Wiki CompFor
HD, SSD, imagem forense, sistemas de arquivos e recuperação

Imagem forense e preservação de mídias

Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre imagem forense e preservação de mídias no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, FTK, Tableau, FileVault, WhatsApp. Os termos mais recorrentes neste tema incluem: mas, imagem, tableau, ele, esta, e01, criptografado, assinatura, arquivos, alguma. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Preservar mídia original com bloqueio de escrita quando aplicável.
  • Registrar hash da imagem e da mídia quando possível.
  • Manter logs de aquisição e validação.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDFTKTableauFileVaultWhatsApp

Palavras-chave recorrentes

masimagemtableaueleestae01criptografadoassinaturaarquivosalgumatipossdrawondehddh264essecriptografia

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 03/04/2019 09:36 a 11:10 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS

03/04/2019 09:36 · Membro 0055
IMG-20190403-WA0006.jpg (arquivo anexado)
Pessoal, bom dia! Alguém sabe que no Tableau tem algum adaptador pra leitura desse SSD?
03/04/2019 09:41 · Membro 0040
Se não me engano tem alguns sim, e acho que para esse tipo tem sim
03/04/2019 09:48 · Membro 0055
Achei um mas não cabe por pouco
03/04/2019 10:33 · Membro 0048
Apple com suas idiosincrasias
03/04/2019 10:33 · Membro 0048
vc precisa de um adaptador apple mac book air (12/16) para sata. Uns 150 reais no ML
03/04/2019 10:34 · Membro 0055
Tinha esperança de ter no Tableau, mas pelo jeito.... Valeu pessoal 👍🏻
03/04/2019 10:34 · Membro 0048
ou boota um S.O. e faz DD
03/04/2019 10:34 · Membro 0003
é o que eu tenho feito
03/04/2019 10:37 · Membro 0054
IMG-20190403-WA0008.jpg (arquivo anexado)
Possivelmente, deste tipo.
03/04/2019 10:40 · Membro 0054
Por alternativa, o Sumuri Paladin pode resolver, se o FileVault estiver desabilitado.

Deft por vezes funciona tb, mas ele não trabalha direito com alguns displays (principalmente, se for Retina).
03/04/2019 10:42 · Membro 0048
Acho que esse não serve pq aparentemente é para outra pinagem.
03/04/2019 10:45 · Membro 0048
olha aí a variedade, no caso, aparenta ser o 12/16
03/04/2019 10:47 · Membro 0054
Bacana este comparativo!
03/04/2019 10:48 · Membro 0048
Apple sempre "facilitando" a perícia criminal
03/04/2019 10:48 · Membro 0003
Obsolescência programada...
03/04/2019 10:57 · Membro 0055
<Mídia oculta>
Aparenta o 12+16Pin
03/04/2019 10:59 · Membro 0054
O próprio😬
O que tenho aqui é o 6+12, parece.
03/04/2019 11:06 · Membro 0054
Alguém possui o Tableau Tx-1? Sabem dizer se ele com esses adaptadores tb?
03/04/2019 11:08 · Membro 0048
acho que é esse adaptador da guidance:
03/04/2019 11:09 · Membro 0048
https://www.guidancesoftware.com/tableau/hardware/tda7-3
03/04/2019 11:10 · Membro 0054
Mas agora, com o SSD soldado na placa mãe, este problema “acabou”😬

Origem 002 — 27/12/2019 20:59 a 21:22 — Segue, para o padrão da Intelbrás. / / Ajustar o config.h. Compilar com

27/12/2019 20:59 · Membro 0071
Por gentileza, [EMAIL]!
27/12/2019 21:02 · Membro 0020
Segue o tutorial que ele mandou
27/12/2019 21:02 · Membro 0020
Segue, para o padrão da Intelbrás.

Ajustar o config.h. Compilar com g++. O programa pede dois parâmetros: a
imagem raw (dd, por exemplo) do disco e uma pasta base destino onde os
arquivos serão gravados. O programa produz um relatório de atividades,
bastante útil, que costumo redirecionar, através de tee, para um arquivo.

Há, também, alguns utilitários shell script, que realizam algumas
junções e conversões.

O prejuntar.sh, que irá utilizar o juntar.sh, pede três parâmetros:
pasta base onde os arquivos estão, pasta destino, onde os resultados
serão gravados e um filtro de data, que costumo utilizar somente o ano,
ou o ano e o mês, ou o ano e o dia, ou o ano, mês, dia e alguma hora.
Esse último parâmetro é que, à vezes, a gente só quer juntar alguma
parte do resultado.

prejuntar.sh é útil pois, pela forma como os arquivos são guardados no
disco, o meu programa retorna um monte de pequenos arquivos, que fica
chato de acompanhar.

Em seguida, costumo utilizar os conversores, que, pelo nome, são bem
intuitivos, que pedem, somente, a pasta base onde os arquivos juntados
foram gravados. Um converte para mpg, que, às vezes, não consegue
realizar com sucesso por ausências de algumas informações nos arquivos.
O outro converte para AVI, que nunca me produziu erros. Fica à escolha.

Ah! Ambos utilizam o ffmpeg. Ou seja: o ffmpeg deve estar instalado.

Sucesso,
[NOME]
27/12/2019 21:09 · Membro 0020
https://drive.google.com/folderview?id=1lP9SjpnP6wfpk-8IIe1hfj-1e3F8hKBE
27/12/2019 21:12 · Membro 0041
Esta funcionando.😉
27/12/2019 21:13 · Membro 0037
Também confirmo o funcionamento do link.
Agora, não vi nos arquivos tar os scripts "juntar.sh" e "prejuntar.sh", alguém poderia disponibilizar?
27/12/2019 21:18 · Membro 0020
Eles não estão na pasta h264?
27/12/2019 21:22 · Membro 0020
Vixi... Não tenho a vm que uso disponível agora, posso checar e enviar semana que vem....

Origem 003 — 03/08/2021 10:16 a 10:33 — Existe um ftkimager para linux de linha de comando. Dá para dar boot

03/08/2021 10:16 · Membro 0117
Era o [NOME] 10? Ou estava criptografado
03/08/2021 10:32 · Membro 0078
Existe um ftkimager para linux de linha de comando. Dá para dar boot com um linux qualquer e usar ele para fazer imagem
03/08/2021 10:32 · Membro 0078
https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1
03/08/2021 10:32 · Membro 0020
Foi esse que usei na última vez
03/08/2021 10:33 · Membro 0078
sudo ftkimager --list-drives

sudo ftkimager /dev/sba nome_arquivo_imagem --e01 --verify

Origem 004 — 10/12/2021 09:15 a 09:37 — Triagem visual de imagens e vídeos no IPED

10/12/2021 09:15 · Membro 0030
Colegas, muito bom dia!
Estou usando pela primeira vez o WinFE. Utilizando a ferramenta existente para obter a imagem do disco, ele
Só me gera uma imagem em formato .img.
Alguém tem alguma ideia ou sabe de alguma outra forma de gerar essa imagem em outro formato?
10/12/2021 09:18 · Membro 0021
Bom dia!
Qual disco você está fazendo imagem e onde você abrir essa imagem?
10/12/2021 09:21 · Membro 0030
é um macbook. quero utilizar no IPED, que só aceita DD, E01 ou 001
10/12/2021 09:23 · Membro 0003
se trocar o .img para .dd é possível que dê certo
10/12/2021 09:23 · Membro 0003
caso o contrário, pode abrir no ftk imager e exportar para e01
10/12/2021 09:24 · Membro 0021
Entendi. Fiz a cópia dd da memória de um macbook usando uma distribuição Linux.
10/12/2021 09:25 · Membro 0003
img e dd ambos são extensões de formato raw, então só trocar a extensão pode funcionar
10/12/2021 09:28 · Membro 0030
opa.... tentarei essas opções.
10/12/2021 09:29 · Membro 0030
Tentei no [NOME], mas ele não montou o disco... deve ser devido à criptografia. A imagem criptografada não vai adiantar muito também se não tiver um programa de quebra de senha né?
10/12/2021 09:31 · Membro 0117
Depende ser for apfs criptografado com ou sem t2
10/12/2021 09:31 · Membro 0021
Então você não vai conseguir abrir com essa imagem.

É necessário desabilitar a criptografia. O macbook está desbloqueado?
10/12/2021 09:32 · Membro 0030
sem senha, impossível ou tem algo a fazer ainda?
10/12/2021 09:37 · Membro 0030
caso estivesse desbloqueado, seria possível desabilitar a cripto?

Origem 005 — 21/04/2023 11:41 a 12:00 — Imagem forense e preservação de mídias

21/04/2023 11:41 · Membro 0040
Pessoal, alguém está por dentro ou está sabendo de casos de clonagem de assinatura digital ou algo semelhante?
21/04/2023 11:42 · Membro 0040
A delegacia de estelionatário daqui está investigando vários casos e pediram nosso auxílio.
21/04/2023 11:42 · Membro 0080
Vixi, não sabia disso.
Cabuloso.
21/04/2023 11:49 · Membro 0048
Fiquei até curioso. Chave privada geralmente está protegida por pkcs's. Se clonaram tem uma falha grave na infraestrutura de chaves
21/04/2023 11:50 · Membro 0048
Essa assinatura é sobre a PKI da ICP-BR?
21/04/2023 11:50 · Membro 0037
Exatamente! Tem que ter muito cuidado com isso.
21/04/2023 11:53 · Membro 0040
Então, é isso que não sei. Por isso perguntei aos senhores.
21/04/2023 11:54 · Membro 0048
Numa PKI (infra de chaves públicas) vc tem vários mecanismos de segurança para evitar esse risco aí
21/04/2023 11:55 · Membro 0040
Creio que a assinatura eletrônica tem mais vulnerabilidades que a assinatura digital, mas não sei qual o caso investigado pela delegacia. Segunda pegarei mais informações. Era mais para ter uma noção de algo em nível nacional.
21/04/2023 11:55 · Membro 0048
Agora tem que ver qual o sistema de assinatura etc...
21/04/2023 11:55 · Membro 0050
Já ouvi falar de casos envolvendo abertura de empresa com certificados válidos.
Mas a fraude começava em outro ponto.
A parte de TI estava Ok. Mas o criminoso criava uma pessoa nova, desde a emissão da certidão de nascimento, até a emissão do certificado.
21/04/2023 11:56 · Membro 0048
Tem aqueles da adobe online, tem usando pki, tem até aqueles que usam um gif da assinatura fisica, tem de tudo
21/04/2023 11:57 · Membro 0040
Interessante. Vale um estudo
21/04/2023 11:58 · Membro 0048
Tem até mais simples, do cara copiar o rodapé com código de autenticação que raramente se confere 😄
21/04/2023 12:00 · Membro 0040
Hahahahahahaha boaaaaa

Origem 006 — 22/05/2023 11:51 a 12:01 — Imagem forense e preservação de mídias

22/05/2023 11:51 · Membro 0088
<Mídia oculta>
Ssd de MacBook pro, essa interface é PCI Express? Alguma forma de clonar pelo Tableau?
22/05/2023 11:57 · Membro 0088
está criptografado, mas como é um caso sensível, pensei em clonar por precaução
22/05/2023 11:59 · Membro 0144
Tableau tem um adaptador
22/05/2023 12:01 · Membro 0088
opa! Obrigado. Acho q o nosso Tableau é uma versão anterior, mas vou procurar novamente aqui

Origem 007 — 21/12/2023 11:10 a 11:16 — Ai tem q ajustar o comando certinho para o formato que deseja

21/12/2023 11:10 · Membro 0015
ai tem q ajustar o comando certinho para o formato que deseja
21/12/2023 11:11 · Membro 0015
ja fiz de .001 pra vdi
21/12/2023 11:15 · Membro 0014
Poderia compartilhar o procedimento [MENCAO]
21/12/2023 11:16 · Membro 0015
https://arquivogabrielfernandes.wordpress.com/2011/11/16/como-converter-clonar-maquina-real-para-virtual-no-oracle-virtualbox-em-linux/
21/12/2023 11:16 · Membro 0015
o comando que usei nao tenho mais

Origem 008 — 09/07/2024 16:45 a 16:45 — Root e extração em dispositivo Positivo

09/07/2024 16:45 · Membro 0071
Pessoal, como vocês realizam a cópia forense de MacBooks?
Retiram a criptografia e fazem um DD via recovery?
Fazem cópia lógica (CPIO ou similar)?
Inicializam no "target device mode" e utilizam outro dispositivo?
Ajuda ae!! Precisando de dicas!

Origem 009 — 18/10/2024 09:45 a 10:09 — Extração e análise de mensagens do WhatsApp

18/10/2024 09:45 · Membro 0096
Pessoal, bom dia. Será que funciona com o Dump00.bin que resultou do UFED?
18/10/2024 10:00 · Membro 0096
Queria ver se conseguia fazer o carving da chave do WhatsApp
18/10/2024 10:01 · Membro 0015
Eu acho a funciona mas tb pode ver alguma ferramenta pra converter pra dd
18/10/2024 10:02 · Membro 0096
será que se exportar pelo ftkimager é suficiente?
18/10/2024 10:03 · Membro 0096
até rodei a ferramenta, ele analisou e disse que não encontrou chaves... mas fiquei na dúvida se, por ser BIN e não DD, ele fez certinho
18/10/2024 10:08 · Membro 0112
até onde me lembro, o .bin resultante do UFED é uma cópia do tipo raw, basicamente o mesmo que o dd.
18/10/2024 10:09 · Membro 0015
vdd, mas é pq nos exemplos do script ele passa dd como arquivo
18/10/2024 10:09 · Membro 0015
eu ja usei ele uma vez mas n lembro qual era o tipo de arquivo

Origem 010 — 06/05/2026 13:12 a 13:20 — Imagem forense e preservação de mídias

06/05/2026 13:12 · Membro 0076
Boa tarde, pessoal.

Alguém aqui já lidou com HDD do tipo SED (Self-Encrypting Drive)?

Estou analisando um caso em que o pedófilo investigado, com formação em TI, utilizava um computador com 5 unidades de armazenamento. A maior delas (3 TB) é um HDD do tipo SED e estava fisicamente desconectada da placa-mãe no momento da apreensão.

Nos demais discos, foram encontrados diversos arquivos relevantes. Observou-se também que o investigado adotava práticas para dificultar a identificação do conteúdo, como uso de nomes de pastas não sugestivos (ex.: nomes de drivers) e utilização de software como o “lockdir”.

Ao tentar acessar o HDD SED em ambiente Linux para aquisição via dd, o sistema retorna erros de I/O. Inicialmente considerei a possibilidade de defeito físico, mas agora levanto a hipótese de que o comportamento esteja relacionado ao mecanismo de criptografia do próprio SED.

Alguém já enfrentou situação semelhante ou tem alguma sugestão de abordagem nesse tipo de mídia?
06/05/2026 13:20 · Membro 0166
e se tentar clonar no Tableau ?