Triagem de vídeos e extração de frames
Categoria: CFTV, DVR, NVR, vídeo e formatos proprietários
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre triagem de vídeos e extração de frames no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, UFED Analytics, IPED, Magnet AXIOM, IEF, Autopsy, FTK. Os termos mais recorrentes neste tema incluem: video, mas, pra, foi, arquivo, videos, mais, data, ele, esse. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Usar extração de frames para triagem, não como substituto do vídeo original.
- Registrar método de seleção de frames quando usado no laudo.
- Preservar vídeo integral para conferência.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerUFED AnalyticsIPEDMagnet AXIOMIEFAutopsyFTKBitLockerWhatsAppTelegramPalavras-chave recorrentes
videomasprafoiarquivovideosmaisdataeleessecasoarquivospeloimagemmuitofazervoualgumaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 21/06/2017 09:21 a 10:02 — Triagem visual de imagens e vídeos no IPED
Pessoal alguém conhece algum software, de preferência free, que pegue um arquivo de video e faça a exibição de vários frames aleatório, tipo início meio e fim semelhante ao que o ief faz? Se é que vocês me entenderam...
O IPED faz isso
Esse é contínuo e não aleatório.
Obrigado pessoal vou testar todas as opções
O iped é muito bom para isso, além de ser extremamente rápido
Origem 002 — 24/03/2018 06:06 a 06:06 — Elaboração de laudo e relatório técnico pericial
É só apagar os vídeos pornográficos, sem interesse pericial, e constar no laudo kkk
Origem 003 — 12/04/2018 09:31 a 09:40 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia, pessoal!
Alguém já examinou um disco de NVR?
Estou com um que possui duas partições, uma ext2 e outra não reconhecia ( está como Linux Native).
Obs.: Não enviaram o equipamento NVR, apenas o HD.
Gerei a imagem do disco, processei no ftk, IEF, foremost e photorec, mas não consegui recuperar os arquivos de vídeo solicitados.
Com o DVR examiner conseguimos exibir os vídeos, porém com uma tarja (versão trial) e alguns não são permitidos exportar.
Alguma sugestão para resolver esse caso?
Alguém já examinou um disco de NVR?
Estou com um que possui duas partições, uma ext2 e outra não reconhecia ( está como Linux Native).
Obs.: Não enviaram o equipamento NVR, apenas o HD.
Gerei a imagem do disco, processei no ftk, IEF, foremost e photorec, mas não consegui recuperar os arquivos de vídeo solicitados.
Com o DVR examiner conseguimos exibir os vídeos, porém com uma tarja (versão trial) e alguns não são permitidos exportar.
Alguma sugestão para resolver esse caso?
Se tiver acesso ao HEX do arquivo do dvr examiner, identifique o header do cabeçalho do arquivo e pegue a imagem do disco e crie um caso no ftk fazendo um processamento de carve específico para o header observado na outra ferramenta.
N tem como descobrir nem o modleo do dvr?
Header do cabeçalho foi ótimo kkk
Origem 004 — 04/05/2018 07:42 a 09:00 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Ótimo, vou correr atrás desse cabo p ver se resolve meu caso. Muito obrigado!
Bom dia pessoal, algum Estado está fazendo extração jtag ou ISP? (Vi um vídeo da policia técnica do Ceará, acho q estão usando JTAG, correto?)
No Ceará não temos.
Opa, desculpa, confundi aqui, o vídeo é de Rondônia.
Origem 005 — 10/05/2018 11:16 a 11:41 — Triagem visual de imagens e vídeos no IPED
Kali tb é bom, baseado no debian, mas acho mais focado na parte de redes
a intenção é so acessar os arquvios do HD e poder abrir imagem, video e audio
e que tenha boa usabilidade
O [NOME] e o Deft são bons, o Deft é mais amigável pra montar e desmontar as unidades, mas o [NOME] tem mais ferramentas e mais codecs, inclusive é no [NOME] que o desenvolvedor do Iped, colega da PF, utiliza o iped.
Se a máquina estiver ligada vou rodar o Led a partir do pendrive, se estiver desligado vou usar alguma solução com bloqueador de escrita.
Não precisa de bloqueador, tanto o Deft quanto o [NOME] conseguem montar as unidades como somente leitura.
li que o [NOME] automaticamente ja inicia com as unidades montadas somente leitura
Na verdade nenhum dos dois, eu trabalho com os dois aqui, nenhum monta nada automático.
Origem 006 — 17/05/2018 10:42 a 14:39 — Conexão USB, ADB e diagnóstico de porta em Android
Ué, pq? Procedimento bem simples... Já desmontamos vários aqui. Para carregar a bateria interna diretamente , para trocar conector USB do aparelho...
Nunca tivemos problemas. Além disso, estes procedimentos possibilitaram extrações q não teriam ocorrido sem eles
Ainda não tenho os skills necessários para desmontagem de celular. Esses dias tentamos ver como desmontava um iPhone que tava com o conector USB estragado, vimos uns vídeos na Internet, mas não tivemos coragem.
Gostaria de saber se possuem algum POP de exame de Informática forense local. Que possam compartilhar para ajudar a elaborar o nosso?
Pode informar as ferramentas usadas e os procedimentos? Tem algum manual, lista ou vídeo passo a passo?
Geralmente vejo no YouTube... Temos chaves de precisão, ventosa e aqueles plásticos pra destravar as partes plásticas de encaixe (mas dá certo cartão, tipo do o SIM chip do ufed tb)
Tem alguns modelos que precisa remover a tela, aí tem uns vídeos que o cara aquece a tela do aparelho pra tirar a cola. Esses não fazemos pq tem uma boa chance de quebrar a tela, já que o equipamento correto seria uma mesa com aquecimento e sucção...
Mas a maioria é bem tranquila de desmontar
É. O que vi do iPhone tinha isso de usar aquecedor para tirar a cola e corria o risco de danificar o aparelho. Por isso, não animei fazer.
Gente, obrigado pela ajuda com o Power Off. Infelizmente, tentei algumas vezes aqui, mas o UFED não consegue chegar até o fim. Ele fica aguardando o celular rebootar e depois de muito tempo ele dá "impossível acessar a memória...". Mas, pelo menos, fiz o que pude.
Abraços.
Abraços.
Bah... Que pena... Não era pra ser 😅
Pois é. Pelo menos, tem um MicroSD de 64GB pra brincar.
Que pena mesmo! O importante que você fez o melhor e muitas vezes não conseguiremos desbloquear, extrair ou aplicar root no dispositivo. Sempre haverá alguma limitação ou impedimento.
extração com cabo 130 de primeira é raro. GEralmente na quinta tentativa que vai
Hehehehe! Vou tentar mais algumas vezes então.
Já consegui de primeira ou no máximo na segunda tentativa.
Teve um que eu consegui na duzentézima quinquagésima segunda
Passei uma manhã e uma tarde tentando
Persistência em primeiro lugar. Uma hora o dispositivo "cansa" e deixa extrair. Hehehehe
em sc foi usado o LED
Aqui tinham 6 alvos. Somente em 2 o LED acusou..
Outros 4 eram “falsos positivos”
Teve um que deu hash conhecido, mas era um arquivo q não tinha nada a ver
Achei que as investigações da senasp foram meio precipitadas, uma vez que a informação que tinhamos foi que os alvos baixaram mais de 8 mil arquivos..
Aqui encontramos muito material
E teve um caso que tinham vários arquivos zipados com senha
O colega usou o iped direto no HD
E encontrou muita coisa
O que eu peguei o alvo tinha baixado 21 vídeos ontem à noite
É... o meu só achei com iped
Foi para esse caso que vim aqui há alguns dias perguntar sobre algum manual para os Peritos que não eram especialistas. Em Minas foram 64 alvos em 30 cidades. Só pessoal de BH, especializado, foi em 20 alvos, se não me engano. Não sei se usaram o LED não. Na minha cidade não teve operação, então não fui.
Aqui no Ceará ouvi o relato de um colega de que o Led não encontrou nada e o nudetective encontrou arquivos de pornografia infantil
Origem 007 — 17/05/2018 14:43 a 15:38 — Cálculo e verificação de hashes em grande volume de arquivos
Seria interessante cruzar essas informações e quem sabe gerar um pop pra esses casos que me parece que vão virar frequentes..
De operações contra pedo
alguém poderia criar um KFF das imagens encontradas neste caso
para consulta e incremento de todas Unidades
Pois é a máquina foi apreendida, vamos confrontar essas informações
Aqui em MT fomos tbem, mas a maior parte dos casos era gente q compartilhava internet
Então achamos pouquíssima coisa nos computadores analisados
Aqui no ES apreenderam as máquinas e mandaram pra sede pra perícia e estamos emitindo laudos preliminares. Não teve perito na hora da operação
Pois eh... uma análise superficial, ordens da chefia
Aqui em MT estão insistindo muito para q sejam emitidos laudos preliminares, mas não estamos fazendo
Fazemos laudo de local quando constatado algo
A gente fez laudo de local tb.
Mas olha a trabalheira que é fazer um "preliminar" de informática
Digo... Não faz sentido...
Dai encheram o saco por causa desse preliminar, dai a gente nomeou preliminar de local
Você vai ter que analisar de qualquer jeito... E o trabalho pra se chegar até o ponto de análise muitas vezes é a parte mais difícil
O laudo é para garantir o flagrante
Materializar o flagrante
Nos nossos alvos aqui todos estavam com material explicito, praticamente
Acho interessante!
Aqui também fizemos laudo de local
Conversei com um colegaa da PF e ele disse que lá fazem um laudo de busca e apreensão
Foi esse nome que usamos aqui
ele poderia disponibilizar esse modelo [NOME]?
Aqui terminamos a operação às 19h20. Só encontremos indícios, os arquivos estavam excluídos. Levamos para a seção para realizar recuperação dos dados por filtro de imagem e vídeo pra acelerar o processo. Ficou executando e depois o exame foi continuado às 22h30. Só foi concluído o laudo às 12h40min pra garantir o flagrante.
Foi encontrado uma imagem e um vídeo. Posteriormente será usado o FTK para encontrar novas evidências.
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente
isso que dá flagrante
se o cidadão tem o arquivo latente ..... APF
se tem apagado ..... instaura inquérito e manda pro laboratório pra investigar.
O objetivo dessa ação ai era uma busca de arquivos latentes, para se encontrado, o laudo seria base para o APF
até pq arquivo apagado, em tese, nao configura esse delito ali .......
outra coisa que poderia ser constatado no local
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente:
Conversei isso com a delegada. Ela disse que o crime, de acordo com o EFA, é por aquisição, armazenamento e compartilhamento.
caso fosse encontrado algum program P2P ou troca de mensagens no celular
Logo, mesmo apagado, em grande quantidade, configuraria o APF
Enfim, essa decisão é dela
ahhh sim sim ai concordo [NOME]
tudo vai da caracterização do crime, mas pra que isso seja realizado de forma correta ..... teria que enviar o equipamento para o laboratorio para poder determinar a conduta do agente.
no caso ....... todos sabemos que demora.
Sim. Infelizmente a Delta realizou um flagrante sem ter provas só indícios. No final ela percebeu a falha que cometeu e pediu que fizesse a recuperação. Tudo isso foi no intuito tira lá do imprensado que ela mesmo entrou.
estamos falando daquele momento, na busca e apreensão ....
não achou, manda pro laboratório pra uma analise mais detalhada
por isso o LED é importante, ele ja faz essa busca no computador e ja separa os hash conhecidos
busca só de arquivos latentes
Origem 008 — 06/06/2018 10:37 a 10:48 — Recuperação de mensagens e vestígios do WhatsApp
Senhores bom dia. Por acaso alguém já precisou reproduzir algum áudio no formato “opus” recuperado do WhatsApp, que porventura não tenha sido recuperado completo ??. Como se tratam de fragmentos o Player identifica a assinatura mas não consegue reproduzir por que os arquivos não estão completos. Alguém já conseguiu reproduzir esse tipo de arquivo, caso eles não estejam completos ?? Já tentei importar no audacity, converter em outro formato, mas ainda não tive sucesso, alguém já enfrentou alguma dessas ??
Não tive experiência específica com OPUS, mas já consegui dezenas de vezes reproduzir áudios e vídeos incompletos com o mplayer em linha de comando.
Se eu não me engano, eu uso a opção -idx
kmplayer é bem tolerante com arquivos parciais.
Bom dia, ja recuperei audio opus mas nao reproduzia tambem. Não tentei recuperar pois todos tinham tamanho zerado
Origem 009 — 11/06/2018 11:32 a 13:04 — Quando é gerado um relatório do Reader e gravado numa mídia, depois sempre
Pessoal, quando é gerado um relatório do Reader e gravado numa mídia, depois sempre abre em inglês. Alguma solução pra isso? Pro usuário final não ter q tá mudando o idioma para português...
Sempre muda para inglês. E tem umas opções que desabilitam também.
Tipo o logo, sha256
Pessoal alguém já usou defraser
Ele restaura vídeos fragmentados
Você está se referindo à versão com o plug-in H264?
Não sei, entendi que restaura vídeos de diversos formatos
[MENCAO] a versão _free_, ie, sem suporte ao H.264 não é muito interessante, considerando que os DVRs atuais trabalham com esse codec. Quanto à capacidade de restauração, mesmo com a versão com o citado plug-in, não logrei êxito nos poucos testes que fiz.
Bom dia.
Alguém sabe de caso de solicitar informações de conta do Facebook/Instagram? Eles dão pra qualquer polícia, só com ordem judicial ou nem isso?
Alguém sabe de caso de solicitar informações de conta do Facebook/Instagram? Eles dão pra qualquer polícia, só com ordem judicial ou nem isso?
Estou fazendo um exame nesse momento sobre liga de acesso a um perfil do Facebook. A empresa encaminhou os dados por meio de ordem judicial.
Encaminhou os dados básicos da conta e os IPs de cada acesso. Com essa informação, chegamos na Lan House, que nos passou seus logs
Foi ordem simples? Tipo: juiz estadual mesmo?
Cruzamos as informações e chegamos em 12 suspeitos
Sim, foi um juiz de uma cidade do interior q requisitou os dados ao Facebook e mandou aqui pra pericia
Origem 010 — 13/07/2018 06:33 a 07:35 — Triagem visual de imagens e vídeos no IPED
Prezados, bom dia!
Estou com um caso de investigação de pedofilia, onde a autoridade deseja saber se o indivíduo fazia compartilhamento (já foi constatada a armazenagem de vídeos e imagens). Já verifiquei que o emule é o Utorrent estão instalados, porém foram customizadas as pastas de download/upload. Gostaria de saber dos senhores se podemos analisar algo mais além dos arquivos de configuração dos aplicativos? Teria mais alguma ferramenta específica além do IEF/Axiom, FTK e IPED?
Agradeço desde já!
Estou com um caso de investigação de pedofilia, onde a autoridade deseja saber se o indivíduo fazia compartilhamento (já foi constatada a armazenagem de vídeos e imagens). Já verifiquei que o emule é o Utorrent estão instalados, porém foram customizadas as pastas de download/upload. Gostaria de saber dos senhores se podemos analisar algo mais além dos arquivos de configuração dos aplicativos? Teria mais alguma ferramenta específica além do IEF/Axiom, FTK e IPED?
Agradeço desde já!
O IEF traz uma relação dos arquivos P2P compartilhados e o tipo de rede.
Ele menciona se o usuário fez o download do arquivo com sucesso e se o arquivo estava disponível para compartilhamento.
Origem 011 — 25/07/2018 20:31 a 20:45 — Dentro de outro projeto do Recod, o DeepEyes, foi desenvolvido um algoritmo capaz
Dentro de outro projeto do Recod, o DeepEyes, foi desenvolvido um algoritmo capaz de analisar filmagens em baixa resolução para identificar placas de carros. A ferramenta estuda frame a frame dos vídeos e pesca de cada um deles tr... - Veja mais em https://tecnologia.uol.com.br/noticias/redacao/2018/07/25/csi-nacional-algoritmo-brasileiro-quer-investigar-crimes-e-acidentes.htm?cmpid=copiaecola
Esse Deepeye tá disponível? Há algum similar? Eu tentei usar o Registax dezenas de vezes, mas só consegui algo satisfatório uma única vez.
Origem 012 — 08/08/2018 11:27 a 11:34 — Extração e análise de dados em iPhone/iOS
Ah não... Era o que faltava:
Tô 💯 palavras.. Apagar vídeo é pro perito fazer?
Aqui em Criciúma veio um pedido do MP pra que o perito realize "perícia" consistente em converter um arquivo de vídeo para o formato mp4 para rodar no PC do MP
Já solicitaram para gente algo parecido com isso também. Devolvemos prontamente.
Rapaz, isso é no mínimo estranho...
Kkkkk... Podiam inventar um programa que lesse vários formatos de vídeo, né... Ah, não, pera... Já existe... VLC
Aqui chegou uma perícia para apagar todas as informações existentes em um iphone de forma que não sejam possiveis de ser recuperadas...
Só faltou o juiz falar, reseta esse celular ai do preso pra eu utilizar em benefício próprio ou dos meus chegados...
A áudio e vídeo daqui faz isso.
Boa, devolver só as cinzas
Origem 013 — 11/09/2018 23:03 a 23:18 — Triagem de vídeos e extração de frames
para [EMAIL] por favor
e
[EMAIL]
Grato desde já!
e
[EMAIL]
Grato desde já!
Senhores boa noite, acabei de reenviar os links, por favor desconsiderem o primeiro, o arquivo é o SM-G570M_comsenha.rar, senha 570
Obrigado [NOME] e Danilo pelo alerta. Já estou fazendo um vídeo aqui pra ilustrar um passo a passo, sei que a maioria já deve saber como faz, mas praqueles que porventura ainda não fizeram nenhum, o vídeo vai economizar algum tempo de pesquisa.
muito obrigado [NOME]!
Origem 014 — 12/09/2018 01:34 a 01:39 — Aqui estão, desculpe a didática
Senhores aqui estão, desculpe a didática mas foi tudo de improviso, no entanto trata-se de um caso real ilustrando a técnica, que pode ser útil pra algum dos senhores. Dividi em três pra não ficar um arquivo muito grande e pq precisava de pausa entre uma etapa e outra também.
<Mídia oculta>
Vídeo 1/3
Vídeo 1/3
<Mídia oculta>
Vídeo 2/3
Vídeo 2/3
<Mídia oculta>
Vídeo 3/3
Vídeo 3/3
Origem 015 — 12/09/2018 08:07 a 08:07 — Extração e análise de mensagens do WhatsApp
Senhores muito bom dia, é com muito pesar que informo que os três vídeos vieram incompletos, o WhatsApp podou todos três pra 1:37, sendo que o primeiro tem 6 minutos, o segundo 11 e o terceiro 7, e o pior de tudo é que até as cópias que estão na galeria do celular também foram limitadas. Resultado, vou ter que gravar tudo de novo, pra mandar pro Google, portanto, DESCONSIDEREM ESSES TRÊS VÍDEOS QUE MANDEI, ESTÃO INCOMPLETOS, por favor me desculpem. Obrigado Farias, pelo aviso, vou tentar fazer ao longo do dia, esses três gravei ontem à noite, pq é o momento que fica mais tranquilo no IC, e que rende mais.
Origem 016 — 11/10/2018 08:39 a 09:08 — São 10, sendo que é um setor que engloba também as demandas de
Bom dia, [NOME]! São 10, sendo que é um setor que engloba também as demandas de fonética.
Obrigado, aqui são dois peritos dedicados para demandas áudio e vídeo e seis dedicados a informática Forense. Estamos tentando fazer um quadro comparativo com os institutos de perícia da região nordeste. Claro que em número de homicídios ninguém barra o Ceará
Vale lembrar que são 10 mas 6 começaram apenas agora em fevereiro de 2018! Nos anos anteriores eram 4 ou 5 pra atender a demanda
Verdade, [MENCAO] ! 👍🏻
Origem 017 — 24/01/2019 17:05 a 17:49 — Compatibilidade e extração em dispositivos Samsung Galaxy
Fez carving pelo ftk?
Não, o pessoal aqui me ajudou a fazer um código em C pra exportar os vídeos com o período q precisava
Submeti esse caso no programa do [NOME], mas esse foi feito pra dhfs2
https://www.redhat.com/pt-br/campaign/red-hat-free-courses
pra quem quiser lembrar os tempos de CPD ... é free
Alguém já extraiu um Samsung Z200M?
Ele não usa android..
Um tal de Tizen 2.4
Origem 018 — 01/02/2019 17:33 a 18:23 — Cálculo e verificação de hashes em grande volume de arquivos
Boa tarde. Algum IC já recebeu solicitação da justiça para que os arquivos anexos dos laudos fossem compatíveis com o sistema de armazenamento deles?
em que sentido? pq além de textos planos existem muitos formatos diferentes de arquivo que enviamos em mídia óptica junto ao laudo
eles estão pedindo que os vídeos sejam em determinados Codec e contêiner? (por exemplo)
não só videos. qquer arquivo enviado que seja prova.
Querem que os arquivos sejam compatíveis com o SAJ para upload?
entendi. falei de vídeo pra mostrar que tem variedade de formato pra caramba
Ainda estão com essa bobagem?
Com uma das varas de Tubarão eu liguei pra lá e expliquei que era inviável. Que era muita informação para upload e que mais simples e comum aqui no sul era o arquivamento das mídias na secretaria da vara, com o empréstimo ou cópia delas para as partes
Com uma das varas de Tubarão eu liguei pra lá e expliquei que era inviável. Que era muita informação para upload e que mais simples e comum aqui no sul era o arquivamento das mídias na secretaria da vara, com o empréstimo ou cópia delas para as partes
Levei mais de.meia hora pra pessoa entender. Mas adotaram a sugestão
ja explicamos por oficio, mas estao insistindo.
Pessoalmente não chegaram a tentar?
O saj aceita poucos formatos, que eu saiba...
O saj aceita poucos formatos, que eu saiba...
Um relatório do ufed não vai dar nunca
já teve pedido de "cliente" aqui no DF pra enviar todas as informações "formato Excel"
Tentamos sim! O Giulli foi lá na Vara e explicou pessoalmente! Eles fingiram que entenderam, mas continuam devolvendo os laudos com as mídias, exigindo que coloquemos TUDO em formato compatível com o SAJ
E que cada arquivo deve ter até 20 Mb (sic) 🤭
aí só uma reunião em nível de direção entre as instituições pra esclarecer
Já explicamos, desenhamos, e daqui a pouco seremos presos
Sim. Esse é um dos problemas
Mas eu sinceramente não entendo o pq de não aceitarem
A gente cumpre os prazos e eles não aceitam os laudos
Um argumento que usei (pra trabalhar o psicogico deles) foi dizer que só essa vara estava incomodando que todas as outras aceitavam e conseguiam utilizar numa boa. Tanto que nunca tinha ouvido pedido igual
Ela me disse "verdade? Vou ver com o doutor".
Aí deu certo
Aí deu certo
Putz. O jeito é pedir dilação generalizada informando que o trabalho agora é converter arquivos.
Vamos montar uma equipe especial pra conversão de arquivos
Este procedimento não encontra respaldo no POP da SENASP, na verdade vai de encontro a este, vez que há previsão para geração de hash
Exato! Já foram feitos alguns ofícios discursando sobre o hash tb
Já tentaram falar com o MP?
Uma solução que vem aparecendo é disponibilizar online, mas isso requer um infra muito boa e cara
Origem 019 — 01/02/2019 21:20 a 22:05 — Cálculo e verificação de hashes em grande volume de arquivos
https://techcrunch.com/2019/02/01/facebook-google-scandal/amp/
Vez em quando nós criamos uma conta de armazenamento em nuvem dessas gratuitas, compactamos todos os arquivos em um 7z, encriptado, e com senha, e disponibilizamos o link pra donwload..
No laudo vai o hash do arquivo compacto..
Se fosse eu pegava todos os Arquivos de vídeo, inclusive os corrompidos e gravava em um HD de 2 TB e mandava ele cheio de vídeos para eles. Iam ficar 5 anos upando esses vídeos no sistema
Nunca mais iam pedir
Uma das exigências: não ser criptografado! 🤣
A criptografia é uma segurança a mais, na verdade.. mas se não exigem, manda sem.. rs
Origem 020 — 03/02/2019 14:31 a 14:33 — Já recebi aqui em MS
Já recebi aqui em MS, mas falamos que a conversão dos vídeos em outro formato, poderia comprometer a qualidade dos vídeos. Solicitamos que eles realizassem a manutenção do sistema deles para efetuarem uploads de todo tipo de formato de video.
Passo pelo mesmo drama, [NOME].
Origem 021 — 13/04/2019 11:56 a 13:00 — Extração e análise de mensagens do WhatsApp
https://www.bbc.com/portuguese/brasil-47825687
Muito provavelmente o autor do laudo faz parte desse grupo. Caso bastante bizarro segundo a reportagem
Parabéns aos peritos em informática de MG 👏🏼👏🏼👏🏼
Tem como passar o nome do arquivo e algumas palavras chaves do conteúdo para acrescentar aqui no procedimento de busca de pedofilia?
Já achamos um manual desses por aqui também.
Esse tá manual da SENASP
O pessoal lá tá achando ruim compartilhar o documento. O caso é que numa das fases do Luz na Infância, um Perito aqui de Minas (não de computação) foi preso com pedofilia no computador dele.
http://jornaldovalenanuque.com.br/perito-da-policia-civil-que-era-de-nanuque-foi-preso-foi-preso-na-operacao-luz-na-infancia-ii/
Quem sabe o hash do documento
Pra por nas bases de identificação de hash
A questão é não compartilhar, mas disponibilizar palavras chaves que aparecem no documento para a gente inserir nas buscas ou o hash do documento mesmo, mas uma mudança de uma letra e pronto né
Não faço ideia. No entanto, pdf tem cabeçalhos q são ignoráveis. Pode mudar um valor lá e pronto tb
Acho válido o hash e suas alterações a medida que forem identificadas.
poderia ser adicionado na base do LED
usar o LED para identificar imagens, vídeos e documentos, né
No caso não vai bastar um hash. Precisa gerar no formato do LED pra adicionar na base
Mas meu sonho mesmo era uma base de hash desses vídeos comédias de whatsapp, de vídeos e áudios de show de cantor sertanejo, e de memes. Pra usar como ferramenta para exclusão de arquivos inúteis! 😂
Mas as vezes os vídeos de comédia são bons para dar uma desopilada
Aqui ele foi achado pelo LED mesmo, com o uso da base de hashs dele mesmo, era um pdf. Já mandamos embora e não guardei nenhuma cópia, um troço asqueroso.
O led não procurar somente por hash, e o termo pthc pegaria com certeza nele
A base do led é bem extensa! Fui tirar os hashs pra importar no autopsy, foi uma trabalheira grande..
Origem 022 — 14/06/2019 10:44 a 12:27 — Metadados EXIF/JPEG e individualização de câmera
Bom dia! Recebi um vídeo com 4 horas de duração. Ele está em formato mp4, mas verifica-se que ele é o resultado de uma edição de vários vídeos. O quesito é: "Verificar se as cenas que constam no vídeo foram gravadas no mês de abril de 2019."
Eu entendo que não tem como afirmar. O vídeo não tem legenda e verificando o contéudo em hexadecimal. não constam datas.
Alguém tem alguma outra ideia?
Bom-dia!
Pela resposta, parece-me, s.m.j, que esgotou a questão.
Pela resposta, parece-me, s.m.j, que esgotou a questão.
Minha estratégia seria analisar as possíveis datas sobre dados, as quais seriam:
- Datas em documentos diversos
- Datas em sistemas de arquivos (mac time)
- Datas em metadados da extensão/container
- Datas impressas na imagem do vídeo
- Condições relativas de tempo. (Por exemplo, vc sabe q determinado objeto foi construído em tal data. Se o objeto está na imagem, o vídeo é pelo menos posterior a data. Se não estiver na imagem, o vídeo é anterior)
Se vc não conseguiu olhando nenhuma delas, então não sei mto o que fazer.
- Datas em documentos diversos
- Datas em sistemas de arquivos (mac time)
- Datas em metadados da extensão/container
- Datas impressas na imagem do vídeo
- Condições relativas de tempo. (Por exemplo, vc sabe q determinado objeto foi construído em tal data. Se o objeto está na imagem, o vídeo é pelo menos posterior a data. Se não estiver na imagem, o vídeo é anterior)
Se vc não conseguiu olhando nenhuma delas, então não sei mto o que fazer.
Esse artigo talvez ajude:
*MP4 Video Authentication Using File Structure and Metadata*
http://digital.auraria.edu/content/AA/00/00/37/64/00001/Hall_ucdenver_0765N_10602.pdf
*MP4 Video Authentication Using File Structure and Metadata*
http://digital.auraria.edu/content/AA/00/00/37/64/00001/Hall_ucdenver_0765N_10602.pdf
recomendo: https://www.dfrws.org/sites/default/files/session-files/pres-video_authentication_using_file_structure_and_metadata.pdf
inclusive as referências dessa apresentação
Tb não sei. Sei que a partição de EFI tem vários arquivos de firmware usados no boot e dados das outras partições, mas não sei se tem datas. Tem que ver a especificação da versão desse EFI.
e tem outro problema tb, é um Mac. A partição principal q teria o SO, só tem uma pasta chamada "Macintosh HD" e dentro dela está o sistema de arquivos do SO. não sei se isso é padrão tb.
complicado. acho que tem que pesquisar alguma ferramenta de EFI. Acho que no MAC o EFI é meio pró-forma. Ele só faz o emcaminhamento para o boot tradicional
mas não sei se tem alguma ferramenta que apresente dados da partição e tb se o EFI guarda data de alguma coisa
Origem 023 — 19/06/2019 10:40 a 11:34 — Triagem de vídeos e extração de frames
Bom dia senhores!
Alguem sabe informar se há uma remota chance de recuperar videos apagados por metodo de sobrescrita de um aparelho DVR?
Alguem sabe informar se há uma remota chance de recuperar videos apagados por metodo de sobrescrita de um aparelho DVR?
Utilizando Softwares pagos apenas?
Sim, estou me referindo a software proprietário específico (HX-RECOVERY).
Entendi Danillo! Infelizmente aqui em PE nao temos a licença dele 😓
Ja conseguiu recuperar dados em casos no seu Estado ?
Se for dvr intelbras, dhfs2.0 a solução gerada pelo perito [NOME] do RN recupera perfeitamente
Por método de sobrescrita... pelo nome eu diria que não.
Estou montando uma especificação de pedido de estação forense aqui e precisava de uma ajuda para não construir um frankstein q não existe ou extremamente caro. Alguém tem alguma já pronta que use o processador [Quad CPU] Intel Xeon Platinum 8180M @ 2.50GHz
https://ark.intel.com/content/www/br/pt/ark/products/120498/intel-xeon-platinum-8180m-processo [ID-CASO]
https://ark.intel.com/content/www/br/pt/ark/products/120498/intel-xeon-platinum-8180m-processo [ID-CASO]
Tuso vai depender de quanto tempo o dvr continuou gravando após o fato em apuração. Já consegui em alguns casos recuperar fragmentos de alguns segundos aleatórios de vídeos bem antigos
Entendi. Vou saber ainda a marca do DVR mas os esclarecimentos de vcs ja me deram um norte!
Muito obrigado!
Muito obrigado!
https://diariodonordeste.verdesmares.com.br/editorias/seguranca/imagens-recuperadas-mostram-pms-recolhendo-objetos-1.2109818
[MENCAO] teve alguns casos de sucesso aqui
Sim, direto, a ferramenta é muito boa, pois é de um chinês e ele está sempre atualizando....
A ferramenta do [NOME] só serve para DHFS (Dahua File System), presente em Intelbras e outros brands chineses.
Essa ferramenta está disponível?
Sim, se fizer uma busca no grupo de e-mail irá achá-la.
Show de bola gente, muito obrigado pelo retorno!
Origem 024 — 20/06/2019 11:00 a 11:08 — Ou indicar outras fontes de conhecimento
Ou indicar outras fontes de conhecimento?
Colega, recebi esse feedback de um perito de áudio e vídeo aqui do Ceará
Não. Não pode. Assinamos até um termo aqui. Tem que entrar em contato com a Senasp diretamente..
Hum nao sabia dessa situacao. Tinhamos apenas 1 perita q fazia esse tipi de exame, mas aposentou.
Origem 025 — 13/01/2020 10:40 a 10:40 — Triagem de vídeos e extração de frames
Bom dia senhores e senhoras!
Fui convidado pra ensinar informática forense pela primeira vez em uma pós graduação, que é um grande desafio pra mim. O tempo para estudar e elaborar o material é bem curto. Por gentileza, os nobres colegas podem disponibilizar por exemplo apresentações, antigos, monografias e/ou vídeos relacionados a legislação aplicada a crimes de informática e perícia em informática? Aceito sugestões. meu e-mail: [EMAIL].
Fui convidado pra ensinar informática forense pela primeira vez em uma pós graduação, que é um grande desafio pra mim. O tempo para estudar e elaborar o material é bem curto. Por gentileza, os nobres colegas podem disponibilizar por exemplo apresentações, antigos, monografias e/ou vídeos relacionados a legislação aplicada a crimes de informática e perícia em informática? Aceito sugestões. meu e-mail: [EMAIL].
Origem 026 — 20/01/2020 08:44 a 08:45 — Extração em dispositivos Realme/Oppo
Pessoal, verifiquei aqui os scripts para recuperação de dvr intelbras e dentro do arquivo compactado que enviei, na pasta "h264/dhav" realmente constam os scripts "juntar.sh e prejuntar.sh".
Cheguei a fazer um pequeno manual bem básico aqui pro pessoal do áudio e vídeo fazer o procedimento lá no setor dele sem precisar de muito auxílio do pessoal de informática.
<Mídia oculta>
manual-dvr.odt
manual-dvr.odt
Origem 027 — 01/04/2020 11:20 a 12:06 — Quesitação e delimitação de escopo em exames digitais
Olá senhores! Recebi um ofício em uma perícia de vídeo que o advogado de defesa questiona se é possível realizar "leitura labial" dos envolvidos.
Alguém com mais experiência poderia sugerir um caminho para responder tal indagação?
Alguém com mais experiência poderia sugerir um caminho para responder tal indagação?
Vocês tem alguma seção de perícias em áudio e imagem?
Não, é tudo incorporado no setor de Informática
Posso te passar contato dos colegas de áudio e vídeo do Paraná e Santa Catarina
Leitura labial só no Fantástico 🤣🤣🤣 Acho q isso não é atribuição nossa.
Concordo Farias!
Acho que é uma técnica que não cabe a nós. Só queria um caminho para responder esse quesito de forma elegante, sem "falar besteira" sabe?
Acho que é uma técnica que não cabe a nós. Só queria um caminho para responder esse quesito de forma elegante, sem "falar besteira" sabe?
Inclusive, em nenhum momento do vídeo dá pra ver os envolvidos conversando
o advogado fez 36 quesitos para esse caso. Um pior que o outro
saiu atirando pra todo lado
Esse tipo de perícia deveria ser filtrada pelo próprio IC. Não era nem pra chegar no setor.
Verdade. Chega cada aberração aqui. Infelizmente são poucos profissionais, alta demanda, acaba passando tudo 😔
A denise me respondeu aqui, vou falar no pvt
Origem 028 — 15/06/2020 20:38 a 21:25 — Extração e análise de dados em iPhone/iOS
Pessoal, boa noite. Tudo bem?
Vou encaminhar uma dúvida de um colega aqui pra ver se alguém tem alguma ideia...
Vou encaminhar uma dúvida de um colega aqui pra ver se alguém tem alguma ideia...
Celular com fotos de pedofilia, mas localizadas no cache do chrome.
Neste caso vcs veem alguma ideia para afirmar alguma intenção do cidadão?
Verificou se tem torrent instalado no aparelho?
Tem torrent no histórico de navegação.
Encontrou aqueles termos pthc etc nesse histórico?
Para o perito criminal que atua em Comparação Forense, a 'intenção' não é do seu interesse, mas sim confirmar ou refutar a hipótese (decorrente da quesitação). "Intenção ou não" é matéria atinente à defesa e a acusação em contraditório judicial.
* Computação (e não "Comparação").
nesse caso, o histórico de buscas na internet pode ajudar .
Beleza. Eu quis dizer mais no sentido de o conteúdo do cache não ser refutado facilmente.
Se for só essas duas ocorrências eu apenas, se nenhum outro vestígio foi encontrado, explicaria o que é um "cache" e relataria as ocorrências. Mas pelo que você falou o histórico possui conteúdo relevante.
Sim.
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008)
Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: (Incluído pela Lei nº 11.829, de 2008)
Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais. (Incluído pela Lei nº 11.829, de 2008)
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008)
Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo explícito ou pornográfica por meio de adulteração, montagem ou modificação de fotografia, vídeo ou qualquer outra forma de representação visual: (Incluído pela Lei nº 11.829, de 2008)
Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos genitais de uma criança ou adolescente para fins primordialmente sexuais. (Incluído pela Lei nº 11.829, de 2008)
Entendi, mas acho (só acho) que em um primeiro momento, você não precisaria esgotar o assunto, mormente se não houver quesitação mais específica sobre.
Se possui licença do analytics desktop seria interessante fazer a análise por ele também
Tem imagens ou vídeos? Ou só registros de armamento ou buscas?
Imagens no cache do chrome
Não cheguei a mexer. O que vc acha que traz de interessante pro caso?
§ 1 o A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
§ 2 o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e
§ 2 o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas descritas nos arts. 240, 241, 241-A e
Ele procura muito bem imagens de nudez (inclusive de crianças), classifica trechos de vídeos por intervalo onde aparecem as cenas de nudez
Pessoal, mudando de assunto, gostaria de saber se no estado em que atuam há alguma nota técnica, ou outro documento, que trate das perícias criminais computacionais para material que comprende vários volumes, v.g., "20 HDs'," 55 celulares", etc.
Pois é, aqui, em uma gestão anterior da polícia técnico-científica, chegaram a elaborar uma minuta para orientar no sentido de fazer o exame por amostragem.
Mas não foi pra frente...
aqui no Paraná nao tem documento específico sobre isso, mas temos quebrado a requisição em varias menores, e fazemos vários laudos.
é um jeito de agilizar a resposta
No Ceará a gente também quebra em vários laudos
Bom saber, obrigado pelo retorno! 👍
Alagoas é similar!
Aqui já aconteceu de entrarmos em contato com a autoridade pra saber quais eram os equipamentos principais, de modo que a perícia foi centralizada nestes equipamentos! Tendo em vista que a operação realizadas pela PC apreendeu muita coisa inútil!
Foi uma operação contra revenda ilegal de iphones e importados... Algumas das lojas possuía esquipamentos para manutenção de clientes, que foram apreendidos na operação!
O delegado delimitou os equipamentos dos alvos e os equipamentos que poderiam ter materia relevante para a persecução penal!
Aqui no Acre igual.
Origem 029 — 30/06/2020 09:24 a 10:41 — Extração e compatibilidade em Samsung SM-G355M
Bom dia! Estou com um celular SM-G355M inoperante que no cartão de memória tem um vídeo cujo metadados registra data de criação com indícios de estar em UTC comparando pela hora do fato declarado. A questão é cada celular registra no metadados de vídeo em UTC ou depende de marca e modelo?
Bom dia! Vamos votar e compartilhar com os mais próximos. 👍🏻
Boa companheiro....votado e compartilhado já...rumo ao art.144...
tem voto *negativo* 😡
Positivo 👍🏻
Lembrar que a data é universal, a localização é dada na visualização
Segue metadados do arquivo e Exif
ExifTool Version Number : 12.01
File Name : 20160513_141724.mp4
Directory : E:/[TELEFONE]
File Size : 32 MB
File Modification Date/Time : 2016:05:13 14:18:42-03:00
File Access Date/Time : 2020:06:25 17:34:32-03:00
File Creation Date/Time : 2020:06:25 17:34:32-03:00
File Permissions : rw-rw-rw-
File Type : MP4
File Type Extension : mp4
MIME Type : video/mp4
Major Brand : MP4 Base Media v1 [IS0 14496-12:2003]
Minor Version : 0.0.0
Compatible Brands : isom, 3gp4
Media Data Size : 33884931
Media Data Offset : 32
Movie Header Version : 0
Create Date : 2016:05:14 01:18:42
Modify Date : 2016:05:14 01:18:42
Time Scale : 1000
Duration : 0:01:17
File Name : 20160513_141724.mp4
Directory : E:/[TELEFONE]
File Size : 32 MB
File Modification Date/Time : 2016:05:13 14:18:42-03:00
File Access Date/Time : 2020:06:25 17:34:32-03:00
File Creation Date/Time : 2020:06:25 17:34:32-03:00
File Permissions : rw-rw-rw-
File Type : MP4
File Type Extension : mp4
MIME Type : video/mp4
Major Brand : MP4 Base Media v1 [IS0 14496-12:2003]
Minor Version : 0.0.0
Compatible Brands : isom, 3gp4
Media Data Size : 33884931
Media Data Offset : 32
Movie Header Version : 0
Create Date : 2016:05:14 01:18:42
Modify Date : 2016:05:14 01:18:42
Time Scale : 1000
Duration : 0:01:17
No Exif a data/hora de criação é compatível com data/hora do fato se estiver em UTC
Origem 030 — 20/07/2020 17:28 a 17:33 — Elaboração de laudo e relatório técnico pericial
Pessoal preciso de uma ajuda. O que os senhores relatariam ao estar analisando um celular de um traficante e encontrassem um vídeo em que uma suposta mãe (aparentemente bem jovem), fumando o que sugere ser maconha, coloca o cigarro na boa de uma criança que aparenta ter de 3 a 4 anos e parece ensinar a criança a fumar e depois coloca o cigarro na boca de outra criança que aparentemente rejeita a ação e o vídeo acaba?
Eu citaria no laudo o vídeo é recortaria um frame para inserir no laudo deixando claro o w se trata
descreveria a ação assim como você fez porem utilizando termos que sugerissem "idade" e "substancia"
Obrigado, já estava capturando os frames e vou dissertar um pouco sobre a dinâmica
Origem 031 — 16/10/2020 17:48 a 20:03 — O fato é o seguinte: o cara segura uma arma de fogo e
Zoom digital... Não ajuda
Queria algum melhoramento em nível de granulometria
O fato é o seguinte: o cara segura uma arma de fogo e coloca na cintura. Dá p ver que é uma arma de fogo mas no zoom distorce muito. Queria melhorar essa imagem
Para quem se dispuser a ajudar posso disponibilizar o frame no pv
https://research.fb.com/publications/neural-supersampling-for-real-time-rendering/
https://research.fb.com/blog/2020/07/introducing-neural-supersampling-for-real-time-rendering/
fora de IA, não há técnica de "interpolação" de pixels que melhore a definição de imagem
STK-20200904-WA0031.webp (arquivo anexado)
DVRs normalmente geram imagens terríveis em termos de definição e nitidez, a rigor “melhorias” não devem ensejar, de forma alguma, alterações na imagem original, sob pena de estarmos inserindo/alterando informações na prova, ou seja, infelizmente não tem muito o que fazer.
Há alguma ferramenta que faça a técnica chamada superresolution? (não seria essa do vídeo)
nada mais do q reduzir ruído no fim das contas, a partir e uma média
Rede neural vc vai precisar de uma base de testes para poder treinar a rede para fazer o "enhance" da imagem.
Superresolução, tb acho que vc precisa de uma amostragem de vários quadros da cena para poder "interpolar" pixels intermediários
há alguma ferramenta que já venha com um botão mágico "superresolution"?
e vc forneça a sequência de imagens
Acho que de celular geralmente tira borrado.
Já vi programa que faz
Opa... motion blur a gente já fez por aqui... fiz um trabalho com resultado bem bacana, usando, incialmente, o ImageJ, só que o Delta reclamou por que o resultado saiu em preto e branco 🤦♂️🤦♂️🤦♂️... e um tempo depois um outro colega daqui refez, já em cores, e o resultado ficou melhor ainda. Ele usou o matlab, ficou show. Se alguém quiser, informo qual o algoritmo que foi usado, e os parâmetros pro nosso caso, e o resultado obtido, só pra servir de apoio pra alguma necessidade local de vocês.
Origem 032 — 24/05/2021 09:49 a 11:08 — Extração e bloqueios em Xiaomi/Redmi/POCO
Caros, bom dia!
Chegou-me uma dúvida, via Gaeco de nossa região, sobre um celular do qual eles fizeram uma extração.
Existe, na memória do dispositivo (Redmi 8), uma pasta "Televideos", na qual estão armazenados diversos arquivos de vídeo, seguindo o formato de nomenclatura apresentada na foto que envio a seguir.
Por acaso, esse formato apresentado na imagem é familiar a algum dos colegas? A dúvida principal é saber se, eventualmente, tais vídeos foram enviados/recebidos por algum aplicativo mensageiro.
Chegou-me uma dúvida, via Gaeco de nossa região, sobre um celular do qual eles fizeram uma extração.
Existe, na memória do dispositivo (Redmi 8), uma pasta "Televideos", na qual estão armazenados diversos arquivos de vídeo, seguindo o formato de nomenclatura apresentada na foto que envio a seguir.
Por acaso, esse formato apresentado na imagem é familiar a algum dos colegas? A dúvida principal é saber se, eventualmente, tais vídeos foram enviados/recebidos por algum aplicativo mensageiro.
Tem a ista dos APKs instalados, ou desinstalados?
Não tenho essa relação comigo. Tirei esta foto na sede deles, enquanto estive lá no dia de ontem.
Mas, acho que consigo essa listagem mais tarde.
Mas, acho que consigo essa listagem mais tarde.
Vc pode ver se tem algum aplicativo que possa produzir isso fazendo uma reversa, vendo se ele escreve no armazenamento interno em diretório homônimo, ou mesmo com nome Televideos, ou algo assim
[MENCAO] de fato havia um problema com o conector do cabo que estávamos utilizando. Agradeço a dica e as informações seguintes que são bem interessantes. Valeu 👍
👍🏼👍🏼 bom q funcionou!
Origem 033 — 20/07/2021 10:28 a 11:13 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, alguém teria o esquema para iniciar o Moto G6 Play (XT1922-5) em EDL? Acho que o Moto G6 padrão [SEGREDO] fácil de encontrar....
https://drive.google.com/open?id=16oZxETtlIro_ImwtJNQ6fXAsEDBHvqQY
<Mídia oculta>
a estrutura geral da placa é bem parecida com a do xt1922-7. Marquei na imagem o local onde estariam os _test points_ no xt1922-7
a estrutura geral da placa é bem parecida com a do xt1922-7. Marquei na imagem o local onde estariam os _test points_ no xt1922-7
pois é... tinha visto já...
a placa é um pouco diferente
Será que não está embaixo do adesivo preto?
aproveitando, alguém já usou algo assim?
Pessoal, bom dia. Só uma dúvida em relação ao caso que estou trabalhando. Nos laudos de pornografia infantil vocês categorizam aquele filme da xuxa "amor estranho" como pornografia infantil? Dei uma olhada aqui e ela toca um garotinho em algo meio sexual
Só achei dois filmes suspeitos o da xuxa e um pthc
Tem cara de polêmica! Esss filme ganhou até alguns prêmios
Mas ficaria restrito a pornografia explícita!
O menino do vídeo, na época parece tinha 12 anos!
O filme foi comercializado legalmente fora do país!
Mas a maioria faço igual o [NOME], só [NOME] e falo para eles analisarem
Não seria retirando a blindagem do processador?
Marquei. O pthc eu coloco um quadro no corpo do laudo com uns 6 frames do vídeo... O da xuxa vou só enviar na mídia mesmo. Obrigado pessoal
Normalmente tem outros elementos complementares quando tem esse vídeo. É igual foto de pó branco e cigarro de maconha. Eu não faço o exame para confirmar a substância da foto, mas ela, com outros elementos, ajudam a substanciar o caso.
Achei aqui. o FORCE_USB_BOOT desse aparelho é no TP2920, e o 1.8V é no TP2921
Vou mandar a posição, 1 min
Eu só fiz o exame do pó branco quando o pó branco veio dentro da carcaça do celular 🤣
<Mídia oculta>
Screenshot 2021-07-20 105127.png
Screenshot 2021-07-20 105127.png
G6 play. Achei num site
https://cestin.net/motorola-moto-g6-play-test-point-edl-mode/amp/
<Mídia oculta>
Agora foi direito
Agora foi direito
tb achei mas isso parece não funcionar, o primeiro e um capacitor relacionado com a bateria
e o segundo tb esta relacionado com a bateria
top hein!! parece promissor!
acho que usaram a foto de algum reparo para carga de bateria...
Sucesso [NOME]!! Mooooonstro do EDL!
Boa! 😁
Que bom que deu certo
Que bom que deu certo
<Mídia oculta>
EDL XT1922-5
EDL XT1922-5
Origem 034 — 29/07/2021 17:19 a 17:56 — Ótima ferramenta, tenho utilizado também
Ótima ferramenta, tenho utilizado também.
opa, logo tem uma versão nova com novos sistemas de arquivos (Rsfs, JUAN e QFAT).
então, questão de apagados dhfs e wfs, zeno1.0 sim. para hikvision também, mas precisa fazer um processamento extra.
então, questão de apagados dhfs e wfs, zeno1.0 sim. para hikvision também, mas precisa fazer um processamento extra.
E também fiz aplicativo de linha de comando para converter do formato nativo para AVI usando o sdk do fabricante dos sistemas DHFS e WFS
No caso para recuperar apagado seria como?
O método depende do sistema. No caso DHFS é baseado nos pacotes DHAV. No Zeno é bem similar. A estrutura é quase uma cópia idêntica.
No WFS é feita pelos timestamps nos quadros.
O hikvision é por blocos de 1gb. Ou fragmentos.de vídeo no finais de cada bloco de 1gb
No WFS é feita pelos timestamps nos quadros.
O hikvision é por blocos de 1gb. Ou fragmentos.de vídeo no finais de cada bloco de 1gb
Mas o processamento extra que você falou é para próximas versões ou a ferramenta atual já faz essa recuperação de videos apagados?
Esse procesamento extra é apenas no hikvision.
Nos outros já faz.
Nos outros já faz.
Entendi WFS então se tiver apagado e for possível recuperar ele já pega
👍👍👍 valeu pessoal. Na nova versão também coloquei para personalizar um pouco a interface. e correções de bugs que o [MENCAO] achou.
Origem 035 — 18/08/2021 07:37 a 07:37 — Recuperação de arquivos apagados e carving
👏👏👏 trabalho top [NOME], parabéns mesmo, naquele dia que entrei em contato com vc, onde o delegado disse que o DVR só era utilizado pra monitoramento, ele conseguiu fazer carving de 259 GB de vídeo, parabéns demais…
Origem 036 — 18/08/2021 22:28 a 22:28 — Extração em dispositivos Realme/Oppo
A única imagem que encontrei foi de um vídeo do g3502t. Não sei se é igual e se realmente os pontos estão certos
Origem 037 — 04/09/2021 15:44 a 20:06 — Metadados EXIF/JPEG e individualização de câmera
Boa tarde, pessoal. Um caso curioso aqui. Mandaram um vídeo com conteúdo sexual para a perícia pedindo para saber se o vídeo foi publicado em algum site. A princípio, me parece impossível fazer isso. Mas será que não tem alguma busca por metadados ou coisa do tipo? Apenas para não fazer um laudo negativo de cara.
Obrigado.
Obrigado.
Se pedofilia, hash nas bases conhecidas. Agora pornografia normal só se procurar o hash nas redes p2p : emule, edonkey etc... teria que entrar nos trackers e procurar pelo hash
Existia uma pesquisa do google antes que era por imagem e curiosamente ele pegava vídeos, não sei se ainda é possível pois usei essa pesquisa antes mesmo de entrar na perícia!
Então a ideia seria jogar um frame lá e vê se retornava algo
Beleza, gente. Obrigado pelas dicas. Vamos ver o que faremos aqui.
Sim, lembro. Tiraram e virou lens. Voltou hoje na barra de pesquisa dos celulares
Origem 038 — 05/09/2021 11:52 a 11:52 — Cálculo e verificação de hashes em grande volume de arquivos
Seria tipo um reverse image search mas para vídeos, deve existir, o problema é consultar com o vídeo questionado pois aí ele certamente seria transferido pra internet
O melhor seria por hash
Origem 039 — 05/10/2021 21:10 a 21:52 — Cálculo e verificação de hashes em grande volume de arquivos
sozinho acho que não. seria o mesmo que "novinha", q é muito comum
Pois é. Pediram para encontrar fotos de pedofilia, mas o máximo que achei foram 40 imagens com o nome "Toticos tiny pyt dominican teen ass riding on top ft. Yoyo - XVIDEOS.COM". Algumas das atrizes parecem ser maiores de idade, mas algumas parecem ser mais novas.
eu diria que as imagens que pas atrizes parecem ser mais novas tem o POSSÍVEL envolvimento de adolescentes
a gente usa um textinho padrão pra isso, se vc quiser, posso ver amanhã
Agradeço, Conrado. A gente também tem um aqui. Eu vou colocar as fotos no laudo, explicar os termos e deixar o Juiz decidir. Hehehe. Mais uma vez, obrigado.
Só de curiosidade: o termo pyt parece não ser permitido no XVIDEOS.
O pretty funciona como um aumentativo, então seria um bem novinha, que já dá um sentido mais específico
ah sim, deixa eles fazerem o trabalho deles! hehe
vou procurar mais sobre o termo! obrigado tb!
Eu pensei em pesquisar aqui, mas não quis arriscar a PF bater na minha porta
vou pesquisar no IC, seloko? hehehe
Interessante usar a base de hash do projeto vic e, quem sabe, usar base de hash que fica dentro do Led
Origem 040 — 14/12/2021 16:28 a 17:19 — Extração e compatibilidade em Samsung SMARTPHONE
Boa tarde! Moto XT1922-5 G6 Play bloqueado. Alguma dica? Obg
Esse infelizmente não. Só se fosse Android 8, ai talvez no ufed 2 a opção de lock pick
Boa tarde, pessoal.
Encontrei um arquivo suspeito na pasta DCIM/restored com o nome "QVR_2021_07_04_00_17_48(0).mp4"
Alguém tem ideia de qual aplicativo pode ser usado para gravar arquivos com esse padrão de nome?
Encontrei um arquivo suspeito na pasta DCIM/restored com o nome "QVR_2021_07_04_00_17_48(0).mp4"
Alguém tem ideia de qual aplicativo pode ser usado para gravar arquivos com esse padrão de nome?
Achei outra pasta aqui de nome "QuickVideoRecorder". Imagino que seja esse programa. Hehehe
Ok. Obg! Lockpick realmente não foi.
Backed up photos restored from Google Photos are placed in this folder.
https://github.com/d4rken/sdmaid-public/issues/880
O arquivo é de câmera de vigilância?
Uma pessoa é acusada de ter deixando o celular no banheiro feminino filmando.
"Quick Video Recorder is an app that lets you record videos by tapping the screen, all without making a sound. Basically, with this app, you can use your smartphone or tablet's camera even when the screen is off. You can also schedule recordings and edit videos on the app itself."
Eu vi que tem um sistema de câmera que usa esse nome QVR também
https://play.google.com/store/apps/details?id=com.qnap.qvrproclient&hl=pt_BR&gl=US
As vítimas disseram que, depois que foi pego, ele correu para o banheiro masculino e ficou um certo tempo (supostamente para apagar o vídeo). Não foi encontrada a filmagem do banheiro em questão. Mas encontrei o vídeo QVR... que é uma filmagem de um banheiro feminino (no caso, outro). Ele afirma que recebeu o vídeo de alguém. Mas tava na pasta DCIM, com nome QVR..., ele tem o Quick Video Recorder no celular... eu estou só tentando achar mais evidências para juntar as pontas todas.
Como está na pasta recovered, provavelmente o celular faz o backup na nuvem e depois foi recuperado dela.
Origem 041 — 14/12/2021 17:43 a 17:44 — Se o vídeo foi gravado desse celular, como parece ter sido, deve ter
Talvez na hora não acharam a filmagem, mas depois esse vídeo foi baixado da nuvem dele... Por alguém...
Se o vídeo foi gravado desse celular, como parece ter sido, deve ter nos metadados o modelo do aparelho celular!
Origem 042 — 23/12/2021 13:35 a 13:43 — Uso do Magnet AXIOM/IEF em artefatos digitais
um áudio específico? o unico jeito q me lembro de fazer isso no axiom seria marcar com uma flag tudo, exceto aqles q vc nao quer, e fazer um relatório somente com os marcados.
O mais parecido disso que estou vendo é um flag de Exceção, mas ta mais atrapalhando que ajudando. rs
se for pra excluir todos os audios e videos, na hora de gerar o relatório vc tem a opção de escolher os tipos de objetos vc vai querer.
acho que deu certo aqui. os coloquei numa tag exceção, ai depois filtrei na exibição principal antes de abrir a janela de criação do relatório
Origem 043 — 10/08/2022 19:45 a 19:46 — Root e extração em dispositivo Positivo
Obrigado! Havia visto esse vídeo, mas não tentei todas as senhas fornecidas por ele, vou tentar. 👍🏻
Caso não dê certo, talvez conversando com o suporte da empresa dê certo. Em caso positivo, relatarei aqui no grupo 👍🏻.
Origem 044 — 07/09/2022 06:45 a 06:45 — Sr@s. Já está disponível a nova versão do Transcriber 2.0 - _a ferramenta
Sr@s. Já está disponível a nova versão do *Transcriber 2.0* - _a ferramenta para transcrição automática de áudios_.
Agradeço a todos pelos _feedbacks_, o que me motivou a criar essa nova versão, com algumas novidades: *novos formatos de arquivos de áudio, suporte a arquivos de vídeo, pesquisa de texto em áudios, nuvem de palavras mais faladas, processamento inteligente de continuar de onde parou, download de vídeos do Youtube, download de perfis do Instagram*.
A ferramenta agora usa o mesmo token do ALIAS Extractor, pois em breve vai ser possível integrar os conteúdos das extrações de nuvem.
O download da nova versão pode ser feito no site do projeto https://cristianoritta.wixsite.com/site
Agradeço a todos pelos _feedbacks_, o que me motivou a criar essa nova versão, com algumas novidades: *novos formatos de arquivos de áudio, suporte a arquivos de vídeo, pesquisa de texto em áudios, nuvem de palavras mais faladas, processamento inteligente de continuar de onde parou, download de vídeos do Youtube, download de perfis do Instagram*.
A ferramenta agora usa o mesmo token do ALIAS Extractor, pois em breve vai ser possível integrar os conteúdos das extrações de nuvem.
O download da nova versão pode ser feito no site do projeto https://cristianoritta.wixsite.com/site
Ferramenta de um colega
Origem 045 — 13/09/2022 17:13 a 17:24 — Só o que tem rolado por aqui NAS requisições de perícia de áudio
Boa tarde. Alguem ja recebeu uma requisição com um link do google drive criado supostamente pela própria delegacia para fazer exame de constatação? rsrs
Só o que tem rolado por aqui nas requisições de perícia de áudio e vídeo
<Mídia oculta>
Pessoal, alguém já pegou um HD assim? Primeira partição ok, segunda FAT? Será que está criptografado? Ou é outro sistema de arquivo que não foi reconhecido?
Pessoal, alguém já pegou um HD assim? Primeira partição ok, segunda FAT? Será que está criptografado? Ou é outro sistema de arquivo que não foi reconhecido?
<Mídia oculta>
No hexa começa tudo com 00 e no 200 vem só esse "lixo"
No hexa começa tudo com 00 e no 200 vem só esse "lixo"
Tenta ver pelo Linux...
Vou dar uma tentada amanhã Farias
Mas achei estranho
Pode ser uma deficiência do próprio Imager
Origem 046 — 27/10/2022 16:28 a 16:32 — Triagem de vídeos e extração de frames
É recente a mensagem? Se der verifica se o link HTTPS do vídeo ainda funciona?
Não sei se ainda dá certo, mas às vezes dava para baixar o vídeo imagem criptografado e descriptografar usando a chave que vem no msgstore.db pelo que lembro
Eu peguei o link e joguei no browser mas não deu nada… O link funciona de um browser qualquer ou tenho que de alguma forma simular o acesso pelo celular?
Pelo browser
Arquivo .enc o link?
Origem 047 — 31/01/2023 09:24 a 09:38 — Se desejar um software mais simples, o VLC também passa quadro a quadro
Bom dia, pessoal. Alguém sabe de algum programa de vídeo em que seja possível avançar quadro a quadro? Eu uso o VirtualDub, mas ele é tão chato para mexer que eu nem consigo recomendá-lo para as pessoas. Hehehe.
Se desejar um software mais simples, o VLC também passa quadro a quadro, tecla de atalho E
https://github.com/IENT/YUView
Chegou a usar o virtualdub2?
https://sourceforge.net/projects/vdfiltermod/files/
https://sourceforge.net/projects/vdfiltermod/files/
Origem 048 — 31/03/2023 14:06 a 15:16 — Metadados EXIF/JPEG e individualização de câmera
Desculpe me, mas Já não está? Seria modo paisagem sua intenção?
ele sempre mostrou tela cheia para os contatos e quando voce acessava o contato, aparecia tela cheia para a conversa, minha esposa, ao ligar hoje, deparou com isso. é um tablet
Entendi. Não estaria esse whatsapp sendo acessado via browser? No browser ele tem esse comportamento aí
https://www.androidauthority.com/whatsapp-android-tablets-3292613/
não, abri diretamente no aplicativo, pode ser a nova atualização.
Nova versão tem isso. Mas parece que pode escolher
Foi o que imaginei, minha esposa, não gostou nada dessa nova forma, fazer o que?
Boa tarde, pessoal. Recebi uma requisição com quesitos oficiais relativos ao fps de um arquivo de vídeo. Quando fiz a perícia, eu usei o VirtualDub e ele informou que o arquivo tinha 25 fps. Só que se você olhar os metadados pelo explorer, informa 30fps.
Mandei o arquivo para um site que informa metadados e ele informou que o arquivo tem r_frame_rate = 25 e avg_frame_rate = 30
Como era um vídeo de câmera de segurança, eu peguei os primeiros segundos do vídeo e coletei o quadro em que a mudança ocorria e achei 25 "na média".
Alguém saberia me dar uma explicação melhor do porquê dessa diferença?
Obrigado.
Mandei o arquivo para um site que informa metadados e ele informou que o arquivo tem r_frame_rate = 25 e avg_frame_rate = 30
Como era um vídeo de câmera de segurança, eu peguei os primeiros segundos do vídeo e coletei o quadro em que a mudança ocorria e achei 25 "na média".
Alguém saberia me dar uma explicação melhor do porquê dessa diferença?
Obrigado.
qual o formato do vídeo? mp4? tem taxa de quadros variável?
Essa é a saída do VirtualDub.
hm, abre no editorhexa decimal. o que aparece nos primeiros bytes? to achando é um vídeo da hikvision
Sim é um hikvision. Nesse caso aqui o que foi feito aqui foi usar o VSplayer (player nativo, ele está na pasta conversores do DVRExtractor) para converter para MP4 ou AVI e desse arquivo é que foi feito o cálculo .
Agora fala que tem 15. Heheheh
Será que na espec do equipamento dvr não tem a taxa de quadros?
Essa recodificacao pode mudar o fps
Em alguns casos, especialmente em vídeos de câmeras de segurança, a taxa de quadros pode variar ao longo do vídeo. Isso pode ser feito para economizar espaço de armazenamento ou largura de banda, capturando menos quadros quando há menos movimento e mais quadros quando há mais movimento. Nesses casos, a taxa de quadros média (avg_frame_rate) pode ser diferente da taxa de quadros real (r_frame_rate) em um determinado momento.
Eu responderia o quesito informando a taxa real e a taxa média. E confiaria nas informações do VirtualDub
Eu responderia o quesito informando a taxa real e a taxa média. E confiaria nas informações do VirtualDub
Tb. E citaria que foi medido com o Virtualldub versao x
Concordo. Fiz umas medidas aqui (total de quadros / tempo total = 25fps), medi se os segundos do vídeo correspondem aos segundos reais (usando um cronômetro) e conferiu também. No fim, é isso mesmo. Como a pergunta foi "como cheguei aos 25fps?" Vou responder: VirtualDub versão X.
Obrigado, gente, pela ajuda.
Origem 049 — 27/05/2023 17:38 a 17:59 — Extração e análise de mensagens do WhatsApp
Boa tarde! Arquivos armazenados na Pasta "/.Shared" do WhatsApp, é possível afirmar que o arquivo foi enviado/recebido? Na "Sent" sabemos que sim, mas não sei nessa... obrigado
P.s.: no caso tem pornografia infantil armazenada nela, seria para verificar se houve compartilhamento... não há registros destes arquivos nas conversas em si
Pode ser que essa pasta seja para arquivos encaminhados 🤔
Teria que verificar
Testei aqui e vi que minha pasta. Shared tem muitos conteúdos que não foram compartilhados por mim
Acabaram de enviar um vídeo em um grupo e a imagem do vídeo apareceu lá como arquivo tmp
Eu dei uma pesquisada e vi menções em fontes não-oficiais que seriam arquivos temporários recebidos não criptografados, algo assim..., mas não tive segurança na resposta pois li coisas diferentes em outras fontes
Certo, equivalente ao que li então
Mas de qualquer forma já não tem como concluir que houve compartilhamento do usuário em si estando nessa pasta, já resolve o problema
Nesse caso os únicos arquivos que estão na Sent são capturas de tela feitas após a apreensão 😑😑😑
Mandaram pro whats da DP
STK-20230527-WA0020.webp (arquivo anexado)
Eu colocaria no Laudo 🙃
Origem 050 — 13/07/2023 12:00 a 12:05 — Triagem de vídeos e extração de frames
Boa tarde senhores, peguei um DVR HIKVISION, realizei a extração das imagens no DVREXTRACTOR, os vídeos vieram formato HIK, minha dúvida é qual o software proprietário para abrir esses vídeos, ou onde posso converter para MP4 ou AVI ?
Abriu no VirtualDub aqui
só não tava aparecendo, 🤗
vou mandar o anexo no formato original (.HIK) só pq o juiz deu prazo de 48 horas kkkkk
Origem 051 — 30/08/2023 14:14 a 14:35 — Metadados EXIF/JPEG e individualização de câmera
Pessoal, boa tarde. Recebemos uma requisição de exame complementar relacionado a homicídio, sobre o vídeo desses metadados aqui.
Na requisição é perguntado se o arquivo foi produzido pelo aparelho e se a data/hora do título corresponde à data/hora de produção.
Aqui pensamos o seguinte: em os metadados é difícil afirmar sobre a produção, mas podemos afirmar que os arquivos produzidos são armazenados nesta mesma pasta (assim como outros arquivos) e o título normalmente segue esse tipo de nomenclatura no dispositivos Xiaomi.
No Physical Analyzer verificamos o "registro de uso de aplicativos" e não há registro de uso da câmera ou similar nesse momento. Será que pode ter desvio na data/hora considerada pelo sistema e pelo app?
Alguém consegue colaborar com algo mais a respeito, por favor?
qual a duração do vídeo?
salvo erro de segundos, compatível com o tempo armazenado em "modificado", que é quando foi efetivamente salvo na memória, uma indicação de que poderia de fato ter sido produzido no aparelho, mas 'leve', de fato, sem metadados específicos de produção
Pela nomenclatura e datas, foi provavelmente produzido pela câmera do aparelho
pode tentar ver se tem tumbnail dele na galeria e ver a datação tb
Acho que não. Me confundi
Acredito que não. Pois o thumb pode ter sido criado devido a visualização do vídeo pelo usuário do aparelho.
uma coisa que reforça é de não ter nenhum arquivo ou fragmento dele semelhante em outros aplicativos
tem nos metadados algum indicativo do modelo do aparelho?
Talvez verificar na linha do tempo quando o vídeo foi criado e verificar o que ocorreu nesse período.
Tem nada. Só isso aqui mesmo.
exif tools não trouxe mais nada?
Acho que nomenclatura é algo frágil tbm. Vídeos de tiktok ou kwai tbm acabam tendo esses nomes de vídeos produzidos pelos celular.
É bem comum até seguir a sequencia nos números. Fica alternando entre os vídeos produzidos e vídeos que o usuário viu nesses apps. <Mensagem editada>
mas eles gravam no /data/media/0/DCIM ?
quandoi menciono nomenclatura, inlui o path
<Mídia oculta>
Metadat For VID_20230322_003758.mp4.pdf
Metadat For VID_20230322_003758.mp4.pdf
foi uma extração completa? se o aparelho não foi muito usado de lá pra cá, vc pode ter sorte de encontrar no log batterystats indicando o uso do aplicativo de câmera
ou no log de atividades da nuvem do google também
foi FFS - Smart Flow
isso é bacana. Na timeline iria ajudar bastante isso.
se já foi usado várias vezes o aparelho, o log batterystats se foi
mas o do google takeout da nuvem não, fica lá
vc diz esse arquivo "Batterystats.xml"?
nesse log as vezes consegue ver até se ele conectou o celular em um cabo USB. Aí pode ser um indicativo que copiou ou algo assim.
Pelo menos consegue eliminar algumas opções.
Pelo menos consegue eliminar algumas opções.
Já que no metadado não tem algo explícito.
<Mídia oculta>
a título de curiosidade, esse aqui é outro caso, que a pasta é a mesma... a nomenclatura não, mas a pasta é
a título de curiosidade, esse aqui é outro caso, que a pasta é a mesma... a nomenclatura não, mas a pasta é
num Samsung q tô trabalhando é uma pasta: data/log/batterystats
tendo vários arquivos, um para cada ciclo de carga e recarga
Origem 052 — 30/08/2023 15:02 a 15:58 — Uso do Magnet AXIOM/IEF em artefatos digitais
<Mídia oculta>
Como eu faço para "etiquetar" conversas no axiom
Como eu faço para "etiquetar" conversas no axiom
Pois é, em conversas longas dá um trabalho pq tem q ir na tabela, pois no balão vc não marca
Verdade. Nos "balões" só funciona o "select All"
não rola de gravar um novo vídeo com o aparelho e comparar os resultados produzidos
<Mídia oculta>
comparar elementos como estes, creio que daria para extrair mais detalhes com o mídiainfo / ffmpeg
comparar elementos como estes, creio que daria para extrair mais detalhes com o mídiainfo / ffmpeg
vou pedir a peça novamente pra fazer esses testes mesmo
Origem 053 — 22/09/2023 14:16 a 14:16 — A ata vigente ou um projeto pra aquisição de editor hexadecimal e aquisição
Boa tarde! Alguém tem alguma ata vigente ou um projeto pra aquisição de editor hexadecimal e aquisição de editor pra verificação de edição ou supressão de audio/vídeo? Faremos um projeto para readequacoes tecnológicas do setor. Quem puder ajudar, pode chamar no PV. Grato!
Origem 054 — 10/10/2023 15:59 a 15:59 — Extração e análise de mensagens do WhatsApp
Boa tarde, quais programas os colegas recomendam para verificar adulteração em vídeos/áudios de whatsapp? Preciso analisar e utilizar alguns vídeos (.mp4) como referência em uma perícia de vídeo, mas antes preciso atestar autenticidade de parte do material.
Origem 055 — 16/10/2023 09:16 a 09:16 — Extração e acesso a dados em iPhone 7 Plus
Bom dia! Encontrei um arquivo de vídeo de interesse nessa pasta "iPhone/mobile/Media/PhotoData/CPL/storage/filecache": cplAXffFnqtZScY+9mqx+HYPMEfahi0.mov. Vídeo produzido a partir de um modelo igual ao do aparelho periciado: iPhone 7 Plus. O que são exatamente esses vídeos armazenados nessa pasta? Obg
Origem 056 — 18/10/2023 15:08 a 15:14 — Análise de dados em Telegram, Facebook Messenger e mensageiros
Se a vítima estiver colaborando, não tem como logar no telegram desktop dela e tentar acessar as mensagens/vídeos pelo computador, talvez até fazer algo similar a um takeout?
Cellebrite tá forçando aquisição do premium.
Sim, ela está colaborando. É uma possibilidade.
Origem 057 — 26/02/2024 16:09 a 16:43 — Extração e análise de mensagens do WhatsApp
Boa tarde, pessoal.
Como vocês quantificam grande quantidade de pedofilia em meio à outra grande quantidade de arquivos de outros tipos de pornografia?
Quando participei de uma das operações Luz na Infância, havia um quesito perguntando a quantidade em MB. Isso porque a quantidade é qualificadora (Art. 241-B, § 1o da LEI Nº 11.829 , DE 25 DE NOVEMBRO DE 2008.).
Eu estou com um caso aqui, aquele em que transplantei uma sub placa para poder extrair os dados, e o autor possuia ICQ, Viber, Telegram, WhatsApp e Signal com vários grupos de pedofilia. Alguns grupos possuiam programação de tempo para expirar as mensagens. Mas, quando o autor gostava de algum vídeo, ele encaminhava para seu próprio usuário no Telegram.
É muita quantidade de pedofilia, mas para eu poder bater o martelo e falar a quantidade em MB, vou ter que ver vídeo por vídeo e sair separando. Isso ia ser impraticável.
Vocês possuem alguma outra metodologia?
Obrigado.
Como vocês quantificam grande quantidade de pedofilia em meio à outra grande quantidade de arquivos de outros tipos de pornografia?
Quando participei de uma das operações Luz na Infância, havia um quesito perguntando a quantidade em MB. Isso porque a quantidade é qualificadora (Art. 241-B, § 1o da LEI Nº 11.829 , DE 25 DE NOVEMBRO DE 2008.).
Eu estou com um caso aqui, aquele em que transplantei uma sub placa para poder extrair os dados, e o autor possuia ICQ, Viber, Telegram, WhatsApp e Signal com vários grupos de pedofilia. Alguns grupos possuiam programação de tempo para expirar as mensagens. Mas, quando o autor gostava de algum vídeo, ele encaminhava para seu próprio usuário no Telegram.
É muita quantidade de pedofilia, mas para eu poder bater o martelo e falar a quantidade em MB, vou ter que ver vídeo por vídeo e sair separando. Isso ia ser impraticável.
Vocês possuem alguma outra metodologia?
Obrigado.
É o tipo de quesitação estúpida que só dá trabalho ao perito
Se for um arquivo de 2 gigas, ou 20 arquivos de 100 megas a quantidade em espaço seria a mesma, mas a qualificadora não
Além do que tem muito conteúdo de adolescente que é difícil, ou até perigoso, afirmar se tratar de conteúdo relacionado a pedofilia.
É outro problema que estou tendo. O cara tem pornografia de 8 a 80 anos.
Como tem muito conteúdo eu explicaria isso e diria que há acima de 50, 100, 200 vídeos os quais é possível afirmar tratar-se do assunto, contudo há muito conteúdo que não é possível afirmar, porém há a suspeita. E que a quantificação por Mb não seria adequada para o caso
se vc comparar com uma base de hashes de pedofilia conhecidos, não bate os hashes?
Encaminharia tudo e deixava eles se resolverem para ver o que é e o que não é. Mas passaria por uma base de hash para afirmar o que já é conhecido
daria pra contar a quantidade de "hits" e dar uma ideia de qtdd
Até bate, mas seria um subconjunto só.
aí vai depender do q o juiz considera "grande quantidade"
eu diria que há "pelo menos" XXX arquivos relacionados a pornografia infantil... e blablabla
eu diria que se vc disser mais que 100, o juiz já considera grande qtdd
Pois é, o que tenho observado é que quando é compartilhado por telegram ou WhatsApp, dificilmente o hash dá hit
uma dica: reforce essa parte de ele compartilhar com outra conta dele mesmo, pq na ultima audiencia que me chamaram pra defender o laudo, o advogado queria livrar o cara argumentando que mais de 3TB de arquivos poderiam ter sido colocados e organizados em pastas bonitinho de forma automatica pelo software de P2P, sem que o cliente dele quisesse.
Eu não confirmo quantidade. Quando vem com esse tipo de quesito, que considero estúpido, ignoro a pergunta e só falo que todos os dados referentes ao quesito em questão seguem no diretório tal. Depois ainda falo que a análise foi com filtros automáticos e por breve amostragem, e mais dados importantes podem estar na extração
Origem 058 — 29/04/2024 10:59 a 11:28 — Metadados EXIF/JPEG e individualização de câmera
Bom dia pessoal, estou com uma dúvida. Estou com um caso em que preciso confirmar a data de criação (quando foi produzido) um arquivo de vídeo e imagem. Utilizando Windows 11, verifiquei que nos metadados do arquivo que ele possui a data de criação de a data de modificação, o problema é que parece confuso, as propriedades do arquivo apresenta a data de criação como posterior a data de modificação. Processei a imagem de um pendrive pelo IPED, o arquivo de vídeo apresenta a data de criação posterior a data de modificação. Exportei esse arquivo para uma pasta do Windows e aí confirmou o que eu esperava, a data de modificação continuou a mesma e a data de criação mudou para a data em que eu exportei o arquivo, ou seja, a data de criação se refere a data em que o arquivo foi criado no novo dispositivo? No caso a minha estação de trabalho, e a data de modificação seria a data de produção do arquivo? é isso mesmo? que confusão.
ficou um pouco longo, mas é para tentar explicar o melhor possível. Sei que ja devem ter discutido isso aqui mas nao achei.
sei que é uma duvida tosca, mas o caso é sensível e nao estou seguro em como afirmar isso
gostaria de uma certeza de como funciona esse processo.
eu utilziei o ExifTool
https://cyber-ssct.com/SANS%20Digital%20Forensic%20Poster.pdf
aqui ele apresenta as datas que são as mesmas da data de moficação
Bom dia. São vários cenários. Talvez este poster da Sans possa te ajudar no caso concreto
É possível que o arquivo tenha sido copiado para máquina analisada e não necessariamente criado nela
<Mídia oculta>
essa imgem possui informaçoes que estava falando, extraida do ExifTool
essa imgem possui informaçoes que estava falando, extraida do ExifTool
data de modificaççao continua a mesma, data de criação foi a data que eu exportei o arquivo para o meu PC
Exatamente.
Estou com um caso semelhante tbm.
Nesse meu caso eu consegui pegar registros de conexão USB próximos dessa nova data de criação, o que indica que foi copiada de um HD externo.
Estou com um caso semelhante tbm.
Nesse meu caso eu consegui pegar registros de conexão USB próximos dessa nova data de criação, o que indica que foi copiada de um HD externo.
<Mídia oculta>
2012_CleberScoralickJunior.pdf
2012_CleberScoralickJunior.pdf
Veja se não encontra tbm registros desse tipo próximos dessa data.
Talvez possa ajudar nos estudos a respeito das datas.
no meu caso só veio o pendrive com os arquivos, pelo que vi os videos e fotos foram criados com oum Samsung A107 e copiados para o pendrive
veio um adpatador OTG junto
A data de modificação geralmente tem mais relevância q a de criação mesmo, visto q a de criação via de regra é a em q o arquivo foi copiado ou criado no dispositivo atual
verifiquei o BO e consta que foi apreendido um aparelho celular A107
Colega aqui da PCDF.
e a de modificação em tese é a última vez que o conteúdo foi alterado
exatamente isso que percebi
O ruim é que são metadados sempre passíveis de falsificação, mas é o q temos...
Por ironia na nomenclatura, a data de "modificação" é a menos modificada pelos sistemas de arquivos geralmente.
O resto depende muito da operação e do sistema operacional
pois é, é o sistema de arquivos que carrega esses metadados, o exifo internos são geralmente mais confiáveis
entao se eu pegar esse arquivo e fizer qualquer modificação nele, ele vai alterar a data de modificação ? seria isso né, vou até testar isso aqui
alterar o conteúdo
e se vc copiar pra outra pasta a data de modificação se mantém, apenas a de criação se alterará
Na maioria dos SOs e nas operações mais comuns, as rotinas só modificam a data de modificação quando operam na estrutura de dados que armazena os dados propriamente ditos do arquivo <Mensagem editada>
Um teste q nunca fiz foi alterar a partir do volume físico no hexadecimal, suponho q o SO não vá detectar a alteração
e não vá mudar a data de modificação
vou ver isso tambem
a nomenclatura que ficou confusa
E se vc move o arquivo pra outra pasta, a data de criação continua a mesma kkk
ao menos no NTFS
Origem 059 — 17/05/2024 09:51 a 10:15 — Análise de Registro Windows e arquivo NTUSER.DAT
Pessoal, tudo bem? Estamos com um aparelho em que foi pedido para verificar se o usuário produziu um determinado vídeo.
Encontramos o vídeo na pasta do Instagram, então os metadados estão suprimidos. No entanto, vimos que ele está na subpasta *"/data/data/com.instagram.android/files/rendered_videos/"*, enquanto os demais vídeos estão em *"/data/media/0/Movies/Instagram/"*.
Acho que posso ao menos sugerir que o vídeo tenha sido postado pelo aparelho examinado, concordam? Tendo em vista que está na pasta de itens renderizados.
Encontramos o vídeo na pasta do Instagram, então os metadados estão suprimidos. No entanto, vimos que ele está na subpasta *"/data/data/com.instagram.android/files/rendered_videos/"*, enquanto os demais vídeos estão em *"/data/media/0/Movies/Instagram/"*.
Acho que posso ao menos sugerir que o vídeo tenha sido postado pelo aparelho examinado, concordam? Tendo em vista que está na pasta de itens renderizados.
O que encontrei no Google foi a seguinte descrição pra essa pasta "rendered_videos":
"Video shoot through Instagram cam is being segmented in audio and video files"
"Video shoot through Instagram cam is being segmented in audio and video files"
Pode tb ou fazer uma reversa no código (complexo), ou pegar um aparelho de teste com a conta de teste, fazer o procedimento de produção de video, fazer extração e verificar como ficou o estado dos arquivos.
https://www.researchgate.net/publication/353419063_Forensic_Analysis_of_Social_Networking_Applications_on_an_Android_Smartphone
a descrição que colei foi exatamente deste artigo
Exame de verificação de fonte é próprio do setor de áudio visual, é possível fazer analisando o vídeo questionado e algum vídeo gerado pelo próprio aparelho.
O ALEAPP possui um parser FCM Queued Messages relacionadas ao Instagram. Pode ser interessante rodar na extração para ver se registrou algum artefato relacionado. <Mensagem editada>
Origem 060 — 25/06/2024 20:35 a 20:35 — / / Instalei o gpu package para o PA mais recente e desde
Boa noite.
Instalei o gpu package para o PA mais recente e desde então a classificação de imagens e vídeos não classifica mais nada. Antes usava muito cpu e demorava muito, mas classificava.
É uma máquina com nvidia p620, que não está no rol de gpus suportadas.
Já aconteceu isso com alguém? E conseguiram resolver?
Instalei o gpu package para o PA mais recente e desde então a classificação de imagens e vídeos não classifica mais nada. Antes usava muito cpu e demorava muito, mas classificava.
É uma máquina com nvidia p620, que não está no rol de gpus suportadas.
Já aconteceu isso com alguém? E conseguiram resolver?
Origem 061 — 30/09/2024 15:14 a 15:56 — Triagem de vídeos e extração de frames
Boa tarde, pessoal
quando acessamos os "stories" de um perfil no Instagram pelo navegador do computador, temos acesso apenas ao URL dos "stories" em si
Mas como saber o endereço URL de uma única imagem ou vídeo inserido "dentro" do próprio "stories"?
Muito obrigado!
quando acessamos os "stories" de um perfil no Instagram pelo navegador do computador, temos acesso apenas ao URL dos "stories" em si
Mas como saber o endereço URL de uma única imagem ou vídeo inserido "dentro" do próprio "stories"?
Muito obrigado!
Boa tarde, [NOME]. Quando eu vou passando cada "quadro" dos stories, a URL vai mudando. Confere aí. <Mensagem editada>
Pode tentar via ferramentas de desenvolvedor
dentro de um mesmo Stories a URL não mudou
estranho
tentarei de novo aqui,Alexandre!
estranho
tentarei de novo aqui,Alexandre!
falta habilidade técnica pra isso heeheh
Resposta da IA detalhando o procedimento:
Para baixar vídeos de um story do Instagram, pode usar a ferramenta de desenvolvedores do navegador do seu computador:
Abra a foto ou vídeo que deseja baixar
Clique com o botão direito do mouse sobre a imagem
Selecione "Inspecionar"
Clique na seta à esquerda de "<div class="_4rbun"[...]"
Clique com o botão direito do mouse sobre o link direto da imagem
Selecione "Open in new tab" ou "Abrir em uma nova guia"
Clique com o botão direito sobre a imagem na nova aba
Selecione "Salvar imagem como..."
Também é possível baixar vídeos do Instagram usando outros métodos, como:
Usar o Insta Stories Viewer
Usar o site saveinsta.app
Usar o aplicativo FastSave para Instagram
Usar o save-free.com
Usar o Story Saver
Usar a extensão 4saved do Google Chrome
Para baixar vídeos de um story do Instagram, pode usar a ferramenta de desenvolvedores do navegador do seu computador:
Abra a foto ou vídeo que deseja baixar
Clique com o botão direito do mouse sobre a imagem
Selecione "Inspecionar"
Clique na seta à esquerda de "<div class="_4rbun"[...]"
Clique com o botão direito do mouse sobre o link direto da imagem
Selecione "Open in new tab" ou "Abrir em uma nova guia"
Clique com o botão direito sobre a imagem na nova aba
Selecione "Salvar imagem como..."
Também é possível baixar vídeos do Instagram usando outros métodos, como:
Usar o Insta Stories Viewer
Usar o site saveinsta.app
Usar o aplicativo FastSave para Instagram
Usar o save-free.com
Usar o Story Saver
Usar a extensão 4saved do Google Chrome
haha boa,[NOME]!
Muito obrigado!
Muito obrigado!
O objetivo dessa pergunta é coletar provas que estão no Instagram
Como vocês procedem?
Como vocês procedem?
Origem 062 — 04/11/2024 11:14 a 11:46 — Extração e análise de mensagens do WhatsApp
Bom dia, nobres, um dúvida. Recebi um vídeo via SEI com características de vídeo feito em celular (possivelmente via WhatsApp). A autoridade pergunta se a data informada no BO é a mesma data de gravação original do vídeo. Nas ferramentas que testei não consigo acessar a data original de criação, só as datas mais recentes de modificação e de cópia do arquivo de vídeo. Estou tentando verificar pelo hexa se ficou alguma assinatura da data original do vídeo. Possuem alguma sugestão para esse caso ou somente com o aparelho originário para extração desses dados do arquivo de vídeo? <Mensagem editada>
Usa o software ExifTool <Mensagem editada>
Ele me retornou as três datas recentes (criação, modificação e acesso) como sendo de 2024 (acredito que pela minha cópia do arquivo). Porém o processo e o BO falam em datas de 2023 <Mensagem editada>
Então sugiro tu falar no laudo que sem o smartphone, não tem como garantir
realmente. O ideal é estar com o arquivo original.
Minha dúvida era se ficaria algum rastro acessível pelo hexadecimal da data de criação do arquivo original ou se ao longo das transferências de arquivo essa informação ia se perdendo.
pois é. Estou acompanhando aqui no grupo pra ver se algum colega já fez algo semelhante, pois também me interessa saber. rsrs
WhatsApp normalmente faz transcodificação visando performance, e normalmente no processo metadados são eliminados e/ou sobrescritos.
Origem 063 — 13/07/2025 12:45 a 14:05 — Uso do Magnet AXIOM/IEF em artefatos digitais
Excelente!
Muito bacana!
É possível disponibilizar um link do vídeo e do TCC?
Muito bacana!
É possível disponibilizar um link do vídeo e do TCC?
Vou lhe enviar no privado
Você já está usando a IA nos exames periciais?
Salvo engano, o PA já tem IA para análise de imagens e vídeos, contudo é muito pesado e necessita de um PC com alto poder de processamento. <Mensagem editada>
Achei q só tinha no axiom
Boa tarde, sou novo no grupo e novo na pericia tb, se possível eu gostaria de materiais de estudo/ajuda para desempenhar o trabalho corretamente.
Existe algum repositório do grupo?
Origem 064 — 15/07/2025 17:27 a 18:13 — Cálculo e verificação de hashes em grande volume de arquivos
https://www.instagram.com/p/DMI0ILxs0HB/?igsh=dTBxenBlc3htaTZy
Senhores, boa tarde, alguém já teve acesso ou chegou a ver se existe algum relatório ou forma de consulta, dos arquivos que são "desduplicados" pelo PA ?? eu sei que ocorre a "desduplicação", e no portal a Cellebrite afirma que “For data files (text, images, videos and more), duplicates are based on the hash value calculation.”, mas eu não consegui achar uma opção que confirme isso, ou alguma forma de relatório que demonstre qual o conteúdo atingido. É pra uns questionamentos que tô respondendo aqui, por conta dessa nova onda nacional que virou mina de ouro pros advogados. <Mensagem editada>
Origem 065 — 06/08/2025 18:31 a 18:41 — Root e extração em dispositivo Positivo
pode pedir pro delta questionar ao banco qual era o IP, MAC do dispositivo
https://www.metropoles.com/distrito-federal/grupo-usou-ia-para-invadir-contas-bancarias-e-desviar-r-110-milhoes
Aqui já usaram deepfake para criar contas. Fintech tem sistemas de autenticação menos robustos, mas já pegamos em bancos tradicionais também.
PA última versão aqui não tá mostrando as miniaturas dos vídeos. Ja perceberam isso ?
Origem 066 — 09/09/2025 17:09 a 17:10 — Triagem visual de imagens e vídeos no IPED
tem algum metadados de arquivo de video, como mp4, que diz o modelo do aparelho celular que foi gravado o video, como acontece nas fotos?
no IPED tem um filtro, salvo engano é "vídeo -> make"
(posso estar enganado)
Origem 067 — 10/09/2025 21:45 a 21:46 — STK-20250528-WA0011.webp (arquivo anexado)
https://g1.globo.com/pa/para/videos-jornal-liberal-2-edicao/video/mandados-no-para-ma-e-ba-sao-cumpridos-contra-grupo-que-fraudou-empresario-do-rs-13914534.ghtml
STK-20250528-WA0011.webp (arquivo anexado)
Origem 068 — 01/02/2026 13:41 a 14:13 — Extração e análise de mensagens do WhatsApp
bom dia, vcs usam o ImageJ para tratar videos de whatsapp?
to tomando uma surra por aqui.
Quando tento importar o mp4, ele avisa que não é suportado. ao tentar converter para "AVI RAW" como ele solicita, usando o ffmpeg ou o virtualdubmod, perde e muito em qualidade. como o intuito era melhorar a qualidade, não ta me ajudando muito....
to tomando uma surra por aqui.
Quando tento importar o mp4, ele avisa que não é suportado. ao tentar converter para "AVI RAW" como ele solicita, usando o ffmpeg ou o virtualdubmod, perde e muito em qualidade. como o intuito era melhorar a qualidade, não ta me ajudando muito....
Boa tarde.
Há um plug-in desenvolvido por um colega de São Paulo (Claudemir, aposentado) que trata do que você precisa.
Há um plug-in desenvolvido por um colega de São Paulo (Claudemir, aposentado) que trata do que você precisa.
Em tempo: videos oriundos do WhatsApp sofrem recodificação automática agressiva, de forma que qualquer "grande melhoria" não é passível de êxito.
vc sabe o nome do plugin, ou onde eu consigo baixá-lo?
não tenho grandes esperanças, mas é uma tentativa... 🤷🏼♂
Handbreak. Melhor que conheço
boa! não tinha pensado nele.
Origem 069 — 21/04/2026 14:29 a 15:19 — Imagem forense de mídia protegida por BitLocker
Geralmente esse é o bitlocker com clear key. Normalmente eu monto a imagem no arsenal como somente leitura e uso o ftk pra gerar uma imagem lógica da Partição criptografada
Ja que o FTK abre automaticamente o IPED deveria aqui tb... mas entendi
Não necessariamente, colega. O IPED depende de uma biblioteca personalizada para fazer o parsing de imagens E01. Se ninguém fizer e aplicar o patch para suportar a montagem de tais volumes, não tem como isso ser feito "automaticamente" pelo IPED.
Aqui quando o axiom consegue fazer o decryp, nós fazemos um esquema para depois processar no iped.
O Axiom consegue decriptar e deixar com extensão IMG. Abrimos essa imagem no FTK e exportamos a fisica no formato E01. Aí depois processamento ela já decriptada pelo IPED.
Da um trabalho, mas fica 100%.
O Axiom consegue decriptar e deixar com extensão IMG. Abrimos essa imagem no FTK e exportamos a fisica no formato E01. Aí depois processamento ela já decriptada pelo IPED.
Da um trabalho, mas fica 100%.
A imagem .IMG decriptada fica no diretório de processamento que vc configura no começo no axiom.
Entao nem precisa esperar processar no axiom, apenas pegar a imagem ja decript
Entao nem precisa esperar processar no axiom, apenas pegar a imagem ja decript
Usamos ele mais para decript mesmo.
Fazemos esse esquema pq nos testes que fizemos a extensão IMG o iped se perde um pouco. Aí nessa conversao dá certo
Eu fiquei com vontade de fazer isso, mas estava sem espaço no dia e fiquei em dúvida se iria dar certo! É com saber
O axiom consegue fazer decrypt?? Mesmo sem a senha?
Em alguns casos sim.
Depende da versão do bitloker
Já fiz com Windows 7 e 8, e já não consegui com 11
E nos que ele não consegue decript, fornece opção de informar a chave.
Mais raro de ter, mas tbm é uma opção.
Mais raro de ter, mas tbm é uma opção.
E como vcs estão fazendo nos notebooks quando o drive é soldado na placa e esta encriptado? [NOME] Linux não rolou aqui comigo..
Eu vou de Windows FE
Normalmente fica prejudicado.
Mas esses velhos (positivo), eu consigo a copia via [NOME] e depois decript no axiom.
Ele tem tido sucesso nesses.
Mas esses velhos (positivo), eu consigo a copia via [NOME] e depois decript no axiom.
Ele tem tido sucesso nesses.
Qual esquema esse?
Vcs tem algum truque tbm para os macbooks e memoria soldada?
Mesmo com senha fornecida eu com dificuldades.
Mesmo com senha fornecida eu com dificuldades.
https://www.winfe.net/home
https://github.com/Lazza/Fuji
Uhnn. Eu bootable. Que top.
Vou testar na próxima
Vou testar na próxima
Já obtive sucesso com Windows FE também. Depois de montar o pen-drive de boot tem que instalar o FTK imager ou seu extrator favorito
O método ASR é melhor, apesar de não recomendado mais por conta de alguns erros de aquisição que dava. Alternativamente eu faço um apple time machine para um drive sanitizado e depois exporto a Partição lógica de dados.
Mas faz via o modo recovery?
Ou faz login no sistema?
Ou faz login no sistema?
Eu tentei alguns métodos via modo recovery do Mac sem sucesso.
Via rsync, dd...
Todos davam erro em algum momento da cópia.
Via rsync, dd...
Todos davam erro em algum momento da cópia.
Pelo oq entendi, vc precisa fazer login normalmente e depois fazer a aquisição com o fuji, certo?
Faz login com a senha. Só seguir o tutorial do vídeo. Acontecia uns erros no método ASR que ele só gerava o dmg sparsed, aí tinha que ficar convertendo. Ou dava erro quando o cara modificou alguma coisa no macos que dava falha de selo. Mas dá pra tentar primeiro. Se não der certo eu iria de um time machine. Extrai bastante coisa geralmente, até o app do WhatsApp e o Apple notes. <Mensagem editada>
Valeuu
Estou com uma pilha de macBooks para fazer 😅
Tomara que de boa em todos.
Estou com uma pilha de macBooks para fazer 😅
Tomara que de boa em todos.