tem algo assim. Automatizador para criação de imagens e processamento no IPED.
Se não me engano, eles usam o guymager do Linux para criar as imagens dos discos e em seguida tem algum processo que inicia a indexação do IPED no storage destino.
Esse guymager é bem bacana. Tem várias opções bem semelhantes ao Tableau.
Se não me engano, eles usam o guymager do Linux para criar as imagens dos discos e em seguida tem algum processo que inicia a indexação do IPED no storage destino.
Esse guymager é bem bacana. Tem várias opções bem semelhantes ao Tableau.
Sim. Uso o guymager em determinados casos com boot pelo Linux
Boa tarde. Diria que vale a pena por conta da extração física de chipset mediatek, onde o XRY brilha.
Tentando otimizar mais o processo
Aqui na Científica do Paraná estamos implementado um automatizador para HDs. Vai rodar IPED e outras ferramentas internas.
Sim. Ajuda demais. Conseguimos automatizar o processamento de celulares. Ficou super bom.
Agilizou muito as atividades.
Daria para fazer tudo com ele. Pode configurar uma maquina com o guymager e bloquear a inicialização automatica dos discos externo. Aí pode ir conectando e criando as imagens. Ou usar um bloqueado de escrita se tiver sobrando.
Estamos com algo parecido. Ajuda demais. Não depende do fator humano para iniciar o processo. Deixo geralmente rodando no fds. Quando retorno, a extração e processamento concluídos. Ajuda muito
Na verdade, criamos uma fila
Origem 724 — 26/02/2024 13:54 a 13:54 — Extração e compatibilidade em Samsung SMART
Olá, Bom dia!
Estou com um Redmi 12C - 22120RN86I
Não estou com seguindo fazer a extração no Smart Flow com o 4PC. Aparelho desbloqueado.
Alguma dica?
Estou com um Redmi 12C - 22120RN86I
Não estou com seguindo fazer a extração no Smart Flow com o 4PC. Aparelho desbloqueado.
Alguma dica?
Origem 725 — 28/02/2024 08:56 a 10:17 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia [MENCAO], você lembra se essa sugestão do [MENCAO] funcionou?
Estou com um SM-G610M que também não consigo concluir a extração. Nem no UFED nem no XRY.
Sem bloqueio por senha
O 610 é diferente.
Essa dica é para o 611
Qual versão do Android desse seu 610?
É que logo em seguida o colega postou uma ROM do G610m, então tentei.
Uhnn. Qual erro esta sendo apresentado? E qual versão do ufed esta usando?
Na 8.1 não deveria ter problema
Normalmente ocorre problema na 9 ou 10.
Esta usando bootloader ou smartflow?
Bom dia!
Vou verificar e já aviso.
Vou verificar e já aviso.
O modelo na etiqueta é o *611mt.ds*. contudo, pesquisando o número mostrado no *"Recovery"* foi encontrado o modelo *g610m*. Também não entendi.
Ótimo observação.
Ótimo observação.
Bootloader. O dispositivo reinicia, saindo do modo download, durante o início do processo de extração. Testei com o perfil G160m, com o J730fm e com o genérico Exynos 7870. <Mensagem editada>
Entendi. E qual versão do seu ufed?
Veja via smartflow. Fizemos um nessa semana com Android 8.1 e deu boa a fisica
No Smartflow diz que o dispositivo não é suportado
UFED 7.58.0.172
Uhnn. Consegue atualizar?
Não, licença expirada.
Putz. Que drog.
Talvez os outros perfis do G610 ajude.
Talvez os outros perfis do G610 ajude.
Tem 1 ou 2 extra além do M
Pela interface do Android consigo obter a data de ativação ou do último wipe? Ou acessar os arquivos /data/log/batterystats ou last_history? <Mensagem editada>
Durante esse processo do exploit, ele passa tranquilo dos todos os 5 steps?
O aparelho reinicia e desconecta no primeiro passo.
No recovery pode ter essas infos do last_history.
Logs da bateria apenas com a fisica.
Logs da bateria apenas com a fisica.
Que drog.
Deve ser algo desse eq então.
No ufed 58 deveria funcionar. Se fosse o 60, aí justificaria o erro.
Deve ser algo desse eq então.
No ufed 58 deveria funcionar. Se fosse o 60, aí justificaria o erro.
Talvez valha a pena tentar numa versão mais antiga já que não pode atualizar, porque sempre deu certo essa extração
Aqui estou usando a versão 7.68.0.809 do UFED for PC.
Informa que é possível extrair até o Android 10, e SPL 3/2022.
Informa que é possível extrair até o Android 10, e SPL 3/2022.
Já tive esse problema. Só consegui depois de atualizar o UFED.
Ou melhor, trocar a versão. Usei uma de 2021.
Tenho registro de bootloader aqui desde a versão 7.38. Mas também com a 7.58 que o colega está usando aí. Pode ser o dispositivo mesmo.
Origem 726 — 01/03/2024 10:51 a 11:01 — Root e extração em dispositivo Positivo
Bom dia Srs.
Por gentileza, alguém já obteve êxito na extração do Positivo Infinix/X6515-OP/Infinix-X6515. Andoid Ver. 12. *Bloqueado*
UFED Touch 7.68.0809.
Por gentileza, alguém já obteve êxito na extração do Positivo Infinix/X6515-OP/Infinix-X6515. Andoid Ver. 12. *Bloqueado*
UFED Touch 7.68.0809.
pois é. A maioria só consegue até a versão 9. Nesse dia preferi não arriscar por receio de perda de dados.
Tira esse userdata aí. Ele vai sobrescrever os dados do usuário.
era uma caso que estava fazendo aqui, mas como consegui extrair outros aparelhos da mesma requisição, preferi não arriscar.
<Mídia oculta>
Tirei o userdata e deu esse erro.
Tirei o userdata e deu esse erro.
Usei o 7zip pra gerar o novo tar
tem que botar novo md5
md5sum a.tar > a.tar.md5
Origem 727 — 01/03/2024 13:25 a 14:17 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Pessoal, eu tentei fazer uma extração de sistemas de arquivos decrypted bootloader de um samsung sm-m105m. O ufed deu erro na extração e, depois disso, o celular ñ ligou mais. Segurando power + volume para baixo, aparece essa tela do vídeo, mas o celular desliga novamente logo após isso
Pessoal, eu tentei fazer uma extração de sistemas de arquivos decrypted bootloader de um samsung sm-m105m. O ufed deu erro na extração e, depois disso, o celular ñ ligou mais. Segurando power + volume para baixo, aparece essa tela do vídeo, mas o celular desliga novamente logo após isso
que mensagem que aparece?
dos binários não-oficiais?
Warning: cmdline parameter modified
Errei aqui. Só o md5 é calculado aqui. Depois precisa fazer um cat com o tar. Md5 fica no final
Bom dia colega. Já tentou usar o Samsumg Exynos Recovery (opção ferramentas do UFED)? Posteriormente pode tb tentar limpar manualmente o cache (Wipe Cache Data). <Mensagem editada>
tem o samfw tool que na opção de softbrick fix resolve isso aí
esse não conheço, mas já vou anotar..rsrs👍🏼
Eu ñ tô conseguindo entrar no modo download
A única coisa que aparece é a tela que tá no vídeo
Acho que precisa do modo download também
Consegui entrar agora no modo download, mas o exynos recovery falhou
Como eu faço esse wipe cache manual?
Consegue forçar a reinicialização?
Ontem ocorreu algo idêntico comigo e após forçar a reinicialização (Power+Volume Down), consegui entrar no modo download (Power+Volume down + Home, no caso do dispositivo que usei). <Mensagem editada>
Ontem ocorreu algo idêntico comigo e após forçar a reinicialização (Power+Volume Down), consegui entrar no modo download (Power+Volume down + Home, no caso do dispositivo que usei). <Mensagem editada>
É preciso acessar o modo recovery do aparelho.
ela fica próximo da função Wipe Data (*cuidado!*)..rsrs
Origem 728 — 15/03/2024 13:26 a 14:19 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Fiz uma extração FFS de um iPhone XR e depois que ele ligou vi no dispositivo que tem várias imagens no álbum apagados. Eu acredito que deva estar na extração mas como tem 158 mil imagens, tá difícil de conferir
Vocês sabem se tem um patch específico para esta pasta?
Faça uma extração como cheksum8
Para isso coloque o celular em modo DFU
Já consegui recuperar nesse modo até redes sociais apagadas
Em uma operação que eu fiz com o GAECO contra a quadrilha do PCC
Era um iPhone XR um dos Celulares que eu lembro
Iae, Flávio. No PA vc não conseguiu ver o path dessas imagens?
Talves lá consiga ver o caminho que ela estaria armazenado no celular, e aí encontrar nessa extração que fez.
Não consegui achar no PA nenhuma das imagens que aparecem no celular para ver o caminho. Uma única que achei tá numa pasta do WhatsApp.
Acho que o usuário baixou para galeria e depois apagou
Putz. Que drog. Pior que a organização dos arquivos do iOS é bem bagunçada.
Pior que a maioria dessas imagens vão ser apagadas de vez agora que o cel foi ligado
Consegue algum metadado dessas imagens para tentar filtrar no PA?
A única opção que dá no iPhone para o “apagados” é restaurar
Uhnn. Se são importantes as imagens, eu pensaria em restaurar e colocar no laudo isso
Teve um caso de um dessas marcas estranhas que as imagens de pedofilia estavam em uma "pasta segura". Nessa pasta não dava para ver os metadados e na extração ficou em um path crypto.
Aí nesse caso tiramos da pasta para obter os arquivos e os metadados desses.
Aí constamos no laudo.
Aí nesse caso tiramos da pasta para obter os arquivos e os metadados desses.
Aí constamos no laudo.
Como esse tem o risco ainda de perde para sempre, eu restaurava
Talvez tirando uma fotos antes
Até porque vai misturar. Tem datas diferentes
Origem 729 — 20/03/2024 09:32 a 10:15 — Imagem forense de mídia protegida por BitLocker
<Mídia oculta>
Bom dia!
É possível, através de BIOS ou por extração via IPED ou congêneres, confirmar que o HD está com bitlocker ativado? O processamento do IPED veio escasso de informações, algo comum quando bitlocker está ativo, mas queria alguma certeza que realmente seja por conta disso.
O hd está com senha e, por isso, não consigo manualmente pelo SO
Bom dia!
É possível, através de BIOS ou por extração via IPED ou congêneres, confirmar que o HD está com bitlocker ativado? O processamento do IPED veio escasso de informações, algo comum quando bitlocker está ativo, mas queria alguma certeza que realmente seja por conta disso.
O hd está com senha e, por isso, não consigo manualmente pelo SO
Bom dia! Espeta esse HD, no modo somente leitura, em uma máquina com Windows. Aí vc pode ter uma certeza.
Se quiser algo mais "sofisticado", passa um binwalk na imagem com a opção de analise de entropia
se der alta entropia, tem partes cifradas
vc pode ver numa chave de registro do windows tb
deixa eu procurar aqui o caminho no registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
https://www.magnetforensics.com/resources/encrypted-disk-detector/
Essa ferramenta identifica algums tipos de criptografia aplicadas em discos
IMG-20240320-WA0001.jpg (arquivo anexado)
pela alternativa do colega Farias, windows acusou bitlocker
pela alternativa do colega Farias, windows acusou bitlocker
Bom dia pessoal. Estou com um Motorola Moto E6s desbloqueado. Versão do Android 9. Não faz Smart Flow, ou da erro ou passa os 20 passos tentando e volta pra tela inicial do U4PC. Obs: Caso de pedofilia, google baniu a conta do cara por armazenar material, ele mesmo disse que apagou todas as fotos e videos do aparelho quanto a conta foi banida. Só fez a extração Android Bkp do Sistema de Arquivos, que nao traz quase nada de interessante. Alguma dica?
Corrigindo, caso de pornografia infantil.
o chipset é MTK
Estou com o mesmo aparelho e o mesmo problema. No meu caso, vou ficar só com a lógica e Android bkp mesmo, infelizmente. Nem o Premium conseguiu fazer mesmo desbloqueado.
Dessa forma vou ter me contentar com o Androido Backup tambem
Tou com um motoG53 tbm
Anterior a esse peguei um G20, que não tive problema na smartflow
Esse G53 tá com ThinkShield ativado
Origem 730 — 21/03/2024 14:02 a 15:02 — Compatibilidade e extração em dispositivos Samsung Galaxy
😂😂😂
Também passando para agradecer o [MENCAO] , recoloquei o 107 no premium e acariciei pacientemente a barriguinha dele e ele não resistiu e abriu o bico, revelada a senha [SEGREDO], fazendo a extração FFS.
🤣🤣🤣
Também passando para agradecer o [MENCAO] , recoloquei o 107 no premium e acariciei pacientemente a barriguinha dele e ele não resistiu e abriu o bico, revelada a senha [SEGREDO], fazendo a extração FFS.
🤣🤣🤣
Já aconteceu eu tentar 6 vezes fazer uma extração do "sistema de arquivos" de um dispositivo da marca Samsung. Pedi ajuda para outro colega da seção. O colega tentou 5 vezes realizar a extração Full File System sem sucesso. Depois deixei o dispositivo "descansando" por alguns dias e fiz novamente a extração, e dessa vez com sucesso. 😅
Boa tarde, amigos. Vcs saberiam informar se o Cellebrite Premium permite que os endpoints (4pc/insight) estejam separados em municípios diferentes? Ou todos os endpoints precisam estar num mesmo ambiente físico? <Mensagem editada>
Como funciona nos Estados de vcs?
Até onde sei tem que estar no mesmo local
Será q VPN resolve?
o de vcs é o Premium q compraram um Servidor principal, ou é o Premium na nuvem?
Mas usamos dongle nas máquinas
acho q no ES se botar uma VPN resolve?
Blz, obrigado pelas informações!
Algum estado tem esse outro formato q é na nuvem? Premium As a Service?
Resolve tecnicamente, legalmente, acho que não
Bom consultar o fornecedor
É, entrei em contato com o pessoal da Techbiz hj de manhã, estou aguardando retorno
Aí também é Premium ES ou é Premium na Nuvem [MENCAO] ?
Origem 731 — 28/03/2024 09:49 a 10:09 — Ativação do modo desenvolvedor e depuração USB
Pessoal, aqui vinhamos tendo problema para extração de Redmi 12 e Redmi 12C. Não fazia Smart Flow e muitas vezes até a lógica enroscava.
Entramos em contato com a Cellebrite que nos retornou uma mandinga na DEPURAÇÃO USB, que acabou dando certo Smart Flow com o UFED 7.65.0.247 (ainda não testamos em outras versões).
Segue abaixo o procedimento:
1) Deixe a opção de depuração USB desabilitada no dispositivo, mas mantenha as opções do desenvolvedor ativas.
2) Conecte-se ao UFED4PC, clique em Smart Flow e depois em “Detect Device”.
3) Aguarde até que a etapa de conectividade do dispositivo seja concluída, e o UFED4PC permaneça na etapa de “Selecionar Caminho de Destino”.
4) Ative a opção de “Depuração USB” no dispositivo.
5) Continue normalmente com as etapas de extração.
https://community.cellebrite.com/s/article/How-to-make-Smart-Flow-Detect-Xiaomi-Redmi-Note-12-for-extraction
Entramos em contato com a Cellebrite que nos retornou uma mandinga na DEPURAÇÃO USB, que acabou dando certo Smart Flow com o UFED 7.65.0.247 (ainda não testamos em outras versões).
Segue abaixo o procedimento:
1) Deixe a opção de depuração USB desabilitada no dispositivo, mas mantenha as opções do desenvolvedor ativas.
2) Conecte-se ao UFED4PC, clique em Smart Flow e depois em “Detect Device”.
3) Aguarde até que a etapa de conectividade do dispositivo seja concluída, e o UFED4PC permaneça na etapa de “Selecionar Caminho de Destino”.
4) Ative a opção de “Depuração USB” no dispositivo.
5) Continue normalmente com as etapas de extração.
https://community.cellebrite.com/s/article/How-to-make-Smart-Flow-Detect-Xiaomi-Redmi-Note-12-for-extraction
Lembrando: aparelho desbloqueado.
Boa. Na extração lógica segue a mesma coisa?
Ainda não testamos. Foi direto pra Smart Flow
Tem vários casos em que a lógica enrosca. Principalmente nos Android 13 e 14.
pois eh... tentar adaptar essa gambiarra da ativação da depuração
Origem 732 — 04/04/2024 09:28 a 10:14 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Bom dia
Estou com um Moto E5 (XT1920-19) e apresenta senha antes do Android. Em tentativas, desbloqueio ocorreu com “1234” e inicializou o dispositivo. Porém, ao entrar em configurações para depuração, ele solicitou senha e, não é a mesma (1234) utilizada. Para configuração de tempo de tela ele não solicitou senha. Para configurar uma senha de bloqueio, que consta como “Nenhuma”, ele solicita senha [SEGREDO] não é a "1234". Não encontrei nenhum APP de segurança instalado. Consigo acessar o WhatApp, por exemplo, normalmente sem necessidade de senha.
Alguém já viu ou tem alguma dica?
Estou com um Moto E5 (XT1920-19) e apresenta senha antes do Android. Em tentativas, desbloqueio ocorreu com “1234” e inicializou o dispositivo. Porém, ao entrar em configurações para depuração, ele solicitou senha e, não é a mesma (1234) utilizada. Para configuração de tempo de tela ele não solicitou senha. Para configurar uma senha de bloqueio, que consta como “Nenhuma”, ele solicita senha [SEGREDO] não é a "1234". Não encontrei nenhum APP de segurança instalado. Consigo acessar o WhatApp, por exemplo, normalmente sem necessidade de senha.
Alguém já viu ou tem alguma dica?
Bom dia, já recebi um E5 que estava desbloqueado mas pedia uma senha alfa para acessar as configurações de desenvolvedor. Aí foi no Premium que fez a Full File e física
Obrigado pela informação, Flavio. Infelizmente não temos o Premium ainda
Pena. Talvez tenha algum outro contorno.
Ja entrou em modo seguro para ver se ainda apresenta essa tela?
Vc diz entrar pelo modo seguro e "Start"? Sim. Depois ele entra na solicitação de senha para inicializar o Android. Aí ele entra com a "1234" e depois continua pedindo senha para as configurações
Entendi. Possivelmente seja alguma função nativa desse Android.
Tem uns Xiaomi que possuem tbm essa função e não tem o que fazer, apenas essas ferramentas que possibilitam fazer a extração sem que o Debug esteja ativo previamente.
Android 8.1.0 - Nível do pach de segurança do Android 1 de julho de 2020
Esse aqui era esse mesmo Android mas patch 01/06/2019. Acho que, como o [NOME] falou, é nativo da versão.
Também quando não tínhamos o Premium, desmontei um que estava bloqueado pra por em EDL mas o 4PC não fez a extração. Apesar de naquele documento dizer que o 4PC tem suporte para alguns Qualcomm 8937 eu nunca consegui extração em EDL com eles.
Bom dia senhores, alguém já tocou algum processo de aquisição de software para emenda parlamentar? Estamos tentando aqui, e não temos modelos de documentos para confecção! Seria bom alguém que já teve êxito nessa missão para comparação dos documentos e alinhamento com o que já deu certo! Caso tenham e possam me enviar, falar no pvt!
Tirando os 8916, difícil fazer EDL em outros. Só se for muito antigo.
Já consegui em outros da lista que diz ter suporte: 8909, 8936, 8939 e 8952. Mas nenhum da outra que “pode ser que”… 🤷♂️
Origem 733 — 06/04/2024 08:14 a 08:30 — Extração de sob "tortura"
Mas nesse caso só virá arquivos de sistema, não é?
Igual fazer carinho na barriguinha dele.
Aqui, virou moda.
Não quer fazer no Premium, apareceu a tela de recovery.
Tenta de novo massageando que ele grita. 😂😂😂
Aqui, virou moda.
Não quer fazer no Premium, apareceu a tela de recovery.
Tenta de novo massageando que ele grita. 😂😂😂
Extração sob "tortura"
Vai fazer extração da partição não crypto do sistema e de todas as infos de apps e contas q estão nessa partição.
Normalmente é pouca coisa, mas é possível obter a conta da Apple e depois quebrar a nuvem.
Normalmente é pouca coisa, mas é possível obter a conta da Apple e depois quebrar a nuvem.
Origem 734 — 09/04/2024 19:57 a 20:38 — Extração e análise de dados em iPhone/iOS
Tenho algumas dúvidas sobre essas informações destacadas na imagem e gostaria da ajuda dos senhores. <Mensagem editada>
A data destacada em vermelho (serviço Apple ID) indica a data que o ID Apple foi vinculado ao telefone ou a data de criação do ID Apple? Exemplo se o ID foi criado em 2019 em outro aparelho e em 2020 o usuário trocou de Iphone (que está sendo periciado) e vinculou o mesmo ID, qual data apareceria neste campo? 2019 quando o ID Apple foi criado ou 2020 quando foi vinculou ao aparelho atual que está sendo periciado?
Qual a fonte de dados dessa informação?
Acredito que seja a data que foi vinculada no aparelho
UFED 4PC
Porém não tenho certeza
Digo o arquivo dentro da extração. Rolando para a direta deve aparecer o arquivo
É o que acredito, mas, gostaria de uma confirmação, pois, é crucial para o laudo.
Vamos deixar outros peritos responderem
Dai vc tira sua conclusão
Esses que destaquei, seta vermelha e círculo verde) as fontes são Accounts3.sqlite
Acredito que o próprio suporte da cellebrite ou da apple podem dar essa informação, acho que da cellebrite seria mais indicado...
Teria que ver como indicado pelo colega [NOME].
No PA vc consegue ver de qual arquivo foi coletado tal informação.
Eu iria nessa mesma linha do I E.
Pesquisar sobre esse BD que vc achou [NOME].
No PA vc consegue ver de qual arquivo foi coletado tal informação.
Eu iria nessa mesma linha do I E.
Pesquisar sobre esse BD que vc achou [NOME].
E verificar q infos são essas que ele guarda no BD. Donde ele tirou esse timestamp
Origem: Accounts3.sqlite : 0x23F2F
Qual o modelo do aparelho?
Xs a1921 <Mensagem editada>
iPhone XS Max (D331pAP)
Vc chegou a abrir esse BD no PA para ver se tem outras datas nele?
Tem um leitor de BD integrado. Consegue navegar nas tabelas.
https://belkasoft.com/ios-system-artifacts
The Accounts3.sqlite file is another useful location to check when looking for additional contact details of the device owner. It includes email addresses associated with various iOS system services and applications.
In Belkasoft X, you can find the Accounts3.sqlite data on the Structure tab under System files → Accounts3.sqlite → iOS accounts.
File System location:
Full file system: \private\var\mobile\Library\Accounts\
iTunes / iCloud backup: \HomeDomain\Library\Accounts\
Note that this database includes a wider range of account records in the full file system copy of an iOS device
In Belkasoft X, you can find the Accounts3.sqlite data on the Structure tab under System files → Accounts3.sqlite → iOS accounts.
File System location:
Full file system: \private\var\mobile\Library\Accounts\
iTunes / iCloud backup: \HomeDomain\Library\Accounts\
Note that this database includes a wider range of account records in the full file system copy of an iOS device
https://belkasoft.com/knowledgec-database-forensics-with-belkasoft
https://forensafe.com/blogs/AppleAccounts.html
Tá mais pra data em q o ID foi vinculado ao aparelho.
Origem 735 — 17/04/2024 12:27 a 12:45 — Extração e acesso a dados em iPhone 14
Tô terminando o caso de um iPhone 14 aqui, que só consegui abrir ele no Inseyets, não gostei muito do layout do programa, mas o desempenho na abertura de extrações de casos pesados, sem dúvida é muito melhor.
É um tablet que vem com Windows instalado, aí você precisa instalar o 4pc. Se não precisar de alguma solução com mobilidade é melhor comprar apenas a licença do 4pc e instalar na estação.
Estou usando o Inseyets PA 10.. me parece que incorporou o mesmo layout do PA Ultra. Também notei um bom desempenho no processamento de dispositivos com muitos dados. Acabei de processar um iPhone 15 de 256 GB... a extração do UFED tinha mais de 400GB de dados... e ele conseguiu processar sem travamentos de um dia pro outro, e gerou o UFDR bem rápido até, em menos de uma hora.
https://www.sindiperito.org.br/noticias/2024/4/16/pec-que-preve-autonomia-tecnica-cientifica-e-operacional-da-policia-cientifica-nos-estados-sera-votada-na-comissao-de-constituicao-e-justica-ccj-do-senado-nesta-quarta-feira/
Origem 736 — 24/04/2024 08:03 a 09:36 — Ativação do modo desenvolvedor e depuração USB
Pessoal, bom dia. Tudo bem?
Tivemos um caso interessante esses dias. A extração File System de um iPhone 14 512GB de em torno de 400GB. Ao gerar o relatório em UFDR do conteúdo completo, inclusive com conteúdo "não categorizado", deu 11GB.
Tivemos um caso interessante esses dias. A extração File System de um iPhone 14 512GB de em torno de 400GB. Ao gerar o relatório em UFDR do conteúdo completo, inclusive com conteúdo "não categorizado", deu 11GB.
Ao que será que se deve tamanha redução de tamanho?
Os quantitativos das categorias de mantiveram de um pra outro.
Nossa que incrível
Teria como refazer essa extração no XRY?
Acho que essa sua extração no UFED deu algum erro
Já aconteceu isso comigo num celular Samsung A01
Esse caso é de um colega, mas eu tive um outro recente que o iPhone era de 256GB, mas a extração passou de 600GB. Vai entender.
Nesse meu caso o UFDR foi pra 160GB.
Nesse meu caso o UFDR foi pra 160GB.
Bom dia! Já pegamos um aparelho assim. Como levava um tempo pro app config ficar bloqueado quando o aparelho tava ligando, a cada reboot fomos avançado até consegui habilitar a depuração USB.
fico pensando se pode ter haver com o formato de compressão de media que o UFED pode estar convertendo (HEIC para JPG, ou outros) onde se aumenta "um pouco". Agora 400GB para 11GB é bruto 72,5% de redução.
pode ser tb que tenha vídeos de grande duração que talvez o UFED esteja "capando"
Eu já vi todas as combinações desde o espaço usado no iPhone, depois o tamanho da extração e o tamanho do relatório. Pode dar qualquer um maior que o outro. 🤷♂️
O ufdr gerado que as vezes tenho que fazer de novo principalmente quando tem carving
Bom dia [NOME]
Poderia adicionar nosso colega da gerência de computação forense
Leo Gimenes?
Segue o contato
Poderia adicionar nosso colega da gerência de computação forense
Leo Gimenes?
Segue o contato
Bom dia.
Esses casos de dobrar o tamanho é até normal.
Na extração FFS ele acaba fazendo a extração das mídias e tbm um backup das mídias em um arquivo único. Acho que é ".tar" se não me engano.
Teria que ver o resultado para confirmar
É um arquivo gigante para vídeos, outro para imagens, etc.
Então caso tenha muitas mídias, ele vira duplicado o tamanho. <Mensagem editada>
Esses casos de dobrar o tamanho é até normal.
Na extração FFS ele acaba fazendo a extração das mídias e tbm um backup das mídias em um arquivo único. Acho que é ".tar" se não me engano.
Teria que ver o resultado para confirmar
É um arquivo gigante para vídeos, outro para imagens, etc.
Então caso tenha muitas mídias, ele vira duplicado o tamanho. <Mensagem editada>
O que fazemos é descartar esses arquivos tar do relatório final, visto que as mídias já estão na extração.
Origem 737 — 30/04/2024 10:05 a 11:39 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, pessoal. Vocês costumam se deparar com esse tipo de erro?
Tanto o UFED quanto o PA de vez em quando trava quando tiro o foco da janela deles. <Mensagem editada>
O PA geralmente trava se redimensiona a janela com uma extração aberta.
1) Feche o PA e certifique-se que não há nenhum processo do Physical Analyzer ou Cloud rodando no Gerenciador de Tarefas
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
Talvez seguindo esses passos ajude.
Toda hora, o tempo todo
Exactamente a mesma coisa por aqui
Uma forma de resolver temporariamente é desinstalar e reinstalar o programa, mas de tempo em tempo, o erro volta a persistir.
Quando reinicio o PC, os programas costumam jogar uma moeda e mudar o comportamento: o problema com o PA acaba e começa no UFED, os dois passam a dar problema, os dois deixam de dar problema, etc.
Aproveitando o assunto, alguém mais tem problema com o XAMN fechando?
É só desabilitar o Dynamic Artifact Count, para que o programa fique mais rápido, que fica muito instável.
Nem avisa, só fecha. Acontece múltiplas vezes seguidas, geralmente quando aplico uma tag
É só desabilitar o Dynamic Artifact Count, para que o programa fique mais rápido, que fica muito instável.
Nem avisa, só fecha. Acontece múltiplas vezes seguidas, geralmente quando aplico uma tag
Sigo esses passos e também faço a desinstalação e instalação dos softwares, que foi citado acima pelo [MENCAO] <Mensagem editada>
Complicado!!
Isso atrapalha muito a produtividade.
Isso atrapalha muito a produtividade.
Também estou com uma extração aqui de 1TB que não gera o ufdr de jeito nenhum... o PA sinaliza que finalizou o relatório, mas na pasta ainda estão os arquivos temp
Sofro com isso há algum tempo. Quando enche o saco, faço o simples, formato a máquina.
Origem 738 — 08/05/2024 12:37 a 14:07 — Extração e root em dispositivos LG
Bom dia senhores, estou com um LG k41S, modelo LM-K410BMW com bloqueio alfanumérico, android 11. Alguma sugestão de extração ?
...no Octoplus tem uma opção de desbloqueio que não foi bem sucedida!
na nossa versão do UFED não tem opção de desbloqueio
chipset MTK
Esse é uma desgraça.
Além de não ter suporte para BF, tbm não consegue fisica nas ferramentas.
Esse é o pior modelo de todos. Não conheço ferramenta que consegue fazer algo nesse aí.
Além de não ter suporte para BF, tbm não consegue fisica nas ferramentas.
Esse é o pior modelo de todos. Não conheço ferramenta que consegue fazer algo nesse aí.
Até um tempo atrás nem o Premium fazia.
Não faz. Bem zuado esse aí.
Origem 739 — 10/05/2024 10:37 a 13:16 — Extração e análise de mensagens do WhatsApp
Bom dia. Tenho uma ideia.
Após configurar as pastas e parametros no IPED Tools, clique no botão "Pré-visualizar comando".
<Mídia oculta>
em seguida Abrir Terminal
em seguida Abrir Terminal
Bom dia. Vocês têm sucesso em processar ufdr no IPED? Os chats do Whatsapp nunca são montados, além de não categorizar quase nada...
Boa tarde! Processei um recentemente e deu certo. Inclusive já transcreve os áudios tbm. Agora, o relatório não levou os chats.
não funcionou. estava olhando no help do iped e parece que o parâmetro -p serve para apenas imagens/volumes com senha
tentei os comandos
C:\ip [ID-CASO]\iped.exe -d "G:\Teste IPED\048947361_Relatório.ufdr" -o "C:\lixo" -p xxxxxxxxxx
C:\ip [ID-CASO]\iped.exe -d "G:\Teste IPED\048947361_Relatório.ufdr" -o "C:\lixo" -p "xxxxxxxxxx"
024-05-10 12:54:43 [ERROR] [app.processing.Main] Processing Error:
java.lang.Exception: Error decoding datasource G:\Teste IPED\048947361_Relatório.ufdr
at iped.engine.datasource.ItemProducer.run(ItemProducer.java:154) ~[iped-engine-4.1.5.jar:?]
Caused by: org.xml.sax.SAXParseException: Content is not allowed in prolog.
at org.apache.xerces.parsers.AbstractSAXParser.parse(Unknown Source) ~[xercesImpl-2.12.2.jar:?]
at org.apache.xerces.jaxp.SAXParserImpl$JAXPSAXParser.parse(Unknown Source) ~[xercesImpl-2.12.2.jar:?]
at iped.engine.datasource.UfedXmlReader.read(UfedXmlReader.java:230) ~[iped-engine-4.1.5.jar:?]
at iped.engine.datasource.UfedXmlReader.read(UfedXmlReader.java:209) ~[iped-engine-4.1.5.jar:?]
at iped.engine.datasource.ItemProducer.run(ItemProducer.java:123) ~[iped-engine-4.1.5.jar:?]
java.lang.Exception: Error decoding datasource G:\Teste IPED\048947361_Relatório.ufdr
at iped.engine.datasource.ItemProducer.run(ItemProducer.java:154) ~[iped-engine-4.1.5.jar:?]
Caused by: org.xml.sax.SAXParseException: Content is not allowed in prolog.
at org.apache.xerces.parsers.AbstractSAXParser.parse(Unknown Source) ~[xercesImpl-2.12.2.jar:?]
at org.apache.xerces.jaxp.SAXParserImpl$JAXPSAXParser.parse(Unknown Source) ~[xercesImpl-2.12.2.jar:?]
at iped.engine.datasource.UfedXmlReader.read(UfedXmlReader.java:230) ~[iped-engine-4.1.5.jar:?]
at iped.engine.datasource.UfedXmlReader.read(UfedXmlReader.java:209) ~[iped-engine-4.1.5.jar:?]
at iped.engine.datasource.ItemProducer.run(ItemProducer.java:123) ~[iped-engine-4.1.5.jar:?]
DEpende como está configurado. Ele pode pegar chats da base ou do "XMLzão"
https://github.com/sepinf-inc/IPED/issues
Usei a configuração padrão
[MENCAO] , relata aqui q eles respondem.
muito obrigado. Um perito amigo nosso sugeriu isso também. Vou tentar aqui. Grande abraço.
eu preciso ver isso direito, mas acho que categorizou só as mídias
os chats não montou mesmo, sendo que o ufed tinha montado tudo certo. os dbs estavam no ufdr
os chats não montou mesmo, sendo que o ufed tinha montado tudo certo. os dbs estavam no ufdr
<Mídia oculta>
Tem que alterar aqui. <esxtractMessages>
Tem que alterar aqui. <esxtractMessages>
blz. vou ver se dá bom. vlw
Origem 740 — 11/05/2024 19:39 a 19:39 — Extração e compatibilidade em Samsung SM-A032M
Senhores muito boa noite, alguém com registro de sucesso no premium, com o Samsung SM-A032M/DS ?? Achei que talvez fosse problema de conectividade, mas tive a curiosidade de testar em alguns irmãos, e em seis aparelhos desse modelo, todos foram rejeitados em todas as etapas, mesmo com a esfregada na barriga, alguém já obteve sucesso nesse rapaz ??
Origem 741 — 20/05/2024 11:09 a 11:11 — Extração e compatibilidade em Samsung SMART
Pessoal, Redmi 13C (23100RN82L) com Android 14, desbloqueado. XRY não faz física. UFED não faz Smart Flow tampouco consigo instalar o cliente para fazer a lógica avançada. Diz que o cliente não é compatível.
última tentativa seria com o [NOME] Forensics 🤷♂️
mas dependendo do patch que estiver no Android aí não adianta mesmo
salvo engano tem que instalar o cliente no braço, não é isso?
é justamente nesse processo manual que recebi a msg que o cliente não é compatível
Origem 742 — 20/05/2024 16:55 a 19:10 — Extração e análise de mensagens do WhatsApp
boa tarde, senhores.
Um delegado me pediu para fazer um "laudo preliminar" do conteúdo de um celular, do qual já temos a senha e a autorização para acesso aos dados, e o sujeito alegou possuir conteúdo ilícito, principalmente em apps de conversa (Whatsapp, Telegram, etc...)
Uma extração via UFED pode nao terminar hoje, e o Delta quer usar esse laudo preliminar para embasar a prisão em flagrante.
Alguma dica de procedimento pra "agilizar" esse preliminar?
Um delegado me pediu para fazer um "laudo preliminar" do conteúdo de um celular, do qual já temos a senha e a autorização para acesso aos dados, e o sujeito alegou possuir conteúdo ilícito, principalmente em apps de conversa (Whatsapp, Telegram, etc...)
Uma extração via UFED pode nao terminar hoje, e o Delta quer usar esse laudo preliminar para embasar a prisão em flagrante.
Alguma dica de procedimento pra "agilizar" esse preliminar?
Alguns casos colocamos fotos de conversa ou extraímos apenas alguma parte, principalmente casos de pedofilia. Fazemos como se fosse um laudo de local da operação.
Curiosidade: qual aparelho que é? Quantos gigas ?
não tenho essa informação ainda.
Já servi de testemunha em operações de pedo para não me comprometer como "laudo preliminar"
Não consegui fazer uma extração ainda com o [NOME]
https://cellebrite.com/pt/events/cellebrite-c2c-connect-brasil-2024/
Origem 743 — 22/05/2024 16:30 a 16:31 — Compatibilidade de modelos e métodos de extração no UFED
Galera, onde acho esse gpu package do ufed PA? Já vi que não está instalado, mas não achei no portal
Para o PA10 já é instalado automaticamente e só habilita se for uma GPU compatível. Já no PA7 ficava junto nos add-ons se não me falha a memória, mas só funcionaria para a categoria de PI, as demais é tudo na CPU.
Origem 744 — 23/05/2024 09:16 a 09:58 — Ativação do modo desenvolvedor e depuração USB
Bom dia Srs.
Por gentileza, algum colega já conseguiu fazer a extração do *Motorola One* , *XT1941-3/DS*, _Android 10_, *desbloqueado*.
Fiz tentativas no *UFED Touch 7.68.0809*
Agradeço desde já
Por gentileza, algum colega já conseguiu fazer a extração do *Motorola One* , *XT1941-3/DS*, _Android 10_, *desbloqueado*.
Fiz tentativas no *UFED Touch 7.68.0809*
Agradeço desde já
Bom dia.
Sim, temos vários registros, porém todos foram com o Premium.
Sim, temos vários registros, porém todos foram com o Premium.
Não consegui fazer sequer a lógica, sempre interrompe
Senhores muito bom dia, alguém já conseguiu, utilizando o Linux, fazer funcionar o OCR num processamento do IPED 4 ?? No windows tá funcionando perfeitamente, mas no Linux não vai, chequei as dependências do Tesseract 5, e aparentemente estaria tudo ok, mas mesmo assim não consigo disponibilizar, na extração, a opção "Possíveis Digitalizações". Alguém já conseguiu fazer funcionar ??
Uhnn. antes do Premium, fazíamos a lógica e apk down. Aí com o Premium, fazemos sempre a lógica no UFED e depois física no Premium.
Apk down, ainda não tentei, mas vou verificar
Mas a lógica tbm é para funcionar. Qual erro está apresentando?
Ele simplesmente interrompe dizendo que não há suporte ao dispositivo
O debug está comunicando ok com o UFED?
Ah sim, é ligado ao Premium. A segmentação dos produtos da Cellebrite é algo que tô me acostumando ainda kk
Origem 745 — 23/05/2024 10:09 a 10:40 — Extração e bloqueios em Redmi 13C que nem
Esse inseyets então não faz extração? Ontem conversei com o suporte da Techbiz, foi estava com um Redmi 13C que nem lógica consegui, pois não instalava o cliente.
O suporte disse q realmente não está conseguindo fazer extração desse modelo e que deve sair correção no UFED 7.70, mas sugeriu tentar fazer no inseyets.
O suporte disse q realmente não está conseguindo fazer extração desse modelo e que deve sair correção no UFED 7.70, mas sugeriu tentar fazer no inseyets.
Vc usa um programa que converte chamadas CUDA para chamdas da sua GPU não nvidia
Se quiser posso lhe passar a da Intel que usei com placa da Intel
https://github.com/vosen/ZLUDA/releases/tag/v3
Tiraram o suporte para Intel recentemente nesse projeto aí para última versão, mas usei a anterior com sucesso no PA.
Tiraram o suporte para Intel recentemente nesse projeto aí para última versão, mas usei a anterior com sucesso no PA.
Supostamente funciona para GPUs AMDs
O uso é simples, basta chamar o executável do PA através do executável zluda
A placa de vídeo é nvidia quadro p620, mas o reconhecimento de imagem roda na cpu. Vi que não instalou o pacote de gpu e no site mostra uma quantidade bem limitada de gpus compatíveis
No XRY foi só instalar o cuda 11.5 e partir pro abraço
Vou pesquisar a respeito e ver se tem como na nossa placa. Espero que sim 🥲
Valeu 🙏🏻
Valeu 🙏🏻
Recentemente eles iniciaram uma migração dos produtos para uma linha chamada inseyets. Terá o inseyets PA (que é o PA), inseyets ufed (que é similar ao premium SAAS), inseyets premium (similar ao premium ES), entre outros. Pelo que vi os produtos têm níveis de funcionalidades tbm (ex: capacidade de desbloqueio será mais caro do que só capacidade de extração) <Mensagem editada>
Origem 746 — 05/06/2024 14:42 a 15:04 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, passando apenas para deixar um comentário:
Notei que um Modem 4G WiFi - desses que se usa para acessar a internet
Ele sobe ADB 👀
E não pediu autenticação nenhuma
O que eu testei é de uso próprio e ele tem android 4.4 kitkat
É um qualcom msm8916 que costuma subir o edl via adb (pelo que me lembro dos celulares)
Notei que um Modem 4G WiFi - desses que se usa para acessar a internet
Ele sobe ADB 👀
E não pediu autenticação nenhuma
O que eu testei é de uso próprio e ele tem android 4.4 kitkat
É um qualcom msm8916 que costuma subir o edl via adb (pelo que me lembro dos celulares)
passando apenas para deixar a informação, pois, por ser android, pode conter algum registro interessante ou possibilitar alguma extração de dados...
alguém já fez exame neste tipo de dispositivo?
se sim, achou algo relevante?
alguém já fez exame neste tipo de dispositivo?
se sim, achou algo relevante?
Boa tarde.
Tivemos 2 registros já desse modelo.
Ambos estavam desbloqueados, contudo a física foi via Premium.
Então deve dar boa, pois o Premium fornece extração sem precisar da senha nos casos de FDE.
Tivemos 2 registros já desse modelo.
Ambos estavam desbloqueados, contudo a física foi via Premium.
Então deve dar boa, pois o Premium fornece extração sem precisar da senha nos casos de FDE.
Origem 747 — 06/06/2024 13:20 a 13:49 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Aqui no Paraná licitamos recentemente workstations para fazer registro de preço (ainda pendente de homologação), e as da HP ganharam (HP Z8 G5), saiu por R$ 95.660,00 cada com a especificação abaixo:
HP Estação de trabalho HP Z8 G5 cada uma com :
2 x Intel Xeon 6444Y 16 cores 270W CPU
1 X 256GB (16x16GB) DDR5 4800 DIMM ECC REG 2CPU Memory
1 X Windows 11 Pro 64 for Workstations
1 X NVIDIA T1000 4 GB LP Blower Fan 4mDP PCIe x16 Graphics
1 X HP Z Turbo 2TB PCIe-4x4 2280 TLC M.2 2nd SSD
1 X Z Turbo 512GB PCIe-4x4 2280 TLC M.2 Solid State Drive
2 X 8TB 7200RPM SATA 3.5in Enterprise
1 X HP USB 320K Keyboard
1 X HP Wired 320M Mouse com mousepad
1 X HP miniDP-to-DP Adapter (4-pack)
1 X Headset hp hyperx cloud III black
1 X Caixas de Som HP Preta RGB Light DHE-6000
2 X Monitor HP E27 G5 27"
5 anos de serviço, 5 anos de atendimento Onsite Next Business Day com 48 horas de solução.
E demais itens solicitados no edital
HP Estação de trabalho HP Z8 G5 cada uma com :
2 x Intel Xeon 6444Y 16 cores 270W CPU
1 X 256GB (16x16GB) DDR5 4800 DIMM ECC REG 2CPU Memory
1 X Windows 11 Pro 64 for Workstations
1 X NVIDIA T1000 4 GB LP Blower Fan 4mDP PCIe x16 Graphics
1 X HP Z Turbo 2TB PCIe-4x4 2280 TLC M.2 2nd SSD
1 X Z Turbo 512GB PCIe-4x4 2280 TLC M.2 Solid State Drive
2 X 8TB 7200RPM SATA 3.5in Enterprise
1 X HP USB 320K Keyboard
1 X HP Wired 320M Mouse com mousepad
1 X HP miniDP-to-DP Adapter (4-pack)
1 X Headset hp hyperx cloud III black
1 X Caixas de Som HP Preta RGB Light DHE-6000
2 X Monitor HP E27 G5 27"
5 anos de serviço, 5 anos de atendimento Onsite Next Business Day com 48 horas de solução.
E demais itens solicitados no edital
Pessoal, iPhone SE (modelo antigo), tenho a senha, consegui fazer extração FS, mas, não consigo fazer FFS pq não consigo colocar em modo download, porque o botão home não funciona.
alguma alternativa pra colocar em modo download?
Você quer dizer modo iTunes, né?
Se sim, tem test point. Teria que ver quais são no seu modelo.
é um A1723
Origem 748 — 21/06/2024 11:25 a 11:36 — Compatibilidade de modelos e métodos de extração no UFED
alguém ja fez extração nessas maquininhas?
traz alguma informação util?
Esse tipo de máquina nunca extrai, geralmente faço só constatação ligando a maquina e tirando foto
<Mídia oculta>
Pessoal, alguém já se deparou com essa msg?
Pessoal, alguém já se deparou com essa msg?
Peguei o celular e liguei já direto nessa tela
As que você irá extrair são as que possuem SO Android. O Restante apenas constatação manual.
Lembrando que qualquer tentativa de abertura da máquina irá formatar ela. Então leitura MMC ou semelhante tbm não é viável.
Lembrando que qualquer tentativa de abertura da máquina irá formatar ela. Então leitura MMC ou semelhante tbm não é viável.
Bom dia.
Sim. Tente reiniciar e veja se volta o SO.
Se não entra em download ou recovery e depois iniciar normalmente.
Sim. Tente reiniciar e veja se volta o SO.
Se não entra em download ou recovery e depois iniciar normalmente.
Tive uma dessas a poucos dias e fiz isso e voltou ao normal
Sem qualquer necessidade de flash
Blza, vou tentar aqui, obrigada
Origem 749 — 28/06/2024 10:27 a 10:33 — Extração e compatibilidade em Samsung SM-A605N
Bom dia!
Sugestão para extrair ou desbloquear o Samsung SM-A605N.DS, bloqueado com desenho padrão [SEGREDO] 9? <Mensagem editada>
Sugestão para extrair ou desbloquear o Samsung SM-A605N.DS, bloqueado com desenho padrão [SEGREDO] 9? <Mensagem editada>
Extração física com o modelo "SM-A605G" pelo método "Boot Loader" - Celular bloqueado (UFED 7.34).
Funciiona desde a versão acima citada e somente para Android até 9
Funciiona desde a versão acima citada e somente para Android até 9
Estou usando o UFED for PC 7.68.0.809.
Origem 750 — 01/07/2024 11:23 a 11:23 — Compatibilidade de modelos e métodos de extração no UFED
bom dia pessoal. alguém já realizou extração de dados disso aqui. não encontrei onde alterar as configurações de depuração, por exemplo.
Origem 751 — 08/07/2024 08:42 a 09:55 — Extração e compatibilidade em Samsung SMARTFLOW
Bom dia pessoal. Ultimamente estamos enfrentando muitas dificuldades em extrair dados de aparelhos Xiaomi. Alguém percebeu isso tambem? Estou com um Redmi 13c, mas ja tivemos problemas com 12, com note 8 dentre outros. Esse que estou tentando é um Redmi 13c com android 13, nao faz SmartFlow. Estou usando o UFED4PC 7.69.
só consegui a Lógica
Bom dia. Sim, também tive essa impressão com o Redmin Note 12c., apesar de usar uma versão inferior à sua.
Acredito que eles estejam tentanto empurrar o Premium
Esse até no Premium não tem ido
nesses casos como voces estao procedendo ? olha manualmente ?
Bom dia. Essa versão 7.69 está zuada. Fique na 7.68.
A SmartFlow está toda zicada. Inclusive na 7.69.1
A SmartFlow está toda zicada. Inclusive na 7.69.1
Algo "raro" de acontecer em mudança de versão. setSacarsm(True);
Vc tem o código do modelo desse seu Redmi para eu verificar onde estamos fazenod?
Ou se quiser tbm, tem a versão beta da 7.70. Talvez tenham corrigido isso
Não.
Seria algo como: M2003J6A1G, M2101K6GR, 220233L2G
Seria algo como: M2003J6A1G, M2101K6GR, 220233L2G
Temos 3 registros, todos via Premium 😣
Nesses casos, só vamos no Premium puq SmartFlow não rolou tbm.
Pior que na 7.70 nem fala desse Redmi.
Full file system support using Smart Flow for the following devices and chipsets:
Pixel 8, 8a
Samsung Galaxy A15, A25, A35, A55
Snapdragon 8 Gen 3, Snapdragon 7+ Gen 3
Dimensity 9300
Full file system support using Smart Flow for the following devices and chipsets:
Pixel 8, 8a
Samsung Galaxy A15, A25, A35, A55
Snapdragon 8 Gen 3, Snapdragon 7+ Gen 3
Dimensity 9300
Vixe, lascou então. De qualquer forma muito obrigado pelas informações
Acho que só Premium mesmo.
Vi aqui nas "release notes" do Premium e esse modelo foi incluído no final de janeiro/2024.
Vi aqui nas "release notes" do Premium e esse modelo foi incluído no final de janeiro/2024.
Origem 752 — 08/07/2024 13:06 a 13:56 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia.
O inseyets está funcionando por aí?
Aqui tá dando erro de servidor.
O inseyets está funcionando por aí?
Aqui tá dando erro de servidor.
Bem pesado. Desisti. Esperar melhorias de desempenho.
Inseyets PA
Processei um caso emperrado nele semana passada, na verdade ele monta um postgres na própria máquina, a vantagem é que a extração fica salva. Prefiro o PA, mas tem alguns casos que só tenho conseguido fazer no Inseytes.
Me referi ao Inseyets (UFED Premium) mesmo e não ao Inseyets PA.
Ao abrir o Premium dá erro no servidor e não permitevextrair
Ao abrir o Premium dá erro no servidor e não permitevextrair
Mas de vez em quando esse servidor deles dá uma parada mesmo.
Já perguntei se tinha algum telefone pra quem pudesse informar, mas não obtive resposta.
Origem 753 — 10/07/2024 10:13 a 10:52 — Ativação do modo desenvolvedor e depuração USB
Bom dia!
Alguém já fez extração de multimídia veicular? Se fez , qual ferramenta forense usou , etc.
Alguém já fez extração de multimídia veicular? Se fez , qual ferramenta forense usou , etc.
Já. No caso estou tentando lembrar a marca, mas era um Android Custom usado pela Hyundai. Extração foi bem estranha. Tivemos que descobrir um "easteregg" numa tela clicando em partes da tela para habilitar um "modo desenvolvedor" no qual pudemos fazer um dump para um pendrive
Pessoal, bom dia. Samsung sm-j410g/ds com senha. Já tentei extração no Premium, no touch 2 versão 7.69 perfis sm-j410g e sm-j410f e dá versão não compatível . Alguma luz?
IMG-20240710-WA0005.jpg (arquivo anexado)
Se não me engano ele da extração, na terceira tentativa
Se não me engano ele da extração, na terceira tentativa
Já fiz a segunda, indo para a terceira e bora ver aqui 🙏🏻
Funcionou, obrigado 🙏🏻
Origem 754 — 10/07/2024 11:24 a 11:51 — Metadados EXIF/JPEG e individualização de câmera
Bom dia. Uma duvida, nao estou confiante de colocar no laudo, gostaria de uma opniao dos mais antigos. Um arquivo no seguinte caminho "samsung_SM-A225M.zip/data/media/0/DCIM/Camera/VID-20231104-WA0055.mp4", posso afirmar que ele foi produzido pelo aparelho em anáilise. Já utilizei o exifTools, mas nao possui metadados para afirmar o modelo que produziu o vídeo.
Estou pesquisando na ducumentação do android pra ver se encontro informaçoes sobre isso
Opa pessoal bom dia, alguém tem conseguido extrair pelo USB 3.0 Wormhole (extrair direto pra máquina) sem dar aquele erro de espaço?
Acredito que apenas pelo caminho do diretório em que ele estava é fraco o argumento que foi produzido pelo aparelho.
É um indício, mas afirmar com base em apenas nisso é um pouco exagerado na minha visão.
É um indício, mas afirmar com base em apenas nisso é um pouco exagerado na minha visão.
Você consegue facilmente criar esse arquivo em outro dispositivo, trocar o nome e copiar nesse diretório através de um computador.
olhando aqui, achei dois caminhos para o mesmo arquivo
visualizando nos "Vídeos" o caminho é esse "samsung_SM-A225M.zip/data/media/0/Android/media/com.whatsapp/WhatsApp/Media/WhatsApp Video/VID-20231104-WA0055.mp4"
visualizando pelos caminhos no "Sistema de Arquivos" mostra esse caminho "samsung_SM-A225M.zip/data/media/0/DCIM/Camera/VID-20231104-WA0055.mp4"
com a mesma data e hora de modificação e mesmo tamanho
resumindo, a unica maneira de afirmar isso seria utilizando os metadados?
Bom dia. O J410g entrou em FB no Premium pelo método da batucada, mas depois descobrimos que ele exaure o dicionário passando pela senha certa. Fizemos esse teste em um mesmo modelo desbloqueado e colocando a senha conhecida. Não sei se corrigiram isso aí.
Origem 755 — 10/07/2024 14:34 a 15:53 — Metadados EXIF/JPEG e individualização de câmera
<Mídia oculta>
Pessoal, alguém ja se deparou com esse erro na extracao de iPhone desbloqueado?
No meu caso, é uma iPhone 14 Pro Max, iOS 17.5.1
Pessoal, alguém ja se deparou com esse erro na extracao de iPhone desbloqueado?
No meu caso, é uma iPhone 14 Pro Max, iOS 17.5.1
Tá com as configurações que pede?
Último iOS ?? Acho bem difícil já ter suporte, mesmo desbloqueado, sempre faço no 4PC.
Segui todas as instruções. Coloquei modo avião, Bluetooth desativou, acessórios USB ativados.
Pela última planilha da Cellebrite, deveria fazer pra esse iOS
Ativou aquela opção de rotação tbm?
Eles sempre colocam um gatilho “por mais que faça essa versão, em ‘alguns aparelhos’, pode ocorrer de não funcionar..”, condição em que normalmente os aparelhos daqui se enquadram…
Ativado tb. Acho que é algum bug mesmo.
Vou abrir chamado na Cellebrite
Vou abrir chamado na Cellebrite
Fiz um 14 Pro, recentemente, que só consegui fazer no 4PC, e só consegui processar no Inseyets, e detalhe, inclusive com a participação do team da Cellebrite, tive que montar uma máquina com 128 de RAM, e a extração nem ficou tão grande assim, 101 GB, mas só depois desse arranjo que funfou.
O problema de fazer apenas no 4PC é que não têm extração completa. Para fazer FFS, precisa do premium.
O FFS é igual ao FS, se não me engano
Um Perito da Bahia me informou uma vez que no caso de fotos é possível através dos "dead pixels" da câmera do aparelho fazer uma comparação/confrontação com a imagem de forma a atestar se é originada daquela câmera, achei a ideia interessante, mas nunca vi na prática, alguém aí já fez essa abordagem?
Exame de comparação de fonte
Comum no setor de audiovisual forense
Comum no setor de audiovisual forense
Não é o mesmo do FS do UFED. Por exemplo, apps como telegram, signal e aquele BD de indexação do WA não vem nessa parcial do 4PC
Apenas na FFS que vc consegue extrair dados desses apps e esse BD.
Apenas na FFS que vc consegue extrair dados desses apps e esse BD.
Já vi alternativas de análise de assinatura dos sensores das câmeras mas não achei factível para individualização, pode ser que tenha tido algum avanço desde que estude isso. Uma das características que pode ser usada é a análise dos coeficientes de quantização do algoritmo JPEG., alguns fabricantes utilizam valores diferentes, dá pra afirmar que tal imagem foi gerada em câmera de tal fabricante.
É, tem esse detalhe sim, a extração do 4pc é menos profunda, mas, os iPhones maiores (12 ao 15), tem tido pouca efetividade no premium, pelo menos aqui por essas bandas.
Estamos conseguindo em todos. Principalmente em iOS 17. Ficou super bom o novo método.
E a AFU tbm melhorou muito.
E a AFU tbm melhorou muito.
Apenas quebra de senha não rola ainda, mas extração está indo bem por aqui
Na 7.69 que melhorou. Por outro lado fez bastante bug nos androids
A versão 7.69.503 não corrigiu um bug nos iPhone X conforme descrito mas fez extração num J2 Prime que tava trancado aqui faz tempo 🤷♂️😁
Pois é, exatamente isso, tive que fazer um downgrade, tava dando pau em Androids que já tínhamos feito com tranquilidade, ficou inviável.
Verdade. Na 7.68 o Android tava show e iOS uma drog. Aí na 7.69 virou.
Origem 756 — 23/07/2024 15:04 a 15:58 — Extração e decodificação de bancos do WhatsApp
Boa tarde, pessoal
Estou com algumas dúvidas aqui, caso saibam e tenham a fonte para eu dar uma estudada também seria de grande valia.
O msgstore.db pode sofrer alterações automaticamente quando um aparelho celular é ligado? Mesmo em modo avião? Haveria um local de log ou algo do tipo em que eu poderia verificar esse “histórico de alterações” do msgstore.db?
Estou com algumas dúvidas aqui, caso saibam e tenham a fonte para eu dar uma estudada também seria de grande valia.
O msgstore.db pode sofrer alterações automaticamente quando um aparelho celular é ligado? Mesmo em modo avião? Haveria um local de log ou algo do tipo em que eu poderia verificar esse “histórico de alterações” do msgstore.db?
tem outros dois arquivos complementares com o nome de msgstore tambem
so' nao sei alguma ferramenta pra ler isso em especifico, pois ali ficam transacoes "pendentes" no msgstore.db
O WhatsApp usa o WAL (Write-Ahead-Log) do SQLite. Lá ficam várias transações não comitadas. Por isso, sempre bom puxar o msgstore.db-wal junto
tem como fazer carving de transações antigas, mas nem toda ferramenta faz
Boa tarde senhores! Não estamos conseguindo extrair o Samsung SM-A146M.DS, desbloqueado, Android 14, 128 GB. A conexão está *intermitente, ora conecta e ora desconecta*. Estamos usando o UFED for PC. O Windows não identifica o dispositivo (*USB não reconhecido*) mesmo com os drivers atualizados. Já na extração via Bluetooth, *não é possível instalar o APK Client* no dispositivo acima: "Como o app não é compatível com seu smartphone, ele não foi instalado". Alguma sugestão/solução? <Mensagem editada>
Obrigado, [NOME] e [NOME]. Vou dar uma olhada no msgstore.db-wal
Origem 757 — 24/07/2024 16:01 a 16:12 — Extração e análise de mensagens do WhatsApp
boa tarde, pessoal
com uma extração já realizada, consigo obter os logs de acesso ao telefone? informações como arquivos instalados ou removidos entre um intervalo específico, acesso ao whatsapp, etc?
O que tenho aqui é a extração propriamente dita e não o aparelho de telefone celular
e o método de extração foi a lógica avançada pelo Cellebrite (estou com o Cellebrite Reader aqui)
com uma extração já realizada, consigo obter os logs de acesso ao telefone? informações como arquivos instalados ou removidos entre um intervalo específico, acesso ao whatsapp, etc?
O que tenho aqui é a extração propriamente dita e não o aparelho de telefone celular
e o método de extração foi a lógica avançada pelo Cellebrite (estou com o Cellebrite Reader aqui)
Submete a extraçao pro software alleap ou illep
Eu mandei aqui o link do github
opa
Origem 758 — 25/07/2024 09:29 a 10:00 — Extração e decodificação de bancos do WhatsApp
Olá! Bom dia! Alguém já teve problemas com o Telegram X? Estou com uma extração física de um SM-J105B. Não decodifica o Telegram X. Alguma dica?
Bom dia. Telegram X é um problema mesmo. Primeiro é preciso decriptar a db manualmente. Depois o db não segue a mesma estrutura que o telegram comum.
Oi [NOME], eu já consegui decriptar.
Abri manualmente e removi a senha.
eu já abri um banco do telegram
as mensagens ficam tudo em BLOB
diferente do WhatsApp que é tudo certinho em tabelas/colunas
achei o Telegram extremamente confuso pra interpretar os dados
as mensagens ficam tudo em BLOB
diferente do WhatsApp que é tudo certinho em tabelas/colunas
achei o Telegram extremamente confuso pra interpretar os dados
Parei nesse ponto! 😅
uma coisa que eu achei ruim (pra nós) no Telegram
eh identificar o numero de telefone dos usuários
pq não fica esse registro (ou eu não achei) nessa confusão todo do banco
eh identificar o numero de telefone dos usuários
pq não fica esse registro (ou eu não achei) nessa confusão todo do banco
o IPED monta os chats bem certinho
mas interpretar esses dados com o SQL DB Browser ...é de arrepiar kkkk
mas interpretar esses dados com o SQL DB Browser ...é de arrepiar kkkk
Então. Na época eu precisava identificar as mensagens que o usuário mandou porque era um caso de PI. Então fiz um script de um artefato para o Aleapp. Pode ser que ajude. Só não atualizei ele faz alguns meses e tbm não vai suportar todos os tipos de mensagens
<Mídia oculta>
O db deve ter essa estrutura
O db deve ter essa estrutura
<Mídia oculta>
Está assim.
Está assim.
Origem 759 — 02/08/2024 15:43 a 15:48 — Extração e compatibilidade em Samsung SM-A207M
<Mídia oculta>
SM-A207M travado em 37% no Premium. Alguém já conseguiu extrair esse modelo?
SM-A207M travado em 37% no Premium. Alguém já conseguiu extrair esse modelo?
Eu já consegui, mas infelizmente não tenho informações de versão do Android anotada
Fiz um desses ontem, rodou normal, mas o travamento no SAAS acontece de vez em quando mesmo, eu só reinicio o procedimento.
Obrigado [MENCAO] e [MENCAO]
Origem 760 — 06/08/2024 11:19 a 11:19 — Extração e compatibilidade em Samsung SMARTFLOW
Bom dia
Alguém com sucesso na extração de POCO C51 (23053RN02A) ? Já tentei lógica e não faz , smartflow também não. Enfim, nenhum método.
O aplicativo Aa.apk não é instalado porque o aparelho não permite.
Alguém com sucesso na extração de POCO C51 (23053RN02A) ? Já tentei lógica e não faz , smartflow também não. Enfim, nenhum método.
O aplicativo Aa.apk não é instalado porque o aparelho não permite.
Origem 761 — 08/08/2024 11:34 a 13:04 — Extração e decodificação de bancos do WhatsApp
Bom dia senhores, alguém saberia informar qual é o file system utilizado nos DVR da marca XL Power?
Pode abrir e colocar o hd no ftk imager ou no DvrExtractor que mostra
Nesse caso aqui é uma DHFS4
Qualquer coisa tem um Perito fera aqui no grupo chamado [MENCAO]
Pensei que o HD pudesse estar formatado
Mas abri num hexa e vi que tem
Mas o Windows enxerga?
A partir desse endereço começa
Veio, tá extranho...
To justamente tentando processar no DVRExtractor
Esse padrão [SEGREDO]
hmm nesse formato parece o JUAN
Esses aparelhos com hyperos (Android 14) tem dado problemas mesmo. A última informação da cellebrite é que estava previsto melhorias só na 7.71. No momento, nos casos urgentes, estamos fazendo a extração do whatsapp via [NOME] (ativando a criptografia ponta a ponta de backup e descriptografando os crypt15) e um backup do Android. O resto terás que copiar/capturar manualmente. Pelo menos até ter suporte nas ferramentas. <Mensagem editada>
Origem 762 — 16/08/2024 14:16 a 14:56 — Artefatos e vestígios de uso do WhatsApp Web
[NOME], boa tarde
Utilizamos o script para baixar dados do WhatsApp web e quando fomos utilizar o plug in para processar no PA, ocorreu este erro.
Utilizamos o script para baixar dados do WhatsApp web e quando fomos utilizar o plug in para processar no PA, ocorreu este erro.
12:00:43 {'syncToAddressbook': False, 'disappearingModeSettingTimestamp': [TELEFONE], 'name': '?', 'disappearingModeDuration': 0, 'id': '[IMEI][MENCAO]', 'profilePicThumbObj': {}, 'isEnterprise': False, 'msgs': None, 'textStatusLastUpdateTime': -1, 'isSmb': False, 'labels': [], 'isContactSyncCompleted': 1, 'type': 'in', 'isBusiness': False}
12:00:43 Traceback (most recent call last):
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 451, in buttonPressed
results = parser.parse()
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 143, in parse
self.decode_contacts()
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 177, in decode_contacts
contact = self.searchContact(k['formattedName'])
Key [SEGREDO] formattedName
12:00:43 Traceback (most recent call last):
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 451, in buttonPressed
results = parser.parse()
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 143, in parse
self.decode_contacts()
File "C:\Users\Clênio\AppData\Local\Temp\PAUserPlugins\ZAPiXWEB_IMPORT_202308011820\SPIZAPiXWEB_UFED_IMP.py", line 177, in decode_contacts
contact = self.searchContact(k['formattedName'])
Key [SEGREDO] formattedName
O erro parece ser na chave formattedName, que não achamos.
Tem idéia de como resolver?
Cada plugin deve rodar no PA de mesma versão.
O último é esse aqui:
https://github.com/kraftdenker/ZAPiXWEB/blob/main/ZAPiXWEB2PluginUFEDPA7.68.0.25.tplug
O último é esse aqui:
https://github.com/kraftdenker/ZAPiXWEB/blob/main/ZAPiXWEB2PluginUFEDPA7.68.0.25.tplug
A versão do PA é a mesma do plugin (7.68.0.25)
Então use esse que enviei
Ok, vamos utilizar e ver se funciona.
Por enquanto, obrigado.
Qualquer dúvida, te aciono de novo. abcs
Por enquanto, obrigado.
Qualquer dúvida, te aciono de novo. abcs
Origem 763 — 20/08/2024 19:30 a 19:47 — Root e extração em dispositivo Positivo
Boa noite.
Versão nova do plugin de importação da extração via zapixweb:
https://github.com/kraftdenker/ZAPiXWEB/blob/main/ZAPiXWEB2PluginUFED_20240820_4.tplug
Versão nova do plugin de importação da extração via zapixweb:
https://github.com/kraftdenker/ZAPiXWEB/blob/main/ZAPiXWEB2PluginUFED_20240820_4.tplug
XRY acho que tem o Bypass
Não temos o XRY, 😐
Acho que o 4PC não tem bypass nem FB pra esse modelo
Só tem 3 modelos da positivo.
Origem 764 — 30/08/2024 11:16 a 11:31 — Extração e análise de variantes do WhatsApp
Bom dia!
Estou com um Redmi 12c 22120RN86G - Android 14
Está desbloqueado e não estou conseguindo extrair o WhatsApp, nem o Downgrade funciona. Alguma dica?
Estou com um Redmi 12c 22120RN86G - Android 14
Está desbloqueado e não estou conseguindo extrair o WhatsApp, nem o Downgrade funciona. Alguma dica?
Bom dia.
Temos 4 registros desse modelo. Todos FFS apenas no Premium
Temos 4 registros desse modelo. Todos FFS apenas no Premium
Diz a Techbiz que a correção pra esses casos vira no UFED 7.71
Pois é. Estamos esperando ansiosamente tbm. Era pra ter vindo na 7.70, mas postergaram.
O 13C tbm está uma carniça. Esse HyperOS no Android 14 tá osso.
O 13C tbm está uma carniça. Esse HyperOS no Android 14 tá osso.
Bom dia a todos.
Estou com um Samsung SM-J810M/DS *desbloqueado*, Android 10.
As opções no Cellebrite convencional são suportadas até a versão 9.0 do Android.
1. Alguma dica de extração com menor risco de perda dos dados?
2. Alguém já conseguiu extrair com sucesso o WhatsApp Business através de algum aplicativo?
Estou com um Samsung SM-J810M/DS *desbloqueado*, Android 10.
As opções no Cellebrite convencional são suportadas até a versão 9.0 do Android.
1. Alguma dica de extração com menor risco de perda dos dados?
2. Alguém já conseguiu extrair com sucesso o WhatsApp Business através de algum aplicativo?
Esse é bem chato no Android 10. Na maioria dos casos é possível fazer no Premium. Já tive uma situação que não foi possível.
pois é...fiz Android Backup e Lógica Avançada, mas vem o WhatsApp Business e nem deu certo a extração manual pelo Extractor.
Sim. Bem chato mesmo. Hoje mais de 40% das FFS Android são feitas via Premium pq o SmartFlow gera algum atraso.
Se precisa o WA4B e não tem Premium, a opção é fazer a extração via Apk WhatsApp-Email
Aí exporta essas conversas e as mídias.
É bem chato esse método, ainda mais se tiver várias conversas.
umas 6, pelo menos
na extração via Extractor até vem com as mídias, mas as conversas estão prejudicadas
Origem 765 — 02/09/2024 13:12 a 14:45 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Olá pessoal boa tarde! Alguém já teve experiência com extração de dados de central multimídia veicular? No nosso caso aqui recebemos uma que não possui porta USB...
<Mídia oculta>
Aqui entra um cabo com porta usb, é que enviaram sem os chicotes para vc.
Aqui entra um cabo com porta usb, é que enviaram sem os chicotes para vc.
Bom dia. Sim, vários no Premium
Aqui está dando erro no Premium, algum segredo?
Último registro de sucesso foi na 7.70.402. Saiu a 502 já.
No máximo seria manter a tela ligada, fica fazendo carinho nela e veja se da boa.
No máximo seria manter a tela ligada, fica fazendo carinho nela e veja se da boa.
Vou tentar novamente, aqui estamos com a 502
hum entendi, verdade, enviaram pra gente sem os chicotes... mas bom saber desse detalhe da usb.. valeu mesmo! 👊🏻
Entra em adb por padrão salvo engano
Android 4 ou 5
Parece suave de extrair
Deve dar chipoff ou jtag de boa tb
pensamos exatamente no chipoff... vc ja chegou a fazer alguma extração desse carinha? rs
A minha é pessoal, ta no meu carro
Vc nao consegue alimentar ela?
Vc nao consegue alimentar ela?
Qq coisa liga em algum veiculo e leva um notebook com ufed
Tem usb?
a bronca era essa tb, até o amigo [MENCAO] lembrou do chicote que arrancaram qdo tiraram do carro... aí não temos essa usb
se vc tiver marca e modelo, talvez consiga saber quais pinos acessem a USB, e fazer uma "ligação direta"
boa...é uma opção.. obrigado Conrado! ah e tb agradeço ao [MENCAO] e ao [MENCAO], ja deu pra pegar algumas ideias! Valeu pessoal!
Xiaomi 2201117tg chipset sm6225
Origem 766 — 06/09/2024 09:39 a 11:17 — Extração e bloqueios em Xiaomi/Redmi/POCO
IMG-20240906-WA0008.jpg (arquivo anexado)
Alta tecnologia utilizada para viabilizar extração de dados
Alta tecnologia utilizada para viabilizar extração de dados
Eu faço uso da técnica do papelzinho, mas essa é uma boa ideia
eu tentei mas não estava dando certo ehehe
Sim sim, às vezes não rola e pego um peso pra dobrar o cabo. O elástico é um bom substituto 🤣
Tinha um conector que conforme mexia entrava em curto. O carregador desligava, tinha proteção, mas fiquei com medo de queimar o turbo link do Premium e tive que arrumar
Putz, mais um medo implantado 🥲
IMG-20240906-WA0030.jpg (arquivo anexado)
Olha a taxa!
Olha a taxa!
Fale esse nome não, que deu até medo.
O ônus: celular fritando e não tem carregador que segure até desligar
Se for tentar comprar um carregador melhor, aí sim você vai ver a taxa 😏🤣
Pega aqueles carregadores brutos da Xiaomi, de 120W, deve aguentar.
Origem 767 — 11/09/2024 15:56 a 16:06 — Extração e limitações em Motorola XT2127
Existe alguma forma de desbloquear e extrair um Moto G10 (XT2127-1) com bloqueio de usuário do tipo padrão de desenho? <Mensagem editada>
Esse é um eq FBE. Precisa utilizar BF para habilitar a extração.
Atualmente o Premium faz esse procedimento de quebra de senha
Atualmente o Premium faz esse procedimento de quebra de senha
Origem 768 — 12/09/2024 13:25 a 13:25 — Root e extração em dispositivo Positivo
Sim, o objeto material vai para uma custódia, mas a extração, por evidente, não está dissociada do objeto, é dizer, feita a extração por perito criminal oficial, que goza de presunção de legalidade e fé dos atos praticados na atividade finalística, representa o dado que estava no referido dispositivo. E para questionar a extração, por certo tem que ser disponibilizada aquela para a parte que a aproveita.
Origem 769 — 13/09/2024 09:52 a 10:54 — Extração e decodificação de bancos do WhatsApp
Bom dia, pessoal. Alguma solução para HyperOS desbloqueado que não seja UFED e Premium? Não está indo em nenhum dos dois. E é um caso de extrema relevância. 😅😅😅😅😅
Se alguém souber alguma mágica, compartilha aí!!! 🙌🏼
Bacana HyperOS. Ainda não peguei um desses para exame
Bom dia! Conheces o AFE-KODA? pode tentar com ele. Depende das informações buscadas.
IMG-20240913-WA0003.jpg (arquivo anexado)
GMS Context DB. Alguém sabe dizer a origem técnica?
GMS Context DB. Alguém sabe dizer a origem técnica?
Parte da tela do PA. Extração de um SM-J100M
Não conheço. Quais tipos de informação ele contempla?
São várias informações de log, de uso de app, de app instalado etc.
Estou precisando prioritariamente de conversas do WhatsApp (pelo menos). Conseguimos apenas a extração Backup e também não vieram todos os arquivos de mídia
https://infopericia.com.br/
Não lembro se pega conversas de WhatsApp.
Prof. [NOME] Ramos de Figueiredo.
Professor Universitário, Perito forense computacional.
(atuando nas áreas de auditoria de software, perícia de multimídia e mobile).
Professor Universitário, Perito forense computacional.
(atuando nas áreas de auditoria de software, perícia de multimídia e mobile).
[NOME].rf <[EMAIL]>
Pode solicitar por e-mail.
Aqui tenho feito com o [NOME], fiz um tutorial. Veja se ajuda:
Um ponto de atenção que percebi depois… É que o arquivo msgstore.db e seus incrementos devem ir para a subpasta Databases e não Backups com os demais arquivos.
E o link para download do [NOME] 3.7 está indisponível, mas dá pra pegar pelo GitHub hoje em dia.
Obrigada, pessoal. Vou pesquisar sobre as ferramentas. Muito obrigada!!!!
<Mídia oculta>
Extração-WhatsApp via [NOME]_v2.pdf
Extração-WhatsApp via [NOME]_v2.pdf
Corrigi essas informações numa nova versão aqui.
Origem 770 — 13/09/2024 13:47 a 14:31 — Ativação do modo desenvolvedor e depuração USB
Não. Essa opção afeta algo?
Sem desativar isso a maioria das minhas extrações de Android MIUI falham
É mesmo sendo HyperOS e não mais MIUI, ainda existe essa opção? Vou testar.
Se não me falha a memória, Dentro de opções de desenvolvedor, no menu "redefinir para valores padrão" aperta 4x nele que vai aparecer a opção a opção "ativar otimização MIUI" aí você consegue desativar
Precisa reiniciar o aparelho para tentar a extração após o procedimento
Nunca tinha ouvido falar nisso
Olha só.... mais uma informação nova pra mim tb
Boa tarde, pessoal. Alguém já trabalhou com material fornecido pela Apple depois de um mandado judicial de quebra de sigilo? Eles mandaram vários ZIPs com cada coisa aí dessa imagem. Algumas coisas foram fáceis de ler tipo: Photos e e-mail. Mas o Backup, por exemplo é um monte de arquivo esquisito.
Muito obrigado, com esse tutorial consegui resolver uma bronca hoje
As conversas indexadas pelo iped só não saíram com as fotos dos contatos ou os nomes deles, mas isso foi o de menos. Tava tendo problemas com um Moto E6s
Aqui no HyperOS chama “ativar otimização do sistema”. Acho que é isso né?
Tenho esse registro aqui, mas deve ser a mesma coisa
Tô com um 12C e não achei essa opção
É um menu escondido, só aparece depois se apertar 4x no menu redefinir para valores padrão
Aqui achei num 12, bem lá no final da lista do MODO DESENVOLVEDOR. Mas depois que reinicia ele ativa de volta.
E aí, desativa e não precisa reiniciar denovo?
E aí, desativa e não precisa reiniciar denovo?
Eu reinicio o aparelho antes de tentar a extração novamente <Mensagem editada>
Então, a gente desativou aqui e reiniciou. Mas após reiniciar, a opção voltou ativa.
Mantenho ativa ou desativo?
Boa Tarde.
Perito Claudino, aqui do DF.
Poderia adicionar dois colegas aqui de Brasilia no grupo Computação Forense?
Obrigado
Perito Claudino, aqui do DF.
Poderia adicionar dois colegas aqui de Brasilia no grupo Computação Forense?
Obrigado
Deixo aqui tb uma sugestão.
Seria interessante talvez adicionar os chefes das perícias como administradores desse grupo.
Como o grupo tomou grandes proporções, talvez facilitasse.
Seria interessante talvez adicionar os chefes das perícias como administradores desse grupo.
Como o grupo tomou grandes proporções, talvez facilitasse.
Origem 771 — 17/09/2024 09:23 a 10:51 — Extração e compatibilidade em Samsung SM-A032M
Bom dia, pessoal. Alguém saberia de alguma maneira de exportar uma conversa do Instagram do iPhone? UFED não pegou a conversa. Eu tenho a senha da conta e, na Internet, tem tutorial de exportar. Mas não aparece as opções para isso. <Mensagem editada>
Não existe essa opção de "Solicitar um download"
Com mandado judicial, tem a opção de usar o UFED CLOUD ou o AXIOM CLOUD, se disponíveis.
Esse passo-a-passo é da própria meta?
Temos a autorização da vítima. Só não temos as ferramentas. 😔
Achei no Google e chat-gpt
O do site oficial é igual, aparentemente.
https://help.instagram.com/1224884341728748/?helpref=related_articles&cms_id=1224884341728748
https://help.instagram.com/1224884341728748/?helpref=related_articles&cms_id=1224884341728748
No tutorial diz que só funciona para computador. Eu vou ver aqui se consigo. Obrigado pela ajuda.
Pessoal, sobre esses casos das impressoras, que mandei aqui na semana passada e que vcs me ajudaram com algumas informações... Esses modelos não estão listados dentre aqueles que sabidamente existem os "tracking dots". São impressoras da Samsung, HP, Epson e Brother. Entrei em contato com o suporte técnico de cada uma e disseram não haver esse tipo de registro (acredito, inclusive, que não seria uma informação difundida ou formalizada em manual mesmo)...
Com relação à análise de eventuais vícios presentes nas impressões, pelo que pesquisei, eles podem ser causados tanto pelo toner quanto pela impressora em si. Levando em conta que são casos datados desde 2014, penso que seja difícil determinar algo nessa linha também...
Fiz algumas impressões de teste em cada impressora e pensei em identificar esses pontos, pra ver se reconheço algum padrão.
Alguém tem mais alguma sugestão sobre o fazer? Penso que a probabilidade de sair inconclusivo é grande.
Com relação à análise de eventuais vícios presentes nas impressões, pelo que pesquisei, eles podem ser causados tanto pelo toner quanto pela impressora em si. Levando em conta que são casos datados desde 2014, penso que seja difícil determinar algo nessa linha também...
Fiz algumas impressões de teste em cada impressora e pensei em identificar esses pontos, pra ver se reconheço algum padrão.
Alguém tem mais alguma sugestão sobre o fazer? Penso que a probabilidade de sair inconclusivo é grande.
Bom dia!
Por favor, alguma sugestão de como realizar a extração do modelo Samsung Galaxy A03 Core (SM-A032M/DS) bloqueado?
Por favor, alguma sugestão de como realizar a extração do modelo Samsung Galaxy A03 Core (SM-A032M/DS) bloqueado?
Se tiver Premium, segue o passo a passo do [NOME]
No premium já foi descrito aqui o "macete" para sucesso.
o tal "método 5" que é factível com técnica que o [NOME] compartilhou
o tal "método 5" que é factível com técnica que o [NOME] compartilhou
De forma resumida: precisa abrir parte posterior para desligar a bateria e ter acesso a testpoint que deve ser "aterrado" com cabo inserido após falha do método 4, e após o início do processo, ligar a bateria
Pode usar a técnica que é batata, consegui limpar meu estoque de quase 200 indivíduos desses que eu tinha aqui.
Origem 772 — 17/09/2024 12:46 a 13:05 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia! Estou com um Galaxy A31 que apresenta mensagem de superaquecimento e reinicia quando conectado no computador. Curioso que na verdade o aparelho não aquece... nem apresenta o mesmo comportamento qdo conectado no carregador. Alguém já passou por isso?
qual o estado de integridade do celular? as vezes eles tá com termistor avariado ou a bateria está com problema mesmo
O aparelho está em bom estado e não parece ter entrado em contato com água
Boa tarde! já pegamos um caso parecido no qual o problema era o termistor no circuito de entrada da alimentação do aparelho. Foi só desmontar e retirar o componente que o celular funcionou de boa para extração.
Origem 773 — 26/09/2024 14:48 a 15:40 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, recebi um roteador Hitron Chita da Claro para tentar tirar alguns logs, mas o login e senha que vem na etiqueta do roteador não são válidos. Tentei os básicos com admin, admin e afins, mas nada deu certo. Alguém já teve caso parecido?
IMG-20240926-WA0012.jpg (arquivo anexado)
🙄
🙄
normal. Vc pode fazer 4 procedimentos:
1- usar conector serial na placa mãe para entrar direto no shell de adminiatração que muitas vezes está "logado" em root.
2- chipoff ou leitura direta (jtag/similares) da memória flash e decodificar (binwalk+ghidra|IDA)os dados e pegar a senha (hash) e quebrar a senha
3- chipoff ou leitra direta da memória flash e decodificar o sistema de arquivos (binwalk) e loclaizar o arquivos de senhas e quebrar a senha.
4- verificar a versão do firmware e procurar uma vulnerabilidade conhecida que permita explorar e acessar os dados <Mensagem editada>
1- usar conector serial na placa mãe para entrar direto no shell de adminiatração que muitas vezes está "logado" em root.
2- chipoff ou leitura direta (jtag/similares) da memória flash e decodificar (binwalk+ghidra|IDA)os dados e pegar a senha (hash) e quebrar a senha
3- chipoff ou leitra direta da memória flash e decodificar o sistema de arquivos (binwalk) e loclaizar o arquivos de senhas e quebrar a senha.
4- verificar a versão do firmware e procurar uma vulnerabilidade conhecida que permita explorar e acessar os dados <Mensagem editada>
Na opção 3 tb pode pegar os logs direto de inde estiverem armazenados
Origem 774 — 27/09/2024 08:10 a 08:38 — Extração e bloqueios em Redmi Note 13 Android
Bom dia Colegas.
Apenas para constar a experiência com extração de um Xiaomi Redmi Note 13 Android 13 que, no Ufed Inseits (o mais atual) desbloqueia por BF, porém não consegue extração. A solução encontrada: depois do desbloqueio no Inseits, fazer a extração na versão antiga do Premium (7.68).
"Upgrades" da Cellebrite: 2 pra trás pra 1 pra frente"
Apenas para constar a experiência com extração de um Xiaomi Redmi Note 13 Android 13 que, no Ufed Inseits (o mais atual) desbloqueia por BF, porém não consegue extração. A solução encontrada: depois do desbloqueio no Inseits, fazer a extração na versão antiga do Premium (7.68).
"Upgrades" da Cellebrite: 2 pra trás pra 1 pra frente"
OBS: No início da extração, tem que passar para o Premium a senha descoberta no BF do Inseits. <Mensagem editada>
Origem 775 — 02/10/2024 14:25 a 14:29 — Extração e análise de mensagens do WhatsApp
estranho, aí mostra um grupo de cinco pessoas e com números distintos
Não, nem pela dinâmica da conversa, e na coluna “Chat Type” ele informa “One on One”
Percebam 4 dos contatos aparecem como “proprietário” do smartphone
Se for Android, verifica os xmls q vem no data/com.whatsapp
Em mensagens de SMS encontrei indícios que esses numeros receberam mensagens direcionadas a Renata (investigada proprietária do smartphone) <Mensagem editada>
pra ver se no xml vem mais detalhado
É um Iphone 11
entendi. tenta achar os dbs e xmls análogos no sistema de arquivos, creio que deve ter de forma intuitiva
Origem 776 — 08/10/2024 16:03 a 16:43 — Elaboração de laudo e relatório técnico pericial
Boa tarde, pessoal! Tô aqui com uma credencial (usuário e senha) do OneDrive. Insiro manualmente no Ufed Cloud mas não autentica. Pelo browser consigo acessar o drive de boa. Problema é realizar a extração. Alguma dica? Obg
Ou uma ferramenta alternativa.
Eu registraria foto do erro do Cloud no laudo
E paciência...faz a varredura manualmente
E se instalar o OneDrive em uma máquina virtual e fazer download de tudo?
Origem 777 — 16/10/2024 10:14 a 11:09 — Root e extração em dispositivo Positivo
Bom dia, alguém ja extraiu dados desses Positivo P220 com o UFED4PC? Se já, qual o modelo usou ?
<Mídia oculta>
Esses bombinhas.
Esses bombinhas.
Tem um perfil no 4PC “Chinese phones Positivo”. Tem P20, P30. Dá pra tentar
Origem 778 — 22/10/2024 14:03 a 14:03 — Extração e acesso a dados em iPhone 12
<Mídia oculta>
Boa tarde, pessoal! Estou com um iPhone 12, modelo A2403. O dispositivo veio com esse bloqueio de usuário. Pelo UFED não tivemos suporte. Alguma alternativa, sugestão? Obrigado
Boa tarde, pessoal! Estou com um iPhone 12, modelo A2403. O dispositivo veio com esse bloqueio de usuário. Pelo UFED não tivemos suporte. Alguma alternativa, sugestão? Obrigado
Origem 779 — 23/10/2024 11:34 a 11:55 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, sobre os aparelhos Xiaomi com HyperOS, eu consegui fazer extração de contatos, chamadas e SMS via bluetooth usando o UFED.
Eu peguei o APK do cliente do UFED, que não instala manualmente, e forcei a instação via ADB com o seguinte comando:
*adb install --bypass-low-target-sdk-block FILENAME.apk*
Inicialmente eu estava com esperança de dar certo a lógica avançada via USB, mas quando vou fazer isso ele acaba desinstalando o cliente. Já via bluetooth isso não acontece.
É pouca coisa, mas mais fácil do que usar o Extrator pra pegar essas infos.
Eu peguei o APK do cliente do UFED, que não instala manualmente, e forcei a instação via ADB com o seguinte comando:
*adb install --bypass-low-target-sdk-block FILENAME.apk*
Inicialmente eu estava com esperança de dar certo a lógica avançada via USB, mas quando vou fazer isso ele acaba desinstalando o cliente. Já via bluetooth isso não acontece.
É pouca coisa, mas mais fácil do que usar o Extrator pra pegar essas infos.
<Mídia oculta>
appA.apk
appA.apk
Não funcionou com os arquivos de mídia?
Não testei. Acabo usando o [NOME] pra pegar, que acaba sendo mais rápido.
Origem 780 — 24/10/2024 11:22 a 11:37 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Recebi um iPhone 11 e, aparentemente, não tem nada na memória.
Tem como saber se ele foi resetado e, aproximadamente, quando?
Tem como saber se ele foi resetado e, aproximadamente, quando?
Olá. Tem sim. Precisa antes de uma extração FFS. Aí terá informações em alguns logs sobre isso
Fiz FS e tentei lógica, mas da erro.
Vai precisar de um Premium ou concorrente para conseguir essa FFS
Essas duas aí que você fez é basicamente o backup do iTunes
Beleza [MENCAO], vou fazer no premium.
Obrigado.
Obrigado.
Bom dia Srs.
Por gentileza, alguma alternativa para extração do _Galaxy A32 (SM-A325M)_, *Android 12*, *bloqueado* no UFED Touch convencional?
Por gentileza, alguma alternativa para extração do _Galaxy A32 (SM-A325M)_, *Android 12*, *bloqueado* no UFED Touch convencional?
Só consegui no XRY.
Show. Aí com essa extração vai conseguir, em alguns arquivos específicos, registros de formatação e motivo.
Precisa desbloquear para ter acesso aos dados. É um FBE, então precisa de algum método de desbloqueio.
Esse é um MTK, então XRY tem suporte, PC3000 e Premium.
Esse é um MTK, então XRY tem suporte, PC3000 e Premium.
XRY e PC3000 eu acho que usam o mesmo método, via BROM. Já premium precisa do Android inicializado.
sonhando aqui com um dia ter pelo menos esse PC 3000.
premium tá complicado.
Já ajuda muito. Estamos querendo tbm ele.
A taxa do BF dele depende apenas do computador, então agiliza muito nos casos de senha alfa.
Tomara que várias Científicas consigam, que aí o suporte pode ser cada vez melhor.
A taxa do BF dele depende apenas do computador, então agiliza muito nos casos de senha alfa.
Tomara que várias Científicas consigam, que aí o suporte pode ser cada vez melhor.
Eu acho que o Premium é ainda o melhor. O GrayKey e PC3000 complementam as falhas do Premium.
é a ideia. Tem muita gente sondando. Acho que a adesão tende a ser boa.
Origem 781 — 29/10/2024 11:42 a 11:42 — Extração e compatibilidade em Samsung SMARTFLOW
Sucesso no Smartflow (Full File System) de um Redmi 13C 5G (23124RN87I), Android 14 - HyperOS, Patch de Segurança 1/7/2024 no UFED 7.70.0.180.
Origem 782 — 30/10/2024 10:27 a 10:52 — Extração e compatibilidade em Samsung SM-M625F
Nessa versão do UFED eles corrigiram os Redmi com chipset Dimensity, mas os Redmi 12c ainda não
provavelmente nem vai ser corrigido, por ser mais antigo?
Boa pergunta. Saiu a 7.71 esse fds. Ainda não testei.
IMG-20241030-WA0013.jpg (arquivo anexado)
Notas da versão 7.70
Notas da versão 7.70
fizemos um teste com um 12c com Mediatek Helio nao deu
Mas essa extração que voce fez no UFED não foi com a versão 7.71? <Mensagem editada>
Bom dia. Alguém já conseguiu desbloqueio de um Galaxy M62 (SM-M625F)? Premium não tá dando. Só pra comparação com outras ferramentas… É Exynos 9825
Origem 783 — 04/11/2024 08:39 a 08:57 — Atuação do assistente técnico em perícia criminal
Pessoal, fiz duas extrações do mesmo aparelho, ontem e hoje.
As duas full file system. As duas finalizaram com sucesso. Uma com 15Gb e outra com 69Gb.
Aparelho aparentemente com mal contato. Me parece que o UFED começa a contabilizar os arquivos e, por causa do mal, contato para de contabilizar. Depois começa extrair como se nada tivesse acontecido.
As duas full file system. As duas finalizaram com sucesso. Uma com 15Gb e outra com 69Gb.
Aparelho aparentemente com mal contato. Me parece que o UFED começa a contabilizar os arquivos e, por causa do mal, contato para de contabilizar. Depois começa extrair como se nada tivesse acontecido.
Prezados, relato um caso que aconteceu conosco aqui no DF.
Duas extrações com status SUCESSO, porém com tamanhos diferentes. Aconteceu no Full File System.
Como muitos casos são solicitações de extração integral, pode ser um problema sério.
Duas extrações com status SUCESSO, porém com tamanhos diferentes. Aconteceu no Full File System.
Como muitos casos são solicitações de extração integral, pode ser um problema sério.
não seria o caso de submeter esta situação à TECH BIZ para avaliação?
acredito que eles possam relatar o caso à Cellebrite que, por sua vez, deva avaliar, verificar, esclarecer e corrigir possíveis falhas no processo.
Chamado já realizado 👍
se possível, dá um retorno aqui no grupo pra gente meu amigo.
é algo que traz certa preocupação.
Já aconteceu comigo isso, resolvi trocando a peça da entrada mini-usb
Antes tentei limpar o ctt com álcool isopropilico
mas não deveria apontar erro de extração neste caso?
Mas só funcionou depos que eu troquei a entrada
sim, também costumo fazer isso.
Acredito que o Cellebrite não faz isso quando a extração está em andamento
Mas é um caso para reportar a tecbiz
mudando de assunto rapidamente: Alguém tem tido dificuldades para utilização da assinatura eletrônica do GOV.BR esses últimos 4 dias, por favor?
Eles vão enviar a Cellebrite
Porém muitas coisas que eu envio pra lá
Não tenho respostas
problema é a ferramenta acusar "sucesso", e não se ter certeza de tal.
Nesse caso a diferença do total de bytes foi notória, mas podem haver casos nos quais pode haver uma pequena diferença e essa diferença ser significativa para o caso.
Nesse caso a diferença do total de bytes foi notória, mas podem haver casos nos quais pode haver uma pequena diferença e essa diferença ser significativa para o caso.
Seria muito azar o juiz autorizar um assistente técnico refazer essa extração
Origem 784 — 06/11/2024 10:19 a 11:39 — Extração e compatibilidade em Samsung SMARTFLOW
Sucesso no Smartflow - Full File System - UFED 7.71.0.1881
Xiaomi 23021RAAEG - Redmi Note 12 4G
Android 14 (HyperOS) - SPL 01/06/2024
Chipset Qualcomm SM6225 Snapdragon 685
Xiaomi 23021RAAEG - Redmi Note 12 4G
Android 14 (HyperOS) - SPL 01/06/2024
Chipset Qualcomm SM6225 Snapdragon 685
saberia informar se essa seria a primeira atualização após o 7.68.0.809, disponibilizaram outras?
sim, tem a 7.69, 7.70 e agora a 7.71
Exclusivo: Criminosos invadem sistema de inteligência da PM para monitorar viaturas em tempo real
https://sbtnews.sbt.com.br/noticia/policia/criminosos-invadem-sistema-de-inteligencia-da-pm-para-monitorar-viaturas-em-tempo-real
https://sbtnews.sbt.com.br/noticia/policia/criminosos-invadem-sistema-de-inteligencia-da-pm-para-monitorar-viaturas-em-tempo-real
Origem 785 — 17/11/2024 23:15 a 23:19 — Esse UFED aí é o UFED touch 1
Esse Ufed aí é o Ufed touch 1?
Se for ele, lembro muito bem dessa abertura de tela hahaha
Botamos pra ficar bonito
Belo trabalho de vcs
STK-20220531-WA0012.webp (arquivo anexado)
Origem 786 — 28/11/2024 08:32 a 08:33 — Extração e acesso a dados em iPhone 15
Bom dia. Alguém que tem Premium já recebeu o acessório novo para extração AFU de iPhone 15?
Desculpa, foi corrido e passou batido de te responder. Ele queria ver a possibilidade de identificar equipamentos e ips que conectaram em uma casa supostamente de festas de uma facção
Origem 787 — 28/11/2024 09:09 a 10:38 — Procedimento básico: Extração física se possível e jogar todos APKs instalados no virustotal
Fiquei sabendo só da Federal e MJ. Perdendo AFU em 72 horas está difícil.
Parece que são 4 dias, mas ruim igual…
https://www.hexordia.com/blog/ios18-reboot
Bom dia a todos. Uma pessoa fez transações usando o aplicativo do banco no celular. Ela está alegando que o celular foi invadido e manipulado remotamente.
Alguma sugestão de como proceder?
Muito interessante. Logo, pelo que entendi, o problema é o keystore ficar sem nenhum credenciamento no tempo limite. Isso é, é preciso ter algum credenciamento/desbloqueio no período (72h)
Procedimento básico: Extração física se possível e jogar todos APKs instalados no virustotal. Tem que examinar todo programa para ver sua real natureza de fucnionamento
Origem 788 — 09/12/2024 10:06 a 10:25 — Extração e decodificação de bancos do WhatsApp
Bom dia Srs.
Estou com um *Xiaomi*, S.O.: *Hyper OS ver: 1.0.7*, _Android: 14_
Patch *Seg*: 01/08/2024
Ver. WhatsApp: 2.24.21.79
Alguma dica para tentar extrair o WhatsApp, por gentileza?
Estou com um *Xiaomi*, S.O.: *Hyper OS ver: 1.0.7*, _Android: 14_
Patch *Seg*: 01/08/2024
Ver. WhatsApp: 2.24.21.79
Alguma dica para tentar extrair o WhatsApp, por gentileza?
Qual modelo de Xiaomi é esse? <Mensagem editada>
o 23053RN02L (Redmi 12)
Não consegui o APK Downgrade.
app não é compatível
Você tem Premium?
tentei fazer extração avulsa (Extractor), mas os arquivos não funcionam.
Uhnn. Com ele você conseguiria uma FFS (depois de muita insistência).
já vi que é bastante complicado mesmo.
Bom dia [MENCAO] ! Você tentou usar o [NOME] Whatsapp Extractor?
Sim. Tentei tudo que podia tentar no [NOME], mas não funciona.
antes eu já tinha conseguido alguns pelo [NOME] e estava sendo a minha melhor ferramenta pra esses casos..rs
mas vou rever todos os passos e tentar mais uma vez, de qq forma.
rss tem uns cels chatos mesmo.. mas vc usou aquele método que usa o backup criptografado para coletar os db's do Whatsapp?
Origem 789 — 17/12/2024 13:22 a 13:35 — O básico vc diz o UFED
O inseyets também é por dongle?
precisa de internet para usar o modo básico sem ser "premium"/pro?
Deve dar. No agente do premium vc coloca o endereço do servidor. Se ele conseguir se comunicar, entao vai funcionar.
O básico vc diz o UFED?
o UFED do inseyets é chamado como? UFED inseyets?
Vix. Nem sei, pq nunca usamos. Ufed usamos em outros pq a fila no premium é enorme. Mas acredito que não precisa nesse caso.
É tudo igual. Já vi o inseyets e a única coisa que aparentemente muda é a logo.
Origem 790 — 20/12/2024 09:15 a 10:19 — Extração e acesso a dados em Redmi 13C com HyperOS
Pessoal que usa o Premium, vocês tem algum critério para desbloquear ou não? Só casos mais relevantes? Todos os casos? Como que fazem?
Não entendi muito bem sua pergunta, mas imagino que queira saber se fazemos no 4PC ou em outro primeiro.
Aqui, de primeira, desbloqueio no Premium, pois a probabilidade de sucesso é maior, e o processo geralmente é mais simples.
Aqui, de primeira, desbloqueio no Premium, pois a probabilidade de sucesso é maior, e o processo geralmente é mais simples.
Na verdade foi mais no sentido: vocês tentam desbloqueio em todos os aparelhos?
Ao que parece temos um número limitado pra créditos para utilizarmos dentro de um ano.
Ao que parece temos um número limitado pra créditos para utilizarmos dentro de um ano.
Pra ter um uso racional da ferramenta.
Entendi agora. Aqui é ilimitado.
Uma dúvida, ele só debita em caso de sucesso no desbloqueio, certo?
Uma dúvida, ele só debita em caso de sucesso no desbloqueio, certo?
isso, só em caso de sucesso
Aqui parece que teremos 540 créditos pra usarmos no interior... Por um lado, se economiza demais e não usa tudo, no final parece injustificável... Por outro, se usa pra todo e qualquer caso, pode ser que fiquemos sem lá na frente e prejudique algum caso mais importante...
Mas tbm, será que devemos fazer esse juízo sobre o que é importante e o que não é?
Mas tbm, será que devemos fazer esse juízo sobre o que é importante e o que não é?
No ilimitado é tudo Premium, mesmo porque não tem como usar o Premium junto do UFED. Se desse até mandaria extração em paralelo, igual no XRY.
Uma estratégia que adotaria seria o meio termo:
Usaria sempre até bem perto do limite da cota, deixando um ou dois créditos para um caso de repercursão.
Usaria sempre até bem perto do limite da cota, deixando um ou dois créditos para um caso de repercursão.
Aqui também é ilimitado e acabamos tentando praticamente todos, sempre tentando desbloquear no premium e extrair nos UFEDs (exceto iphones pois o premium faz FFS). O que muda é o tempo na brute-force tendo em vista os prazos judiciais. Tomamos nota dessa quantidade de aparelhos submetidos e do sucesso para justificar as futuras renovações. <Mensagem editada>
Legal. Em termos práticos, pra aparelhos desbloqueados, o que muda mesmo são pros iPhones (FFS)?
Achei que pra Android, como as carniças de Redmi 13C com HyperOS, teríamos vantagens tbm.
Tem vários androis que conseguimos apenas bo Premium tbm
Uma sugestão é fazer todos os aparelhos nas primeiras 5, 6 semanas. Com esses dados fazer uma projeção de até quando durariam os créditos. Com base nela, ajustar um limite mensal p/ que os créditos durem até o final do prazo e p/ sempre ter alguns na manga p/ casos mais importantes.
Mas aí teria que ver como esta o contrato. Se tem limite apenas para desbloqueio ou tbm para extração.
Nos temos ilimitado e esse valor de 540 duraria 6 meses no nosso fluxo.
vou atrás dessa info, mas ao que parece é apenas pra desbloqueio
Aí depende da qtd de celulares que vcs fazem por mês.
No nosso caso, dos celulares que conseguimos desbloquear, 60% é premium. (O restante é senha fornecida, ufed, ou que conseguimos por tentativas).
Um exemplo desse ano: foram mais de 1200 desbloqueios com sucesso apenas com o Premium.
que blza, hein? Nosso sonho..rsrs
E a extração ilimitada faz muita diferença tbm.
Ffs e física no premium é o que mais fazemos. Puq no ufed tem vários que é bem difícil conseguir.
Não. Nem perde tempo com isso
BFU quase não vem info. Maxmo umas contas.
Fazemos BFU quando a quebra de senha não teve sucesso. Ai mandamos ela para mandar pelo menos os IMEIs e as contas que foram possíveis pegar associadas ao celular.
BFU é a exceção
A não ser jo seu caso com limitador de quebra
Ai nos casos em que não irá fazer BF, manda BFU.
pois é... mto intuitiva
Senha de Wi-Fi já deu pra conseguir umas alfanuméricas que deu pra pegar a do celular. Mas geralmente não vem quase nada mesmo.
Origem 791 — 03/01/2025 11:05 a 12:12 — Triagem visual de imagens e vídeos no IPED
Bom dia, alguém já realizou extração da dados em um MacBook Pro A2338?
[MENCAO] , ja teve uma discussão ha algum tempo no grupo sobre esse eqpto
inclusive é um aparelho muito similar ao a2237 (que por acaso estou tentando fazer uma imagem neste exato momento)
ele usa o chip M1 (ou, os mais novos, M2)
o que estou conseguindo é uma imagem lógica, usando a própria ferramenta de recovery da apple
Tem uma ferramenta que vi a indicação, mas ainda não tive tempo de testar. A extração seria uma lógica do volume
https://github.com/Lazza/Fuji
Pessoal, gostaria de saber se alguém pode me ajudar. Rodei IPED em um HD aqui e encontrei o documento questionado, mas um dos quesitos é se o documento foi criado no computador encaminhado para perícia. Tem algum metadado que pode me ajudar nisso?
Origem 792 — 10/01/2025 14:02 a 17:51 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde! J400M está entrando em bootloop na extração do modo ufed normal, e no turbolink/Premium não é reconhecido. Alguma alternativa?
Funciona bem, o [MENCAO] comprou um carregador desse.
J400M faz bruteforce no premium?
Não tem registro aqui, mas acredito que faça. O bootloader no 4PC não tá dando certo?
no ufed normal todas as formas de bootloader faz com q fique em loop, dando falha na extração
vou procurar outro j400m no passivo para ver se o problema é nesse em específico
no modo premium, ele teria que estar ligado na tela de senha, correto? tentei de tudo q é forma, desligado, em modo download, exibindo tela de senha, e nada
As versões atuais não fornecem mais a opção de BF em casos de FDE. Libera direto a fisica.
Apenas BF se tiver secure startup ativo.
Apenas BF se tiver secure startup ativo.
Antigamente ele tinha essa opção, mas foi removida faz um tempo. E mesmo assim em vários dava erro. Ficava travado o BF e depois aparecia uma tela em vermelho.
Entendi. Esse aqui é um android 9 pela versão do Firmware do recovery, aparece o papel de parede da proprietária e pede senha alfanumérica. Alguma forma de saber se é FDE ou FBE? <Mensagem editada>
O J400m é FDE, não importa a versão do Android ou firmware.
O 9 é bem chato de conseguir no UFED. Não são todos que dão boa.
Considerando que o Android é original.
Foi triste. Esse premium não serve pra nada então, vou pedir a devolução e o estorno!
Mas qual erro que dá?
Ele chega a começar as etapas?
No modo UFED / 4PC, após o modo download, quando vai pro step 1, ocorre soft "brick", fica em loop com aquele texto vermelho no topo <Mensagem editada>
a extração falha, mas no fim retira do loop
Já no modo "Premium", usando o turbolink, não detecta o aparelho, seja ligado, desligado, em modo download
O método seria ligado apenas. Não funciona em outros métodos.
Deixou quanto tempo conectado?
Até dar mensagem de "erro" solicitando que se conectasse algum aparelho
Testa se funciona o otg com um mouse. Iria pelo bloqueado com ele ligado e tentaria deixar o máximo com a tela ligada (coloca no contato de emergência). Caso chegue nesse erros, tente clicar em ok e aguardar pra ver se ele avança pro método 1. Outra opção é usar um outro aparelho para iniciar o método 1 e logo trocar
Deixa mais tempo. Tive um caso que ficou nessa tela uns 10 minutos e do nada ia e dava boa.
Beleza, já saí do laboratório, mas logo na segunda-feira já tento. Obrigado pessoal 👍🏻
E esse celular em especifico fazia sempre isso. Todas as vezes que precisei exploitar ele precisava deixar mais tempo e ignorar a msgm de que não tem eq conectado. <Mensagem editada>
Entendi! Ótimo, então há esperança
Origem 793 — 12/01/2025 11:43 a 12:25 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde, Motorola G32 (XT2235-2) bloqueado senha numérica, vai no Premium? Aqui falhou nos 4 métodos
<Mídia oculta>
dá pra confiar nessa lista do site da mycellebrite?
dá pra confiar nessa lista do site da mycellebrite?
Também tive problemas com este
Acho que pelo xry pro tem suporte
Embora a pc 3000 tem desbloqueado este
Entendi, só estamos com o inseyets.
É um Qualcomm, será que tem alguma forma de botar em EDL e tentar pelo EDL?
No 4PC sem chance
IMG-20250112-WA0010.jpg (arquivo anexado)
tela numérica toda fora de ordem, é pra evitar automação?
tela numérica toda fora de ordem, é pra evitar automação?
Também não sei se tiveram sucesso em outras ferramentas <Mensagem editada>
Essa eu não tinha visto 😮
sem chance de botar em EDL pelo 4PC ou de extrair mesmo conseguindo por fora botar em EDL?
Não deve entrar em EDL e se tivesse, o 4PC não tem suporte
<Mídia oculta>
parece ser nesses dois pontos em vermelho
parece ser nesses dois pontos em vermelho
Não pega naquele perfil genérico Qualcomm Decrypted EDL?
Esses são os únicos chipsets qualcomm que consegui até hoje fazer no 4PC: 8909, 8916, 8936, 8939, 8952. Nenhum outro, infelizmente
E deverá vir criptografado...
no caso, acho q se conseguir, virá o dump criptografado
A extração via EDL é bem limitada.
Todos QC são possíveis de colocar em EDL, mas não são todos que permitem fazer extração.
Todos QC são possíveis de colocar em EDL, mas não são todos que permitem fazer extração.
Tem certeza? Tem registro desse modelo?
Puq o PC3000 tem suporte apenas para QC antigos, os mesmos do UFED.
Puq o PC3000 tem suporte apenas para QC antigos, os mesmos do UFED.
alguém conseguiu nesse mês força bruta nesse modelo, se isso estiver correto
Não temos registros desse modelo, infelizmente.
Apenas 2 registros do xt2235-1, mas a senha [SEGREDO].
vou ficar no pé do suporte da Cellebrite pra ver o que eles dizem
Mas chega a apresentar alguma msgm de estar conseguindo o exploit?
Ou vai passando direto no method 4?
falha nos 4 métodos, vai um por um falhando
Olha tem sim, o [NOME] me passou a lista nova
O xt2235-1 deu boa no method 2
Viu se ele chegou a iniciar o exploit lá?
Origem 794 — 21/01/2025 10:12 a 10:44 — Extração e acesso a dados em iPhone 8
<Mídia oculta>
Bom dia. iPhone XR 18.1.1 com senha de 6 dígitos. O BF tá assim bugado fazendo uma tentativa só por vários minutos, e a barra de porcentagem subindo chegando em 100% e depois voltando pra 0%. Acho que vou desligar o aparelho e tentar de novo, ou tá rodando normal e é só a exibição que não está correta?
Bom dia. iPhone XR 18.1.1 com senha de 6 dígitos. O BF tá assim bugado fazendo uma tentativa só por vários minutos, e a barra de porcentagem subindo chegando em 100% e depois voltando pra 0%. Acho que vou desligar o aparelho e tentar de novo, ou tá rodando normal e é só a exibição que não está correta?
Bom dia [MENCAO] ! Está correto... a taxa (rate) de tentativas é de 77.6 por dia, então a cada tentativa ele vai "rodando" o percentual pra indicar que a tentativa foi concluída.
Está correta. A % mede o tempo até a próxima tentativa
É verdade, esse tá em APD e não APM
Ou seja, chance baixa nesse aparelho, né?
Vários dias, meses, anos..
78 p/ dia vai demorar muiiiiiito para exaurir as possiblidades
uns 50 anos que calculo por alto
BFU vem algo interessante nesse modelo?
Acho que é possível né BFU?
Se puder BFU, pode vir algo que ajude a montar um dicionário personalizado
A Magnet tem um gerador de dicionário tosco que ele faz tomando como fonte de dados o que foi indexado de uma extração. Mas precisa decodificar a extração no axiom
https://www.magnetforensics.com/resources/magnet-axiom-wordlist-generator/
A do Physical Analizer já foi útil aqui. Deu uns hints para um iPhone 8 que ia levar até uns 20 anos
Origem 795 — 21/01/2025 11:19 a 11:34 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia.
Estou com um motorola xt1068 que o Premium bugou o sistema. Alguém sabe como resolver? E tem initroot pra esse modelo?
Estou com um motorola xt1068 que o Premium bugou o sistema. Alguém sabe como resolver? E tem initroot pra esse modelo?
https://github.com/leosol/initroot
se estiver sem senha, inicia com initroot e bota no ufed que é possível fazer extração física em modelo genérico
se estiver com senha pode remover o arquivo de chave via adb e depois faz a extração
Tem tutorial? Porque sempre tive dificuldade mesmo com o xt1033.
E está sem senha.
Devia ter tentado direto no ufed, porque talvez não tivesse dado esse problemão com o premium.
E está sem senha.
Devia ter tentado direto no ufed, porque talvez não tivesse dado esse problemão com o premium.
<Mídia oculta>
help.pdf
help.pdf
tem esse arquivo que dá uma direção
https://github.com/leosol/initroot/tree/master/xt1068
os arquivos para esse teu modelo estão nesse link
mas o procedimento é o mesmo
Origem 796 — 22/01/2025 18:32 a 19:27 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde. No PA, já aconteceu com vocês do ufd aparecer como corrupt? O PA processou tudo ok, só que apareceu isso acima.
Não alterei nada do ufd e aconteceu isso.
Foi extração física do moto xt1068 usando o método advanced adb com pen drive. Foram gerados 22 arquivos binários de tamanhos variados.
É aquele celular que falei ontem que o Premium bugou o sistema.
Não alterei nada do ufd e aconteceu isso.
Foi extração física do moto xt1068 usando o método advanced adb com pen drive. Foram gerados 22 arquivos binários de tamanhos variados.
É aquele celular que falei ontem que o Premium bugou o sistema.
Chegou a gerar o .ufdx? Já vi essa mensagem quando ele não finaliza. Essas extrações no advanced adb com cartão ou pendrive é bem comum dar problema, aí tem que fazer de novo.
Importei apenas o ufd para puxar as imagens.
Verifiquei as hashes e uma das imagens foi dividida em 3 partes, porém sua hash no ufd aparece apenas uma dessas partes e com o valor de hash que não bate com nenhuma das partes. No caso, mmcblk0p38.bin, que foi dividida em 38_1 e 38_2.
Verifiquei as hashes e uma das imagens foi dividida em 3 partes, porém sua hash no ufd aparece apenas uma dessas partes e com o valor de hash que não bate com nenhuma das partes. No caso, mmcblk0p38.bin, que foi dividida em 38_1 e 38_2.
Não me parece que corrompeu, mas que o ufd calculou o valor de hash desse arquivo binário 38 antes de dividir em 3...? Não entendi o que aconteceu.
O resto dos binários tá com o mesmo hash do arquivo ufd
Boa noite, pessoal. Alguém sabe de alguma ferramenta gratuita para recuperar uma pasta que alguém deletou do Desktop?
Ele é estilo o "recuva"?
na dúvida...usa os dois
se o photorec não recuperar, senta e chora... hehehehehehhe
Hehehe! Beleza. Muito obrigado.
Origem 797 — 27/01/2025 16:48 a 17:32 — Extração Samsung em modo Download/ODIN
Pessoal, estou com um J400M que no método de extração física na primeira etapa no modo download reconhece corretamente e inicia o processo. Contudo, o ufed ao sair da tela de download e ir para o step 1 de 5 na tela inicial da Samsung, o ufed sempre dá erro e aquele aviso de USB not recognized. No odin em modo download funciona perfeitamente. Ou seja, a transferência de dados da fiação usb está correta. Já fizemos troca do conector e até agora estamos na mesma.
Você tem Premium, Arthur? Esse faz fisica lá sem precisar da senha ou BF.
Em suma, no modo download, a USB funciona normalmente, já fora do modo download dá aquele erro de USB not recognized.
no premium dá USB not recognized pq é fora do modo download
Uhnn. Certo.
Pode ser que o ID do USB não esteja ok.
Nem sempre no modo download precisa para poder reconhecer, mas para o exploit no ufed e premium precisa.
Pode ser que o ID do USB não esteja ok.
Nem sempre no modo download precisa para poder reconhecer, mas para o exploit no ufed e premium precisa.
Eu inclusive usei o odin e atualizei a firmware para corresponder com outro j400m q extraí normalmente aqui
hum... e para reparar esse id seria via software ou é hardware?
Hardware, mas as vezes pode ter alguma sujeira tbm.
Tenta limpar com álcool isopropilico
Eita. Aí ficou mais difícil 😅
Talvez seja apenas alguma sujeira mesmo.
Talvez seja apenas alguma sujeira mesmo.
Eu atualizei pra ver se resolvia o problema
continuou na mesma
e tá transferindo os dados, deve ser algum bug de configuração mesmo, talvez isso q vc falou de USB ID
quer dizer, assumo q tá transferindo pq no odin upei 2 GB de ROM
dump de MMC daria certo para extrair esse? é FDE
Tenta fazer no J400F
Decrypted boot loader
Decrypted boot loader
Começa no modo download aí vai pro step 1 out of 5, e então dá erro de usb not recognized <Mensagem editada>
Acho que não. Só se conseguir pegar a chave tbm, mas acho que fica em outro chip. Aí fica tenso.
Origem 798 — 28/01/2025 11:29 a 12:40 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Bom dia, pessoal. Estou com um Samsung S5303 e, depois de muitas tentativas de padrão, o aparelho começou a pedir a conta google ou o PIN. Alguém sabe de alguma forma de voltar a pedir o padrão?
Já experimentou tirar e colocar a bateria?
Volta pedindo a conta de google e senha. Consegui fazer uma parcial filesystem do aparelho e veio o padrão. Por isso queria voltar no padrão.
Agora veio também a conta google e a senha criptografada. Como faz para descriptografar? Usando o hashcat?
Esse android é qual versão? Acho que esse aparelho é velho não é? <Mensagem editada>
veio aquele arquivo Gestures.key ?
pelo modelo parece ser Android 5 ou 6
Esse deve ter um twrp para gravar no recovery e fazer uma física
Veio na extração parcial. Eu tentei fazer a extração parcial antes de tentar padrões padrões (sem trocadilho, Hehehehe). Só que tava dando erro de acesso à memória. Depois que bloqueou os padrões, resolvi tentar de novo e veio a parcial. Se foi por conta de aleatoriedade computacional ou porque realmente o padrão [SEGREDO] bloqueando, eu não sei.
Gostei da ideia. Vou procurar aqui e tentar.
Muito obrigado pela ajuda, pessoal.
Nem precisa reboot depois de subir o TWRP, pois nesses antigos o próprio TWRP já deixa o ADB on em root, basta ou fazer a extração do mcblk0 via adb pull, ou mesmo usar extração ADB no 4PC.
Beleza. Sabe se dá para fazer isso no CWM também? <Mensagem editada>
sim, ambos geralmente fornecem o adb em root geralmente
falo geralmente, pois depende de quem compilou a build
Beleza. É que achei o CWM dele. Se não conseguir o TWRP, vou tentar o CWM. Posto aqui o resultado se conseguir. Mais uma vez, obrigado.
Origem 799 — 10/02/2025 10:19 a 10:36 — Extração e acesso a dados em iPhone 15
Deu bom aqui no Pará pessoal
Sucesso no AFU Iphone 15
Vamos tentar o 15 pro Max daqui a pouco
Opa, somos o próximo da fila
Segundo o Kurt temos que enviar para Rondônia
O 15 aqui já está terminando a extração
Max veja com o escovino pra vcs serem os próximos
Parabens [NOME].
Espero em breve estar com o equipamento.
Espero em breve estar com o equipamento.
Gostei da sua atuação Chefe [MENCAO] , mesmo em férias, lutando pelo grupo.
Estamos juntos nessa jornada
Max é padrão 🫡
Origem 800 — 12/02/2025 07:46 a 07:59 — Extração e limitações em Motorola XT1069
Pessoal, XT1069 desbloqueado, vocês tem registro de extração física ou FFS no UFED, Inseyets ou XRY?
https://github.com/leosol/initroot
Bom dia. Exatamente. Se o payload estiver configurado certo, deve funcionar.
Qualquer problema me manda em pv o resultado do comando "fastboot getvar all" que te passo o payload para esse seu eq aí. <Mensagem editada>
Vou relembrar o procedimento aqui. Faz tempão que não faço. Já te chamo!
Origem 801 — 12/02/2025 18:57 a 18:57 — Compatibilidade de modelos e métodos de extração no UFED
Boa noite.
Alguém já teve problema com celular que tivesse o dfndr security instalado?
Uma extração física de um j710mn no Premium agarrou faz 3h e só extraiu 85mb de 14.69gb
Alguém já teve problema com celular que tivesse o dfndr security instalado?
Uma extração física de um j710mn no Premium agarrou faz 3h e só extraiu 85mb de 14.69gb
Origem 802 — 13/02/2025 11:00 a 13:11 — Extração e bloqueios em Redmi Note 12
Tentou deixar a tela ativa?
Bom dia pessoal.
Recebi um Redmi Note 12.
Embora tenham fornecidas senha [SEGREDO] de consentimento, o mesmo veio com configuração de fábrica.
Alguma dica para saber a data em que foi resetado? <Mensagem editada>
Recebi um Redmi Note 12.
Embora tenham fornecidas senha [SEGREDO] de consentimento, o mesmo veio com configuração de fábrica.
Alguma dica para saber a data em que foi resetado? <Mensagem editada>
Já fiz a extração FFS e nela não veio. <Mensagem editada>
Constantemente, rodei o flow completo 3 vezes já
<Mídia oculta>
Encontrei na extração FFS este dado, entretanto, o telefone foi recolhido pela delegacia em 24/06/2024
Encontrei na extração FFS este dado, entretanto, o telefone foi recolhido pela delegacia em 24/06/2024
Boa tarde. Algum estado comprou workstation recentemente? Poderiam compartilhar os ETPs, por favor.
Uma boa é indexar no IPED essa extração. E lá você pesquisar sobre wipe ou factory reset. Pode ser que ache em outros logs não interpretados pelo PA.
Obrigado [NOME], vou fazer isso
Origem 803 — 24/02/2025 18:44 a 19:18 — Conexão USB, ADB e diagnóstico de porta em Android
Boa noite.
Desde a última atualização do Ufed Premium e PA Inseyetes, fiz duas extrações físicas adb pelo Premium que não foram processadas corretamente. Um lg k510 e um samsung j260m.
O relatório de extração de ambos têm status Success, porém no processamento aparece o status Preserved extraction = false. Já o ufd = intact.
Alguém já passou por isso e soube como resolver?
Desde a última atualização do Ufed Premium e PA Inseyetes, fiz duas extrações físicas adb pelo Premium que não foram processadas corretamente. Um lg k510 e um samsung j260m.
O relatório de extração de ambos têm status Success, porém no processamento aparece o status Preserved extraction = false. Já o ufd = intact.
Alguém já passou por isso e soube como resolver?
Rapazz ainda usam J2?
Requisição bem antiga
Isso pode ser problema no firmware do j2
Tinha que atualizar para poder fazer o Lock bypass
Parece similar a problema que tivemos aqui (extração física não sendo corretamente interpretada pelo PA).
Para contornar usamos aquele "Abrir avançado" no PA, selecionando o modelo do aparelho, escolhendo extração física e abrindo o arquivo .bin da extração.
Para contornar usamos aquele "Abrir avançado" no PA, selecionando o modelo do aparelho, escolhendo extração física e abrindo o arquivo .bin da extração.
Origem 804 — 24/02/2025 19:57 a 21:45 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Você consegue abrir o sistema de arquivo da fisica no FTK? Ou no 7zip?
Se sim, provavel que seja o que o colega [NOME] falou.
É comum de tempos em tempos em algumas extrações físicas o ufd vir com bug e não carregar as chains do PA corretamente.
Super comum nos casos de EDL adb tbm.
Aí só seguir a abertura da fisica via extração avançada e selecionar a chain correta e boa. <Mensagem editada>
É comum de tempos em tempos em algumas extrações físicas o ufd vir com bug e não carregar as chains do PA corretamente.
Super comum nos casos de EDL adb tbm.
Aí só seguir a abertura da fisica via extração avançada e selecionar a chain correta e boa. <Mensagem editada>
Opa. Demais.
Em Op bate grade é o que mais vem.
Em Op bate grade é o que mais vem.
Vou tentar fazer isso amanhã. Não fiz ainda com esses porque nunca tive muita sorte com esse método (moto g e moto e), com o processamento resultante sendo muito pobre, faltando muitos artefatos. Mas vou tentar.
Amanhã vejo se consigo, mas quase certeza que são binários com um arquivo compactado chamado procdata
Origem 805 — 25/02/2025 09:21 a 09:27 — Root e extração em dispositivo Positivo
Bom dia. Estava analisando uma extração e ativei a opcao Origem de mídia, vez em quando recebemos requisiçoes solicitando midias (imagens e vídeos) que foram criados pelo aparelho, até que ponto podemos confiar nisso.
Estava bem confiante na informação do manual, mas essa "provavelmente" ja deu uma brochada.
"A PA determinou que o item de mídia provavelmente foi capturado no dispositivo que está sendo examinado."
"A PA determinou que o item de mídia provavelmente foi capturado no dispositivo que está sendo examinado."
<Mídia oculta>
Olha ele aí 😁
Olha ele aí 😁
Veiii só via esses tipos de celulares na Polícia científica haha
Origem 806 — 13/03/2025 17:37 a 17:37 — Extração e acesso em RMX2020
Boa tarde. Algum segredo para conseguir BF de Realme C3 (RMX2020)? Coloquei em modo recovery e nenhum dos 4 métodos vai, apenas detecta o nome do dispositivo e modelo
Origem 807 — 16/03/2025 12:48 a 13:13 — Extração e compatibilidade em Samsung SM-M127F
Alguém já teve sucesso com esse aparelho?
SM-M127F
Nunca nem vi esse modelo
tenta ficar tirando e colocando o cabo durante a busca do agente
exatamente quando ele estiver prestes a ciclar nos 3 minutos
já funcionou comigo em outros aparelhos
Origem 808 — 19/03/2025 16:58 a 17:02 — Extração e análise de dados em iPhone/iOS
Certo. E o caso fica mais ou menos com o mesmo tamanho da extração?
Não, bem menos. Depende do tanto de dado processado. O caso aponta para a extração, então não pode apagar. Por experiência, iphone sempre tem o maior tamanho do case
Também sei que o IPED não fica muito bom com o Inseyets pois foi desenvolvido para o PA
Origem 809 — 21/03/2025 10:02 a 11:50 — Root e extração em SMARTPHONE
Prezados(as), recebi 02 aparelhos (Samsung Galaxy A13 5G e IPhone 6S (A1688)) provenientes do judiciário para responder aos quesitos a seguir. Pelo que verifiquei a PC fez a extração dos dados e encaminhou diretamente ao judiciário. Alguém já respondeu quesitos assim? onde posso encontrar essas informações (logs)?
PRIMEIRO: O dispositivo informático se encontra ligado ou desligado?
SEGUNDO: O sistema operacional do dispositivo informático contém alguma modificação para conceder acesso privilegiado ao usuário do sistema?
Exemplo: Acesso com modo ROOT em sistemas operacionais Androids e derivados ou Jailbreak em sistemas operacionais OSX.
TERCEIRO: Quais tipos de biometria estão ativadas no dispositivo informático?
QUARTO: Qual aparelho foi usado para a degravação dos dados informáticos? Favor incluir nome do equipamento com seus dados específicos bem como a versão do sistema operacional e última atualização.
QUINTO: Qual o número do involucro de evidência digital o aparelho estava acondicionado? O involucro estava integro (favor acostar no laudo fotografia antes da violação do involucro)?
SEXTO: Foi gerado a cópia forense do dispositivo informático antes do primeiro?
SÉTIMO: Quais são os registros de log de boot do dispositivo informático?
OITAVO: Quais são os últimos registros de logs de senhas ou biometrias que usaram o smartphone com êxito?
NONO: Quais são os últimos registros de logs de senhas ou biometrias que o sistema identificou como acesso negado?
DÉCIMO: Quais são os últimas conexões wireless presentes no registro de log do dispositivo periciado?
DÉCIMO PRIMEIRO: Qual o código hash da cópia forense de dados digitais gerado pelo software de extração de dados?
PRIMEIRO: O dispositivo informático se encontra ligado ou desligado?
SEGUNDO: O sistema operacional do dispositivo informático contém alguma modificação para conceder acesso privilegiado ao usuário do sistema?
Exemplo: Acesso com modo ROOT em sistemas operacionais Androids e derivados ou Jailbreak em sistemas operacionais OSX.
TERCEIRO: Quais tipos de biometria estão ativadas no dispositivo informático?
QUARTO: Qual aparelho foi usado para a degravação dos dados informáticos? Favor incluir nome do equipamento com seus dados específicos bem como a versão do sistema operacional e última atualização.
QUINTO: Qual o número do involucro de evidência digital o aparelho estava acondicionado? O involucro estava integro (favor acostar no laudo fotografia antes da violação do involucro)?
SEXTO: Foi gerado a cópia forense do dispositivo informático antes do primeiro?
SÉTIMO: Quais são os registros de log de boot do dispositivo informático?
OITAVO: Quais são os últimos registros de logs de senhas ou biometrias que usaram o smartphone com êxito?
NONO: Quais são os últimos registros de logs de senhas ou biometrias que o sistema identificou como acesso negado?
DÉCIMO: Quais são os últimas conexões wireless presentes no registro de log do dispositivo periciado?
DÉCIMO PRIMEIRO: Qual o código hash da cópia forense de dados digitais gerado pelo software de extração de dados?
<Mídia oculta>
Bom dia! UFED 4PC 7.73.0.68 Alguém já passou por isso? Obg
Bom dia! UFED 4PC 7.73.0.68 Alguém já passou por isso? Obg
Já. Geralmente foi algum update do Windows. Reinstalando o 4pc normalmente resolve
Baixando aqui manualmente para reinstalar. Obg
aqui tb aconteceu da mesma forma.
Para responder tudo isso aí além de usar o ALEAPP do colega aqui do grupo tu vai ter que rodar o Koda do professor [NOME] para encontrar alguns registros nos logs
Bom dia meus nobres colegas!
Estou com um Realme RMX3834 - Note 50 bloqueado.
Coloquei no UFED e ele chega um ponto que pede pra colocar no modo Recovery. Após este passo ele encontra vulnerabilidade e faz o acesso ao aparelho. Depois disso ele tenta conectar e não passa disso e o celular continua na tela de recovery. É o segundo que pegamos nessa semana e fica do mesmo jeito.
Alguém já passou por isso, alguma dica?
Desde já agradeço.
Estou com um Realme RMX3834 - Note 50 bloqueado.
Coloquei no UFED e ele chega um ponto que pede pra colocar no modo Recovery. Após este passo ele encontra vulnerabilidade e faz o acesso ao aparelho. Depois disso ele tenta conectar e não passa disso e o celular continua na tela de recovery. É o segundo que pegamos nessa semana e fica do mesmo jeito.
Alguém já passou por isso, alguma dica?
Desde já agradeço.
Tentou uma versão anterior (mais antiga) do inseyets?
vou fazer esse teste
https://infopericia.com.br/afekoda/
Origem 810 — 25/03/2025 13:26 a 13:53 — Ativação do modo desenvolvedor e depuração USB
Aqui temos a seguinte situação: aparelho com *senha fornecida*, mas na etapa de extração de arquivos, solicita o *FACE ID*.
Se tentar remover o face ID, precisa autorizar com o _FACE ID_
Se tentar remover o face ID, precisa autorizar com o _FACE ID_
SO novo é assim mesmo.
vai ter que chamar aí o proprietário pra ele desbloquear
se a entrega foi voluntária
se a entrega foi voluntária
pois é...a gente acha que tenho a senha tem tudo, mas...rsrs
E vão todos ficar assim, até para habilitar o debug USB
Origem 811 — 28/03/2025 16:59 a 17:51 — Root e extração em dispositivo Positivo
Boa tarde. Pessoal. Alguém já extraiu dados de modem de internet? Por exemplo, dispositivos que conectaram via Wi-Fi
colegas fizeram isso num mandado judicial
entraram nas configurações do roteador
e extraíram tudo que era registro que aparecia
mais importante era os últimos dispositivos conectados e MAC Address de cada um (pro nosso caso)
Dependendo do modelo ele trás até um relatório para ser extraído e imprimido
Depende muito do modelo do roteador WIFI. Alguns tem histórico, outros têm mas são desligados por padrão, e outros nem têm.
Origem 812 — 01/04/2025 09:03 a 09:40 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
No Premuim não chega no método 5? O PC3000 que tem feito tranquilo esses Unisoc.
seria a etapa que solicita para segurar botões pra entrar no modo? Chega, mas não progride, talvez estejamos errando a sequência?
Ele está entrando no modo BROM?
Não, reinicia, o modo BROM exibe algo na tela?
Não. Fica sem tela. Vê no PC, não sei se tu tá tentando pelos botões ou test point, mas no gerenciador de dispositivos deve indicar se está no modo para a extração.
👍🏻 vou verificar. obrigado
Bom dia. Reame Note 50, RMX3834 alguém tem macete para BF? estou com 5 aparelhos desse modelo bloqueados por PIN. A matriz de dispositivos suportados possui BF desse modelo, mas aqui nao vai, ja tentei varias vezes, inclusive na versao anterior do Inseyets, a 10.4.1
é desse mesmo caso, são 9 aparelhos, o unico que foi o BF é um motorola <Mensagem editada>
É outro que tem suporte pelo PC3000.
Origem 813 — 04/04/2025 09:28 a 10:45 — Ativação do modo desenvolvedor e depuração USB
Bom dia, pessoal. Aqui na minha cidade, é comum as delegacias pedirem apenas a extração do celular para eles analisarem. Vocês usam alguma coisa parecida assim para outras mídias como HD? Ou seja, a delegacia quer que eu faça a extração do HD para eles analisarem depois. Eu sei que daria para fazer isso no próprio UFED. Mas talvez tenha alguma ferramenta mais adequada. O que me dizem? Obrigado. <Mensagem editada>
o IPED
Geralmente um relatório do iped com alguns filtros de arquivos desnecessários
Bom dia! Estou precisando saber se um aparelho celular já passou por alguma procedimento de extração. Vcs sabem como e onde posso conseguir essa informação?
Aqui está chegando muita pergunta dessa
Se tem modo desenvolvedor ativado, com os critérios que precisa pra extrair, a gente coloca no texto que tem indícios que foi manuseado antes
Mas realmente seria ideal algo mais concreto
Fiquei pensando se fica a identificação do software de extração em algum lugar?
Prezados Colegas, bom dia.
Para os que usam ZAPiXWEB, foi feita uma pequena alteração no código para compatibilidade com Brave, Firefox e Safari que, por diretriz de segurança, não disponibilizam mais a File System API.
Novo código comitado (v2.2)
https://github.com/kraftdenker/ZAPiXWEB/
Para os que usam ZAPiXWEB, foi feita uma pequena alteração no código para compatibilidade com Brave, Firefox e Safari que, por diretriz de segurança, não disponibilizam mais a File System API.
Novo código comitado (v2.2)
https://github.com/kraftdenker/ZAPiXWEB/
Origem 814 — 07/04/2025 09:00 a 09:07 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, bom dia . Algum sucesso de extração do sm-a022m com o Premium?
Bom dia. Já, atacou no método 4
Descreva "atacar" colocar em edl?
Não, ligado. O método que acessou depois de falhar os anteriores foi o 4
Origem 815 — 08/04/2025 09:37 a 11:28 — Elaboração de laudo e relatório técnico pericial
Pessoal bom dia.
Alguém tem usado o Axon para compartilhamento das extrações? Recebemos as credenciais essa semana e estamos engatinhando pra eliminar os discos.
Queria saber se alguém que use poderia compartilhar um modelo de laudo ou chavão que trate desse tipo de envio de conteúdo.
Alguém tem usado o Axon para compartilhamento das extrações? Recebemos as credenciais essa semana e estamos engatinhando pra eliminar os discos.
Queria saber se alguém que use poderia compartilhar um modelo de laudo ou chavão que trate desse tipo de envio de conteúdo.
Bom dia,
Em qual tabela ou banco da extração do cellebrite eu vejo print de tela?
Em qual tabela ou banco da extração do cellebrite eu vejo print de tela?
Origem 816 — 08/04/2025 18:50 a 19:14 — Dá a entender que tem que mandar extração completa. Se fizer seleção e
IMG-20250408-WA0031.jpg (arquivo anexado)
Se em um áudio obtido numa escuta tiver trechos inaudíveis com ruídos, também tem que desconsiderar tudo?
No começo me pareceu o caso de comparação de arquivos, por exemplo um vazamento de dados. Mas depois parece que tudo que estiver corrompido nao vale.
Dá a entender que tem que mandar extração completa. Se fizer seleção e mandar só o de interesse, não será aceito
Origem 817 — 14/04/2025 11:32 a 12:11 — Ativação do modo desenvolvedor e depuração USB
<Mídia oculta>
Alguém ja conseguiu extrair algo desse aparelho? Marca: DL, modelo: yc-335
Alguém ja conseguiu extrair algo desse aparelho? Marca: DL, modelo: yc-335
Não. Mas tem cara que tem que ser de chinex ou xry que tem extração para esses legados
ele tem conexao usb B
quando conecta no pc tem opcao de armazenmento interno ou porta com
Acho que talvez vc queira dizer que é mini-Usb. Aquela maior um pouco do que a micro-usb, certo?
USB-B é aquela de impressora.
Esses celulares antigos que não são "smarts" geralmente usam um chip chinês que existem alguns protocolos de debug que o kit chinex, que acompanha os UFEDs, fazem. Ou mesmo os XRY antigões tb as vezes dão conta.
Problema é acertar um modelo compatível.
USB-B é aquela de impressora.
Esses celulares antigos que não são "smarts" geralmente usam um chip chinês que existem alguns protocolos de debug que o kit chinex, que acompanha os UFEDs, fazem. Ou mesmo os XRY antigões tb as vezes dão conta.
Problema é acertar um modelo compatível.
Exato. mini-usb mesmo...confundi aqui
tava tentando alguns modelos de flip parecidos
mas sem sucesso. acabar fazendo na mao mesmo
Origem 818 — 21/04/2025 14:37 a 14:37 — IMG-20250421-WA0006.jpg (arquivo anexado) / Com meu amigo [NOME] da PC3000 aqui na estação
IMG-20250421-WA0006.jpg (arquivo anexado)
Com meu amigo [NOME] da PC3000 aqui na estação das Docas em Belém do Pará! Semana de demonstração do poder de fogo da ferramenta de desbloqueio e extração PC3000 em todas os setores de extração de dados, dos órgãos de segurança pública aqui do Pará!
Com meu amigo [NOME] da PC3000 aqui na estação das Docas em Belém do Pará! Semana de demonstração do poder de fogo da ferramenta de desbloqueio e extração PC3000 em todas os setores de extração de dados, dos órgãos de segurança pública aqui do Pará!
Origem 819 — 27/04/2025 16:02 a 16:06 — Extração e root em dispositivos LG
Boa tarde, pessoal. Alguém já conseguiu fazer extração física do LG K40s (X430bmw) no XRY?
Sim, no premium
Só no premium? No XRY normal aparece a opção do aparelho. Mas pede para entrar em modo bootroom. Tentei os botões aqui, mas não deu. Estou testando via testpoint aqui, mas não achei certeza de onde seriam eles.
Origem 820 — 12/05/2025 13:56 a 13:56 — Compatibilidade de modelos e métodos de extração no UFED
tem algum manuel do ufed ai?
que explique as funcionalidades ou coisa do tipo
Povo tem algum manual oficial do Reader?
Origem 821 — 15/05/2025 17:23 a 17:52 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Alguém aqui já analisou iPhone para conseguir identificar se ele foi apagado remotamente e quando ocorreu o acesso? <Mensagem editada>
Eu acho q já vi alguém falando sobre isso aqui
Bom dia a todos. Uma pessoa fez transações usando o aplicativo do banco no celular. Ela está alegando que o celular foi invadido e manipulado remotamente.
Alguma sugestão de como proceder?
Muito interessante. Logo, pelo que entendi, o problema é o keystore ficar sem nenhum credenciamento no tempo limite. Isso é, é preciso ter algum credenciamento/desbloqueio no período (72h)
Procedimento básico: Extração física se possível e jogar todos APKs instalados no virustotal. Tem que examinar todo programa para ver sua real natureza de fucnionamento
Tem algum LOg a ser analisado? Algum rastro possível?
pode ver os programas instalados se foram via playstore ou não
e a data de instalação dos programas e ver se alguma dessas datas podem ser próximas do fato narrado pela vítima
Se a vítima alega controle remoto, ver se tem programas de controle remoto como teamviewer, anydesk, e semelhantes
se tiver, pode ser que esses tenham o log de conexão
Mas existem malwares bancários especializados
Acredito que era android
Pegamos um já que foi formatado e o [MENCAO] conseguiu pegar o IP e informar a central de comando, mas acho que já estava inativa. Como tinha outro laudo falando dela foi possível amarrar. Ele consegue dar maiores detalhes. Com IA agora temos muitos malwares bancários sofisticados no mercado explorando 0 day. Geralmente o último procedimento é wipe. O [MENCAO] também já pegou vários.
Neste caso conseguimos pegar 8 VPS uma tinha whatsapp desktop instalado e o [MENCAO] desenvolveu um programa para recuperar os dados. Se não me engano conseguiu autoria e era BR.
https://www.correiobraziliense.com.br/cidades-df/2024/11/6993331-pcdf-bloqueia-rs556-mil-de-quadrilha-especializada-em-golpes-ciberneticos.html
Acho que foi este.
Se for variante do CraxsRat, tem esse artigo que pode ajudar:
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0
https://medium.com/[MENCAO]/forensic-analysis-of-craxsrat-malware-massive-attack-on-brazilian-financial-institutions-5cf90bcbb4e0
Origem 822 — 20/05/2025 12:19 a 12:19 — Extração e bloqueios em Redmi 13C
<Mídia oculta>
Sobre o Redmi 13C, esse modelo deu certo no premium
Sobre o Redmi 13C, esse modelo deu certo no premium
Origem 823 — 23/05/2025 11:45 a 11:57 — Extração e acesso a dados em iPhone 15
<Mídia oculta>
Estou com esse iPhone 15 que provavelmente foi roubado, a delegacia pediu pra tentarmos descobrir dados ou o IMEI pra poder fazer a devolução ao dono
Estou com esse iPhone 15 que provavelmente foi roubado, a delegacia pediu pra tentarmos descobrir dados ou o IMEI pra poder fazer a devolução ao dono
Coloquei em modo diagnóstico
Pra tentar ver o IMEI, mas pediu wi-fi, então botei numa wi-fi sem internet, pois estou com receio do dono ter mandado bloquear de vez o aparelho ou algo assim
O curioso é que fora do modo diagnóstico não consegui nenhum tipo de extração pelo premium
<Mídia oculta>
E agora consegui uma BFU pelo modo diagnóstico kkk
E agora consegui uma BFU pelo modo diagnóstico kkk
iPhone 15 faz BFU na tela normal inicial que pede senha?
E no modo diagnóstico ainda disse que o celular está desbloqueado.... Talvez a extração tenha sido do SO do modo diagnóstico né? Vou abrir aqui pra ver
Alguma outra ideia pra saber o IMEI?
Olá.
Permitiu na versão anterior do premium. Até iOS 17
Permitiu na versão anterior do premium. Até iOS 17
E iphone 15
Ah blz, então é isso, esse é 17.3
O iPhone tá naquele modo indisponível aguardando 8 horas, pela tela normal nao foi, só pelo modo diagnóstico
No modo diagnóstico, não tinha aquele botão com um "i"? Ali aparece o serial e o imei <Mensagem editada>
🤷🏻♂️ esqueci q era nessa tela segui pra próxima kkk
Valeu novamente [NOME]!
no modo diagnostico tá dizendo que o aparelho está desbloqueado, depois pediu pra informar se estava em AFU ou BFU, botei BFU e fiz uma extração. Vou tentar pelo flow AFU pra ver no que vai dar.... To achando que o modo diagnóstico carrega um "iOS" e por isso o Cellebrite tá detectando como desbloqueado
Origem 824 — 23/05/2025 12:11 a 13:37 — Extração e análise de dados em iPhone/iOS
Naquela janela do progresso do Premium não apareceu o Imei em algum momento?
Não, mas na tela do celular apareceu 👍🏻. Na extração também veio
uma pergunta: é comum iphones com imeis alterados? Sei que androids, pelo menos os mais antigos, é possível alterar, mas como é com ip [ID-CASO]?
não é comum iphones com imeis alterados, acho muito improvável. O hardware de rádio GSM hoje em dia tem um nível de segurança bem alto.
É mais comum haver troca da gaveta em assistências técnicas ou pelos próprios usuários
Daí o IMEI físico não bate com o armazenado em memória
Origem 825 — 25/05/2025 17:58 a 20:12 — Extração e compatibilidade em Samsung SM-A022M
Boa tarde
Alguém do grupo conseguiu extrair dados do SM-A022M?
Alguém do grupo conseguiu extrair dados do SM-A022M?
Galaxy A02
esses dias eu fiz um laudo de um desse
e salvo engano deu extraçao física
só não sei dizer se foi pelo Cellebrite Premium ou PC-3000
Rapaz, veja isso pra mim, por favor.
Física num desses modelos A, há muito tempo não consigo fazer, só FFS.
Física num desses modelos A, há muito tempo não consigo fazer, só FFS.
Tb estou com um A022 parado, nas fez no premium <Mensagem editada>
Origem 826 — 29/05/2025 07:47 a 07:56 — / , você chegou a conseguir fazer a extração desse modelo
Bom dia!
[MENCAO], você chegou a conseguir fazer a extração desse modelo?
[MENCAO], você chegou a conseguir fazer a extração desse modelo?
Acredito que esse vá no modo unisoc ao invés de recovery
Vou testar dessa forma. Obrigada!
Origem 827 — 29/05/2025 08:41 a 09:48 — Extração e decodificação de bancos do WhatsApp
Bom dia, senhores. Vcs sabem se a verificação em duas etapas do Whats afeta a extração em iphones? Estou com um iphone desbloqueado que o PA não processou o WhatsApp mesmo com ele instalado. Quando verifiquei no aparelho, percebi essa configuração em duas etapas, mas para mim, ela impacta acesso ao app, mas não oferece uma camada a mais de criptografia ou algo do tipo
Que eu saiba não afeta mesmo. Fez extração lógica? Verifica se a criptografia do backup está ativada. Talvez seja por isso.
Pode ser isso aqui [MENCAO]
FFS do Premium.
Ah, esse problema de criptografia talvez seja só na lógica, uma FFS era pra vir creio eu
Veja se o banco do zap está dentro da extração. Se estiver, pode ser bug na decodificação do PA
Talvez uma nova versão do ZAP que o PA não decodifica ainda
já aconteceu no passado
Vou testar no Inseyets para ver
Se tiver o Axiom tb, vale a pena tentar
Verdade, inclusive o ZAP business falhou mês passado no parsing justamente de iPhone, e me informaram no suporte que era a versão do ZAP que ainda não era suportada. E ainda disseram que ia demorar para corrigir 🤦🏻♂️
Aqui já precisamos que construir nossos próprios decodificadores para WhatsApp no PA, pois a Cellebrite demorou muito para atualizar e a demanda por exames aqui não nos permite esperar muito tempo. <Mensagem editada>
Peguei um caso dias atras onde tinha senha forncedida pela vitima. Premium só fez apos ela retornar para remover essa protecao de roubo somente pelo face id. Veio whatsapp na extração.
Origem 828 — 29/05/2025 16:25 a 18:46 — Extração e análise de mensagens do WhatsApp
Bom dia meus nobres!
Estou tentando fazer uma extração em um Iphone 16 PRO MAX desbloqueado 18.4.1
Ainda não consegui. Algum dica?
Estou tentando fazer uma extração em um Iphone 16 PRO MAX desbloqueado 18.4.1
Ainda não consegui. Algum dica?
parece que alguém conseguiu
Peguei um caso dias atras onde tinha senha forncedida pela vitima. Premium só fez apos ela retornar para remover essa protecao de roubo somente pelo face id. Veio whatsapp na extração.
https://g1.globo.com/pa/para/videos-bom-dia-para/video/operacao-da-policia-civil-cumpre-mandados-de-combate-a-crimes-tributarios-no-para-13639775.ghtml
Origem 829 — 03/06/2025 09:14 a 11:58 — Extração e decodificação de bancos do WhatsApp
Eles digitaram errado, no site mycellebrite aparece 11-15 ao invés de 11-16. Typo infeliz esse...
IMG-20250603-WA0001.jpg (arquivo anexado)
Acredito que está certo mesmo... O colega atualizou o IP16 pra versão 18.5 e não teve suporte.
Eles colocaram o IP16 até a 18.4.1
Estou fazendo a extração do meu 16 pro max no UFED normal e está indo... Vou verificar, ao final, se vai trazer tudo.
Advanced logical? Não virá whatsapp e outros apps
Bom dia amigos,
estamos com um *Smartphone Xiaomi Poco M4 5G* (Modelo: 22041219PG) onde na extração pelo UFED 4PC (7.73.0.68) conseguimos extrair apenas as mídias (áudio, vídeos e imagens). Também fizemos o procedimento pelo [NOME] + IPED e vieram as mesmas informações.
Estamos precisando extrair a lista de ligações e agenda telefônica para o caso. O dispositivo está desbloqueado, temos acesso a ele e visualmente identificamos as chamadas bem como a lista de contatos. Via ADB consigo exportar a lista de chamadas (adb shell content query --uri content://call_log/calls) porém sem formatação.
Alguém tem uma sugestão para este modelo ?
estamos com um *Smartphone Xiaomi Poco M4 5G* (Modelo: 22041219PG) onde na extração pelo UFED 4PC (7.73.0.68) conseguimos extrair apenas as mídias (áudio, vídeos e imagens). Também fizemos o procedimento pelo [NOME] + IPED e vieram as mesmas informações.
Estamos precisando extrair a lista de ligações e agenda telefônica para o caso. O dispositivo está desbloqueado, temos acesso a ele e visualmente identificamos as chamadas bem como a lista de contatos. Via ADB consigo exportar a lista de chamadas (adb shell content query --uri content://call_log/calls) porém sem formatação.
Alguém tem uma sugestão para este modelo ?
Location of Android Call logs Artifacts
Android Call logs artifacts can be found at the following location:
data/com.android.providers.contacts/databases/calllog.db
Android Call logs artifacts can be found at the following location:
data/com.android.providers.contacts/databases/calllog.db
vê se tem essa base de dados
Sem acesso ao premium?
Bom dia irmão. Ainda não temos.
<Mídia oculta>
Bom dia amigo, não veio esta base. Os pacotes android que vieram foram esses.
Bom dia amigo, não veio esta base. Os pacotes android que vieram foram esses.
Dei sorte. O meu veio tudo...
eita massa! perdão, achava que por padrão não vinha
se for android 12/13 dá pra tentar a extração via vulnerabilidade no [NOME]. Se for 14, faria a extração do whatsapp via o método que ele fala "whatsapp universal extraction" que gera o crypt15.
Origem 830 — 07/06/2025 10:41 a 11:25 — Bootloader, desbloqueio OEM e risco de wipe
Alguns Gaecos depois da extração e laudo devolvem os telefones 🤔
Vai entender essa necessidade aí dos aparelhos
Vai entender essa necessidade aí dos aparelhos
Aproveitando a questão de preservação de provas, estou precisando de alguns alertas que o UFED ou XRY exibem informado de risco de perda de dados ou de dano no aparelho.
<Mídia oculta>
Essa eu obtive quando se tenta fazer o Downgrade.
Essa eu obtive quando se tenta fazer o Downgrade.
Se alguém souber como chegar no momento de exibir outros alertas como esse e puder me dar a dica, ficarei agradecido.
Lembrei de alguns bootloaders, como dos Exynos, que o 4PC avisa que talvez o celular fique sem iniciar após a extração e que tem usar a ferramenta de recovery.
Origem 831 — 10/06/2025 17:22 a 18:28 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
E aí? Vai no Premium? 🤣
E aí? Vai no Premium? 🤣
Acho que o ufed touch 1 faz esse ai
Tirando a poeira dele aqui pra ligar
Tentar no UFED normal por enquanto
podemos ver que o "tirar a poeira" não foi figurado... 😂
Origem 832 — 18/06/2025 13:58 a 15:01 — Extração e análise de dados em iPhone/iOS
Saiu uma nova subversão do Inseyets/premium
Já conseguiu [MENCAO]? Quem sabe agora vai
Mas tão beta da 7.74 <Mensagem editada>
Esse bug do 18.4 tava chato mesmo. Tô com uns 10 iphones aguardando essa resolução.
Uma hora que o Premium deu erro e voltou para tela inicial deixando o iPhone com o cliente carregado, entrei com o modo locked em vez do unlocked e aí pediu a senha de novo e saiu fazendo a extração.
Deu também uma msg que o dispositivo estava em AFU
Origem 833 — 25/06/2025 13:29 a 13:30 — Extração de mesmo com a tela danificada
Extração mesmo com a tela danificada.
outro celular com a tela danificada.
Extraindo agora. <Mensagem editada>
Origem 834 — 26/06/2025 09:39 a 10:04 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Outro ponto que eu fiquei em dúvida quanto à redação apresentada é este aqui, colocando a responsabilidade de guarda na autoridade policial, sem citar o órgão de perícia criminal oficial. Afinal de contas, segundo o código de processo penal, " Art. 158-C. A coleta dos vestígios deverá ser realizada preferencialmente por perito oficial, que dará o encaminhamento necessário para a central de custódia, mesmo quando for necessária a realização de exames complementares.". Me parece que o termo "preservação" foi escolhido cuidadosamente, pois a preservação, conforme alínea 2 do Art. 158-A, é responsabilidade do "agente público que reconhecer um elemento como de potencial interesse para a produção da prova pericial". Mas, neste caso, para "preservar os dados e metadados", foi necessária a coleta. O elemento que deveria ser preservado pelo agente policial, no meu entendimento, seria o telefone celular...
Outro ponto que eu fiquei em dúvida quanto à redação apresentada é este aqui, colocando a responsabilidade de guarda na autoridade policial, sem citar o órgão de perícia criminal oficial. Afinal de contas, segundo o código de processo penal, " Art. 158-C. A coleta dos vestígios deverá ser realizada preferencialmente por perito oficial, que dará o encaminhamento necessário para a central de custódia, mesmo quando for necessária a realização de exames complementares.". Me parece que o termo "preservação" foi escolhido cuidadosamente, pois a preservação, conforme alínea 2 do Art. 158-A, é responsabilidade do "agente público que reconhecer um elemento como de potencial interesse para a produção da prova pericial". Mas, neste caso, para "preservar os dados e metadados", foi necessária a coleta. O elemento que deveria ser preservado pelo agente policial, no meu entendimento, seria o telefone celular...
Eu entendi aqui que o delegado poderia pedir a extração de um iPhone em AFU antes de reiniciar pois perderia a janela de extração, mas só poderia usar a extração com a autorização e deveria justificar a solicitação do exame antes pela janela de oportunidade.
Origem 835 — 30/06/2025 09:09 a 11:31 — Compatibilidade e extração em dispositivos Samsung Galaxy
<Mídia oculta>
Alguém já viu isso, capacidade menor que o tamanho da extração.
Alguém já viu isso, capacidade menor que o tamanho da extração.
<Mídia oculta>
Alguém já passou por isso?
Alguém já passou por isso?
Trava na primeira tentativa
Sim. Esse modelo de 13c é bem chato.
Eu esperaria o próximo update. Talvez corrijam isso e resolvam esses problemas de patch seg muito recente
Segunda a cellebrite, deve sair essa semana.
Temos vários nessa situação. Cellebrite respondeu que esse modelo com android 15 não é suportado.
Esse modelo é bem chato mesmo. Nem no PC3000 da boa. Outros modelos de 13c tem suporte, mas esse aí é osso
PC3000 faz força bruta e extração vários Xiaomi, inclusive o 13C.
Esse 13c nao conseguimos fazer. Tem outros 13c que faz, mas esse nao conseguimos.
Teve sucesso nesse especifico?
Teve sucesso nesse especifico?
Vi um esses dias. Agora estou com um que reinicia logo após começar o BF
Esse específico não, mas como tem o perfil imaginei que funcionasse.
Ah, saquei. Tem perfil mesmo. Mas funciona em outro 13c carregando um preloader
Falaram que para esta semana também sai a solução para o bloqueio de USB 🙏
mas isso só para android ou IOS tambem ?
Para os Samsung
<Mídia oculta>
Espetou o USB e apareceu o sinalzinho da morte…
Espetou o USB e apareceu o sinalzinho da morte…
Origem 836 — 02/07/2025 08:30 a 08:34 — Conexão USB, ADB e diagnóstico de porta em Android
Foi liberado versão beta do Inseyets que remove aquele bloqueio de usb.
Fiz o teste em 1 e deu boa.
STK-20250702-WA0000.webp (arquivo anexado)
Só perde o AFU. Pq precisa ir no recovery e na opção de "instalar update via adb".
E aqueles outros androids que estavam difíceis devido patch seg de 2025 estão indo ok tbm. Já consegui 3 hoje.
E aquele bloqueio anti roubo como ficou?
Tivemos casos desses
Além disso, estão com uma opção extra de extracao de keystore. Vi que uma delas é de app de banco. Talvez consiga infos legais no PA relacionado ao app do banco, como contas utilizadas.
Tive que pegar a cara do meliante e esfregar no iPhone a força haha
Mas esse é de iPhone né?
Ele ja fazia bypass, pq esse só nao permitia lógica ou file system parcial.
Na FFS tava dando boa.
Ele ja fazia bypass, pq esse só nao permitia lógica ou file system parcial.
Na FFS tava dando boa.
Mas já tínhamos a senha
Queríamos apenas acessar os acessórios usb
Só liberava pelo faceid
Origem 837 — 03/07/2025 08:23 a 08:23 — Extração e acesso a dados em iPhone 15 PRO MAX
<Mídia oculta>
Bom dia, estou usando o IP [ID-CASO] (aí resolvi testar também com o 4.1.4)
eu processei uma extração UFDR de 210 GB (iPhone 15 PRO MAX)
aquele arquivo .csv que o IPED gera, deu quase 2 GB !
aí eu tento abrir o processamento do IPED e pendura, pendura (há mais de hora nessa tela)
Bom dia, estou usando o IP [ID-CASO] (aí resolvi testar também com o 4.1.4)
eu processei uma extração UFDR de 210 GB (iPhone 15 PRO MAX)
aquele arquivo .csv que o IPED gera, deu quase 2 GB !
aí eu tento abrir o processamento do IPED e pendura, pendura (há mais de hora nessa tela)
isso que eu tenho um computador com 64 GB de RAM
Origem 838 — 10/07/2025 16:16 a 17:00 — Root e extração em dispositivo Positivo
Complicado... por quanto temos que preservar os arquivos? 25 anos? Acho que deve ser isso... Imagina armazenar todas as extrações de forma integral durante esse tempo. Em uma memória (HD, pen-drives, etc) se fizermos uma nova extração, e não for manipulado o hash da extração é sempre o mesmo. Isso já não ocorre em aparelhos de telefonia celular, mesmo pq não fazemos a extração completa "bit a bit" nos aparelhos em FBE. Cada extração de celular gera um hash novo. Recebemos, em média, 200 aparelhos/mês. Imagina armazenar a extração completa de tudo. Não tem nem como prever o volume de dados gerado, cada vez mais, aumenta a capacidade dos celulares. Hoje em dia celular de 32GB nem se vê mais. Acredito que uma nova extração, em caso de necessidade, seja uma opção viável. Qual seria a implicação de uma nova extração? Desde já, agradeço os esclarecimentos. <Mensagem editada>
Eu tenho debatido com algumas pessoas e acho que ainda não foi dado a atenção necessária para a etapa de descarte na cadeia de custódia, e isso não é exclusivo da custódia digital, mas a nossa área é uma das que mais sofre. Não é possível que a legislação tenha mudado em 2019, transferindo a responsabilidade da custódia para a perícia oficial, sem direcionar verba adequada para esses depósitos, e mantendo a decisão do tempo de guarda com o judiciário. E mesmo assim ninguém trabalhou para criar mecanismos claros de notificação dessas decisões (pelo menos não aqui no RS, não sei se em algum estado já existe essa integração).
Aqui foi criado uma comissão e vamos começar a discutir mês que vem esse tema. Mas falei pro pessoal que temos ver como está essa discussão a nível nacional, na SENASP por exemplo. Mas vamos ver o que resolvemos aqui pelo estado
se o judiciário quer essa guarda, ao meu ver eles tem que bancar o custo. O executivo não vai ter condições
Vamos ter muitas cenas dos próximos capítulos...
Mesmo se fosse uma extração física, se o celular for ligado por segundos, o resultado já vai mudar. Claro que podemos fazer um trabalho de análise indicando o que mudou e justificando as mudanças, mas isso nos consumirá horas de trabalho e munição para os assistentes técnicos. Infelizmente é um risco que estamos sendo obrigados a correr por falta de estrutura e falta de definição.
Exatamente isso... a pergunta é essa.... como provar que a extração foi integral e fiel, se não podemos reproduzir o processo?
Essa a vantagem de guardar os arquivos da extração, pois eles armazenam as informações do que foi extraído, de que forma, de qual dispositivo, em que data, etc. Eles armazenam hashes que garantem a fidelidade do arquivo corrente em relação ao que foi extraído. E aí se usa o argumento de autoridade do fornecedor confiável e certificado pela comunidade internacional. Se a extração for feita por um Cellebrite, por um XYZ, por um Greykey, por um PC-3000 mobile, etc., ninguém vai questionar o fabricante que vende para todos.
O problema maior, no meu entender, é quando não temos uma extração integral. Apenas uma extração parcial do sistema de arquivos. Como justificar que os demais arquivos não estavam acessíveis numa versão da ferramenta se a mesma ferramenta, dois anos depois, consegue extrair. E dois meses depois, só porque o sistema operacional do celular atualizou, já não extrai de novo...
Ou como tu justifica que dois celulares da mesma marca e modelo, apreendidos na mesma data e periciados no mesmo laudo, possuem registros tão diferentes, só porque um estava com o Android atualizado e o outro não.
Origem 839 — 10/07/2025 19:53 a 20:04 — Aqui no PR nos guardamos desde 2022 todas as extrações de celulares realizadas
Aqui no PR nos guardamos desde 2022 todas as extrações de celulares realizadas. São bastante TB/ano mesmo.
O que conseguimos inicialmente foram HDs doados pela Receita Federal. Aí fomos guardando nesses HDs até conseguir a aquisição de storages.
E cada vez mais recebemos solicitações da extração realizada, mesmo o resultado do processado ser disponibilizado integralmente via anexo eletrônico. <Mensagem editada>
O que conseguimos inicialmente foram HDs doados pela Receita Federal. Aí fomos guardando nesses HDs até conseguir a aquisição de storages.
E cada vez mais recebemos solicitações da extração realizada, mesmo o resultado do processado ser disponibilizado integralmente via anexo eletrônico. <Mensagem editada>
Tivemos uma consulta até com outros poderemos e a resposta foi: quando precisarmos, tem que estar disponível.
Então seguimos guardando de eterno.
Então seguimos guardando de eterno.
Acredito que o futuro deve ser em nuvem. Se nao, ficará insustentável. <Mensagem editada>
Aqui no Ceará a Polícia civil, que também tem laboratório de extração, passou a guardar os arquivos de extração dentro da nuvem do guardian que foi adquirido pela SSPDS
11/07/2025 22:19 - [NOME] ICBA foi adicionado(a)
11/07/2025 22:19 - [NOME] ICBA entrou usando seu convite
11/07/2025 22:19 - [NOME] ICBA foi adicionado(a)
11/07/2025 22:19 - [NOME] ICBA entrou usando seu convite
Origem 840 — 17/07/2025 17:55 a 17:55 — Compatibilidade e extração em dispositivos Samsung Galaxy
<Mídia oculta>
Algum fi de Deus ja conseguiu dar o boot em dispositivos desse modelo?
Algum fi de Deus ja conseguiu dar o boot em dispositivos desse modelo?
Galaxy book Go
Origem 841 — 18/07/2025 16:39 a 18:51 — Eu consegui a senha da pasta trancada
Eu consegui a senha da pasta trancada, mas os arquivos em si vêm como fgsf na extração. Ainda não encontrei uma forma de abrir esses arquivos. Me parece que o único jeito é alterar diretamente no celular, tirando eles da pasta trancada e refazer a extração. Alguém já passou por isso?
Pessoal faz horas que tô pra perguntar: quem trabalha com casos de pornografia infantojuvenil ?
vocês usam o LED da PF certo?
tem como "boa prática" usar o CalcLED.jar para alimentar mais hashes na base?
pois seria interessante compartilhar mais arquivos de hashes (eu particularmente envio pro Wladimir da PF) pra ele ir alimentando, mas ele mesmo disse que pra alimentar depende das "boas práticas" dos próprios colegas da PF
Boa noite [NOME]. Trabalhamos com o LED mas não temos CalcLED.jar
Onde podemos encontrar? Qual a última versão do LED?
Onde podemos encontrar? Qual a última versão do LED?
Origem 842 — 21/07/2025 09:28 a 09:30 — Compatibilidade de modelos e métodos de extração no UFED
Bom dia, pessoal. Fiz um relatório do UFEDreader pra enviar para a delegacia. E num dos computadores lá não abre. Sabem me dizer se tem algum pré requisito?
Lembro que versões mais antigas precisavam de .NET framework instalado
Origem 843 — 22/07/2025 09:21 a 11:25 — Artefatos e vestígios de uso do WhatsApp Web
<Mídia oculta>
Bom dia Srs. Por gentileza, alguém saberia me informar do que se trata essa tela que é apresentada no momento em que aciono a extração do UFED Cloud e se o campo trata-se do nome do responsável pela realização da extração?
Bom dia Srs. Por gentileza, alguém saberia me informar do que se trata essa tela que é apresentada no momento em que aciono a extração do UFED Cloud e se o campo trata-se do nome do responsável pela realização da extração?
Só inserir seu nome. Fica armazenado na extração dizendo que as informações que tu passou foi realizada com autorização judicial.
Informações são nome de usuário, senha ou o qrcode do whatsapp web
então, nesse caso só tenho o Termo de Declaração onde consta a autorização do tutor/responsável.
Esse UFED Cloud vai ser o futuro das extrações. Agora que os telefones vão começar a vir com carregamento por indução e sem entrada USB.
Sim, isso vc guarda se caso alguém queira contestar.
O correto e apresentar essa informação em um parágrafo no laudo.
O correto e apresentar essa informação em um parágrafo no laudo.
grato [MENCAO]
É apenas para contestação possível no futuro. Mas é meio .... Complexos.... Pode escrever qualquer coisa aí. Ele aceita.
Acredito que se começarem a contestar no futuro a cellebrite vai inserir uma assinatura digital nesse momento
Acho que tem no site meu amigo
tem alguns detalhes. Vou dar uma lida.
STK-20250310-WA0014.webp (arquivo anexado)
Origem 844 — 25/07/2025 09:53 a 12:31 — Extração e análise de mensagens do WhatsApp
Bom dia nobres colegas! Estou com uma extração de um iPhone 14 Pro Max de mais de 500GB (o celular mostra no armazenamento ocupado apenas 260GB). Estou tentando processar o Inseyets mas ele trava no momento que vai processar o Whatsapp, deixei por 48hs e nada. Até olhei nos processos e ele não está usando nem CPU nem memória, parece que fica aguardando alguma coisa.
Pensei em tentar processar no IPED mas não sei se ele abre extração do Premium, ou até no PA antigo, o que podem me dizer pra ajudar?
Pensei em tentar processar no IPED mas não sei se ele abre extração do Premium, ou até no PA antigo, o que podem me dizer pra ajudar?
Bom dia! Tentaste no PA 7.71? Está bem mais estável com iphone, especialmente whatsapp, o parsing no PA 10 tá com alguns bugs, como não abrir áudios encaminhados do whatsapp
só que o PA 7 tende a ser mais lento, mas quem sabe está sem esse problema de processamento
[NOME] dependendo da configuração do equipamento, às vezes pode levar até mais tempo, o que eu normalmente faço é acompanhar na Janela de Rastreio, em todo caso, caso se perceba travamento real no Parser, eu recomeçaria esse procedimento em um equipamento com maior capacidade de processamento, e principalmente, memória. Já precisei fazer isso também, em casos de Whatsapp de iPhones, só conseguiu terminar de processar, quando montei, temporariamente, uma máquina com 128GB de ram, inclusive, o time da Techbiz me acompanhou nessa batalha, e também não sabiam exatamente, a razão pela qual a primeira máquina não conseguia processar totalmente o aparelho, só funfou depois que eu aumentei a capacidade utilizada.
IMG-20250725-WA0002.jpg (arquivo anexado)
Bom dia! Alguém já pegou essa situação? Premium faz?
Bom dia! Alguém já pegou essa situação? Premium faz?
Bom dia. Já tivemos sucesso nesses casos sim, mas a extração é semelhante a uma BFU
Pois é, vou tentar no PA depois.
Saquei! Vou colocar aqui no premium pra ver o que dá então . Obrigado
Pois é, aqui tem 64GB de RAM, pensei nisso tmb.
Mas chegou a topar os 64 GB? Se não, é bug mesmo
Acho que o Premium tem um procedimento agora para gerar um ufdr direto. Talvez fica mais fácil de abrir o ufdr no PA.
Origem 845 — 30/07/2025 18:28 a 19:13 — Compatibilidade de modelos e métodos de extração no UFED
Não tem. Na etiqueta da traseira é o mesmo nome. Está fazendo extração física com um perfil genérico do mediatek no ufed, mas está bem lento
Ah, top entao. É um dos velhos.
Pode seguir. Se der ruim no meio, aí usa aqueles cabinhos extra power ou algum fonte, pq pode ocorrer de nao carregar o bastante durante a extracao.
E a demora é normal.
Putz. Não conectei o power cable do ufed device adapter e a barra tá parada faz mais de uma hora...
Não deu erro. Só tá parada
Origem 846 — 31/07/2025 15:20 a 16:31 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Essa extração foi bem sucedida, mas o processamento seguinte só trouxe dados de sistema, sendo que há dados de usuário, inclusive tem whatsapp instalado, Processei pelo ufd e android dd, mas deu no mesmo. Há algo mais que pode ser feito? Acho estranho porque supostamente é um android 5.1, logo fde, e deveria vir tudo
pode ser o PA muito recente q está com bugs para parsing de versões mais antigas?
verifica se tem msgstore.db etc pra ver se as conversas estão sendo carregadas
Só veio dados de sistema mesmo. Conferi aqui e não veio msgstore. Acho estranho que não veio nem whatsapp na lista de apps instalados.
no sistema de arquivos aparecer a pasta com.whatsapp no /data?
Não veio a partição data, só system e mais 3 de nome Linux native partition
FDE foi extração física?
Tem certeza que é FDE?
Positivio com android 5.1 normalmente seria sem crypto
Positivio com android 5.1 normalmente seria sem crypto
Não tem o gesture.key também então, para pegar o padrão.
Como foi a interpretação das partições pelo PA?
Quais ele interpretou?
A extração finalizou com sucesso?
Esse .bin você consegue abrir no 7zip? Se sim, quais partições ele interpreta?
31/07/2025 16:28 - [TELEFONE]:
31/07/2025 16:28 - [TELEFONE]:
Relatório da extração e as partições reconhecidas pelo PA
Acabei de processar de novo com várias chains, inclusive nand, mmc, e o resultado foi o mesmo. Acho estranho porque data não deveria estar encriptada por ser, teoricamente, fde
Sim, finalizou com sucesso
Origem 847 — 31/07/2025 17:42 a 18:12 — Bootloader, desbloqueio OEM e risco de wipe
Se for fde, então estão encrypt.
Qual opção no ufed fez a extracao?
Qual opção no ufed fez a extracao?
Mas aí o decrypt depende do metho que usou.
Ufed mtk 6592. Fica nas opções do mtk generic, se não me engano. Estou extraindo agora com o perfil "old MTK" e ver no que dá
Certo. Esse método aí normalmente só funciona com celulares que não possuem criptografia.
Quando é FDE, tem um métod específico de Decrypt MTK bootloader.
Acredito que não seja esse o seu caso. Positivo com android 5 e crypto, nunca vi.
A positivo demorou para criptografar os celulares
A positivo demorou para criptografar os celulares
Esse não é suportado. Já tentei. Esse outro método que extraiu, mas deu esse problema, disse que a senha não seria um problema. Não lembro qual a mensagem agora, mas jogo o print aqui quando terminar a extração atual.
Sim. A senha não é problema. Ele bypass a senha [SEGREDO] Android 5 deveria inclusive informar a senha depois do processamento, caso seja geométrica.
Eu falo que é 5.1 por uma suspeita de como foi lançado, mas creio que seja fde mesmo que tenha sido atualizado. Pode ser que tenham instalado outra rom, mas aí não sei se dá para saber, já que o Premium não reconheceu nada além da marca e modelo ...
Entendi. Pensei que tinha confirmado a versão do Android.
O premium não é tão bom nesses celulares "exóticos".
O estranho é que quando está crypto, o PA indica isso e pergunta sobre a senha/chave.
O que já vi é o Positivo colocar na ROM um próprio sistema de arquivo. O UBI (Unsorted Block Images) é o preferido da Positivo
Aí o PA não interpreta
Veja de abrir no HxD e se há alguma assinatura de UBIFS
Origem 848 — 31/07/2025 18:31 a 19:01 — Root e extração em dispositivo Positivo
Mas nesse caso o PA teria conseguido processar a partição system?
Abre no 7zip pra ver as partições
Tentei antes. Não abriu o binário
Se a system não for UBIFS, apenas uma ext qualquer. Mas isso é apenas uma sugestão. Pode ser outra incompatibilidade
Vc tem axiom aí? Ou outra ferramenta além do PA?
Tá Osso! Tenta fuçar a imagem num leitor hexa pra ver se tem dados ou se tá a maioria zerado ou ininteligivel
IPED carrega n?
<Mídia oculta>
No ExHD apareceu isso na busca
No ExHD apareceu isso na busca
Tentei só PA até o momento
Então deve ser isso mesmo.
Vc tem PC3000?
No PC3000 conseguimos fazer um desses que usam UBIFS.
Ele consegue montar o sistema de arquivos legal e aí é possível fazer a extração de uma forma que o PA interprete.
Ele consegue montar o sistema de arquivos legal e aí é possível fazer a extração de uma forma que o PA interprete.
Nada. Temos Premium e XRY
Tente processar no XRY. Ou até extrair por lá e em seguida processar. Ele tende a ter um suporte melhor nesse tipo de FS.
Eu nunca me deparei com isso até hoje, aí tô bem perdido kkk. Mas obrigado demais até o momento pela ajuda. Vou tentar processar no XRY
Tem um bem chato tbm. O Positivo S510. Mas esse é Spredtrum.
Sofremos bastante para conseguir fazer ele. Até entramos em contato com a Positivo para disponibilizar uma ROM, pq na internet não tinha. Aí conseguimos fazer a extração física com o SPD Research Tool. Mas no final caímos nessa do UBIFS e o PA não interpretou.
Só salvou com o PC3000.
Sofremos bastante para conseguir fazer ele. Até entramos em contato com a Positivo para disponibilizar uma ROM, pq na internet não tinha. Aí conseguimos fazer a extração física com o SPD Research Tool. Mas no final caímos nessa do UBIFS e o PA não interpretou.
Só salvou com o PC3000.
STK-20250731-WA0009.webp (arquivo anexado)
Origem 849 — 31/07/2025 19:31 a 19:32 — Extrações, importação e limitações no XRY
Esse s510 tenho registro de extração física no ufed, mas não sei qual perfil nem se processou no PA depois, porque foi feita uma lógica no XRY também
Aparelho chinês white label lançado no Brasil sempre é problema
Origem 850 — 01/08/2025 18:56 a 22:40 — Ativação do modo desenvolvedor e depuração USB
Boa tarde. É possível realizar a extração sem configuração do aparelho. Obtém-se assim os dados de IMEI e outros relevantes do dispositivo além de, em alguns casos, apontar a data do reset. Tenho feito algumas perícias assim para caracterizar destruição de provas em momentos de cumprimento de mandados de busca e apreensão e/ou prisão, quando o alvo alega ter resetado o aparelho no dia anterior para resolver um problema de funcionamento.
vc faz essa extração no Premium ou no ufed?
Ola, Conrado
Vc vai precisar do Premium. Ou alguma outra ferramenta semelhante.
Nele poderá ainda ter aqueles logs para idt a causa e momento do reset.
No ufed, para esse modelo, teria que ter o debug ativo.
Vc vai precisar do Premium. Ou alguma outra ferramenta semelhante.
Nele poderá ainda ter aqueles logs para idt a causa e momento do reset.
No ufed, para esse modelo, teria que ter o debug ativo.
Mas o 13c é bem chato. Tem alguns deles que nao fazem nem no premium, principalmente se estiver com patch e android atualizado.
Android 15 não faz ainda.
Galera o meu problema que inseyets travava o processamento durante um caso [ID-CASO] de um iPhone, após uns 2 dias de processamento, era por conta do serviço do token que parava de funcionar. Reiniciei ele e processou normal o caso.
Premium
Origem 851 — 03/08/2025 11:12 a 11:30 — Desbloqueio operacional de aparelho com PayJoy/MDM
Olá, pessoal! Alguém já conseguiu fazer extração de um aparelho com PayJoy?
Bom dia.
Sim, no premium ele faz. Como ele ativa o debug no modo "bloqueado", entao ele consegue fazer <Mensagem editada>
Sim, no premium ele faz. Como ele ativa o debug no modo "bloqueado", entao ele consegue fazer <Mensagem editada>
Aqui ele vai até o brute force, dá sucesso, mas então diz que perde a conexao com o dispositivo e nao vai mais
Uhnn. Qual o modelo? <Mensagem editada>
O sucesso depende do modelo. Se for um daqueles modelos que o suporte é limitado, ai nao vai dar boa.
"vendor": "samsung",
"model": "SM-A256E",
"model": "SM-A256E",
Qual versão do premium esta usando?
Esse é um pouco chato, mas deveria dar boa.
<Mídia oculta>
Morre aí
Morre aí
Acho que tem uma versão de ES mais recente que o 0.320. Ele ajudou um pouco nessas instabilidades.
Mas a principio ele ja ativou o debug, ja que o exploit deu boa. Talvez consiga via modo desbloqueado.
Vou terntar aqui, muito obrigado
O que fazemos nesses casos em que o agente nao inicializa é remover o cabo que conecta com o celular e reconecta.
Em alguns casos temos sucesso na inicialização do agente.
Ele deu essa sugestão, eu fiz, mas nao foi. Vou tentar um ES mais novo e um mais antigo
Bom dia. Minha impressão é que os Exynos tem sido os que o Premium tem mais dificuldade.
Sim. Tem uns unisoc e uns MTk tbm.
Ah, e tbm uns qualcomm 🤣🤣🤣
Ah, e tbm uns qualcomm 🤣🤣🤣
Esses últimos updates de segurança e android 15 ta bem tenso
Estão patinando bastante para disponibilizar updates estáveis.
Origem 852 — 04/08/2025 00:19 a 00:19 — Desbloqueio operacional de aparelho com PayJoy/MDM
Peguei um celular infinix bloqueado e com payjoy.
O premium na última versão fez a extração
O premium na última versão fez a extração
Origem 853 — 04/08/2025 11:21 a 14:03 — Root e extração em dispositivo Positivo
Pessoal, ainda estou usando o Physical Analyzer por aqui. Lembro que alguns colegas relataram lentidão no Inseyets PA. Isso foi resolvido? Será boa hora de migrar?
O PA não tem atualizações desde fevereiro.
Bom dia meus nobres, estou com um MAC Mini modelo A1993. Preciso realizar extração de dados deste dispositivo, ele tem o SSD soldado na placa mãe, alguma dica de como proceder? Desde já, agradeço o auxílio.
Esse aparelho aparentemente deve ter o chip t2. Está com a senha fornecida? Se sim, voce poder confirmar essa informação (se não tiver t2 pode fazer uma cópia com o [NOME], senão só uma extração lógica do filesystem)
Não sei se corrigiram na última versão do Inseyets, mas já tive caso de celular com extração grande que simplesmente não abriu no Inseyets. Passou mais de dia e não fez o parser e classificação de mídias, enquanto que no PA levou umas 12h
Não tem senha fornecida. Não consegui dar boot com o [NOME] ele aparece essa mensagem quando começa inicializar. 👇🏻
Boa tarde pessoal
Este notebook possui um chip intel core i5 com SSD de 128 ou 256 GB. Para alterar esta mensagem vc precisa a senha. Modelos Intel entre 2018 e posteriores, incluindo o A1933/A1932, têm SSD integrado (soldado) à placa lógica e isso impede sua remoção para aquisição cia write-blocker
Este notebook possui um chip intel core i5 com SSD de 128 ou 256 GB. Para alterar esta mensagem vc precisa a senha. Modelos Intel entre 2018 e posteriores, incluindo o A1933/A1932, têm SSD integrado (soldado) à placa lógica e isso impede sua remoção para aquisição cia write-blocker
Origem 854 — 07/08/2025 13:32 a 13:50 — Compatibilidade de modelos e métodos de extração no UFED
Boa tarde pessoal. Alguém já conseguiu extrair dados de um drone DJI Mini 3, incluindo os arquivos de voô na extensão .DAT?
<Mídia oculta>
Só para dar um Feedback, o celular tá travado, o UFED achou 0 bytes, porém está extraindo. 🤷🏽♂️
Só para dar um Feedback, o celular tá travado, o UFED achou 0 bytes, porém está extraindo. 🤷🏽♂️
Origem 855 — 08/08/2025 07:54 a 08:49 — Extração e análise de dados em iPhone/iOS
IMG-20250808-WA0002.jpg (arquivo anexado)
Ao pessoal que tem experiência com o IPED. Está parado desde ontem nessa tela de "generating graph database". É normal?
Inclusive abri uma prévia do projeto e tbm fica essa janela travada de descompactação do libreoffice.
Será que é "só" aguardar mesmo?
Ao pessoal que tem experiência com o IPED. Está parado desde ontem nessa tela de "generating graph database". É normal?
Inclusive abri uma prévia do projeto e tbm fica essa janela travada de descompactação do libreoffice.
Será que é "só" aguardar mesmo?
Dá uma olhada no gerenciador de tarefas se está escrevndo algo no disco (sef or no windows, talvez você precise habilitar essa coluna na aba "detalhes" do gerenciador)
Tá ocupando RAM, mas não está usando nem CPU nem disco.
Eu esperaria mais um pouco.
Já tive problemas com essa funcionalidade processando arquivos .UFDR de iPhones.
Essa etapa gerava bancos de dados gigantes, bem maiores que a própria extração.
Essa etapa gerava bancos de dados gigantes, bem maiores que a própria extração.
Aqui pra conseguir terminar, quando fica assim, eu abro o Ipedconfig e desabilito o enableGraphGeneration, aí ele consegue encerrrar de boa.
Opa, valeu pela dica.
Fiz isso aqui. E essa alteração surte efeito com o parsing acontecendo? Ou só pras próximas?
Só pras próximas. Pode tentar encerrar e reiniciar com a chave --continue, mas provavelmente o grafo deva estar com um tamanho gigante
Muito obrigado pessoal
Origem 856 — 09/08/2025 15:29 a 18:17 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde, alguém aqui já usou o Python no Physical Analyzer?
Eu só chamei um script Python uma vez. Não cheguei a programar
<Mídia oculta>
Estou tentando fazer algo parecido com isso no PA. e não ta funcionando
Estou tentando fazer algo parecido com isso no PA. e não ta funcionando
(Na verdade estou lendo um bd de um chat q o PA não trata por padrão, porém não está replicando as modificações nos chats do PA.)
Olha os exemplos python/C# que tem na pasta de instalação que você vai conseguir reproduzir os exemplos desse PDF da Cellebrite.
Pela primeira vez um previsão desta para o Premium:
_BF for iP [ID-CASO] is coming hoping for end of Q3_ 🙏
_BF for iP [ID-CASO] is coming hoping for end of Q3_ 🙏
Eita. Donde viu isso?
Vai superar o GrayKey nesse item.
Tomara que inclua bastante versões de iOS
Tomara que inclua bastante versões de iOS
No e-mail do Lorenz sobre a versão beta 7.74.4
Uhnn. Eu vi do release dessa versão beta apenas. Nao tinha visto post <Mensagem editada>
Que top. Depois vou ver no grupo de discussão mais infos.
Ele colocou no final dizendo que já sabiam que iam perguntar mesmo 🤣
Sempre perguntam. Fazem 2 anos já 🤣🤣
Cellebrite Premium — Paul_Lorentz (Customer) asked a question.
[Beta Release] 7.74.4 Resources
We have release the 7.74.4 resources to beta for the online environments Premium as a Service and Inseyets UFED.
Here are the highlights;
iOS:
Faster and more reliable access for FFS iOS 18.4-18.5 iPhone XS-16
FFS support for iOS 18.6 iPhone XS-16
Bug fix for error code bc-9b3f, accessing BFU iP [ID-CASO] iOS 17.1-17.4
Android:
Bug fix BF Support for Samsung Galaxy A16
Fixed locked initial access for latest SPLs of Samsung Galaxy A22
Fixed locked initial access & BF for Oppo CPH1931
Fixed locked initial access for Moto G Pure
Bug fix for error code c136, f-1d97
To take advantage of the Beta, join via the Design Partner Program.
https://scribehow.com/viewer/Request_to_Join_PAAS_Beta_via_DPP__SII8XmM5Q9SAi_9AYn05Hw
This is a significant improvement to the iOS access for consent devices, reducing the access time and increasing the success rate.
I know it will be asked,
We are working on AFU for iOS 18.3.1 and above
BF for iP [ID-CASO] is coming hoping for end of Q3
[Beta Release] 7.74.4 Resources
We have release the 7.74.4 resources to beta for the online environments Premium as a Service and Inseyets UFED.
Here are the highlights;
iOS:
Faster and more reliable access for FFS iOS 18.4-18.5 iPhone XS-16
FFS support for iOS 18.6 iPhone XS-16
Bug fix for error code bc-9b3f, accessing BFU iP [ID-CASO] iOS 17.1-17.4
Android:
Bug fix BF Support for Samsung Galaxy A16
Fixed locked initial access for latest SPLs of Samsung Galaxy A22
Fixed locked initial access & BF for Oppo CPH1931
Fixed locked initial access for Moto G Pure
Bug fix for error code c136, f-1d97
To take advantage of the Beta, join via the Design Partner Program.
https://scribehow.com/viewer/Request_to_Join_PAAS_Beta_via_DPP__SII8XmM5Q9SAi_9AYn05Hw
This is a significant improvement to the iOS access for consent devices, reducing the access time and increasing the success rate.
I know it will be asked,
We are working on AFU for iOS 18.3.1 and above
BF for iP [ID-CASO] is coming hoping for end of Q3
Finalmente.
Pq no AFU para iOS esta uma vergonha.
No GrayKey ele consegue fazer o exploit e inicia a extração em menos de 5 minutos em alguns modelos em AFU.
Até parece que tem backdoor. <Mensagem editada>
Pq no AFU para iOS esta uma vergonha.
No GrayKey ele consegue fazer o exploit e inicia a extração em menos de 5 minutos em alguns modelos em AFU.
Até parece que tem backdoor. <Mensagem editada>
Será que continua 28 anos? 🥺
Pessoal, o UFED básico consegue fazer extração de Meditek no modo Brom?
Na real, acho que ate faz. Mas só para chipsets bem velhos.
Aqueles métodos de bootloader MTK generico até entram nessa lista.
Mas UFED deixou de investir nisso a muitos anos. <Mensagem editada>
Aqueles métodos de bootloader MTK generico até entram nessa lista.
Mas UFED deixou de investir nisso a muitos anos. <Mensagem editada>
O pc3000 segue essa linha de brom para os chipsets mtk.
Eu fiz um antigo no pc3000 que faria no ufed essa semana da mesma forma naqueles perfis de mtk generico via bootloader.
Eu fiz um antigo no pc3000 que faria no ufed essa semana da mesma forma naqueles perfis de mtk generico via bootloader.
2022 é considerado bem velho? Hehehe
Mas se for para fazer crypto FBE, ai o UFED nao faz. Pelo menos nao me recordo de algum método que tenha nele em relação a isso.
No nosso trampo, 2024 é velho 😅
Seria para quebrar a senha de um Moto e22 chip Helio G37 MediaTek MT6765V/CB
Ah, ai nao. Esse ja é FBE.
Eu não sei porque o modo Brom que tenho visto ou é por botões ou por test point.
Mas obrigado pelo apoio.
Origem 857 — 11/08/2025 18:33 a 19:51 — Extração e análise de dados em iPhone/iOS
então [NOME], um processador só acho que ficaria fraca a máquina, pensando em ver com HP a opção deles
Excelente pergunta. Tava até pensando em fazer também esses dias. Temos Iphones há meses tentando quebrar a senha. Aqui no CE ainda to tentando montar um fluxo. Primeiro passo que fizemos foi não encaminhar mais Iphones pro perito que faz laudo para que ele não acumule materiais de diversos casos. O Iphone esta indo pra uma pseudo equipe de extração. Apos o sucesso da extração é encaminhado para iniciar o processamento/analise. Ja tivemos casos em que a estimativa de.quebra era de 30 anos, no pior cenario. Precisamos fazer algo, há um aumento de Iphones e não tem.como manter um volume, por exemplo mais de 10, nesse estagio de brute force. Como temos equipe que consegue enviar ofícios em tempo hábil, estou pensando em perguntá-los se continua ou não. Meu receio é a.resposta ser...... pode ficar tentando, te vira ai...... Ai é complicado. Por enquanto to vendo se deixo uns 30 dias tentando quebrar a senha para depois tomar alguma decisão. Se nao der certo, devolve o material informado o tempo necessário para quebrar a senha no.pior.caso. Ja fizemos alguns laudo e informados que demoraria mais de 20 anos...... aguardando ainda se vai ter algum rebote da justica. Ah importante colocar uma foto dos dias passados e quantas tentativas foram realizadas. Outra coisa, Interforensis vem ai, podemos combinar, quem for, um encontro e debater esse tema e outros também. Desculpa ai qualquer erro gramatical. Paciência pouca pra digitar texto grande no celular.
O compliance do premium proíbe a divulgação de qualquer imagem do processo!!!
Origem 858 — 18/08/2025 09:56 a 11:51 — Extração e bloqueios em Redmi 11 sempre nesse
Bom dia, pessoal. Alguém teria um manual do IPED para me passar? Que contenha instrução tanto para instalação quanto para uso?
Acho que o mais atualizado é o do github:
https://github.com/sepinf-inc/IPED/wiki/User-Manual
https://github.com/sepinf-inc/IPED/wiki/User-Manual
<Mídia oculta>
LABCEDF (DECCC) 2025 - Laboratório de Computação e Extração de Dados Forense da Polícia Civil do Estado do Pará!
LABCEDF (DECCC) 2025 - Laboratório de Computação e Extração de Dados Forense da Polícia Civil do Estado do Pará!
STK-20240203-WA0008.webp (arquivo anexado)
STK-20250818-WA0003.webp (arquivo anexado)
<Mídia oculta>
Bom dia! Redmi 11 sempre nesse modo recovery, alguma ideia do que pode ser? Alguma forma de extrair?
Bom dia! Redmi 11 sempre nesse modo recovery, alguma ideia do que pode ser? Alguma forma de extrair?
O botão não está travado?
Origem 859 — 18/08/2025 12:37 a 12:51 — Extração e bloqueios em Xiaomi/Redmi/POCO
Safe mode também não vai?
Eu já vi vários relatos de xiaomi reclamando que dá problema no boot e fica preso no recovery. Talvez seja preciso recuperar o boot, mas não sei se seria possível dar flash só nele
https://xiaomi.eu/community/threads/my-xiaomi-13-lite-wont-exit-the-recovery-mode.71597/
Pode tentar no ufed touch, ir em ferramentas, e tem alguns opções de sair do modo recovery
O Physical Analizer Inseyets não faz carving de imagens?
Tem alguma configuração? Fica disabilitado com a extração física.
👍🏻 Vou tentar, mas creio que esse recovery é diferente daquele q normalmente aparece nos androids
Origem 860 — 22/08/2025 11:29 a 12:44 — Onde posso encontrar os logs de uma extração realizada pelo celebritte e do
Bom dia. Onde posso encontrar os logs de uma extração realizada pelo celebritte e do relatório gerado utilizando o PA?
<Mídia oculta>
Boa tarde, pessoal! Alguém já teve sucesso nesse modelo usando o premium? Alguma dica?
Boa tarde, pessoal! Alguém já teve sucesso nesse modelo usando o premium? Alguma dica?
Origem 861 — 27/08/2025 10:50 a 11:17 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Bom dia pessoal.
Realme Note 60 com Realme UI, android 14.
Aparelho está com política de trabalho aplicada que impede colocar no modo desenvolvedor.
Alguém sabe como contornar?
Bom dia pessoal.
Realme Note 60 com Realme UI, android 14.
Aparelho está com política de trabalho aplicada que impede colocar no modo desenvolvedor.
Alguém sabe como contornar?
Vix, normalmente apenas quando o eq master liberar. E precisa conectar na Internet.
Nesses casos, pode fazer o exploit como celular bloqueado no premium.
Nesses casos, pode fazer o exploit como celular bloqueado no premium.
Ele irá ativar o debug se conseguir exploitar.
<Mídia oculta>
Esse Samsung pede pra ir no modo recovery para tentar o brute force. Mas fica nessa tela um tempo e dá erro. Alguma solução?
Esse Samsung pede pra ir no modo recovery para tentar o brute force. Mas fica nessa tela um tempo e dá erro. Alguma solução?
você está colocando ele no modo de sideload como está pedindo?
<Mídia oculta>
Já tentei umas dez vezes. Está na beta, mas já tentei várias vezes na última atualização sem ser a beta.
Já tentei umas dez vezes. Está na beta, mas já tentei várias vezes na última atualização sem ser a beta.
<Mídia oculta>
É nesse né
É nesse né
no touch não tem método de extração física por bootloader?
eu acabei de ajudar na extração de um que no premium não ia e no touch foi nessa opção, aparelho mais ou menos da mesma época
Só tem opção de física rooteado
Isso. Vc tem que entrar nesse item ai.
Esse modelo ai é FBE, no touch nao terá suporte.
Já fiz várias vezes.
Aparentemente ele consegiu instalar o package
A msgm informa isso.
em vermelho está dizendo que falhou
Eu acho que o premium fez algum bug nesse procedimento na última versão.
Já vi outros colegas relatando o mesmo problema nesse ai.
Ele diz que falhou, mas funciona.
Falhou com sucesso 🤣🤣
Desde que disponibizaram essa opcao, ele informa que falha, mas dá boa.
Falhou com sucesso 🤣🤣
Desde que disponibizaram essa opcao, ele informa que falha, mas dá boa.
Origem 862 — 28/08/2025 08:46 a 08:46 — Extração e compatibilidade em Samsung SM-A042M
Bom dia, alguém já conseguiu uma extração física do Samsung SM-A042M?
Origem 863 — 05/09/2025 09:03 a 09:05 — Compatibilidade de modelos e métodos de extração no UFED
Como apareceu ai?
Liberou pelo menos a opcao de extracao fisica?
Liberou pelo menos a opcao de extracao fisica?
Mesmo aparecendo esse erro?
Liberou física, FFS...
Mas tudo dando esse erro de créditos
Mas ai nao deixa fazer né?
Eles bloquearam isso nas ultimas versões.
Antes dava para fazer essa mesmo sem.
Pelo menos conseguimos ja fazer em algumas isso nas versões anteriores.
Antes dava para fazer essa mesmo sem.
Pelo menos conseguimos ja fazer em algumas isso nas versões anteriores.
Frustração é o que define
Tenta downgrade para a 73 e veja se vai.
Mas deixa o agente ja.
Só desconecta e tenta na 73 em seguida.
Origem 864 — 05/09/2025 09:19 a 09:30 — O Inseyets dá pra fazer como no UFED, instalando em outra pasta pra
<Mídia oculta>
Ou garanto na 10.4?
Ou garanto na 10.4?
<Mídia oculta>
Ou garanto na 10.4?
Ou garanto na 10.4?
O Inseyets dá pra fazer como no UFED, instalando em outra pasta pra manter versões diferentes instaladas?
Vamos descobrir agora então
Origem 865 — 05/09/2025 15:16 a 15:17 — Coincidentemente estava fazendo hoje no Premium. Apenas consegui descobrir a senha momento
Coincidentemente estava fazendo hoje no Premium. Apenas consegui descobrir a senha [SEGREDO] momento da extração apresenta um erro.
A solução foi descobrir a senha pelo premium e extrair uma FFS pelo UFED. Ai deu sucesso!
A solução foi descobrir a senha pelo premium e extrair uma FFS pelo UFED. Ai deu sucesso!
Aqui no ufed ele tbm não conecta
Origem 866 — 07/09/2025 21:39 a 21:55 — Extração e análise de mensagens do WhatsApp
Pessoal, boa noite
IPhone 11 pro Max desbloqueado no Cellebrite não veio o WhatsApp
E também eu precisaria extrair os prints que o usuário obteve de forma individualizada
Alguém tem alguma sugestão?
Foram 220GB de dados extraídas, mas o zap não veio🙁
IPhone 11 pro Max desbloqueado no Cellebrite não veio o WhatsApp
E também eu precisaria extrair os prints que o usuário obteve de forma individualizada
Alguém tem alguma sugestão?
Foram 220GB de dados extraídas, mas o zap não veio🙁
Qual versão do ufed tu usaste?
Meu caríssimo [NOME]!!!!
Mas acho que está desatualizado
Veja também o tipo de extração que tu fizeste
A melhor pra essa versão de iPhone é a Advanced Logical file system
Outra coisa importante também
Veja se o WhatsApp não está com autenticação de 2 fatores
Lógica avançada
Se estiver é muito fácil de tirar
Faça a file system
Ops
Acho que foi a File System mesmo!!!
Perdoe-me
Veio tudo, exceto o zap
Acho que foi a File System mesmo!!!
Perdoe-me
Veio tudo, exceto o zap
Abra o WhatsApp
No celular do investigado
Beleza!
Já já estarei com.o dispositivo em mãos de novo!
Já já estarei com.o dispositivo em mãos de novo!
Confirme a versão do ufed também
Boa noite, [NOME].
Se não foi interpretado o WA, vc vai precisar fazer a FFS.
Nas novas versões de iOS o wa nao esta vindo nas extrações parciais (lógica e FS parcial) no ufed. Apenas as FFS via premium.
Ou se for um iOS super antigo (15.x), ai consegue ele nas parciais ou na FFS via jailbreak do ufed.
Se não foi interpretado o WA, vc vai precisar fazer a FFS.
Nas novas versões de iOS o wa nao esta vindo nas extrações parciais (lógica e FS parcial) no ufed. Apenas as FFS via premium.
Ou se for um iOS super antigo (15.x), ai consegue ele nas parciais ou na FFS via jailbreak do ufed.
Ou tbm na FFS do graykey tbm tera sucesso <Mensagem editada>
Eles não tem Graykey lá em Minas [NOME]
Origem 867 — 07/09/2025 22:17 a 22:54 — Metadados EXIF/JPEG e individualização de câmera
Boa noite. Não é a criptografia que tem que desmarcar no WhatsApp do iPhone?
quando eu abro o Whatsapp no telefone, informa que a versão expirou e pede para atualizar pela App Store
<Mídia oculta>
e aqui só oferece essas opções
e aqui só oferece essas opções
Boa noite, Flávio!
Não consigo acessar o WhatsApp
Não consigo acessar o WhatsApp
<Mídia oculta>
se usar esse FFS (Jailbroken) corro o risco de perder os dados?
se usar esse FFS (Jailbroken) corro o risco de perder os dados?
É só trocar a data do celular para antes do dia da apreensão
Aí o WhatsApp abre
Seu ufed está desatualizado
Já estamos na versão 7.74.202
Já tive esse problema antes
ainda acha que vale a pena tentar a FFS (jailbreak)?
Faça via file system
essa extração específica aqui preciso de três coisas basicamente:
1ª: arquivos de vídeo da câmera;
2ª: prints que o usuário tirou;
3ª: pouquíssimas conversas do whatsapp.
1ª: arquivos de vídeo da câmera;
2ª: prints que o usuário tirou;
3ª: pouquíssimas conversas do whatsapp.
Veja se as conversas do print estão no WhatsApp
Pq print não é mais prova técnica
exato
mas a questão é que o camarada recebeu as ameaças, "printou" e o outro usuário apagou logo em seguida
mas a questão é que o camarada recebeu as ameaças, "printou" e o outro usuário apagou logo em seguida
E coloca no seu laudo
então seria importante pelo menos atestar a autenticidade dos prints
Aí nesse caso os prints são vsliosos
Acredito que com os metadados do PA
Vc já consegue validar
E tem o depoimento da vítima também né
os arquivos de vídeo da câmera ficam individualizados na File System?
Tomara que o ufed recupere pelo menos alguma coisa desse chat deletado
Lá vc vai ver o caminho dos vídeos
Através dos metadados
<Mídia oculta>
fiz essa aqui ontem e na pasta "media" apareceu isso aqui:
fiz essa aqui ontem e na pasta "media" apareceu isso aqui:
Faça novamente a extração
E nos mostra o resultado
Melhor fazer o relatório pelo reader
Tô viajando daqui a pouco pra uma operação
E ainda faz extração
É bom que é só deixar rolando agora
<Mídia oculta>
estou criando agora. Selecionei apenas imagens e vídeos e mais algumas outras poucas coisas
estou criando agora. Selecionei apenas imagens e vídeos e mais algumas outras poucas coisas
Brabo, mas vou ficar a semana toda fora da delegacia
Vc fez uma nova extração?
Mais estarei na operação
Origem 868 — 09/09/2025 13:54 a 15:39 — Extração e decodificação de bancos do WhatsApp
Entao, ai depende de qual extracao fez no PC3000.
Vc utilizou o método 3 para FFS?
Vc utilizou o método 3 para FFS?
As outras sao feitas em formato diferente do fs. Aí ate o PA se perde.
Qual o correto a se fazer nesse caso?
Pra que o iped processe e reconheça os chats
O metho 3.
Quando ele fornecer para extração, fazer o 3.
Se for fisica, ai segue normal a fisica.
Quando ele fornecer para extração, fazer o 3.
Se for fisica, ai segue normal a fisica.
Nesse método ele faz igual ao cellebrite.
Aproveitando o assunto do IPED, o UFDR que será aberto precisa ser da extração completa? Com banco de dados e tudo mais? Ele vai mostrar os dados do WhatsApp pelo parseamento desse conteúdo ou consegue aproveitar o parsing que o PA fez antes de gerar o UFDR?
Cara indexa pelo PA
Ah, tem outro detalhe.
Tem que fazer um unzip e depois um zip.
O compact que o pc3000 usava trava no PA. Pelo menos na versão anterior tinha isso com o 7.70.
Nao sei se no 7.72.
Tem que fazer um unzip e depois um zip.
O compact que o pc3000 usava trava no PA. Pelo menos na versão anterior tinha isso com o 7.70.
Nao sei se no 7.72.
Eu abro o Zip e carrego como pastas no PA. Dá pau tentar abrir o Zip do PC3000 mesmo. <Mensagem editada>
Origem 869 — 09/09/2025 16:12 a 16:50 — Ativação do modo desenvolvedor e depuração USB
Boa tarde. Alguma forma alternativa de ativar o modo desenvolvedor/ADB? Um moto G2 antigo XT1069, desbloqueado, porém o modo de desenvolvedor não está ativando manualmente pelas configurações de sistema
Baixando um apk aqui pra ver se vai...
Tem como fazer init root nele e já sobe com root
https://github.com/alephsecurity/initroot
eu tentei essa versão mas ficou em bootloop. [MENCAO] me forneceu uma que não ficou em bootloop, porém abre o SO normal, e aí preciso ativar o modo de desenvolvedor de todo modo
Eu peguei um que estava bloqueado, mas quando subia já estava com root, então comunicava com o SO como se estivesse com modo desenvolvedor habilitado 🤔
Removi o arquivo de senha [SEGREDO] o conteúdo
então talvez aquela partial de sistema esteja em root e venha o sistema de arquivos todo?
pois a ADB Rooted não está indo pois o adb não está ativado
Eu fiz no modo generic android rooted no touch
Extração física
Pode tentar o smart flow também
Blz, vou tentar. Obrigado
Origem 870 — 11/09/2025 06:57 a 09:01 — Bootloader, desbloqueio OEM e risco de wipe
Bom dia, estou com um Samsung J200BT que não abre recovery, não carrega o Android, só abre o modo download , e por lá não consigo instalar nada pois fica dando erro no PIT. Tento restaurar o PIT e dá erro. Só chipoff agora ou teria alguma alternativa para extrair os dados?
Tentei o modo exynos do ufed e não foi
A meu ver, chipoff ou jtag. Devem ter flashado firmware errado e o odinmode ficou com os endereços errados.
Nós temos um arquivo aqui para dar root nele
<Mídia oculta>
SM-J200BT.rar
SM-J200BT.rar
ele tem uma imagem do TWRP
Você pode tentar dar flash nela e desabilitar o reboot após o flash. Quando finalizar desliga o aparelho removendo a bateria e liga já com a sequência de botões para entrar na recovery
na recovery você consegue fazer extração física com root
Power e volume para cima, pelo que olhei aqui
Problema que o programa de flash não tem os endereços corretos para flashear
E acho que está com um modo download custom
Pelo modo download é possível atualizar o próprio modo download? 😅
Massa. Seria qual partição?
as partições de início ficam, normalmente no BL, de bootloader, tanto o boot, quanto as informações de firmware
você tentou já essa twrp recovery aí? erro de pit mapping pode ser também porque a imagem é errada para o modelo
é uma ideia boa. Se o TWRP couber onde está descrito para escrever o recovery
Tentei ROMs originais e nada na hora do getpit dá erro de q não conseguiu baixar o PIT
se bootar o recovery, aí tem que fazer o dd de toda flash, pois provavelmente a localização da userdata vai estar zoada
E quando tento setPit dá erro também
Pode acontecer também por falha no firmware, que não consegue escrever nos endereços adequados. Como é um modelo mais antigo, também é uma possibilidade.
O celular quando liga aparecem pixels aleatórios
Só no modo download q fica normal a imagem
acho que ou a flash tá com mal funcionamento ou flashearam um firmaware inadequado
Vcs sabem dizer quais box conseguem puxar o dump do mmc desse modelo?
Tentar achar algum técnico q tenha para ir lá puxar o dump
aqui tem a imagem zto csc dele
opa, quer dizer, é o contrário
Eu baixei uma q não tem o userdata.img dentro, mas acho q mesmo assim tem chance de wipe né?
O problema é que até o PIT está errado nesse aparelho
Aí por isso não tá upando nada
manda uma foto da tela de download dele aí
Tenho q achar uma home com Pit dentro
Quando chegar no laboratório mando 👍🏻
https://samfw.com/firmware/SM-J200BT/ZTO/J200BTUBS2ARJ1
Origem 871 — 11/09/2025 12:54 a 13:24 — Extração Samsung em modo Download/ODIN
Tentei tb, é a falta de PIT o problema, o Odin fica sem saber para onde enviar a partição,creio
nesse arquivo tem o pit, mas se der flash nele vai perder tudo
Quando tento enviar só o PIT também dá erro no setPit
Acho q a memória física deve estar com defeito
<Mídia oculta>
Boa tarde! Alguém teve sucesso recente na extração desse modelo?
Boa tarde! Alguém teve sucesso recente na extração desse modelo?
Vou tentar, obrigado
Origem 872 — 14/09/2025 12:04 a 12:15 — / Equipe LABCEDF - Laboratório de Computação e Extração de Dados forense da
Nosso estagiário de computação forense Christian
14/09/2025 12:04 - [TELEFONE]:
14/09/2025 12:04 - [TELEFONE]:
No seu primeiro CTF ficou em 8° lugar
Foi o único representante do estado e da polícia civil
Porque veio representes de todo o Brasil
STK-20250818-WA0003.webp (arquivo anexado)
STK-20250528-WA0011.webp (arquivo anexado)
<Mídia oculta>
Equipe LABCEDF - Laboratório de Computação e Extração de Dados forense da Polícia Civil do Estado do Pará!
Equipe LABCEDF - Laboratório de Computação e Extração de Dados forense da Polícia Civil do Estado do Pará!
Origem 873 — 17/09/2025 20:30 a 20:32 — Análise de Registro Windows e arquivo NTUSER.DAT
Aqui na minha cidade, as empresas de tacógrafos são parceiras das polícias e forneceriam esse serviço de graça. Uma vez fui numa delas, mas o registro apagava sozinho em 7 dias e eu fui justamente no 8º dia. Mas o cara se prontificou a fazer isso para mim de boa.
Aqui eles extraem na parceria tb, mas esse já passou 40 dias, aí ele me disse que tem como extrair do dia específico, mas cobra. Porém, um deles eu consegui extrair 90 dias aqui, vou ver se a extração prestou. <Mensagem editada>
Origem 874 — 24/09/2025 13:21 a 16:16 — Extração e análise de mensagens do WhatsApp
IMG-20250924-WA0015.jpg (arquivo anexado)
Boa tarde! Alguma mágica pra fazer esse modelo, bloqueado, no inseyets?
Boa tarde! Alguma mágica pra fazer esse modelo, bloqueado, no inseyets?
É exatamente este modelo que mencionei tb 👍🏻até o momento não consegui extrair no 7.75 .
boa tarde, fiz a extração de um realme rmx3930 pelo pc3000.
usei o metodo 3, e coloquei pra processar no PA.
Mas, apesar de ele mostrar dados no "device data files", ele nao mostra nada no "device data", e não encontra dados para aplicar o appgenie
usei o metodo 3, e coloquei pra processar no PA.
Mas, apesar de ele mostrar dados no "device data files", ele nao mostra nada no "device data", e não encontra dados para aplicar o appgenie
alguma sugestão pra conseguir processar os dados de whatsapp?
Esse 3930 pra entrar no modo foi segurando vol -? Estamos com um aqui que o Premium não detecta
positivo
👍🏻 no Premium falhou também aí?
nao tentei no premium
é um celular com payjoy, se for usar no Premium vou ter que conectar na internet pra desativar o payjoy, por isso queria usar só a extração do pc3000, se possível
meus amigos, boa tarde.
Preciso do .apk do instagram. O que foi salvo pelo UFED não esta instalando.
Preciso do .apk do instagram. O que foi salvo pelo UFED não esta instalando.
aguem tem ou sabe onde baixar ?
https://www.apkmirror.com
Origem 875 — 07/10/2025 14:20 a 14:43 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Pessoal, boa tarde!! Samsung SM-J120h bloqueado, alguem conseguiu colocar no BF?
Boa tarde. Esse vc consegue a senha via extração parcial no UFED e depois processamento no PA.
Mas tbm consegue a física via custom recovery ou via bootloader no UFED.
vou tentar aqui!!! valeu mesmo
Se for geométrica, vai te mostrar a senha. Se for PIN [SEGREDO], pde ser que seja necessário pegar o hash e depois fazer no hashcat
Então vai apresentar.
Sabe qual é essa parcial? <Mensagem editada>
No UFED, vai lá nos itens de perfil genérico. Tem um de Samsung. Lá em Sistema de Arquivos vai ter uma "Sistema de arquivos Parcial". Só conectar o celular com android já inicalizado e na tela de bloqueio. Ele deve iniciar uma extração.
Vc processa essa no PA. Vai vir a senha.
Origem 876 — 08/10/2025 11:19 a 12:07 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
<Mídia oculta>
Veio esses arquivos aqui do j5. Abri no PA e não apareceu nada. Tem mais algum procedimento que eu nao fiz?
Veio esses arquivos aqui do j5. Abri no PA e não apareceu nada. Tem mais algum procedimento que eu nao fiz?
Em alguns casos e versões do PA ocorre o cenário em que a chain que o PA usa para decodificar esse tipo de extração está incorreta. Aí é necessário escolher manualmente a chain e carregar esses binários que foram extraídos pelo UFED.
Eu abri o arquivo ufd pelo PA, só que aparentemente ele não reconhece
Não aparecem os arquivos da extração
Só abrir manualmente então. Carregando os binários e escolhando a chain/perfil
Bom dia. Lg x210bmw não vai no Premium e não achei perfil no Ufed. Eu tenho um sucesso no XRY, mas esse celular não está entrando no modo firmware update para fazer o Lg qualcomm physical. Alguém tem uma luz do que pode ser feito?
Tenta rodar modo avançado, escolha o modelo do aparelho e aponta para arquivo binário que deve vir.
Olá, Adriano. Beleza?
Esse aí nós fazemos via Octoplus.
Eu uso aquele cabo 523 no modo 4. Aí ele entra em Firmware Update. <Mensagem editada>
Esse aí nós fazemos via Octoplus.
Eu uso aquele cabo 523 no modo 4. Aí ele entra em Firmware Update. <Mensagem editada>
Dá pra fazer em EDL também, mas por test point
Origem 877 — 08/10/2025 16:08 a 16:32 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Não conheço o Octoplus. Esse cabo é dessa solução?
Como seria? No ufed ou XRY?
No 4PC. XRY não sei
Não. É aquele cabo do UFED. O 523.
Se conectar o LG desligado nesse item 4, ele inicia em fastboot
Ai depois volta para o item 1 para fazer a extração.
Funciona no j5 tbm? Eu consegui extrair os arquivos .bin, mas continuava aparecendo nada no PA
Como vc esta abrindo aquele bin no PA?
Eu fui naquela parte que vc escolhe o modelo
E adiciona os arquivos .bin
Qual chain está escolhendo?
Abre avançado escolhendo generic Android algo assim deve ir
Physical ADb
Se quiser, me manda um anydesk no privado e aí fazemos juntos.
Eu fui em perfil genérico e coloquei qualcom adb
Agora eu não to mais lá, mas amanhã a gente pode ver isso
Acho que foi isso. Amanhã vou tentar novamente
O ufed extrai esses arquivos .bin
Só no PA que tá dando isso
Não sei se sou eu que não to sabendo fazer o EDL
A extração está ok.
O chato é o PA mesmo.
O chato é o PA mesmo.
De tempos em tempos eles quebram a decodificacao padrão desse aí.
Beleza, amanhã vou mexer mais nisso pra ver o que dá
Origem 878 — 09/10/2025 15:20 a 15:54 — Extrações, importação e limitações no XRY
Deu certo. Valeu! Consegui fazer a extração física no XRY
E um multilaser s146, alguém já conseguiu fazer? O XRY e o ufed não têm perfil, e o Premium nem reconhece o aparelho
Esse nao temos registros, mas o pc3000 deve dar boa.
Considerando que é o chipset sc7731e
Se ele nao for crypto, daria para fazer via SPD
Puxei pelo imei que esse deve ser o chipset. Só tenho registro de unlocked desde chipset
Ele esta bloqueado?
Tem um perfil no XRY com o nome comercial dele, Elite 2, que faz física, mas só na licença Pro
Origem 879 — 14/10/2025 07:47 a 08:17 — Conexão USB, ADB e diagnóstico de porta em Android
Pessoal, bom dia . Samsung a556e bloqueado por PIN, alguma forma de extração?
Bom dia. No premium não deu boa?
Todos os nossos registros foram de senhas fornecidas.
Todos os nossos registros foram de senhas fornecidas.
Ele pede para colocar em recovery e depois atualização via adb e de lá não passa. Versão 10.7.0.181 estamos tentando agora em uma versão mais antiga
Mas o celular chega a reiniciar e o processo segur? Ou o premium nao reconhece o modo recovery na opção de update adb?
Entao deve ser o usb com defeito. Virando o cabo tbm nao deu boa?
Não, celular novo com caixa e tudo
Que doido. Eu ja vi alguns que esse procedimento nao funciona. Ele vai ate o final, faz o update, reboot o celular, inicia o fusion, mas ai vem uma tela de erro e para o processo.
Mas de nao reconhecer. Aí só tive nesses cenários de usb zuado.
Origem 880 — 16/10/2025 09:47 a 10:14 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Aos colegas que usam o PC3000, vocês andam tendo sucesso em extrações com chips da qualcomm?
Bom dia.
As ferramentas em geral tem dificuldade em QC. Principalmente mais antigos (android 10).
No pc3k ele tem alguns suportes, mas são limitados ao EDL mode. Mas é bem limitado, pois depende do firehose para viabilizar a extração.
Ontem eu consegui fazer o primeiro caso de QC no p3k via edl. Na ferramenta tinha a indicação dos test points
Era um xiaomi FBE mais antigo que estava dando erro na extração no premium/ufed.
As ferramentas em geral tem dificuldade em QC. Principalmente mais antigos (android 10).
No pc3k ele tem alguns suportes, mas são limitados ao EDL mode. Mas é bem limitado, pois depende do firehose para viabilizar a extração.
Ontem eu consegui fazer o primeiro caso de QC no p3k via edl. Na ferramenta tinha a indicação dos test points
Era um xiaomi FBE mais antigo que estava dando erro na extração no premium/ufed.
Fora esse caso excepcional, o pc3k não tem o foco nos qc, pois o maior suporte dela é focado em BROM (mtk e unisoc)
Aquele cabo com botão que eles colocam na maleta serve de alguma coisa?
Todos os qualcom que peguei até agora não funcionaram
Serve para modelos beeeem específicos e antigos.
Tem uns modelos, principalmente Asus, que coloca em EDL com aquele cabo.
Tem uns modelos, principalmente Asus, que coloca em EDL com aquele cabo.
É bem difícil mesmo. Como depende de construção do firehose, inviabiliza bastante a extração via EDL.
Samsung Qualcomm, nenhum
Fiz ontem um j500 via Qualcomm. No PA escolhi j500 physical *advanced ADB*, não carregou, mas escolhendo j500 *physical ADB* carregou corretamente 👍🏻
Semana passada tbm fiz um J5 por esse método, mas foi usando o ufed
Vez ou outra chega um smartphone sem funcionar, com Chipset da qualcomm, mas que não consigo extrair
Origem 881 — 21/10/2025 11:06 a 12:36 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Pessoa, bom dia! [NOME] Universal Whatsapp Extraction 1.0. Essa é a última versão disponibilizada? Obg
Pessoa, bom dia! [NOME] Universal Whatsapp Extraction 1.0. Essa é a última versão disponibilizada? Obg
Acho que essa é a última que está no github
Estamos com um XT2091-3 desbloqueado. Não tá vindo o WhatsApp. Alguma sugestão? Obg <Mensagem editada>
Qual extração vc fez?
Precisa de uma FFS no UFED ou Premium.
<Mídia oculta>
Tentando essa...
Tentando essa...
Vcs possuem Premium, Farias?
pessoal estou para fazer a extração e análise de um chromebook modelo
https://pcsupport.lenovo.com/nl/nl/products/chromebook-laptops/lenovo-chromebooks-series/ip-slim-3-chrome-14m868/82xj
pesquisei por alto aqui sobre o chromeos
alguém sabe orientar para que possa facilitar aqui a análise
Origem 882 — 22/10/2025 07:55 a 08:15 — Extração e root em dispositivos LG
Bom dia. Um colega está com um Android bloqueado por desenho padrão. Acontece que no brute force do Premium exauriu as tentativas do dicionário padrão [SEGREDO] descobriu a senha, alguma sugestão?
Qual seria o equipamento?
Se fosse para chutar, eu diria que seria um LG com Secure Startup 😅
É um LG lm-k410 a informação de secure startup vou ficar devendo
Nós temos registros de sucesso de BF do LG k410. Mas se tem a opção de BF, deve ter a de física tbm.
Caso não tenha a opção de física, aí é secure startup
Caso não tenha a opção de física, aí é secure startup
Temos vários registros desse modelo com sucesso na extração física. O único que não, é justamente o protegido com SS.
Obrigado, o colega achou a opção de física
Origem 883 — 26/10/2025 09:11 a 10:22 — Conexão USB, ADB e diagnóstico de porta em Android
https://www.linkedin.com/posts/[NOME]-[NOME]_periciacriminaloficial-pcpa-deccc-activity-7388079937431203840-_wHE?utm_source=share&utm_medium=member_android&rcm=ACoAAB5q9eoBJ40H5I0qTluFZKxgUVNQFHMfFm8
Bom dia aos plantonistas de hoje.
Um probleminha com j500M
Um probleminha com j500M
Aparentemente, veio tudo. Entretanto, ao passar o PA e o Inseyets, não veio nada. Alguma sugestão? <Mensagem editada>
Esse tem que abrir no PA como avançado, escolhe Physical ADB (não escolhe advanced ADB pois não carrega)
aí vc fornece os .bins
Exatamente isto que fiz, escolhi o modelo e apontei para os bins
Fiz um essa semana, não lembro exatamente o perfil q escolhi, mas lembro q dava erro se escolhesse Advanced ADB
não exibia nada, igual ao ufd Qualcomm
tenta novamente usando outros perfis, talvez Generic Android
Eu geralmente só escolho um bin na verdade, não sei se faz diferença
Estou tentando somente com o dump00.bin
Tenta selecionando os 3 bins juntos que o PA monta um só
Tenta outro modelo na abertura avançada
Tentei com todos os bins e com o modelo j500m.
Agora estou tentando com perfil genéric Android d um bin só.
Agora estou tentando com perfil genéric Android d um bin só.
Origem 884 — 27/10/2025 12:49 a 13:46 — Extração e compatibilidade em Samsung iPhone 11
Bom dia.
Srs, quando da exigência de biometria facial para realização de extração de iPhones, mesmo com senha numérica conhecida, só há êxito com a utilização do Prêmium?
Srs, quando da exigência de biometria facial para realização de extração de iPhones, mesmo com senha numérica conhecida, só há êxito com a utilização do Prêmium?
Isso mesmo.
Ou graykey
Ou graykey
iPhone 11 iOS 26, o Inseyets quebrou a senha, mas na hora de extrair diz não suportar esse iOS, é isso mesmo? Estou usando o Inseyets 7.75.404 Beta
Bom dia a todos
Pode ocorrer. Tem BF para a versão mas ainda não tem a extração desbloqueado.
Pode ocorrer. Tem BF para a versão mas ainda não tem a extração desbloqueado.
Basta fazer como AFU. Tenho tido experiências com iPhones desbloqueados ou com a senha fornecida, que dão menos trabalho quando extraídos como quentes.
Na verdade a extração de smartphones nos impõe uma matriz de fatores condicionantes para adaptarmos a diversas metodologias <Mensagem editada>
Extrai no 4PC ou faz downgrade da versão do Premium
Origem 885 — 05/11/2025 13:59 a 15:54 — Conexão USB, ADB e diagnóstico de porta em Android
como tu extraiu?
o meu ta bloqueado, ele tenta fazer a instalação via ADB, e da falha de assinatura do pacote
o meu ta bloqueado, ele tenta fazer a instalação via ADB, e da falha de assinatura do pacote
Me confundi, vou verificar aqui qq era esse A02 e te respondo
aqui é _indeferido_ o aceso ao arquivo .UFDR e códigos hash.
No caso, quando a defesa fala em dados brutos, ela se refere à _extração realizada (arquivos .UFDX), por exemplo_???
No caso, quando a defesa fala em dados brutos, ela se refere à _extração realizada (arquivos .UFDX), por exemplo_???
a defesa cita " _dados brutos e aos arquivos originais_ "
Acredito que sim.
O que é gerado pela ferramenta. UFD, UFDX ou outras que porventura tenha sido feitas
O que é gerado pela ferramenta. UFD, UFDX ou outras que porventura tenha sido feitas
a pergunta é: alguém aqui tem condições de guardar essas extrações por um tempo de 10 anos, por exemplo?
Aqui ocorre tbm isso. Eles ficam pedindo o UFDR.
Aí falamos que não entregamos UFDR, mas outra ferramenta desenvolvida por aqui. E se quiserem, tem os dados brutos para que eles mesmo processem.
Aí falamos que não entregamos UFDR, mas outra ferramenta desenvolvida por aqui. E se quiserem, tem os dados brutos para que eles mesmo processem.
vamos colocar 5 anos.
Estamos comprando storage sem parar isso
complicado de guardar extração bruta....muito complicado.
Estamos guardando desde 2º semestre de 2022
E já muitos muitos muitos TB
aqui é no máximo o relatório .UFDR
para esse caso, não seriam suficientes os relatórios em .html com o MD5 e, quando constatado, os tais dados juntamente com os metadados do aparelho em questão? <Mensagem editada>
Sim. Foi isso que pensei. As defesas estão exigindo o acesso aos dados completos.
então, aqui nos geramos o .UFDR completo, já com as devidas evidências destacadas.
todavia, não guardamos os dados nativos da extração feita e, nessa decisão, é negado acesso ao .UFDR <Mensagem editada>
ai fiquei com dúvida em como resolveríamos essa demanda.
Entendo, que decisão quiz dizer que não podem ser só os dados/arquivos selecionados por ocasião dos exames perícias, mas todos os dados extraídos devem ser disponibilizados.
Isso. No nosso caso fazemos filtro de coisas irrelevantes (icones, binarios de apk, duplicados). Aí chegam essas demandas do arquivo bruto.
Fazemos isso para deixar o anexo eletronico mais limpo e menor, pq se não seriam GB eternos para download.
Procedemos da mesma forma aqui, mas já não tenho mais espaço.
Minha sugestão é uma alteração legislativa, não vejo outra saída. Após o oferecimento da denúncia, seria dado acesso as partes de todo o material bruto resultado das extrações e neste momento, eles fariam as cópias que entendessem importante. A partir deste momento, seria feito o descarte pela perícia.
tb entendo dessa forma, mas creio que quase ninguém tenha guardados os arquivos .ufdx do Cellebrite, por exemplo.
e creio que a maioria dos estados não tenha infraestrutura capaz de garantir o armazenamento das extrações ao longo de vários anos
é informação demais.
então, concordo com esse modelo, mas já ouvi de processualista: "Quem é o perito pra decidir o que é importante ou não para o processo? por isso exigo a massa completa de dados!"
isso mesmo! de acordo, meu amigo!
Origem 886 — 05/11/2025 16:54 a 17:29 — Desbloqueio operacional de aparelho com PayJoy/MDM
<Mídia oculta>
é, mesmo depois de contato com a PayJoy, eles confirmaram que o celular tá desbloqueado, parece que "falta" a opção "Versão do software", aí não tem como ativar as opções de desenvolvedor.
é, mesmo depois de contato com a PayJoy, eles confirmaram que o celular tá desbloqueado, parece que "falta" a opção "Versão do software", aí não tem como ativar as opções de desenvolvedor.
e a opção Informações de software ?
deu ruim então .. me passa o modelo dele novamente por favor
RMX3930 - Realme C61
amanhã verifico 🫱🏻🫲🏻
Origem 887 — 10/11/2025 14:49 a 17:15 — Conexão USB, ADB e diagnóstico de porta em Android
Já fez limpeza nós contatos da porta USB, com álcool isopropílico?
Boa tarde, alguém usa a função streamline do inseyets? Saberiam me dizer se está funcionando a seleção dos enriquecimentos (classificação de mídia/expansão de zips/origem de mídia/etc) diretamente do inseyets UFED para a última versão do PA (10.7.1.5013)?
Fiz a limpeza e consegui fazer a extração. Obrigadaa
[Beta] 7.75.5 Beta Resources released to Online Environments - iP [ID-CASO] BF & FFS for iOS 26
Hi everyone
We are excited to share that we have pushed out a new resource pack. This includes iOS 26 FFS and Industry first iPhone 13 & 14 BF for iOS 16.0-16.6.1.
🚀 New iOS Support Update!
We’re thrilled to announce expanded compatibility for your favorite devices:
iPhone XS–16: Full File System (FFS) support on iOS 26.0–26.0.1
iPhone 13 & 14: Brute Force (BF) support on iOS 16.0–16.6.1 (iPhone 12 already supported) -
iPhone 11: BF support now available on iOS 26.0.1
iPhone XS, XR & 11: BF support for iOS 18.7.1
iPhone XS–16: FFS support for iOS 18.7.1
This beta is available for online environments, Inseyets UFED and Premium as a Service.
Hi everyone
We are excited to share that we have pushed out a new resource pack. This includes iOS 26 FFS and Industry first iPhone 13 & 14 BF for iOS 16.0-16.6.1.
🚀 New iOS Support Update!
We’re thrilled to announce expanded compatibility for your favorite devices:
iPhone XS–16: Full File System (FFS) support on iOS 26.0–26.0.1
iPhone 13 & 14: Brute Force (BF) support on iOS 16.0–16.6.1 (iPhone 12 already supported) -
iPhone 11: BF support now available on iOS 26.0.1
iPhone XS, XR & 11: BF support for iOS 18.7.1
iPhone XS–16: FFS support for iOS 18.7.1
This beta is available for online environments, Inseyets UFED and Premium as a Service.
Origem 888 — 11/11/2025 09:33 a 10:05 — Extração e decodificação de bancos do WhatsApp
Bom dia pessoal, alguém sabe se tem alguma forma de fazer o parser de WhatsApp para pc ou se o iped pega esse parser?
Bom dia. Se tiver sido realizada a decriptografia com o ZAPIXDESK (https://github.com/kraftdenker/ZAPiXDESK) eu tenho um protótipo em desenvolvimento para o IPED e um script quase finalizado para carga no UFED.
sem decriptografia, não tem como parsear os bancos pq são criptografados com chave vinculada ao computador e a senha do usuário (semelhante a realidade dos telefones celulares atuais com relação ao FBE)
Eu to com o PC quente
Então pode fazer a extração com decriptografia
Origem 889 — 12/11/2025 18:06 a 18:06 — Seria o sistema de arquivos proprietário em aparelho DVR, cujo contêiner tenha a
Alguém saberia dizer qual seria o sistema de arquivos proprietário em aparelho DVR, cujo contêiner tenha a assinatura (magic number) *49 4D 4B 48* (ou *IMKH* em ASCII)? <Mensagem editada>
Origem 890 — 13/11/2025 19:08 a 19:28 — Extração e root em dispositivos LG
Boa noite! Fiz um "Backup Userdata" de um lenovo MTK, via microSD, gerou mais de um arquivo .backup por conta da limitação de 2 GB por arquivo. Como faz mesmo para carregar corretamente no PA esses arquivos? Estou tentando adicionar como backup mtk, mas não reconhece o sistema de arquivos...
são 3 arquivos: x.backup x.backup1 e x.backup2
Linux ou windows?
Pelo que me lembre, do primeiro tira 512 bytes de cabeçalho com DD e depois concatena com o resto na sequencia
windows
acho que é isso mesmo! vou tentar aqui, obrigado!
Vc pode juntar eles
talvez retirar de todos?
juntei com copy /b, mas não foi, mas falta retirar a cabeça
Com um comando copy /b
E tem uma chain específica para ler, se nao me engano. Nao é a padrão do PA.
Tem algo relacionado lá para baixar na tela de download do PA.
Tem algo relacionado lá para baixar na tela de download do PA.
Windows tem que talvez usar um ftkimager e cortar os 512 ou um hexeditor bom
Verdade. Acho que tem sim uma opção de importar backup lg ou mtl algo assim
dd if=arquiv-in of=arquivo-out bs=512 skip=1
tentei por "fonte comum -> backup mtk"
<Mídia oculta>
bkp-userdata.pdf
bkp-userdata.pdf
então é em todos os .backup q tem q remover os 512 bytes 👍🏻
Origem 891 — 13/11/2025 19:49 a 20:24 — Uso do IPED na triagem, indexação e análise
Não carregou no PA =/, removi de todos os arquivos os 512 primeiros bytes, tentei no PA tanto como fonte "backup mtk" como Avançado.
esse celular tá em loop, talvez seja isso? userdata corrompido?
vou ver se arranjo outro q faz o mesmo backup pra testar
Tem que se projeto especial
[MENCAO] lembra qual era o perfil genérico que tu usava que trazia mais artefatos?
Acho que tem que remover só do primeiro
Ah, não, o arquivo diz de todos mesmo
Acho que tem que ser como cópia dd, ou extração física, depois de tirar os cabeçalhos
Eu usava o perfil do próprio celular, mas [MENCAO] descobriu um que trazia mais coisas
<Mídia oculta>
sem os 512 primeiros bytes dos arquivos vira uma partição Ext4
sem os 512 primeiros bytes dos arquivos vira uma partição Ext4
o ftk imager reconhece como ext4, mas não exibe
acho q o userdata tá corrompido mesmo, explicaria o celular em loop talvez
tentar rodar algum recuperador de ext4? IPED recupera arquivos?
Pode tentar abrir no axiom também, se tiver aí
venceu a licença =/
Não atualiza mais, mas dá para continuar usando
ah então foi pq instalei a versão mais nova aí não tá entrando
Origem 892 — 23/11/2025 11:50 a 11:50 — Compatibilidade de modelos e métodos de extração no UFED
<Mídia oculta>
Bom dia! Alguém teve sucesso recente nesse modelo? Tentei pelo inseyets mas não foi de jeito nenhum. Estou tentando agora em uma versão do premium pra ver se rola
Bom dia! Alguém teve sucesso recente nesse modelo? Tentei pelo inseyets mas não foi de jeito nenhum. Estou tentando agora em uma versão do premium pra ver se rola
Origem 893 — 04/12/2025 21:32 a 21:32 — Extração e análise de dados em iPhone/iOS
Boa noite. Numa extração de iPhone, o UFEd faz uma marcação se o arquivo de imagem se encontra oculto ou não? Oculto utilizando o app fotos - selecionando - 3 pontos - ocultar
Origem 894 — 08/12/2025 12:18 a 12:20 — Extração e bloqueios em Redmi 12c
<Mídia oculta>
bom dia, pessoal.
Redmi 12c.
consegui fazer a extração FFS.
qo tentar fazer a application, k celular reiniciou, agora ta dando erro de celular corrompido e não inicia mais.
alguma ideia de recuperação?
bom dia, pessoal.
Redmi 12c.
consegui fazer a extração FFS.
qo tentar fazer a application, k celular reiniciou, agora ta dando erro de celular corrompido e não inicia mais.
alguma ideia de recuperação?
Quando estiver nesse tela, aperta o "Power botton"
Ele vai iniciar normal depois
Mas vai continuar apresentando isso após reboot
Origem 895 — 09/12/2025 10:59 a 11:13 — Extração e análise de dados em iPhone/iOS
Bom dia! Estou tentando fazer a extração de IPad10 que foi fornecida a senha, mas o procedimento chega num ponto que não progride. Alguém poderia me ajudar?
Vc tem que ativar essa opcao ai que esta pedindo lá dentro do item "face id"
Tem o item "acessórios". Precisa ativar.
Não achei a opção Face ID. Só encontrei Touch ID e senhas
Bom dia. Vi que no IOS mais recente não tem mais a opção acessórios dentro do menu Face ID e Código.
Isso mesmo. No 26 não tem mais
Vai lá no final e veja se tem a opção de acessórios.
Ok. Encontrei agora. Valeu! 👍
Origem 896 — 13/12/2025 22:31 a 22:31 — Estagiário da PCPA do Laboratório de Computação e Extração de Dados Forense da
Estagiário da PCPA do Laboratório de Computação e Extração de Dados Forense da DECCC - Christian Amarildo fica em 2° lugar no CTF GEMINI DA GOOGLE e em 3° lugar na Conferência Hackers em São Paulo!
Origem 897 — 16/12/2025 13:58 a 14:19 — Extração e compatibilidade em Samsung XT2167
[MENCAO] registro por ai?
Seria o XT2167-1?
Se for, temos vários registros de sucesso de BF
O último em setembro
no inseyets/premium?
100% dos desblqueios de tivemos foi via Premium nesse XT2167-1
Pessoal, boa tarde!! Alguém conseguiu sucesso na extração do Galaxy A15 com bloqueio geométrico utilizando o Inseyets? Aqui nao consigo entrar no BF
acho q o mesmo se aplicaria ao inseyets né
Sim. É a mesma coisa.
O core é o mesmo. Muda apenas o nome comercial.
Temos registros de dois modelos do A15 (A155 e A156). Ambos deram sucesso no Premium recentemente.
Origem 898 — 22/12/2025 15:39 a 15:44 — Extração e decodificação de bancos do WhatsApp
Bom dia a todos.
Só uma dúvida: a extração do iOS 26.0 está sendo bem sucedida em relação ao WhatsApp (Ver. 2.25.26.72) ou há alguma restrição?
aparelho s/ proteção de roubo e furto habilitada;
senha fornecida;
criptografia de ponta a ponta do WZ desabilitada;
Grato. <Mensagem editada>
Só uma dúvida: a extração do iOS 26.0 está sendo bem sucedida em relação ao WhatsApp (Ver. 2.25.26.72) ou há alguma restrição?
aparelho s/ proteção de roubo e furto habilitada;
senha fornecida;
criptografia de ponta a ponta do WZ desabilitada;
Grato. <Mensagem editada>
Outra dúvida: de posse do Backup do iTUnes, consigo alguma ferramenta pra fazer algo que obtenha a extração do WZ?
Origem 899 — 05/01/2026 10:06 a 10:09 — Extração e análise de mensagens do WhatsApp
Bom dia
Não sei se já passaram por este problema.
Estou passado o inseyets PA em uma extração de um POCO.
Ela está travando no parsing WhatsApp.
Como resolver? <Mensagem editada>
Não sei se já passaram por este problema.
Estou passado o inseyets PA em uma extração de um POCO.
Ela está travando no parsing WhatsApp.
Como resolver? <Mensagem editada>
Fazendo nova extração?
Cheguei a imaginar que o Whats está com dupla segurança.
Cheguei a imaginar que o Whats está com dupla segurança.
Já é a segunda vez que ele trava nesta posição
Origem 900 — 05/01/2026 11:25 a 12:32 — Uso do IPED na triagem, indexação e análise
<Mídia oculta>
Bom dia, baixei o IP [ID-CASO] tem uma novidade, uma aba IA perto dos Marcadores, agora falta descobrir como usar.
Bom dia, baixei o IP [ID-CASO] tem uma novidade, uma aba IA perto dos Marcadores, agora falta descobrir como usar.
Vou acompanhar, obrigado
Mas tive uns recentes que demorou bastante, porém sem consumo evolutivo da RAM
Aí depois de algumas horas finalizou. <Mensagem editada>
Mas se estiver consumindo demais a RAM, aí a solução foi fazer o decod3 com o IPED mesmo. Sem PA.
Apontando o zip da extração.
Origem 901 — 09/01/2026 11:42 a 11:52 — Extração e compatibilidade em Samsung SM-A032M
Bom dia! Alguém tem obtido sucesso com o SM-A032M bloqueado no Inseyets UFED? Na listagem do community há casos recentes de BF
PC3000 faz, inseyets aqui nada de fazer <Mensagem editada>
Pois é... teve novidades na última versão, mas ainda não funciona:
IMG-20260109-WA0002.jpg (arquivo anexado)
Origem 902 — 13/01/2026 10:23 a 11:10 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia. Estou com um Motorola E7 que não está indo no inseyets, fica tentando invadir mas não consegue. Algum macete pra dar certo?
Bom dia. É o E7 Power - XT2097? Esse tem registro de desbloqueio e extração aqui no Premium.
<Mídia oculta>
Fica nessa depois nas iterações fica falhando
Fica nessa depois nas iterações fica falhando
PC3000 também já fizemos o XT2095 e o 2097
自动测试 – Automatic test
手动测试 – Manual test
测试报告 – Test report
版本信息 – Version info
重启手机 – Reboot phone
手动测试 – Manual test
测试报告 – Test report
版本信息 – Version info
重启手机 – Reboot phone
Está em modo de teste
Adb parece ativado nesse modo.... Tentar ver se vai
Vc sabe dizer o que significa a opção com eMmc? Seria Testar a eMmc? <Mensagem editada>
Acredito que verifique se há erros/blocos defeituosos na memória eMMC
Pelo que eu entenda de mandarim, é para apagar a emmc
Realmente, há esse risco. Depende do firmware, marca, modelo
Origem 903 — 13/01/2026 15:27 a 17:01 — Extração e compatibilidade em Samsung SMARTWATCHES
Sobre o PC3000, tem tipos diferentes? O Mobile Pro é o melhor?
Boa tarde, alguém com experiência em extração de dados de smartwatches? Estou com um pedido de perícia de um Apple Watch Ultra aqui na PCIES, nunca peguei um desses antes, quaisquer sugestões são bem vindas.
https://github.com/prosch88/UFADE
Tem ferramenta de extração?
Aqui quando entra so faço perícia de constatação
Até onde eu tinha pesquisado ainda precisa dos adaptadores
e da senha do watch 😅
Somente Cellebrite, e pelo que pesquisei aqui só extraí os dados sincronizados a partir do celular do sujeito, mas não veio o celular junto.
Tem a senha? Acabo fazendo um laudo com a descrição de contatos, chamadas e se tiver algo de interesse em outros apps (fotos/etc)
Putsss verdade, precisa disso
Não foi fornecida.
Origem 904 — 14/01/2026 11:44 a 14:15 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Pessoal, alguma mandinga nesses celulares em que os Inseyets fica tentando estabelecer conexão e não progride?
Pessoal, alguma mandinga nesses celulares em que os Inseyets fica tentando estabelecer conexão e não progride?
<Mídia oculta>
Pessoal, alguma mandinga nesses celulares em que os Inseyets fica tentando estabelecer conexão e não progride?
Pessoal, alguma mandinga nesses celulares em que os Inseyets fica tentando estabelecer conexão e não progride?
É essa mesmo, a mandinga do "tira e bota cabo"
Essa mesmo que o pessoal já passou. Algumas precisa ser do lado do TL, algumas do celular
No BD do WA tem.
Eu ja fiz uma vez no android. Tem um ID que correlaciona o [MENCAO] com o contato "real".
O que lembro é que ficava em tabelas diferentes. Mas é tranquilo de correlacionar. <Mensagem editada>
Eu ja fiz uma vez no android. Tem um ID que correlaciona o [MENCAO] com o contato "real".
O que lembro é que ficava em tabelas diferentes. Mas é tranquilo de correlacionar. <Mensagem editada>
Inclusive na tabela de contatos bloqueados. Ele bloquea o contato real e o [MENCAO]
Pessoal, boa tarde. Alguém sabe se é possível descobrir se houve (e quando houve) alteração de senha de um iphone? Há algum log que mostre isso?
Quando o premium começa a extração, ele mostra a data da última alteração.
Origem 905 — 16/01/2026 08:49 a 08:49 — Elaboração de laudo e relatório técnico pericial
Eu tenho colocado a senha do celular no corpo do laudo quando o PA exibe, mas não entro no mérito de como foi obtida. Envio na mídia anexa o sumário da extração
Origem 906 — 16/01/2026 11:00 a 11:00 — Extração e análise de dados em iPhone/iOS
PC3000, uns 240 mil reais.
Faz com aparelho desligado.
Faz com aparelho desligado.
sim, mas a PC-3000 é pra alguns modelos Android
eu até questionei aqui 1x, se existia alguma solução similar pra iPhone
Origem 907 — 17/01/2026 13:08 a 13:50 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Mas esse GK faz extração com celular desligado mesmo? No momento da extração aparece alguma coisa na tela?
Acho que GK nao faz desligado, quem faz é o PC3000.
E esse pc3000 usa o que será? Como ele faz isso?
Energisa a placa e começa atuar antes do sistema operacional.
Ele ataca o CPU/Microcontroladores e nao o OS
Via usb?
Sim, tem que ter o USB funcionando
Estranho conseguir interagir direto com cpu via usb
Pc3000 é só pra android, não tem essa solução no mercado pra iPhones. iOS é um mundo totalmente a parte, no momento só a GK tem solução pra extração hot acima de iOS 18.3.1
O GK é especialista em iPhones. Ele está vários e vários meses a frente da Cellebrite em relação aos updates para iPhones.
Ele até tem algum suporte para android, mas é pouco. Normalmente são os mais usuais e fáceis de fazer no Cellebrite, com uma exceção o a032.
Ele até tem algum suporte para android, mas é pouco. Normalmente são os mais usuais e fáceis de fazer no Cellebrite, com uma exceção o a032.
O pc3000 foca em celulares que possuem comunicação BROM. (Mtk e unisoc)
Tem alguns QC, mas sao mais antigos, pois é muito difícil conseguir firehose que possibilida extração. <Mensagem editada>
Tem alguns QC, mas sao mais antigos, pois é muito difícil conseguir firehose que possibilida extração. <Mensagem editada>
Para mim, o pacote mínimo que todos deveriam ter são essas 3 ferramentas: cellebrite premium, pc3000 e gk.
Tem ideia do que eles fazem? O que eles exploram? Porque o SO do aparelho tem de responder aos comandos enviados via USB de alguma forma.
As outras disponíveis são fracas. Talvez ajude em um ou outro caso, mas de forma geral, essas 3
Eles utilizam para AFU sem senha fornecida algum exploiit zero day das funções de acessibilidade.
Já quando vc tem a senha, o mais comum é pedir para ativar o modo desenvolver do iphone e aí explorar alguma coisa, já que o SO fica mais vulnerável.
Já quando vc tem a senha, o mais comum é pedir para ativar o modo desenvolver do iphone e aí explorar alguma coisa, já que o SO fica mais vulnerável.
Me parece que a pc3000 é quase equivalente ao passware mobile. Pelo menos quando a lista de suporte estava disponível.
Quando o USB do iphone esta bloqueado, ele faz algum exploit para desativar isso primeiro, ai depois o exploit da extracao
Sim, várias outras utilizam tbm o brom. MobileEdit, XRY e outras.
A diferença é que ele funciona muito bem e tem uma lista bastante grande de suporte.
Origem 908 — 17/01/2026 14:46 a 16:38 — Extração e limitações em dispositivos Motorola
Função de acessibilidade seria algum protocolo de comunicação via USB que a Apple desenvolveu pra permitir algum acesso a dispositivos bloqueados?
Pergunta para quem já tem GK, vocês estão usando o Preserve? Vi esse módulo no estande da Magnet no último Interforensics e me pareceu uma opção muito interessante para resolver o problema da distância entre o município da apreensão e o município sede. A promessa do vendedor é algo que conecta no celular na hora da apreensão e depois, mesmo que ele desligue, ele religa quente...
Olá, [NOME]. Temos sim e usamos.
Ainda não testamos essa função de poder desligar e continuar com o AFU. Está na lista de teste, mas acredito que nao iremos usar essa opção de desligar. Difícil de acreditar 100% na ferramenta 😅
Ainda não testamos essa função de poder desligar e continuar com o AFU. Está na lista de teste, mas acredito que nao iremos usar essa opção de desligar. Difícil de acreditar 100% na ferramenta 😅
Rapaz eu acho perigoso esse teste
Mas usamos principalmente quando chegam muitos celulares iphones em afu. Aí enquanto alguns estão fazendo extração, usamos o preserve para desativar o autoreboot e principalmente nos casos em que o celular é encaminhado com o modo aviao desativado. Aí usamos essa blockbox que postaram aqui junto do preserve
Nem a pf daqui quis testar
Eles falaram pra mim "testa vc"
Acredito que deve funcionar em alguns, mas certamente alguns não
Aí brincar com coisa séria é demais por enquanto.
Eu acho que vale a pena. Principalmente pq ele nao tem a restrição da geolocalização
Testaria se fosse numa apreensão onde 2 celulares em modo bfu já sabendo que o principal eu conseguiria desbloquear
Mas nao é tão "mágico" assim nao.
Tudo em nome da ciência 🙃
A lista de suporte é igual ao do GK e em alguns casos o exploit pode demorar mais de 1h
Mas vale a pena adquirir um GK
Daqui a 3 meses vamos receber o nosso
Dai paramos de usar o dos amigos da PF
Mas o cafezinho ainda vou la tomar pra saber das novidades
Po mas tu não perde em nada a nível de conhecimento pros caras
Vc e o mano [NOME] são os melhores ai do Paraná
Referência nacional
STK-20250909-WA0013.webp (arquivo anexado)
[MENCAO] .'.. Vcs tem o XRY premium aí tbm? Tem diferencial dos outros?
Ou só mais do mesmo?
O nosso xry é o básico
Mas eu estava mexendo com o que fica em São Paulo com o Renault
Faz uma gama de Androids
Tem uns que até a pc3000 não faz
O único que eu ainda não consegui desbloquear foi o xiaomi 10 com chipset snapdragon
Mas o premium da cellebrite contempla tudo do dele?
Ja teve sucesso com esse,?
Só perde pros motorolas
Teria que ver o código do modelo para pesquisar na base.
Vou te passar na segunda sem falta
Passei pro [NOME] pra ele passar para os russos
Até os caras tão doido pra desbloquear
Origem 909 — 19/01/2026 14:38 a 14:39 — Uso do IPED na triagem, indexação e análise
Boa tarde pessoal. O meu iped está com essas mensagens de erros. Alguém sabe onde encontro o modelo CSAMDetector?
E quanto ao remot image classifier. Alguém sabe como configurar?
Quanto ao PhotoDna. Estamos algum tempo tentando obter acesso. Alguém tem alguma dica de como conseguir o acesso?
Origem 910 — 20/01/2026 14:36 a 14:43 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Pessoal, boa tarde! Estamos aqui com um Redmi 2201117SI (Note 11S) bloqueado. O XRY (11.3.0) diz q dá suporte à extração física (força bruta). Já seguimos a instrução da imagem e dessa tela não sai. Algum macete? Obg
Pessoal, boa tarde! Estamos aqui com um Redmi 2201117SI (Note 11S) bloqueado. O XRY (11.3.0) diz q dá suporte à extração física (força bruta). Já seguimos a instrução da imagem e dessa tela não sai. Algum macete? Obg
Não tenho certeza, mas acho que o modo especial do bootloader desses vc desliga, aperta os botoes e conecta o cabo, não é isso?
Isso. Esse foi o procedimento.
Não sei se tem outro.
Essas instruções do XRY deixam a desejar 🤦
Origem 911 — 21/01/2026 16:37 a 17:17 — Ativação do modo desenvolvedor e depuração USB
Boa tarde pessoal, tô com um quesito aqui perguntado se foi gerado cópia forense antes de passar pela análise do perito
Tem alguma forma de ver isso?
Tem alguma forma de ver isso?
Ou é quesito prejudicado
Vc tem alguma data suspeita?
Pode verificar as conexões USB e a geolocalização.
Não, veio quesito genérico <Mensagem editada>
As vezes consegue ver que estava em alguma delegacia e teve conexões usb
Ou se tem algum registros desses apps genéricos de extracao. <Mensagem editada>
Teve um caso que o celular ja estava com um app de extracao lógica do cellebrite e outro um app da PC de SP.
Nao teve quesito relacionado, mas certamente tinha fortes indícios de que passou pela equipe da civil antes
Nao teve quesito relacionado, mas certamente tinha fortes indícios de que passou pela equipe da civil antes
O q enviaram quesitos bem genéricos, se o celular estava com root, se chegou ligado
Hummm, boa vou olhar para ver se tem algo com data antes da extração q eu fiz
Valeu a ajuda, vou ver o q consigo aqui
Normalmente, se for android, precisa do debug para extracao forense. Entao se ele ja estava ativo quando chegou, é outro indicativo. <Mensagem editada>
Hoje é raro o usuário ativar o debug para uso próprio
Antigamente era mais comum.
Pior q nem olhei o debug pq tava bloqueado, fiz o BF e depois já a full file system
Entao se no dia da apreensão ate chegar em vc nao teve desbloqueio e nao teve conexão, chance é bem pequena.
Sim, vou bater nisso e ver essas datas
Mas se depois da apreensão teve vários desbloqueios, conexões, liga/desligada, debug ativo e apps, aí chances aumentam muito.
Pior q quesito conplementa de laudo de agosto hahahah
Além disso. Conexão wifi principalmente.
Pode ser loucura, mas já tivemos casos em que o policial se conectou na rede da delegacia para cópia dados do celular para um email particular. 🙃
Pode ser loucura, mas já tivemos casos em que o policial se conectou na rede da delegacia para cópia dados do celular para um email particular. 🙃
Isso. É o caminho. Ter alta ou baixa possibilidade.
se usaram o AvillaForensics, as vezes ainda instalam um apk de testes que é usado pra verificar as permissões no Android
já peguei celular que a delegacia instalou e não removeu 🤣
Origem 912 — 21/01/2026 17:47 a 17:47 — Compatibilidade de modelos e métodos de extração no UFED
Vocês já tiveram caso da pasta Temp do Inseyets PA (10.7.1) ocupar um espaço absurdo enquanto processava?
Estou com uma extração de 63 GB que está ocupando 1.24 TB e subindo.
Antes chegou a 1.5 TB e só parou porque não tinha mais espaço no SSD.
Notei que começou a ocupar todo esse espaço depois de começar o Carve Locations.
Estou com uma extração de 63 GB que está ocupando 1.24 TB e subindo.
Antes chegou a 1.5 TB e só parou porque não tinha mais espaço no SSD.
Notei que começou a ocupar todo esse espaço depois de começar o Carve Locations.
Origem 913 — 05/02/2026 16:31 a 17:13 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Boa tarde. Alguém já teve sucesso com samsung s5830c?
Não achei no ufed e o Premium reconhece como bcm21553, que é o chipset da broadcomm, mas falha em acessar
Não achei no ufed e o Premium reconhece como bcm21553, que é o chipset da broadcomm, mas falha em acessar
Tem no 4PC S5830. Já fizemos neste perfil.
Já tentou via custom recovery?
Não temos. Só ufed inseyets e XRY
Não. Faz muito tempo que não faço isso e sempre tem um perigo...
Mas tem ufed Inseyets sem o antigo 4PC?
É bem sussi. Depois vejo o histórico desse aqui.
Sim. Procurei aí o modelo e não achei. Esse eu nem tenho na base de dados para saber se fiz com outro modelo ou método
Aparece aqui para mim Galaxy Ace
Uhnn. Pelo oq pesquisei e no nosso histórico, esse seria um qualcomm
O android é 2.x.
Premium nao tem suporte para essa versão
Premium nao tem suporte para essa versão
Temos 2 registros dele, mas foi via JTAG. 🥲
Conseguiu comunicar Adb no ufed?
Nao no inseyets, no ufed clássico mesmo.
Se rodar aquele console adb deve apresentar o chipset.
Se rodar aquele console adb deve apresentar o chipset.
Blz. Vou tentar aqui e já falo. Valeu
Aqui fizemos a física adb no perfil
Tem chance tbm em perfil generico do android.
Nessa versão as chances de conseguir adb é bem alta
Nessa versão as chances de conseguir adb é bem alta
O próprio ufed tem uns exploits para esses antigos.
Origem 914 — 09/02/2026 13:42 a 14:22 — Extração e bloqueios em Realme aqui
pessoal, estou com celular realme aqui pra tentar ffs no UFED e, após ele reiniciar o aparelho, tenho a impressão de que volta sendo reconhecido pelo Windows (como no modo MTP, em que recebo aquele pop-up perguntando o que quer fazer com aquela mídia de armazenamento inserida) e não mais pelo UFED... e aí o fluxo não segue...
já fiz outras extrações normalmente hoje, mas com esse aparelho é isso q está acontecendo...
alguém tem alguma sugestão sobre como fazer para forçar o "reconhecimento" pelo ufed e não pelo windows explorer após a reinicialização? não troquei o modo USB para somente carregando, mas ainda assim não reconhece
já fiz outras extrações normalmente hoje, mas com esse aparelho é isso q está acontecendo...
alguém tem alguma sugestão sobre como fazer para forçar o "reconhecimento" pelo ufed e não pelo windows explorer após a reinicialização? não troquei o modo USB para somente carregando, mas ainda assim não reconhece
Já tentou revogar as credenciais confiáveis, fazer novamente e habilitar o USB padrão para transferência de arquivo?
Só por curiosidade pegamos um Xiaomi recente, com Android 16, em AFU, que não conhecíamos a senha [SEGREDO] fazer. Tentamos em BFU para conseguir a senha depois e o UFED não fez. Alguns Android 16 já estão com reset programado também.
Origem 915 — 09/02/2026 15:07 a 17:14 — Extração e compatibilidade em Samsung SMARTWATCH
Pessoal, estou com a extração de um iPhone com a quesitação solicitando verificação de possíveis aparelhos rastreando o aparelho examinado através do buscar. É possível verificar isso ou somente pelo aparelho mesmo?
Boa tarde, [NOME]! Tbm tenho interesse. Obg
Segue o que mandei para o [NOME]
Tem mais informações do caso? Pode ser um smartwatch, um fone ou uma TAG de rastreio. A senha do dispositivo é diferente do iTunes, mas tentaria fazer a extração e ver se pega alguma credencial que possa validar no iTunes. Se for colocar o dispositivo na rede para testar, é importante avisar que terá alteração do vestígio e chance de pagamento remoto. Outra coisa que eles podem tentar é representar na Apple para ver se tem estas informações lá.
Ela afirma que o marido estava rastreando através do cel dele. Só tenho a extração do iPhone dela. Nada mais. Nem o aparelho tenho comigo. É um complementar que estou fazendo que era de um colega e voltou sem o aparelho.
Origem 916 — 19/02/2026 19:18 a 19:18 — A recuperação e extração de dados do celular da vítima, escondido em uma
A recuperação e extração de dados do celular da vítima, *escondido em uma caixa de esgoto*, foram primordiais para a conclusão do caso… - Veja mais em https://www.uol.com.br/tilt/noticias/redacao/2026/02/19/desbloqueio-extracao-celular-resolver-crime-corretora-goias.htm?cmpid=copiaecola
Origem 917 — 26/02/2026 15:04 a 15:04 — Extração Samsung em modo Download/ODIN
Boa tarde. Tenho tentado fazer a extração física ou desbloqueio (padrão) daquele samsung s5830c no Ufed há semanas e ainda sem sucesso. O chipset é um bcm21553-thunderbird, como reconhecido pelo Premium.
No modo download, diz que é um s5830i. Nesse mesmo perfil no ufed, com a ponta amarela t133, consigo iniciar o processo, mas sempre falha em "Initializing" ou "Reading Phone Info".
Alguém tem alguma recomendação para esse aparelho?
No modo download, diz que é um s5830i. Nesse mesmo perfil no ufed, com a ponta amarela t133, consigo iniciar o processo, mas sempre falha em "Initializing" ou "Reading Phone Info".
Alguém tem alguma recomendação para esse aparelho?
Origem 918 — 03/03/2026 11:11 a 11:28 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Pessoal, primeira vez que vou fazer um exame em MacBook Pro com SSD nvme removível. Tive que usar um "adaptador no adaptador" para conectar ao PC. No entanto, não reconheceu o drive físico no computador.
Geralmente tem que fazer algo mais? Mesmo não sendo um sistema de arquivos familiar do windows, pelo menos o drive físico deveria reconhecer. Correto?
Pessoal, primeira vez que vou fazer um exame em MacBook Pro com SSD nvme removível. Tive que usar um "adaptador no adaptador" para conectar ao PC. No entanto, não reconheceu o drive físico no computador.
Geralmente tem que fazer algo mais? Mesmo não sendo um sistema de arquivos familiar do windows, pelo menos o drive físico deveria reconhecer. Correto?
<Mídia oculta>
Pessoal, primeira vez que vou fazer um exame em MacBook Pro com SSD nvme removível. Tive que usar um "adaptador no adaptador" para conectar ao PC. No entanto, não reconheceu o drive físico no computador.
Geralmente tem que fazer algo mais? Mesmo não sendo um sistema de arquivos familiar do windows, pelo menos o drive físico deveria reconhecer. Correto?
Pessoal, primeira vez que vou fazer um exame em MacBook Pro com SSD nvme removível. Tive que usar um "adaptador no adaptador" para conectar ao PC. No entanto, não reconheceu o drive físico no computador.
Geralmente tem que fazer algo mais? Mesmo não sendo um sistema de arquivos familiar do windows, pelo menos o drive físico deveria reconhecer. Correto?
Já fiz usando FTK Imager para extrair e IPED para processamento. Funcionou, a diferença é que o IPED não detecta os componentes do IOS como ele faz com o Windows.
Inclusive como o adaptador meu não funcionou para todos os casos, já usei Windows FE e deu certo.
Inclusive como o adaptador meu não funcionou para todos os casos, já usei Windows FE e deu certo.
Falando em adaptador não dando certo se esse der certo, me passe a especificação desse adaptador que vou querer um pra mim.
Parece que é meu adaptador mesmo o problema
O meu desse funcionou em 1 só, nos outros não rolou!
<Mídia oculta>
O meu era esse aqui, não rolou, tive que devolver para o MacBook e fazer a extração por lá, usando o Windows FE.
Por precaução eu inicializei uma vez pelo Pendrive, antes de colocar o NVMe, para entender como funcionava.
Inicializei de novo agora com o NVMe conectado, e um HDD externo e a extração rolou bem rápido
O meu era esse aqui, não rolou, tive que devolver para o MacBook e fazer a extração por lá, usando o Windows FE.
Por precaução eu inicializei uma vez pelo Pendrive, antes de colocar o NVMe, para entender como funcionava.
Inicializei de novo agora com o NVMe conectado, e um HDD externo e a extração rolou bem rápido
Origem 919 — 04/03/2026 18:20 a 18:43 — Conexão USB, ADB e diagnóstico de porta em Android
Boa noite. Samsung j410g com secure startup. Alguém já teve sucesso no Premium?
O Premium pede para aplicar update via adb, faço isso, mas sempre dá erro.
O Premium pede para aplicar update via adb, faço isso, mas sempre dá erro.
Estou com um motorola xt1543 bloqueado que o Premium nem reconhece, e o perfil dele no Ufed não faz desbloqueio. Alguém teve sucesso com esse também?
O ufed reconhece, só o premium que não.
Vc pode abrir a tela (um pouco difícil pq esse modelo é bem colado) ou abrir uma janela. Depois, perfil genérico Qualcomm, deve ter a extração física sem criptografia
Boa. Vou ver se consigo abrir para tentar. Valeu
Origem 920 — 09/03/2026 10:50 a 11:53 — Extração e compatibilidade em Samsung iPhone 12
Bom dia, alguém sabe dizer se iphone 12 ios 16.6.1 em BFU é possível fazer BF no inseyets premium?
Inseyets não sei, mas no GK sim
Vi no suporte e segundo a tabela da Cellebrite, teria suporte no Inseyets sim <Mensagem editada>
Valeu. Estou com um que só apareceu a opção para extração BFU... vou tentar novamente
Bom dia. Recebemos um pedido incomum. O caso de uma extração de dados se desmembrou em vários inquéritos e estão pedindo uma nova extração para cada novo inquérito. Entendemos que a extração já realizada deveria atender todos os inquéritos, considerando que não houve alteração da ferramenta utilizada. O que acham?
boa pergunta pq as vezes o inquérito A quer dados só de uma pessoa e tu vai tá mandando informações de outras pessoas que nada tem haver com a história
isso é comum aqui quando pedem cópia de um HD cheio de pedofilia com várias vítimas 😕
https://oglobo.globo.com/politica/noticia/2026/03/09/peritos-criminais-afirmam-que-programas-usados-pela-pf-para-acessar-conteudo-de-celular-permitem-rastrear-mensagens-apagadas.ghtml
Mas no caso, é pra fornecer a extração completa, sem filtros.
Nossa perícia está em evidência
Bom dia! Estou com um Samsung A146M. Bloqueado com senha de desenho, mas fornecida. Quando tentei remover o bloqueio de tela recebi uma mensagem informando que iria remover os dados, pelo que entendi seria a biometria. Nestes casos, melhor tentar a extração sem remover o bloqueio e informar a senha?
Eu informaria que a extração já foi realizada e que todas as informações foram disponibilizadas. A cada pedido há novos quesitos?
Acho que podem sair por aí também 👍
Nao precisa remover a senha para viabilizar a extração.
Mas se quiser remover, nao afeta os dados do usuário. Nessa msgm indica que as digitais ja cadastradas serao perdidas.
Mas se quiser remover, nao afeta os dados do usuário. Nessa msgm indica que as digitais ja cadastradas serao perdidas.
Eu faria o mesmo.
No máximo dividiria os dados já extraídos por inquérito.
No máximo dividiria os dados já extraídos por inquérito.
Mas nao faria nova extração
Origem 921 — 10/03/2026 09:04 a 09:20 — Extração e análise de dados em iPhone/iOS
bom dia, há alguma possibilidade de extração de um iPhone com SDR habilitado?
Bom dia. Sim, com GK
e tem que estar em AFU, ou funciona tb em BFU?
Aí depende do modelo
Para uma extração de qualidade e vindo todos os arquivos, o interessante é esta em AFU
Alguns usam o modo iTunes para fazer o exploit, outros via AFU
entendi. obrigado, senhores!
Origem 922 — 11/03/2026 11:27 a 12:00 — Extração e análise de mensagens do WhatsApp
Bom dia, Srs!
SAMSUNG J200M, desbloqueado. Registro de sucesso recente? Aqui na versão mas atualizada do inseyets tá dando como versão na suportada.
SAMSUNG J200M, desbloqueado. Registro de sucesso recente? Aqui na versão mas atualizada do inseyets tá dando como versão na suportada.
Pode ser Android 5, no Premium é difícil. Temos registros no 4PC
Tive sucesso no 4PC
Só não lembro se foi por extração física ou file system
Lembro que o XRY não estava trazendo o WhatsApp
Tentei no premium, mas não sei pq cargas d’água depois que ele reconhece o modelo do aparelho, simplesmente volta pra tela inicial do premium
acredito que seja a versão do Android
tenta extrair pelo modo que parece o UFED 4PC
tenta um smartflow primeiro
se não der, faz o reconhecimento do aparelho, e faz os testes de todos os modos de extração
inclusive ADB
No smart deu não suportado tbm
Vou fazer dessa forma
Esse vai via Custom Recovery
Origem 923 — 13/03/2026 09:53 a 10:09 — Extração e acesso a dados em iPhone 11
[NOME] vai ser pago?
Ta ficando pronta a nova versão
E do preço ? Vamos gostar Tb?
Essa lógica avançada, seria analisar os dados sem ferramentas?? 🤔
Nós tentamos aqui pelo UFED normal, mas o mesmo não reconheceu o aparelho.
Escolhendo iPhone 11 não vai?
Ahh, o tipo de extração no ufed... , pensei que só tinha hacker aqui
Origem 924 — 13/03/2026 14:43 a 14:53 — Extração e análise de dados em iPhone/iOS
Pessoal, a gente não costuma ter oportunidade de receber celulares em AFU normalmente. E hoje parece que receberemos.
Estou com a seguinte dúvida. Se o celular está em AFU e veio com senha informada, há prejuízo caso ele desligue ou reinicie? Ao desbloqueá-lo após um reinicio, perdemos dados relevantes?
Estou com a seguinte dúvida. Se o celular está em AFU e veio com senha informada, há prejuízo caso ele desligue ou reinicie? Ao desbloqueá-lo após um reinicio, perdemos dados relevantes?
Ou se está com senha informada não há muito o que se preocupar quanto à urgência de fazer a extração...
Uma AFU de android será similar a uma FFS
Uma AFU de iOS não. Por conta de logs e registros que se apagam com o tempo, melhor é extrair o quanto antes (inserindo a senha [SEGREDO] pelo fluxo de desbloqueado)
Maravilha, [NOME]. Muito obrigado!
Isso mesmo. Se tem senha fornecida, então desligue o equipamento o quanto antes. Aí para de rodar logs
Em caso de senha nao fornecida, então tentar fazer o quanto antes, para tentar conseguir uma extração e aí preservar os logs nessa extração
Principalmente os backups do WA, powerlogs, etc.
Esses rodam e se perdem com facilidade.
Certo. Parece que tudo o que foi de iPhone aqui tem senha fornecida. Pelo que entendi que os colegas disseram, vale a pena desligar aqueles que estão na fila aguardando extração então, correto?
E o que for Android, mesmo que desligue, tá tudo bem. <Mensagem editada>
Se tem senha fornecida, não precisava nem ter enviado ligado
Já corta lá na busca o log rotate
Em qualquer um dos casos, manter em AFU nem necessidade é correr o risco de perder informações.
Então sempre que estiver em AFU, tenta fazer com prioridade a extração.
Algo interessante é que em BFU diversos logs são preservados, então manter ligado em BFU não tende a ter tanto prejuízo.
O problema é em AFU, pois nesse caso os serviços estão operando normalmente no Android/iOS.
O problema é em AFU, pois nesse caso os serviços estão operando normalmente no Android/iOS.
Origem 925 — 16/03/2026 09:22 a 11:06 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Extração do iPhone 11 Ios 18.6.2 quebrou a senha no inseyets, mas na hora de tentar fazer extração está dando o erro ru-7bf5 alguma Luz?
Faz no graykey
Tenta pelo ufed normal
Ja que tens a senha
Ou o 4PC do inseyets
Fiz ela agora, veio só 1,2gb <Mensagem editada>
Testando ainda, mas acho que não
As o whatsapp não tem quase nada mesmo
Bom dia. Saiu versão beta do Inseyets para AFU de iPhone 11 a 14 com IOS até 26.3.1 🙏
Origem 926 — 17/03/2026 10:27 a 12:07 — Extração e análise de mensagens do WhatsApp
essa atualização do UFED da semana passada (10.9), trouxe alguma novidade pra extração dos iPhones?
https://www.gazetasp.com.br/colunista/prof-[NOME]-ramos/conteudo-[TELEFONE]/1174619/
https://www.gazetasp.com.br/colunista/prof-[NOME]-ramos/conteudo-[TELEFONE]/1174619/
Minha reportagem no jornal Gazeta do Povo de São Paulo
uma dúvida que eu tinha era justamente isso: quanto tempo o arquivo .enc fica no servidor do WhatsApp?
tu chegou na estimativa de 20 dias testando todos os dias pra ver se tava ativo?
tu chegou na estimativa de 20 dias testando todos os dias pra ver se tava ativo?
Esse procedimento fiz junto com o [NOME] Ávila
👏🏻 [MENCAO] .'. Vc sabe dizer se no caso do [NOME] Vorcaro a PF baixou os .enc e os descriptografou ou somente percebeu os prints de imagens no iphone correspondendo +- com os horários das mensagens?
Fale meu nobre boa pergunta
Origem 927 — 19/03/2026 07:21 a 07:47 — Extração e análise de dados em iPhone/iOS
Depois de alguns questionamentos no Gemini Pro:
_A pasta AFC Service que aparece no início de todos esses caminhos não é um diretório real dentro do sistema de arquivos do iOS (File System). Na verdade, ela é um contêiner virtual criado pela ferramenta de processamento forense (pela interface, muito possivelmente o Cellebrite Physical Analyzer) para indicar o método e o protocolo pelo qual esses dados foram adquiridos._
Não sei se faz sentido no seu contexto!
_A pasta AFC Service que aparece no início de todos esses caminhos não é um diretório real dentro do sistema de arquivos do iOS (File System). Na verdade, ela é um contêiner virtual criado pela ferramenta de processamento forense (pela interface, muito possivelmente o Cellebrite Physical Analyzer) para indicar o método e o protocolo pelo qual esses dados foram adquiridos._
Não sei se faz sentido no seu contexto!
Bom dia, estou com um caso de um cartão de memória dessas câmeras chinesas. O cartão está com o sistema de arquivo fat32 um tanto bugado, rodei o photorec, até recuperou alguns arquivos de vídeo, mas apenas 2 segundos de cada. Alguma sugestão do que mais posso tentar? Já rodei o IPED e DVRExtractor também
Fala Artur bom dia! Eu utilizo o Disk Drill.
Ele é bem completo
E faz vários tipos de varreduras no disco
O preço é bem atraente
👍🏻 vou rodar o recuva agora nele e logo depois já tento o disk drill
Considere ter a perpétua
Tu vai se amarrar
Ouvi dizer que a interpol utiliza uma versão mais top dele
Origem 928 — 19/03/2026 14:42 a 14:47 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
<Mídia oculta>
boa tarde, estou com um POCO C71, chipset unisoc, bloqueado.
usando o UFED, ele chega a este ponto.
ja entrei em modo fastboot e recovery, o UFED detecta e identifica o celular e o chipset, mas não consegue estabelecer contato.
boa tarde, estou com um POCO C71, chipset unisoc, bloqueado.
usando o UFED, ele chega a este ponto.
ja entrei em modo fastboot e recovery, o UFED detecta e identifica o celular e o chipset, mas não consegue estabelecer contato.
Tem que entrar no modo Brom que nesse C71 acho que é vol+ e vol-
show! vou tentar!
obrigado!
obrigado!
Origem 929 — 20/03/2026 13:19 a 13:19 — Compatibilidade de modelos e métodos de extração no UFED
Pessoal, boa tarde. Alguém obteve sucesso na extração dessas maquininhas Sunmi P2-B? Está desbloqueado.
Origem 930 — 14/04/2026 21:22 a 21:23 — Extração e compatibilidade em Samsung SM-A165M
alguém teve sucesso em extrair um Samsung A16 SM-A165M bloqueado?
consegui fazer uma extração BFU, mas o BruteForce não inicia
consegui fazer uma extração BFU, mas o BruteForce não inicia
o PC-3000 não tem esse modelo específico, nem o chipset específico (MT6789V/CD), só tem o chipset MT6789
Origem 931 — 24/04/2026 11:53 a 11:57 — Root e extração em dispositivo Positivo
IMG-20260424-WA0007.jpg (arquivo anexado)
Bom dia amigos,
estamos com este dispositivo *(Mini Phone)* e não conseguimos extração. Tentamos pelo 4PC, XRY e também pelo Touch. Alguem já teve experiência com ele ?
Os números de IMEI não constam em nenhuma das bases que consultamos. Ele tem suporte a dois Sim Cards, tem registro de ligações e agenda telefônica. *Aparenta* ser o mesmo SO dos Nokias 6100.
Obrigado a todos. 🫱🏼🫲🏽
Bom dia amigos,
estamos com este dispositivo *(Mini Phone)* e não conseguimos extração. Tentamos pelo 4PC, XRY e também pelo Touch. Alguem já teve experiência com ele ?
Os números de IMEI não constam em nenhuma das bases que consultamos. Ele tem suporte a dois Sim Cards, tem registro de ligações e agenda telefônica. *Aparenta* ser o mesmo SO dos Nokias 6100.
Obrigado a todos. 🫱🏼🫲🏽
nao seria esse um caso de usar o kit CHINEX do touch?
Bom dia amigo, tentamos também com o cabo indicado no kit. Mas sem sucesso. O aparelho deixa habilitar o modo "COM", mas não conseguimos extração. Obrigado pelo retorno
Origem 932 — 24/04/2026 14:59 a 15:06 — Análise de Registro Windows e arquivo NTUSER.DAT
Esse tipo de aparelho na minha região só é utilizado para ingresso no sistema prisional.
Nunca procedemos a extração via qualquer software, porque as tentativas sempre foram infrutíferas.
Nos relatamos os IMEIs, usamos o *#06# para confirmar se os IMEIs conferem, extraío o cartão SIM (tem colega que nem isso faz),
Fotografo as agendas, ligações e SMS na tela, quando eles existem, porque normalmente é pego na entrada e não tem nenhum registro (o duplo sentido funciona aqui também)
Nunca procedemos a extração via qualquer software, porque as tentativas sempre foram infrutíferas.
Nos relatamos os IMEIs, usamos o *#06# para confirmar se os IMEIs conferem, extraío o cartão SIM (tem colega que nem isso faz),
Fotografo as agendas, ligações e SMS na tela, quando eles existem, porque normalmente é pego na entrada e não tem nenhum registro (o duplo sentido funciona aqui também)
Complementando, se o cara a autoridade quesitar se está funcionando, respondo que ele liga e que a informação dele ter sido utilizado pode ser respondido pelas operadoras mediante a consulta do IMEI.
Show, vocês conseguiram ver na tela ou conseguiram alguma extração?
Foi na extração do SIM Card. Na tela vamos constatar via fotografia a agenda (tem o mesmo contato recebido o gabarito via sms) e as chamadas.
Origem 933 — 26/04/2026 08:40 a 08:47 — Extração e análise de dados em iPhone/iOS
IPhone travou nesta tela.
Alguém sabe como faço para reiniciar?
Para forçar o reboot nesse modelo é
Clica em vol up, vol down e depois power, segurando o power até o reboot.
Clica em vol up, vol down e depois power, segurando o power até o reboot.
IMG-20260426-WA0000.jpg (arquivo anexado)
Se ficou confuso o que mandei, achei essa instrução
Se ficou confuso o que mandei, achei essa instrução
Blz. Deu certo. Obrigado!
Origem 934 — 14/05/2026 16:12 a 16:19 — Extração e decodificação de bancos do WhatsApp
Boa tarde! Há algum script para baixar os enc de todos os áudios de visualização única de ZAP, de uma extração de celular?
o software do [NOME] forensics fazia isso
mas foi adicionado alguns parâmetros na URL
aí o python dava erro
mas o link fica na table message_media, salvo engano é message_url a coluna que fica o link
os links ficam no celular que enviou
no celular que recebeu...a chave de decriptografia é eliminada quando visualiza. Então não basta só ter o link
Tem a extração
no celular que enviou a chave de decripto ainda fica nessa tabela message_media
E o msgstore
Os áudios recebidos alguns por sorte ficaram no views once
só que os arquivos parece que ficam só por 20 dias disponíveis no servidor do WhatsApp
Exato, quero baixar todos pra preservar
E depois descriptografar com os dados do msgstore
Vou exportar no Excel que acho que vem todos os links
se for pouca coisa...baixa 1 por 1
Origem 935 — 02/06/2026 10:06 a 10:49 — Root e extração em dispositivo Positivo
https://www.instagram.com/p/DZDQUbmx5SH/
_O Sindicato dos Delegados de Polícia do Distrito Federal (Sindepo-DF) encaminhou um ofício à Polícia Civil do DF (PCDF) em que pediu que a extração de dados de celulares apreendidos em investigações passem a ser realizados nas delegacias._
_O pedido, assinado em 30 de abril, considerou que a medida “harmoniza-se com as melhores práticas nacionais e internacionais de investigação criminal”._
_“A realização do procedimento no âmbito das próprias delegacias permitirá maior celeridade na produção da prova, reduzindo entraves operacionais e contribuindo para a efetividade das investigações”, escreveu o presidente em exercício do Sindepo-DF, Waldek Fachinelli, no ofício encaminhado à PCDF._
_O comando da Polícia Civil pediu manifestação ao Instituto de Criminalística — que, atualmente, é o órgão ligado à corporação que centraliza a extração de dados de celulares._
_O diretor do instituto, o perito [NOME] de Andrade, considerou que o procedimento é “atividade pericial finalística”. Além disso, afirmou que há iniciativas previstas para 2026 a fim de “ampliar a capacidade de extrações”. Entre as medidas planejadas há a “a criação de um laboratório integrado de alta capacidade”; reforço de efetivo; e desenvolvimento de ferramentas de inteligência artificial”._
_Em 26 de maio, o delegado-geral adjunto da PCDF, Saulo Ribeiro Lopes, disse ao Sindepo que seguiria o entendimento do Instituto de Criminalística._
_“Ao término desse processo deliberativo, consolidou-se o entendimento de que a extração de dados de aparelhos celulares permanece atribuída à Seção de Perícias de Informática (SPI) do IC/PCDF, cujo desempenho centralizado assegura racionalidade administrativa”, frisou._
_O Sindicato dos Delegados de Polícia do Distrito Federal (Sindepo-DF) encaminhou um ofício à Polícia Civil do DF (PCDF) em que pediu que a extração de dados de celulares apreendidos em investigações passem a ser realizados nas delegacias._
_O pedido, assinado em 30 de abril, considerou que a medida “harmoniza-se com as melhores práticas nacionais e internacionais de investigação criminal”._
_“A realização do procedimento no âmbito das próprias delegacias permitirá maior celeridade na produção da prova, reduzindo entraves operacionais e contribuindo para a efetividade das investigações”, escreveu o presidente em exercício do Sindepo-DF, Waldek Fachinelli, no ofício encaminhado à PCDF._
_O comando da Polícia Civil pediu manifestação ao Instituto de Criminalística — que, atualmente, é o órgão ligado à corporação que centraliza a extração de dados de celulares._
_O diretor do instituto, o perito [NOME] de Andrade, considerou que o procedimento é “atividade pericial finalística”. Além disso, afirmou que há iniciativas previstas para 2026 a fim de “ampliar a capacidade de extrações”. Entre as medidas planejadas há a “a criação de um laboratório integrado de alta capacidade”; reforço de efetivo; e desenvolvimento de ferramentas de inteligência artificial”._
_Em 26 de maio, o delegado-geral adjunto da PCDF, Saulo Ribeiro Lopes, disse ao Sindepo que seguiria o entendimento do Instituto de Criminalística._
_“Ao término desse processo deliberativo, consolidou-se o entendimento de que a extração de dados de aparelhos celulares permanece atribuída à Seção de Perícias de Informática (SPI) do IC/PCDF, cujo desempenho centralizado assegura racionalidade administrativa”, frisou._
"só uma olhadinha"
essa "so uma olhadinha" é passado, agora quem tem UFED nas DPs fala "nao precisamos mais de voces" <Mensagem editada>
<Mídia oculta>
Bom dia! Só pra atualizar, na versão 10.8 deu certo. Obrigado [MENCAO]
Bom dia! Só pra atualizar, na versão 10.8 deu certo. Obrigado [MENCAO]
Aqui ta sendo feito ja
PC ganhou 4 insights premium
Brasil todo ganhou
"...órgão...que centraliza a extração...". Onde mesmo?
Acredito que em nenhum lugar essa extração é centralizada.
Acredito que em nenhum lugar essa extração é centralizada.
Acho que o DF é o único local que só perito faz exame ainda. Projeto Integra do MJ está comprando e distribuindo nacionalmente.
Aqui no DF é centralizado na Seção de Perícias de Informática (SPI).
então, provavelmente, deve ser um dos únicos
Pelo que falaram no MJ é o único local. Todos estados e PF já tem extração fora da perícia.
Falaram inclusive que eles fazem melhor que os peritos pois tem todo entendimento da investigação.
Sergipe também. Estado é pequeno e só tem sede na capital.
Techbiz abriu um suporte dedicado que ensina a extrair e tira dúvidas. Agora expandir o projeto em todas as unidades e comprar GK.
Tem estado que eles fizeram 30k em um ano.
Foi mal, tinha entendido errado. Tem extrações que são feitas na polícia civil tbm,
Tem ranking de premiação nacional por produtividade, os primeiros colocados fizeram em torno de 600 extrações ano.
Principalmente da CLBT.
acredito que o grande problema não seja, em si, a extração, mas _o que foi feito durante esse(s) procedimento(s) antes mesmo do dispositivo ser submetido à Perícia Oficial_ e a devida documentação do(s) procedimento(s), que também deveriam ser enviados documentados à Perícia Oficial juntamente com a requisição de exame. <Mensagem editada>
MPDFT também é um dos poucos que não faz e manda para gente, acredito que nacionalmente a maioria faz, além do MPF.
Origem 936 — 10/06/2026 09:27 a 09:30 — Extração e compatibilidade em Samsung SMARTWATCH
Bom dia! Alguém já fez perícia em smartwatch?
na parte de extração só conheço pelo Mobiledit ou pela ferramenta UFAD
https://www.linkedin.com/posts/christian-peter-49b4ab182_ufade-ios-forensics-activity-7230703878848090113-Tlni?utm_source=share&utm_medium=member_android&rcm=ACoAAB5q9eoBJ40H5I0qTluFZKxgUVNQFHMfFm8
Ibus awrt adaptador ferramenta de restauração para iwatch s2 s3 s4 s5 s6 se 38mm 42mm recuperação adaptador restaurar caixa para iwatch ferramenta de atualização - AliExpress https://share.google/r9vnfQDb2SBCDTlD1