HD, SSD, NVMe e recuperação física/lógica
Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre hD, SSD, NVMe e recuperação física/lógica no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, Hashcat, John the Ripper, ADB, Tableau. Os termos mais recorrentes neste tema incluem: regiao, peritos, rio, sul, formados, ssd, mais, computacao, forense, outras. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Distinguir falha lógica, física e efeitos de TRIM em SSD.
- Usar ferramentas especializadas quando a mídia apresentar falha.
- Registrar limitações de recuperação em memória flash.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDMagnet AXIOMFTKHashcatJohn the RipperADBTableauPC-3000BitLockerWhatsAppPalavras-chave recorrentes
regiaoperitosriosulformadosssdmaiscomputacaoforenseoutrasgrandeareasfoifazerpramasinformaticanorteDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 19/06/2018 16:02 a 17:08 — Elaboração de laudo e relatório técnico pericial
Alguém já instalou o win10 nessa máquina?
Eu uso o win10 na minha (que veio da senasp em 2015). Ou você quis saber especificamente na máquina deles?
Não, digo nas máquinas dadas pela senasp mesmo. Ele roda bem? Sem travamentos?
Instalei aqui, e a primeira impressão foi um desastre!
Eu estou confortável com ele. Mas é possível sim que SOs mais antigos sejam mais rápidos. Tirando o Vista, é claro. Hehehe!
Inclusive estou com 3 monitores e eu rodo uma porrada de coisa e não trava.
Por conta do sistema de Laudos da PC de Minas, eu uso o Chrome e o Firefox ao mesmo tempo.
Certo! Vou tentar concluir as instalações aqui, ver como vai ficar a performance. Acho que pode ter sido só uma “implicância”! 😂
Z820 + W10 tranquilo
Tambem uso o W10 na HP Z820. Vale ressaltar que recebi com o SO instalado no HDD, porém, instalei o W10 no SSD.
Origem 002 — 29/03/2019 10:55 a 11:04 — / Matéria de hoje no UOL: se formatar SSD, pode ficar tranquilo que
<Mídia oculta>
Matéria de hoje no UOL: se formatar SSD, pode ficar tranquilo que não deixa rastro 🤔
Matéria de hoje no UOL: se formatar SSD, pode ficar tranquilo que não deixa rastro 🤔
propaganda da apple?
se os dados forem gravados criptografados e a formatação apagar a chave, não será possível recuperar os dados originais
Origem 003 — 17/07/2019 11:46 a 11:50 — Alterar, de maneira controlada, não é problema. Sempre faço um paralelo com localística
Alterar, de maneira controlada, não é problema. Sempre faço um paralelo com localística, quando colocamos uma plaqueta para fotografar uma evidência, ela é ilegal? Afinal foi alterada...
Assim o pessoal da balística vai ter que pedir autorização judicial pra "danificar" a munição em um teste de eficiência
Então Naty, não poderíamos recolher um projétil de uma superfície! Coletar impressão digital! Abrir um cadáver!
Foi o que falei: fazendo uma analogia, só poderíamos entrar em uma cena de crime e coletar vestígios após autorização judicial
obrigada, pessoal. Fiquei mais tranquila agora. Meu pensamento não está muito fora
E deixará vestígios de pólvora.... ;)
Imagina o legista explicando que abriu o cadáver já morto e explicando o pq fez isso
Vc já é uma das mais experiente do setor de informática de SC! Nem de bola hehehe
Origem 004 — 16/08/2019 11:31 a 13:28 — Triagem visual de imagens e vídeos no IPED
Bom dia!
Alguma ferramenta, arquivo e/ou método para identificar a quantidade de arquivos na lista de downloads e uploads de aplicativos de compartilhamento, como por exemplo, DreaMule e UTorrent? Foi criada uma imagem DD do HD.
Alguma ferramenta, arquivo e/ou método para identificar a quantidade de arquivos na lista de downloads e uploads de aplicativos de compartilhamento, como por exemplo, DreaMule e UTorrent? Foi criada uma imagem DD do HD.
Como faço pra criar uma máquina virtual no Windows usando uma imagem dd?
Eu tenho passo a passo escrito na intranet do setor aqui no Rio
To terminando de almoçar e te mando, caso ninguém mande antes hehe
https://www.forensicfocus.com/Forums/viewtopic/t=15861/
O segundo post diz que nem precisa converter 🤔
<Mídia oculta>
Boa tarde colegas. Alguém já passou por esse erro ao tentar rodar IPED? Sabe como resolver.
Boa tarde colegas. Alguém já passou por esse erro ao tentar rodar IPED? Sabe como resolver.
Certo. Obrigado fico no aguardo.
Origem 005 — 30/08/2019 14:14 a 14:56 — Root e extração em dispositivo Positivo
Boa tarde, senhores!
Em seus estados, o setor de computação forense possui estagiários?
Caso tenha, como é a atuação deles?
Em seus estados, o setor de computação forense possui estagiários?
Caso tenha, como é a atuação deles?
Não tem nem perito direito.. estagiário é sonho 😔
No Amapá não!
Em SC, no setor da 8a mesorregião, não temos!
👍🏼👍🏼
Em algumas áreas aqui no IC de Alagoas possuem estagiários para preparo de amostras, organização administrativa etc. Estava pensando em algo para o setor de informática, como fazer um pré cadastro em uma planilha de alguns dados que vão para o laudo, fazer identificação (fotografia) de materiais, carregar dispositivos, fazer triagens de materiais etc.
Estamos estudando a viabilidade disso, por isso perguntei se há em algum estado e como é que funciona.
Em algumas áreas aqui no IC de Alagoas possuem estagiários para preparo de amostras, organização administrativa etc. Estava pensando em algo para o setor de informática, como fazer um pré cadastro em uma planilha de alguns dados que vão para o laudo, fazer identificação (fotografia) de materiais, carregar dispositivos, fazer triagens de materiais etc.
Estamos estudando a viabilidade disso, por isso perguntei se há em algum estado e como é que funciona.
Origem 006 — 17/02/2020 12:16 a 14:30 — Memória SSD para um HD externo. Não consegui uma cópia participação para arquivo-imagem
Consegui fazer a cópia de participação para partição da memória SSD do Macbook Air usando o [NOME].
A memória estava criptografada. Foi necessário configurar no Mac OS aplicar a remoção da criptografia.
Esse Macbook Air não tinha o chipset T2.
Boa tarde! Você poderia, por favor, dar mais detalhes de como fazer este procedimento? Estou com caso semelhante. Consegui levantar o [NOME], nas não remover a criptografia
Memória SSD para um HD externo. Não consegui uma cópia participação para arquivo-imagem.
Certo. Mais tarde irei mostrar todos os detalhes.
🙌🏻🙌🏻. Muito obrigada!
https://support.apple.com/pt-br/HT204837
Passo a passo para desativar a criptografia no Mac OS X.
Chipset*
Agradeço a todos os colegas pelas sugestões e dicas.
Origem 007 — 28/02/2020 11:16 a 11:31 — Mas gostaria de saber se há alguma ferramenta
ImageJ desenrola bem isso?
Bom dia, Artur! Isso é feito através de fotogrametria e é feito normalmente pelo setor de perícias audiovisuais.
Terias algum contato do setor de vocês para eu pegar algumas informações?
Eu tenho boas noções de geometria projetiva, mas nunca as apliquei para a área forense
Mas gostaria de saber se há alguma ferramenta
Origem 008 — 03/08/2021 13:51 a 13:55 — / Algum método para desbloquear o modelo da imagem acima
Boa tarde!
Algum método para desbloquear o modelo da imagem acima?
Algum método para desbloquear o modelo da imagem acima?
https://support.apple.com/pt-br/guide/mac-help/mchlp2560/mac
A quem interessar possa.
Eu tive que primeiro desativar a criptografia para depois realizar a cópia física da memória SSD.
Eu tive que primeiro desativar a criptografia para depois realizar a cópia física da memória SSD.
Origem 009 — 26/10/2021 11:17 a 11:21 — Aqui só é feito a descrição! Com fotos que indique ser usada na
Aqui só é feito a descrição! Com fotos que indique ser usada na contravenção penal!
Ja foi tentado convencer o MPSC a buscar a fonte mas era muito trampo pra pouco resultado pratico
Hoje nem vem mais pra informática essas máquinas fica num setor de constatação
Tb acho o mais sensato. Costumo sugerir a apreensão e juntada, principalmente, dos comprovantes impressos que às vezes estão junto dessas máquinas (com resultados de jogos, e relatórios de movimentação diária).
Origem 010 — 09/09/2022 05:20 a 07:03 — Algum colega indica ferramenta de recuperação de dados de SSD formatado
Bom dia. Algum colega indica ferramenta de recuperação de dados de ssd formatado?
https://www.cleverfiles.com/pt/?gclid=Cj0KCQjwyOuYBhCGARIsAIdGQRPnDpTitT-7ahDzYXV1FjklQv6C_YmCyup3rwyC2H4pYLHeTlrbZxkaAoTwEALw_wcB
Serve tanto pra Windows como pra Mac
Origem 011 — 10/10/2022 09:32 a 10:15 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia. Alguém lembra qual o driver precisa instalar nas HPs Z820 para funcionar o gravador de DVD?
Gostaria de saber também, não encontrei solução aqui para Windows 10, mas parece que tem.
A solução aqui foi colocar o cabo sata em outra porta
as dos HDs mais abaixo na placa
Foi a mesma que fiz uma vez. Funciona assim.
https://h30434.www3.hp.com/t5/Desktop-Hardware-and-Upgrade-Questions/CD-DVD-drive-not-recognized-after-upgrade-to-Win-10/td-p/5291899
fiz esse procedimento e deu certo
Galera, alguém aqui conhece alguma empresa ou já fez chipoff de Motorola, mais específico do XT1543.
Estamos com um aqui, que a placa está toda oxidada
Acho que o nobre amigo pode ajudar
Até onde conseguimos ver somente com chipoff para extrair dados, isso se der certo. Parafusos todos corroídos, conseguimos nem remover a placa sem danicá-la.
Já tentamos e não foi, porta USB está toda destruída também.
Pode tentar soldar nos pinos dos contatos usb na placa
Ou tentar ler via isp
quando você não consegue extrair muito na cópia forense,
acho que a melhor saída é usar o *GNU ddrescue*
O ddrescue desativa o _buffer cache_ do sistema operacional e consegue fazer um acesso direto ao disco no tamanho de bloco comumente utilizado pela controladora
tb ajusta um timeout bem maior que o SO admite
por fim, trabalha em 3 estágios:
1) leitura normal sem forçar o disco em badblocks (tanto de frente pra trás quanto de trás para frente)
2) leitura voltada para aumentar a cobertura de dados recuperados
3) RE-leitura de badblocks por um número certo de tentativas
Quando vc usa o ftk imager, ele quando ele encontra um _bad block_ ele insiste nele várias vezes, o que faz é degradar o disco ainda mais...
acho que a melhor saída é usar o *GNU ddrescue*
O ddrescue desativa o _buffer cache_ do sistema operacional e consegue fazer um acesso direto ao disco no tamanho de bloco comumente utilizado pela controladora
tb ajusta um timeout bem maior que o SO admite
por fim, trabalha em 3 estágios:
1) leitura normal sem forçar o disco em badblocks (tanto de frente pra trás quanto de trás para frente)
2) leitura voltada para aumentar a cobertura de dados recuperados
3) RE-leitura de badblocks por um número certo de tentativas
Quando vc usa o ftk imager, ele quando ele encontra um _bad block_ ele insiste nele várias vezes, o que faz é degradar o disco ainda mais...
o FTK Imager não tem nada igual nesse sentido, exceto por realizar umas 3 tentativas quando encontra um _badblock_
Origem 012 — 24/10/2022 08:26 a 08:26 — HD, SSD, NVMe e recuperação física/lógica
Bom dia nobres colegas!
Estou nesta lista a pouco tempo e percebo que temos um bom banco de conhecimento, que inclusive, me foi de grande auxílio em alguns de meus exames. Estou vendo a necessidade de criar um sistema para registrar esse conhecimento, para utilizarmos aqui em nosso setor. A minha pergunta é a seguinte: Algum dos senhores possui um sistema com tais informações? Se alguém puder entrar em contato, para nos auxiliar neste sentido, será de grande valia. Não quero reinventar a roda. Conto com o costumeiro auxílio.
Estou nesta lista a pouco tempo e percebo que temos um bom banco de conhecimento, que inclusive, me foi de grande auxílio em alguns de meus exames. Estou vendo a necessidade de criar um sistema para registrar esse conhecimento, para utilizarmos aqui em nosso setor. A minha pergunta é a seguinte: Algum dos senhores possui um sistema com tais informações? Se alguém puder entrar em contato, para nos auxiliar neste sentido, será de grande valia. Não quero reinventar a roda. Conto com o costumeiro auxílio.
Origem 013 — 30/11/2022 13:09 a 13:13 — O reconhece HD Nvme nativamente
Boa tarde. Alguém sabe se o [NOME] reconhece HD Nvme nativamente? Pergunto pq temos um caso aqui onde o Windows enxerga uma unidade de disco e o [NOME], não. A única coisa q me ocorre é o fato de ser Nvme
precisa ser o [NOME] 11 ou mais recente
Eu acho que as últimas versões implementaram suporte a NVMe
Isso mesmo! Nossa versão do [NOME] deve estar desatualizada.
Origem 014 — 15/08/2023 16:41 a 17:16 — Uso do IPED na triagem, indexação e análise
Se puderem me dar uma luz, agradeço demais 🙏🏻
Opa. Desculpe. Hoje foi corrido. Já vejo para vc
Já temos o pacote pronto
Te chamei no privado.
Boa tarde pessoal. Alguém tem obtido algum sucesso em perícias em máquinas caça-níquel tipo Kiosk, em particular com SSD? Se tiverem algum material/dica pra auxiliar, agradeço muito
p.s.: fazendo mera cópia e processamento via IPED não localizamos nada muito relevante
no RS isso é passado pro setor de engenharia...como é um crime de baixo potencial...acaba que o recolhimento serve mais pra dar prejuízo $$$ ao dono da máquina
Já tentou rodar no VMWare pra ver o que acontece? Pq fazer engenharia reversa com esses softwares deve ser uma grande dificuldade e perda de tempo 😕
ou QEMU, talvez seja ARM
Origem 015 — 24/01/2024 09:25 a 09:54 — Imagem forense de mídia protegida por BitLocker
Bom dia senhores estou com um NVME 256 GB, protegido por bitlocker, e não consigo nem criar a imagem dele para tentar usar o john ripper e o hashcat, alguma dica?
IMG-20240124-WA0001.jpg (arquivo anexado)
Proveniente de algum equipamento com Windows 11?
O 11 usa o tpm para criptografar, ler fora do computador de origem nao vai ajudar muito…
O 11 usa o tpm para criptografar, ler fora do computador de origem nao vai ajudar muito…
Nesse mesmo caso pegamos outros dispositivos com bitlocker [SEGREDO] sem sucesso
Mas os outros foi possível criar a imagem e tentar com o hashcat
Qual erro da ao fazer a imagem?
o tableau nem reconhece
quando espeto o HD ele já manda a mensagem bloqueado por bitlocker
corrigindo, ele não habilita o "adquirir dispositivo"
Aqui usamos um adaptador NVMe para usb ou outro computador com porta nvme
Nao me lembro de ter visto erro de leitura, exceto se for defeito físico
Temos tbm um adaptador !
USB-C
foi a primeira vez q vi isso no tableau
nos demais equipamentos permitiu criar a imagem
vou tentar usando o Kali
No Magnet ACQUIRE tbm não foi
FULL RAW Image tá moendo aqui
Origem 016 — 19/03/2024 10:33 a 10:41 — Meus nobres! / Aqui em nosso laboratório de informática, extraímos dados de mídias
Bom dia meus nobres!
Aqui em nosso laboratório de informática, extraímos dados de mídias digitais (HD, SSD, Cartão de memória, etc), através do TABLEAU TD3 Forensic Imager. Estou com a seguinte dúvida, quando se configura pra ignorar erro de leitura e a imagem é concluída com erros de leitura. Depois de processar esse arquivo de imagem, a posição de memória que não foi lida por motivo de erro será visualizada como vazia, dando a entender que não tem dados gravados naquela posição?
Aqui em nosso laboratório de informática, extraímos dados de mídias digitais (HD, SSD, Cartão de memória, etc), através do TABLEAU TD3 Forensic Imager. Estou com a seguinte dúvida, quando se configura pra ignorar erro de leitura e a imagem é concluída com erros de leitura. Depois de processar esse arquivo de imagem, a posição de memória que não foi lida por motivo de erro será visualizada como vazia, dando a entender que não tem dados gravados naquela posição?
No relatório da extração deve informar as posições e como foi preenchido. O Falcon preenche com zeros.
Origem 017 — 15/05/2024 19:33 a 20:13 — Mas em cima de uma tabela ridícula definida pelo governo
Mas em cima de uma tabela ridícula definida pelo governo
no RS recebemos subsídio, aí que eu saiba não pode ter "penduricalhos"
A tendência aqui é migrarmos para subsídio também
Recebemos subsídio e adc de insalubridade e noturno
Tem a lei que normatiza isso?
A atuação seria ampla ou específica num núcleo, divisão, setor interno?
Expediente ou escala de plantão? <Mensagem editada>
Expediente ou escala de plantão? <Mensagem editada>
PTT-20240515-WA0089.opus (arquivo anexado)
Zero dias sem novidades🤦🏽♂️
Senpre assim
Senpre assim
Origem 018 — 14/11/2024 15:13 a 15:36 — O macbook que tem o chip direto na placa, o que fizemos foi
Boa tarde!
Estou com 2 MacBooks (Air) para gerar cópia forense.
No primeiro a memória é do tipo nand (chip direto na placa): A3113.
No segundo é um SSD M2 que não temos o adaptador (A1465).
Algum de vocês conseguiu e pode sugerir alguma alternativa para gerar cópia forense de um macbook air?
Estou com 2 MacBooks (Air) para gerar cópia forense.
No primeiro a memória é do tipo nand (chip direto na placa): A3113.
No segundo é um SSD M2 que não temos o adaptador (A1465).
Algum de vocês conseguiu e pode sugerir alguma alternativa para gerar cópia forense de um macbook air?
Nunca peguei um macbook para espelhar. Mas não rola de fazer aqueles boots por pendrive? Aí, bastaria usar um Linux para fazer o espelhamento.
O Falcon Neo tem um adotador para entrada de M2
Temos o Tableau TX1, somente adaptadores para 13+ e 16+, não tem o adaptador para 12+. Encontrei no mercado livre por R$ 160,00, compra importada.
O macbook que tem o chip direto na placa, o que fizemos foi o que o Xande falou, bootar com uma distro linux (não lembro qual), e fazer a extração direto no próprio notebook.
Quanto ao SSD M2, a gnt acabou adquirindo um, vc compra na maioria das lojas de informática agora, na faixa de 50reais.
Agora, mesmo o SSD M2, pegamos recentemente um criptografado, que utilizava o chip T2, e só conseguimos fazer a extração na própria máquina usando o Linux
Quanto ao SSD M2, a gnt acabou adquirindo um, vc compra na maioria das lojas de informática agora, na faixa de 50reais.
Agora, mesmo o SSD M2, pegamos recentemente um criptografado, que utilizava o chip T2, e só conseguimos fazer a extração na própria máquina usando o Linux
por 150, aqui em Natal, já achei o M2 NVME+NGFF
Esse adaptador não vem no tableu
https://www.amazon.com.br/Case-Adaptador-NVME-para-USB-C/dp/B0C6BNYK3F?source=ps-sl-shoppingads-lpcontext&ref_=fplfs&psc=1&smid=A2I38EQ5CZEXT2
Abaixo os adaptadores do Tableau TX1 para Apple:
. PCIe Adapter for 2013+ Apple SSD (TDA7-3)
. PCIe Adapter for 2016+ Apple SSD (TDA7-7)
. PCIe Adapter for 2013+ Apple SSD (TDA7-3)
. PCIe Adapter for 2016+ Apple SSD (TDA7-7)
Obrigado pelas orientações! 👍
Esse só suporta as interfaces abaixo:
- Apenas NVMe PCI-E SSD M.2 M-Chave [SEGREDO].
- AHCI SATA e SSD PCI-E M.2 não são suportados)
- Apenas NVMe PCI-E SSD M.2 M-Chave [SEGREDO].
- AHCI SATA e SSD PCI-E M.2 não são suportados)
como diria um antigo supervisor: "adoro padrões! são tantos pra gente escolher...."
Meu primeiro chefe dizia que "o problema dos padrões é que cada fabricante quer ter o seu!"
Vou tentar com o [NOME], última chance!
Origem 019 — 10/12/2024 09:26 a 09:54 — PERITOS EM INFORMÁTICA FORENSE: / / => Região Centro-Oeste: / / Distrito Federal
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso:
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas:
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso:
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas:
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
Em atividade que estão lotados atualmente no setor? Aqui em alagoas alguns peritos de informática estão exercendo cargos de direção <Mensagem editada>
Somente atuando no setor de informática forense (perícias em celulares, computadores etc).
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13 (10 computação, 2 químicos e 1 físico)
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas:
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina: <Mensagem editada>
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13 (10 computação, 2 químicos e 1 físico)
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas:
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina: <Mensagem editada>
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe:
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá:
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí:
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
Gostaria de saber a quantas anda a demanda em seus estados. Aqui no Amapá caiu muito.
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão: 9
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão: 9
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará:
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*PERITOS EM INFORMÁTICA FORENSE:*
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará: 13 (sendo que 4 deles atuando em outras áreas)
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
*=> Região Centro-Oeste:*
Distrito Federal:
Goiás:
Mato Grosso: 13
Mato Grosso do Sul:
*=> Região Nordeste:*
Alagoas: 6
Bahia:
Ceará: 10
Maranhão:
Paraíba:
Pernambuco: 7
Piauí: 4
Rio Grande do Norte: 5 peritos formados em computação, 1 formado em engenharia elétrica
Sergipe: 11 (sendo 4 deles de outras áreas)
*=> Região Norte:*
Acre: 4 (_até deliberação ulterior_). Todos da área de TI
Amapá: 06 (03 formandos em outras áreas - veteranos e 03 formandos em computação - novatos ingressando hoje)
Amazonas:
Pará: 13 (sendo que 4 deles atuando em outras áreas)
Rondônia:
Roraima:
Tocantins:
*=> Região Sudeste:*
Espírito Santo:
Minas Gerais:
Rio de Janeiro:
São Paulo:
*=> Região Sul:*
Paraná:
Rio Grande do Sul: 13 peritos formados em Computação e mais 3 formados em outras áreas
Santa Catarina:
Origem 020 — 24/04/2025 22:33 a 22:33 — Um J410 na mesma situação, com secure boot e o BF não evolui
Tô com um J410 na mesma situação, com secure boot e o BF não evolui, estamos com uma perspectiva da PC-3000 aqui, já foi transportado pra essa outra fila.
Origem 021 — 25/08/2025 10:02 a 10:08 — HD, SSD, NVMe e recuperação física/lógica
Boa dia,
Para os peritos de informática que estiverem pelo Interforensics esta semana, conversando com [MENCAO], gostaríamos de propor uma reunião com os chefes dos setores, encarregados e interessados.
Seria interessante ter de um a dois peritos de cada estado.
Criamos um documento com uma sugestão de data e horário e também uma sugestão de pauta.
Acredito que seria uma boa oportunidade para trocarmos umas figurinhas.
Segue o documento:
https://docs.google.com/document/d/1ircXOoniLT70W9Vot7lVRiGA8ZM6MyjUetNRWcSn9_A/edit?usp=sharing
Para os peritos de informática que estiverem pelo Interforensics esta semana, conversando com [MENCAO], gostaríamos de propor uma reunião com os chefes dos setores, encarregados e interessados.
Seria interessante ter de um a dois peritos de cada estado.
Criamos um documento com uma sugestão de data e horário e também uma sugestão de pauta.
Acredito que seria uma boa oportunidade para trocarmos umas figurinhas.
Segue o documento:
https://docs.google.com/document/d/1ircXOoniLT70W9Vot7lVRiGA8ZM6MyjUetNRWcSn9_A/edit?usp=sharing
Bom dia Wilson. Contem comigo
[NOME] - Bahia - [TELEFONE] <Mensagem editada>
[NOME] - Bahia - [TELEFONE] <Mensagem editada>
Origem 022 — 02/10/2025 08:28 a 10:36 — Extração e análise de mensagens do WhatsApp
Pessoal, recebi aqui uma requisição de exame de SSD pedindo pra identificação de vídeos íntimos e apagamento. Primeiro eu vou explicar que não é possível fazer o apagamento seguro de forma seletiva. Ou se apaga tudo ou não apaga nada. Mas tbm há a questão se é nossa atribuição fazer isso, o que não tenho certeza. Vcs já passaram por esse tipo de situação?
creio que é possível apagamento segunro de forma seletiva
existe algoritmos de apagamento com o qual é feita sequências de escritas preparadas sobre a região de dados do arquivo alvo antes dele ser "apagado" do filesystem
eu não sabia disso, [NOME]
https://github.com/XeroDays/SecureFileShredder
"Trituradora de arquivos"
"Trituradora de arquivos"
o tchan da técnica é "bagunçar" o arquivo antes de apagar
Esse aí é um exemplo simples. Existem outros mais profissionais que usam algoritmos FIPS consagrados
que legal... depois que você falou isso, perguntei ao nosso amigo chatGPT, que disse ser possível em HD, mas em SSD não... por conta do "mecanismo de TRIM e nivelamento de desgaste (wear leveling)"...
porém isso tbm foge ao meu conhecimento... vc acha q faz sentido?
porém isso tbm foge ao meu conhecimento... vc acha q faz sentido?
de fato existe o lance do gerenciamento de páginas dentro da NAND. Muito custoso apagar páginas nesse tipo de armazenamento, normalmente elas são "jogadas de lado" no apagamento de dados no gerenciamento de páginas
logo, podem sobrar pedaços do arquivo em páginas desalocadas
e vcs veem algum problema em fazer o apagamento de dados (parcial ou total)? por questões de atribuição e afins? ou pro dia a dia de vcs isso é uma atividade comum?
já recebemos solicitações do tipo aqui
bom, mais seguro para apagar SSD é usar um software específico para apagamento de SSD
mas vai a mídia toda, realmente não deve ter como apagar pontualmente
beleza... valeu pela explicação... não sabia dessas possibilidades!
agora ainda fico com mais uma dúvida... não é pra esse caso, mas imaginando que fosse um HDD e que fosse possível utilizar essa ferramenta que vc exemplificou ali em cima... como vc faria pra apagar seletivamente, mas evitando deixar outros registros do seu uso nesse HDD? monta ele sem proteção de escrita mesmo e faz o serviço? ou alguma outra peculiaridade?
agora ainda fico com mais uma dúvida... não é pra esse caso, mas imaginando que fosse um HDD e que fosse possível utilizar essa ferramenta que vc exemplificou ali em cima... como vc faria pra apagar seletivamente, mas evitando deixar outros registros do seu uso nesse HDD? monta ele sem proteção de escrita mesmo e faz o serviço? ou alguma outra peculiaridade?
Bom dia, [NOME]. É um bom questionamento, pois aqui também nos perguntamos isso sempre que vem um pedido assim. Mas, no final das contas, acabamos fazendo. 😅
No caso, aqui fazemos apagamento total
Nunca fiz apagamento seletivo, geralmente apaga-se toda a mídia
A gente não faz o apagamento parcial aqui no estado. As solicitações que a gente recebe nesse sentido são algo tipo: "apague todos os arquivos íntimos da vítima". Mesmo que a autoridade envie fotos da vítima, identificar todas as mídias da vítima não é algo trivial e, possivelmente, o perito pode deixar de identificar alguma
Nesses casos, a gente retorna perguntando se a autoridade irá querer um apagamento total e informa que o apagamento parcial não é possível, exceto se a autoridade especificar quais são os arquivos a serem removidos <Mensagem editada>
Acho que wipe forense é um trabalho para a perícia sim.
o caso é exatamente isso
valeu [MENCAO]
Se for um SSD só de dados, você pode copiar os dados não criminais para um lugar separado, depois fazer o WIPE forense e depois voltar os arquivos.
Nesse caso tem o SO... Mas é uma boa ideia mesmo.
Se você conseguir restaurar a parte do boot, pode dar certo.
pessoal, to com 2 Realme, um RMX3930 e o outro um RMX3760, fiz a extração com o UFED 7.75, e não vem as conversas do whatsapp. vcs indicam algum outro meio de extrair as conversas?
PTT-20251002-WA0003.opus (arquivo anexado)
Origem 023 — 22/10/2025 10:13 a 10:35 — Root e extração em dispositivo Positivo
Bom dia senhores, vcs já usaram o kali Linux em modo forense para fazer imagens de HD, ssd , mmc(geralmente soldado na placa mãe)? <Mensagem editada>
<Mídia oculta>
Bom dia! Deu certo, [MENCAO] ! 🙏
Bom dia! Deu certo, [MENCAO] ! 🙏
Sim, já usei [NOME] e KALI, ambos funcionaram bem
Bom dia. Já sim.
Tem o guymager. É possivel fazer as imagens com ele.
Tem o guymager. É possivel fazer as imagens com ele.
Ele gera os E0x e faz os hashes e validações.
To usando aqui, mas sempre em modo forense, pra não escrever nada nos dispositivos de armazenamento... obrigado 👍🏽
Origem 024 — 27/04/2026 14:22 a 14:28 — HD, SSD, NVMe e recuperação física/lógica
<Mídia oculta>
Pessoal, alguém já fez exame em pendrive ou SSD recolhido em apreensão de jogo do bicho? Tentei emular aqui, mas fica somente na tela preta. Já ouvi dizer que pode ser dependência da botoeira, tela ou outro hardware vinculado.
Fiz a imagem e, em um dos casos tem 4 partições, sendo uma FAT32 e outras não reconhecidas nem por visualizadores de sistemas Linux.
Pessoal, alguém já fez exame em pendrive ou SSD recolhido em apreensão de jogo do bicho? Tentei emular aqui, mas fica somente na tela preta. Já ouvi dizer que pode ser dependência da botoeira, tela ou outro hardware vinculado.
Fiz a imagem e, em um dos casos tem 4 partições, sendo uma FAT32 e outras não reconhecidas nem por visualizadores de sistemas Linux.
<Mídia oculta>
E no visualizador hexadecimal tem o jeitão de conteúdo criptografado.
E no visualizador hexadecimal tem o jeitão de conteúdo criptografado.
Se alguém tiver alguma dica, eu agradeço, pois é meu primeiro contato com isso.
ah maravilha, obrigado pela explicação