Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins
Categoria: HD, SSD, imagem forense, sistemas de arquivos e recuperação
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre sistemas de arquivos ZFS, EXT, APFS, NTFS e afins no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, EnCase, Tableau, VeraCrypt, BitLocker. Os termos mais recorrentes neste tema incluem: data, file, arquivos, esta, the, arquivo, midia, mas, org.nativescript.wpextract, imagem. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Identificar sistema de arquivos antes de escolher ferramenta.
- Montar imagens preferencialmente em modo somente leitura.
- Documentar limitações quando o sistema não for suportado.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDMagnet AXIOMFTKEnCaseTableauVeraCryptBitLockerWhatsAppPalavras-chave recorrentes
datafilearquivosestathearquivomidiamasorg.nativescript.wpextractimagemntfsipedappsistemaocultanowlinefilesDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 14/05/2018 08:44 a 10:05 — Extração e compatibilidade em Samsung SMART
Bom dia! Com a proximidade do fim do período de licenças resolvi atualizar o firmware do Tableau TD3 e tive problemas. Abrir uma ocorrência na TechBiz e eles providenciaram um tutorial por linha de command. Conforme minha solicitação, vez que eles desconheciam a linha de comando (pelo que pude perceber). Segue o tutorial.
<Mídia oculta>
Tutorial-instala-command-line.pdf
Tutorial-instala-command-line.pdf
No entanto, gostaria de ajuda com um erro que estou recebendo quando tento fazer a aquisição disk-to-file de uma HD SAS 300gb para um HG SATA de 500 GB. segue o erro
"Source image will not fit in destination filesystem.Aborting."
qual o sistema de arquivos do destino? fat32?
NTFS
tenta com exfat
talvez interessante faze ruma imagem de back antes de iniciar o processo. Um apergunta, alguma funcionalidade nova ?
Atenção! O firmware do Tableau TD3 fica em um SD Card, não no equipamento. Quanto a nova funcionalidade, ainda não vi nenhuma.
Vou tentar. Valeu!
TD3 Forensic Imager (Version 2.0.0):
New Features and Enhancements:
The TD3 now supports writing to NTFS and HFS+ destination filesystems.
iSCSI read and write performance is now significantly faster.
International language support now includes improved and more complete menu entries.
The UI now displays new Guidance Software and Tableau brand logos.
For more information on these TD3 features and enhancements, please see the TD3 product web page and User Guide version 2.0.0 or later here.
Bug Fixes:
The network interfaces configuration file is now checked at boot for corruption. If the file appears to be corrupt, the user is notified and may choose to restore default settings, ignore and continue to boot the TD3, or enter a new IP address.
The capacity of a TDS2 set is now reported and logged correctly when two drives of dissimilar size are used.
The Eject Disk feature now works correctly on a destination drive within the web interface.
The Duplicator Info settings module now works correctly within the web interface.
The directory path is now correctly displayed when the “Destination Dir” settings option is selected within the web interface.
Log entries from the local and web interfaces are now identical.
CIFS destination share names are now included in the log.
A Smart Blank Check on a blank drive now completes properly.
The user is now alerted when an image file size larger than 2GB is specified when writing to a FAT32 destination file system.
The time remaining progress bar is now correctly displayed when verifying a duplication created with a custom directory path.
USB destination drive information is now correctly reported when a set of TDS2 drives are present.
The option to perform a verification after a secure erase operation is now disabled.
New Features and Enhancements:
The TD3 now supports writing to NTFS and HFS+ destination filesystems.
iSCSI read and write performance is now significantly faster.
International language support now includes improved and more complete menu entries.
The UI now displays new Guidance Software and Tableau brand logos.
For more information on these TD3 features and enhancements, please see the TD3 product web page and User Guide version 2.0.0 or later here.
Bug Fixes:
The network interfaces configuration file is now checked at boot for corruption. If the file appears to be corrupt, the user is notified and may choose to restore default settings, ignore and continue to boot the TD3, or enter a new IP address.
The capacity of a TDS2 set is now reported and logged correctly when two drives of dissimilar size are used.
The Eject Disk feature now works correctly on a destination drive within the web interface.
The Duplicator Info settings module now works correctly within the web interface.
The directory path is now correctly displayed when the “Destination Dir” settings option is selected within the web interface.
Log entries from the local and web interfaces are now identical.
CIFS destination share names are now included in the log.
A Smart Blank Check on a blank drive now completes properly.
The user is now alerted when an image file size larger than 2GB is specified when writing to a FAT32 destination file system.
The time remaining progress bar is now correctly displayed when verifying a duplication created with a custom directory path.
USB destination drive information is now correctly reported when a set of TDS2 drives are present.
The option to perform a verification after a secure erase operation is now disabled.
Não foi o caso, o aplicativo não encontrava o SD Card. Mas pela linha de comando ele achava 👍🏼
Origem 002 — 14/11/2018 09:56 a 11:27 — Extração e decodificação de bancos do WhatsApp
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
👆🏼atualizado script de carga para uso de mais um formato de data detectado em exames
Opa
Alguém pode enviar novamente o telefone do colega que acessou a memória interna da máquina de jogo do bicho
Troquei de telefone
Perdi as conversas
Senhores. Foi desenvolvido na SPI/PCDF aplicativo para exportação das conversas (semelhante a um APK já compartilhado), mas com uma técnica nova que tem se mostrado eficaz em trazer todas as conversas, pois, foi percebido que o WhatsApp na exportação por e-mail limita a quantidade de anexos e mensagens baseado no volume de dados. Sendo assim, a estratégia do APK é fazer uma operação de replicar os anexos com o payload de dados zerados visando não atingir esse limite de exportação e possibilitando a exportação completa das conversas. Ao final do processo, é restabelecido o estado original dos anexos.
Compartilho o APK com o grupo. Aqueles com interesse em acesso ao fonte podem entrar em contato no PVT, que assim que possível vamos cadastrar peritos desenvolvedores.
<Mídia oculta>
spitools.apk
spitools.apk
Também foi desenvolvido um script baseado no AndroidViewClient (https://www.darpandodiya.com/code/setup-androidviewclient-windows/) que possibilita o processo automatizado de exportação (simulando interação do usuário com WhatsApp) que está em faze final de ajuste e assim que possível será disponibilizado aqui no grupo.
Instalei no meu aparelho, porém não funcionou..
Qual a finalidade desse segundo app
qual o erro apresentado?
An uncaught Exception occurred on "main" thread.
java.lang.RuntimeException: Unable to resume activity {org.nativescript.wpextract/com.tns.NativeScriptActivity}: com.tns.NativeScriptException:
Calling js method onActivityResumed failed
Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12
StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3666)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3706)
at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2915)
at android.app.ActivityThread.-wrap11(Unknown Source:0)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:1606)
at android.os.Handler.dispatchMessage(Handler.java:105)
at android.os.Looper.loop(Looper.java:164)
at android.app.ActivityThread.main(ActivityThread.java:6592)
at java.lang.reflect.Method.invoke(Native Method)
at com.android.internal.os.Zygote$MethodAndArgsCaller.run(Zygote.java:240)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:769)
Caused by: com.tns.NativeScriptException:
Calling js method onActivityResumed failed
Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12
StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38
at com.tns.Runtime.callJSMethodNative(Native Method)
at com.tns.Runtime.dispatchCallJSMethodNative(Runtime.java:1116)
at com.tns.Runtime.callJSMethodImpl(Runtime.java:996)
at com.tns.Runtime.callJSMethod(Runtime.java:983)
at com.tns.Runtime.callJSMethod(Runtime.java:967)
at com.tns.Runtime.callJSMethod(Runtime.java:959)
at com.tns.gen.android.app.Application_ActivityLifecycleCallbacks.onActivityResumed(Application_ActivityLifecycleCallbacks.java:29)
at android.app.Application.dispatchActivityResumed(Application.java:216)
at android.app.Activity.onResume(Activity.java:1317)
at android.app.Instrumentation.callActivityOnResume(Instrumentation.java:1376)
at android.app.Activity.performResume(Activity.java:7088)
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3641)
... 10 more
java.lang.RuntimeException: Unable to resume activity {org.nativescript.wpextract/com.tns.NativeScriptActivity}: com.tns.NativeScriptException:
Calling js method onActivityResumed failed
Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12
StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3666)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3706)
at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2915)
at android.app.ActivityThread.-wrap11(Unknown Source:0)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:1606)
at android.os.Handler.dispatchMessage(Handler.java:105)
at android.os.Looper.loop(Looper.java:164)
at android.app.ActivityThread.main(ActivityThread.java:6592)
at java.lang.reflect.Method.invoke(Native Method)
at com.android.internal.os.Zygote$MethodAndArgsCaller.run(Zygote.java:240)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:769)
Caused by: com.tns.NativeScriptException:
Calling js method onActivityResumed failed
Failed to create new java File for path /sdcard/SPITools
File: "file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js, line: 303, column: 12
StackTrace:
Frame: function:'onError', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 303, column: 13
Frame: function:'FileSystemAccess.ensureFile', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 307, column: 17
Frame: function:'FileSystemAccess.getFolder', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system-access.js', line: 41, column: 28
Frame: function:'Folder.fromPath', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/file-system/file-system.js', line: 305, column: 42
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/main.js', line: 55, column: 52
Frame: function:'Observable.notify', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/data/observable/observable.js', line: 110, column: 23
Frame: function:'', file:'file:///data/data/org.nativescript.wpextract/files/app/tns_modules/tns-core-modules/application/application.js', line: 226, column: 38
at com.tns.Runtime.callJSMethodNative(Native Method)
at com.tns.Runtime.dispatchCallJSMethodNative(Runtime.java:1116)
at com.tns.Runtime.callJSMethodImpl(Runtime.java:996)
at com.tns.Runtime.callJSMethod(Runtime.java:983)
at com.tns.Runtime.callJSMethod(Runtime.java:967)
at com.tns.Runtime.callJSMethod(Runtime.java:959)
at com.tns.gen.android.app.Application_ActivityLifecycleCallbacks.onActivityResumed(Application_ActivityLifecycleCallbacks.java:29)
at android.app.Application.dispatchActivityResumed(Application.java:216)
at android.app.Activity.onResume(Activity.java:1317)
at android.app.Instrumentation.callActivityOnResume(Instrumentation.java:1376)
at android.app.Activity.performResume(Activity.java:7088)
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3641)
... 10 more
Por favor, é necessário conceder permissão para o aplicativo de acesso ao armazenamento interno.
Muito bom! 👏🏻👏🏻👏🏻👏🏻
<Mídia oculta>
Deu essa mensagem também quando tentei de novo
Deu essa mensagem também quando tentei de novo
Favor incluir o contato no grupo 👆
Esse erro está dando em alguns aparelhos. Já estamos analisando.
Deu o mesmo erro aqui. Android 8.0.0
Favor incluir nosso colega da SPI no grupo.
Existe um comportamento diferente do INTENT no Android 8. Estamos adaptando o código para esse caso. Assim que adaptarmos vamos disponibilizar a nova versão.
Qual é o método de uso do apk, idêntico ao outro?
Ou tem algum diferencial?
Ou tem algum diferencial?
Diferencial é que ele faz um "zeramento" dos arquivos anexos para poder todos ANEXOS (midias) e MENSAGENS serem exportados. Ele trabalha no sistema de arquivos fazendo um backup dos anexos, replica a estrutura original dos diretórios com os arquivos zerados, e o usuário faz a exportação dos bate-papos que dessa forma vão completos. Depois via o APK se restabelece os arquivos de midia.
é possível fazer esse mesmo procedimento diretamente com scripts shell. O apk vem facilitar
👆tentativa de correção do erro do "length".
<Mídia oculta>
spitools.apk
spitools.apk
Agora não deu erro. Talvez também devido ao fato de eu ter dado permissão manualmente
Porém, não sei se entendi ou fiz algo errado, não encontro o arquivo de texto com as conversas, apenas mídias...
Também não entendi o procedimento. Concluí tudo na aplicação e ficou a pasta lá, mas aparentemente tudo criptografado.
Como faz? Exporta via conversa individual ou ele faz de todas sozinho?
a ferramenta é similar aquela de exportação por email que não vai por email, vai no cartão sd o texto dos emails. Sendo assim, seguindo a mesma lógica, o exportado cai no sdcard>SPITools/wp
Olá pessoal, sobre o programa spitools.apk.
Percebemos que criando uma pasta *fake* contendo os mesmos arquivos porém zerados, é possível superar a limitação dos 10 megas da exportação por e-mail.
Criamos um aplicativo para facilitar a criação da pasta fake fazendo a troca pela pasta original.
☝Tela principal do aplicativo. O primeiro botão gera a pasta fake conforme a próxima imagem.
<Mídia oculta>
Contém os mesmos arquivos, porém zerados.
Contém os mesmos arquivos, porém zerados.
Origem 003 — 27/05/2019 19:09 a 21:43 — Análise de Registro Windows e arquivo NTUSER.DAT
Qual sistema de arquivos?
NTFS
Data de criação do Ntfs no Windows não é confiável. Creio que a data mais preservada na manipulação de arquivos ni Windows é a data de modificação
Não é confiável por que pode ser que quando foi feita a formatação o relógio do computador estava desajustado?
Trabalho de um colega sobre o tema:
http://repositorio.unb.br/bitstream/10482/10842/1/2012_CleberScoralickJunior.pdf
http://repositorio.unb.br/bitstream/10482/10842/1/2012_CleberScoralickJunior.pdf
Já fiz alguns testes referente a data e hora criação de um arquivo. Ao copiar ou mover um arquivo para pastas ou unidades lógicas ou físicas já pode alterar. Realizar o download ou apload idem. O mais confiável será a data e hora de modificação. Tudo dependerá do sistema de arquivo e versão do Windows.
Já vi locais dizendo q o creation time seria mais preciso chamar de change time. Change no sentido de mudança de mídia. Ou seja, toda vez q um arquivo muda de mídia, o "creation" é atualizado.
Mudar de mídia = sair de um disco e ir pra um pendrive ou baixar ou enviar da Internet etc. Mudar de pasta não é mudar de mídia
Tem coisas que depende como o SO trata certas operações. Tipo se vc copiar do ntfs para o fat32 o registro no fat32 tem um range limitado, logo a truncamento... copia no file explorer do Windows muda datas. A mais preservada em vários tipos de operação no Windows é a data de modificação
No windows é essa ideia
*Logo há truncamento
Data da formatação da partição no NTFS é bom verificar o arquivo de MFT original
Origem 004 — 28/05/2019 07:18 a 07:30 — 👍🏼 aqui tb não saiu nada 😞
👍🏼 aqui tb não saiu nada 😞
Já consegui algumas informações sobre os Mac times nos arquivos I$30 associados aos arquivos no NTFS
Origem 005 — 28/02/2020 15:46 a 17:22 — Uso do IPED na triagem, indexação e análise
Prezados,
Alguem ja teve problemas com o IPED para processamento de imagens com sistema de arquivos EXT4?
No meu caso, a estrutura do sistema de arquivos não está sendo montada. O IPED nao reconhece e monta a arvore de diretórios. Entende tudo como raw.
O FTK Imager interpreta as partiçoes da forma correta
Alguem ja teve problemas com o IPED para processamento de imagens com sistema de arquivos EXT4?
No meu caso, a estrutura do sistema de arquivos não está sendo montada. O IPED nao reconhece e monta a arvore de diretórios. Entende tudo como raw.
O FTK Imager interpreta as partiçoes da forma correta
Consegui processar. O problema ocorreu devido à extensão do arquivo. O IPED realiza o processamento com base no nome do arquivo. A extensão deve estar correta. No meu caso, estava .raw, por isso nao estava funcionando corretamente. Mudei pra .dd e funcionou 👍
Origem 006 — 13/05/2020 09:53 a 12:33 — Metadados EXIF/JPEG e individualização de câmera
Isso em Portugal/EU. No Brazil já há algum movimento nesse sentido?
Pelo que li nos comentarios, consideram as maiores empresas de cartoes como internacionais...assim, valeria para o mundo inteiro
na prática é q nao dá pra afirmar
É totalmente sem sentido mesmo. Ontem fui fazer uma compra online e meu cartão bloqueou. Acessei o aplicativo que tem controle por biometria, mas para desbloquear eu tenho que ir a um caixa eletrônico... É muito atraso.
Tive o mesmo problema faz uns poucos meses atrás
O difícil agora é sair para ir em um caixa eletrônico em pleno lockdown.
Estou com o mesmo problema
ja tive esse mesmo problema...apenas por ter feito uma transfrerncia de valor acima do normal. Bloquearam a senha que so resolvia com gerente..nem caixa eletronica dava jeito
pior que no meu caso bloqueou o cartão físico e o virtual
Bom dia pessoal, estou com uma perícia aqui relacionada a adulteração de metadado. De data e hora de arquivos. Sei q é possível realizar modificações neste tipo de arquivo com programas tipo o bulk file changer, isso no Windows. No entanto, tais arquivos são de imagens em um celular q aparentemente foram enviadas por what's.
A pergunta alguém conhece alguma forma de modificar tais datas em Android sem o celular estar rooteado. Ou se é possível modificar essa foto em um computador e gravar no celular sem modificar a data.
Fiz testes de tentativa de modificação destes metadados com o celular conectado no PC, mas deram acesso negado.
Obrigado
A pergunta alguém conhece alguma forma de modificar tais datas em Android sem o celular estar rooteado. Ou se é possível modificar essa foto em um computador e gravar no celular sem modificar a data.
Fiz testes de tentativa de modificação destes metadados com o celular conectado no PC, mas deram acesso negado.
Obrigado
Foto capturada em um celular e que depois foram enviadas desse celular através do Zap?
Isso, aparentemente as fotos foram feitas do celular, direto pelo zap
São arquivos de imagem armazenados na pasta do WhatsApp?
têm essas datas na base do msgstore.db, pode fazer um batimento da data do msgstore, com a data do nome do arquivo, e com as datas do sistema de arquivos (provavelmente ext4 ou f2fs)
Não era para dar acesso negado
Obrigado, farei esta análise
Pois é, achei estranho mas creio q seja pq o arquivo está no celular e ele 'protege ' esses metadados de alguma forma
Testei em um outro celular sem ser a evidência
Deve ter sido algum problema na comunicação, talvez. 🤔
O cabo testei e está ok, tbm meu pc está sem o bloqueio de escrita
Eu fiz um teste agora e realmente não consegui alterar o arquivo através do protocolo MTP. Mas, dependendo da intenção, seria possível alterar a data do PC e do celular para a data desejada, alterar no computador e copiar de volta o arquivo.
alterar os metadados sem o celular estar rooteado, dependendo do meta-dado em questão, é possível com um editor hex
É impossível dizer que uma adulteração dessas não é possível.
Origem 007 — 01/09/2023 08:36 a 10:23 — Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins
Bom dia! Tive que reinstalar meu FTK e agora tá dando um mensagem de falta de licença. Alguém poderia me ajudar?
Os posters da sans costumam ter dicas boas de forense.
SANS_DFPS_FOR585_v3.5_2211.pdf (arquivo anexado)
<Mídia oculta>
TheHitchhikersGuidetoDFIRExperiencesFromBeginnersandExperts.pdf
TheHitchhikersGuidetoDFIRExperiencesFromBeginnersandExperts.pdf
Este livro é gratuito e é atualizado frequentemente no github
https://github.com/Digital-Forensics-Discord-Server/TheHitchhikersGuidetoDFIRExperiencesFromBeginnersandExperts
https://link.springer.com/book/10.1007/978-3-030-98467-0
Livro sobre alguns sistemas de arquivos mobile.
HD GPT com NTFS
que corrompeu por uma possível queda de energia
Qual seria um bom software para tentar recuperar o sistema de arquivos?
Origem 008 — 29/04/2024 11:30 a 12:05 — Metadados EXIF/JPEG e individualização de câmera
Mas se trocar de unidade (C para D) ele altera, certo?
Testei agora, não altera! 🤣
mover acho que nao altera, mas copiar provavelmente altera.
trocar de unidade na minha opinião era pra alterar kkk
regras dos sistemas de arquivos aleatórias...
Pois é. Na mesma unidade não faria sentido, puq apenas o apontamento de qual diretório estaria mudaria. Mas unidade é zuado.
Tem duas datas de criação.
A do arquivo e do FS. Nenhuma das duas mudaram?
A do arquivo e do FS. Nenhuma das duas mudaram?
<Mídia oculta>
imagem original, fiz um recorte nela, essa "Data de Modificação" em baixo, desapareceu no novo arquivo.
imagem original, fiz um recorte nela, essa "Data de Modificação" em baixo, desapareceu no novo arquivo.
<Mídia oculta>
novo arquivo
novo arquivo
alterou "File Modification Date/Time"
Uhnn. Nesse caso os metadados podem ser diferentes do NTFS, pois aparentam terem sido criadas no celular, então seria um linux.
Eu não tô ligado em todas as diferenças, mas sei que a interpretação dessas datas deve levar em consideração as diferenças entre Linux e ntfs.
mas essas imagens foram criadas por um celular, foi que o que o ExifTools disse.
O que vem com o comando?:
exiftool -T -DateTimeOriginal [arquivo]
exiftool -T -DateTimeOriginal [arquivo]
Bom esse aí parece que dá a data desconsiderando o FS
testei aqui em imagens pessoais e ficou coerente exiftool -DateTimeOriginal [arquivo]
Resumindo, nao da pra afirmar que essa Data de Modificação é realmente a data em que o arquivo foi produzido pelo aparelho
pelo contexto, tudo leva a crer que sim
sempre tem um "mas"
Em todo laudo que me pedem algo referente a datas eu coloco algo como "O perito faz ressalva quanto a sensibilidade dos valores de data/hora de arquivos, como apresentado por Chow (Chow et al, 2007), estes estão sujeitos a algumas situações que podem implicar em uma marcação de data e horário equivocada"
<Mídia oculta>
RuleOfTime.pdf
RuleOfTime.pdf
veja que um usuário mais curioso, e mal intencionado, encontra ferramentas na internet que permitem alterar de forma simples quaisquer datas
Origem 009 — 03/05/2024 08:01 a 08:15 — Cálculo e verificação de hashes em grande volume de arquivos
A data de criação diz respeito ao momento que o arquivo passou a existir para aquele sistema de arquivo.
Exatamente. Mesmo movendo para um HD diferente a data de criação se manteve, ao menos no NTFS
Testar depois de NTFS pra exfat
Bom dia, algumas dicas já foram ditas aqui, quando recebi um caso parecido eu fiz o seguinte:
1 - Analise do registro windows, verificando chaves associadas a programas desconhecidos
2 - Verificar itens com inicialização automatica
3 - Busca por programas conhecidos, ha muitos keyloggers disponiveis na internet
4 - Filtrar os arquivos usando base de hash de softwares conhecidos
5 - Montar a imagem e efetuar um escaneamento com ferramenta antivirus ou algum especializado em malwares
1 - Analise do registro windows, verificando chaves associadas a programas desconhecidos
2 - Verificar itens com inicialização automatica
3 - Busca por programas conhecidos, ha muitos keyloggers disponiveis na internet
4 - Filtrar os arquivos usando base de hash de softwares conhecidos
5 - Montar a imagem e efetuar um escaneamento com ferramenta antivirus ou algum especializado em malwares
[MENCAO]
Origem 010 — 20/03/2025 07:19 a 08:46 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
IMG-20250320-WA0000.jpg (arquivo anexado)
Bom dia.
Vocês já tiveram esse problema no IPED?
Quando processo a imagem do HD nele, ele aparentemente não interpreta o sistema de arquivos NTFS.
Abrindo a imagem no FTK, vai normal.
Bom dia.
Vocês já tiveram esse problema no IPED?
Quando processo a imagem do HD nele, ele aparentemente não interpreta o sistema de arquivos NTFS.
Abrindo a imagem no FTK, vai normal.
Parece que está fazendo apenas carving.
qual a versão do iped vc está utilizando?
quem faz a decodificação do FS é o sleuthkit (TSK)
Essa imagem é padrão [SEGREDO] de um NTFS não era para dar problema com o TSK
Essa imagem é padrão [SEGREDO] de um NTFS não era para dar problema com o TSK
bom, um contorno emergencial é exportar a partição pelo FTKImager e reprocessar
Disco com 1Tera sem FS é estranho.
Para verificar, teria que analisar a GPT para entender porque o TSK não identificou o NTFS.
Um computador com UEFI geralmente tem 4: System, MSR, WINDOWS e o RECOVERY. Ele identificou as outras certo?
No FTKImager vc consegue abrir o conteúdo dos arquivos?
Para verificar, teria que analisar a GPT para entender porque o TSK não identificou o NTFS.
Um computador com UEFI geralmente tem 4: System, MSR, WINDOWS e o RECOVERY. Ele identificou as outras certo?
No FTKImager vc consegue abrir o conteúdo dos arquivos?
não está criptografado?
Foi o que pensei primeiro, mas imagino que o [MENCAO] tenha verificado isso
Fiquei pensando qual o modo da imagem do encase
pode estar com veracrypt ou semelhante <Mensagem editada>
Já passei por isso e a solução q achei foi montar a imagem com ftk e criar uma nova imagem utilizando essa montagem
Então, já fiz esse esquema do FTK e criar uma imagem da montada. Ocorreu o mesmo problema
Tentei das duas formas disponíveis no FTK. Tanto de montar imagem quando apenas de incluir evidência. As duas acabam caindo no mesmo problema no IPED.
E não está crypto. Esta tudo certo e em claro. Eu abro normal no FTK e navego nos dados.
Pior que tive 3 casos desse nessa semana.
Ai pensei que fosse algum problema de configuração do IPED.
Já processem outras imagens no mesmo servidor e não tive problemas.
Pior que tive 3 casos desse nessa semana.
Ai pensei que fosse algum problema de configuração do IPED.
Já processem outras imagens no mesmo servidor e não tive problemas.
Eu processo no axiom tbm. Nele tbm abriu normal. É algo do IPED que está bugando
Eu tentaria , então , 1-se vc usa windows, reinstalar Iped, versão diferente talvez , uma anterior, se usa Linux , reinstalar TSK
2-crisr imagem c outra ferramenta
2-crisr imagem c outra ferramenta
E testei em server de processamento diferente. Mesmo resultado
Eu rodo no Windows.
Vou tentar fazer uma nova cópia. Usei o falcon. Vou tentar no tableu
Vou tentar fazer uma nova cópia. Usei o falcon. Vou tentar no tableu
A imagem Encase é realmente no formato E01? Tá com compressão?
Origem 011 — 19/05/2025 09:28 a 10:04 — Imagem forense de mídia protegida por BitLocker
<Mídia oculta>
Pessoal, beleza? Estou engatinhando aqui nos exames em computadores.
Recebi uma CPU com dois HD's de 1TB e fiz a imagem no FTK Imager, inclusive processei no IPED e só depois tive a ideia de verificar se não estava criptografado...
Ao que parece, está criptografado, certo? Eu tenho um usuário e senha colado no CPU aqui. Como que devo proceder?
Pessoal, beleza? Estou engatinhando aqui nos exames em computadores.
Recebi uma CPU com dois HD's de 1TB e fiz a imagem no FTK Imager, inclusive processei no IPED e só depois tive a ideia de verificar se não estava criptografado...
Ao que parece, está criptografado, certo? Eu tenho um usuário e senha colado no CPU aqui. Como que devo proceder?
Essa sua versão do FTK é a última né?
Essa captura é do Imager, versão 4.7.1.2
Acho que é a mais nova sim
Acho que é a mais nova sim
Veja na janela de Hx se há menção de tipo de crypto ou sistema de arquivos
Acabei de ver que não é... A mais nova é 4.7.3.81
Mas está bem atualizada mesmo assim
O que eu faria é fazer um clone de disco e iniciaria o SO nesse gabinete, preservando a original
Aí poderia ver se esse usuário/senha [SEGREDO].
Bom dia! No próprio Windows Explorer vc já pode ter uma ideia...
Tentaria obter uma possível chave de crypto e poderia identificar o SO tbm.
https://www.magnetforensics.com/resources/encrypted-disk-detector/
Ao clicar na partição veja se aparece -FVE-FS na visualização de hex do início. Se sim, é bitlocker.
Há a possibilidade de ser o bitlocker antigo, então pode tentar montar a unidade no arsenal image mounter e ver se abre a partição ou vai pedir a recovery key
Há a possibilidade de ser o bitlocker antigo, então pode tentar montar a unidade no arsenal image mounter e ver se abre a partição ou vai pedir a recovery key
Montei as imagens aqui e rodei esse software... Pra cada um dos dois HD's deu as seguintes msgs:
Drive X: (no physical drive found), Drive Type: Removable, Filesystem: FAT32, Size: 1.000 GB, Free Space: 0 GB
*** Might be a virtual and/or encrypted drive - please investigate further. ***
Drive Z: [Label: <Error getting label: O volume não contém um sistema de arquivos reconhecido.Certifique-se de que todos os drivers do sistema de arquivos estão carregados e o volume não está corrompido.>] (PhysicalDrive9), Drive Type: Fixed, Filesystem: Unknown, Size: Unknown, Free Space: Unknown
Drive X: (no physical drive found), Drive Type: Removable, Filesystem: FAT32, Size: 1.000 GB, Free Space: 0 GB
*** Might be a virtual and/or encrypted drive - please investigate further. ***
Drive Z: [Label: <Error getting label: O volume não contém um sistema de arquivos reconhecido.Certifique-se de que todos os drivers do sistema de arquivos estão carregados e o volume não está corrompido.>] (PhysicalDrive9), Drive Type: Fixed, Filesystem: Unknown, Size: Unknown, Free Space: Unknown
Deveria ser bem no início mesmo? Pq todas as imagens, as centenas de primeiras linhas estão vazias
Da partição? <Mensagem editada>
<Mídia oculta>
apenas uma q tem conteúdo aparecendo no inicio, mas parece cripto né
apenas uma q tem conteúdo aparecendo no inicio, mas parece cripto né
<Mídia oculta>
um nem reconhece partição
um nem reconhece partição
<Mídia oculta>
e essa é a primeira partição do disco 2... começa com zero
e essa é a primeira partição do disco 2... começa com zero
<Mídia oculta>
e essa é a segunda partição do disco 2
e essa é a segunda partição do disco 2
Origem 012 — 16/07/2025 13:08 a 13:27 — Uso do IPED na triagem, indexação e análise
Boa tarde amigos. Surgiu uma dúvida aqui. Recebi o seguinte quesito referente a um laudo entregue em 2023. "1.4. Qual a data de encaminhamento das mídias com conteúdo criminalístico à lixeira do sistema operacional (data da exclusão)?". Estou utilizando o IPED e não há essa coluna na ferramenta. Fiz algumas pesquisas que resultaram "Excelente pergunta! A data de exclusão do arquivo é um dado muito útil em investigações, mas não é registrada nativamente pelo sistema de arquivos comum (como NTFS, FAT32, etc.) de forma direta — por isso, o IPED não exibe uma coluna "Data de Exclusão" por padrão. CHATGPT"
Os arquivos de interesse estão no artefato Recycle.Bin.
🔹 1. Arquivos encontrados na Lixeira
Se o IPED localizar arquivos deletados presentes na Lixeira (Recycle Bin), ele pode identificar a data de exclusão, que está armazenada no metadado da lixeira.
No IPED, isso pode aparecer como:
Arquivo: \$Recycle.Bin\S-1-5-21...
Nome original
Data de exclusão extraída da estrutura da lixeira (Windows)
Se o IPED localizar arquivos deletados presentes na Lixeira (Recycle Bin), ele pode identificar a data de exclusão, que está armazenada no metadado da lixeira.
No IPED, isso pode aparecer como:
Arquivo: \$Recycle.Bin\S-1-5-21...
Nome original
Data de exclusão extraída da estrutura da lixeira (Windows)
Topppp..... Show [NOME].... Cacei isso ontem igual quem procura os valores de descontos no contra-cheque, mas não achei.... Muito obrigado...
Ao clicar nos arquivos de interesse, não é exibido o metadado data de exclusão. Alguém sugere de como fazer a busca? Criei um caso fictício aqui para verificar como o iped irá processar os arquivos movidos para a lixeira do windows. Desde já, agradeço. Grande abraço a todos
Você tentou localizar o nome do arquivo no USN Journal? Dependendo do prazo desde a exclusão até a análise do HDD pode ser que tenha a data/horário de exclusão registrada ali.
Nunca utilizei esse artefato. Saberia detalhar para que eu possa pesquisar aqui? Obrigado pela atenção.
<Mídia oculta>
O IPED coloca esse artefato numa categoria específica, e já processa ele para um report em formato CSV
O IPED coloca esse artefato numa categoria específica, e já processa ele para um report em formato CSV
Sim, achei o artefato aqui. Só gostaria não entendi de como poderia fazer a busca no mesmo. Estou olhando aqui.
Origem 013 — 16/04/2026 11:43 a 13:21 — Sistemas de arquivos ZFS, EXT, APFS, NTFS e afins
<Mídia oculta>
Pessoal, recebi um notebook com dois SSD, sendo que um deles está desse jeito. Sistema de arquivos não reconhecido... Até aí poderia ter algum outro SO, mas no visualizador hexa está tudo zero. Será que é suficiente pra dizer que está vazio? Algum outro ponto de vista?
Pessoal, recebi um notebook com dois SSD, sendo que um deles está desse jeito. Sistema de arquivos não reconhecido... Até aí poderia ter algum outro SO, mas no visualizador hexa está tudo zero. Será que é suficiente pra dizer que está vazio? Algum outro ponto de vista?
Qual o tamanho da extração?
Se o e01 estiver pequeno está zerado mesmo!
pode ser que esteja vazio msm, eu ainda procuraria por assinaturas conhecidas dos principais sistemas de arquivos (vfat, ntfs, exfat, ext4, xfs, etc...) e de alguns tipos de arquivos gif jog, pdf, etc, só pra ter certeza .
na verdade, o photorec faz isso por vc.
na verdade, o photorec faz isso por vc.
se estiver vazio msm, vai ser um processo bem rápido