Physical Analyzer: decodificação, abertura e relatórios
Categoria: Cellebrite UFED, Physical Analyzer e Analytics
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre physical Analyzer: decodificação, abertura e relatórios no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, XRY, IPED, Magnet AXIOM, IEF, FTK, ADB. Os termos mais recorrentes neste tema incluem: mas, pra, arquivo, esse, physical, esta, analyzer, ser, whatsapp, caso. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Registrar se o problema está na extração ou na decodificação.
- Manter relatório de extração e arquivos nativos quando forem anexados.
- Testar abertura alternativa como imagem, backup ou extração genérica quando cabível.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerXRYIPEDMagnet AXIOMIEFFTKADBODINLGUPWhatsAppiCloudPalavras-chave recorrentes
maspraarquivoessephysicalestaanalyzerserwhatsappcasoufedufdrmaisinseyetsextracaoarquivosmidiamensagensDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 28/02/2018 14:44 a 15:41 — Uso do Magnet AXIOM/IEF em artefatos digitais
Pessoal avancei um pouco no estudo desse caso. Estou correlacionado a informação de último login do usuário Windows exibido pelo ief e também pelo registry viewer (obtido através da SAM) com os dados de inicialização e desligamento processado pela ferramenta TurnedOnTimesView e também com os dados processados pela ferramenta WinLogonView (obtido através dos dados do event viewer) . Testei em 3 máquinas diferentes e a informação de de Last Logon Time do usuário obtida através da SAM da máquina estavam corretas nas 3 ferramentas utilizadas nas 3 máquinas de teste. Porém a dúvida ainda permanece no caso que estou trabalhando a informação Last Logon time obtida através da SAM (28/07/2017) difere das informações obtidas através do event viewer (20/10/2017). Detalhe, como falei, tenho certeza que a máquina foi ligada no momento da busca e apreensão ocorrida 20/10/2017, sendo que eu mesmo fiz Logon com o usuário no momento da busca. A dúvida consiste em explicar por que a informação da SAM tá diferente da encontrada no event viewer
Pessoal, tem como gerar relatório do PA em formato UFDR com a exibição de mapas? Não estou conseguindo. 🙁
Eu consegui exportar um arquivo kml que pode ser aberto com o Google Earth, mas eu queria mesmo era ver o mapa dentro do UFEDReader.
Origem 002 — 21/05/2018 12:12 a 15:39 — Root em dispositivo Android para extração pericial
Alguém teria o arquivo de hashes do arquivo gesture.key ou pattern.key para descobrir a senha sem a necessidade de remover os arquivos?
https://github.com/am6539/androidpatternlock-master
Basta fazer o download desse script python e executar passando como parametro o arquivo gesture.key
<Mídia oculta>
ENCONTRAR GESTURE.rar
ENCONTRAR GESTURE.rar
Desenvolvi um programinha que encontra o gesture. Talvez o ajude.
Mas não precisa excluir, se você já conseguiu acesso ao gesture.key [SEGREDO] você já conseguiu acesso ao nível de root. Daí teriam dois caminhos, ou já faz o backup direto através do próprio twrp, e processa o backup pra ser reconhecido no PA, ou move ou renomeia o gesture.key, e depois de feita a extração, devolve ele ao estado original. Antes eu usava o site “Android.saz.it” pra decodificar o gesture.key, mas ultimamente o site saiu do ar.
Vdd... Esse site aí tá um bom tempo fora do ar.. 😥
O Andriller tbm decodifica o padrão , passando o hash armazenado no gesyure.key.
O Andriller faz isso
Grátis por 14 dias
Opa não tinha visto a resposta
Manda email pra empresa que eles liberam aquela licença pra órgãos forenses
6 meses, se não me engano
Preferencialmente pelo e-mail funcional, que acho que dá mais credibilidade 😅😅
Acho que mandei link do site da Perícia daqui, pra fins de verificação
Obrigado pelas dicas. MEU celular descarregou.
Estou fazendo um pop de exame de celulares quando não se tem o equipamento ufed. Sera bem básico.
Interessante. Boa iniciativa!
Nossos hackers de balneário faZem uma mandinga com a data da instalação que fica eterno
Origem 003 — 28/06/2018 11:43 a 12:44 — Physical Analyzer: decodificação, abertura e relatórios
Sim, pra quais perguntas? Hehehehe!
<Mídia oculta>
Os delegados dos estados de vcs estão enviando ofícios baseados nessa decisão do STJ, informando n precisar de autorização judicial?
Os delegados dos estados de vcs estão enviando ofícios baseados nessa decisão do STJ, informando n precisar de autorização judicial?
Só para o caso de o celular ser da vítima do homicídio.
Essa hipótese nunca foi motivo de polêmica por aqui, sempre atendemos.
é, para vítima, de fato, não precisa
Tem na base de dados e os ufed PA atualizados tb mostram a origem se foi Web
Aqui uma época mandavam quase um TCC, de tanto fundamento pra esfregar na cara que manda quem pode, obedece quem tem juízo 🤦🏻♂
Origem 004 — 24/07/2018 11:20 a 11:20 — Cálculo e verificação de hashes em grande volume de arquivos
Alguém sabe como inserir um hash naquele banco de dados de arquivos conhecidos do physical analyzer?
Origem 005 — 22/09/2018 02:12 a 02:12 — Elaboração de laudo e relatório técnico pericial
Aqui eu gero sempre a saída em html, a qual eu menciono no laudo, em razão de ser a que menos consome processamento de máquina, mas além disso, eu gero o ufdr no dvd, sem mencionar, com o intuito de implementação cultural futura. Detalhe, sou o único no meu estado, que ainda está promovendo extrações, pois, o cellebrite venceu, e por problemas internos, não conseguiu ser renovado, estamos trabalhando, de forma velada, com um cellebrite e um PA “emprestado” pelo CAEX/GAECO, e pasmem, essa semana teve um juiz que disse “É inadimissível a OMISSÃO EM NÃO SER REALIZADA A PERÍCIA”, em determinado item remetido em 08/2018, ou seja, será que eu estou bem servido de magistrados aqui pelo meu estado ??
Origem 006 — 11/12/2018 14:26 a 14:26 — Physical Analyzer: decodificação, abertura e relatórios
Bom dia amigos. Alguém sabe se dá pra inserir o banco de hashs da NIST/NSRL no Physical Analyzer?
Origem 007 — 07/03/2019 08:47 a 09:43 — Eu tive que formatar minha máquina
Bom dia, aconteceu com alguma estação de alguém? Após atualizar para a versao 7.15 do PA não abre mais.
Eu tive que formatar minha máquina mas 2 colegas aqui resolveram esse erro desinstalando, limpando os arquivos do Ufed PA e instalando ele novamente
to achando que terei que formatar , ja fiz a segunda opção. 😒
na limpeza, desinstala do runtime do .net
e também o que tiver no %APPDATA%/Cellebrite*
Origem 008 — 15/07/2019 17:10 a 17:18 — Extrações, importação e limitações no XRY
Boa tarde, pessoal! Alguém sabe como abrir extração física XRY no UFED Physical Analyzer? Obg
IMG-20190715-WA0031.jpg (arquivo anexado)
IMG-20190715-WA0029.jpg (arquivo anexado)
IMG-20190715-WA0030.jpg (arquivo anexado)
Falso ou 1.500mwh é o normal de consumo? 😮
Origem 009 — 22/10/2019 11:44 a 12:01 — Extração e análise de mensagens do WhatsApp
Bom dia!
Tenho uma extração muito grande de um iPhone X e preciso gerar relatório apenas dos bate-papos.
Gerei tanto no physical analyzer (ufdr) como no IPED, desmarcando as mídias (img, áudios, vid) e marcando apenas os chats.
Em ambos, os chats vieram sem os anexos (mídias compartilhadas).
Alguém já conseguiu fazer sem q fosse necessário exportar todas as mídias do aparelho?
Tenho uma extração muito grande de um iPhone X e preciso gerar relatório apenas dos bate-papos.
Gerei tanto no physical analyzer (ufdr) como no IPED, desmarcando as mídias (img, áudios, vid) e marcando apenas os chats.
Em ambos, os chats vieram sem os anexos (mídias compartilhadas).
Alguém já conseguiu fazer sem q fosse necessário exportar todas as mídias do aparelho?
Talvez na aba bate-papos
Vc exportou em "Relatório->Gerar Relatório"?
Tenta na aba bate-papos
Exporta em xls, doc, etc, mas pelo menos vai com as mídias da conversa
Fica horrível pra análise eheh
Não gera. Como são muitas mensagens e mídias teria q ser viável pra pessoa analisar.
Hum, talvez se vc filtrar nas imagens, vídeos
o q não tiver vínculo com o whatsapp/chats em geral
e mandar exportar em ufdr?
filtrar removendo por exemplo os arquivos com 0 vínculos
Exportar não, Gerar relatório, quis dizer
Então, nas abas das mídias no PA existe o atributo Attachment source. Acredito que o jeito vai ser deixar marcado apernas o que tiver WhatsApp, por ex, nesta coluna e exportar com as mídias.
Nos avisa depois se deu certo
às vezes o gerador de relatório tem algum bug e tal
Acredito que a ferramenta poderia perguntar se no momento de gerar o Reader com apenas chats, se gostaríamos de gerar com os anexos, isso resolveria o problema para esses casos com um grande volume de mídias.
Origem 010 — 26/10/2019 11:54 a 11:57 — Seria o arquivo no Android que armazena a "data de compra" na play
Boa tarde! Alguém saberia dizer qual seria o arquivo no Android que armazena a "data de compra" na play store de cada app instalado?
<Mídia oculta>
Por exemplo, no PA aparece isso aqui, gostaria de saber qual o arquivo que armazena essa data.
Por exemplo, no PA aparece isso aqui, gostaria de saber qual o arquivo que armazena essa data.
Vi q em "Packages.xml" aparecem alguns apps, mas não todos, e não seria a "data de compra"
Estou querendo constar que há indícios de formatação / restauração para configurações de fábrica nesse dia.
Origem 011 — 26/10/2019 14:25 a 14:25 — No PA geralmente tem uma coluna "source" que diz donde veio o dado
No PA geralmente tem uma coluna "source" que diz donde veio o dado
Origem 012 — 31/10/2019 11:21 a 11:25 — Extração e decodificação de bancos do WhatsApp
Senhoras e senhores, bom dia. Estou abrindo um iCloud fornecido pela Apple no Physical Analyzer com o plugin "iCloudBackup from Apple". Aparece imagens, contatos, emails, porém não interpreta o WhatsApp. O arquivo ChatStorage.sqlite está encriptado. Alguma sugestão de como contornar esta encriptação? Usar o CloudAnalyzer?
Vc teve acesso ao celular?
Origem 013 — 20/02/2020 14:18 a 14:53 — Extração e análise de variantes do WhatsApp
Outra coisa, a key, é bom além de rodar o plugin do PA, adicionar ela como um projeto extra, pra o arquivo ir junto relatório de extração
Ultimamente eu venho botando em modo avião assim q aparece "Restaurando Mensagens"
Ah, outro detalhe tb ehehe. É possível que tenha mensagens na tela do aparelho periciado, e q não serão extraídas nesse método, a não ser q vc deixe um nobo backup local rolar.
Então é bom checar no olho mesmo se der, se tem alguma mensagem recente importante q não tinha nos backups
é raro, são as mensagens q não foram pra backup ainda
Eu fiz WhatsApp Business com o EmailBkpToFile
Origem 014 — 21/02/2020 09:31 a 10:45 — Extração e decodificação de bancos do WhatsApp
Você diz que as mensagens dos últimos cinco dias já seriam recuperadas automaticamente ao inserir o código de ativação? Já estaria nos DB criptografados que jogaríamos para o celular rooteado? Ou seria preciso fazer algo a mais pra puxar esse backup?
+-, o foco eh soh a chave
Vc usa ela no PA normalmente na sua extração
Não vai ser no celular rooteado q vc vai extrair as conversas, no caso
Teria que ler os arquivos de backup junto com a chave no Physical Analyzer ou algum outro interpretador de arquivos de WhatsApp.
Como as conversas já foram apagadas, elas não ficarão visíveis no celular que você recuperar.
Beleza. Esse plugin do PA nunca usei. Vou ver.
No celular rooteado vc só vai pegar a Key, no caso
Certo. Nem joga DB nenhum pro celular com root então. Só pega a key.
Não não, joga o db lá
Senão ele vai criar uma Key diferenre
Um dB só eh suficiente, no databases
https://www.politico.eu/article/eu-commission-to-staff-switch-to-signal-messaging-app/
Origem 015 — 07/06/2020 09:53 a 11:42 — Extração e decodificação de bancos do WhatsApp
Maioria dos celulares hoje tem a memória persistente sob a tecnologia Nand. Essa memória opera com um sistema de persistência baseada em páginas dr memória no qual se tenta evitar ao máximo sobrescrita, pois é menos custoso usar uma página nova para um update do que apagar (as páginas têm vida útil decrementada a cada apagamento). Com isso, muitos dados ficam repetidos em páginas. Os sistemas de arquivos de celular foram adaptados para essa realidade, como o f2fs, que foi construído tendo como base o ext. Porém, desde o ext4, os sistemas quando apagam arquivos, eles tb apagam os ponteiros dos blocos, logo, só se consegue fazer carving de páginas avulsas (por isso as ferramentas trazem várias arquivos zerados, pois só conseguem recuperar o inode do cabeçalho com poucas informações). Desse modo, no caso do zap, o que se pode recuperar de whatsapp é pedaços de páginas sqlite dentro de páginas nand avulsas. As vezes se faz carving (ufed faz) e se acha pedaços incompletos de mensagens.
Valeu demais pela explicação!
Para este tipo de material o UFED faz carving automaticamente ou somente quando selecionamos está opção lá no Physical Analyzer?
Para este tipo de material o UFED faz carving automaticamente ou somente quando selecionamos está opção lá no Physical Analyzer?
Não sei na versão mais atual. Mas nas anteriores tinha que ativar carving de sqlite database. Em "configurações
Origem 016 — 01/07/2020 17:35 a 18:13 — Physical Analyzer: decodificação, abertura e relatórios
Bom tarde! Tem como carregar uma imagem feita com ftk imager no Physical Analyzer?
O PA reconhece o primeiro arquivo E01, mas não carrega os demais da sequência
Valeu. Terei que fazer outra imagem. 👍🏻
Tenta abrir no próprio FTK Imager e depois exportar.
Export Disk Image > dd (raw)
Origem 017 — 08/10/2020 09:25 a 09:33 — Physical Analyzer: decodificação, abertura e relatórios
Pessoal, bom dia. Estou com o Physical Analyzer 7.36 aqui... Tem acontecido bastante dele fechar quando está abrindo uma extração... Aí tbm? Alguma sugestão? Vcs usam algum modo de compatibilidade?
já está disponível a versão 7.38.0.51, recomendo atualizar
qdo vcs atualizam, vcs desinstalam, por ex, como Revo... ou instalam direto por cima:
geralmente por cima, retirando o token da máquina
retirar o token antes da instalação
houveram melhorias no gerenciamento de memória nas últimas versões
Origem 018 — 24/11/2020 17:12 a 17:12 — Extração e análise de mensagens do WhatsApp
Prezados (as), encontrei um link em uma conversa do whatsapp que contém uma página com fotos relevantes para o caso. Alguém sabe como posso baixar e incluir no relatório do PA?
Origem 019 — 31/03/2021 09:03 a 09:51 — Triagem visual de imagens e vídeos no IPED
Bom dia, pessoal.
Alguém já observou o erro abaixo no arquivo de log do IPED?
Executei o IPED em uma imagem de pendrive e a execução finalizou com sucesso, no entanto, notei a falta de alguns arquivos no relatório. Ao verificar o arquivo de log me deparei com várias mensagens de erro como as abaixo:
*org.apache.poi.util.RecordFormatException: Tried to allocate an array of length 487952, but 100000 is the maximum for this record type*.
If the file is not corrupt, please open an issue on bugzilla to request
increasing the maximum allowable size for this record type.
As a temporary workaround, consider setting a higher override value with IOUtils.setByteArrayMaxOverride()
Após algumas pesquisas, fiz a tentativa de editar o arquivo ParserConfig.xml no meu profile default e inclui a parâmetro <param name="byteArrayMaxOverride" type="int">2000000</param>, porém o problema persiste.
Antes de registrar um problema no GitHub do IPED queria ver se alguém passou por algo assim.
Alguém já observou o erro abaixo no arquivo de log do IPED?
Executei o IPED em uma imagem de pendrive e a execução finalizou com sucesso, no entanto, notei a falta de alguns arquivos no relatório. Ao verificar o arquivo de log me deparei com várias mensagens de erro como as abaixo:
*org.apache.poi.util.RecordFormatException: Tried to allocate an array of length 487952, but 100000 is the maximum for this record type*.
If the file is not corrupt, please open an issue on bugzilla to request
increasing the maximum allowable size for this record type.
As a temporary workaround, consider setting a higher override value with IOUtils.setByteArrayMaxOverride()
Após algumas pesquisas, fiz a tentativa de editar o arquivo ParserConfig.xml no meu profile default e inclui a parâmetro <param name="byteArrayMaxOverride" type="int">2000000</param>, porém o problema persiste.
Antes de registrar um problema no GitHub do IPED queria ver se alguém passou por algo assim.
Tentou abrir essa planillha no Excel para testar se ela está íntegra?
(presumindo que é uma planilha)
Nunca observei esse erro nos logs de processamento que realizei.
Bom dia, [NOME]! Ocorreu bastante com planilhas, mas também com outros arquivos e pastas não localizados no processamento do IPED. A princípio a imagem e planilhas estão íntegras... Verifiquei a imagem e exportei os documentos sem problemas no FTK e no Physical Analyzer, que identificaram corretamente os arquivos não localizados no processamento do IPED...
Origem 020 — 06/04/2021 16:01 a 16:34 — Extração e limitações em Motorola XT1603
Versão 7.44.0 do PA, lançada 30/03/2021 está com bug. Recomendaram atualização para 7.44.1 lançada ontem (05/04/2021)
Boa tarde, Lenovo xt1603. Alguém tem alguma ideia de desbloqueio?
Não percebi tanta criticidade para o uso que faço:
Physical Analyzer 7.44.1
Cellebrite Physical Analyzer Version 7.44 .1 is released to fix Griffeye exporting error.
For UFED Cloud users, new iCloud backup support is now fixed as well.
Physical Analyzer 7.44.1
Cellebrite Physical Analyzer Version 7.44 .1 is released to fix Griffeye exporting error.
For UFED Cloud users, new iCloud backup support is now fixed as well.
Origem 021 — 27/04/2021 22:06 a 22:07 — No caso, extrair com UFED Touch ou UFED4PC e depois processar no Physical
O processamento dos dados extraidos no Physical Analyzer continua normal?
No caso, extrair com UFED Touch ou UFED4PC e depois processar no Physical Analyzer.
Origem 022 — 09/06/2021 16:26 a 18:01 — Uso do IPED na triagem, indexação e análise
Boa Tarde pessoal! Vocês tem processado o retorno da quebra de dados da Apple em alguma ferramenta, a fim de melhorar a leitura dos dados? Tentei processar no Physical Analyzer 7.44.2.10, através da opção "Warrant returns", e ele apenas encontrou os documentos e imagens, não decodificou algumas planilhas que possuem várias informações. Minha próxima tentativa é processar no Axiom 5.1, pois no release notes tem essa observação "In March 2021, the format of warrant returns provided by Apple changed.". Alguma outra sugestão?
Fiz 1 essa semana utilizando o IPED
Pessoal da delegacia inclusive agradeceu
Indexou tudo sem problema
Origem 023 — 26/08/2021 08:59 a 09:21 — Root e extração em dispositivo Positivo
Pessoal, estou me entendendo com o SP FLASH TOOLS. Se alguém puder me dar uma mão eu agradeço!
Baixei o FW pelo Multisync, carreguei aquele arquivo scatter.txt e na aba READBACK cliquei em ADD.
Baixei o FW pelo Multisync, carreguei aquele arquivo scatter.txt e na aba READBACK cliquei em ADD.
<Mídia oculta>
eu mexo nesse Download Agent?
eu mexo nesse Download Agent?
<Mídia oculta>
E aqui?
E aqui?
Só no readback mesmo
Dá start e conecta o phone, para ver se ele reconhece
Às vezes tem q plugar segurando vol - ou +
Start não, read back
gerou um arquivinho ROM de 4kb...
esse é o esperado msm?
Tem q alterar a length agora para o tamanho
Vê se do lado esquerdo aparece o tamanho total
Nessa parte de chip info
Talvez rodando na aba memory test apareça tb
Emmc flash aparece o q?
<Mídia oculta>
continuação
continuação
Talvez esse ua size
De todo modo se ultrapassar ele vai avisar como erro
Logo no começo
Se não der erro vai aumentando até dar
tá indo daquele tamanho do UA SIZE
Troca esse segundo 3 por um 5 por exemplo
pra abrir no PA vc escolhe algum perfil de dispositivo específico lá no PA?
Mediatek
Ou o do próprio aparelho se houver
eu acho q deve estar certo, pq convertendo esse UA SIZE pra decimal dá 15.267.840
e o celular é de 16gb
faz sentido meu raciocínio?
Mas aí é fácil confirmar, antes de extrair fazendo esse teste
Pq ele já avisa antes mesmo de começar a extrair
esse teste vc diz?
IMG-20210826-WA0003.jpg (arquivo anexado)
STK-20210826-WA0001.webp (arquivo anexado)
Origem 024 — 13/09/2021 15:39 a 16:03 — Triagem visual de imagens e vídeos no IPED
Boa tarde, alguma ferramenta que consiga mesclar os backups crypt14 descriptografados para depois jogar no PA? Tentamos o whapa e o forensictools, mas sem sucesso
Eles abrem corretamente no Viewer? Para mesclar esses dbs descriptografados eu venho usando o forensictools
mas bem capaz de ter algo novo nesses dbs que o forensictools não entenda.
Pois a folha fecha dia 15, amanhã é dia 14... vou falar com ela!
Abrem. Só o resultado do forensictools não abre
E o whapa não consegue fazer o merge pois diz que não encontrou o chat_list
Procura o vídeo desse webnar "Análise de Aplicativos Desconhecidos ou Não Suportados com Physical Analyzer" que do meio para o final ele ensina a fazer o PA interpretar dados que inicialmente não apareceram na extração, após o procedimento é possível fazer aparecer no relatório
Ah, esse problema eu resolvi eliminando do script o chat_list kkk
Apaga que ainda dá tempo
aí ele gera, mas comparei os dbs do forensics com o do whapa, achei mais confiável o do forensics
estranho ele não abrir aí, eu abro normalmente no PA
Já tive um caso que o ForensicTools não concluiu mas conseguiu extrair o DB descriptografado e mídias
Indexei no IPED e juntou o chat e mídias
Pois é, aqui não funcionou o resultado
Vou tentar essa opção
Origem 025 — 16/09/2021 08:23 a 08:57 — Extração e análise de mensagens do WhatsApp
alguem tem em mãos algum script do Phisycal Analyser para fazer parser do YoWhatsApp?
troca o nome da pasta e do arquivo de conta
e processa no pa
Pois é, sempre fiz assim tb, pensei que alguém já tivesse automatizado alguma rotina
Quando sobrar um tempinho vou fazer isso
Origem 026 — 23/11/2021 08:20 a 10:39 — Recuperação de mensagens e vestígios do WhatsApp
Bom dia! Usei em um caso de WhatsApp desinstalado mas infelizmente não tive sorte. 😩
Isso. Fiz a física de um SM-G532MT (Galaxy J2 Prime) e rodei o whatsapp-carver pra ver se a chave ainda tava disponível.
Escanei todos os apks pelo "vírus total" e não foi identificado vírus ou malware.
Agora estou usando o "Analisador de malware" do Physical Analyzer.
Agora estou usando o "Analisador de malware" do Physical Analyzer.
Origem 027 — 01/04/2022 10:50 a 10:56 — Uso do Magnet AXIOM/IEF em artefatos digitais
Possibilidade que acho mais forte: Mensagens de sistema como troca de chaves criptográficas, entrada e saída de membros em grupo, etc...
está no AXIOM?
Pode ir no "source" e ver mais detalhes na tabela
PA
No PA tb acho que dá para ver, clicando no Source/Fonte
Origem 028 — 09/05/2022 12:07 a 12:07 — Physical Analyzer: decodificação, abertura e relatórios
IMG-20220509-WA0001.jpg (arquivo anexado)
Alguem já passou por esse erro? PA fica travado nessa tela ao inicializar
Alguem já passou por esse erro? PA fica travado nessa tela ao inicializar
Origem 029 — 11/05/2022 17:39 a 17:46 — Physical Analyzer: decodificação, abertura e relatórios
Boa tarde.
Alguém já teve problema pra gerar relatório a partir de outro relatório do reader?
Estou desconfiando q seja por conta das TAGs que selecionei.
Está acontecendo na versão 7.55 e tbém ocorreu na versão 7.54
O relatório q eu mando gerar cria um arquivo ufdr de 1 kb apenas
Alguém já teve problema pra gerar relatório a partir de outro relatório do reader?
Estou desconfiando q seja por conta das TAGs que selecionei.
Está acontecendo na versão 7.55 e tbém ocorreu na versão 7.54
O relatório q eu mando gerar cria um arquivo ufdr de 1 kb apenas
Se você selecionar outro tipo junto, aí funciona de boa. Normalmente eu escolho o ufdr + xml. Depois só apagar o conteúdo do xml
Lembrando de apagar somente quando terminar de gerar tudo.
Origem 030 — 07/06/2022 15:58 a 16:17 — Extração e acesso a dados em iPhone 11
Nessa ferramenta interna vocês utilizam algum XML gerado pelo PA para gerar o relatório de vocês?
boa tarde, to com uma extracao (90GB) de um iphone 11 que está +- 10 hrs "abrindo" no PA. Algum caso dos colegas ja passou tanto tempo assim?
Sim. Bem comum nessas gigantes. O relatório irá demorar ainda mais
Verifica se a memória RAM
isso mesmo. Pegamos o XML gerado pelas ferramentas
A demora é "normal" para extrações grandes
Show, então estou no caminho certo 🤣
Muito obgdo pelo feedback [MENCAO]
Muito obgdo pelo feedback [MENCAO]
ainda nao, mas ta caminhando pra isso
às vezes mesmo abaixo na RAM já passa a usar muita paginação tá em quanto a confirmada?
no windows
Em alguns casos, depois que finaliza o processamento, a primeira coisa que fazemos é gerar um UFDR com todo o conteúdo.
Depois abrimos o UFDR no PA, pq fica mais viavel fazer a análise.
Depois abrimos o UFDR no PA, pq fica mais viavel fazer a análise.
Já estou pensando nisso. Outra possibilidade é ver se selecionando apenas alguns aplicativos no inicio do PA, ficaria mais leve
É, paginando bastante
tem não, infelizmente
so o HD "puro" hehe
Só tem isso rodando na máquina?
Se derrubar o chrome garanto que salva uns gigas de ram 😄
Semana passada eu testei exatamente isso, no HD realmente vai demorar muito, passaram se dias num projeto de iPhone e travou. Aí me toquei q era a paginação, rodei usando SSD , foram umas 12h
Suponho q tendo ram suficiente abra em poucas horas
foi fechado justamente por isso
acrescenta mais SSD e joga a paginação para um deles
Se vc tiver outros PCs no laboratório pra pegar emprestada a RAM deles, é uma boa eheh
Windows com VMM em trashing não presta nem para navegar na web, imagina processamento forense
Origem 031 — 19/07/2022 15:35 a 15:38 — Análise de Registro Windows e arquivo NTUSER.DAT
Algum colega ja instalou o PA 8.1? Aqui está dando um aviso q ele n pode ser instalado na mesma máquina q o path finder. Sendo q nunca instalei o path finder..
Segundo a cellebrite precisa remover um valor do registro pra resolver o problema
Origem 032 — 05/10/2022 17:21 a 18:07 — Bootloader, desbloqueio OEM e risco de wipe
Pessoal, SM-J415G com bloqueio por senha geométrica.
Parede que nas versões anteriores do UFED tinha mais sucesso do que nas mais recentes.
Algum macete por aí?
Parede que nas versões anteriores do UFED tinha mais sucesso do que nas mais recentes.
Algum macete por aí?
Tenta Boot Loader no J415F
Se for Android 10, possível tentar à downgrade pra android 9 e faz a bootloader.
<Mídia oculta>
Alguém com algo similar? PA 7.57.1.9
Alguém com algo similar? PA 7.57.1.9
Ao processar extrações em geral
Já temos a solução.
Já passamos por isso.
Aqui também.. foi solicitado desinstalar as atualizações do .Net...
1) Feche o PA e certifique-se que não há nenhum processo do Physical Analyzer ou Cloud rodando no Gerenciador de Tarefas
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
2) Vá até o diretório C:\Users\SEU USUARIO\AppData\Roaming\Cellebrite Mobile Synchronization\UFED Physical Analyzer
3) Delete todos os arquivos deste diretório
4) Execute o Physical Analyzer novamente, abra a extração e me informe se o problema persiste
Blz pessoal, vou tentar as sugestões, estava restaurando o sistema agora tmb 🤡 obrigado!
Evitem as atualizações KB5017262, KB5017270, KB5017857 do Windows 10
Foi encontrada uma incompatibilidade que causa o travamento do PA
Solução
Hello,
Thanks for the information.
Please follow the steps below.
Uninstall all of the Windows updates below (You may not have all 3 installed)
KB5017262
KB5017270
KB5017857
Navigate to Windows Features, then remove the latest .NET Framework.
Open PA, navigate to Tools > General Settings > Views. Deselect "Display cloud data source results," then select OK
See if this resolves the issue.
Try PA again
Hello,
Thanks for the information.
Please follow the steps below.
Uninstall all of the Windows updates below (You may not have all 3 installed)
KB5017262
KB5017270
KB5017857
Navigate to Windows Features, then remove the latest .NET Framework.
Open PA, navigate to Tools > General Settings > Views. Deselect "Display cloud data source results," then select OK
See if this resolves the issue.
Try PA again
Remover o update funcionou no meu caso
Também aqui. Peguei um ponto de restauração do Windows
Origem 033 — 11/10/2022 12:56 a 12:58 — Extração e análise de mensagens do WhatsApp
Alguém poderia disponibilizar a última versão do plugin do whatsapp para o PA?
Funciona bem no PA 8?
Não está mais disponível
<Mídia oculta>
cellebrite-UFEDPA-scripts-master.zip
cellebrite-UFEDPA-scripts-master.zip
Origem 034 — 20/10/2022 12:53 a 12:53 — Show. Fez os parsings certinhos no PA tirando o cabeçalho dos bins e
Show. Fez os parsings certinhos no PA tirando o cabeçalho dos bins e juntando num só.
Origem 035 — 06/12/2022 08:32 a 09:18 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Blz? Se algumém tiver alguma dica, eu agradeço. Estou com um celular da esposa, em que supostamente o marido stalkeava. Segundo ela, em um dia percebeu que o microfone estava ligado sem a permissão dela... Em outra ocasião, o marido teria visto as conversas do WhatsApp remotamente.
Além dos aparelhos conectados via WhatsApp, como mais eu poderia buscar algum app com essa finalidade? Na lista de apps não há nenhum suspeito. Alguma dica?
Além dos aparelhos conectados via WhatsApp, como mais eu poderia buscar algum app com essa finalidade? Na lista de apps não há nenhum suspeito. Alguma dica?
Web whatsapp
como ela "percebeu" esse microfone ligado?
<Mídia oculta>
030570232.pdf
030570232.pdf
Eu fiz este Laudo há um tempo. Veja se tem algo que ajuda.
maravilha, muito obrigado!
Vê se acha alguma coisa de mspy. É um aplicativo de monitoramento
Procurei aqui no Physical Analyzer... Não encontrei nada. Sobre o brunoespiao tbm não. Rodei o analisador de malware do PA e tbm não encontrou nada...
Origem 036 — 05/01/2023 11:19 a 11:26 — Elaboração de laudo e relatório técnico pericial
IMG-20230105-WA0009.jpg (arquivo anexado)
Já pegaram cel com fio assim?
Peguei um laudo com 3 celulares, todos com esse fio
Talvez seja para assistir TV digital
2 deles estão inseridos nesse orifício pequeno (microfone)
O circuito de decodifica;'ao no espectro de UHF precisa ficar fora do celular
Vishi, ent'ao deve ser celular "TAMPAX" para entrar em presídio
Já o outro, por aqui
🤔caramba, então deve ser para recepção mesmo
Origem 037 — 21/03/2023 17:26 a 18:33 — Conta iCloud, localização e rastreamento de iPhone
pessoal, alguém com experiência em decodificar os dados que a apple envia? tenho o backup aqui enviado pela apple mas não sei abrir
dados do icloud
Axiom abre salvo engano
pior que não temos axiom aqui
nem ufed cloud
Já tentou? https://www.magnetforensics.com/resources/magnet-apple-warrant-return-assistant/
Apple Warrant o Physical Analyzer abre.
Processa com o IPED que ele indexa bem
Origem 038 — 30/08/2023 14:35 a 14:55 — Compatibilidade e extração em dispositivos Samsung Galaxy
mas esse é um samsung e o outro era o xiaomi, certo?
cada fabricante faz seu programa de câmera
isso, mas o log de batterystats é meio q do google
aí dentro dele vem os chamados dos aplicativos
a ideia do batterystats eu acho uam boa dar uma olhada
vou procurar aqui
mas é bacana pegar um aparelho xiaomi parecido de teste, e comparar, tb reforça. Vc pode até comparar os binários de cabeçalho
<Mídia oculta>
no REGISTRO DE USO DE APLICATIVOS não tem nenhum intervalo de uso que o vídeo se encaixe
no REGISTRO DE USO DE APLICATIVOS não tem nenhum intervalo de uso que o vídeo se encaixe
geralmente com as configs padrões fica bem parecido
é bem interessante esse log, muita informação
e esse é o problema tb: informação demais, tem q tomar cuidado pra não extrapolar na interpretação kkk
mas se aparecer nesses 7 segundos aí do vídeo
Se vc puder acessar a nuvem do google vinculada ao aparelho também virá essa informação de forma mais clara
cara, eu não encontrei nada ao buscar por "batterystats"... olha só
por outro tipo de log, o de atividades do google
e esse batterystats.xml é pequeno:
a pasta log tem o q aí?
na timeline, pode ver o que estava rolando nesse segundo
timeline no AXIOM vem muito dado de operação do aparelho
<Mídia oculta>
pois é... pela timeline, nada... olha só... pula das 00h34 pras 00h38...
pois é... pela timeline, nada... olha só... pula das 00h34 pras 00h38...
é comum o PA não reconhecer todos os logs do sistema
decodificação do AXIOM é caprichada
nisso é, muito boa mesmo. O q falta no axiom é uma forma de analisar melhor as conversas, aquela pré visualização é muito ruim, ou eu não tô sabendo usar kkk
vc pegaria a extração do UFED mesmo e poria pra abrir no Axiom? <Mensagem editada>
Axiom para ver conversas vc tem mudar para o modo de conversas
top demais mesmo. Desbloqueio do aparelho tbm está incluso lá. Ajuda bastante nos casos em que precisa analisar a interação com o eq por parte do usuário ou outras pessoas que não possuem a senha.
acho q vou pedir a peça denovo então... estou verificando no UFDR q mandei pra delpol
aqui tem tb esse na system, mas a pasta com os logs é outra: /data/log/batterystats
Isso. Pode ser o zip nos casos de FFS ou o bin nas físicas.
navega a pasta log
No axiom, para ver conversas legal tem que ir no modo, Artefatos, e depois mudar a view para "Conversation View"
mas não dá pra etiquetar os "balões", ou dá?
eita, agora não lembro, deixa eu testar aqui
[NOME] pela tabela, dá um trabalho danado
aqui não localizei esse caminho... não sei se por ser característica do aparelho ou por no UFDR já estar "capado"
entendi, se ainda tiver a extração, abre o .zip e olha lá
Armazenamento tem sido um ponto crítico aqui, temos guardado só os relatórios gerados. Vamos ter que extrair denovo. O caso é de maio ainda.
👍🏻 nesse Samsung estão guardados os últimos 30 ciclos de recarga (um pra cada ciclo), mas deve variar isso, e talvez com o tempo automaticamente apague, mas acho q vale a pena vc verificar mesmo se ainda há
outra opção mais limpa e fácil é a da nuvem:
<Mídia oculta>
Histórico de atividade do Google
Histórico de atividade do Google
Origem 039 — 08/09/2023 15:49 a 15:49 — Conexão USB, ADB e diagnóstico de porta em Android
Alguém sabe porque as extrações advanced Adb que se usa um cartão constam como corrompidas ao abrir no PA?
Origem 040 — 20/10/2023 09:22 a 10:10 — Extração e análise de mensagens do WhatsApp
Pela minha experiência com PA, mais provável erro de decodificação no PA. Não seria a primeira vez. Sugiro ir direto na fonte do dado e decodificar "no braço" para conferência.
Esse celular está com data e hora automatica da rede? Ou esta manual?
Ja tivemos um caso bizarro desse com mensagens de whatsapp perdidas com datas erradas no meio da conversa.
Nossa suspeita nesse caso foi que o usuário ficava mudando data do celular, puq todo o resto aparentava estar ok.
Nossa suspeita nesse caso foi que o usuário ficava mudando data do celular, puq todo o resto aparentava estar ok.
Então.. assim que liguei o cel (sem o chip) a data estava de 2017 e configurada para automatica.. como não estava conseguindo acessar o Whatsapp colocquei pra manual e alterei para uma data anterior
até pensei que isso pudesse ter alterado as datas mas vi que as datas das mensagens e do próprio historico de chamadas anterioes estavam coerentes, somente essas 3 benditas chamadas que estão "fora do padrão"
Alterar a data não deveria mudar arquivos antigos. O que estava registrado deveria ficar como estava. Só se o usuário alterou na época isso.
Uma quebra de dados na operadora poderia resolver esse caso. Puq ai poderia fazer o confere e ver quando teve essa bilhetagem dessas ligações.
Uma quebra de dados na operadora poderia resolver esse caso. Puq ai poderia fazer o confere e ver quando teve essa bilhetagem dessas ligações.
onde se consegue esta ferramenta?
*https://infopericia.com.br/como-adquirir-sua-licenca/*
Hum show de bola...obrigado pelas respostas [MENCAO] , [MENCAO] , [MENCAO] ! Vou dar mais uma olhada, inclusive para ver como explicar isso no laudo
Os dumps gerados demonstram toda a troca de informações entre hardware e software, variação de energia quando o usuário toca na tela do celular.... Pelos testes que acompanhei parece ser interessante para dirimir dúvidas do caso
Se tiver acesso ao AXIOM, bom decodificar por lá e ver se as datas coincidem
Origem 041 — 20/12/2023 09:29 a 11:17 — Metadados EXIF/JPEG e individualização de câmera
Opa, bom dia. Nesse caso será q faz no aparelho bloqueado?
Bom dia, senhores
Alguém saberia dizer a origem dos arquivos embedded_1.jpg de iphone?
Pesquisei aqui e vi que em alguns casos são cache do Firefox no iPhone, confere?
Gostaria de responder três perguntas sobre uma imagem desse tipo
1. Os arquivos foram abertos/visualizados?
2. Desde quando o arquivo está no telefone?
3. Foi baixado automaticamente (acidentalmente) ou intencionalmente?
O physical analyzer n trouxe os metadados do arquivo em si
Alguém saberia dizer a origem dos arquivos embedded_1.jpg de iphone?
Pesquisei aqui e vi que em alguns casos são cache do Firefox no iPhone, confere?
Gostaria de responder três perguntas sobre uma imagem desse tipo
1. Os arquivos foram abertos/visualizados?
2. Desde quando o arquivo está no telefone?
3. Foi baixado automaticamente (acidentalmente) ou intencionalmente?
O physical analyzer n trouxe os metadados do arquivo em si
Origem 042 — 12/06/2024 10:57 a 11:24 — Uso do Magnet AXIOM/IEF em artefatos digitais
pessoal, bom dia... existe alguma forma de importar contatos, sms e chamadas em CSV para o Physical Analyzer?
Eu tenho um código aqui antigo que acho que importo. vou procurar. Mas faz tempo que não uso e nem sei se ainda tenho.
O AXIOM faz isso mais fácil.
O AXIOM faz isso mais fácil.
beleza [NOME]... se encontrar fácil aí, eu agradeço... sem pressa
Origem 043 — 12/09/2024 08:53 a 10:51 — Extrações, importação e limitações no XRY
E as extrações/aquisições por Lgup, initroot etc como ficam nessa história?
Se feita por Perito, sem alterações.
O que pode haver questionamento é feito por servidor juridicamente não competente para exames periciais.
O que pode haver questionamento é feito por servidor juridicamente não competente para exames periciais.
A impressão que eu tenho é que o Cellebrite não garante a cadeia de custódia dos dados. A extração é feita num arquivo compactado que pode ser alterado antes de ser processado. Já o XRY garante essa cadeira com o log. Faz sentido?
Eu acho que ele citou o celebrite como exemplo aqui, não quis dizer que só pode ser utilizado o celebrite. Acho que a quebra maior foi a utilização de prints do celular do sujeito
Quando o ufed ou premium fazem a extração, eles geram o arquivo UFD. Nele consta o hash do arquivo zip. Então se tiver alteração no zip, é possível verificar.
Sim. Tbm acho que foi exemplo, não exclusivo. <Mensagem editada>
Existe tbm o hash do arquivo ufd. Então quando altera esse arquivo, tbm gera alterações e flag de alterações quando for processar.
Não cheguei a olhar esse arquivo ufd. Faço a extração, abro no PA, gero o ufdr e apago a extração. Mas ele só gera um hash, não chega a ser um log como é no XRY, né? Porque esse log do XRY vai do começo ao fim, estando no subset e também com opção de estar no relatório forense.
Isso ai é questionável pois Ufed é apenas uma ferramenta comercial dentre diversas outras. Dizer que se não usar Ufed é extração irregular é completamente sem fundamento.
Também creio que a intenção foi exemplificar, porém sinto um certo deslumbre de atores jurídicos em menosprezo a todas demais ferramentas e técnicas ultimamente. Esse é um caso específico, de exames não operado por peritos, mas o que quis levantar é: se não peritos usam cellebrite é então garantido a extração e decodificação sem falhas?
UFED já teve erros grosseiros de MACTimes no passado. Ou de decodificação de ZAP misturando contas antigas com novas.
UFED já teve erros grosseiros de MACTimes no passado. Ou de decodificação de ZAP misturando contas antigas com novas.
O proprio physical analyzer tem suporte para scripts Python e quem quiser pode usar scripts e alterar qualquer evidencia ali dentro e gerar um relatório com os dados alterados. Ai só por ter usado Ufed então é confiável? <Mensagem editada>
Lembro que poucos anos atrás já fizeram um app anti-cellebrite-forensics.
Pessoal tá confiando demais "nas máquinas" :D
🤖
Pessoal tá confiando demais "nas máquinas" :D
🤖
O arquivo da extração (.ufd) tem uma assinatura HMAC que permite checar a integridade. Já o resultado processado, no container .ufdr, não possui.
O [NOME] Forensics, na versão atual, já gera assinaturas HMAC para as coletas, com o plus de serem em arquivos obfuscados.
Pensando nisso, deveria armazenar como contraprova o ufd também ou só o ufdr? Alguém fornece além do ufdr tbm o ufd?
Acredito que deveria sim armazená-lo.
Mas a contra prova é o objeto em si não a extração dele. Porque se o questionado é o processo de extração pra tirar prova só extraindo de novo. Porque o que importa é provar que o dado estava no objeto original e não que o dado estava na extração. Porque pode estar sendo questionado justamente o processo de extração.
Hash só serve pra checar se ouve alteração após a saida da mídia do laudo. Pra ver se o que a perito enviou não foi alterado depois.
Agora quando o que está sendo questionado é o proprio trabalho do perito o hash não ajuda muito
Origem 044 — 20/01/2025 19:04 a 19:04 — Physical Analyzer: decodificação, abertura e relatórios
Boa noite.
Alguém sabe se dá para gerar um relatório pdf sem os arquivos no Ufed PA? Não acho qualquer opção.
Alguém sabe se dá para gerar um relatório pdf sem os arquivos no Ufed PA? Não acho qualquer opção.
Origem 045 — 29/01/2025 10:33 a 12:52 — E até hoje não sei como gerar relatório pdf sem os arquivos no
Bom dia. O Inseyets PA fornece alguma forma de adicionar comentários/Notas nos dados analisados? Antes nas etiquetas era possível colocar comentários, mas parece que removeram 🤷🏻♂️
Acho que ainda tem como adicionar comentários, sim. Depois vejo como e te falo
E até hoje não sei como gerar relatório pdf sem os arquivos no PA, apenas seus metadados. No XAMN tem como...
IMG-20250129-WA0008.jpg (arquivo anexado)
Das free, Copilot, na minha opinião, é melhor do que essas duas. Além de multimodal, ainda é conectada na internet e não fica limitado as informações na época da compilação do modelo base.
Origem 046 — 24/02/2025 13:44 a 13:48 — Physical Analyzer: decodificação, abertura e relatórios
Boa tarde! O PA consegue codificar e visualizar as mensagens do aplicativo UBER? Se não for possível, quais as alternativas para codificar e mostrador o conteúdo das mensagens do bando de dados do UBER?
o Cloud consegue puxar alguma coisa da Uber
acredito que fica tudo online 😬
Entendi. Obrigado!
Origem 047 — 19/03/2025 15:59 a 16:45 — Extração e análise de dados em iPhone/iOS
Pessoal, há algum tempo perguntei aqui no grupo sobre o uso do Physical Analyzer versus o Inseyets PA.
Muitos disseram que continuavam no PA convencional, por conta de lentidão do mais novo.
Continuam assim? Ou migraram pra Inseyets PA?
Muitos disseram que continuavam no PA convencional, por conta de lentidão do mais novo.
Continuam assim? Ou migraram pra Inseyets PA?
Continuo usando o PA convencional pelo seguinte: alguns bugs e faltas de algumas features no inseyets, como, por exemplo, não faz busca textual de datas na barra de busca de imagens e conversas.
Se eu digitar, por exemplo, "02/2025" na barra de busca de imagens , no inseyets não localizará as imagens de fevereiro, enquanto que no PA convencional sim
O mesmo para busca em conversas
O suporte a comentários em etiquetas eles recolocaram agora, mas continua bem bugado
Ele comentou que o parsing no Inseyets PA é superior. Será que para os casos do dia a dia de fato faz diferença?
É, se for superior o parsing, aí num caso sensível, realmente será importante.
Será uma migração forçada. Suporte do PA encerra em 2026. E o inseyets tem a vantagem de sair a atualização dos parsing de forma mais célere, com o decoding engine
Outra coisa que foi comentado, que pra mim foi novidade, é que ao retirar o cartão SIM do dispositivo, após passar alguns minutos, existem bancos de dados de aplicativos que se fecham. Necessitando de novo login posteriormente.
Alguém sabe de exemplos que acontece isso?
Alguém sabe de exemplos que acontece isso?
Outra coisa que notei, celulares de casos mais antigos, de 2019, o PA convencional tende a compreender um pouco melhor que o Inseyets PA.
Notei em conversas de iPhone, não sei se era um bug específico
Aqui fico com receio de ficar muito lento. O melhor que temos é o Z8 com 64 GB de RAM.
Até lá eles corrigem todos os bugs do inseyets 😅
estamos rodando aqui em um Core i9 com 16GB, tu tá no lucro! 😅
Inseyets PA porque a quantidade de extração processada que perdemos por queda de tensão ou crash... Acho um absurdo que só o 10 salve o caso no disco
Origem 048 — 31/03/2025 09:34 a 11:24 — Extração e decodificação de bancos do WhatsApp
Bom dia.
Alguém já teve sucesso no premium com o Xiaomi Redmi A3x (24044RN32L)
Alguém já teve sucesso no premium com o Xiaomi Redmi A3x (24044RN32L)
Bom dia amigos,
Estamos com um Xiaomi Redmi Note 11 (2201117TG) cuja extração foi realizada (UFED 7.72.0.45) porém o WhatsApp está com o bloqueio pelo PIN [SEGREDO] conseguimos trazer nenhuma informação dele. O dispositivo está desbloqueado.
Agradeço qualquer contribuição;
Estamos com um Xiaomi Redmi Note 11 (2201117TG) cuja extração foi realizada (UFED 7.72.0.45) porém o WhatsApp está com o bloqueio pelo PIN [SEGREDO] conseguimos trazer nenhuma informação dele. O dispositivo está desbloqueado.
Agradeço qualquer contribuição;
Bom dia. O bloqueio de pin não deveria interferir na leitura do BD. Verifique se o msgstore está presente e se está legível as mensagens na tabela messages. Caso positivo, verifique a janela de rastreio do PA se não esta com alguma mensagem de erro no parsing do whatsapp. Recentemente pegamos uma versão que está dando como esquema não suportado e o ticket ainda está em análise (já o iped conseguiu fazer a decodificação)
Bom dia. Saiu a atualização para o IOS 18.3.2
Já tá o 16e também.
Origem 049 — 11/04/2025 14:24 a 14:34 — Physical Analyzer: decodificação, abertura e relatórios
<Mídia oculta>
Boa tarde! Alguém tá conseguindo usar o Transcriber 3? Aqui dá erro na execução. Obg
Boa tarde! Alguém tá conseguindo usar o Transcriber 3? Aqui dá erro na execução. Obg
Por sinal, há alguma ferramenta da Cellebrite que faça as transcrições? O Inseyets PA faz?
Origem 050 — 04/05/2025 16:17 a 16:25 — Extração e análise de dados em iPhone/iOS
Boa tarde. Como fazemos para carregar no PA / Inseyets PA um tar manualmente copiado de sysdiagnose de um iOS?
Já te tentou abrir como um projeto especial?
tentei, não fez parsing, só carregou os arquivos
vou carregar no axiom que funciona bem lá, mas fiquei curioso se o PA faria também
Tem que usar um modelo parecido com a origem
Origem 051 — 09/05/2025 12:24 a 12:47 — Extração e análise de mensagens do WhatsApp
alguém já teve problema com o ufdr que não abre as mídias no Reader?
o erro que dá é "specified file does not exist"
o erro que dá é "specified file does not exist"
Ele sempre atualiza automático
Semana passada tive sucesso com um, mas outro nem a pau. Só deu pra fazer lógica avançada e downgrade do whatsapp.
só para os que não tem servidor in loco
Já aconteceu comigo de ter problema com os arquivos z01, z02… estavam com nomes errados e o PA os ignorou. Aí o relatório abria, mas ficava todo capado.
Origem 052 — 09/05/2025 20:27 a 21:50 — Uso do IPED na triagem, indexação e análise
As transcrições de áudio do XRY são boas.
Nem sabia que o XRY fazia
Tem que habilitar a opção na decodificação e demora um pouco... mas o resultado é bom
Estou testando o IPED com whisper, recomendado por [MENCAO] . Estou gostando dos resultados.
Origem 053 — 19/05/2025 10:55 a 10:55 — Physical Analyzer: decodificação, abertura e relatórios
Bom dia! Alguém já conseguiu decodificar mensagens do aplicativo Litmatch?
Origem 054 — 02/07/2025 12:29 a 16:11 — / UFED 10.6 Já reinstalei 3 vezes
Saiu novo PA 10.6 também. Menos bugs talvez? 🤣
Vi que não tem decoding engine novo pra baixar
PA com suporte à transcrições finalmente! Será que tá bom em PT-BR?
<Mídia oculta>
UFED 10.6 Já reinstalei 3 vezes
UFED 10.6 Já reinstalei 3 vezes
A Cellebrite tá piorando na mesma proporção que aumenta o preço 🤡
Cara. Ja vi isso. Tem que remover tudo e reinstalar. 😅
Isso ocorre tbm quando tem update do Windows 🥲
Aqui deu boa assim
Origem 055 — 07/07/2025 08:51 a 12:06 — Extração e decodificação de bancos do WhatsApp
Bom dia. O bug no Inseyets PA 10 de não mostrar as mensagens encaminhadas de whatsapp de iPhones continua nessa versão 10.6... Só aparece o balão de conversa vazio 🤦🏻♂️... O PA 7.71 de fevereiro exibe normalmente essas mensagens...
Bom dia Srs.
Estou com uma extração de um Moto G, tipo Android Backup+Apk Downgrade, que apresenta um contato de WhatsApp com as seguintes características:
1. Conta com um número *DDD 68*
2. WhatsApp User Id com um número *DDD 51*
Ao procurar pelos referidos números no aparelho, só encontro aquele com *DDD 68*, já o contato com *DDD 51* não acho em lugar algum.
Alguém saberia dizer se o _WhatsApp User Id_ pode ser algo relacionado ao WhatsApp Businnes, possuindo uma vinculação com o numero principal de *DDD 68*?
Caso contrário, alguma sugestão sobre a ocorrência?
Estou com uma extração de um Moto G, tipo Android Backup+Apk Downgrade, que apresenta um contato de WhatsApp com as seguintes características:
1. Conta com um número *DDD 68*
2. WhatsApp User Id com um número *DDD 51*
Ao procurar pelos referidos números no aparelho, só encontro aquele com *DDD 68*, já o contato com *DDD 51* não acho em lugar algum.
Alguém saberia dizer se o _WhatsApp User Id_ pode ser algo relacionado ao WhatsApp Businnes, possuindo uma vinculação com o numero principal de *DDD 68*?
Caso contrário, alguma sugestão sobre a ocorrência?
pode ter cadastro o wpp em um numero mas usava na "linha" um outro. As vezes cadastram e jogam o chip fora
olha na configurações do WhatsApp
na partição /data/data/com.whatsapp/shared_prefs
na partição /data/data/com.whatsapp/shared_prefs
tem um arquivo texto com o nome de RegisteredPhone (acho que é assim a grafia)
entendi meu amigo. Vi que há outros contatos dessa localidade, mas não acho essa informação do DDD 51 em outro local, o que me deixou confuso.
Opa, vou verificar agora mesmo. Pode ser o caminho que faltava.
<Mídia oculta>
No PA 7.71 o áudio encaminhado abre normalmente e mensagens de texto encaminhadas também são exibidas corretamente
No PA 7.71 o áudio encaminhado abre normalmente e mensagens de texto encaminhadas também são exibidas corretamente
<Mídia oculta>
No Inseyets PA 10.6 a mensagem de áudio ainda não abrem apesar de exibida. mas agora ao menos aparecem as de texto
No Inseyets PA 10.6 a mensagem de áudio ainda não abrem apesar de exibida. mas agora ao menos aparecem as de texto
O problema maior é quando exporta para ufdr e xls, q aí os balões ficam vazios:
<Mídia oculta>
UFDR 10.6
UFDR 10.6
Isso vem acontecendo desde uns meses já, tem uma discussão lá no mycellebrite e até agora não resolveram 100% isso...
Vou abrir um chamado no suporte, se alguém puder abrir também pra dar uma forcinha pra ver se resolvem logo isso agradeço 👍🏻
Em resumo: Ufdr 7.71 funcionando perfeitamente, PA 7.71 tambem. PA 10.6 não abre áudio encaminhado e UFDR 10.6 não exibe nada encaminhado, apenas balões de mensagem vazios.
iPhones somente creio
Saiu um incremental do decoding engine. Vale a pena tentar <Mensagem editada>
Estou usando a que veio no 10.6
No site não encontrei pra baixar uma incremental
IMG-20250707-WA0002.jpg (arquivo anexado)
👍🏻 baixa no mycellebrite ou em outro site?
Se inscreve pra participar dos betas no próprio site
Origem 056 — 08/07/2025 11:07 a 11:11 — Uso do IPED na triagem, indexação e análise
https://www25.senado.leg.br/web/atividade/materias/-/materia/136804
PEC 76/2019 na ordem do dia
Bom dia, testei aqui no beta 16.2 e também o mesmo problema no PA e nas exportações ufdr PDF XLS html: balões vazios e áudios não abrem... 😕
Vou continuar no PA 7.71 básico por enquanto, ainda está instável esse PA 10...
Caramba, notícia boa
Indexa no iped pra ver se funciona
No PA 7.71 funciona direitinho
Origem 057 — 21/07/2025 10:26 a 12:04 — Olhei o log aqui e tem alguns erros
Olhei o log aqui e tem alguns erros, mas não sei exatamente qual pode ser o causador
Bom dia.
Sabem dizer se os dados de corridas feitas no uber (origem, destino, data/hora, etc) ficam armazenados no aparelho celular ou é necessário pedir essas informações pelo portal do Uber Law Enforcement?
Sabem dizer se os dados de corridas feitas no uber (origem, destino, data/hora, etc) ficam armazenados no aparelho celular ou é necessário pedir essas informações pelo portal do Uber Law Enforcement?
Procura em jornada no PA
Origem 058 — 04/08/2025 17:01 a 17:23 — Extração e análise de dados em iPhone/iOS
Ainda há alguns bugs no inseyets PA e alguns tipos de buscas não existe, uma que sinto falta é buscar uma data diretamente no campo de busca, não necessariamente vai exibir um resultado completo como no PA 7... Há tb um bug em iphones, no qual mensagens encaminhadas de áudio não aparecem, não sei se corrigiram na atualização que teve na semana passada, mas até meio de julho ainda estava bugado...
Vou continuar com PA 7 então
Eu venho experimentando o inseyets mas toda vez me irrito, o bom dele é a cache dos casos, carrega muito rápido depois do caso criado e processado.
Dizem que o Inseyets PA foi um programa novo feito do zero, então muitos bugs... A Cellebrite inventou de reinventar a própria roda que tinha inventado antes...
Não aprenderam com o PA Ultra.
Era tão ruim que até desistiram.
Era tão ruim que até desistiram.
Origem 059 — 03/11/2025 14:25 a 14:25 — Physical Analyzer: decodificação, abertura e relatórios
Sim, PA 7.73 recentemente em algum caso, mas não investiguei a fundo para ver a origem do erro
Origem 060 — 06/01/2026 19:55 a 20:28 — Show. Menos mal. / / Oq vi ate agora são os casos em
Boa tarde.
Obrigado pelas dicas.
Resolvido o problema.
Rodei o inseyets PA num MVME e só o parsing Whats, demorou cerca de 10 hs.
Enfim, resolvido. <Mensagem editada>
Obrigado pelas dicas.
Resolvido o problema.
Rodei o inseyets PA num MVME e só o parsing Whats, demorou cerca de 10 hs.
Enfim, resolvido. <Mensagem editada>
Show. Menos mal.
Oq vi ate agora são os casos em que a memória vai aumentando ate explodir. Esses ate agora nao vi como resolver. Ou aguarda nova versão de PA ou troca de ferramenta. (Já tive casos em que novas versoes resolveram)
Já os casos recentes do PA, nao inseyets, vi que demora um bom tempo no WA e no WA4b. Mas ele faz sem ficar aumentando a RAM
Vi alguns casos tbm no inseyets nos mesmos apps.
Isso ocorre principalmente em celulares bem recentes. Talvez seja algo das versões dos apps.
Enfim, que bom que deu boa. 🤟🏻🤟🏻
Oq vi ate agora são os casos em que a memória vai aumentando ate explodir. Esses ate agora nao vi como resolver. Ou aguarda nova versão de PA ou troca de ferramenta. (Já tive casos em que novas versoes resolveram)
Já os casos recentes do PA, nao inseyets, vi que demora um bom tempo no WA e no WA4b. Mas ele faz sem ficar aumentando a RAM
Vi alguns casos tbm no inseyets nos mesmos apps.
Isso ocorre principalmente em celulares bem recentes. Talvez seja algo das versões dos apps.
Enfim, que bom que deu boa. 🤟🏻🤟🏻
Origem 061 — 08/01/2026 10:10 a 11:21 — Uso do IPED na triagem, indexação e análise
Senhores, muito bom dia, o teor das mensagens está no sqlite, e nem o PA antigo nem o Inseytes PA, nas suas últimas versões, conseguem encontrar essa conversa que eu marquei no print do DB Browser, eles só conseguem encontrar essas quatro ligações, e o chat com esse contato é enorme, alguém já se deparou com uma situação parecida ??
Fui pesquisar o status, que vi que são diferentes, mas não tem nada a ver...
chegou a abrir os "backups" do msgtore.db ?
procura lá pra ver
Esse print do DB Browser é do msgstore, obtido a partir da extração, as mensagens estão lá, bonitinhas, certinhas, e os PAs não conseguem enxergar.
para não depender do PA
eu criei um programa meu mesmo, que junta todos esses msgstore
e exporta as conversas em html (usei como base a exportação daquele outro programa o https://github.com/andreas-mausch/whatsapp-viewer)
eu criei um programa meu mesmo, que junta todos esses msgstore
e exporta as conversas em html (usei como base a exportação daquele outro programa o https://github.com/andreas-mausch/whatsapp-viewer)
Ferramenta de milhões com "milhões" de problemas.
Não é 100% confiável!
Bom dia. Alguém tem a configuração de como processar o UFDR no IPED sem duplicar os arquivos?
Se der abre um chamado pra eles resolverem isso, é uma falha séria, precisam corrigir
Desabilita o parser de zap, para carregar só as mensagens do ufdr já processadas
Conf/parsersConfig.txt
Desculpe, é em conf/ParsingTaskConfig.txt
Origem 062 — 15/01/2026 11:13 a 12:16 — Uso do IPED na triagem, indexação e análise
to com um caso parecido, no PA aparece o telefone, mas no IPED vem só o [MENCAO] alguém ja contornou isso?
https://atendimento.tecnospeed.com.br/hc/pt-br/articles/[CNPJ]-Lid#:~:text=O%20%40lid%20(Linked%20ID),seu%20n%C3%BAmero%20em%20determinados%20contextos.
até 1h atrás eu tb não sabia o que era... 😟
STK-20250112-WA0003.webp (arquivo anexado)
Origem 063 — 05/03/2026 08:41 a 08:42 — Extração e análise de mensagens do WhatsApp
Já foi pior nas primeiras versões. Tinha vez que vc estava marcando mensagens e ele operava algum refresh depois de alguns minutos na interface e a conversa "scrollava" de volta para o início do bate-papo.
caramba... passei pra ele, pq o PA já não estava parseando o whatsapp de algumas extrações... mas tá difícil... acho que vou gerar reader e trabalhar no reader ou no iped pra analisar
ou no reader tbm fica nessa lentidão?
No reader eu acho que fica melhor
Origem 064 — 13/03/2026 11:13 a 11:28 — Uso do IPED na triagem, indexação e análise
Pessoal, no PA existe alguma sintaxe que permita fazer busca nas imagens por varias palavras chave de uma vez?
No IPED dá pra usar os OR da vida...
Talvez o [MENCAO] saiba
Comprei um celular novo pra minha filha pra pegar o phone 11 dela e arrumei um Android pra aprender o [NOME]... ai agora vai ser pago...
Será mensalidade ou valor único?
A versão que vc ja tem vai continuar funcionando normalmente
Ainda vamos estudar isso
Origem 065 — 16/03/2026 17:19 a 17:27 — Physical Analyzer: decodificação, abertura e relatórios
Saiu o PA 7.74, desde setembro não tinha uma nova versão 🙌🏻 <Mensagem editada>
Que top. Será que resolveram aquele problema de decod do WA?
Tem algo no release notes?
Tem algo no release notes?
<Mídia oculta>
Cellebrite Physical Analyzer Release Notes Version 7.74.pdf
Cellebrite Physical Analyzer Release Notes Version 7.74.pdf
Corrigiram muitos bugs, mas não sei se aquele que não fazia parsing do zap.
Origem 066 — 17/03/2026 07:55 a 08:30 — / Pessoal, no meu PC o Inseyets PA não faz a transcrição dos
<Mídia oculta>
Pessoal, no meu PC o Inseyets PA não faz a transcrição dos áudios. Ele marca que o processo começou e terminou, mas não aparece o texto. Isso acontece na 10.8 e tbm na 10.9 que instalei ontem. Algum palpite?
Pessoal, no meu PC o Inseyets PA não faz a transcrição dos áudios. Ele marca que o processo começou e terminou, mas não aparece o texto. Isso acontece na 10.8 e tbm na 10.9 que instalei ontem. Algum palpite?
Precisa ter o CUDA instalado
PA falha silenciosamente se não tiver
<Mídia oculta>
esse aqui?
esse aqui?
Sua gpu precisa ser nvidia
Uma dica que percebemos ontem: se travar no meio a etapa de transcrição no inseyets, fechando o processo whisperapi.exe resolve
Ao fechar outro é aberto e a transcrição retoma no próximo áudio
Origem 067 — 30/03/2026 17:35 a 17:35 — Extração e análise de dados em iPhone/iOS
Boa tarde! Aquele plugin no PA para carregar conversas exportadas do zap continua funcionando? Seriam exportações de iPhone