Wiki CompFor
CFTV, DVR, NVR, vídeo e formatos proprietários

Triagem de vídeos e extração de frames

Categoria: CFTV, DVR, NVR, vídeo e formatos proprietários

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre triagem de vídeos e extração de frames no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, UFED Analytics, IPED, Magnet AXIOM, IEF, Autopsy, FTK. Os termos mais recorrentes neste tema incluem: video, mas, pra, foi, arquivo, videos, mais, data, ele, esse. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Usar extração de frames para triagem, não como substituto do vídeo original.
  • Registrar método de seleção de frames quando usado no laudo.
  • Preservar vídeo integral para conferência.

Ferramentas, sistemas ou marcas citadas

UFEDPhysical AnalyzerUFED AnalyticsIPEDMagnet AXIOMIEFAutopsyFTKBitLockerWhatsAppTelegram

Palavras-chave recorrentes

videomasprafoiarquivovideosmaisdataeleessecasoarquivospeloimagemmuitofazervoualguma

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 21/06/2017 09:21 a 10:02 — Triagem visual de imagens e vídeos no IPED

21/06/2017 09:21 · Membro 0020
Pessoal alguém conhece algum software, de preferência free, que pegue um arquivo de video e faça a exibição de vários frames aleatório, tipo início meio e fim semelhante ao que o ief faz? Se é que vocês me entenderam...
21/06/2017 09:44 · Membro 0012
O IPED faz isso
21/06/2017 09:50 · Membro 0021
Esse é contínuo e não aleatório.
21/06/2017 10:00 · Membro 0020
Obrigado pessoal vou testar todas as opções
21/06/2017 10:02 · Membro 0016
O iped é muito bom para isso, além de ser extremamente rápido

Origem 002 — 24/03/2018 06:06 a 06:06 — Elaboração de laudo e relatório técnico pericial

24/03/2018 06:06 · Membro 0020
É só apagar os vídeos pornográficos, sem interesse pericial, e constar no laudo kkk

Origem 003 — 12/04/2018 09:31 a 09:40 — Uso do Magnet AXIOM/IEF em artefatos digitais

12/04/2018 09:31 · Membro 0012
Bom dia, pessoal!
Alguém já examinou um disco de NVR?
Estou com um que possui duas partições, uma ext2 e outra não reconhecia ( está como Linux Native).
Obs.: Não enviaram o equipamento NVR, apenas o HD.
Gerei a imagem do disco, processei no ftk, IEF, foremost e photorec, mas não consegui recuperar os arquivos de vídeo solicitados.

Com o DVR examiner conseguimos exibir os vídeos, porém com uma tarja (versão trial) e alguns não são permitidos exportar.

Alguma sugestão para resolver esse caso?
12/04/2018 09:37 · Membro 0020
Se tiver acesso ao HEX do arquivo do dvr examiner, identifique o header do cabeçalho do arquivo e pegue a imagem do disco e crie um caso no ftk fazendo um processamento de carve específico para o header observado na outra ferramenta.
12/04/2018 09:38 · Membro 0015
N tem como descobrir nem o modleo do dvr?
12/04/2018 09:40 · Membro 0020
Header do cabeçalho foi ótimo kkk

Origem 004 — 04/05/2018 07:42 a 09:00 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

04/05/2018 07:42 · Membro 0058
Ótimo, vou correr atrás desse cabo p ver se resolve meu caso. Muito obrigado!
04/05/2018 08:53 · Membro 0057
Bom dia pessoal, algum Estado está fazendo extração jtag ou ISP? (Vi um vídeo da policia técnica do Ceará, acho q estão usando JTAG, correto?)
04/05/2018 08:54 · Membro 0003
No Ceará não temos.
04/05/2018 09:00 · Membro 0057
Opa, desculpa, confundi aqui, o vídeo é de Rondônia.

Origem 005 — 10/05/2018 11:16 a 11:41 — Triagem visual de imagens e vídeos no IPED

10/05/2018 11:16 · Membro 0048
Kali tb é bom, baseado no debian, mas acho mais focado na parte de redes
10/05/2018 11:18 · Membro 0015
a intenção é so acessar os arquvios do HD e poder abrir imagem, video e audio
10/05/2018 11:19 · Membro 0015
e que tenha boa usabilidade
10/05/2018 11:27 · Membro 0045
O [NOME] e o Deft são bons, o Deft é mais amigável pra montar e desmontar as unidades, mas o [NOME] tem mais ferramentas e mais codecs, inclusive é no [NOME] que o desenvolvedor do Iped, colega da PF, utiliza o iped.
10/05/2018 11:28 · Membro 0020
Se a máquina estiver ligada vou rodar o Led a partir do pendrive, se estiver desligado vou usar alguma solução com bloqueador de escrita.
10/05/2018 11:32 · Membro 0045
Não precisa de bloqueador, tanto o Deft quanto o [NOME] conseguem montar as unidades como somente leitura.
10/05/2018 11:35 · Membro 0015
li que o [NOME] automaticamente ja inicia com as unidades montadas somente leitura
10/05/2018 11:41 · Membro 0045
Na verdade nenhum dos dois, eu trabalho com os dois aqui, nenhum monta nada automático.

Origem 006 — 17/05/2018 10:42 a 14:39 — Conexão USB, ADB e diagnóstico de porta em Android

17/05/2018 10:42 · Membro 0057
Ué, pq? Procedimento bem simples... Já desmontamos vários aqui. Para carregar a bateria interna diretamente , para trocar conector USB do aparelho...
17/05/2018 10:43 · Membro 0057
Nunca tivemos problemas. Além disso, estes procedimentos possibilitaram extrações q não teriam ocorrido sem eles
17/05/2018 10:48 · Membro 0034
Ainda não tenho os skills necessários para desmontagem de celular. Esses dias tentamos ver como desmontava um iPhone que tava com o conector USB estragado, vimos uns vídeos na Internet, mas não tivemos coragem.
17/05/2018 10:49 · Membro 0027
Gostaria de saber se possuem algum POP de exame de Informática forense local. Que possam compartilhar para ajudar a elaborar o nosso?
17/05/2018 10:53 · Membro 0021
Pode informar as ferramentas usadas e os procedimentos? Tem algum manual, lista ou vídeo passo a passo?
17/05/2018 11:02 · Membro 0057
Geralmente vejo no YouTube... Temos chaves de precisão, ventosa e aqueles plásticos pra destravar as partes plásticas de encaixe (mas dá certo cartão, tipo do o SIM chip do ufed tb)
17/05/2018 11:04 · Membro 0057
Tem alguns modelos que precisa remover a tela, aí tem uns vídeos que o cara aquece a tela do aparelho pra tirar a cola. Esses não fazemos pq tem uma boa chance de quebrar a tela, já que o equipamento correto seria uma mesa com aquecimento e sucção...
17/05/2018 11:05 · Membro 0057
Mas a maioria é bem tranquila de desmontar
17/05/2018 11:13 · Membro 0034
É. O que vi do iPhone tinha isso de usar aquecedor para tirar a cola e corria o risco de danificar o aparelho. Por isso, não animei fazer.
17/05/2018 11:13 · Membro 0034
Gente, obrigado pela ajuda com o Power Off. Infelizmente, tentei algumas vezes aqui, mas o UFED não consegue chegar até o fim. Ele fica aguardando o celular rebootar e depois de muito tempo ele dá "impossível acessar a memória...". Mas, pelo menos, fiz o que pude.

Abraços.
17/05/2018 11:38 · Membro 0008
Bah... Que pena... Não era pra ser 😅
17/05/2018 11:40 · Membro 0034
Pois é. Pelo menos, tem um MicroSD de 64GB pra brincar.
17/05/2018 11:40 · Membro 0021
Que pena mesmo! O importante que você fez o melhor e muitas vezes não conseguiremos desbloquear, extrair ou aplicar root no dispositivo. Sempre haverá alguma limitação ou impedimento.
17/05/2018 12:01 · Membro 0048
extração com cabo 130 de primeira é raro. GEralmente na quinta tentativa que vai
17/05/2018 12:06 · Membro 0034
Hehehehe! Vou tentar mais algumas vezes então.
17/05/2018 12:08 · Membro 0021
Já consegui de primeira ou no máximo na segunda tentativa.
17/05/2018 12:24 · Membro 0003
Teve um que eu consegui na duzentézima quinquagésima segunda
17/05/2018 12:25 · Membro 0003
Passei uma manhã e uma tarde tentando
17/05/2018 12:28 · Membro 0021
Persistência em primeiro lugar. Uma hora o dispositivo "cansa" e deixa extrair. Hehehehe
17/05/2018 14:22 · Membro 0010
em sc foi usado o LED
17/05/2018 14:22 · Membro 0023
Aqui tinham 6 alvos. Somente em 2 o LED acusou..
17/05/2018 14:23 · Membro 0023
Outros 4 eram “falsos positivos”
17/05/2018 14:25 · Membro 0023
Teve um que deu hash conhecido, mas era um arquivo q não tinha nada a ver
17/05/2018 14:28 · Membro 0023
Achei que as investigações da senasp foram meio precipitadas, uma vez que a informação que tinhamos foi que os alvos baixaram mais de 8 mil arquivos..
17/05/2018 14:30 · Membro 0001
Aqui encontramos muito material
17/05/2018 14:31 · Membro 0001
E teve um caso que tinham vários arquivos zipados com senha
17/05/2018 14:31 · Membro 0001
O colega usou o iped direto no HD
17/05/2018 14:31 · Membro 0001
E encontrou muita coisa
17/05/2018 14:35 · Membro 0003
O que eu peguei o alvo tinha baixado 21 vídeos ontem à noite
17/05/2018 14:37 · Membro 0004
É... o meu só achei com iped
17/05/2018 14:38 · Membro 0034
Foi para esse caso que vim aqui há alguns dias perguntar sobre algum manual para os Peritos que não eram especialistas. Em Minas foram 64 alvos em 30 cidades. Só pessoal de BH, especializado, foi em 20 alvos, se não me engano. Não sei se usaram o LED não. Na minha cidade não teve operação, então não fui.
17/05/2018 14:39 · Membro 0020
Aqui no Ceará ouvi o relato de um colega de que o Led não encontrou nada e o nudetective encontrou arquivos de pornografia infantil

Origem 007 — 17/05/2018 14:43 a 15:38 — Cálculo e verificação de hashes em grande volume de arquivos

17/05/2018 14:43 · Membro 0023
Seria interessante cruzar essas informações e quem sabe gerar um pop pra esses casos que me parece que vão virar frequentes..
17/05/2018 14:43 · Membro 0023
De operações contra pedo
17/05/2018 14:44 · Membro 0032
alguém poderia criar um KFF das imagens encontradas neste caso
17/05/2018 14:44 · Membro 0032
para consulta e incremento de todas Unidades
17/05/2018 14:46 · Membro 0020
Pois é a máquina foi apreendida, vamos confrontar essas informações
17/05/2018 14:47 · Membro 0061
Aqui em MT fomos tbem, mas a maior parte dos casos era gente q compartilhava internet
17/05/2018 14:48 · Membro 0061
Então achamos pouquíssima coisa nos computadores analisados
17/05/2018 14:50 · Membro 0046
Aqui no ES apreenderam as máquinas e mandaram pra sede pra perícia e estamos emitindo laudos preliminares. Não teve perito na hora da operação
17/05/2018 15:07 · Membro 0046
Pois eh... uma análise superficial, ordens da chefia
17/05/2018 15:10 · Membro 0061
Aqui em MT estão insistindo muito para q sejam emitidos laudos preliminares, mas não estamos fazendo
17/05/2018 15:10 · Membro 0061
Fazemos laudo de local quando constatado algo
17/05/2018 15:11 · Membro 0023
A gente fez laudo de local tb.
17/05/2018 15:11 · Membro 0008
Mas olha a trabalheira que é fazer um "preliminar" de informática
17/05/2018 15:11 · Membro 0008
Digo... Não faz sentido...
17/05/2018 15:11 · Membro 0023
Dai encheram o saco por causa desse preliminar, dai a gente nomeou preliminar de local
17/05/2018 15:11 · Membro 0008
Você vai ter que analisar de qualquer jeito... E o trabalho pra se chegar até o ponto de análise muitas vezes é a parte mais difícil
17/05/2018 15:18 · Membro 0001
O laudo é para garantir o flagrante
17/05/2018 15:18 · Membro 0001
Materializar o flagrante
17/05/2018 15:18 · Membro 0001
Nos nossos alvos aqui todos estavam com material explicito, praticamente
17/05/2018 15:18 · Membro 0030
Acho interessante!
17/05/2018 15:19 · Membro 0030
Aqui também fizemos laudo de local
17/05/2018 15:21 · Membro 0001
Conversei com um colegaa da PF e ele disse que lá fazem um laudo de busca e apreensão
17/05/2018 15:21 · Membro 0001
Foi esse nome que usamos aqui
17/05/2018 15:23 · Membro 0010
ele poderia disponibilizar esse modelo [NOME]?
17/05/2018 15:23 · Membro 0021
Aqui terminamos a operação às 19h20. Só encontremos indícios, os arquivos estavam excluídos. Levamos para a seção para realizar recuperação dos dados por filtro de imagem e vídeo pra acelerar o processo. Ficou executando e depois o exame foi continuado às 22h30. Só foi concluído o laudo às 12h40min pra garantir o flagrante.
17/05/2018 15:25 · Membro 0021
Foi encontrado uma imagem e um vídeo. Posteriormente será usado o FTK para encontrar novas evidências.
17/05/2018 15:29 · Membro 0010
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente
17/05/2018 15:29 · Membro 0010
isso que dá flagrante
17/05/2018 15:30 · Membro 0010
se o cidadão tem o arquivo latente ..... APF
17/05/2018 15:30 · Membro 0010
se tem apagado ..... instaura inquérito e manda pro laboratório pra investigar.
17/05/2018 15:32 · Membro 0010
O objetivo dessa ação ai era uma busca de arquivos latentes, para se encontrado, o laudo seria base para o APF
17/05/2018 15:32 · Membro 0010
até pq arquivo apagado, em tese, nao configura esse delito ali .......
17/05/2018 15:32 · Membro 0010
outra coisa que poderia ser constatado no local
17/05/2018 15:33 · Membro 0010
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente:
17/05/2018 15:33 · Membro 0001
Conversei isso com a delegada. Ela disse que o crime, de acordo com o EFA, é por aquisição, armazenamento e compartilhamento.
17/05/2018 15:33 · Membro 0010
caso fosse encontrado algum program P2P ou troca de mensagens no celular
17/05/2018 15:33 · Membro 0001
Logo, mesmo apagado, em grande quantidade, configuraria o APF
17/05/2018 15:33 · Membro 0001
Enfim, essa decisão é dela
17/05/2018 15:34 · Membro 0010
ahhh sim sim ai concordo [NOME]
17/05/2018 15:35 · Membro 0010
tudo vai da caracterização do crime, mas pra que isso seja realizado de forma correta ..... teria que enviar o equipamento para o laboratorio para poder determinar a conduta do agente.
17/05/2018 15:35 · Membro 0010
no caso ....... todos sabemos que demora.
17/05/2018 15:36 · Membro 0021
Sim. Infelizmente a Delta realizou um flagrante sem ter provas só indícios. No final ela percebeu a falha que cometeu e pediu que fizesse a recuperação. Tudo isso foi no intuito tira lá do imprensado que ela mesmo entrou.
17/05/2018 15:36 · Membro 0010
estamos falando daquele momento, na busca e apreensão ....
17/05/2018 15:37 · Membro 0010
não achou, manda pro laboratório pra uma analise mais detalhada
17/05/2018 15:38 · Membro 0010
por isso o LED é importante, ele ja faz essa busca no computador e ja separa os hash conhecidos
17/05/2018 15:38 · Membro 0010
busca só de arquivos latentes

Origem 008 — 06/06/2018 10:37 a 10:48 — Recuperação de mensagens e vestígios do WhatsApp

06/06/2018 10:37 · Membro 0045
Senhores bom dia. Por acaso alguém já precisou reproduzir algum áudio no formato “opus” recuperado do WhatsApp, que porventura não tenha sido recuperado completo ??. Como se tratam de fragmentos o Player identifica a assinatura mas não consegue reproduzir por que os arquivos não estão completos. Alguém já conseguiu reproduzir esse tipo de arquivo, caso eles não estejam completos ?? Já tentei importar no audacity, converter em outro formato, mas ainda não tive sucesso, alguém já enfrentou alguma dessas ??
06/06/2018 10:43 · Membro 0034
Não tive experiência específica com OPUS, mas já consegui dezenas de vezes reproduzir áudios e vídeos incompletos com o mplayer em linha de comando.
06/06/2018 10:43 · Membro 0034
Se eu não me engano, eu uso a opção -idx
06/06/2018 10:46 · Membro 0048
kmplayer é bem tolerante com arquivos parciais.
06/06/2018 10:48 · Membro 0015
Bom dia, ja recuperei audio opus mas nao reproduzia tambem. Não tentei recuperar pois todos tinham tamanho zerado

Origem 009 — 11/06/2018 11:32 a 13:04 — Quando é gerado um relatório do Reader e gravado numa mídia, depois sempre

11/06/2018 11:32 · Membro 0009
Pessoal, quando é gerado um relatório do Reader e gravado numa mídia, depois sempre abre em inglês. Alguma solução pra isso? Pro usuário final não ter q tá mudando o idioma para português...
11/06/2018 11:43 · Membro 0013
Sempre muda para inglês. E tem umas opções que desabilitam também.
11/06/2018 11:44 · Membro 0013
Tipo o logo, sha256
11/06/2018 11:45 · Membro 0063
Pessoal alguém já usou defraser
11/06/2018 11:46 · Membro 0063
Ele restaura vídeos fragmentados
11/06/2018 12:15 · Membro 0037
Você está se referindo à versão com o plug-in H264?
11/06/2018 12:38 · Membro 0063
Não sei, entendi que restaura vídeos de diversos formatos
11/06/2018 12:44 · Membro 0037
[MENCAO] a versão _free_, ie, sem suporte ao H.264 não é muito interessante, considerando que os DVRs atuais trabalham com esse codec. Quanto à capacidade de restauração, mesmo com a versão com o citado plug-in, não logrei êxito nos poucos testes que fiz.
11/06/2018 12:52 · Membro 0034
Bom dia.

Alguém sabe de caso de solicitar informações de conta do Facebook/Instagram? Eles dão pra qualquer polícia, só com ordem judicial ou nem isso?
11/06/2018 13:00 · Membro 0041
Estou fazendo um exame nesse momento sobre liga de acesso a um perfil do Facebook. A empresa encaminhou os dados por meio de ordem judicial.
11/06/2018 13:01 · Membro 0041
Encaminhou os dados básicos da conta e os IPs de cada acesso. Com essa informação, chegamos na Lan House, que nos passou seus logs
11/06/2018 13:01 · Membro 0034
Foi ordem simples? Tipo: juiz estadual mesmo?
11/06/2018 13:02 · Membro 0041
Cruzamos as informações e chegamos em 12 suspeitos
11/06/2018 13:04 · Membro 0041
Sim, foi um juiz de uma cidade do interior q requisitou os dados ao Facebook e mandou aqui pra pericia

Origem 010 — 13/07/2018 06:33 a 07:35 — Triagem visual de imagens e vídeos no IPED

13/07/2018 06:33 · Membro 0055
Prezados, bom dia!

Estou com um caso de investigação de pedofilia, onde a autoridade deseja saber se o indivíduo fazia compartilhamento (já foi constatada a armazenagem de vídeos e imagens). Já verifiquei que o emule é o Utorrent estão instalados, porém foram customizadas as pastas de download/upload. Gostaria de saber dos senhores se podemos analisar algo mais além dos arquivos de configuração dos aplicativos? Teria mais alguma ferramenta específica além do IEF/Axiom, FTK e IPED?

Agradeço desde já!
13/07/2018 07:32 · Membro 0041
O IEF traz uma relação dos arquivos P2P compartilhados e o tipo de rede.
13/07/2018 07:35 · Membro 0041
Ele menciona se o usuário fez o download do arquivo com sucesso e se o arquivo estava disponível para compartilhamento.

Origem 011 — 25/07/2018 20:31 a 20:45 — Dentro de outro projeto do Recod, o DeepEyes, foi desenvolvido um algoritmo capaz

25/07/2018 20:31 · Membro 0009
Dentro de outro projeto do Recod, o DeepEyes, foi desenvolvido um algoritmo capaz de analisar filmagens em baixa resolução para identificar placas de carros. A ferramenta estuda frame a frame dos vídeos e pesca de cada um deles tr... - Veja mais em https://tecnologia.uol.com.br/noticias/redacao/2018/07/25/csi-nacional-algoritmo-brasileiro-quer-investigar-crimes-e-acidentes.htm?cmpid=copiaecola
25/07/2018 20:45 · Membro 0034
Esse Deepeye tá disponível? Há algum similar? Eu tentei usar o Registax dezenas de vezes, mas só consegui algo satisfatório uma única vez.

Origem 012 — 08/08/2018 11:27 a 11:34 — Extração e análise de dados em iPhone/iOS

08/08/2018 11:27 · Membro 0008
Ah não... Era o que faltava:
08/08/2018 11:27 · Membro 0008
Tô 💯 palavras.. Apagar vídeo é pro perito fazer?
08/08/2018 11:29 · Membro 0019
Aqui em Criciúma veio um pedido do MP pra que o perito realize "perícia" consistente em converter um arquivo de vídeo para o formato mp4 para rodar no PC do MP
08/08/2018 11:30 · Membro 0003
Já solicitaram para gente algo parecido com isso também. Devolvemos prontamente.
08/08/2018 11:31 · Membro 0002
Rapaz, isso é no mínimo estranho...
08/08/2018 11:31 · Membro 0008
Kkkkk... Podiam inventar um programa que lesse vários formatos de vídeo, né... Ah, não, pera... Já existe... VLC
08/08/2018 11:33 · Membro 0040
Aqui chegou uma perícia para apagar todas as informações existentes em um iphone de forma que não sejam possiveis de ser recuperadas...
08/08/2018 11:33 · Membro 0040
Só faltou o juiz falar, reseta esse celular ai do preso pra eu utilizar em benefício próprio ou dos meus chegados...
08/08/2018 11:34 · Membro 0003
A áudio e vídeo daqui faz isso.
08/08/2018 11:34 · Membro 0040
Boa, devolver só as cinzas

Origem 013 — 11/09/2018 23:03 a 23:18 — Triagem de vídeos e extração de frames

11/09/2018 23:03 · Membro 0008
para [EMAIL] por favor

e
[EMAIL]

Grato desde já!
11/09/2018 23:15 · Membro 0045
Senhores boa noite, acabei de reenviar os links, por favor desconsiderem o primeiro, o arquivo é o SM-G570M_comsenha.rar, senha 570
11/09/2018 23:17 · Membro 0045
Obrigado [NOME] e Danilo pelo alerta. Já estou fazendo um vídeo aqui pra ilustrar um passo a passo, sei que a maioria já deve saber como faz, mas praqueles que porventura ainda não fizeram nenhum, o vídeo vai economizar algum tempo de pesquisa.
11/09/2018 23:18 · Membro 0001
muito obrigado [NOME]!

Origem 014 — 12/09/2018 01:34 a 01:39 — Aqui estão, desculpe a didática

12/09/2018 01:34 · Membro 0045
Senhores aqui estão, desculpe a didática mas foi tudo de improviso, no entanto trata-se de um caso real ilustrando a técnica, que pode ser útil pra algum dos senhores. Dividi em três pra não ficar um arquivo muito grande e pq precisava de pausa entre uma etapa e outra também.
12/09/2018 01:36 · Membro 0045
<Mídia oculta>
Vídeo 1/3
12/09/2018 01:38 · Membro 0045
<Mídia oculta>
Vídeo 2/3
12/09/2018 01:39 · Membro 0045
<Mídia oculta>
Vídeo 3/3

Origem 015 — 12/09/2018 08:07 a 08:07 — Extração e análise de mensagens do WhatsApp

12/09/2018 08:07 · Membro 0045
Senhores muito bom dia, é com muito pesar que informo que os três vídeos vieram incompletos, o WhatsApp podou todos três pra 1:37, sendo que o primeiro tem 6 minutos, o segundo 11 e o terceiro 7, e o pior de tudo é que até as cópias que estão na galeria do celular também foram limitadas. Resultado, vou ter que gravar tudo de novo, pra mandar pro Google, portanto, DESCONSIDEREM ESSES TRÊS VÍDEOS QUE MANDEI, ESTÃO INCOMPLETOS, por favor me desculpem. Obrigado Farias, pelo aviso, vou tentar fazer ao longo do dia, esses três gravei ontem à noite, pq é o momento que fica mais tranquilo no IC, e que rende mais.

Origem 016 — 11/10/2018 08:39 a 09:08 — São 10, sendo que é um setor que engloba também as demandas de

11/10/2018 08:39 · Membro 0055
Bom dia, [NOME]! São 10, sendo que é um setor que engloba também as demandas de fonética.
11/10/2018 08:42 · Membro 0020
Obrigado, aqui são dois peritos dedicados para demandas áudio e vídeo e seis dedicados a informática Forense. Estamos tentando fazer um quadro comparativo com os institutos de perícia da região nordeste. Claro que em número de homicídios ninguém barra o Ceará
11/10/2018 09:08 · Membro 0056
Vale lembrar que são 10 mas 6 começaram apenas agora em fevereiro de 2018! Nos anos anteriores eram 4 ou 5 pra atender a demanda
11/10/2018 09:08 · Membro 0055
Verdade, [MENCAO] ! 👍🏻

Origem 017 — 24/01/2019 17:05 a 17:49 — Compatibilidade e extração em dispositivos Samsung Galaxy

24/01/2019 17:05 · Membro 0020
Fez carving pelo ftk?
24/01/2019 17:12 · Membro 0057
Não, o pessoal aqui me ajudou a fazer um código em C pra exportar os vídeos com o período q precisava
24/01/2019 17:15 · Membro 0020
Submeti esse caso no programa do [NOME], mas esse foi feito pra dhfs2
24/01/2019 17:19 · Membro 0020
https://www.redhat.com/pt-br/campaign/red-hat-free-courses
24/01/2019 17:19 · Membro 0020
pra quem quiser lembrar os tempos de CPD ... é free
24/01/2019 17:48 · Membro 0023
Alguém já extraiu um Samsung Z200M?
24/01/2019 17:49 · Membro 0023
Ele não usa android..
24/01/2019 17:49 · Membro 0023
Um tal de Tizen 2.4

Origem 018 — 01/02/2019 17:33 a 18:23 — Cálculo e verificação de hashes em grande volume de arquivos

01/02/2019 17:33 · Membro 0026
Boa tarde. Algum IC já recebeu solicitação da justiça para que os arquivos anexos dos laudos fossem compatíveis com o sistema de armazenamento deles?
01/02/2019 17:37 · Membro 0032
em que sentido? pq além de textos planos existem muitos formatos diferentes de arquivo que enviamos em mídia óptica junto ao laudo
01/02/2019 17:38 · Membro 0032
eles estão pedindo que os vídeos sejam em determinados Codec e contêiner? (por exemplo)
01/02/2019 17:38 · Membro 0026
não só videos. qquer arquivo enviado que seja prova.
01/02/2019 17:39 · Membro 0019
Querem que os arquivos sejam compatíveis com o SAJ para upload?
01/02/2019 17:39 · Membro 0032
entendi. falei de vídeo pra mostrar que tem variedade de formato pra caramba
01/02/2019 17:40 · Membro 0019
Ainda estão com essa bobagem?
Com uma das varas de Tubarão eu liguei pra lá e expliquei que era inviável. Que era muita informação para upload e que mais simples e comum aqui no sul era o arquivamento das mídias na secretaria da vara, com o empréstimo ou cópia delas para as partes
01/02/2019 17:41 · Membro 0019
Levei mais de.meia hora pra pessoa entender. Mas adotaram a sugestão
01/02/2019 17:41 · Membro 0026
ja explicamos por oficio, mas estao insistindo.
01/02/2019 17:42 · Membro 0019
Pessoalmente não chegaram a tentar?
O saj aceita poucos formatos, que eu saiba...
01/02/2019 17:42 · Membro 0019
Um relatório do ufed não vai dar nunca
01/02/2019 17:43 · Membro 0032
já teve pedido de "cliente" aqui no DF pra enviar todas as informações "formato Excel"
01/02/2019 17:44 · Membro 0030
Tentamos sim! O Giulli foi lá na Vara e explicou pessoalmente! Eles fingiram que entenderam, mas continuam devolvendo os laudos com as mídias, exigindo que coloquemos TUDO em formato compatível com o SAJ
01/02/2019 17:45 · Membro 0030
E que cada arquivo deve ter até 20 Mb (sic) 🤭
01/02/2019 17:45 · Membro 0032
aí só uma reunião em nível de direção entre as instituições pra esclarecer
01/02/2019 17:45 · Membro 0030
Já explicamos, desenhamos, e daqui a pouco seremos presos
01/02/2019 17:45 · Membro 0019
Sim. Esse é um dos problemas
01/02/2019 17:47 · Membro 0019
Mas eu sinceramente não entendo o pq de não aceitarem
01/02/2019 17:47 · Membro 0030
A gente cumpre os prazos e eles não aceitam os laudos
01/02/2019 17:49 · Membro 0019
Um argumento que usei (pra trabalhar o psicogico deles) foi dizer que só essa vara estava incomodando que todas as outras aceitavam e conseguiam utilizar numa boa. Tanto que nunca tinha ouvido pedido igual
01/02/2019 17:49 · Membro 0019
Ela me disse "verdade? Vou ver com o doutor".
Aí deu certo
01/02/2019 18:02 · Membro 0044
Putz. O jeito é pedir dilação generalizada informando que o trabalho agora é converter arquivos.
01/02/2019 18:04 · Membro 0030
Vamos montar uma equipe especial pra conversão de arquivos
01/02/2019 18:10 · Membro 0044
Este procedimento não encontra respaldo no POP da SENASP, na verdade vai de encontro a este, vez que há previsão para geração de hash
01/02/2019 18:11 · Membro 0030
Exato! Já foram feitos alguns ofícios discursando sobre o hash tb
01/02/2019 18:11 · Membro 0044
Já tentaram falar com o MP?
01/02/2019 18:23 · Membro 0048
Uma solução que vem aparecendo é disponibilizar online, mas isso requer um infra muito boa e cara

Origem 019 — 01/02/2019 21:20 a 22:05 — Cálculo e verificação de hashes em grande volume de arquivos

01/02/2019 21:20 · Membro 0003
https://techcrunch.com/2019/02/01/facebook-google-scandal/amp/
01/02/2019 21:34 · Membro 0023
Vez em quando nós criamos uma conta de armazenamento em nuvem dessas gratuitas, compactamos todos os arquivos em um 7z, encriptado, e com senha, e disponibilizamos o link pra donwload..
01/02/2019 21:34 · Membro 0023
No laudo vai o hash do arquivo compacto..
01/02/2019 21:55 · Membro 0040
Se fosse eu pegava todos os Arquivos de vídeo, inclusive os corrompidos e gravava em um HD de 2 TB e mandava ele cheio de vídeos para eles. Iam ficar 5 anos upando esses vídeos no sistema
01/02/2019 21:55 · Membro 0040
Nunca mais iam pedir
01/02/2019 21:57 · Membro 0030
Uma das exigências: não ser criptografado! 🤣
01/02/2019 22:05 · Membro 0023
A criptografia é uma segurança a mais, na verdade.. mas se não exigem, manda sem.. rs

Origem 020 — 03/02/2019 14:31 a 14:33 — Já recebi aqui em MS

03/02/2019 14:31 · Membro 0041
Já recebi aqui em MS, mas falamos que a conversão dos vídeos em outro formato, poderia comprometer a qualidade dos vídeos. Solicitamos que eles realizassem a manutenção do sistema deles para efetuarem uploads de todo tipo de formato de video.
03/02/2019 14:33 · Membro 0041
Passo pelo mesmo drama, [NOME].

Origem 021 — 13/04/2019 11:56 a 13:00 — Extração e análise de mensagens do WhatsApp

13/04/2019 11:56 · Membro 0020
https://www.bbc.com/portuguese/brasil-47825687
13/04/2019 11:57 · Membro 0020
Muito provavelmente o autor do laudo faz parte desse grupo. Caso bastante bizarro segundo a reportagem
13/04/2019 12:00 · Membro 0020
Parabéns aos peritos em informática de MG 👏🏼👏🏼👏🏼
13/04/2019 12:02 · Membro 0051
Tem como passar o nome do arquivo e algumas palavras chaves do conteúdo para acrescentar aqui no procedimento de busca de pedofilia?
13/04/2019 12:04 · Membro 0045
Já achamos um manual desses por aqui também.
13/04/2019 12:25 · Membro 0020
Esse tá manual da SENASP
13/04/2019 12:30 · Membro 0076
O pessoal lá tá achando ruim compartilhar o documento. O caso é que numa das fases do Luz na Infância, um Perito aqui de Minas (não de computação) foi preso com pedofilia no computador dele.
13/04/2019 12:32 · Membro 0076
http://jornaldovalenanuque.com.br/perito-da-policia-civil-que-era-de-nanuque-foi-preso-foi-preso-na-operacao-luz-na-infancia-ii/
13/04/2019 12:37 · Membro 0023
Quem sabe o hash do documento
13/04/2019 12:37 · Membro 0023
Pra por nas bases de identificação de hash
13/04/2019 12:38 · Membro 0051
A questão é não compartilhar, mas disponibilizar palavras chaves que aparecem no documento para a gente inserir nas buscas ou o hash do documento mesmo, mas uma mudança de uma letra e pronto né
13/04/2019 12:44 · Membro 0051
Não faço ideia. No entanto, pdf tem cabeçalhos q são ignoráveis. Pode mudar um valor lá e pronto tb
13/04/2019 12:46 · Membro 0023
Acho válido o hash e suas alterações a medida que forem identificadas.
13/04/2019 12:47 · Membro 0051
poderia ser adicionado na base do LED
13/04/2019 12:47 · Membro 0051
usar o LED para identificar imagens, vídeos e documentos, né
13/04/2019 12:48 · Membro 0051
No caso não vai bastar um hash. Precisa gerar no formato do LED pra adicionar na base
13/04/2019 12:49 · Membro 0023
Mas meu sonho mesmo era uma base de hash desses vídeos comédias de whatsapp, de vídeos e áudios de show de cantor sertanejo, e de memes. Pra usar como ferramenta para exclusão de arquivos inúteis! 😂
13/04/2019 12:50 · Membro 0003
Mas as vezes os vídeos de comédia são bons para dar uma desopilada
13/04/2019 12:50 · Membro 0045
Aqui ele foi achado pelo LED mesmo, com o uso da base de hashs dele mesmo, era um pdf. Já mandamos embora e não guardei nenhuma cópia, um troço asqueroso.
13/04/2019 12:52 · Membro 0082
O led não procurar somente por hash, e o termo pthc pegaria com certeza nele
13/04/2019 13:00 · Membro 0023
A base do led é bem extensa! Fui tirar os hashs pra importar no autopsy, foi uma trabalheira grande..

Origem 022 — 14/06/2019 10:44 a 12:27 — Metadados EXIF/JPEG e individualização de câmera

14/06/2019 10:44 · Membro 0041
Bom dia! Recebi um vídeo com 4 horas de duração. Ele está em formato mp4, mas verifica-se que ele é o resultado de uma edição de vários vídeos. O quesito é: "Verificar se as cenas que constam no vídeo foram gravadas no mês de abril de 2019."
14/06/2019 10:45 · Membro 0041
Eu entendo que não tem como afirmar. O vídeo não tem legenda e verificando o contéudo em hexadecimal. não constam datas.
14/06/2019 10:45 · Membro 0041
Alguém tem alguma outra ideia?
14/06/2019 10:50 · Membro 0037
Bom-dia!
Pela resposta, parece-me, s.m.j, que esgotou a questão.
14/06/2019 10:52 · Membro 0051
Minha estratégia seria analisar as possíveis datas sobre dados, as quais seriam:
- Datas em documentos diversos
- Datas em sistemas de arquivos (mac time)
- Datas em metadados da extensão/container
- Datas impressas na imagem do vídeo
- Condições relativas de tempo. (Por exemplo, vc sabe q determinado objeto foi construído em tal data. Se o objeto está na imagem, o vídeo é pelo menos posterior a data. Se não estiver na imagem, o vídeo é anterior)

Se vc não conseguiu olhando nenhuma delas, então não sei mto o que fazer.
14/06/2019 11:09 · Membro 0075
Esse artigo talvez ajude:
*MP4 Video Authentication Using File Structure and Metadata*
http://digital.auraria.edu/content/AA/00/00/37/64/00001/Hall_ucdenver_0765N_10602.pdf
14/06/2019 11:18 · Membro 0048
recomendo: https://www.dfrws.org/sites/default/files/session-files/pres-video_authentication_using_file_structure_and_metadata.pdf
14/06/2019 11:19 · Membro 0048
inclusive as referências dessa apresentação
14/06/2019 12:15 · Membro 0048
Tb não sei. Sei que a partição de EFI tem vários arquivos de firmware usados no boot e dados das outras partições, mas não sei se tem datas. Tem que ver a especificação da versão desse EFI.
14/06/2019 12:22 · Membro 0051
e tem outro problema tb, é um Mac. A partição principal q teria o SO, só tem uma pasta chamada "Macintosh HD" e dentro dela está o sistema de arquivos do SO. não sei se isso é padrão tb.
14/06/2019 12:26 · Membro 0048
complicado. acho que tem que pesquisar alguma ferramenta de EFI. Acho que no MAC o EFI é meio pró-forma. Ele só faz o emcaminhamento para o boot tradicional
14/06/2019 12:27 · Membro 0048
mas não sei se tem alguma ferramenta que apresente dados da partição e tb se o EFI guarda data de alguma coisa

Origem 023 — 19/06/2019 10:40 a 11:34 — Triagem de vídeos e extração de frames

19/06/2019 10:40 · Membro 0056
Bom dia senhores!

Alguem sabe informar se há uma remota chance de recuperar videos apagados por metodo de sobrescrita de um aparelho DVR?
19/06/2019 10:41 · Membro 0056
Utilizando Softwares pagos apenas?
19/06/2019 10:41 · Membro 0037
Sim, estou me referindo a software proprietário específico (HX-RECOVERY).
19/06/2019 10:42 · Membro 0056
Entendi Danillo! Infelizmente aqui em PE nao temos a licença dele 😓
19/06/2019 10:43 · Membro 0056
Ja conseguiu recuperar dados em casos no seu Estado ?
19/06/2019 10:51 · Membro 0020
Se for dvr intelbras, dhfs2.0 a solução gerada pelo perito [NOME] do RN recupera perfeitamente
19/06/2019 10:53 · Membro 0003
Por método de sobrescrita... pelo nome eu diria que não.
19/06/2019 10:56 · Membro 0051
Estou montando uma especificação de pedido de estação forense aqui e precisava de uma ajuda para não construir um frankstein q não existe ou extremamente caro. Alguém tem alguma já pronta que use o processador [Quad CPU] Intel Xeon Platinum 8180M @ 2.50GHz


https://ark.intel.com/content/www/br/pt/ark/products/120498/intel-xeon-platinum-8180m-processo [ID-CASO]
19/06/2019 11:01 · Membro 0020
Tuso vai depender de quanto tempo o dvr continuou gravando após o fato em apuração. Já consegui em alguns casos recuperar fragmentos de alguns segundos aleatórios de vídeos bem antigos
19/06/2019 11:02 · Membro 0056
Entendi. Vou saber ainda a marca do DVR mas os esclarecimentos de vcs ja me deram um norte!
Muito obrigado!
19/06/2019 11:11 · Membro 0020
https://diariodonordeste.verdesmares.com.br/editorias/seguranca/imagens-recuperadas-mostram-pms-recolhendo-objetos-1.2109818
19/06/2019 11:17 · Membro 0001
[MENCAO] teve alguns casos de sucesso aqui
19/06/2019 11:19 · Membro 0037
Sim, direto, a ferramenta é muito boa, pois é de um chinês e ele está sempre atualizando....
19/06/2019 11:21 · Membro 0037
A ferramenta do [NOME] só serve para DHFS (Dahua File System), presente em Intelbras e outros brands chineses.
19/06/2019 11:24 · Membro 0083
Essa ferramenta está disponível?
19/06/2019 11:26 · Membro 0037
Sim, se fizer uma busca no grupo de e-mail irá achá-la.
19/06/2019 11:34 · Membro 0056
Show de bola gente, muito obrigado pelo retorno!

Origem 024 — 20/06/2019 11:00 a 11:08 — Ou indicar outras fontes de conhecimento

20/06/2019 11:00 · Membro 0041
Ou indicar outras fontes de conhecimento?
20/06/2019 11:02 · Membro 0020
Colega, recebi esse feedback de um perito de áudio e vídeo aqui do Ceará
20/06/2019 11:03 · Membro 0020
Não. Não pode. Assinamos até um termo aqui. Tem que entrar em contato com a Senasp diretamente..
20/06/2019 11:08 · Membro 0041
Hum nao sabia dessa situacao. Tinhamos apenas 1 perita q fazia esse tipi de exame, mas aposentou.

Origem 025 — 13/01/2020 10:40 a 10:40 — Triagem de vídeos e extração de frames

13/01/2020 10:40 · Membro 0021
Bom dia senhores e senhoras!
Fui convidado pra ensinar informática forense pela primeira vez em uma pós graduação, que é um grande desafio pra mim. O tempo para estudar e elaborar o material é bem curto. Por gentileza, os nobres colegas podem disponibilizar por exemplo apresentações, antigos, monografias e/ou vídeos relacionados a legislação aplicada a crimes de informática e perícia em informática? Aceito sugestões. meu e-mail: [EMAIL].

Origem 026 — 20/01/2020 08:44 a 08:45 — Extração em dispositivos Realme/Oppo

20/01/2020 08:44 · Membro 0020
Pessoal, verifiquei aqui os scripts para recuperação de dvr intelbras e dentro do arquivo compactado que enviei, na pasta "h264/dhav" realmente constam os scripts "juntar.sh e prejuntar.sh".
20/01/2020 08:45 · Membro 0020
Cheguei a fazer um pequeno manual bem básico aqui pro pessoal do áudio e vídeo fazer o procedimento lá no setor dele sem precisar de muito auxílio do pessoal de informática.
20/01/2020 08:45 · Membro 0020
<Mídia oculta>
manual-dvr.odt

Origem 027 — 01/04/2020 11:20 a 12:06 — Quesitação e delimitação de escopo em exames digitais

01/04/2020 11:20 · Membro 0056
Olá senhores! Recebi um ofício em uma perícia de vídeo que o advogado de defesa questiona se é possível realizar "leitura labial" dos envolvidos.
Alguém com mais experiência poderia sugerir um caminho para responder tal indagação?
01/04/2020 11:21 · Membro 0084
Vocês tem alguma seção de perícias em áudio e imagem?
01/04/2020 11:24 · Membro 0056
Não, é tudo incorporado no setor de Informática
01/04/2020 11:26 · Membro 0091
Posso te passar contato dos colegas de áudio e vídeo do Paraná e Santa Catarina
01/04/2020 11:50 · Membro 0009
Leitura labial só no Fantástico 🤣🤣🤣 Acho q isso não é atribuição nossa.
01/04/2020 11:52 · Membro 0056
Concordo Farias!
Acho que é uma técnica que não cabe a nós. Só queria um caminho para responder esse quesito de forma elegante, sem "falar besteira" sabe?
01/04/2020 11:53 · Membro 0056
Inclusive, em nenhum momento do vídeo dá pra ver os envolvidos conversando
01/04/2020 11:54 · Membro 0056
o advogado fez 36 quesitos para esse caso. Um pior que o outro
01/04/2020 11:54 · Membro 0056
saiu atirando pra todo lado
01/04/2020 11:55 · Membro 0009
Esse tipo de perícia deveria ser filtrada pelo próprio IC. Não era nem pra chegar no setor.
01/04/2020 11:58 · Membro 0056
Verdade. Chega cada aberração aqui. Infelizmente são poucos profissionais, alta demanda, acaba passando tudo 😔
01/04/2020 12:06 · Membro 0091
A denise me respondeu aqui, vou falar no pvt

Origem 028 — 15/06/2020 20:38 a 21:25 — Extração e análise de dados em iPhone/iOS

15/06/2020 20:38 · Membro 0096
Pessoal, boa noite. Tudo bem?
Vou encaminhar uma dúvida de um colega aqui pra ver se alguém tem alguma ideia...
15/06/2020 20:39 · Membro 0096
Celular com fotos de pedofilia, mas localizadas no cache do chrome.
15/06/2020 20:40 · Membro 0096
Neste caso vcs veem alguma ideia para afirmar alguma intenção do cidadão?
15/06/2020 20:41 · Membro 0020
Verificou se tem torrent instalado no aparelho?
15/06/2020 20:42 · Membro 0096
Tem torrent no histórico de navegação.
15/06/2020 20:43 · Membro 0020
Encontrou aqueles termos pthc etc nesse histórico?
15/06/2020 20:45 · Membro 0037
Para o perito criminal que atua em Comparação Forense, a 'intenção' não é do seu interesse, mas sim confirmar ou refutar a hipótese (decorrente da quesitação). "Intenção ou não" é matéria atinente à defesa e a acusação em contraditório judicial.
15/06/2020 20:45 · Membro 0037
* Computação (e não "Comparação").
15/06/2020 20:46 · Membro 0112
nesse caso, o histórico de buscas na internet pode ajudar .
15/06/2020 20:49 · Membro 0096
Beleza. Eu quis dizer mais no sentido de o conteúdo do cache não ser refutado facilmente.
15/06/2020 20:50 · Membro 0020
Se for só essas duas ocorrências eu apenas, se nenhum outro vestígio foi encontrado, explicaria o que é um "cache" e relataria as ocorrências. Mas pelo que você falou o histórico possui conteúdo relevante.
15/06/2020 20:52 · Membro 0021
Sim.

Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008)


Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: (Incluído pela Lei nº 11.829, de 2008)
Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais. (Incluído pela Lei nº 11.829, de 2008)
15/06/2020 20:52 · Membro 0037
Entendi, mas acho (só acho) que em um primeiro momento, você não precisaria esgotar o assunto, mormente se não houver quesitação mais específica sobre.
15/06/2020 20:52 · Membro 0020
Se possui licença do analytics desktop seria interessante fazer a análise por ele também
15/06/2020 20:53 · Membro 0021
Tem imagens ou vídeos? Ou só registros de armamento ou buscas?
15/06/2020 20:53 · Membro 0096
Imagens no cache do chrome
15/06/2020 20:54 · Membro 0096
Não cheguei a mexer. O que vc acha que traz de interessante pro caso?
15/06/2020 20:57 · Membro 0021
§ 1 o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)

§ 2 o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e
15/06/2020 20:58 · Membro 0020
Ele procura muito bem imagens de nudez (inclusive de crianças), classifica trechos de vídeos por intervalo onde aparecem as cenas de nudez
15/06/2020 20:58 · Membro 0037
Pessoal, mudando de assunto, gostaria de saber se no estado em que atuam há alguma nota técnica, ou outro documento, que trate das perícias criminais computacionais para material que comprende vários volumes, v.g., "20 HDs'," 55 celulares", etc.
15/06/2020 21:05 · Membro 0037
Pois é, aqui, em uma gestão anterior da polícia técnico-científica, chegaram a elaborar uma minuta para orientar no sentido de fazer o exame por amostragem.
15/06/2020 21:06 · Membro 0037
Mas não foi pra frente...
15/06/2020 21:10 · Membro 0112
aqui no Paraná nao tem documento específico sobre isso, mas temos quebrado a requisição em varias menores, e fazemos vários laudos.
15/06/2020 21:10 · Membro 0112
é um jeito de agilizar a resposta
15/06/2020 21:11 · Membro 0020
No Ceará a gente também quebra em vários laudos
15/06/2020 21:17 · Membro 0037
Bom saber, obrigado pelo retorno! 👍
15/06/2020 21:18 · Membro 0091
Alagoas é similar!
15/06/2020 21:20 · Membro 0091
Aqui já aconteceu de entrarmos em contato com a autoridade pra saber quais eram os equipamentos principais, de modo que a perícia foi centralizada nestes equipamentos! Tendo em vista que a operação realizadas pela PC apreendeu muita coisa inútil!
15/06/2020 21:22 · Membro 0091
Foi uma operação contra revenda ilegal de iphones e importados... Algumas das lojas possuía esquipamentos para manutenção de clientes, que foram apreendidos na operação!
15/06/2020 21:23 · Membro 0091
O delegado delimitou os equipamentos dos alvos e os equipamentos que poderiam ter materia relevante para a persecução penal!
15/06/2020 21:25 · Membro 0023
Aqui no Acre igual.

Origem 029 — 30/06/2020 09:24 a 10:41 — Extração e compatibilidade em Samsung SM-G355M

30/06/2020 09:24 · Membro 0060
Bom dia! Estou com um celular SM-G355M inoperante que no cartão de memória tem um vídeo cujo metadados registra data de criação com indícios de estar em UTC comparando pela hora do fato declarado. A questão é cada celular registra no metadados de vídeo em UTC ou depende de marca e modelo?
30/06/2020 10:09 · Membro 0009
Bom dia! Vamos votar e compartilhar com os mais próximos. 👍🏻
30/06/2020 10:10 · Membro 0095
Boa companheiro....votado e compartilhado já...rumo ao art.144...
30/06/2020 10:12 · Membro 0100
tem voto *negativo* 😡
30/06/2020 10:14 · Membro 0009
Positivo 👍🏻
30/06/2020 10:17 · Membro 0048
Lembrar que a data é universal, a localização é dada na visualização
30/06/2020 10:40 · Membro 0060
Segue metadados do arquivo e Exif
30/06/2020 10:40 · Membro 0060
ExifTool Version Number : 12.01
File Name : 20160513_141724.mp4
Directory : E:/[TELEFONE]
File Size : 32 MB
File Modification Date/Time : 2016:05:13 14:18:42-03:00
File Access Date/Time : 2020:06:25 17:34:32-03:00
File Creation Date/Time : 2020:06:25 17:34:32-03:00
File Permissions : rw-rw-rw-
File Type : MP4
File Type Extension : mp4
MIME Type : video/mp4
Major Brand : MP4 Base Media v1 [IS0 14496-12:2003]
Minor Version : 0.0.0
Compatible Brands : isom, 3gp4
Media Data Size : 33884931
Media Data Offset : 32
Movie Header Version : 0
Create Date : 2016:05:14 01:18:42
Modify Date : 2016:05:14 01:18:42
Time Scale : 1000
Duration : 0:01:17
30/06/2020 10:41 · Membro 0060
No Exif a data/hora de criação é compatível com data/hora do fato se estiver em UTC

Origem 030 — 20/07/2020 17:28 a 17:33 — Elaboração de laudo e relatório técnico pericial

20/07/2020 17:28 · Membro 0020
Pessoal preciso de uma ajuda. O que os senhores relatariam ao estar analisando um celular de um traficante e encontrassem um vídeo em que uma suposta mãe (aparentemente bem jovem), fumando o que sugere ser maconha, coloca o cigarro na boa de uma criança que aparenta ter de 3 a 4 anos e parece ensinar a criança a fumar e depois coloca o cigarro na boca de outra criança que aparentemente rejeita a ação e o vídeo acaba?
20/07/2020 17:30 · Membro 0115
Eu citaria no laudo o vídeo é recortaria um frame para inserir no laudo deixando claro o w se trata
20/07/2020 17:30 · Membro 0015
descreveria a ação assim como você fez porem utilizando termos que sugerissem "idade" e "substancia"
20/07/2020 17:33 · Membro 0020
Obrigado, já estava capturando os frames e vou dissertar um pouco sobre a dinâmica

Origem 031 — 16/10/2020 17:48 a 20:03 — O fato é o seguinte: o cara segura uma arma de fogo e

16/10/2020 17:48 · Membro 0038
Zoom digital... Não ajuda
16/10/2020 17:49 · Membro 0038
Queria algum melhoramento em nível de granulometria
16/10/2020 17:50 · Membro 0038
O fato é o seguinte: o cara segura uma arma de fogo e coloca na cintura. Dá p ver que é uma arma de fogo mas no zoom distorce muito. Queria melhorar essa imagem
16/10/2020 17:51 · Membro 0038
Para quem se dispuser a ajudar posso disponibilizar o frame no pv
16/10/2020 18:23 · Membro 0032
https://research.fb.com/publications/neural-supersampling-for-real-time-rendering/
16/10/2020 18:23 · Membro 0032
https://research.fb.com/blog/2020/07/introducing-neural-supersampling-for-real-time-rendering/
16/10/2020 18:24 · Membro 0032
fora de IA, não há técnica de "interpolação" de pixels que melhore a definição de imagem
16/10/2020 18:25 · Membro 0038
STK-20200904-WA0031.webp (arquivo anexado)
16/10/2020 18:40 · Membro 0045
DVRs normalmente geram imagens terríveis em termos de definição e nitidez, a rigor “melhorias” não devem ensejar, de forma alguma, alterações na imagem original, sob pena de estarmos inserindo/alterando informações na prova, ou seja, infelizmente não tem muito o que fazer.
16/10/2020 18:40 · Membro 0088
Há alguma ferramenta que faça a técnica chamada superresolution? (não seria essa do vídeo)
16/10/2020 18:47 · Membro 0088
nada mais do q reduzir ruído no fim das contas, a partir e uma média
16/10/2020 18:47 · Membro 0048
Rede neural vc vai precisar de uma base de testes para poder treinar a rede para fazer o "enhance" da imagem.
16/10/2020 18:48 · Membro 0048
Superresolução, tb acho que vc precisa de uma amostragem de vários quadros da cena para poder "interpolar" pixels intermediários
16/10/2020 18:49 · Membro 0088
há alguma ferramenta que já venha com um botão mágico "superresolution"?
16/10/2020 18:49 · Membro 0088
e vc forneça a sequência de imagens
16/10/2020 19:55 · Membro 0048
Acho que de celular geralmente tira borrado.
16/10/2020 19:55 · Membro 0048
Já vi programa que faz
16/10/2020 20:03 · Membro 0045
Opa... motion blur a gente já fez por aqui... fiz um trabalho com resultado bem bacana, usando, incialmente, o ImageJ, só que o Delta reclamou por que o resultado saiu em preto e branco 🤦‍♂️🤦‍♂️🤦‍♂️... e um tempo depois um outro colega daqui refez, já em cores, e o resultado ficou melhor ainda. Ele usou o matlab, ficou show. Se alguém quiser, informo qual o algoritmo que foi usado, e os parâmetros pro nosso caso, e o resultado obtido, só pra servir de apoio pra alguma necessidade local de vocês.

Origem 032 — 24/05/2021 09:49 a 11:08 — Extração e bloqueios em Xiaomi/Redmi/POCO

24/05/2021 09:49 · Membro 0054
Caros, bom dia!

Chegou-me uma dúvida, via Gaeco de nossa região, sobre um celular do qual eles fizeram uma extração.

Existe, na memória do dispositivo (Redmi 8), uma pasta "Televideos", na qual estão armazenados diversos arquivos de vídeo, seguindo o formato de nomenclatura apresentada na foto que envio a seguir.

Por acaso, esse formato apresentado na imagem é familiar a algum dos colegas? A dúvida principal é saber se, eventualmente, tais vídeos foram enviados/recebidos por algum aplicativo mensageiro.
24/05/2021 10:20 · Membro 0048
Tem a ista dos APKs instalados, ou desinstalados?
24/05/2021 10:22 · Membro 0054
Não tenho essa relação comigo. Tirei esta foto na sede deles, enquanto estive lá no dia de ontem.
Mas, acho que consigo essa listagem mais tarde.
24/05/2021 10:59 · Membro 0048
Vc pode ver se tem algum aplicativo que possa produzir isso fazendo uma reversa, vendo se ele escreve no armazenamento interno em diretório homônimo, ou mesmo com nome Televideos, ou algo assim
24/05/2021 11:04 · Membro 0044
[MENCAO] de fato havia um problema com o conector do cabo que estávamos utilizando. Agradeço a dica e as informações seguintes que são bem interessantes. Valeu 👍
24/05/2021 11:08 · Membro 0104
👍🏼👍🏼 bom q funcionou!

Origem 033 — 20/07/2021 10:28 a 11:13 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

20/07/2021 10:28 · Membro 0071
Pessoal, alguém teria o esquema para iniciar o Moto G6 Play (XT1922-5) em EDL? Acho que o Moto G6 padrão [SEGREDO] fácil de encontrar....
20/07/2021 10:34 · Membro 0109
https://drive.google.com/open?id=16oZxETtlIro_ImwtJNQ6fXAsEDBHvqQY
20/07/2021 10:35 · Membro 0071
<Mídia oculta>
a estrutura geral da placa é bem parecida com a do xt1922-7. Marquei na imagem o local onde estariam os _test points_ no xt1922-7
20/07/2021 10:35 · Membro 0071
pois é... tinha visto já...
20/07/2021 10:35 · Membro 0071
a placa é um pouco diferente
20/07/2021 10:37 · Membro 0109
Será que não está embaixo do adesivo preto?
20/07/2021 10:38 · Membro 0071
aproveitando, alguém já usou algo assim?
20/07/2021 10:38 · Membro 0020
Pessoal, bom dia. Só uma dúvida em relação ao caso que estou trabalhando. Nos laudos de pornografia infantil vocês categorizam aquele filme da xuxa "amor estranho" como pornografia infantil? Dei uma olhada aqui e ela toca um garotinho em algo meio sexual
20/07/2021 10:39 · Membro 0020
Só achei dois filmes suspeitos o da xuxa e um pthc
20/07/2021 10:41 · Membro 0091
Tem cara de polêmica! Esss filme ganhou até alguns prêmios
20/07/2021 10:42 · Membro 0091
Mas ficaria restrito a pornografia explícita!
20/07/2021 10:42 · Membro 0091
O menino do vídeo, na época parece tinha 12 anos!
20/07/2021 10:43 · Membro 0091
O filme foi comercializado legalmente fora do país!
20/07/2021 10:46 · Membro 0040
Mas a maioria faço igual o [NOME], só [NOME] e falo para eles analisarem
20/07/2021 10:46 · Membro 0048
Não seria retirando a blindagem do processador?
20/07/2021 10:47 · Membro 0020
Marquei. O pthc eu coloco um quadro no corpo do laudo com uns 6 frames do vídeo... O da xuxa vou só enviar na mídia mesmo. Obrigado pessoal
20/07/2021 10:48 · Membro 0003
Normalmente tem outros elementos complementares quando tem esse vídeo. É igual foto de pó branco e cigarro de maconha. Eu não faço o exame para confirmar a substância da foto, mas ela, com outros elementos, ajudam a substanciar o caso.
20/07/2021 10:50 · Membro 0109
Achei aqui. o FORCE_USB_BOOT desse aparelho é no TP2920, e o 1.8V é no TP2921
20/07/2021 10:50 · Membro 0109
Vou mandar a posição, 1 min
20/07/2021 10:51 · Membro 0003
Eu só fiz o exame do pó branco quando o pó branco veio dentro da carcaça do celular 🤣
20/07/2021 10:51 · Membro 0109
<Mídia oculta>
Screenshot 2021-07-20 105127.png
20/07/2021 10:54 · Membro 0048
G6 play. Achei num site
20/07/2021 10:54 · Membro 0048
https://cestin.net/motorola-moto-g6-play-test-point-edl-mode/amp/
20/07/2021 10:55 · Membro 0109
<Mídia oculta>
Agora foi direito
20/07/2021 10:58 · Membro 0071
tb achei mas isso parece não funcionar, o primeiro e um capacitor relacionado com a bateria
20/07/2021 10:58 · Membro 0071
e o segundo tb esta relacionado com a bateria
20/07/2021 10:58 · Membro 0071
top hein!! parece promissor!
20/07/2021 10:59 · Membro 0071
acho que usaram a foto de algum reparo para carga de bateria...
20/07/2021 11:02 · Membro 0071
Sucesso [NOME]!! Mooooonstro do EDL!
20/07/2021 11:04 · Membro 0109
Boa! 😁
Que bom que deu certo
20/07/2021 11:13 · Membro 0071
<Mídia oculta>
EDL XT1922-5

Origem 034 — 29/07/2021 17:19 a 17:56 — Ótima ferramenta, tenho utilizado também

29/07/2021 17:19 · Membro 0123
Ótima ferramenta, tenho utilizado também.
29/07/2021 17:32 · Membro 0131
opa, logo tem uma versão nova com novos sistemas de arquivos (Rsfs, JUAN e QFAT).
então, questão de apagados dhfs e wfs, zeno1.0 sim. para hikvision também, mas precisa fazer um processamento extra.
29/07/2021 17:36 · Membro 0131
E também fiz aplicativo de linha de comando para converter do formato nativo para AVI usando o sdk do fabricante dos sistemas DHFS e WFS
29/07/2021 17:38 · Membro 0078
No caso para recuperar apagado seria como?
29/07/2021 17:42 · Membro 0131
O método depende do sistema. No caso DHFS é baseado nos pacotes DHAV. No Zeno é bem similar. A estrutura é quase uma cópia idêntica.
No WFS é feita pelos timestamps nos quadros.
O hikvision é por blocos de 1gb. Ou fragmentos.de vídeo no finais de cada bloco de 1gb
29/07/2021 17:46 · Membro 0078
Mas o processamento extra que você falou é para próximas versões ou a ferramenta atual já faz essa recuperação de videos apagados?
29/07/2021 17:48 · Membro 0131
Esse procesamento extra é apenas no hikvision.
Nos outros já faz.
29/07/2021 17:49 · Membro 0078
Entendi WFS então se tiver apagado e for possível recuperar ele já pega
29/07/2021 17:56 · Membro 0131
👍👍👍 valeu pessoal. Na nova versão também coloquei para personalizar um pouco a interface. e correções de bugs que o [MENCAO] achou.

Origem 035 — 18/08/2021 07:37 a 07:37 — Recuperação de arquivos apagados e carving

18/08/2021 07:37 · Membro 0045
👏👏👏 trabalho top [NOME], parabéns mesmo, naquele dia que entrei em contato com vc, onde o delegado disse que o DVR só era utilizado pra monitoramento, ele conseguiu fazer carving de 259 GB de vídeo, parabéns demais…

Origem 036 — 18/08/2021 22:28 a 22:28 — Extração em dispositivos Realme/Oppo

18/08/2021 22:28 · Membro 0117
A única imagem que encontrei foi de um vídeo do g3502t. Não sei se é igual e se realmente os pontos estão certos

Origem 037 — 04/09/2021 15:44 a 20:06 — Metadados EXIF/JPEG e individualização de câmera

04/09/2021 15:44 · Membro 0076
Boa tarde, pessoal. Um caso curioso aqui. Mandaram um vídeo com conteúdo sexual para a perícia pedindo para saber se o vídeo foi publicado em algum site. A princípio, me parece impossível fazer isso. Mas será que não tem alguma busca por metadados ou coisa do tipo? Apenas para não fazer um laudo negativo de cara.

Obrigado.
04/09/2021 16:36 · Membro 0048
Se pedofilia, hash nas bases conhecidas. Agora pornografia normal só se procurar o hash nas redes p2p : emule, edonkey etc... teria que entrar nos trackers e procurar pelo hash
04/09/2021 18:24 · Membro 0091
Existia uma pesquisa do google antes que era por imagem e curiosamente ele pegava vídeos, não sei se ainda é possível pois usei essa pesquisa antes mesmo de entrar na perícia!
04/09/2021 18:24 · Membro 0091
Então a ideia seria jogar um frame lá e vê se retornava algo
04/09/2021 19:59 · Membro 0076
Beleza, gente. Obrigado pelas dicas. Vamos ver o que faremos aqui.
04/09/2021 20:06 · Membro 0015
Sim, lembro. Tiraram e virou lens. Voltou hoje na barra de pesquisa dos celulares

Origem 038 — 05/09/2021 11:52 a 11:52 — Cálculo e verificação de hashes em grande volume de arquivos

05/09/2021 11:52 · Membro 0123
Seria tipo um reverse image search mas para vídeos, deve existir, o problema é consultar com o vídeo questionado pois aí ele certamente seria transferido pra internet
05/09/2021 11:52 · Membro 0123
O melhor seria por hash

Origem 039 — 05/10/2021 21:10 a 21:52 — Cálculo e verificação de hashes em grande volume de arquivos

05/10/2021 21:10 · Membro 0112
sozinho acho que não. seria o mesmo que "novinha", q é muito comum
05/10/2021 21:19 · Membro 0076
Pois é. Pediram para encontrar fotos de pedofilia, mas o máximo que achei foram 40 imagens com o nome "Toticos tiny pyt dominican teen ass riding on top ft. Yoyo - XVIDEOS.COM". Algumas das atrizes parecem ser maiores de idade, mas algumas parecem ser mais novas.
05/10/2021 21:24 · Membro 0112
eu diria que as imagens que pas atrizes parecem ser mais novas tem o POSSÍVEL envolvimento de adolescentes
05/10/2021 21:24 · Membro 0112
a gente usa um textinho padrão pra isso, se vc quiser, posso ver amanhã
05/10/2021 21:29 · Membro 0076
Agradeço, Conrado. A gente também tem um aqui. Eu vou colocar as fotos no laudo, explicar os termos e deixar o Juiz decidir. Hehehe. Mais uma vez, obrigado.
05/10/2021 21:36 · Membro 0076
Só de curiosidade: o termo pyt parece não ser permitido no XVIDEOS.
05/10/2021 21:45 · Membro 0003
O pretty funciona como um aumentativo, então seria um bem novinha, que já dá um sentido mais específico
05/10/2021 21:46 · Membro 0112
ah sim, deixa eles fazerem o trabalho deles! hehe
05/10/2021 21:46 · Membro 0112
vou procurar mais sobre o termo! obrigado tb!
05/10/2021 21:47 · Membro 0003
Eu pensei em pesquisar aqui, mas não quis arriscar a PF bater na minha porta
05/10/2021 21:48 · Membro 0112
vou pesquisar no IC, seloko? hehehe
05/10/2021 21:52 · Membro 0020
Interessante usar a base de hash do projeto vic e, quem sabe, usar base de hash que fica dentro do Led

Origem 040 — 14/12/2021 16:28 a 17:19 — Extração e compatibilidade em Samsung SMARTPHONE

14/12/2021 16:28 · Membro 0009
Boa tarde! Moto XT1922-5 G6 Play bloqueado. Alguma dica? Obg
14/12/2021 16:49 · Membro 0105
Esse infelizmente não. Só se fosse Android 8, ai talvez no ufed 2 a opção de lock pick
14/12/2021 16:53 · Membro 0076
Boa tarde, pessoal.

Encontrei um arquivo suspeito na pasta DCIM/restored com o nome "QVR_2021_07_04_00_17_48(0).mp4"

Alguém tem ideia de qual aplicativo pode ser usado para gravar arquivos com esse padrão de nome?
14/12/2021 16:56 · Membro 0076
Achei outra pasta aqui de nome "QuickVideoRecorder". Imagino que seja esse programa. Hehehe
14/12/2021 17:04 · Membro 0009
Ok. Obg! Lockpick realmente não foi.
14/12/2021 17:08 · Membro 0003
Backed up photos restored from Google Photos are placed in this folder.
14/12/2021 17:08 · Membro 0003
https://github.com/d4rken/sdmaid-public/issues/880
14/12/2021 17:11 · Membro 0003
O arquivo é de câmera de vigilância?
14/12/2021 17:11 · Membro 0076
Uma pessoa é acusada de ter deixando o celular no banheiro feminino filmando.
14/12/2021 17:12 · Membro 0076
"Quick Video Recorder is an app that lets you record videos by tapping the screen, all without making a sound. Basically, with this app, you can use your smartphone or tablet's camera even when the screen is off. You can also schedule recordings and edit videos on the app itself."
14/12/2021 17:12 · Membro 0003
Eu vi que tem um sistema de câmera que usa esse nome QVR também
14/12/2021 17:12 · Membro 0003
https://play.google.com/store/apps/details?id=com.qnap.qvrproclient&hl=pt_BR&gl=US
14/12/2021 17:18 · Membro 0076
As vítimas disseram que, depois que foi pego, ele correu para o banheiro masculino e ficou um certo tempo (supostamente para apagar o vídeo). Não foi encontrada a filmagem do banheiro em questão. Mas encontrei o vídeo QVR... que é uma filmagem de um banheiro feminino (no caso, outro). Ele afirma que recebeu o vídeo de alguém. Mas tava na pasta DCIM, com nome QVR..., ele tem o Quick Video Recorder no celular... eu estou só tentando achar mais evidências para juntar as pontas todas.
14/12/2021 17:19 · Membro 0003
Como está na pasta recovered, provavelmente o celular faz o backup na nuvem e depois foi recuperado dela.

Origem 041 — 14/12/2021 17:43 a 17:44 — Se o vídeo foi gravado desse celular, como parece ter sido, deve ter

14/12/2021 17:43 · Membro 0003
Talvez na hora não acharam a filmagem, mas depois esse vídeo foi baixado da nuvem dele... Por alguém...
14/12/2021 17:44 · Membro 0025
Se o vídeo foi gravado desse celular, como parece ter sido, deve ter nos metadados o modelo do aparelho celular!

Origem 042 — 23/12/2021 13:35 a 13:43 — Uso do Magnet AXIOM/IEF em artefatos digitais

23/12/2021 13:35 · Membro 0112
um áudio específico? o unico jeito q me lembro de fazer isso no axiom seria marcar com uma flag tudo, exceto aqles q vc nao quer, e fazer um relatório somente com os marcados.
23/12/2021 13:36 · Membro 0013
O mais parecido disso que estou vendo é um flag de Exceção, mas ta mais atrapalhando que ajudando. rs
23/12/2021 13:36 · Membro 0112
se for pra excluir todos os audios e videos, na hora de gerar o relatório vc tem a opção de escolher os tipos de objetos vc vai querer.
23/12/2021 13:43 · Membro 0013
acho que deu certo aqui. os coloquei numa tag exceção, ai depois filtrei na exibição principal antes de abrir a janela de criação do relatório

Origem 043 — 10/08/2022 19:45 a 19:46 — Root e extração em dispositivo Positivo

10/08/2022 19:45 · Membro 0088
Obrigado! Havia visto esse vídeo, mas não tentei todas as senhas fornecidas por ele, vou tentar. 👍🏻
10/08/2022 19:46 · Membro 0088
Caso não dê certo, talvez conversando com o suporte da empresa dê certo. Em caso positivo, relatarei aqui no grupo 👍🏻.

Origem 044 — 07/09/2022 06:45 a 06:45 — Sr@s. Já está disponível a nova versão do Transcriber 2.0 - _a ferramenta

07/09/2022 06:45 · Membro 0020
Sr@s. Já está disponível a nova versão do *Transcriber 2.0* - _a ferramenta para transcrição automática de áudios_.

Agradeço a todos pelos _feedbacks_, o que me motivou a criar essa nova versão, com algumas novidades: *novos formatos de arquivos de áudio, suporte a arquivos de vídeo, pesquisa de texto em áudios, nuvem de palavras mais faladas, processamento inteligente de continuar de onde parou, download de vídeos do Youtube, download de perfis do Instagram*.

A ferramenta agora usa o mesmo token do ALIAS Extractor, pois em breve vai ser possível integrar os conteúdos das extrações de nuvem.

O download da nova versão pode ser feito no site do projeto https://cristianoritta.wixsite.com/site
07/09/2022 06:45 · Membro 0020
Ferramenta de um colega

Origem 045 — 13/09/2022 17:13 a 17:24 — Só o que tem rolado por aqui NAS requisições de perícia de áudio

13/09/2022 17:13 · Membro 0150
Boa tarde. Alguem ja recebeu uma requisição com um link do google drive criado supostamente pela própria delegacia para fazer exame de constatação? rsrs
13/09/2022 17:15 · Membro 0020
Só o que tem rolado por aqui nas requisições de perícia de áudio e vídeo
13/09/2022 17:16 · Membro 0040
<Mídia oculta>
Pessoal, alguém já pegou um HD assim? Primeira partição ok, segunda FAT? Será que está criptografado? Ou é outro sistema de arquivo que não foi reconhecido?
13/09/2022 17:18 · Membro 0040
<Mídia oculta>
No hexa começa tudo com 00 e no 200 vem só esse "lixo"
13/09/2022 17:23 · Membro 0009
Tenta ver pelo Linux...
13/09/2022 17:23 · Membro 0040
Vou dar uma tentada amanhã Farias
13/09/2022 17:24 · Membro 0040
Mas achei estranho
13/09/2022 17:24 · Membro 0009
Pode ser uma deficiência do próprio Imager

Origem 046 — 27/10/2022 16:28 a 16:32 — Triagem de vídeos e extração de frames

27/10/2022 16:28 · Membro 0088
É recente a mensagem? Se der verifica se o link HTTPS do vídeo ainda funciona?
27/10/2022 16:29 · Membro 0088
Não sei se ainda dá certo, mas às vezes dava para baixar o vídeo imagem criptografado e descriptografar usando a chave que vem no msgstore.db pelo que lembro
27/10/2022 16:30 · Membro 0061
Eu peguei o link e joguei no browser mas não deu nada… O link funciona de um browser qualquer ou tenho que de alguma forma simular o acesso pelo celular?
27/10/2022 16:31 · Membro 0088
Pelo browser
27/10/2022 16:32 · Membro 0088
Arquivo .enc o link?

Origem 047 — 31/01/2023 09:24 a 09:38 — Se desejar um software mais simples, o VLC também passa quadro a quadro

31/01/2023 09:24 · Membro 0076
Bom dia, pessoal. Alguém sabe de algum programa de vídeo em que seja possível avançar quadro a quadro? Eu uso o VirtualDub, mas ele é tão chato para mexer que eu nem consigo recomendá-lo para as pessoas. Hehehe.
31/01/2023 09:29 · Membro 0088
Se desejar um software mais simples, o VLC também passa quadro a quadro, tecla de atalho E
31/01/2023 09:30 · Membro 0088
https://github.com/IENT/YUView
31/01/2023 09:38 · Membro 0131
Chegou a usar o virtualdub2?
https://sourceforge.net/projects/vdfiltermod/files/

Origem 048 — 31/03/2023 14:06 a 15:16 — Metadados EXIF/JPEG e individualização de câmera

31/03/2023 14:06 · Membro 0048
Desculpe me, mas Já não está? Seria modo paisagem sua intenção?
31/03/2023 14:14 · Membro 0080
ele sempre mostrou tela cheia para os contatos e quando voce acessava o contato, aparecia tela cheia para a conversa, minha esposa, ao ligar hoje, deparou com isso. é um tablet
31/03/2023 14:19 · Membro 0048
Entendi. Não estaria esse whatsapp sendo acessado via browser? No browser ele tem esse comportamento aí
31/03/2023 14:24 · Membro 0048
https://www.androidauthority.com/whatsapp-android-tablets-3292613/
31/03/2023 14:24 · Membro 0080
não, abri diretamente no aplicativo, pode ser a nova atualização.
31/03/2023 14:25 · Membro 0048
Nova versão tem isso. Mas parece que pode escolher
31/03/2023 14:27 · Membro 0080
Foi o que imaginei, minha esposa, não gostou nada dessa nova forma, fazer o que?
31/03/2023 14:37 · Membro 0076
Boa tarde, pessoal. Recebi uma requisição com quesitos oficiais relativos ao fps de um arquivo de vídeo. Quando fiz a perícia, eu usei o VirtualDub e ele informou que o arquivo tinha 25 fps. Só que se você olhar os metadados pelo explorer, informa 30fps.

Mandei o arquivo para um site que informa metadados e ele informou que o arquivo tem r_frame_rate = 25 e avg_frame_rate = 30

Como era um vídeo de câmera de segurança, eu peguei os primeiros segundos do vídeo e coletei o quadro em que a mudança ocorria e achei 25 "na média".

Alguém saberia me dar uma explicação melhor do porquê dessa diferença?

Obrigado.
31/03/2023 14:40 · Membro 0131
qual o formato do vídeo? mp4? tem taxa de quadros variável?
31/03/2023 14:41 · Membro 0076
Essa é a saída do VirtualDub.
31/03/2023 14:42 · Membro 0131
hm, abre no editorhexa decimal. o que aparece nos primeiros bytes? to achando é um vídeo da hikvision
31/03/2023 14:50 · Membro 0131
Sim é um hikvision. Nesse caso aqui o que foi feito aqui foi usar o VSplayer (player nativo, ele está na pasta conversores do DVRExtractor) para converter para MP4 ou AVI e desse arquivo é que foi feito o cálculo .
31/03/2023 14:59 · Membro 0076
Agora fala que tem 15. Heheheh
31/03/2023 15:02 · Membro 0048
Será que na espec do equipamento dvr não tem a taxa de quadros?
31/03/2023 15:03 · Membro 0048
Essa recodificacao pode mudar o fps
31/03/2023 15:10 · Membro 0144
Em alguns casos, especialmente em vídeos de câmeras de segurança, a taxa de quadros pode variar ao longo do vídeo. Isso pode ser feito para economizar espaço de armazenamento ou largura de banda, capturando menos quadros quando há menos movimento e mais quadros quando há mais movimento. Nesses casos, a taxa de quadros média (avg_frame_rate) pode ser diferente da taxa de quadros real (r_frame_rate) em um determinado momento.

Eu responderia o quesito informando a taxa real e a taxa média. E confiaria nas informações do VirtualDub
31/03/2023 15:10 · Membro 0048
Tb. E citaria que foi medido com o Virtualldub versao x
31/03/2023 15:15 · Membro 0076
Concordo. Fiz umas medidas aqui (total de quadros / tempo total = 25fps), medi se os segundos do vídeo correspondem aos segundos reais (usando um cronômetro) e conferiu também. No fim, é isso mesmo. Como a pergunta foi "como cheguei aos 25fps?" Vou responder: VirtualDub versão X.
31/03/2023 15:16 · Membro 0076
Obrigado, gente, pela ajuda.

Origem 049 — 27/05/2023 17:38 a 17:59 — Extração e análise de mensagens do WhatsApp

27/05/2023 17:38 · Membro 0134
Boa tarde! Arquivos armazenados na Pasta "/.Shared" do WhatsApp, é possível afirmar que o arquivo foi enviado/recebido? Na "Sent" sabemos que sim, mas não sei nessa... obrigado
27/05/2023 17:45 · Membro 0134
P.s.: no caso tem pornografia infantil armazenada nela, seria para verificar se houve compartilhamento... não há registros destes arquivos nas conversas em si
27/05/2023 17:48 · Membro 0003
Pode ser que essa pasta seja para arquivos encaminhados 🤔
27/05/2023 17:48 · Membro 0003
Teria que verificar
27/05/2023 17:51 · Membro 0003
Testei aqui e vi que minha pasta. Shared tem muitos conteúdos que não foram compartilhados por mim
27/05/2023 17:52 · Membro 0003
Acabaram de enviar um vídeo em um grupo e a imagem do vídeo apareceu lá como arquivo tmp
27/05/2023 17:53 · Membro 0134
Eu dei uma pesquisada e vi menções em fontes não-oficiais que seriam arquivos temporários recebidos não criptografados, algo assim..., mas não tive segurança na resposta pois li coisas diferentes em outras fontes
27/05/2023 17:53 · Membro 0134
Certo, equivalente ao que li então
27/05/2023 17:53 · Membro 0134
Mas de qualquer forma já não tem como concluir que houve compartilhamento do usuário em si estando nessa pasta, já resolve o problema
27/05/2023 17:56 · Membro 0134
Nesse caso os únicos arquivos que estão na Sent são capturas de tela feitas após a apreensão 😑😑😑
27/05/2023 17:56 · Membro 0134
Mandaram pro whats da DP
27/05/2023 17:58 · Membro 0042
STK-20230527-WA0020.webp (arquivo anexado)
27/05/2023 17:59 · Membro 0023
Eu colocaria no Laudo 🙃

Origem 050 — 13/07/2023 12:00 a 12:05 — Triagem de vídeos e extração de frames

13/07/2023 12:00 · Membro 0091
Boa tarde senhores, peguei um DVR HIKVISION, realizei a extração das imagens no DVREXTRACTOR, os vídeos vieram formato HIK, minha dúvida é qual o software proprietário para abrir esses vídeos, ou onde posso converter para MP4 ou AVI ?
13/07/2023 12:04 · Membro 0091
Abriu no VirtualDub aqui
13/07/2023 12:05 · Membro 0091
só não tava aparecendo, 🤗
13/07/2023 12:05 · Membro 0091
vou mandar o anexo no formato original (.HIK) só pq o juiz deu prazo de 48 horas kkkkk

Origem 051 — 30/08/2023 14:14 a 14:35 — Metadados EXIF/JPEG e individualização de câmera

30/08/2023 14:14 · Membro 0096
Pessoal, boa tarde. Recebemos uma requisição de exame complementar relacionado a homicídio, sobre o vídeo desses metadados aqui.
30/08/2023 14:14 · Membro 0096
Na requisição é perguntado se o arquivo foi produzido pelo aparelho e se a data/hora do título corresponde à data/hora de produção.
30/08/2023 14:14 · Membro 0096
Aqui pensamos o seguinte: em os metadados é difícil afirmar sobre a produção, mas podemos afirmar que os arquivos produzidos são armazenados nesta mesma pasta (assim como outros arquivos) e o título normalmente segue esse tipo de nomenclatura no dispositivos Xiaomi.
30/08/2023 14:14 · Membro 0096
No Physical Analyzer verificamos o "registro de uso de aplicativos" e não há registro de uso da câmera ou similar nesse momento. Será que pode ter desvio na data/hora considerada pelo sistema e pelo app?
30/08/2023 14:15 · Membro 0096
Alguém consegue colaborar com algo mais a respeito, por favor?
30/08/2023 14:15 · Membro 0134
qual a duração do vídeo?
30/08/2023 14:17 · Membro 0134
salvo erro de segundos, compatível com o tempo armazenado em "modificado", que é quando foi efetivamente salvo na memória, uma indicação de que poderia de fato ter sido produzido no aparelho, mas 'leve', de fato, sem metadados específicos de produção
30/08/2023 14:17 · Membro 0048
Pela nomenclatura e datas, foi provavelmente produzido pela câmera do aparelho
30/08/2023 14:18 · Membro 0048
pode tentar ver se tem tumbnail dele na galeria e ver a datação tb
30/08/2023 14:21 · Membro 0048
Acho que não. Me confundi
30/08/2023 14:22 · Membro 0105
Acredito que não. Pois o thumb pode ter sido criado devido a visualização do vídeo pelo usuário do aparelho.
30/08/2023 14:23 · Membro 0048
uma coisa que reforça é de não ter nenhum arquivo ou fragmento dele semelhante em outros aplicativos
30/08/2023 14:23 · Membro 0105
tem nos metadados algum indicativo do modelo do aparelho?
30/08/2023 14:24 · Membro 0105
Talvez verificar na linha do tempo quando o vídeo foi criado e verificar o que ocorreu nesse período.
30/08/2023 14:24 · Membro 0096
Tem nada. Só isso aqui mesmo.
30/08/2023 14:25 · Membro 0105
exif tools não trouxe mais nada?
30/08/2023 14:26 · Membro 0105
Acho que nomenclatura é algo frágil tbm. Vídeos de tiktok ou kwai tbm acabam tendo esses nomes de vídeos produzidos pelos celular.
30/08/2023 14:28 · Membro 0105
É bem comum até seguir a sequencia nos números. Fica alternando entre os vídeos produzidos e vídeos que o usuário viu nesses apps. <Mensagem editada>
30/08/2023 14:28 · Membro 0048
mas eles gravam no /data/media/0/DCIM ?
30/08/2023 14:29 · Membro 0048
quandoi menciono nomenclatura, inlui o path
30/08/2023 14:29 · Membro 0096
<Mídia oculta>
Metadat For VID_20230322_003758.mp4.pdf
30/08/2023 14:30 · Membro 0088
foi uma extração completa? se o aparelho não foi muito usado de lá pra cá, vc pode ter sorte de encontrar no log batterystats indicando o uso do aplicativo de câmera
30/08/2023 14:30 · Membro 0088
ou no log de atividades da nuvem do google também
30/08/2023 14:31 · Membro 0096
foi FFS - Smart Flow
30/08/2023 14:31 · Membro 0105
isso é bacana. Na timeline iria ajudar bastante isso.
30/08/2023 14:32 · Membro 0088
se já foi usado várias vezes o aparelho, o log batterystats se foi
30/08/2023 14:32 · Membro 0088
mas o do google takeout da nuvem não, fica lá
30/08/2023 14:33 · Membro 0096
vc diz esse arquivo "Batterystats.xml"?
30/08/2023 14:33 · Membro 0105
nesse log as vezes consegue ver até se ele conectou o celular em um cabo USB. Aí pode ser um indicativo que copiou ou algo assim.
Pelo menos consegue eliminar algumas opções.
30/08/2023 14:34 · Membro 0105
Já que no metadado não tem algo explícito.
30/08/2023 14:34 · Membro 0096
<Mídia oculta>
a título de curiosidade, esse aqui é outro caso, que a pasta é a mesma... a nomenclatura não, mas a pasta é
30/08/2023 14:34 · Membro 0088
num Samsung q tô trabalhando é uma pasta: data/log/batterystats
30/08/2023 14:35 · Membro 0088
tendo vários arquivos, um para cada ciclo de carga e recarga

Origem 052 — 30/08/2023 15:02 a 15:58 — Uso do Magnet AXIOM/IEF em artefatos digitais

30/08/2023 15:02 · Membro 0048
<Mídia oculta>
Como eu faço para "etiquetar" conversas no axiom
30/08/2023 15:04 · Membro 0088
Pois é, em conversas longas dá um trabalho pq tem q ir na tabela, pois no balão vc não marca
30/08/2023 15:06 · Membro 0048
Verdade. Nos "balões" só funciona o "select All"
30/08/2023 15:57 · Membro 0071
não rola de gravar um novo vídeo com o aparelho e comparar os resultados produzidos
30/08/2023 15:58 · Membro 0071
<Mídia oculta>
comparar elementos como estes, creio que daria para extrair mais detalhes com o mídiainfo / ffmpeg
30/08/2023 15:58 · Membro 0096
vou pedir a peça novamente pra fazer esses testes mesmo

Origem 053 — 22/09/2023 14:16 a 14:16 — A ata vigente ou um projeto pra aquisição de editor hexadecimal e aquisição

22/09/2023 14:16 · Membro 0041
Boa tarde! Alguém tem alguma ata vigente ou um projeto pra aquisição de editor hexadecimal e aquisição de editor pra verificação de edição ou supressão de audio/vídeo? Faremos um projeto para readequacoes tecnológicas do setor. Quem puder ajudar, pode chamar no PV. Grato!

Origem 054 — 10/10/2023 15:59 a 15:59 — Extração e análise de mensagens do WhatsApp

10/10/2023 15:59 · Membro 0165
Boa tarde, quais programas os colegas recomendam para verificar adulteração em vídeos/áudios de whatsapp? Preciso analisar e utilizar alguns vídeos (.mp4) como referência em uma perícia de vídeo, mas antes preciso atestar autenticidade de parte do material.

Origem 055 — 16/10/2023 09:16 a 09:16 — Extração e acesso a dados em iPhone 7 Plus

16/10/2023 09:16 · Membro 0009
Bom dia! Encontrei um arquivo de vídeo de interesse nessa pasta "iPhone/mobile/Media/PhotoData/CPL/storage/filecache": cplAXffFnqtZScY+9mqx+HYPMEfahi0.mov. Vídeo produzido a partir de um modelo igual ao do aparelho periciado: iPhone 7 Plus. O que são exatamente esses vídeos armazenados nessa pasta? Obg

Origem 056 — 18/10/2023 15:08 a 15:14 — Análise de dados em Telegram, Facebook Messenger e mensageiros

18/10/2023 15:08 · Membro 0046
Se a vítima estiver colaborando, não tem como logar no telegram desktop dela e tentar acessar as mensagens/vídeos pelo computador, talvez até fazer algo similar a um takeout?
18/10/2023 15:10 · Membro 0001
Cellebrite tá forçando aquisição do premium.
18/10/2023 15:14 · Membro 0001
Sim, ela está colaborando. É uma possibilidade.

Origem 057 — 26/02/2024 16:09 a 16:43 — Extração e análise de mensagens do WhatsApp

26/02/2024 16:09 · Membro 0076
Boa tarde, pessoal.

Como vocês quantificam grande quantidade de pedofilia em meio à outra grande quantidade de arquivos de outros tipos de pornografia?

Quando participei de uma das operações Luz na Infância, havia um quesito perguntando a quantidade em MB. Isso porque a quantidade é qualificadora (Art. 241-B, § 1o da LEI Nº 11.829 , DE 25 DE NOVEMBRO DE 2008.).

Eu estou com um caso aqui, aquele em que transplantei uma sub placa para poder extrair os dados, e o autor possuia ICQ, Viber, Telegram, WhatsApp e Signal com vários grupos de pedofilia. Alguns grupos possuiam programação de tempo para expirar as mensagens. Mas, quando o autor gostava de algum vídeo, ele encaminhava para seu próprio usuário no Telegram.

É muita quantidade de pedofilia, mas para eu poder bater o martelo e falar a quantidade em MB, vou ter que ver vídeo por vídeo e sair separando. Isso ia ser impraticável.

Vocês possuem alguma outra metodologia?

Obrigado.
26/02/2024 16:15 · Membro 0003
É o tipo de quesitação estúpida que só dá trabalho ao perito
26/02/2024 16:16 · Membro 0003
Se for um arquivo de 2 gigas, ou 20 arquivos de 100 megas a quantidade em espaço seria a mesma, mas a qualificadora não
26/02/2024 16:19 · Membro 0003
Além do que tem muito conteúdo de adolescente que é difícil, ou até perigoso, afirmar se tratar de conteúdo relacionado a pedofilia.
26/02/2024 16:21 · Membro 0076
É outro problema que estou tendo. O cara tem pornografia de 8 a 80 anos.
26/02/2024 16:21 · Membro 0003
Como tem muito conteúdo eu explicaria isso e diria que há acima de 50, 100, 200 vídeos os quais é possível afirmar tratar-se do assunto, contudo há muito conteúdo que não é possível afirmar, porém há a suspeita. E que a quantificação por Mb não seria adequada para o caso
26/02/2024 16:22 · Membro 0112
se vc comparar com uma base de hashes de pedofilia conhecidos, não bate os hashes?
26/02/2024 16:22 · Membro 0003
Encaminharia tudo e deixava eles se resolverem para ver o que é e o que não é. Mas passaria por uma base de hash para afirmar o que já é conhecido
26/02/2024 16:22 · Membro 0112
daria pra contar a quantidade de "hits" e dar uma ideia de qtdd
26/02/2024 16:22 · Membro 0076
Até bate, mas seria um subconjunto só.
26/02/2024 16:23 · Membro 0112
aí vai depender do q o juiz considera "grande quantidade"
26/02/2024 16:23 · Membro 0112
eu diria que há "pelo menos" XXX arquivos relacionados a pornografia infantil... e blablabla
26/02/2024 16:24 · Membro 0112
eu diria que se vc disser mais que 100, o juiz já considera grande qtdd
26/02/2024 16:25 · Membro 0003
Pois é, o que tenho observado é que quando é compartilhado por telegram ou WhatsApp, dificilmente o hash dá hit
26/02/2024 16:28 · Membro 0112
uma dica: reforce essa parte de ele compartilhar com outra conta dele mesmo, pq na ultima audiencia que me chamaram pra defender o laudo, o advogado queria livrar o cara argumentando que mais de 3TB de arquivos poderiam ter sido colocados e organizados em pastas bonitinho de forma automatica pelo software de P2P, sem que o cliente dele quisesse.
26/02/2024 16:43 · Membro 0155
Eu não confirmo quantidade. Quando vem com esse tipo de quesito, que considero estúpido, ignoro a pergunta e só falo que todos os dados referentes ao quesito em questão seguem no diretório tal. Depois ainda falo que a análise foi com filtros automáticos e por breve amostragem, e mais dados importantes podem estar na extração

Origem 058 — 29/04/2024 10:59 a 11:28 — Metadados EXIF/JPEG e individualização de câmera

29/04/2024 10:59 · Membro 0164
Bom dia pessoal, estou com uma dúvida. Estou com um caso em que preciso confirmar a data de criação (quando foi produzido) um arquivo de vídeo e imagem. Utilizando Windows 11, verifiquei que nos metadados do arquivo que ele possui a data de criação de a data de modificação, o problema é que parece confuso, as propriedades do arquivo apresenta a data de criação como posterior a data de modificação. Processei a imagem de um pendrive pelo IPED, o arquivo de vídeo apresenta a data de criação posterior a data de modificação. Exportei esse arquivo para uma pasta do Windows e aí confirmou o que eu esperava, a data de modificação continuou a mesma e a data de criação mudou para a data em que eu exportei o arquivo, ou seja, a data de criação se refere a data em que o arquivo foi criado no novo dispositivo? No caso a minha estação de trabalho, e a data de modificação seria a data de produção do arquivo? é isso mesmo? que confusão.
29/04/2024 10:59 · Membro 0164
ficou um pouco longo, mas é para tentar explicar o melhor possível. Sei que ja devem ter discutido isso aqui mas nao achei.
29/04/2024 11:01 · Membro 0164
sei que é uma duvida tosca, mas o caso é sensível e nao estou seguro em como afirmar isso
29/04/2024 11:02 · Membro 0164
gostaria de uma certeza de como funciona esse processo.
29/04/2024 11:02 · Membro 0164
eu utilziei o ExifTool
29/04/2024 11:03 · Membro 0050
https://cyber-ssct.com/SANS%20Digital%20Forensic%20Poster.pdf
29/04/2024 11:03 · Membro 0164
aqui ele apresenta as datas que são as mesmas da data de moficação
29/04/2024 11:03 · Membro 0050
Bom dia. São vários cenários. Talvez este poster da Sans possa te ajudar no caso concreto
29/04/2024 11:07 · Membro 0020
É possível que o arquivo tenha sido copiado para máquina analisada e não necessariamente criado nela
29/04/2024 11:11 · Membro 0164
<Mídia oculta>
essa imgem possui informaçoes que estava falando, extraida do ExifTool
29/04/2024 11:11 · Membro 0164
data de modificaççao continua a mesma, data de criação foi a data que eu exportei o arquivo para o meu PC
29/04/2024 11:13 · Membro 0105
Exatamente.
Estou com um caso semelhante tbm.


Nesse meu caso eu consegui pegar registros de conexão USB próximos dessa nova data de criação, o que indica que foi copiada de um HD externo.
29/04/2024 11:14 · Membro 0039
<Mídia oculta>
2012_CleberScoralickJunior.pdf
29/04/2024 11:14 · Membro 0105
Veja se não encontra tbm registros desse tipo próximos dessa data.
29/04/2024 11:15 · Membro 0039
Talvez possa ajudar nos estudos a respeito das datas.
29/04/2024 11:15 · Membro 0164
no meu caso só veio o pendrive com os arquivos, pelo que vi os videos e fotos foram criados com oum Samsung A107 e copiados para o pendrive
29/04/2024 11:15 · Membro 0164
veio um adpatador OTG junto
29/04/2024 11:16 · Membro 0088
A data de modificação geralmente tem mais relevância q a de criação mesmo, visto q a de criação via de regra é a em q o arquivo foi copiado ou criado no dispositivo atual
29/04/2024 11:16 · Membro 0164
verifiquei o BO e consta que foi apreendido um aparelho celular A107
29/04/2024 11:16 · Membro 0048
Colega aqui da PCDF.
29/04/2024 11:16 · Membro 0088
e a de modificação em tese é a última vez que o conteúdo foi alterado
29/04/2024 11:16 · Membro 0164
exatamente isso que percebi
29/04/2024 11:17 · Membro 0088
O ruim é que são metadados sempre passíveis de falsificação, mas é o q temos...
29/04/2024 11:17 · Membro 0048
Por ironia na nomenclatura, a data de "modificação" é a menos modificada pelos sistemas de arquivos geralmente.
29/04/2024 11:17 · Membro 0048
O resto depende muito da operação e do sistema operacional
29/04/2024 11:18 · Membro 0088
pois é, é o sistema de arquivos que carrega esses metadados, o exifo internos são geralmente mais confiáveis
29/04/2024 11:19 · Membro 0164
entao se eu pegar esse arquivo e fizer qualquer modificação nele, ele vai alterar a data de modificação ? seria isso né, vou até testar isso aqui
29/04/2024 11:20 · Membro 0088
alterar o conteúdo
29/04/2024 11:20 · Membro 0088
e se vc copiar pra outra pasta a data de modificação se mantém, apenas a de criação se alterará
29/04/2024 11:20 · Membro 0048
Na maioria dos SOs e nas operações mais comuns, as rotinas só modificam a data de modificação quando operam na estrutura de dados que armazena os dados propriamente ditos do arquivo <Mensagem editada>
29/04/2024 11:21 · Membro 0088
Um teste q nunca fiz foi alterar a partir do volume físico no hexadecimal, suponho q o SO não vá detectar a alteração
29/04/2024 11:22 · Membro 0088
e não vá mudar a data de modificação
29/04/2024 11:22 · Membro 0164
vou ver isso tambem
29/04/2024 11:23 · Membro 0164
a nomenclatura que ficou confusa
29/04/2024 11:28 · Membro 0088
E se vc move o arquivo pra outra pasta, a data de criação continua a mesma kkk
29/04/2024 11:28 · Membro 0088
ao menos no NTFS

Origem 059 — 17/05/2024 09:51 a 10:15 — Análise de Registro Windows e arquivo NTUSER.DAT

17/05/2024 09:51 · Membro 0096
Pessoal, tudo bem? Estamos com um aparelho em que foi pedido para verificar se o usuário produziu um determinado vídeo.
Encontramos o vídeo na pasta do Instagram, então os metadados estão suprimidos. No entanto, vimos que ele está na subpasta *"/data/data/com.instagram.android/files/rendered_videos/"*, enquanto os demais vídeos estão em *"/data/media/0/Movies/Instagram/"*.

Acho que posso ao menos sugerir que o vídeo tenha sido postado pelo aparelho examinado, concordam? Tendo em vista que está na pasta de itens renderizados.
17/05/2024 09:57 · Membro 0096
O que encontrei no Google foi a seguinte descrição pra essa pasta "rendered_videos":

"Video shoot through Instagram cam is being segmented in audio and video files"
17/05/2024 09:59 · Membro 0048
Pode tb ou fazer uma reversa no código (complexo), ou pegar um aparelho de teste com a conta de teste, fazer o procedimento de produção de video, fazer extração e verificar como ficou o estado dos arquivos.
17/05/2024 09:59 · Membro 0117
https://www.researchgate.net/publication/353419063_Forensic_Analysis_of_Social_Networking_Applications_on_an_Android_Smartphone
17/05/2024 10:04 · Membro 0096
a descrição que colei foi exatamente deste artigo
17/05/2024 10:11 · Membro 0144
Exame de verificação de fonte é próprio do setor de áudio visual, é possível fazer analisando o vídeo questionado e algum vídeo gerado pelo próprio aparelho.
17/05/2024 10:15 · Membro 0117
O ALEAPP possui um parser FCM Queued Messages relacionadas ao Instagram. Pode ser interessante rodar na extração para ver se registrou algum artefato relacionado. <Mensagem editada>

Origem 060 — 25/06/2024 20:35 a 20:35 — / / Instalei o gpu package para o PA mais recente e desde

25/06/2024 20:35 · Membro 0155
Boa noite.

Instalei o gpu package para o PA mais recente e desde então a classificação de imagens e vídeos não classifica mais nada. Antes usava muito cpu e demorava muito, mas classificava.

É uma máquina com nvidia p620, que não está no rol de gpus suportadas.

Já aconteceu isso com alguém? E conseguiram resolver?

Origem 061 — 30/09/2024 15:14 a 15:56 — Triagem de vídeos e extração de frames

30/09/2024 15:14 · Membro 0130
Boa tarde, pessoal

quando acessamos os "stories" de um perfil no Instagram pelo navegador do computador, temos acesso apenas ao URL dos "stories" em si
Mas como saber o endereço URL de uma única imagem ou vídeo inserido "dentro" do próprio "stories"?

Muito obrigado!
30/09/2024 15:17 · Membro 0076
Boa tarde, [NOME]. Quando eu vou passando cada "quadro" dos stories, a URL vai mudando. Confere aí. <Mensagem editada>
30/09/2024 15:18 · Membro 0048
Pode tentar via ferramentas de desenvolvedor
30/09/2024 15:20 · Membro 0130
dentro de um mesmo Stories a URL não mudou
estranho
tentarei de novo aqui,Alexandre!
30/09/2024 15:20 · Membro 0130
falta habilidade técnica pra isso heeheh
30/09/2024 15:24 · Membro 0048
Resposta da IA detalhando o procedimento:
Para baixar vídeos de um story do Instagram, pode usar a ferramenta de desenvolvedores do navegador do seu computador:
Abra a foto ou vídeo que deseja baixar
Clique com o botão direito do mouse sobre a imagem
Selecione "Inspecionar"
Clique na seta à esquerda de "<div class="_4rbun"[...]"
Clique com o botão direito do mouse sobre o link direto da imagem
Selecione "Open in new tab" ou "Abrir em uma nova guia"
Clique com o botão direito sobre a imagem na nova aba
Selecione "Salvar imagem como..."

Também é possível baixar vídeos do Instagram usando outros métodos, como:

Usar o Insta Stories Viewer

Usar o site saveinsta.app

Usar o aplicativo FastSave para Instagram

Usar o save-free.com

Usar o Story Saver

Usar a extensão 4saved do Google Chrome
30/09/2024 15:27 · Membro 0130
haha boa,[NOME]!
Muito obrigado!
30/09/2024 15:56 · Membro 0130
O objetivo dessa pergunta é coletar provas que estão no Instagram


Como vocês procedem?

Origem 062 — 04/11/2024 11:14 a 11:46 — Extração e análise de mensagens do WhatsApp

04/11/2024 11:14 · Membro 0165
Bom dia, nobres, um dúvida. Recebi um vídeo via SEI com características de vídeo feito em celular (possivelmente via WhatsApp). A autoridade pergunta se a data informada no BO é a mesma data de gravação original do vídeo. Nas ferramentas que testei não consigo acessar a data original de criação, só as datas mais recentes de modificação e de cópia do arquivo de vídeo. Estou tentando verificar pelo hexa se ficou alguma assinatura da data original do vídeo. Possuem alguma sugestão para esse caso ou somente com o aparelho originário para extração desses dados do arquivo de vídeo? <Mensagem editada>
04/11/2024 11:16 · Membro 0166
Usa o software ExifTool <Mensagem editada>
04/11/2024 11:22 · Membro 0165
Ele me retornou as três datas recentes (criação, modificação e acesso) como sendo de 2024 (acredito que pela minha cópia do arquivo). Porém o processo e o BO falam em datas de 2023 <Mensagem editada>
04/11/2024 11:30 · Membro 0166
Então sugiro tu falar no laudo que sem o smartphone, não tem como garantir
04/11/2024 11:33 · Membro 0173
realmente. O ideal é estar com o arquivo original.
04/11/2024 11:36 · Membro 0165
Minha dúvida era se ficaria algum rastro acessível pelo hexadecimal da data de criação do arquivo original ou se ao longo das transferências de arquivo essa informação ia se perdendo.
04/11/2024 11:45 · Membro 0173
pois é. Estou acompanhando aqui no grupo pra ver se algum colega já fez algo semelhante, pois também me interessa saber. rsrs
04/11/2024 11:46 · Membro 0048
WhatsApp normalmente faz transcodificação visando performance, e normalmente no processo metadados são eliminados e/ou sobrescritos.

Origem 063 — 13/07/2025 12:45 a 14:05 — Uso do Magnet AXIOM/IEF em artefatos digitais

13/07/2025 12:45 · Membro 0021
Excelente!
Muito bacana!
É possível disponibilizar um link do vídeo e do TCC?
13/07/2025 12:48 · Membro 0091
Vou lhe enviar no privado
13/07/2025 12:48 · Membro 0021
Você já está usando a IA nos exames periciais?
13/07/2025 13:52 · Membro 0021
Salvo engano, o PA já tem IA para análise de imagens e vídeos, contudo é muito pesado e necessita de um PC com alto poder de processamento. <Mensagem editada>
13/07/2025 14:00 · Membro 0091
Achei q só tinha no axiom
13/07/2025 14:04 · Membro 0211
Boa tarde, sou novo no grupo e novo na pericia tb, se possível eu gostaria de materiais de estudo/ajuda para desempenhar o trabalho corretamente.
13/07/2025 14:05 · Membro 0211
Existe algum repositório do grupo?

Origem 064 — 15/07/2025 17:27 a 18:13 — Cálculo e verificação de hashes em grande volume de arquivos

15/07/2025 17:27 · Membro 0080
https://www.instagram.com/p/DMI0ILxs0HB/?igsh=dTBxenBlc3htaTZy
15/07/2025 18:13 · Membro 0045
Senhores, boa tarde, alguém já teve acesso ou chegou a ver se existe algum relatório ou forma de consulta, dos arquivos que são "desduplicados" pelo PA ?? eu sei que ocorre a "desduplicação", e no portal a Cellebrite afirma que “For data files (text, images, videos and more), duplicates are based on the hash value calculation.”, mas eu não consegui achar uma opção que confirme isso, ou alguma forma de relatório que demonstre qual o conteúdo atingido. É pra uns questionamentos que tô respondendo aqui, por conta dessa nova onda nacional que virou mina de ouro pros advogados. <Mensagem editada>

Origem 065 — 06/08/2025 18:31 a 18:41 — Root e extração em dispositivo Positivo

06/08/2025 18:31 · Membro 0166
pode pedir pro delta questionar ao banco qual era o IP, MAC do dispositivo
06/08/2025 18:37 · Membro 0049
https://www.metropoles.com/distrito-federal/grupo-usou-ia-para-invadir-contas-bancarias-e-desviar-r-110-milhoes
06/08/2025 18:39 · Membro 0049
Aqui já usaram deepfake para criar contas. Fintech tem sistemas de autenticação menos robustos, mas já pegamos em bancos tradicionais também.
06/08/2025 18:41 · Membro 0164
PA última versão aqui não tá mostrando as miniaturas dos vídeos. Ja perceberam isso ?

Origem 066 — 09/09/2025 17:09 a 17:10 — Triagem visual de imagens e vídeos no IPED

09/09/2025 17:09 · Membro 0015
tem algum metadados de arquivo de video, como mp4, que diz o modelo do aparelho celular que foi gravado o video, como acontece nas fotos?
09/09/2025 17:10 · Membro 0166
no IPED tem um filtro, salvo engano é "vídeo -> make"
09/09/2025 17:10 · Membro 0166
(posso estar enganado)

Origem 067 — 10/09/2025 21:45 a 21:46 — STK-20250528-WA0011.webp (arquivo anexado)

10/09/2025 21:45 · Membro 0147
https://g1.globo.com/pa/para/videos-jornal-liberal-2-edicao/video/mandados-no-para-ma-e-ba-sao-cumpridos-contra-grupo-que-fraudou-empresario-do-rs-13914534.ghtml
10/09/2025 21:46 · Membro 0147
STK-20250528-WA0011.webp (arquivo anexado)

Origem 068 — 01/02/2026 13:41 a 14:13 — Extração e análise de mensagens do WhatsApp

01/02/2026 13:41 · Membro 0112
bom dia, vcs usam o ImageJ para tratar videos de whatsapp?
to tomando uma surra por aqui.
Quando tento importar o mp4, ele avisa que não é suportado. ao tentar converter para "AVI RAW" como ele solicita, usando o ffmpeg ou o virtualdubmod, perde e muito em qualidade. como o intuito era melhorar a qualidade, não ta me ajudando muito....
01/02/2026 14:01 · Membro 0037
Boa tarde.
Há um plug-in desenvolvido por um colega de São Paulo (Claudemir, aposentado) que trata do que você precisa.
01/02/2026 14:03 · Membro 0037
Em tempo: videos oriundos do WhatsApp sofrem recodificação automática agressiva, de forma que qualquer "grande melhoria" não é passível de êxito.
01/02/2026 14:09 · Membro 0112
vc sabe o nome do plugin, ou onde eu consigo baixá-lo?
01/02/2026 14:09 · Membro 0112
não tenho grandes esperanças, mas é uma tentativa... 🤷🏼‍♂
01/02/2026 14:12 · Membro 0048
Handbreak. Melhor que conheço
01/02/2026 14:13 · Membro 0112
boa! não tinha pensado nele.

Origem 069 — 21/04/2026 14:29 a 15:19 — Imagem forense de mídia protegida por BitLocker

21/04/2026 14:29 · Membro 0117
Geralmente esse é o bitlocker com clear key. Normalmente eu monto a imagem no arsenal como somente leitura e uso o ftk pra gerar uma imagem lógica da Partição criptografada
21/04/2026 14:33 · Membro 0211
Ja que o FTK abre automaticamente o IPED deveria aqui tb... mas entendi
21/04/2026 14:43 · Membro 0037
Não necessariamente, colega. O IPED depende de uma biblioteca personalizada para fazer o parsing de imagens E01. Se ninguém fizer e aplicar o patch para suportar a montagem de tais volumes, não tem como isso ser feito "automaticamente" pelo IPED.
21/04/2026 15:00 · Membro 0105
Aqui quando o axiom consegue fazer o decryp, nós fazemos um esquema para depois processar no iped.

O Axiom consegue decriptar e deixar com extensão IMG. Abrimos essa imagem no FTK e exportamos a fisica no formato E01. Aí depois processamento ela já decriptada pelo IPED.

Da um trabalho, mas fica 100%.
21/04/2026 15:01 · Membro 0105
A imagem .IMG decriptada fica no diretório de processamento que vc configura no começo no axiom.

Entao nem precisa esperar processar no axiom, apenas pegar a imagem ja decript
21/04/2026 15:02 · Membro 0105
Usamos ele mais para decript mesmo.
21/04/2026 15:03 · Membro 0105
Fazemos esse esquema pq nos testes que fizemos a extensão IMG o iped se perde um pouco. Aí nessa conversao dá certo
21/04/2026 15:03 · Membro 0224
Eu fiquei com vontade de fazer isso, mas estava sem espaço no dia e fiquei em dúvida se iria dar certo! É com saber
21/04/2026 15:03 · Membro 0211
O axiom consegue fazer decrypt?? Mesmo sem a senha?
21/04/2026 15:03 · Membro 0105
Em alguns casos sim.
21/04/2026 15:03 · Membro 0224
Depende da versão do bitloker
21/04/2026 15:04 · Membro 0224
Já fiz com Windows 7 e 8, e já não consegui com 11
21/04/2026 15:05 · Membro 0105
E nos que ele não consegue decript, fornece opção de informar a chave.
Mais raro de ter, mas tbm é uma opção.
21/04/2026 15:05 · Membro 0211
E como vcs estão fazendo nos notebooks quando o drive é soldado na placa e esta encriptado? [NOME] Linux não rolou aqui comigo..
21/04/2026 15:06 · Membro 0224
Eu vou de Windows FE
21/04/2026 15:06 · Membro 0105
Normalmente fica prejudicado.

Mas esses velhos (positivo), eu consigo a copia via [NOME] e depois decript no axiom.

Ele tem tido sucesso nesses.
21/04/2026 15:07 · Membro 0105
Qual esquema esse?
21/04/2026 15:08 · Membro 0105
Vcs tem algum truque tbm para os macbooks e memoria soldada?

Mesmo com senha fornecida eu com dificuldades.
21/04/2026 15:08 · Membro 0218
https://www.winfe.net/home
21/04/2026 15:10 · Membro 0117
https://github.com/Lazza/Fuji
21/04/2026 15:10 · Membro 0105
Uhnn. Eu bootable. Que top.
Vou testar na próxima
21/04/2026 15:10 · Membro 0224
Já obtive sucesso com Windows FE também. Depois de montar o pen-drive de boot tem que instalar o FTK imager ou seu extrator favorito
21/04/2026 15:11 · Membro 0117
O método ASR é melhor, apesar de não recomendado mais por conta de alguns erros de aquisição que dava. Alternativamente eu faço um apple time machine para um drive sanitizado e depois exporto a Partição lógica de dados.
21/04/2026 15:11 · Membro 0105
Mas faz via o modo recovery?

Ou faz login no sistema?
21/04/2026 15:12 · Membro 0105
Eu tentei alguns métodos via modo recovery do Mac sem sucesso.

Via rsync, dd...
Todos davam erro em algum momento da cópia.
21/04/2026 15:15 · Membro 0105
Pelo oq entendi, vc precisa fazer login normalmente e depois fazer a aquisição com o fuji, certo?
21/04/2026 15:18 · Membro 0117
Faz login com a senha. Só seguir o tutorial do vídeo. Acontecia uns erros no método ASR que ele só gerava o dmg sparsed, aí tinha que ficar convertendo. Ou dava erro quando o cara modificou alguma coisa no macos que dava falha de selo. Mas dá pra tentar primeiro. Se não der certo eu iria de um time machine. Extrai bastante coisa geralmente, até o app do WhatsApp e o Apple notes. <Mensagem editada>
21/04/2026 15:19 · Membro 0105
Valeuu
Estou com uma pilha de macBooks para fazer 😅
Tomara que de boa em todos.