Wiki CompFor
HD, SSD, imagem forense, sistemas de arquivos e recuperação

Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins

Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre sistemas de arquivos ZFS, EXT, APFS, NTFS e afins no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, EnCase, Tableau, VeraCrypt, BitLocker. Os termos mais recorrentes neste tema incluem: data, file, arquivos, esta, the, arquivo, midia, mas, org.nativescript.wpextract, imagem. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Identificar sistema de arquivos antes de escolher ferramenta.
  • Montar imagens preferencialmente em modo somente leitura.
  • Documentar limitações quando o sistema não for suportado.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDMagnet AXIOMFTKEnCaseTableauVeraCryptBitLockerWhatsApp

Palavras-chave recorrentes

datafilearquivosestathearquivomidiamasorg.nativescript.wpextractimagemntfsipedappsistemaocultanowlinefiles

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 14/05/2018 08:44 a 10:05 — Extração e compatibilidade em Samsung SMART

14/05/2018 08:44 · Membro 0044
Bom dia! Com a proximidade do fim do período de licenças resolvi atualizar o firmware do Tableau TD3 e tive problemas. Abrir uma ocorrência na TechBiz e eles providenciaram um tutorial por linha de command. Conforme minha solicitação, vez que eles desconheciam a linha de comando (pelo que pude perceber). Segue o tutorial.
14/05/2018 08:44 · Membro 0044
<Mídia oculta>
Tutorial-instala-command-line.pdf
14/05/2018 08:46 · Membro 0044
No entanto, gostaria de ajuda com um erro que estou recebendo quando tento fazer a aquisição disk-to-file de uma HD SAS 300gb para um HG SATA de 500 GB. segue o erro
14/05/2018 08:46 · Membro 0044
"Source image will not fit in destination filesystem.Aborting."
14/05/2018 08:47 · Membro 0003
qual o sistema de arquivos do destino? fat32?
14/05/2018 08:47 · Membro 0044
NTFS
14/05/2018 08:49 · Membro 0003
tenta com exfat
14/05/2018 08:50 · Membro 0048
talvez interessante faze ruma imagem de back antes de iniciar o processo. Um apergunta, alguma funcionalidade nova ?
14/05/2018 08:53 · Membro 0044
Atenção! O firmware do Tableau TD3 fica em um SD Card, não no equipamento. Quanto a nova funcionalidade, ainda não vi nenhuma.
14/05/2018 08:53 · Membro 0044
Vou tentar. Valeu!
14/05/2018 08:53 · Membro 0048
TD3 Forensic Imager (Version 2.0.0):

New Features and Enhancements:

The TD3 now supports writing to NTFS and HFS+ destination filesystems.
iSCSI read and write performance is now significantly faster.
International language support now includes improved and more complete menu entries.
The UI now displays new Guidance Software and Tableau brand logos.
For more information on these TD3 features and enhancements, please see the TD3 product web page and User Guide version 2.0.0 or later here.
Bug Fixes:

The network interfaces configuration file is now checked at boot for corruption. If the file appears to be corrupt, the user is notified and may choose to restore default settings, ignore and continue to boot the TD3, or enter a new IP address.
The capacity of a TDS2 set is now reported and logged correctly when two drives of dissimilar size are used.
The Eject Disk feature now works correctly on a destination drive within the web interface.
The Duplicator Info settings module now works correctly within the web interface.
The directory path is now correctly displayed when the “Destination Dir” settings option is selected within the web interface.
Log entries from the local and web interfaces are now identical.
CIFS destination share names are now included in the log.
A Smart Blank Check on a blank drive now completes properly.
The user is now alerted when an image file size larger than 2GB is specified when writing to a FAT32 destination file system.
The time remaining progress bar is now correctly displayed when verifying a duplication created with a custom directory path.
USB destination drive information is now correctly reported when a set of TDS2 drives are present.
The option to perform a verification after a secure erase operation is now disabled.
14/05/2018 10:05 · Membro 0044
Não foi o caso, o aplicativo não encontrava o SD Card. Mas pela linha de comando ele achava 👍🏼

Origem 002 — 14/11/2018 09:56 a 11:27 — Extração e decodificação de bancos do WhatsApp

14/11/2018 09:56 · Membro 0048
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
14/11/2018 09:57 · Membro 0048
👆🏼atualizado script de carga para uso de mais um formato de data detectado em exames
14/11/2018 10:05 · Membro 0010
Opa
14/11/2018 10:06 · Membro 0010
Alguém pode enviar novamente o telefone do colega que acessou a memória interna da máquina de jogo do bicho
14/11/2018 10:06 · Membro 0010
Troquei de telefone
14/11/2018 10:06 · Membro 0010
Perdi as conversas
14/11/2018 10:10 · Membro 0048
Senhores. Foi desenvolvido na SPI/PCDF aplicativo para exportação das conversas (semelhante a um APK já compartilhado), mas com uma técnica nova que tem se mostrado eficaz em trazer todas as conversas, pois, foi percebido que o WhatsApp na exportação por e-mail limita a quantidade de anexos e mensagens baseado no volume de dados. Sendo assim, a estratégia do APK é fazer uma operação de replicar os anexos com o payload de dados zerados visando não atingir esse limite de exportação e possibilitando a exportação completa das conversas. Ao final do processo, é restabelecido o estado original dos anexos.
14/11/2018 10:13 · Membro 0048
Compartilho o APK com o grupo. Aqueles com interesse em acesso ao fonte podem entrar em contato no PVT, que assim que possível vamos cadastrar peritos desenvolvedores.
14/11/2018 10:13 · Membro 0048
<Mídia oculta>
spitools.apk
14/11/2018 10:17 · Membro 0048
Também foi desenvolvido um script baseado no AndroidViewClient (https://www.darpandodiya.com/code/setup-androidviewclient-windows/) que possibilita o processo automatizado de exportação (simulando interação do usuário com WhatsApp) que está em faze final de ajuste e assim que possível será disponibilizado aqui no grupo.
14/11/2018 10:18 · Membro 0008
Instalei no meu aparelho, porém não funcionou..
14/11/2018 10:18 · Membro 0010
Qual a finalidade desse segundo app
14/11/2018 10:19 · Membro 0048
qual o erro apresentado?
14/11/2018 10:20 · Membro 0008
An uncaught Exception occurred on "main" thread.
java.lang.RuntimeException: Unable to resume activity {org.nativescript.wpextract/com.tns.NativeScriptActivity}: com.tns.NativeScriptException:
Calling js method onActivityResumed failed

Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12

StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38


at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3666)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3706)
at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2915)
at android.app.ActivityThread.-wrap11(Unknown Source:0)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:1606)
at android.os.Handler.dispatchMessage(Handler.java:105)
at android.os.Looper.loop(Looper.java:164)
at android.app.ActivityThread.main(ActivityThread.java:6592)
at java.lang.reflect.Method.invoke(Native Method)
at com.android.internal.os.Zygote$MethodAndArgsCaller.run(Zygote.java:240)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:769)
Caused by: com.tns.NativeScriptException:
Calling js method onActivityResumed failed

Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12

StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38


at com.tns.Runtime.callJSMethodNative(Native Method)
at com.tns.Runtime.dispatchCallJSMethodNative(Runtime.java:1116)
at com.tns.Runtime.callJSMethodImpl(Runtime.java:996)
at com.tns.Runtime.callJSMethod(Runtime.java:983)
at com.tns.Runtime.callJSMethod(Runtime.java:967)
at com.tns.Runtime.callJSMethod(Runtime.java:959)
at com.tns.gen.android.app.Application_ActivityLifecycleCallbacks.onActivityResumed(Application_ActivityLifecycleCallbacks.java:29)
at android.app.Application.dispatchActivityResumed(Application.java:216)
at android.app.Activity.onResume(Activity.java:1317)
at android.app.Instrumentation.callActivityOnResume(Instrumentation.java:1376)
at android.app.Activity.performResume(Activity.java:7088)
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3641)
... 10 more
14/11/2018 10:21 · Membro 0048
Por favor, é necessário conceder permissão para o aplicativo de acesso ao armazenamento interno.
14/11/2018 10:22 · Membro 0009
Muito bom! 👏🏻👏🏻👏🏻👏🏻
14/11/2018 10:22 · Membro 0008
<Mídia oculta>
Deu essa mensagem também quando tentei de novo
14/11/2018 10:24 · Membro 0048
Favor incluir o contato no grupo 👆
14/11/2018 10:25 · Membro 0048
Esse erro está dando em alguns aparelhos. Já estamos analisando.
14/11/2018 10:30 · Membro 0009
Deu o mesmo erro aqui. Android 8.0.0
14/11/2018 10:31 · Membro 0048
Favor incluir nosso colega da SPI no grupo.
14/11/2018 10:38 · Membro 0048
Existe um comportamento diferente do INTENT no Android 8. Estamos adaptando o código para esse caso. Assim que adaptarmos vamos disponibilizar a nova versão.
14/11/2018 10:40 · Membro 0008
Qual é o método de uso do apk, idêntico ao outro?
Ou tem algum diferencial?
14/11/2018 10:47 · Membro 0048
Diferencial é que ele faz um "zeramento" dos arquivos anexos para poder todos ANEXOS (midias) e MENSAGENS serem exportados. Ele trabalha no sistema de arquivos fazendo um backup dos anexos, replica a estrutura original dos diretórios com os arquivos zerados, e o usuário faz a exportação dos bate-papos que dessa forma vão completos. Depois via o APK se restabelece os arquivos de midia.
14/11/2018 10:47 · Membro 0048
é possível fazer esse mesmo procedimento diretamente com scripts shell. O apk vem facilitar
14/11/2018 10:57 · Membro 0048
👆tentativa de correção do erro do "length".
14/11/2018 10:57 · Membro 0048
<Mídia oculta>
spitools.apk
14/11/2018 11:06 · Membro 0008
Agora não deu erro. Talvez também devido ao fato de eu ter dado permissão manualmente
14/11/2018 11:06 · Membro 0008
Porém, não sei se entendi ou fiz algo errado, não encontro o arquivo de texto com as conversas, apenas mídias...
14/11/2018 11:09 · Membro 0003
Também não entendi o procedimento. Concluí tudo na aplicação e ficou a pasta lá, mas aparentemente tudo criptografado.
14/11/2018 11:10 · Membro 0008
Como faz? Exporta via conversa individual ou ele faz de todas sozinho?
14/11/2018 11:16 · Membro 0048
a ferramenta é similar aquela de exportação por email que não vai por email, vai no cartão sd o texto dos emails. Sendo assim, seguindo a mesma lógica, o exportado cai no sdcard>SPITools/wp
14/11/2018 11:16 · Membro 0071
Olá pessoal, sobre o programa spitools.apk.
14/11/2018 11:17 · Membro 0071
Percebemos que criando uma pasta *fake* contendo os mesmos arquivos porém zerados, é possível superar a limitação dos 10 megas da exportação por e-mail.
14/11/2018 11:19 · Membro 0071
Criamos um aplicativo para facilitar a criação da pasta fake fazendo a troca pela pasta original.
14/11/2018 11:26 · Membro 0071
☝Tela principal do aplicativo. O primeiro botão gera a pasta fake conforme a próxima imagem.
14/11/2018 11:27 · Membro 0071
<Mídia oculta>
Contém os mesmos arquivos, porém zerados.

Origem 003 — 27/05/2019 19:09 a 21:43 — Análise de Registro Windows e arquivo NTUSER.DAT

27/05/2019 19:09 · Membro 0048
Qual sistema de arquivos?
27/05/2019 20:48 · Membro 0018
NTFS
27/05/2019 21:27 · Membro 0048
Data de criação do Ntfs no Windows não é confiável. Creio que a data mais preservada na manipulação de arquivos ni Windows é a data de modificação
27/05/2019 21:30 · Membro 0078
Não é confiável por que pode ser que quando foi feita a formatação o relógio do computador estava desajustado?
27/05/2019 21:36 · Membro 0048
Trabalho de um colega sobre o tema:
http://repositorio.unb.br/bitstream/10482/10842/1/2012_CleberScoralickJunior.pdf
27/05/2019 21:37 · Membro 0021
Já fiz alguns testes referente a data e hora criação de um arquivo. Ao copiar ou mover um arquivo para pastas ou unidades lógicas ou físicas já pode alterar. Realizar o download ou apload idem. O mais confiável será a data e hora de modificação. Tudo dependerá do sistema de arquivo e versão do Windows.
27/05/2019 21:39 · Membro 0051
Já vi locais dizendo q o creation time seria mais preciso chamar de change time. Change no sentido de mudança de mídia. Ou seja, toda vez q um arquivo muda de mídia, o "creation" é atualizado.
27/05/2019 21:40 · Membro 0051
Mudar de mídia = sair de um disco e ir pra um pendrive ou baixar ou enviar da Internet etc. Mudar de pasta não é mudar de mídia
27/05/2019 21:41 · Membro 0048
Tem coisas que depende como o SO trata certas operações. Tipo se vc copiar do ntfs para o fat32 o registro no fat32 tem um range limitado, logo a truncamento... copia no file explorer do Windows muda datas. A mais preservada em vários tipos de operação no Windows é a data de modificação
27/05/2019 21:41 · Membro 0048
No windows é essa ideia
27/05/2019 21:42 · Membro 0048
*Logo há truncamento
27/05/2019 21:43 · Membro 0048
Data da formatação da partição no NTFS é bom verificar o arquivo de MFT original

Origem 004 — 28/05/2019 07:18 a 07:30 — 👍🏼 aqui tb não saiu nada 😞

28/05/2019 07:18 · Membro 0073
👍🏼 aqui tb não saiu nada 😞
28/05/2019 07:30 · Membro 0060
Já consegui algumas informações sobre os Mac times nos arquivos I$30 associados aos arquivos no NTFS

Origem 005 — 28/02/2020 15:46 a 17:22 — Uso do IPED na triagem, indexação e análise

28/02/2020 15:46 · Membro 0050
Prezados,
Alguem ja teve problemas com o IPED para processamento de imagens com sistema de arquivos EXT4?
No meu caso, a estrutura do sistema de arquivos não está sendo montada. O IPED nao reconhece e monta a arvore de diretórios. Entende tudo como raw.
O FTK Imager interpreta as partiçoes da forma correta
28/02/2020 17:22 · Membro 0050
Consegui processar. O problema ocorreu devido à extensão do arquivo. O IPED realiza o processamento com base no nome do arquivo. A extensão deve estar correta. No meu caso, estava .raw, por isso nao estava funcionando corretamente. Mudei pra .dd e funcionou 👍

Origem 006 — 13/05/2020 09:53 a 12:33 — Metadados EXIF/JPEG e individualização de câmera

13/05/2020 09:53 · Membro 0048
Isso em Portugal/EU. No Brazil já há algum movimento nesse sentido?
13/05/2020 09:57 · Membro 0015
Pelo que li nos comentarios, consideram as maiores empresas de cartoes como internacionais...assim, valeria para o mundo inteiro
13/05/2020 09:57 · Membro 0015
na prática é q nao dá pra afirmar
13/05/2020 10:01 · Membro 0003
É totalmente sem sentido mesmo. Ontem fui fazer uma compra online e meu cartão bloqueou. Acessei o aplicativo que tem controle por biometria, mas para desbloquear eu tenho que ir a um caixa eletrônico... É muito atraso.
13/05/2020 10:02 · Membro 0048
Tive o mesmo problema faz uns poucos meses atrás
13/05/2020 10:03 · Membro 0003
O difícil agora é sair para ir em um caixa eletrônico em pleno lockdown.
13/05/2020 10:03 · Membro 0048
Estou com o mesmo problema
13/05/2020 10:04 · Membro 0015
ja tive esse mesmo problema...apenas por ter feito uma transfrerncia de valor acima do normal. Bloquearam a senha que so resolvia com gerente..nem caixa eletronica dava jeito
13/05/2020 10:06 · Membro 0048
pior que no meu caso bloqueou o cartão físico e o virtual
13/05/2020 11:40 · Membro 0115
Bom dia pessoal, estou com uma perícia aqui relacionada a adulteração de metadado. De data e hora de arquivos. Sei q é possível realizar modificações neste tipo de arquivo com programas tipo o bulk file changer, isso no Windows. No entanto, tais arquivos são de imagens em um celular q aparentemente foram enviadas por what's.
A pergunta alguém conhece alguma forma de modificar tais datas em Android sem o celular estar rooteado. Ou se é possível modificar essa foto em um computador e gravar no celular sem modificar a data.
Fiz testes de tentativa de modificação destes metadados com o celular conectado no PC, mas deram acesso negado.
Obrigado
13/05/2020 11:49 · Membro 0048
Foto capturada em um celular e que depois foram enviadas desse celular através do Zap?
13/05/2020 11:49 · Membro 0115
Isso, aparentemente as fotos foram feitas do celular, direto pelo zap
13/05/2020 11:51 · Membro 0003
São arquivos de imagem armazenados na pasta do WhatsApp?
13/05/2020 11:52 · Membro 0048
têm essas datas na base do msgstore.db, pode fazer um batimento da data do msgstore, com a data do nome do arquivo, e com as datas do sistema de arquivos (provavelmente ext4 ou f2fs)
13/05/2020 11:53 · Membro 0003
Não era para dar acesso negado
13/05/2020 11:54 · Membro 0115
Obrigado, farei esta análise
13/05/2020 11:59 · Membro 0115
Pois é, achei estranho mas creio q seja pq o arquivo está no celular e ele 'protege ' esses metadados de alguma forma
13/05/2020 11:59 · Membro 0115
Testei em um outro celular sem ser a evidência
13/05/2020 12:09 · Membro 0003
Deve ter sido algum problema na comunicação, talvez. 🤔
13/05/2020 12:11 · Membro 0115
O cabo testei e está ok, tbm meu pc está sem o bloqueio de escrita
13/05/2020 12:32 · Membro 0003
Eu fiz um teste agora e realmente não consegui alterar o arquivo através do protocolo MTP. Mas, dependendo da intenção, seria possível alterar a data do PC e do celular para a data desejada, alterar no computador e copiar de volta o arquivo.
13/05/2020 12:33 · Membro 0003
alterar os metadados sem o celular estar rooteado, dependendo do meta-dado em questão, é possível com um editor hex
13/05/2020 12:33 · Membro 0003
É impossível dizer que uma adulteração dessas não é possível.

Origem 007 — 01/09/2023 08:36 a 10:23 — Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins

01/09/2023 08:36 · Membro 0044
Bom dia! Tive que reinstalar meu FTK e agora tá dando um mensagem de falta de licença. Alguém poderia me ajudar?
01/09/2023 08:41 · Membro 0117
Os posters da sans costumam ter dicas boas de forense.
01/09/2023 08:42 · Membro 0117
SANS_DFPS_FOR585_v3.5_2211.pdf (arquivo anexado)
01/09/2023 08:47 · Membro 0117
<Mídia oculta>
TheHitchhikersGuidetoDFIRExperiencesFromBeginnersandExperts.pdf
01/09/2023 08:47 · Membro 0117
Este livro é gratuito e é atualizado frequentemente no github
01/09/2023 08:48 · Membro 0117
https://github.com/Digital-Forensics-Discord-Server/TheHitchhikersGuidetoDFIRExperiencesFromBeginnersandExperts
01/09/2023 08:49 · Membro 0117
https://link.springer.com/book/10.1007/978-3-030-98467-0
01/09/2023 08:50 · Membro 0117
Livro sobre alguns sistemas de arquivos mobile.
01/09/2023 10:22 · Membro 0088
HD GPT com NTFS
01/09/2023 10:22 · Membro 0088
que corrompeu por uma possível queda de energia
01/09/2023 10:23 · Membro 0088
Qual seria um bom software para tentar recuperar o sistema de arquivos?

Origem 008 — 29/04/2024 11:30 a 12:05 — Metadados EXIF/JPEG e individualização de câmera

29/04/2024 11:30 · Membro 0105
Mas se trocar de unidade (C para D) ele altera, certo?
29/04/2024 11:31 · Membro 0088
Testei agora, não altera! 🤣
29/04/2024 11:33 · Membro 0112
mover acho que nao altera, mas copiar provavelmente altera.
29/04/2024 11:33 · Membro 0088
trocar de unidade na minha opinião era pra alterar kkk
29/04/2024 11:34 · Membro 0088
regras dos sistemas de arquivos aleatórias...
29/04/2024 11:36 · Membro 0105
Pois é. Na mesma unidade não faria sentido, puq apenas o apontamento de qual diretório estaria mudaria. Mas unidade é zuado.
29/04/2024 11:37 · Membro 0105
Tem duas datas de criação.

A do arquivo e do FS. Nenhuma das duas mudaram?
29/04/2024 11:37 · Membro 0164
<Mídia oculta>
imagem original, fiz um recorte nela, essa "Data de Modificação" em baixo, desapareceu no novo arquivo.
29/04/2024 11:38 · Membro 0164
<Mídia oculta>
novo arquivo
29/04/2024 11:38 · Membro 0164
alterou "File Modification Date/Time"
29/04/2024 11:39 · Membro 0105
Uhnn. Nesse caso os metadados podem ser diferentes do NTFS, pois aparentam terem sido criadas no celular, então seria um linux.
29/04/2024 11:41 · Membro 0105
Eu não tô ligado em todas as diferenças, mas sei que a interpretação dessas datas deve levar em consideração as diferenças entre Linux e ntfs.
29/04/2024 11:42 · Membro 0164
mas essas imagens foram criadas por um celular, foi que o que o ExifTools disse.
29/04/2024 11:50 · Membro 0048
O que vem com o comando?:
exiftool -T -DateTimeOriginal [arquivo]
29/04/2024 11:54 · Membro 0048
Bom esse aí parece que dá a data desconsiderando o FS
29/04/2024 11:54 · Membro 0048
testei aqui em imagens pessoais e ficou coerente exiftool -DateTimeOriginal [arquivo]
29/04/2024 11:56 · Membro 0164
Resumindo, nao da pra afirmar que essa Data de Modificação é realmente a data em que o arquivo foi produzido pelo aparelho
29/04/2024 11:56 · Membro 0164
pelo contexto, tudo leva a crer que sim
29/04/2024 11:57 · Membro 0164
sempre tem um "mas"
29/04/2024 12:03 · Membro 0185
Em todo laudo que me pedem algo referente a datas eu coloco algo como "O perito faz ressalva quanto a sensibilidade dos valores de data/hora de arquivos, como apresentado por Chow (Chow et al, 2007), estes estão sujeitos a algumas situações que podem implicar em uma marcação de data e horário equivocada"
29/04/2024 12:04 · Membro 0185
<Mídia oculta>
RuleOfTime.pdf
29/04/2024 12:05 · Membro 0185
veja que um usuário mais curioso, e mal intencionado, encontra ferramentas na internet que permitem alterar de forma simples quaisquer datas

Origem 009 — 03/05/2024 08:01 a 08:15 — Cálculo e verificação de hashes em grande volume de arquivos

03/05/2024 08:01 · Membro 0044
A data de criação diz respeito ao momento que o arquivo passou a existir para aquele sistema de arquivo.
03/05/2024 08:12 · Membro 0088
Exatamente. Mesmo movendo para um HD diferente a data de criação se manteve, ao menos no NTFS
03/05/2024 08:13 · Membro 0088
Testar depois de NTFS pra exfat
03/05/2024 08:15 · Membro 0185
Bom dia, algumas dicas já foram ditas aqui, quando recebi um caso parecido eu fiz o seguinte:
1 - Analise do registro windows, verificando chaves associadas a programas desconhecidos
2 - Verificar itens com inicialização automatica
3 - Busca por programas conhecidos, ha muitos keyloggers disponiveis na internet
4 - Filtrar os arquivos usando base de hash de softwares conhecidos
5 - Montar a imagem e efetuar um escaneamento com ferramenta antivirus ou algum especializado em malwares
03/05/2024 08:15 · Membro 0185
[MENCAO]

Origem 010 — 20/03/2025 07:19 a 08:46 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS

20/03/2025 07:19 · Membro 0105
IMG-20250320-WA0000.jpg (arquivo anexado)
Bom dia.

Vocês já tiveram esse problema no IPED?

Quando processo a imagem do HD nele, ele aparentemente não interpreta o sistema de arquivos NTFS.

Abrindo a imagem no FTK, vai normal.
20/03/2025 07:19 · Membro 0105
Parece que está fazendo apenas carving.
20/03/2025 07:40 · Membro 0048
qual a versão do iped vc está utilizando?
20/03/2025 07:51 · Membro 0048
quem faz a decodificação do FS é o sleuthkit (TSK)
Essa imagem é padrão [SEGREDO] de um NTFS não era para dar problema com o TSK
20/03/2025 07:54 · Membro 0048
bom, um contorno emergencial é exportar a partição pelo FTKImager e reprocessar
20/03/2025 08:00 · Membro 0048
Disco com 1Tera sem FS é estranho.
Para verificar, teria que analisar a GPT para entender porque o TSK não identificou o NTFS.
Um computador com UEFI geralmente tem 4: System, MSR, WINDOWS e o RECOVERY. Ele identificou as outras certo?
No FTKImager vc consegue abrir o conteúdo dos arquivos?
20/03/2025 08:03 · Membro 0003
não está criptografado?
20/03/2025 08:05 · Membro 0048
Foi o que pensei primeiro, mas imagino que o [MENCAO] tenha verificado isso
20/03/2025 08:05 · Membro 0048
Fiquei pensando qual o modo da imagem do encase
20/03/2025 08:08 · Membro 0048
pode estar com veracrypt ou semelhante <Mensagem editada>
20/03/2025 08:29 · Membro 0185
Já passei por isso e a solução q achei foi montar a imagem com ftk e criar uma nova imagem utilizando essa montagem
20/03/2025 08:32 · Membro 0105
Então, já fiz esse esquema do FTK e criar uma imagem da montada. Ocorreu o mesmo problema
20/03/2025 08:32 · Membro 0105
Tentei das duas formas disponíveis no FTK. Tanto de montar imagem quando apenas de incluir evidência. As duas acabam caindo no mesmo problema no IPED.
20/03/2025 08:33 · Membro 0105
E não está crypto. Esta tudo certo e em claro. Eu abro normal no FTK e navego nos dados.

Pior que tive 3 casos desse nessa semana.
Ai pensei que fosse algum problema de configuração do IPED.

Já processem outras imagens no mesmo servidor e não tive problemas.
20/03/2025 08:35 · Membro 0105
Eu processo no axiom tbm. Nele tbm abriu normal. É algo do IPED que está bugando
20/03/2025 08:38 · Membro 0185
Eu tentaria , então , 1-se vc usa windows, reinstalar Iped, versão diferente talvez , uma anterior, se usa Linux , reinstalar TSK
2-crisr imagem c outra ferramenta
20/03/2025 08:38 · Membro 0105
E testei em server de processamento diferente. Mesmo resultado
20/03/2025 08:39 · Membro 0105
Eu rodo no Windows.

Vou tentar fazer uma nova cópia. Usei o falcon. Vou tentar no tableu
20/03/2025 08:46 · Membro 0048
A imagem Encase é realmente no formato E01? Tá com compressão?

Origem 011 — 19/05/2025 09:28 a 10:04 — Imagem forense de mídia protegida por BitLocker

19/05/2025 09:28 · Membro 0096
<Mídia oculta>
Pessoal, beleza? Estou engatinhando aqui nos exames em computadores.

Recebi uma CPU com dois HD's de 1TB e fiz a imagem no FTK Imager, inclusive processei no IPED e só depois tive a ideia de verificar se não estava criptografado...

Ao que parece, está criptografado, certo? Eu tenho um usuário e senha colado no CPU aqui. Como que devo proceder?
19/05/2025 09:29 · Membro 0105
Essa sua versão do FTK é a última né?
19/05/2025 09:30 · Membro 0096
Essa captura é do Imager, versão 4.7.1.2
Acho que é a mais nova sim
19/05/2025 09:31 · Membro 0105
Veja na janela de Hx se há menção de tipo de crypto ou sistema de arquivos
19/05/2025 09:31 · Membro 0096
Acabei de ver que não é... A mais nova é 4.7.3.81
19/05/2025 09:31 · Membro 0105
Mas está bem atualizada mesmo assim
19/05/2025 09:31 · Membro 0105
O que eu faria é fazer um clone de disco e iniciaria o SO nesse gabinete, preservando a original
19/05/2025 09:32 · Membro 0105
Aí poderia ver se esse usuário/senha [SEGREDO].
19/05/2025 09:32 · Membro 0009
Bom dia! No próprio Windows Explorer vc já pode ter uma ideia...
19/05/2025 09:32 · Membro 0105
Tentaria obter uma possível chave de crypto e poderia identificar o SO tbm.
19/05/2025 09:36 · Membro 0009
https://www.magnetforensics.com/resources/encrypted-disk-detector/
19/05/2025 09:37 · Membro 0117
Ao clicar na partição veja se aparece -FVE-FS na visualização de hex do início. Se sim, é bitlocker.

Há a possibilidade de ser o bitlocker antigo, então pode tentar montar a unidade no arsenal image mounter e ver se abre a partição ou vai pedir a recovery key
19/05/2025 09:58 · Membro 0096
Montei as imagens aqui e rodei esse software... Pra cada um dos dois HD's deu as seguintes msgs:

Drive X: (no physical drive found), Drive Type: Removable, Filesystem: FAT32, Size: 1.000 GB, Free Space: 0 GB
*** Might be a virtual and/or encrypted drive - please investigate further. ***

Drive Z: [Label: <Error getting label: O volume não contém um sistema de arquivos reconhecido.Certifique-se de que todos os drivers do sistema de arquivos estão carregados e o volume não está corrompido.>] (PhysicalDrive9), Drive Type: Fixed, Filesystem: Unknown, Size: Unknown, Free Space: Unknown
19/05/2025 10:01 · Membro 0096
Deveria ser bem no início mesmo? Pq todas as imagens, as centenas de primeiras linhas estão vazias
19/05/2025 10:01 · Membro 0117
Da partição? <Mensagem editada>
19/05/2025 10:02 · Membro 0096
<Mídia oculta>
apenas uma q tem conteúdo aparecendo no inicio, mas parece cripto né
19/05/2025 10:03 · Membro 0096
<Mídia oculta>
um nem reconhece partição
19/05/2025 10:03 · Membro 0096
<Mídia oculta>
e essa é a primeira partição do disco 2... começa com zero
19/05/2025 10:04 · Membro 0096
<Mídia oculta>
e essa é a segunda partição do disco 2

Origem 012 — 16/07/2025 13:08 a 13:27 — Uso do IPED na triagem, indexação e análise

16/07/2025 13:08 · Membro 0178
Boa tarde amigos. Surgiu uma dúvida aqui. Recebi o seguinte quesito referente a um laudo entregue em 2023. "1.4. Qual a data de encaminhamento das mídias com conteúdo criminalístico à lixeira do sistema operacional (data da exclusão)?". Estou utilizando o IPED e não há essa coluna na ferramenta. Fiz algumas pesquisas que resultaram "Excelente pergunta! A data de exclusão do arquivo é um dado muito útil em investigações, mas não é registrada nativamente pelo sistema de arquivos comum (como NTFS, FAT32, etc.) de forma direta — por isso, o IPED não exibe uma coluna "Data de Exclusão" por padrão. CHATGPT"
16/07/2025 13:08 · Membro 0178
Os arquivos de interesse estão no artefato Recycle.Bin.
16/07/2025 13:08 · Membro 0178
🔹 1. Arquivos encontrados na Lixeira
Se o IPED localizar arquivos deletados presentes na Lixeira (Recycle Bin), ele pode identificar a data de exclusão, que está armazenada no metadado da lixeira.

No IPED, isso pode aparecer como:

Arquivo: \$Recycle.Bin\S-1-5-21...

Nome original

Data de exclusão extraída da estrutura da lixeira (Windows)
16/07/2025 13:09 · Membro 0045
Topppp..... Show [NOME].... Cacei isso ontem igual quem procura os valores de descontos no contra-cheque, mas não achei.... Muito obrigado...
16/07/2025 13:10 · Membro 0178
Ao clicar nos arquivos de interesse, não é exibido o metadado data de exclusão. Alguém sugere de como fazer a busca? Criei um caso fictício aqui para verificar como o iped irá processar os arquivos movidos para a lixeira do windows. Desde já, agradeço. Grande abraço a todos
16/07/2025 13:15 · Membro 0207
Você tentou localizar o nome do arquivo no USN Journal? Dependendo do prazo desde a exclusão até a análise do HDD pode ser que tenha a data/horário de exclusão registrada ali.
16/07/2025 13:16 · Membro 0178
Nunca utilizei esse artefato. Saberia detalhar para que eu possa pesquisar aqui? Obrigado pela atenção.
16/07/2025 13:26 · Membro 0207
<Mídia oculta>
O IPED coloca esse artefato numa categoria específica, e já processa ele para um report em formato CSV
16/07/2025 13:27 · Membro 0178
Sim, achei o artefato aqui. Só gostaria não entendi de como poderia fazer a busca no mesmo. Estou olhando aqui.

Origem 013 — 16/04/2026 11:43 a 13:21 — Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins

16/04/2026 11:43 · Membro 0096
<Mídia oculta>
Pessoal, recebi um notebook com dois SSD, sendo que um deles está desse jeito. Sistema de arquivos não reconhecido... Até aí poderia ter algum outro SO, mas no visualizador hexa está tudo zero. Será que é suficiente pra dizer que está vazio? Algum outro ponto de vista?
16/04/2026 12:12 · Membro 0224
Qual o tamanho da extração?
16/04/2026 12:12 · Membro 0224
Se o e01 estiver pequeno está zerado mesmo!
16/04/2026 13:21 · Membro 0112
pode ser que esteja vazio msm, eu ainda procuraria por assinaturas conhecidas dos principais sistemas de arquivos (vfat, ntfs, exfat, ext4, xfs, etc...) e de alguns tipos de arquivos gif jog, pdf, etc, só pra ter certeza .
na verdade, o photorec faz isso por vc.
16/04/2026 13:21 · Membro 0112
se estiver vazio msm, vai ser um processo bem rápido