Extração de iPhone e iOS com senha conhecida
Categoria: iOS, iPhone, iCloud, iTunes e APFS
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre extração de iPhone e iOS com senha conhecida no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, UFED Analytics, XRY, IPED, Magnet AXIOM, Hashcat, PC-3000. Os termos mais recorrentes neste tema incluem: iphone, ios, mas, esta, ufed, backup, esse, premium, senha, mais. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Quando houver senha válida, priorizar extração lógica/backup com registro do procedimento.
- Verificar se backup local está criptografado.
- Registrar estado do aparelho e confiança do computador, se aplicável.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerUFED AnalyticsXRYIPEDMagnet AXIOMHashcatPC-3000WhatsAppiTunesiCloudPalavras-chave recorrentes
iphoneiosmasestaufedbackupessepremiumsenhamaisversaomidiapraocultafazerelehttpsitunesDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 02/10/2017 10:32 a 10:35 — Extração e análise de dados em iPhone/iOS
Bom dia pessoal, alguém ja realizou extração de iphone 5s em que o acesso aos dados do itunes apresentem criptografia? Estamos com um celular em que a senha de bloqueio foi fornecida por parentes, mas após a realização da extração tanto no UFED quanto no XRY aparece requisição de senha para descriptografia e acesso aos dados...
No UFED na aba de ferramentas tem a opção de decriptografar o backup de dados do IPHONE
vc tem q realizar esse procedimento antes de realizar a extração
Origem 002 — 26/04/2018 11:29 a 11:38 — Extração e análise de dados em iPhone/iOS
Bom dia, pessoal!
Recebemos um iPhone para exames que estava restaurado com as configurações iniciais de fábrica.
O UFED e XRY não extraem os dados dele nesta situação.
Se o dispositivo for configurado com o usuário e a senha do proprietário e houver uma sincronização com o iCloud,
várias informações de interesse podem ser recuperadas.
Já ocorreu uma situação deste com vocês? Como procederam?
Recebemos um iPhone para exames que estava restaurado com as configurações iniciais de fábrica.
O UFED e XRY não extraem os dados dele nesta situação.
Se o dispositivo for configurado com o usuário e a senha do proprietário e houver uma sincronização com o iCloud,
várias informações de interesse podem ser recuperadas.
Já ocorreu uma situação deste com vocês? Como procederam?
Pedido ao juiz por uma ordem judicial para que a Apple forneça os dados relacionados ao usuário xxx e eventuais outros usuários do celular IMEI yyyy.
Origem 003 — 02/05/2018 14:51 a 15:33 — Extração e análise de dados em iPhone/iOS
Boa tarde, pessoal. Alguém sabe onde encontro essa opção?
Estou tentando extrair os dados de um iPhone X e dá esse problema.
IOS 11?
Espera aí q eu te envio um tutorial
Espero sim. Valeu.
<Mídia oculta>
Resetar_Backup_Itunes_IOS_11
Resetar_Backup_Itunes_IOS_11
Cara, muito obrigado. Só que pediu uma senha de 4 dígitos aqui. 🙁
No UFED ou no aparelho?
Primeiro vc remove a senha no aparelho com esse procedimento
Em seguida vc faz uma nova extração com o UFED
Ou então pode fazer um backup via iTunes e abrir pelo Phisycal Analyser
Acho que vou fazer essa última opção. A senha tá no aparelho. Tentei algumas padrões, mas não deu.
Agora estou apanhando de conseguir usar o PA para pegar o Backup do iTunes. Poderia me ajudar?
Vai em abrir avançado
Depois seleciona iphone
Aí vc seleciona abrir pasta
E seleciona akela q contém o backup
Escolhi Apple iOS iTunes (backup) É isso?
Eu apenas escolhi o iphone generico
E apontei para a pasta
Eu tentei o (backup) e não abre nada.
E fez o parser normalmente
Não estou na seção agora, mas assim q voltar eu faço print dos passos
Aqui não está indo. 🙁 Eu vou insistir aqui. Obrigado pela ajuda. Se eu não conseguir, vou querer o passo a passo sim. Obrigado.
Origem 004 — 14/06/2018 10:06 a 12:02 — Extração e análise de dados em iPhone/iOS
Nova atualização vai impedir que hackers ou a polícia acessem seu iPhone
http://www.tecmundo.com.br/seguranca/131277-nova-atualizacao-impedir-hackers-policia-acessem-iphone.htm
http://www.tecmundo.com.br/seguranca/131277-nova-atualizacao-impedir-hackers-policia-acessem-iphone.htm
Sempre haverá _exploit_!
Bom dia, alguem sabe informar se no windows fica algum registro do uso da gravadora de cd/dvd ? Ou se algum programa de gravação (ex. Nero, Ashampoo, etc) tem essa função de guardar historico
A minha vontade é usar "explode it".
Origem 005 — 02/08/2018 12:10 a 12:55 — Extração e análise de dados em iPhone/iOS
Qual ios?
Não sei informar. Houve uma deleção remota. Mas o objetivo era recuperar informações apagadas. Daí a dúvida se isso seria possível antes de ser restaurado.
Origem 006 — 18/09/2018 15:08 a 15:13 — Extração e análise de dados em iPhone/iOS
Boa tarde pessoal, alguém ainda possui esse arquivo para me enviar ?
<Mídia oculta>
Resetar_Backup_Itunes_IOS_11.pdf
Resetar_Backup_Itunes_IOS_11.pdf
Origem 007 — 04/10/2018 17:21 a 17:45 — Extrações, importação e limitações no XRY
Alguém sabe como decodificar ou abrir aqueles arquivos .backup que saem de backups da recovery de alguns aparelhos?
Tem que tirar uns bytes de cabeçalho e depois jogar no ufed. Mas não lembro quantos bytes
Lembrei. Vc tira 512 bytes do começo e gruda os arquivos na sequencia e joga no ufed que vai
😭Não tenho ufed... mas vou tentar no xry. Obrigado
👍🏼qualquer programa que decodifica imagem android funfa
Bota um perfil generic android physical
Origem 008 — 28/11/2018 09:35 a 09:35 — Extração de iPhone e iOS com senha conhecida
https://pplware.sapo.pt/gadgets/iphone/empresa-desbloquear-iphone-dados/
https://pplware.sapo.pt/smartphones-tablets/8-apps-android-acusadas-de-fazerem-parte-de-um-esquema-fraudulento/
Origem 009 — 30/11/2018 17:44 a 18:13 — Extração e análise de dados em iPhone/iOS
Já aconteceu comigo, alguém aqui deu a dica para resetar a senha do iTunes no aparelho. Aí eu segui um tutorial da net e fiz os seguintes passos como documentação aqui pro setor (obs.: o iPhone tem que estar desbloqueado e os testes que fiz era versão do iOs 11 em diante):
#Resetar senha do iTunes (iOs v. 11.~)
1. Desbloquear o iPhone;
1.1. Retirar o SIMCard do aparelho (é importante, pois ao redefinir os ajustes, o aparelho sairá do modo AVIÃO);
2. Abrir o menu de "Ajustes" ou "Definições" e navegar até a opção "Geral";
3. Role a tela até o final e vá na opção "Reset";
4. Confirme e escolha "Resetar todas as definições".
Obs.: Fazendo uso dessa opção você irá apagar as seguintes definições: brilho da tela, imagem de fundo, visualização de percentual de bateria (no menu superior, se disponível), todas as senhas de Wi-Fi registradas -> apple.wifi.plist e a senha de backup do iTunes.
#Fazer Backup via iTunes (iOS v. 11.~)
1. Instalar o iTunes para o sistema operacional.
1.1 Selecionar a opção "Editar" na barra de ferramentas do iTunes e escolher a opção "Preferências". Selecione a aba "Dispositivo" e marcar a checkbox "Impedir que dispositivos sincronizem automaticamente"
2. Conectar o telefone ao computador e clicar no ícone de um Mobile que vai aparecer dentro do iTunes na região superior.
3. Clicar na opção "Fazer Backup Agora" e aguardar o procedimento ser concluído (demora entre 5 e 10 minutos geralmente).
4. A pasta em que os backups são salvos é a "C:\Users\NOME_USUARIO\AppData\Roaming\Apple Computer\MobileSync\Backup". Nessa pasta ele cria um outro diretório com uma espécie de Hash.
5. Uma vez que o backup esteja concluído, proceder com o Physical Analyzer para realizar a extração através dessa pasta do backup.
#Fazer Extração no PA através de Backup originário do iTunes
1. Abrir o PA e ir no menu superior "Abrir (avançado)" e em seguida clicar em "Selecionar Dispositivo".
2. Escrever na barra de busca "iTunes" e selecionar a opção "Apple iOS iTunes (backup)" e clicar em avançar.
3. Escolher uma das opções possíveis (Legacy ou FileSystem) - não pesquisei a diferença.
4. Escolher a opção "Selecionar Pasta" e selecionar a pasta de backup obtida na explicação do tópico anterior (Fazer Backup via iTunes).
5. Aguardar a extração ser realizada e operar normalmente no PA.
#Resetar senha do iTunes (iOs v. 11.~)
1. Desbloquear o iPhone;
1.1. Retirar o SIMCard do aparelho (é importante, pois ao redefinir os ajustes, o aparelho sairá do modo AVIÃO);
2. Abrir o menu de "Ajustes" ou "Definições" e navegar até a opção "Geral";
3. Role a tela até o final e vá na opção "Reset";
4. Confirme e escolha "Resetar todas as definições".
Obs.: Fazendo uso dessa opção você irá apagar as seguintes definições: brilho da tela, imagem de fundo, visualização de percentual de bateria (no menu superior, se disponível), todas as senhas de Wi-Fi registradas -> apple.wifi.plist e a senha de backup do iTunes.
#Fazer Backup via iTunes (iOS v. 11.~)
1. Instalar o iTunes para o sistema operacional.
1.1 Selecionar a opção "Editar" na barra de ferramentas do iTunes e escolher a opção "Preferências". Selecione a aba "Dispositivo" e marcar a checkbox "Impedir que dispositivos sincronizem automaticamente"
2. Conectar o telefone ao computador e clicar no ícone de um Mobile que vai aparecer dentro do iTunes na região superior.
3. Clicar na opção "Fazer Backup Agora" e aguardar o procedimento ser concluído (demora entre 5 e 10 minutos geralmente).
4. A pasta em que os backups são salvos é a "C:\Users\NOME_USUARIO\AppData\Roaming\Apple Computer\MobileSync\Backup". Nessa pasta ele cria um outro diretório com uma espécie de Hash.
5. Uma vez que o backup esteja concluído, proceder com o Physical Analyzer para realizar a extração através dessa pasta do backup.
#Fazer Extração no PA através de Backup originário do iTunes
1. Abrir o PA e ir no menu superior "Abrir (avançado)" e em seguida clicar em "Selecionar Dispositivo".
2. Escrever na barra de busca "iTunes" e selecionar a opção "Apple iOS iTunes (backup)" e clicar em avançar.
3. Escolher uma das opções possíveis (Legacy ou FileSystem) - não pesquisei a diferença.
4. Escolher a opção "Selecionar Pasta" e selecionar a pasta de backup obtida na explicação do tópico anterior (Fazer Backup via iTunes).
5. Aguardar a extração ser realizada e operar normalmente no PA.
Deu certo resetar a senha
Origem 010 — 07/12/2018 16:48 a 16:49 — Extração e análise de dados em iPhone/iOS
Bom demais para ser verdade...
Tá parecendo aquele leitor de digitais que o Dexter usava na série
Só botava o dedo do defunto no iPhone dele et voilá
Origem 011 — 26/02/2019 18:17 a 18:21 — Extração e análise de dados em iPhone/iOS
Boa noite!
Algum colega pode disponibilizar uma descrição/cotação atualizada e completa de um computador específico para perícia e do equipamento UFED TOUCH 2?
[EMAIL]
Algum colega pode disponibilizar uma descrição/cotação atualizada e completa de um computador específico para perícia e do equipamento UFED TOUCH 2?
[EMAIL]
pra quem tem um iPhone perto:
ao ditar a palavra "hífen" 5 vezes seguidas, o iPhone vai dar um "reboot" rápido
talvez dê pra adaptar a falha para algum tipo de exploração
Origem 012 — 18/04/2019 21:27 a 21:40 — Vão botar autenticação por impressão digital e impedir que se tire Screenshots das
https://www.express.co.uk/life-style/science-technology/1115065/WhatsApp-update-new-feature-bad-news-Android-April-16/amp
Vão botar autenticação por impressão digital e impedir que se tire Screenshots das conversas
Tá ficando cada vez mais difícil
Pode ser que assim parem os prints nos celulares
https://canaltech.com.br/smartphone/novo-comercial-do-iphone-nao-traz-dialogo-e-tem-foco-na-privacidade-134865/
A Apple agora focando em privacidade... Na realidade já faz algum tempo, só está sendo mais divulgado!
Origem 013 — 09/08/2019 10:01 a 10:01 — Extração e análise de dados em iPhone/iOS
https://i.blackhat.com/USA-19/Thursday/us-19-Wang-Attacking-IPhone-XS-Max.pdf
Ataque SSH ao iPhone XS, muito interessante.
Origem 014 — 03/10/2019 10:21 a 11:00 — Extração e análise de dados em iPhone/iOS
Pessoal. Eu estou aqui com alguns aparelhos que são réplicas de iPhone. São até meio grosseiras. Como vcs argumentam nos laudos quando tem que comprovar que um aparelho é falso? Alguém já fez caso parecido? Obrigado.
Queria não ser subjetivo. Pesquisando no imei.info o número de seu IMEI o site não acha
geralmente eu desmonto e mostro a diferença do SoC (system onChip / processador) conforme a especificação do fabricante. Essas réplicas têm até um slot SD na PCB, algo inexistente em iphones. VC também pode mencionar dimensões do aparelho medindo com um paquímetro e mostrar a diferença com a especificação oficial, etc... tem aspectos físicos relacionados a forma, componentes, etc... e também no próprio software em execução.
em resumo, comparar com a especificação oficial
Bom dia! Qual seu e-mail? Eu envio um modelo pra você.
[EMAIL]
Obrigado [NOME] e [NOME]
Ótimo. Ajudou bastante
Acho q vou abrir eles
E comparar
Peguei um que era bem evidente porque o SO não era iOS.
Acredito que não é necessário abrir e comprar os componentes internos.
São 5. Um deles tem até play Store
Como falei. Externamente é bem grosseira a falsificação.
Minha dúvida é mais como consignar isso no laudo.
O SO tb é grosseiro. Pegou na mão se vê que é falsificado
Também acho desnecessário o trabalho de abri-los. Não há, em alguma seção de configurações do aparelho, alguma evidência de execução de SO diverso do iOS (provavelmente, Android)?
Em alguns tem. A Play Store
Nas especificações de software deve mostrar que é Android
Vou postar a foto.
Daria pra centrar fogo nesse aspecto, e encerrar por aí. Informando que a Play Store é específica do Android.
Esse conector é lightning? 😳
Isso eu não tinha visto em réplicas..!
<Mídia oculta>
Já neste outro ele tem a petulância de informar que está com o iOS atualizado kkkkk
Já neste outro ele tem a petulância de informar que está com o iOS atualizado kkkkk
O imei não consta no Imei.info
Caramba.. rs
Até que capricharam.
Até que capricharam.
<Mídia oculta>
Esse tá faltando a folhinha da maçã
Esse tá faltando a folhinha da maçã
veja se esse serial tem registro em support.apple.com
Tá bem parecido. Pra quem conhece basta bater o olho que nota-se a falsificação. Mas, de “longe” engana mesmo
Já enviei para o seu e-mail.
Origem 015 — 12/11/2019 14:01 a 14:26 — Extração lógica por Android Backup via ADB
alguém tem a cotação recente de uim UFED 4PC
Pessoal alguém já extraiu dados do app GRINDR? Preciso entregar esse laudo 🤢🤢🤢
Ufed decodifica
Aqui mesmo na física não veio nada, mas consigo ver o app instalado
PA 7.24.0.209
<Mídia oculta>
ReleaseNotes_UFED_PA7.23_web
ReleaseNotes_UFED_PA7.23_web
👆no 7.23 faz no iOs e no Android
5.12.1 no iOs e 5.13 no Android
Hummmm fiz física e lógica avançada do aparelhos. Acho que essas dados só deve vir na sistema de arquivo ou Android backup. Vou tentar aqui então
Origem 016 — 19/05/2020 10:26 a 10:35 — Extração e análise de dados em iPhone/iOS
pessoal, vocês lembram qual senha o ufed coloca no backup do iphone, quando ativa este com criptografia para fazer a extração?
12345, salvo engano
Se não me engano é 1234 no iPhone e 12345 no Android.
Origem 017 — 16/06/2020 12:43 a 15:05 — Extração e análise de dados em iPhone/iOS
Alguém já passou por isso?
Acredito que não entra em modo DFU por estar desatualizado. Pesquisei e poderia entrar entrar nesse modo via iTunes. Aí me aparece essa mensagem
Acho que não tem relação versão do so com entrar ou não em DFU
Eu ja sofri p entrar no modo DFU por conta do tempo exato q tem q segurar e soltar os botões. O q ajudou foi fazer o procedimento acompanhando videozinho do youtube.
ele entra, faz o exploit, ai na tela que era para ficar parada, ela aparece rapidamente, ai logo depois da erro
ele afirma que é para versão 12.3 ou acima
Todas as vezes que fiz a primeira tentativa deu errado.
Aí nessa tela eu nem mexo no celular. Só dou NOVO, aí vai.
Ja tá na quinta vez.
Qual versao do iOS?
Esse eh o problema. Não consegui descobrir.
Origem 018 — 06/07/2020 20:30 a 20:56 — Extração e acesso a dados em iPhone 11
Boa noite! Há alguma ferramenta free para extração de iPhone 11 desbloqueado?
Nosso Ufed Touch é antigo e não consegue para modelos mais recentes de iphone
https://belkasoft.com/get
O ibackupViwer mostra o backup do iTunes, mas não deixa exportar na versão gratuita.
Será que o Belkasoft Acquisition Tool extrai?
Aí lê no PA
Seria o Evidence Center?
Você tentou usar o email backup, para extrair whats app?
Origem 019 — 14/09/2020 18:15 a 19:16 — Extração e acesso a dados em iPhone 11 Pro
Boa tarde!!!
Alguém já teve sucesso em fazer extração de um A2218 (iPhone 11 Pro) desbloqueado? Alguma ferramenta tem suporte pra ele?
Alguém já teve sucesso em fazer extração de um A2218 (iPhone 11 Pro) desbloqueado? Alguma ferramenta tem suporte pra ele?
Por incrível que pareça, o xry extrai. Pelo menos com o ios 13.0
Não sei se a ultima versão extrai tb
Apagando as credenciais o celebrite faz também
Eu costumo fazer o bkp via iTunes, depois o parser com o Phisycal Analiser para as versões mais recentes do iOS
Origem 020 — 13/10/2020 13:22 a 13:35 — Extração e análise de dados em iPhone/iOS
Pessoal, vocês já pegaram casos com programa espião instalado em iPhone? Saberiam o nome de algum aplicativo que possa estar instalado?
Bom dia Paulo! Eu já fiz algumas, do que você precisa?
Origem 021 — 27/11/2020 12:35 a 13:10 — Extração e acesso a dados em iPhone 8 Plus
Pessoal, boa tarde! Estou aqui com um iPhone 8 Plus (A1864) desbloqueado e sequer faz a Lógica (parcial). Pede para desativar a senha de criptografia do iTunes. Faço isso mas não vai. 🤦🏻♂️ Alguma dica? Obg
Fiz um iPhone pelo próprio Physical Analyser, que não estava fazendo no Touch.
Vou tentar no Touch 1. Tentei no 4PC.
Não temos o 2 🤦🏻♂️. Mas usamos o 4PC atualizado.
Mas o Touch 2 não fez. Extrai pelo proprio Physical Analyser no menu de extrair iOS.
<Mídia oculta>
Deu esse erro
Deu esse erro
Acho que iTunes tem que estar instalado e atualizado na máquina
Tá instalado. Tô atualizando pra ver
Ele está com senha no backup? Se já estiver com uma senha anterior pode ser por isso
Não. Tava sem senha.
Tenta usar a ferramenta de remoção de senha de backup do ufed (ou manualmente) e tentar extrair novamente
Origem 022 — 07/12/2020 10:28 a 11:16 — Extração e acesso a dados em iPhone 7
Alguém sabe como “coloca” ou habilita esse checkra1n no iPhone 7? Desde já agradeço 👍🏻👍🏻👍🏻
Você pode fazer manualmente, seguindo as instruções desse site: https://checkra.in/
Mas o que eu mais recomendo é escolher a outra opção do Cellebrite que ele faz sozinho esse processo (Full Filesystem (chechm8).
Mas o que eu mais recomendo é escolher a outra opção do Cellebrite que ele faz sozinho esse processo (Full Filesystem (chechm8).
*(Fill Filesystem (checkm8))
Ele usa o mesmo exploit, mas de forma não permanente
Tentei. Estou apanhando pra colocar no modo DFU
Para instalar o checkra1n também precisa colocar em modo DFU, então não vai te ajudar.
É um pouco chato nas primeiras vezes, mas depois que pega a prática fica fácil colocar em modo DRU.
Entendi. Obrigado. To tentando aqui
O jailbrake vai apagar os dados, o problema do Backup é ser necessária a ativação dos aplicativos de bate papo, após a restauração, o que só pode ser feita em posse do chip da operadora em estado válido, com o chip na mão e funcionando, a técnica é show, de vez em qd eu faço aqui, mas em Android, pq faço uso de um aparelho “dublê”, pra dar apoio na técnica. Se funcionar com o iPhone, dá um aviso aqui no grupo, pra eu já providenciar um dublê de iPhone também.
Origem 023 — 15/01/2021 12:42 a 13:00 — Extração e análise de dados em iPhone/iOS
O aparelho não possui número de série impresso na parte traseira?
Eu entendo q a vitima tem q apresentar a nota fiscal contendo o numero de série do equipamento, para comparar com o numero constante na carcaça do celular.
IPhones mais recentes só apresentam, como individualizador externo, apenas o Imei que consta no slot do chip, e mais nada. É dureza pra achar um cidadão desses.
Origem 024 — 10/02/2021 10:26 a 10:29 — Extração e análise de dados em iPhone/iOS
Bom dia pessoal.
Iphone 6S resetado
É possível determinar a data do reset?
Iphone 6S resetado
É possível determinar a data do reset?
https://www.cellebrite.com/en/upgrade-from-null-detecting-ios-wipe-artifacts/
<Mídia oculta>
30 (1).pdf
30 (1).pdf
Obrigado [MENCAO]
Vou dar uma olhada
Vou dar uma olhada
Origem 025 — 10/02/2021 11:10 a 11:10 — Extração e decodificação de bancos do WhatsApp
Bom dia! Fizemos um backup do itunes, carregamos no PA, mas nas conversas de whatsapp estão exibidas apenas as mensagens realizadas pelo usuário do aparelho, as recebidas dos contatos não. Alguma ideia de qual seria o problema?
Origem 026 — 10/03/2021 09:23 a 09:38 — Extração e análise de dados em iPhone/iOS
Pessoal, num iPhone, quando o 4PC acusa que o backup do iTunes está criptografado e não possuo a senha, já era? O aparelho está desbloqueado, mas estou nesse entrave do backup.
Só remover a senha do backup
Tem função no 4pc para isso
tem esse procedimento que utilizamos aqui no TO 👆 para resetar a senha
<Mídia oculta>
Resetar_Backup_Itunes_IOS_11.pdf
Resetar_Backup_Itunes_IOS_11.pdf
Origem 027 — 04/05/2021 13:31 a 15:26 — Extração e análise de dados em iPhone/iOS
Boa tarde! Alguém com UFED Touch 1 ainda consegue realizar alguma extração de iPhones 8 pra cima? iOS 13?
Estamos fazendo por backup do itunes, fora do touch
Não consegui. Só com alguns modelos com o UFED 2.
então não estou fazendo nada errado eheh. Deve ser bug/incompatibilidades com as novas versões de iOS, mesmo.
Acredito que sim.
No início era possível extrair modelos antigos do iPhone no UFED 1. Depois com as atualizações e modelos novos as extrações ficaram prejudicadas.
No início era possível extrair modelos antigos do iPhone no UFED 1. Depois com as atualizações e modelos novos as extrações ficaram prejudicadas.
Origem 028 — 05/05/2021 10:53 a 11:09 — Extração e análise de dados em iPhone/iOS
o iOS faz o backup?
mas o homicidio é antigo né?
tem q ser um quente
Algumas vezes dá pra ver a pessoa botando a senha
Vê se a vítima digitou a senha dentro do elevador
tópicos avançados de extração
Lembrei do caso de um homicídio de uma italiana encontrada morta em uma praia por aqui. O iPhone foi encontrado próximo ao corpo da vítima. A delegada foi até ao albergue que ela estava hospedada e o celular sincronizou tudo, até as conversas de um amigo que estava usando um MacBook da vítima em outra cidade. Realmente ele vai sincronizar tudo.
só lembrei agora do primeiro celular que peguei com knock code da LG e adivinhei de primeira 🤣🤣
se alguma vez deu bom resultado, é fenomenal!
Deu em dois casos só, pra vários q tentamos. Famoso desespero kkk
https://abrignoni.blogspot.com/2018/05/android-remote-desktop-apps-teamviewer.html?m=1
Já faz um tempo esse post sobre alguns artefatos, mas talvez a estrutura do app não tenha mudado tanto
Já faz um tempo esse post sobre alguns artefatos, mas talvez a estrutura do app não tenha mudado tanto
Origem 029 — 25/05/2021 10:37 a 11:06 — Já tentou no UFED passar o diretório e o arquivo com a chave
estou com uma quebra que entre várias informações tem o backup do alvo na apple;
pergunto é possível descriptar esses arquivos com esse arquivos que eles fornecem *keybag.txt*
pergunto por que a Apple nos diz que fornece, mas não ajuda abrir os arquivos
pergunto é possível descriptar esses arquivos com esse arquivos que eles fornecem *keybag.txt*
pergunto por que a Apple nos diz que fornece, mas não ajuda abrir os arquivos
Alguém domina a relação entre as possíveis chaves presentes nesse *keybag.txt*
e como utiliza-las para decifrar conteúdos de backups da apple?
Já tentou no UFED passar o diretório e o arquivo com a chave (keybag)
Origem 030 — 26/05/2021 10:29 a 11:00 — Extração e root em dispositivos LG
Colegas, conhecem alguma solução para extrair/desbloquear LG x220ds (K5) MediaTek 6582?
<Mídia oculta>
bkp-userdata.pdf
bkp-userdata.pdf
Backup USERDATA pelo Menu Recovery
<Mídia oculta>
Acredito que o UFED importa o backup da LG diretamente.
Acredito que o UFED importa o backup da LG diretamente.
Opa, vou tentar! Muito obrigado pessoal
Sabe informar se funciona pra imagem criada de um LG Bloqueado (sem acesso ao userdata)?
Valeu, irei tentar agora no .bin aqui 👍🏻
Origem 031 — 23/06/2021 18:34 a 20:16 — Ativação do modo desenvolvedor e depuração USB
<Mídia oculta>
download (1).pdf
download (1).pdf
Não sei se te ajuda
Senhores, tem alguma dica pra habilitar o modo desenvolvedor do iPhone 8. Já procurei no aparelho mas não encontrei!
*BRASIL 👨🏻⚖️ Alexandre de Moraes, do STF, autorizou na semana passada o envio do celular de Salles para os Estados Unidos a fim de que a Polícia Federal consiga ter acesso aos dados*
https://g1.globo.com/politica/noticia/2021/06/23/moraes-autoriza-envio-do-celular-de-salles-para-os-eua-a-fim-de-que-a-pf-tenha-acesso-aos-dados.ghtml
https://g1.globo.com/politica/noticia/2021/06/23/moraes-autoriza-envio-do-celular-de-salles-para-os-eua-a-fim-de-que-a-pf-tenha-acesso-aos-dados.ghtml
"A PF quer o auxílio da US Fish and Wildlife Service para desbloquear o aparelho, uma vez que a agência dispõe dos meios necessários para a ação."
Vão pescar a senha
Vão usar phishing 🤣
iOS não tem modo desenvolvedor. Precisa apenas desativar o bloqueio automático
Pelo menos não igual ao Android, caso esteja procurando isso.
Hum, quase não fazermos iPhone aqui. Tava seguindo as instruções do UFED. Valeu pela informação.👍🏻
Isso. O ufed pede apenas que desative o bloqueio automático. Caso essa opção esteja impossibilitada de ser desabilitada, veja se o modo economia de energia está ativo, se estiver desative e em seguida coloque como nunca o bloqueio automático.
Origem 032 — 24/06/2021 08:55 a 09:01 — Extração e análise de dados em iPhone/iOS
São essas as instruções do UFED que falei.
Mas agora percebi o termo fake
é de iPhone fake rodando android
Origem 033 — 12/07/2021 18:57 a 20:17 — Extração e análise de mensagens do WhatsApp
Boa noite pessoal, estamos investindo um caso de exploração infantil, e estamos tentando localizar um número nas redes sociais, alguém sabe como seria possível?
Estamos com a localização do torre que o celular está registrado mais frequentemente, provavelmente onde o suspeito mora, mas a área não é suficiente e não existe cpf atrelado ao número!
Estamos com a localização do torre que o celular está registrado mais frequentemente, provavelmente onde o suspeito mora, mas a área não é suficiente e não existe cpf atrelado ao número!
Mas o investigado tem magnetizado as "iscas monitoradas" de pornografia infantil com frequência?
Aparentemente descoberto por denúncia, num print de WhatsApp
Boa tarde, Srs. Saberiam me informar se existe algum automatizador de script para iOS/iPhone semelhante ao AndroidViewClient?
Poderia iniciar buscando info em fontes abertas
Nesse caso a informação inicial seria o número do telefone
Se alguma DP estiver com alguma interceptação em andamento, poderiam incluir esse número de telefone q vcs possuem
Caso contrário, será necessária autorização judicial
Origem 034 — 13/07/2021 15:10 a 15:18 — Os colegas sabem dizer se o UFED abre aqui .nbu (nokia backup)
boa tarde, os colegas sabem dizer se o UFED abre aqui .nbu (nokia backup) ?
Tá dando certo aqui, obrigado!
Origem 035 — 09/08/2021 18:40 a 20:55 — Extração e acesso a dados em iPhone 7 Plus
Sobre o backup talvez sim, mas sobre recuperar dados da memória do próprio aparelho após ter passado por processo de reset acho que não faz sentido
Boa noite, acho que ja comentaram aqui. Tem como dar jeito nisso?
Infelizmente não. Abrir uma ocorrência na Techbiz e disseram que iam passar o problema pra Cellebrite.
Boa noite! Já realizei um teste com um iPhone 7 Plus A1784. Formatei e fiz uma extração e veio apenas o básico/padrão
é FBE desde i Iphone 4s, não?
sem chance de carving...
sem chance de carving...
mas inicializar com o backup do iCloud pode dar certo
mas tem de ser um aparelho "superior"
e precisa das senhas
"igual ou superior" > mesmo aparelho ou algum aparelho com configuração mais nova...
infelizmente...
infelizmente...
É o aparelho da vítima, o objetivo da Perícia é recuperar umas mensagens recebidas pouco antes do crime.
O dispositivo questionado foi manipulado antes de chegar no IC e quando recebemos estava zerado.
O dispositivo questionado foi manipulado antes de chegar no IC e quando recebemos estava zerado.
Mas não seria melhor realizar a decodificação do backup da icloud no próprio PA?
sim, melhor mesmo se já está com o backup
Esse é um risco de tentarmos desbloquear testando senhas aleatórias. Depois o celular da wipe na nossa mão e a responsabilidade é grande.
Já peguei um caso que mandaram o celular faltando 1 tentativa para wipe.
Quais os modelos faz wipe por excesso de tentativa?
Origem 036 — 09/08/2021 23:04 a 23:04 — Extração e análise de dados em iPhone/iOS
Pela minha experiência: Iphones e androids com secure startup são os principais, de resto normalmente só quando o usuário ativou manualmente alguma opção.
Origem 037 — 02/09/2021 09:01 a 09:01 — Extração e análise de dados em iPhone/iOS
Pessoal. Bom dia. Qual a ferramenta pra Windows que vcs usam pra instalar o checkra1n em iPhones?
Origem 038 — 30/12/2021 10:17 a 12:47 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
<Mídia oculta>
Bom dia! Analisando um HD encontrei 3 backups de iPhone, porém é solicitado a senha do iTunes. Alguma solução (sem ser o CAIS) ou dicionário para esse Backup?
Bom dia! Analisando um HD encontrei 3 backups de iPhone, porém é solicitado a senha do iTunes. Alguma solução (sem ser o CAIS) ou dicionário para esse Backup?
Acho que a senha não é do iTunes e sim do backup. Pode ser diferente.
Pode tentar quebrar em alguma ferramenta como o Hashcat, mas é demorado.
Acho que existe a possibilidade do nome da pasta onde tava o backup ser a senha. Já li algo a respeito.
Também já vi algo sobre isso, tem um arquivo oculto que serve de senha.
Massa, irei dar uma pesquisada. Obrigado!
Isso mesmo. Se for backup de ios <9 é bem mais rápido.
Se for >10 valeria a pena tentar números até 6 dígitos e depois uma wordlist de strings do HD. Se vc tem o axiom, a magnet tem uma ferramenta que gera uma wordlist a partir da indexação
Se for >10 valeria a pena tentar números até 6 dígitos e depois uma wordlist de strings do HD. Se vc tem o axiom, a magnet tem uma ferramenta que gera uma wordlist a partir da indexação
Origem 039 — 06/01/2022 10:59 a 12:10 — Extração e acesso a dados em iPhone 12
IMG-20220106-WA0007.jpg (arquivo anexado)
Não dá pra confiar muito no Ufed 🤦🏻♂️
Não dá pra confiar muito no Ufed 🤦🏻♂️
Duas chamadas. Mesmo dia e horário. Durações diferentes. Uma excluída.
Duas chamadas ao mesmo tempo, com durações diferentes.
Essa vermelha é a "recuperada", certo?
Essas "recuperações" do UFED dão medo
Pois é! E esse é o objetivo dessa perícia. Recuperar ligações apagadas 🤦🏻♂️🤣🤣
E ainda tem várias chamadas setadas como excluídas que na verdade não estão.
Resumo: sempre olhe no aparelho. Não confie!
Todo software tem bugs mas softwares forense então são os que mais vão ter bugs porque lidam com dados de aparelhos de diversas marcas e versões diferentes dos apps. Os desenvolvedores desses softwares ficam tentando acertar um alvo em movimento, correndo atrás das mudanças dos aplicativos que mudam todo dia.
Sem contar os aparelhos bricados no meio das extrações
É uma boa ferramenta de trabalho, mas o perito não pode confiar as cegas.
Mas pelo menos ele avisa em uma coluna que aquele dado específico foi recuperado através de carving
As vezes a gente usa como se estivessemos terceirizando a perícia para a celebrite e nos eximimos de entender o que acontece debaixo dos panos.
Quanto mais "mágica" a ferramenta faz menos nós aprendemos.
Acredito que: se uma ferramenta faz, não precisa de perito.
Essas recuperações de dados da Cellebrite deveriam ser melhor explicados.
Nesse caso em concreto, o que será que aconteceu? Como foi recuperado um registro de chamada com esse conteúdo?
Se o juiz perguntar? Se um perito ad-hoc rodar num outro ufed e tiver esse resultado? A prova ficaria comprometida?
Vão chamar a Cellebrite no tribunal, ela será o expert do caso?
Um iPhone nessa situação
Sabendo a senha do itunes
Desbloqueia?
Se jogar no itunes ele vai fazer o wipe e só depois ele tenta subir um backup se houver.
Cara esse é uma questão que vai longe. Geralmente na conclusão do laudo coloco algo tipo "utilizando as ferramentas e metodologias descritas no laudo, foram encontrados os elementos tais e tais..." Também constar a versão do ufed e do PA no corpo do laudo.... Já tive muitos problemas com bug do PA e só resolvi com downgrade
q ótimo... Cellebrite Premium quebra a senha?
iphone 12
o pin?
Nos EUA ele já foi chamada
na verdade, a premium descriptografa?
Não sei, não temos premium ainda. Imagino que só testando, ou alguém que tenha e já conseguiu algo em caso semelhante, possa nos dizer.
Pelo que já ouvi dizer, o Premium conseguiria desbloquear
Não desbloqueia no Premium ou no CAS. Já tive um caso assim e segundo a cellebrite não há o que fazer.
Backup do iCloud, tendo a senha
Dá pra fazer direto pelo programa iCloud desktop
Origem 040 — 13/01/2022 16:58 a 16:58 — Extração de iPhone e iOS com senha conhecida
https://blog.elcomsoft.com/2022/01/agent-based-full-file-system-and-keychain-extraction-now-up-to-ios-14-8-incl/
Origem 041 — 08/02/2022 09:39 a 11:16 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
*[DIA DA INTERNET SEGURA 2022]*
🚨É hoje !! Estamos celebrando o Dia Mundial da Internet Segura. Em sintonia com mais de 200 países, unidos para inspirar mudanças positivas online 🤝
➡️Acompanhe ao vivo
📍https://www.diadainternetsegura.org.br/
Te esperamos para construir, juntos, umas Internet mais positiva 💚💙
🚨É hoje !! Estamos celebrando o Dia Mundial da Internet Segura. Em sintonia com mais de 200 países, unidos para inspirar mudanças positivas online 🤝
➡️Acompanhe ao vivo
📍https://www.diadainternetsegura.org.br/
Te esperamos para construir, juntos, umas Internet mais positiva 💚💙
Não estou conseguindo ativar o modo DFU no UFED do 4PC.
Bom dia. O Botão Home está funcionando?
Estou seguindo os passos da imagem acima. Tentei inúmeras vezes sem sucesso.
O modo iTunes está entrando normal, certo?
Sim. Vou verificar novamente.
Apple iPhone 5s.
O que acontece? O celular está reiniando?
Aparece a botão de desligar, por exemplo.
Quando isso ocorre?
Está conseguindo isso?
Seguindo os passos acima.
Botão início, conectar ao UFED. Aguardar 10 s.
Coloque no DFU:
Apertar Botão ligar/desligar por 3 segundos.
Botão início, conectar ao UFED. Aguardar 10 s.
Coloque no DFU:
Apertar Botão ligar/desligar por 3 segundos.
1 - Você está inciando isso com o celular desligado?
2- Antes de inciar os passos para colocar em DFU, o celular apareceu a tela de modo iTunes?
2- Antes de inciar os passos para colocar em DFU, o celular apareceu a tela de modo iTunes?
Fiz desligado conforme os passos informados.
Também tentei ligado.
Também tentei ligado.
Vi agora que o botão home não está funcionando.
Então esse processo não irá funcionar.
Você consegue colocar em modo iTunes via test point
Precisa abrir o equipamento para isso
Ele depende do botão home funional
Origem 042 — 12/02/2022 18:45 a 18:45 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
Practical Mobile Forensics A hands-on guide to mastering mobile forensics for the iOS, Android, and the Windows Phone platforms by Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty (z-lib.org).pdf
Practical Mobile Forensics A hands-on guide to mastering mobile forensics for the iOS, Android, and the Windows Phone platforms by Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty (z-lib.org).pdf
Origem 043 — 09/05/2022 16:45 a 17:12 — Extração e root em dispositivos LG
Boa tarde
Alguém já pegou um
LG OPTIMUS L1 II E410 com senha de bloqueio? Não consegui nada nem com ele em modo recover
Alguém já pegou um
LG OPTIMUS L1 II E410 com senha de bloqueio? Não consegui nada nem com ele em modo recover
Boa tarde, esse vc consegue a fisica com a box octoplus.
Acredito que pelo UFED não consegue fisica no método generico da LG.
Acredito que pelo UFED não consegue fisica no método generico da LG.
Visto que é chipset qualcomm, acho que deve ser a opção mais fácil
Nessa box tem uma opção de "read full flash".
Entendi, obgdo [MENCAO]
Origem 044 — 24/05/2022 09:13 a 09:18 — Extração e análise de dados em iPhone/iOS
Quando tenta fazer aquela remoção do encrypt do itune
O eq esta bloqueado?
Uhnn. Qual versão do seu UFED e qual versão do iOS?
IOS 13.6.1
UFED 7.54
O aparelho chegou desbloqueado, mas foi informada a senha.
Eita. Devia funcionar normal nessa.
Vc tem a opção de restaurar as opções do usuário. Ai isso vai remover a senha do eq e as outras senhas, incluindo a do itunes.
Vc tem a opção de restaurar as opções do usuário. Ai isso vai remover a senha do eq e as outras senhas, incluindo a do itunes.
Pode ficar tranq que não perde a conta do icloud ou dados do usuário.
Não. Quase não fazemos iPhone aqui
Origem 045 — 19/08/2022 11:54 a 11:54 — Extração e análise de dados em iPhone/iOS
Apple emite alerta para falhas que permitem invasão em iPhones, iPads e Macs https://www.infomoney.com.br/consumo/apple-emite-alerta-para-falhas-que-permitem-invasao-em-iphones-ipads-e-macs/?utm_source=whatsapp&utm_medium=social via InfoMoney
Origem 046 — 30/08/2022 12:24 a 12:38 — Extração e análise de dados em iPhone/iOS
Excelente! Esses dados se encontram em quais arquivos? Vêm na extração "lógica avançada" do ufed? (creio que seja backup do itunes)
Depende. Antigamente até poderia vir, porém o que estamos vendo atualmente é apenas na full fs que esta vindo.
No caso na opção de checkm8 no UFED
Se não, apenas em ferramentas do tipo premium
Se tbm tiver suporte 😅
Entendi. Iphone SE 2020 é vulnerável ao checkm8 ou r41n ?
Checkm8 deve ser no ufed.
Ai teria que ver a versão do iOS
Esse aí acredito que é processador a12 ou a13 bionic, já não mais suportado pelo checkm8
Tem o powerlog do iOS, guarda log de uns 14 dias
Alguma coisa de logs você pode conseguir disparando o sysdiagnose. De uma olha no poster da sans
https://github.com/cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts
<Mídia oculta>
DOC-20210128-WA0009. (2).pdf
DOC-20210128-WA0009. (2).pdf
para parser dos sysdiags
Excelente! Obrigado, pessoal!
Para gerar os sysdiag tem uma sequencia de teclas no iod
ios
tem que setar tb uma configuração de "analytics data" nas configurações
achei aqui um resumo:
https://gist.github.com/danieleggert/[HASH-HEX]
https://gist.github.com/danieleggert/[HASH-HEX]
How To sysdiagnose on iOS:
Hold volume up + volume down + power for 250 milliseconds.
Wait (up to 5 minutes)
Settings.app > Privacy > Analytics > Analytics Data
Select the "sysdiagnose_" file and share via AirDrop to a Mac.
Hold volume up + volume down + power for 250 milliseconds.
Wait (up to 5 minutes)
Settings.app > Privacy > Analytics > Analytics Data
Select the "sysdiagnose_" file and share via AirDrop to a Mac.
Origem 047 — 10/10/2022 14:22 a 16:32 — Extração e acesso a dados em iPhone 12
Pessoal, tudo bem? Quando o iPhone está indisponível, não mais contando tempo para inserir senha de desbloqueio, há algo ainda a ser feito? Que seja utilizando credenciais do iCloud do usuário?
Vc consegue enxergar o papel de parede? Ou está todo negro?
Não estou conseguindo instalar nenhuma versão, nem sequer a mais atual. Estanho isso...
Tente a senha do icloud no último laptop que fez o backup da vítima
Acredito que só pelo Premium
Será q nessas condições o Premium faria?
Olha eu já usei ele em um iPhone 12, o MP-GAECO do Pará tem, e ele desbloqueou.
Nunca usei nessas condições de IPhone indisponível
Mas Vale a pena tentar
Tem que ser onde a pessoal teve backup feito? Logar com as credenciais do iCloud num novo iTunes será que não resolveria?
Melhor que seja onde a pessoa fez o último backup.
Pergunte a família da vítima e amigos
Teve um caso que eu resolvi que o ultimo backup estava no notebook da amiga.
Estou gerando o relatório zip com os arquivos (dica do [MENCAO] ) e é um processo bem lento. Comecei antes do almoço e ainda está em 40%
Pra depois tentar abrir no PA
Pra depois tentar abrir no PA
Por isso estou esperando concluir
Eu não tenho essa estrutura de diretório q vc colocou
No meu está C:\Program Files\MSAB\XryCore\1
E lá já tem um arquivo XryCore.dll
Vou substituí-lo assim q terminar essa exportação (a não ser q alguém aqui saiba q não tem problema)
Vc cria e coloca o arquivo lá. Acho q não terá problemas. Qualquer coisa, apaga.
Boa. Abriu o programa
Origem 048 — 20/10/2022 08:43 a 10:47 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Bom dia. Multilaser MS50L MTK6580. Só devolver? 😢
Bom dia. Multilaser MS50L MTK6580. Só devolver? 😢
Já tentou "new mtk" ou "old mtk" no ufed?
Fisica bootloader mtk?
Não lembro se esse é crypto
Tem a possibilidade tbm do SPD Flash tool para física.
SP Flash tool*
Aqui no nosso histórico vimos possibilidade por esse.
Acho que esse tem MTK6582 na real. Teria que confirmar.
Se for 6580, pode dar boa pelo ufed. Se for 6582, ai tem que fazer pelo sp flash tool mesmo.
Se for 6580, pode dar boa pelo ufed. Se for 6582, ai tem que fazer pelo sp flash tool mesmo.
Tentei todos, até o power ranger, Jiraya, jaspion...
Então SP flash tools mesmo
Não conheço, vou atrás
É MT6580A
Aqui no histórico já foi feito BACKUP USERDATA pelo Menu Recovery
Mas com ele bloqueado mesmo?
Sim, entra no Menu Recovery, tem a opção Backup Userdata, aí exporta para o cartão MicroSd
<Mídia oculta>
Recovery, Vol+ e Power
Recovery, Vol+ e Power
Se não me engano, o PA tem uma opção de carregar diretamente esses backups, sem precisar alterá-lo
Bom dia senhores, grupo corrido hoje! Estou com um Motorola Moto G22 bloqueado, não encontrei os perfis no XRY ou UFED 4PC, ou aqui no grupo! Alguém já fez?
IMEI.info: Mediatek MT6765V/CB Helio G37
a senha veio no processo, desbloqueado agora!
Android 12
Só premium para full file system
Fisica nao rola pq é fbe
Se nao tiver premium, android backup + apk down (com MTO cuidado)
Origem 049 — 02/01/2023 14:46 a 16:21 — Extração e decodificação de bancos do WhatsApp
Pessoal, alguém sabe se o UFED PA teria algum plugin para decriptar o backup do iCloud gerado pelo aplicativo WhatsApp?
Para dispositivos android, a gente costuma usar um emulador e jogar aqueles arquivos (msgstore.db.crypt14) nele. Durante o processo, e com um chip ativo, conseguimos decriptar o banco, certo?
No caso de iPhones, a gente pode se deparar com um ChatStorage.db.enc
A funcionalidade que eu busco seria mais ou menos parecida com essa da ElcomSoft
https://blog.elcomsoft.com/2017/07/extract-and-decrypt-whatsapp-backups-from-icloud/
Para dispositivos android, a gente costuma usar um emulador e jogar aqueles arquivos (msgstore.db.crypt14) nele. Durante o processo, e com um chip ativo, conseguimos decriptar o banco, certo?
No caso de iPhones, a gente pode se deparar com um ChatStorage.db.enc
A funcionalidade que eu busco seria mais ou menos parecida com essa da ElcomSoft
https://blog.elcomsoft.com/2017/07/extract-and-decrypt-whatsapp-backups-from-icloud/
alguém teria usado alguma ferramenta para decriptar o *ChatStorage.sqlite.enc*
Salvo engano, Axiom faz passando o keychain
Acho que o UFED Cloud tem, ou aquele módulo CLoud freatures
Origem 050 — 05/01/2023 16:53 a 16:56 — Extração e acesso a dados em iPhone 7
Boa tarde.
Estou com um iPhone 7 bloqueado com o volume (-) afundado.
Existe alguma outra forma de colocar ele em modo recovery ou DFU?
Estou com um iPhone 7 bloqueado com o volume (-) afundado.
Existe alguma outra forma de colocar ele em modo recovery ou DFU?
https://blog.elcomsoft.com/2021/09/how-to-put-an-ios-device-with-broken-buttons-in-dfu-mode/
Origem 051 — 03/03/2023 11:11 a 11:13 — Extração e análise de dados em iPhone/iOS
massa!! mas esse não é do sysdiagnose, certo? é do gerenciador de energia?
Essa parte que ele registra de alterações de timezone etc que eu acho que pode ter algo a respeito de alteração de data
tu conseguiu uma física [MENCAO] ?
exato. Eu errei quando disse que vinha do sysdiag. depois que me toquei que só vem na estração full
Não, apenas lógica, backup do iTunes, mas tô extraindo agora pelo axiom
Se não der certo, o axiom tem os executaveis compilados para extrair o sysdiagnose
qual é o iphone?
IPhone X, mas que por algum motivo não tá da do certo checkm8
Origem 052 — 13/03/2023 14:01 a 14:01 — Extração e acesso a dados em iPhone 11
<Mídia oculta>
boa tarde. estou com um iphone 11 que, depois de dias apreendido, mostra 2 mensagens dessa, com contatos diferentes, como se fossem inícios de conversas. não há evidências de que o aparelho tenha conectado em nenhuma rede, nem qualquer conversa a mais com os contatos. alguém ja passou por isso? imagina o que pode ter ocasionado tal comportamento?
boa tarde. estou com um iphone 11 que, depois de dias apreendido, mostra 2 mensagens dessa, com contatos diferentes, como se fossem inícios de conversas. não há evidências de que o aparelho tenha conectado em nenhuma rede, nem qualquer conversa a mais com os contatos. alguém ja passou por isso? imagina o que pode ter ocasionado tal comportamento?
Origem 053 — 17/04/2023 16:31 a 17:17 — Extração e acesso a dados em iPhone 7 Plus
Pessoal. Boa tarde. Como está a quebra de senha do iPhone 7 Plus com o UFED 4PC? Vcs tem conseguido? Eu tentei aqui e nada…
Não existe procedimento de BF para iPhone no UFED
Iphones apenas em ferramenta premium.
O iPhone 4 vc até consegue no PA.
O iPhone 4 vc até consegue no PA.
No UFED consegue apenas uma BFU nesses modelos que permite fazer checkm8
Só ferramenta premium ou o passware
Na verdade, eu queria um modelo de Laudo pra ter um norte... 😅
O PA consegue processar, tem uma opção de fonte de dados de mandado judicial da google
Origem 054 — 08/05/2023 16:57 a 17:03 — Extração e acesso a dados em iPhone 8
Pessoal, alguém já viu isso? Um iPhone 8 com duas numerações de IMEI na bandeja. Pior que está bloqueado, então não vou conseguir comparar com o IMEI eletrônico.
Ambos os números apontam para o msm modelo.
https://blog.elcomsoft.com/2023/03/obtaining-serial-number-mac-meid-and-imei-of-a-locked-iphone/
Entra no modo diagnóstico pra ver o imei. Só cuidado se estiver em AFU, pq vai precisar reiniciar
Origem 055 — 07/06/2023 12:09 a 12:21 — Extração e acesso a dados em iPhone 14 pro Max
<Mídia oculta>
Bom dia. IPhone 14 pro Max, clm sinais de formatação recente. Tem como saber provável data/hora da formatação como conseguimos no Android?
Bom dia. IPhone 14 pro Max, clm sinais de formatação recente. Tem como saber provável data/hora da formatação como conseguimos no Android?
O iOS quando faz o resetfactory apenas apaga a chave do usuário o que torna todos os dados de usuário "apagados".
Porém, a chave do dispositivo é usada para cifrar os dados de sistema.
Logo, imagino que nesses dados de sistema talvez tenha log no KnowledgeC e POWERLOGs.
Também tem esses vestígios de reset:
https://athenaforensics.co.uk/how-to-identify-when-an-iphone-or-ipad-was-factory-reset/
Porém, a chave do dispositivo é usada para cifrar os dados de sistema.
Logo, imagino que nesses dados de sistema talvez tenha log no KnowledgeC e POWERLOGs.
Também tem esses vestígios de reset:
https://athenaforensics.co.uk/how-to-identify-when-an-iphone-or-ipad-was-factory-reset/
Origem 056 — 17/08/2023 14:41 a 14:52 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Parece que a ferramenta Whapa no GitHub não funciona mais para baixar backups no google drive. Haveria alguma alternativa free?
backups do whatsapp no google drive, digo
UfedCloud
Origem 057 — 23/08/2023 07:52 a 07:55 — Extração e análise de dados em iPhone/iOS
Pessoal, alguém sabe quais eram os aparelhos do cara?
Fiquei curioso também
Será que apreenderam o iPhone a quente?
Origem 058 — 29/08/2023 08:58 a 08:58 — Extração e acesso a dados em iPhone 14
Alguém já fez o backup pelonitubes do iPhone 14 e decriptou os dados?
Itunes
Origem 059 — 18/09/2023 14:35 a 14:41 — Extração e análise de dados em iPhone/iOS
UFED não extraiu o whats do iPhone A2638, o modelo mais novo no ufed (versao 7.66) é o A2483 (ao qual foi sugerido). alguem tem alguma ideia de como conseguir esse whats desse aparelho?
acho que a solução seria tentar fazer um backup com iTunes ou AvillaForensics
se o celular estiver desbloqueado, aí a velha tática de tirar prints (o que é trabalhoso né)
o AvillaForensics tem uma funcionalidade de ir tirando prints
mas é "trabalhoso" porque é inevitável ficar rolando com o dedo na tela
https://www.magnetforensics.com/resources/magnet-acquire/
Já há vários casos de não vir mais no bck. Pode tentar o magnetaquire. Pessoal da magnetic as vezes está contornando essa limitação
Já há vários casos de não vir mais no bck. Pode tentar o magnetaquire. Pessoal da magnetic as vezes está contornando essa limitação
Origem 060 — 16/10/2023 14:08 a 15:28 — Conta iCloud, localização e rastreamento de iPhone
Normalmente cpl está relacionado com icloud. Pode ser algo que está sincronizado com icloud e não presente o arquivo original no dispositivo (poupar espaço por exemplo). Recomendo ler o blog a seguir onde são feitas algumas experimentações e são apontadas certas informações presentes nos plist/db's para te ajudar a entender o que significa). https://theforensicscooter.com/2022/12/05/do-you-have-a-full-sized-assetor-just-a-thumbnail-did-optimized-iphone-storage-process-occur/
https://olhardigital.com.br/2023/10/15/reviews/apple-ja-consegue-atualizar-o-iphone-que-ainda-esta-lacrado-na-caixa/
prato cheio para ataques...
Origem 061 — 30/10/2023 13:54 a 13:56 — Extração e acesso a dados em iPhone 8 PLus
alguém muito entendido de iOS, sabe se fica registro no iPhone 8 PLus
se foi desbloqueado via senha numérica ou pela digital ?
se foi desbloqueado via senha numérica ou pela digital ?
eu tô com um caso que a defesa tá alegando "coação" pra desbloquear o aparelho 🤥
Origem 062 — 05/01/2024 09:04 a 09:15 — Extração e acesso a dados em iPhone 12
Bom dia Senhores (as), estou com dois XIAOMI bloqueados por senha numérica: Redmi Note 9 Pro e MI Lite 11. Alguma sugestão para conseguir a extração?
Pessoal, bom dia. Td bem?
Estamos com um iPhone 12 aqui e a senha de desbloqueio foi informada. A extração foi feita normalmente, mas quando o PA pede a senha de criptografia do backup, ela não é 1234 nem 12345. Ao tentar desabilitar a criptografia, tanto via 4PC quanto via REDEFINIR, pra se tentar extrair denovo, ele não permite... Acho que porque a função tempo de uso também está com uma senha de bloqueio... Além do mais, o aparelho tem o Family Link instalado, mas por falta de conexão não é possível dizer se é administrador ou se é cliente.
Alguma ideia?
Estamos com um iPhone 12 aqui e a senha de desbloqueio foi informada. A extração foi feita normalmente, mas quando o PA pede a senha de criptografia do backup, ela não é 1234 nem 12345. Ao tentar desabilitar a criptografia, tanto via 4PC quanto via REDEFINIR, pra se tentar extrair denovo, ele não permite... Acho que porque a função tempo de uso também está com uma senha de bloqueio... Além do mais, o aparelho tem o Family Link instalado, mas por falta de conexão não é possível dizer se é administrador ou se é cliente.
Alguma ideia?
Com UFED e XRY acho que não vai rolar mesmo, por ser Qualcomm.
Ok. Obrigado pela informação.
Origem 063 — 05/04/2024 17:38 a 17:38 — Extração e acesso a dados em iPhone 8
iPhone 8 (A1905) bloqueado. Vai com o checkm8?
Apenas BFU
Isso tbm dependendo do iOS.
Origem 064 — 09/04/2024 21:46 a 21:54 — Extração e análise de dados em iPhone/iOS
Veja no arquivo plist "com.apple.purplebuddy.plist" o que indica como o usuário configurou o iPhone. E se tem algum data tbm.
Eu tô achando tbm essa mesma ideia do Farias.
Talvez com esse plist consiga achar mais infos para sustentar ou quebrar esse linha.
Talvez com esse plist consiga achar mais infos para sustentar ou quebrar esse linha.
https://smarterforensics.com/2019/01/how-was-an-iphone-setup/
https://athenaforensics.co.uk/how-to-identify-when-an-iphone-or-ipad-was-factory-reset/
Aqui tem outras referências de arquivos que indicam quando o celular foi configurado na primeira vez.
Se a data bater bem próxima dessa que vc tem, possivelmente é uma data de vinculação.
Se essa data que vc tem for mais antiga que essas de configuração, aí já vai mais para o lado de criação da conta em celular anterior
Se a data bater bem próxima dessa que vc tem, possivelmente é uma data de vinculação.
Se essa data que vc tem for mais antiga que essas de configuração, aí já vai mais para o lado de criação da conta em celular anterior
Origem 065 — 21/06/2024 09:20 a 09:20 — Extração e análise de dados em iPhone/iOS
Em Minas temos o Premium para iPhone ilimitado e o Premium as a Service com 70 créditos por ano, por 3 anos
Origem 066 — 27/06/2024 17:27 a 17:59 — Extração e acesso a dados em iPhone 15
Pessoal, alguém sabe obter o IMEI de iPhone 15 bloqueado?
ele entra no modo diagnóstico como o iPhone 14 entra?
ele entra no modo diagnóstico como o iPhone 14 entra?
alguém saberia informar?
Tem que usar o cabo original
Com a fonte de 20w e 4A
Origem 067 — 23/07/2024 11:32 a 11:46 — Análise de Registro Windows e arquivo NTUSER.DAT
<Mídia oculta>
Bom dia, pessoal! Uma ajuda aqui nesse caso... Esse foi o único registro encontrado no aparelho relacionado a esse perfil amanda_...._._._._. Com base apenas nessas informações, pode-se afirmar que esse perfil está vinculado ao aparelho? O UFED relaciona como SENHA. Acontece q esse arquivo "keychain-backup.list" armazena muitas informações do sistema além de senhas.
Bom dia, pessoal! Uma ajuda aqui nesse caso... Esse foi o único registro encontrado no aparelho relacionado a esse perfil amanda_...._._._._. Com base apenas nessas informações, pode-se afirmar que esse perfil está vinculado ao aparelho? O UFED relaciona como SENHA. Acontece q esse arquivo "keychain-backup.list" armazena muitas informações do sistema além de senhas.
E informações de aplicativos tbm.
https://blog.elcomsoft.com/2020/08/extracting-and-decrypting-ios-keychain-physical-logical-and-cloud-options-explored/
Deu certo. Consegui fazer uma física no 4pc com esse perfil. Obrigadão 🙏🏻
Origem 068 — 24/07/2024 18:45 a 18:54 — IMG-20240724-WA0008.jpg (arquivo anexado)
https://cellebrite.com/en/upgrade-from-null-detecting-ios-wipe-artifacts/
IMG-20240724-WA0008.jpg (arquivo anexado)
IMG-20240724-WA0009.jpg (arquivo anexado)
Perito ad hoc ou instagrammer? 😅
Origem 069 — 12/08/2024 11:52 a 12:30 — Extração e acesso a dados em iPhone 15
Bom dia. Alguém já fez extração de iPhone 15 desbloqueado no Premium? Tem um cabo usb-c diferente?
Mesmo cabo usb-c
Fiz semana passada um iPhone 15 Pro Max iOS 17.2. Mesmo cabo usb-c e tudo certo na FFS
Falar em iPhone tenho percebido que IOS entre 16 e 17 bloqueado, o Premium só está fazendo os que estão em estado AFU o resto eles não estão colocando nem em brute Force, procede?
Até o iPhone 11 faz. A limitação da FB é do 12 em diante.
Isso, tentei um 12 e um 15
Origem 070 — 13/08/2024 09:23 a 09:27 — Extração e acesso a dados em iPhone 11
Pessoal, bom dia. O iPhone em AFU, pode entrar em BFU automaticamente após um período de inatividade, mesmo sem descarregar a bateria ou sem reiniciar?
Vocês já experienciaram isso?
Eu já tive a experiência de um iPhone 11 em modo AFU Que ficou ligado por um período de uns 15 dias e quando foi iniciado no premium ele não detectou que estava no modo AFU e deu a possibilidade somente de fazer BF
Origem 071 — 26/09/2024 16:26 a 16:33 — Root e extração em iPhone 14
Alguém mais tendo casos de 15 AFU reiniciando após um tempo? Tivemos 2 reiniciaram após uns 45 dias aguardando
No grupo de e-mails de perícia de informática internacional esse problema foi relatado. Na última mensagem disseram isso:
"I was digging into this a little more and found some consistencies across different Apple forums:
Mostly iPhone 14 and 15 models starting around iOS 16 through iOS 17+;
Devices charging overnight (both wired & wireless, w/ and w/o battery optimization enabled);
Many users reported that an Apple store diagnostic reported defective "hardware" with the issue resolved after repair;
Device diagnostic logs with "SystemMemoryReset" ("User reclaimable memory dropped below the limit.") entries immediately preceding reboot.
So...a memory issue affecting iPhone 14 and 15 models running iOS 16-17+ when charging overnight that causes the phone to reboot.
As far as mitigation steps, perhaps putting the chargers on a timer to avoid charging overnight (10:00 PM - 5:00 AM?) until we have more definitive information?"
Mostly iPhone 14 and 15 models starting around iOS 16 through iOS 17+;
Devices charging overnight (both wired & wireless, w/ and w/o battery optimization enabled);
Many users reported that an Apple store diagnostic reported defective "hardware" with the issue resolved after repair;
Device diagnostic logs with "SystemMemoryReset" ("User reclaimable memory dropped below the limit.") entries immediately preceding reboot.
So...a memory issue affecting iPhone 14 and 15 models running iOS 16-17+ when charging overnight that causes the phone to reboot.
As far as mitigation steps, perhaps putting the chargers on a timer to avoid charging overnight (10:00 PM - 5:00 AM?) until we have more definitive information?"
Também teve essa interessante
"I have heard a few mentions of this. On discord and speaking with other examiners.
It has been primarily iPhone 15’s with a mix of iOS versions, from early 17.0 to the latest.
There has been several articles published about early versions of 17.x that caused crashes / random reboots but no confirmation this is the root cause.
Issue Causing Auto-Reboots on iPho… | Apple Developer Forums
developer.apple.com
favicon.ico
https://9to5mac.com/2023/10/19/iphone-restart-overnight/
Not much help to offer at this point but just to confirm that this has popped up several times over the last few months. "
It has been primarily iPhone 15’s with a mix of iOS versions, from early 17.0 to the latest.
There has been several articles published about early versions of 17.x that caused crashes / random reboots but no confirmation this is the root cause.
Issue Causing Auto-Reboots on iPho… | Apple Developer Forums
developer.apple.com
favicon.ico
https://9to5mac.com/2023/10/19/iphone-restart-overnight/
Not much help to offer at this point but just to confirm that this has popped up several times over the last few months. "
Origem 072 — 27/09/2024 10:28 a 11:26 — Extração e decodificação de bancos do WhatsApp
Pessoal, algum registro de desbloqueio no XT1952-2 que não seja no Premium?
Esse é um QC FBE. Sem chance no UFED.
Qualcomm
Qualcomm
Chipset
Esse é um dos primeiros QC da motorola FBE. No premium quebra tranquilo
Xry pro também
Com direito a Bypass
🤔
Tem certeza? Puq esse é um FBE. Precisa da quebra de senha.
Tem certeza? Puq esse é um FBE. Precisa da quebra de senha.
Os FDE bypass tranquilo, mas FBE sem quebra nunca vi fazer extração.
Não consegui desbloquear um a546e quente no premium na quarta, o que foi péssimo, pois é de operação e precisava do flagrante.
Ontem não consegui desbloquear um moto xt2025-1 que o XRY padrão nem piscou para desbloquear
Tem algum bug sério nesse último update do SaaS
Ontem não consegui desbloquear um moto xt2025-1 que o XRY padrão nem piscou para desbloquear
Tem algum bug sério nesse último update do SaaS
A extração dos chats de WhatsApp com o [NOME] tbm funciona em iPhones?
ainda não, mas ja ta trabalhando nisso..
Quando o ufed não extrai os chats de WhatsApp do iPhone, como vcs procedem?
ai tem que "apelar" para os prints de tela das trechos mais pertinentes
se for muito mesmo assim, entrar em contato com a autoridade requisitante pra tentar limitar
Que tipo de extração está fazendo?
Puq uma FFS precisa vir os chats.
Seria na extração parcial que você está tendo esse problema?
Um iPhone 13 Pro Max, na versão do iOS que está instalada o ufed não oferece a opção de FFS. Apenas advanced logical e outra lá parcial
Das últimas vezes que fiz essas extrações que ele oferecia, as conversas do WhatsApp não vieram
Apenas os arquivos do dispositivo
Áudios
UHnn.. Entendi.
E você não tem disponível um Premium para fazer a FFS?
E você não tem disponível um Premium para fazer a FFS?
No momento não, estamos aguardando uma bucha com a licença se resolver. To tendo que usar o ufed touch mesmo
O backup criptografa não está ativado será?
Então é por isso que não está pegando. Desativa ele e refaz a extração.
Ele solicitou pra ativar no momento da extração, aí eu dei ok
Eu mandei msg pela metade
Quando terminar a extração e se não vierem as conversas como eu to imaginando que vai ser, eu vou desativar
Quis dizer o backup criptografa de ponta a ponta do aplicativo WhatsApp
Dentro do celular eu ativo a opção de criptografar como faz na extração do [NOME]?
No caso eu desativo essa opção?
É uma opção do WhatsApp.
Configurações, conversas, backup de conversas, backup criptografado de ponta a ponta.
Configurações, conversas, backup de conversas, backup criptografado de ponta a ponta.
Clica lá e manda desativar.
Depois coloca que esqueceu a senha ou simplesmente desativa. <Mensagem editada>
Depois coloca que esqueceu a senha ou simplesmente desativa. <Mensagem editada>
Olhei aqui, já tava desativado
Vou aguardar a extração concluir. Se as conversas vierem, vou concluir que eu que não estava desativando essa opção
Muito obrigado pela ajuda
Se você tiver uma máquina com outra versão do physical analyzer instalada, tenta abrir nela. Pode ter sucesso.
Origem 073 — 23/10/2024 08:38 a 09:01 — Extração e limitações em dispositivos Motorola
Bom dia!
Por favor, alguma sugestão de como realizar a extração dos modelos bloqueados?
iPhone Xr A1984
iPhone Xr A2105
iPhone Xs Max A2101
Motorola Moto E22i
Obrigada!
Por favor, alguma sugestão de como realizar a extração dos modelos bloqueados?
iPhone Xr A1984
iPhone Xr A2105
iPhone Xs Max A2101
Motorola Moto E22i
Obrigada!
Salvo engano iPhone XR o Cellebrite Premium consegue extrair se estiver AFU
Bom dia.
Todos esses seus possuem suporte no Premium para BF. Em seguida só seguir a extração.
Todos esses seus possuem suporte no Premium para BF. Em seguida só seguir a extração.
Obrigada! É porque temos o UFED 4PC Versão 7.70.0.180.
Bom dia o Premium faz os iphones e o PC 3.000 e xry pro faz motorola
<Mídia oculta>
PC-3000 Mobile PRO booklet - ONLY FOR LEA, DO NOT POST ON THE INTERNET AND NOT SHARE WITH THIRD PARTIES.pdf
PC-3000 Mobile PRO booklet - ONLY FOR LEA, DO NOT POST ON THE INTERNET AND NOT SHARE WITH THIRD PARTIES.pdf
<Mídia oculta>
UPDATED 06_09_2024 (PC-3000 Mobile PRO BETA ver. 2.9.3)
UPDATED 06_09_2024 (PC-3000 Mobile PRO BETA ver. 2.9.3)
Quem quiser uma demonstração do PC-3000
UFED para desbloqueio é super limitado. Para novos celulares não existe suporte.
Infelizmente, já fazem mais de 2 anos que não tem mais update para desbloqueio no UFED. Sem premium ou ferramentas concorrentes, celulares bloqueados não tem o que fazer.
Infelizmente, já fazem mais de 2 anos que não tem mais update para desbloqueio no UFED. Sem premium ou ferramentas concorrentes, celulares bloqueados não tem o que fazer.
Origem 074 — 03/12/2024 13:48 a 17:30 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Alguém teria essa versão do Premium Inseyets
Para download
Essa última atualização está toda gongada
Você está sem acesso ao portal, [NOME]?
Eu já entrei e não consegui encontrar essa versão. Vc consegue visualizar [NOME]? <Mensagem editada>
<Mídia oculta>
O nosso não é Inseyets, porém as versões antigas ficam mais lá para baixo:
O nosso não é Inseyets, porém as versões antigas ficam mais lá para baixo:
Não aparece para você?
Pq as atualizações são feitas no próprio software
Já mandei mensagem pra pessoal da Cellebrite
Tomara que eles não respondam pra mim aguardar as atualizações
<Mídia oculta>
Só a versão atual mesmo
Só a versão atual mesmo
Estou com um motorola xt2345-1 que o Premium sequer reconhece, mas o modelo aparentemente é Unisoc. Inclusive chega no ponto que dá a opção para fazer algumas combinações de botões, mas nada deu certo. Alguém já teve sucesso com esse modelo?
Sequer reconhece o modelo ou chipset, quis dizer.
Tenta utilizar o test point nele
Como é esse procedimento no Premium? Nunca fiz
Vol up + vol down já funcionou aqui
Lá para baixo não tem a antiga? Nessa tela mesmo?
Sorte a nossa aqui
Vou lá buscar amanhã
Tentei ontem as 3 combinações de botões, inclusive essa, mas reiniciou, entrou em fastboot ou não aconteceu nada
E estou com um iphone a2167, que é um 11 pro, que o Premium diz não suportar bfu, mas a tabela do site diz que até o ios 18.0.1 suporta, sendo que a apreensão foi antes do lançamento do ios 18.1. Entendi nada...
Nossa. Sorte que vamos levar mais 1 ano para usar o Inseyets. Até lá deve ficar melhor.
Veiii nem fala hahaha
Talvez seja uma versão beta. Ou alguma build não suportada ainda.
No GrayKey eles possuem uma tabela bem mais explicativa de todas as builds e quais são suportadas.
No premium fica mais genérico. Então você acaba não sabendo quais são suportadas e quais não são.
No premium fica mais genérico. Então você acaba não sabendo quais são suportadas e quais não são.
A apreensão foi em 25/6. Vou ver se já tinha um beta do 18.1 nessa época
Greykey parece que o produto é mais caprichado. Até agora não ouvi de ter versões que param de fazer o que já faziam.
Para apple é muito bom mesmo.
Android é bem mais fraco.
Android é bem mais fraco.
Iphone 12 já faz BF no graykey
E já está entrando o 13
Sim. Android eles ficam atrás do ufed
Erro meu. É um a2172, iphone 12. Premium não faz bfu mesmo.
Moto e13, chipset unisoc ums9230. Agora o Premium quebrou. É de lua kkkk E foi no flow normal
Origem 075 — 30/12/2024 11:32 a 11:33 — Extração e análise de dados em iPhone/iOS
https://macmagazine.com.br/post/2024/11/14/iphones-agora-reiniciam-se-sozinhos-apos-apenas-3-dias-de-inatividade/
Novos desafios. Levando em consideração o cenário atual vai ter muito iphone com reset de fábrica.
Origem 076 — 22/01/2025 09:08 a 09:33 — Extração e acesso a dados em iPhone 12 Pro
Bom dia! Estamos usando o Guardian desde maio do ano passado aqui no AM
Pessoal, bom dia. Estou começando a me entender aqui com o IPED. Pelo que vi é possível importar uma lista de palavras-chave para se fazer busca no conteúdo processado. Correto?
Fui em OPÇÕES >> IMPORTAR LISTA DE PALAVRAS-CHAVE
Fui em OPÇÕES >> IMPORTAR LISTA DE PALAVRAS-CHAVE
como é o formato aceito? uma por linha? separado por ; ?
tenho uma lista separada por ponto e vírgula aqui, mas deu erro de sintaxe na importação
Situação semelhante aqui. No Inseyets diz que o dispositivo não é suportado: The device iPhone 12 Pro is running iOS build 20G5047d, which is not the official build of iOS version 16.6. Therefore the device is not supported.
UFED extrai, mas não traz o WA Business.
Alguém já passou por situação semelhante e tem alguma sugestão?
Origem 077 — 28/01/2025 08:47 a 09:02 — Root e extração em dispositivo Positivo
Pessoal, estou pra examinar um Macbook (pela primeira vez na vida), modelo A1534. Pelo site é um Retina 12" de 2017. Estou com algumas dúvidas, se puderem me ajudar...
Veio sem carregador. Pelo que vi tem que ser um de pelo menos 35W. Correto?
O SSD dele é onboard? Entendi que sim.
Já abriu o dispositivo?
Tem uma versão de linux mais indicada
Aqui no grupo já teve essa solução
Pra ver se está com senha de bloqueio, vocês chegam a iniciar ele?
Ou constatam pelo boot na [NOME], por exemplo?
Ou constatam pelo boot na [NOME], por exemplo?
Já recebi mac ligado no saco de evidências lacrado
Então acredito que isso não seja problema
Origem 078 — 13/02/2025 07:55 a 10:48 — Extração e acesso a dados em RMX3830
Talvez no UFED normal sem ser premium vc consiga a física desse
Cancelei e reiniciei o locked flow. Deu certo 🙏🏻
Bom dia, colegas.
Estou com um REALME C51 RMX3830 bloqueado por PIN.
Premium penúltimas e últimas versões sem sucesso. Mesmo entrando no pós-método4 através do recovery, o Premium identifica vulnerabilidade, instala agente Cellebrite, porém supostamente "morre de timeout" tentando contactar o agente instalado.
Estou em busca de alguma dica ou "mandinga" forense com o Premium ou ferramentas não-pagas. <Mensagem editada>
Estou com um REALME C51 RMX3830 bloqueado por PIN.
Premium penúltimas e últimas versões sem sucesso. Mesmo entrando no pós-método4 através do recovery, o Premium identifica vulnerabilidade, instala agente Cellebrite, porém supostamente "morre de timeout" tentando contactar o agente instalado.
Estou em busca de alguma dica ou "mandinga" forense com o Premium ou ferramentas não-pagas. <Mensagem editada>
Vejo isso acontecendo em alguns casos do Premium quando está já no fim da invasão. As vezes eu desconecto "na tora "e plugo novamente antes de dar o timeout e dá certo, não lembro se pra esse modelo já aconteceu isso
iPhone XR foi o último que fiz e aconteceu isso, se eu deixasse até o fim falhava de timeout. Mas era invasão de ios ne, outro esquema
Também tive sucesso fazendo isso com iPhone XR
<Mídia oculta>
Nessa hora dá 👎. Se tirar e por o cabo dá 👎
Nessa hora dá 👎. Se tirar e por o cabo dá 👎
Tinha a impressão que essa de tirar e pôr de novo o cabo acontecia numa versão mais antiga, não lembro de ter acontecido mais recentemente.
Achei que tinham arrumado <Mensagem editada>
<Mídia oculta>
Progresso!
Tirei e coloquei o cabl varias vezes até dar erro. Interagi com o menu do recovery e parece que o agente acordou.
Progresso!
Tirei e coloquei o cabl varias vezes até dar erro. Interagi com o menu do recovery e parece que o agente acordou.
Às vezes o que a gente faz de errado está certo 😎
IMG-20250213-WA0003.jpg (arquivo anexado)
Pessoal, já viram isso? Falha na geração do dicionário para BF?
Pessoal, já viram isso? Falha na geração do dicionário para BF?
Era um dicionário personalizado ou um default mesmo?
Padrão da cellebrite
Vou reiniciar o processo
já vi, tentei de novo e funcionou normal
Vou tentar agora novamente. Tentei umas trocentas vezes e nada. Rsrs
<Mídia oculta>
Redmi prime 10 de 2022 o caso e tá sempre assim sem ir, deve ser a versão do Premium mesmo
Redmi prime 10 de 2022 o caso e tá sempre assim sem ir, deve ser a versão do Premium mesmo
Origem 079 — 14/02/2025 07:32 a 08:19 — Extração e acesso a dados em iPhone 15
Bom dia, amigos. Há alguma forma de exportar conversa de Instagram aberto no computador?
Sabendo login e senha [SEGREDO] usar o UFED cloud para isso?
Pessoal, algum macete especial para conseguir colocar iPhone 15 no modo diagnóstico?
isso ativa fingindo que vai desligar
Alguém aqui trabalha com a ferramenta forense PC-3000 mobile da ACELab
Bom dia. Vamos receber hoje aqui.
Pessoal estava falando que tem que ter o carregador original.
Origem 080 — 20/02/2025 09:45 a 13:37 — Extração e limitações em Motorola iPhone 15 pro Max
<Mídia oculta>
Bom dia. iPhone 15 pro Max em AFU, com aquele adaptador novo daria certo?
Bom dia. iPhone 15 pro Max em AFU, com aquele adaptador novo daria certo?
Deu certo no pro Max?
Tem que estar quente 🔥
👍🏻 Está quente, foi de uma operação hoje. Mas não temos o adaptador ainda
O aviso de erro é como se não fosse suportado atualmente, será a versão do ios?
Mantenha quente 🔥 ligado no Power bank ou carregador com cabo.
Questão é que se estiver com ios >=18.2 só durará 3 dias em AFU. Se o caso é importante, a sugestão é ver se alguém próximo tem o adaptador ou a PF próxima tem o graykey <Mensagem editada>
<Mídia oculta>
Do mesmo alvo, também tá quente. Esse é um iPhone 14 pro max
Do mesmo alvo, também tá quente. Esse é um iPhone 14 pro max
Que não é tipo C, e não tá indo, também precisa de algum adaptador?
Está na última versão do premium?
Basta atualizar o seu UFED Premium para a última versão
Pessoal testando aqui o Magnet Graykey está top
Consegui desbloquear alguns Motorolas que não fazia no Premium
E ainda tem o mesmo adaptador da vulnerabilidade de indução para os iphones 15 e 16
Que é o mais recente, n?
posso estar enganado, mas a 7.73 vai até o 18.3
mas não tem opção aqui pra ir pra 7.73, só inseyets 10.5
nossa, então não tá atualizando aqui
vou verificar isso agora!
STK-20220531-WA0012.webp (arquivo anexado)
o problema é q não aparece opção pra atualizar eheh
Verifica no portal
Foi um caso de uma senha tipo Padrão "desenho"
Mesmo utilizando a força de processamento do celular
Coisa que na pc3000 não precisa
Pq a ferramenta utiliza o poder de processamento do PC
Desinstala tudo com o revo uninstall, reinicie a máquina, logo em seguida reinstale todo seu insyghts.
Acredito que vai dar certo
https://www.revouninstaller.com/br/revo-uninstaller-free-download/
Obrigado, resolveu! Antes havíamos instalado por cima e não tinha dado certo...
Mas o erro no iPhone 14 pro Max é o mesmo no 7.73
Experiência em fazer de 4 a 6 celulares por dia hahaha
Então ele está cold
Ou a versão do firmware é muito recente
E o Premium não faz
Origem 081 — 20/02/2025 15:18 a 18:58 — Extração e acesso a dados em iPhone 14
Boa tarde. Esse pergunta serve também para os colegas dos demais estados. Como funciona o fluxo? O perito faz a coleta e leva pra base ou o delegado faz a apreensão e envia em tempo hábil para a pericia? Aqui no Ceara, exceto por autorização da vitima ou da família, precisa decisão de quebra de dados telemáticos.
👍🏻 massa. Tô num azar danado
Deve ser a versão do ios
Esse é 17.5, acho que o q tá aqui é 18
Tá fazendo a extração agora
Daqui a pouco eu tento de novo 👍🏻
Aqui no Pará varia muito essa situação
aqui no RS o delegado envia Ofício e cópia da autorização judicial
só vem direto pra cá se for arrecadado por Perito Criminal em mandado de busca/apreensão (que obviamente já possui autorização judicial)
só vem direto pra cá se for arrecadado por Perito Criminal em mandado de busca/apreensão (que obviamente já possui autorização judicial)
Você ainda está com a ferramenta da cellebrite?
Esse é um iPhone 14, não tem carregamento por indução
A ferramenta que está usando é o insites. Será que funciona no premium?
<Mídia oculta>
Device not supported (iOS build 22D72) error code bi-8bre
Device not supported (iOS build 22D72) error code bi-8bre
iPhone 14 pro max
<Mídia oculta>
iPhone 15 pro Max quente, também dizendo que não dá suporte e pedindo para aguardar update
iPhone 15 pro Max quente, também dizendo que não dá suporte e pedindo para aguardar update
Não temos instaladores pro Premium, e precisaria de um EVS também, né isso?
Artur, pra iPhone 15 quente, tem a ferramenta para extração pôr indução.
Em ambos está dando erros no nosso "Premium" inseyets
isso é por causa do adapter novo
isso é porque está no ios 18.3.1, que não tem suporte ainda
👍🏻 em AFU vai reiniciar em 72h mesmo?
possivelmente o graykey deve ter suporte. Eles são mais rápidos que a cellebrite
Alguma forma de botar em modo avião o 15 pro Max?
Artur o 15 pro max precisa do adaptador de carregador de indução amigo
Coloque dentro da sacola Faraday
Rasgue uma pontinha dela
Só pra enfiar o cabo
Pode enrolar em papel alumínio que também funciona
Se furar não será mais uma gaiola de faraday
É só dobrar
embalagem de faraday + powerbank
O furo tem que ser do tamanho do cabo
Enquanto não pegar 5G funciona com jammer
Origem 082 — 21/02/2025 07:57 a 08:40 — Extração e acesso a dados em iPhone 14 Pro Max
Prezado Artur, bom dia.
Obrigado por entrar em contato com o suporte da Cellebrite.
O iPhone 14 Pro Max com a build 22D72 é referente a versão de iOS 18.3.1, não é suportado no momento via fluxo AFU na versão mais recente do Inseyets UFED. O suporte AFU na versão mais recente é até a versão de iOS 18.3.
Por favor me informe se há algo mais em que eu possa ajudá-lo com este caso.
Best Regards,
Wesley Domae | CCO, CCPA, CCPO, CBFI, CPET, CASA, CCME
Technical Lead | Technical Support LATAM
[TELEFONE] | URL. www.cellebrite.com | Email. [EMAIL]
Obrigado por entrar em contato com o suporte da Cellebrite.
O iPhone 14 Pro Max com a build 22D72 é referente a versão de iOS 18.3.1, não é suportado no momento via fluxo AFU na versão mais recente do Inseyets UFED. O suporte AFU na versão mais recente é até a versão de iOS 18.3.
Por favor me informe se há algo mais em que eu possa ajudá-lo com este caso.
Best Regards,
Wesley Domae | CCO, CCPA, CCPO, CBFI, CPET, CASA, CCME
Technical Lead | Technical Support LATAM
[TELEFONE] | URL. www.cellebrite.com | Email. [EMAIL]
Exatamente, [NOME]
Então mesma situação com o iPhone 15 se estiver 18.3.1
Ou o adaptador consegue invadir mesmo na 18.3.1?
Caramba, foi quase. Por um '1'zin na versão do iOS :D <Mensagem editada>
Origem 083 — 06/03/2025 12:12 a 12:57 — Extração e análise de dados em iPhone/iOS
Bom dia estou com a seguinte situação:
o quesito quer saber se o iphone já foi usado alguma vez, atualmente ele está na tela de boas vindas, como saber se ele foi redefinido ou realmente é a primeira vez de uso?
o quesito quer saber se o iphone já foi usado alguma vez, atualmente ele está na tela de boas vindas, como saber se ele foi redefinido ou realmente é a primeira vez de uso?
Procura pelo ".obliterated"
E de uma olhada aqui: https://cellebrite.com/en/upgrade-from-null-detecting-ios-wipe-artifacts/
Infelizmente estamos sem o cellebrite o que temos está muito defasado. Achava que havia uma forma simples de ser verificado mas não encontrei nada nas pesquisas
Uma forma lowcost é pegar o imei e pedir para operadoras se tem registro dele em alguma rede.
Outra é perguntar para apple tb.
Outra é perguntar para apple tb.
Outra forma low cost de estimar é pelo número serial da Apple
Em modo diagnóstico deve aparecer, daí dá pra puxar no site da Apple quando foi comprado, garantia, etc
Origem 084 — 21/03/2025 14:33 a 14:33 — Extração e acesso a dados em iPhone 7 plus
<Mídia oculta>
Estou com um iPhone 7 plus com senha sabida, o Premium instalou o agente no modo DFU, passou duas horas em "Tearing down", e já faz mais de 3 horas na etapa "connecting tô Cellebrite agent"
Estou com um iPhone 7 plus com senha sabida, o Premium instalou o agente no modo DFU, passou duas horas em "Tearing down", e já faz mais de 3 horas na etapa "connecting tô Cellebrite agent"
Daqui a pouco a bateria descarrega... É normal esse comportamento com iPhone 7?
Origem 085 — 25/03/2025 10:25 a 10:43 — Extração e acesso a dados em iPhone 16 Pro Max
Bom dia. Conseguiram resolver esse problema reinstalando o UFED?
Aqui quando vou reinstalar tá dando tela azul
Tentei instalar só o UFED 4PC e também o UFED Inseyets
E foi após a atualização do windows
dia pessoal! Estamos com um IPhone 16 Pro Max, iOS 18.3.2, cedido voluntariamente pela vítima e ao tentar fazer a extração, tanto no Premium quanto no XRY, ambos acusam não possuírem suporte ao dispositivo.. aparelho desbloqueado. Quais alternativas poderiam ser utilizadas? grato! <Mensagem editada>
Ainda não tem suporte para 18.3.2
Acho que o IOS 18.3.2 foi lançado semana passada. Talvez não tenha suporte ainda
Pelo menos até domingo não tinha saído versão nova.
Ai no caso seria aguardar suporte.
Provavel que em até 1 mês já devem liberar.
o iTunes reconhece?
Acho que iTunes precisa daquele face id
Pelo menos os últimos 18.3 que fizemos exigia o face id para poder fazer extração via iTunes.
Mas é uma função que o próprio usuário habilita. Então talvez não tenha nesse. Teria que testar.
Se conseguir fazer a lógica via UFED, deve dar boa.
Se conseguir fazer a lógica via UFED, deve dar boa.
Origem 086 — 26/03/2025 17:14 a 19:07 — Extração e acesso a dados em iPhone 16
Aguém já conseguiu fazer o iPhone 16 quente no Premium?
IMG-20250326-WA0061.jpg (arquivo anexado)
Boa tarde. Sim, mas nesse seu aí precisa do adaptador.
Opa, vou deixar na tomada entao, o adaptador está a caminho!
E torcer para não estar no iOS 18 e perder o AFU 🥲
Origem 087 — 15/04/2025 11:01 a 11:01 — Extração e acesso a dados em iPhone 15 pro max
Bom dia! Esse procedimento de atualizar firmware para sair do modo "iphone Inativo" mantendo os dados pessoais dá certo em iphone 15 pro max?
Origem 088 — 17/04/2025 18:16 a 18:28 — Extração e acesso a dados em iPhone 15 Plus
Pessoal acabei de fazer um bypass aqui do iPhone 15 Plus na versão 18.3.2
Utilizando o adaptador por indução
Faltando menos de 10h para o reboot forçado 👏🏼
Origem 089 — 25/04/2025 16:29 a 17:27 — Extração e acesso a dados em iPhone 14
Pessoal, aqui tivemos um pouco de dificuldade em realizar a extração de iPhones com iOS 18.3.2, cuja senha [SEGREDO], mas que estavam com Anti-Roubo. Alguém passou pelo mesmo problema? hj conseguimos extrair um celular, na versão mais recente do Premium.
Aqui tbm não consegui extrair um iPhone 14 com iOS 18.3.1. Senha conhecida.
Ao atualizar você conseguiu fazer? <Mensagem editada>
Ao atualizar você conseguiu fazer? <Mensagem editada>
Alguma outra dica?
só atualizar e insistir
Aqui conseguimos FFS pelo Premium senha conhecida mesmo com antirroubo ativado, mas creio que tenha sido com a versão 18.3.1. Já Advanced Logical sem ser premium o antirroubo impedia.
Origem 090 — 16/05/2025 08:30 a 08:41 — Compatibilidade e extração em dispositivos Samsung Galaxy
Bom dia, alguém conseguiu fazer o preserved extraction no ios 18.4.1?
e o Samsung A165M tbm, alguém está conseguindo? valeu
Origem 091 — 30/05/2025 13:48 a 13:48 — Extração e análise de dados em iPhone/iOS
Fiz agora um 12 Pro Max. Ios 18.3.1. Inseyets 10.5.0.368. Protecao de roubo desativada.
Origem 092 — 10/06/2025 09:28 a 11:59 — Extração e acesso a dados em iPhone 12
Verificou se há sinais de abertura do aparelho? Já fizemos vários pinpads e terminais contendo circuitos eletrônicos (chupa-cabra) que capturam as senhas digitadas e os dados dos cartões. Isso acontecia com frequência na época da tarja magnética, mas já tivemos alguns casos em que havia fios nos terminais de leitura do chip também. Com a popularização da utilização dos chips, quase não recebemos mais casos de aldulterações de terminais.
Sim, verifiquei aqui e aparentemente todos os lacres do aparelho intactos
Se eles estiverem baseando em um protocolo padrão, eu recomendaria testar com uma API de XFS para ver se não consegue conectar nesse dispositivo. Eu trabalhei alguns meses numa equipe que fazia automação de ATMs, uns 8 anos atrás, e eles trabalhavam todos os dispositivos de interfaces usando esse protocolo.
Muito obrigado, vou pesquisar aqui e tentar isso
Bom dia. Alguém já teve problema na extração de iPhone com o Premium devido a essa proteção de dispositivo roubado ativada?
No caso é um iPhone 12 com iOS 18.5
Não consegui fazer nada. Porém, teve um iPhone 13, salvo engano, que consegui fazer lógica avançada pelo UFED.
Pelo que vi ele bloqueia a conexão com o PC. Não permite aquela confirmação de “confiar” por isso nem cogitei o 4PC. Vou tentar lá. Obrigado.🙏
Ontem eu fiz um 14 Pro Max, fez no premium, estava desbloqueado. Eu não precisei clicar em confiar. estava com o IOS 18.4
Acho q foi essa versão que consegui no UFED
Pois é. Só dá pra Face ID. Impede o PIN.
<Mídia oculta>
Falava na tentativa pelo 4PC
Falava na tentativa pelo 4PC
4PC não vai conseguir fazer pq não tem como confiar
só desabilitando, aí tem que ir na casa 😅
Eu fiz no Inseyets
IOS->Desbloqueado
Origem 093 — 13/06/2025 15:09 a 16:05 — Extração e acesso a dados em iPhone 15
Boa tarde. iPhone 15 em AFU tem alguma “magia” para usar o acessório de indução ou é ruim mesmo?
Se ele estiver como AFU mesmo
Só tá dando erro aqui
qual o ios?
locked AFU parece q só até 18.3
por sinal o que significa (4) na tabela?
(4) Se houver alinhamento planetário no momento da extração. 😁
Verdade, estava olhando a tabela unlocked. Deve ser iOS mais atual mesmo. Obrigado
Origem 094 — 24/06/2025 18:27 a 18:27 — Extração e bloqueios em Xiaomi/Redmi/POCO
Boa noite.
Alguém ja teve sucesso na remoção/desativacao daquela senha de bloqueio de app nativo xiaomi?
Alguém ja teve sucesso na remoção/desativacao daquela senha de bloqueio de app nativo xiaomi?
Origem 095 — 04/08/2025 18:27 a 18:38 — Extração e análise de dados em iPhone/iOS
Pessoal, boa noite! Estou com alguns quesitos para um iPhone do tipo "se há registros de restauração de backup", sobre instalação de aplicativos, "se houve sincronização com outros dispositivos Apple"... Alguém poderia me ajudar? Sabem se é possível fazer essas análises via log de sistema e, em caso afirmativo, como consigo acessar esses logs... Não consegui encontrar nos dados disponíveis em "Sistemas e logs" no PA.
Talvez pelos logs do sysdiagnose
Vou dar uma olhada! Muito obrigada, [MENCAO] !!
👍🏻 antes de extrair tem que apertar uma sequência de botões para o aparelho gerar um tar com os logs, nesse site creio que explica como
Origem 096 — 18/08/2025 17:02 a 17:32 — Extração e análise de dados em iPhone/iOS
Agora iOS vai carregar o ano de lançamento. Por isso este ano será 26.
ahhhhhhhhhhhhhhhhhhhh
cheia de falhas, e UFED não pega
nem o premium
Origem 097 — 04/09/2025 17:00 a 19:58 — Extração e compatibilidade em Samsung SM-J400M
Pessoal, algum registro de sucesso no desbloqueio de um SM-J400M com SPL 01/05/2022?
Tenho aqui comigo o UFED 4PC, o Inseyets sem crédito para desbloqueio e o XRY.
Tenho aqui comigo o UFED 4PC, o Inseyets sem crédito para desbloqueio e o XRY.
Pessoal, alguém disse que na Extração BFU do iPhone tem um arquivo que o pedaço dele é a senha do iPhone
Alguém sabe dizer qual é
Boa tarde pessoal. Algumas pessoas reutilizam a senha do aparelho em aplicativos do aparelho que acabam saindo nas extrações BFU
Uma delas está no iPhone password - com.apple.springboard (Serviço >> GuidedAccess >> guidedaccess)
O GuidedAccess fica nos ajustes>>acessibilidade>>Acesso guiado. Já peguei uns cinco aparelhos com a mesma senha do desbloqueio
Isso não é regra, mas ajuda muito
Outra dica é para alfanumérico. Depois de pegar alguns aparelhos IOS/Android com alfanumérico e a senha junto, comecei a perceber um padrão de uso de um caractere alfa e de 3 a 6 numéricos. Fiz alguns dicionários e comecei a utilizar. Já desbloqueamos vários assim
<Mídia oculta>
alfanum.zip
alfanum.zip
Extrai em um gray key que esta em POC na PJC aqui
Uma BFU
Esse, se nao tiver secure startup, vc deve conseguir a fisica no inseyets sem precisar da senha.
Opa valeeeeu
Vou tentar amanhã
Vou tentar amanhã
Artefatos *Senhas* no PA ou no arquivo de passwords do GreyKey
Nele consegue até sem os créditos de senhas.
Pq vai estar em "AFU direto", pois é um FDE.
Mas nao pode ter secure startup. Pq ai vai obrigar o BF.
Mas nao pode ter secure startup. Pq ai vai obrigar o BF.
Origem 098 — 08/09/2025 12:35 a 12:45 — Extração e análise de mensagens do WhatsApp
Boa tarde!
Exato!
Por isso gostaria de saber se o print no WhatsApp vai para um caminho específico no Android e no iOS!
Exato!
Por isso gostaria de saber se o print no WhatsApp vai para um caminho específico no Android e no iOS!
Exato!
Essa é a minha dúvida
Essa é a minha dúvida
Quando é feito print todos vão para mesmo pasta, independentemente de aplicativo a qual a tela foi capturada
Origem 099 — 19/09/2025 18:57 a 18:59 — Extração e análise de dados em iPhone/iOS
Pessoal, GrayKey faz iOS 18.6.2?
Faz até iOS 26
Origem 100 — 25/09/2025 11:25 a 11:25 — Extração e acesso a dados em iPhone 7
Sobre dúvida, hoje tentei um iPhone 7, com iOS 15, e também não deu opção do BF, o que tem em comum é que todos eles estão com "acessórios" destivado. É isso mesmo, o premium não está fazendo BF quando acessórios está desativado ?
Origem 101 — 09/10/2025 06:49 a 06:49 — Extração e acesso a dados em iPhone 12
Bom dia.
Para quem tem o Inseyets UFED (premium), foi liberado versão beta no 7.74.402 em que há BF para iPhone 12, iOS 16.0 até 16.6.1
Para quem tem o Inseyets UFED (premium), foi liberado versão beta no 7.74.402 em que há BF para iPhone 12, iOS 16.0 até 16.6.1
Origem 102 — 10/10/2025 11:55 a 11:58 — Extração e análise de dados em iPhone/iOS
IMG-20251010-WA0016.jpg (arquivo anexado)
VID-20251010-WA0017.mp4 (arquivo anexado)
Senhores, bom dia, a galera que tem o Graykey consegue responder se essa versão de iPhone/iOS é contemplada em AFU, por favor ??
Até o último update não teve suporte para 26.1
Origem 103 — 24/10/2025 13:02 a 13:21 — Extração e análise de mensagens do WhatsApp
Esse teu celular está com o horário automatico?
Normalmente o do WA é o correto, pois ele faz conexão com a rede para gravar os timestamps.
Tava no automático. Foi mexido para ter acesso às msgs no aplicativo.
No caso, a base do WhatsApp é q seria a correta.
Mas nesse caso aí teria que ver pq tem esse horários diferentes.
Eu já vi isso quando nao esta auto.
Eu já vi isso quando nao esta auto.
https://www.instagram.com/reel/DQE2rN6Df83/?igsh=MWpuOXE0bjN0eG1heg==
Deve ser pq foram registrados por dois apps diferentes
O zap e o do iOS , cada um talvez registre de forma um pouco diferente uma mesma chamada
Exato. Faz sentido
A questão é o q colocar no laudo 🤦♂️🤣🤣🤣
Aí talvez seja mais interessante levar em consideração a própria base do WA, como mencionou o [MENCAO]
Veja se há outros registros nessa linha.
Por exemplo as midias do WA.
Se tem essa diferença tbm dos segundos.
Por exemplo as midias do WA.
Se tem essa diferença tbm dos segundos.
Origem 104 — 29/12/2025 13:06 a 16:38 — Desbloqueio operacional de aparelho com PayJoy/MDM
https://www.camara.leg.br/enquetes/2598973
Bom dia pessoal
Peço a todos que votem *"concordo totalmente"*.
Peçam os votos de familiares e amigos.
Essa votação é muito importante para o trâmite da PEC 76/2019 na [NOME] dos Deputados.
Peço a todos que votem *"concordo totalmente"*.
Peçam os votos de familiares e amigos.
Essa votação é muito importante para o trâmite da PEC 76/2019 na [NOME] dos Deputados.
Além de votar, se possível, comentar e curtir os comentários posivitos que falarem em favor da PEC.
Até agora pela manhã temos 79 Pontos Positivos e 168 Pontos Negativos.
A maioria dos negativos são Papis reclamando de não estarem na PEC.
Até agora pela manhã temos 79 Pontos Positivos e 168 Pontos Negativos.
A maioria dos negativos são Papis reclamando de não estarem na PEC.
https://www.metropoles.com/colunas/andreza-matais/celular-de-vorcaro-tem-seguranca-pesada-banqueiro-nao-deu-senha-a-pf iPhone 17 Pró Max
Vala! Ja entrou em BFU faz tempo
Nem o Graykey faz
sim, e vai explicar isso pra mídia
pq aí vem o debate político achando que tão protegendo o cara
pq aí vem o debate político achando que tão protegendo o cara
<Mídia oculta>
Laudos do MP.docx
Laudos do MP.docx
Se o iPhone tem o MDM ativo, mesmo se tivesse suporte na época para AFU, nao da boa. Perdemos 2 num caso. O exploiit foi ate o final e ai deu ruim com esse aviso.
<Mídia oculta>
Ministério Público e Provas Digitais.docx
Ministério Público e Provas Digitais.docx
Desconfio que provavelmente com iOS 26.1* e ainda ativado a proteção avançada da Apple com criptografia p2p no iCLoud:
https://support.apple.com/pt-br/108756 <Mensagem editada>
https://support.apple.com/pt-br/108756 <Mensagem editada>
Origem 105 — 06/01/2026 11:39 a 13:07 — Extração e análise de dados em iPhone/iOS
Pessoal, iPhone XR desbloqueado, iOS 18.7.2, não faz no Inseyets msm?
Na última versão - 7.76.1 - era para fazer <Mensagem editada>
Esse IOS 18.7 está cheio de surpresas 😭
<Mídia oculta>
Android Support Matrix 7.76.2.pdf
Android Support Matrix 7.76.2.pdf
<Mídia oculta>
iOS Support Matrix 7.76.2.pdf
iOS Support Matrix 7.76.2.pdf
<Mídia oculta>
A versão mais recente que menciona é a 18.7.1, como o colega acima citou. E nela se consegue o FFS, com ele desbloqueado
A versão mais recente que menciona é a 18.7.1, como o colega acima citou. E nela se consegue o FFS, com ele desbloqueado
Origem 106 — 14/01/2026 16:50 a 16:52 — Extração e análise de dados em iPhone/iOS
<Mídia oculta>
iphone XR desbloqueado nao ta fazendo. alguem ja pegou esse erro?
iphone XR desbloqueado nao ta fazendo. alguem ja pegou esse erro?
iOS 18.6 build 22G5064d is the official Beta 2 release of iOS 18.6
Problema é que o cellebrite não dá suporte a versões beta
Estamos com um 26 beta tbm na bancada
Origem 107 — 05/02/2026 08:17 a 08:55 — Extração e compatibilidade em Samsung SM-A155M
Bom dia, pessoal. Estou com os dados fornecidos pela Apple de algumas contas. Quando vou gerar o relatório, ele identifica várias contas e alguns "blendeds". Eu imaginei que seriam contas da mesma pessoa unificadas. Só que não parece fazer sentido. Acham que é melhor fazer 6 relatórios ou dá para simplificar?
ID A
ID B
ID C
Blended 1 = A + B
Blended 2 = ? (é da pessoa C, mas não aparece nos IDs)
Blended 3 = C
ID B
ID C
Blended 1 = A + B
Blended 2 = ? (é da pessoa C, mas não aparece nos IDs)
Blended 3 = C
Ou entendi errado?
Geralmente pode identificar pelo ID que tem um blended icloud (dados da icloud como e-mails, icloud photos, icloud drive, etc) e eventualmente algum backup de aparelho Apple.
Me parece que cada conta aí tem um backup (e apesar de aparecer o backup, ele pode tbm estar vazio, só conferir o tamanho do zip/gpg que tem o nome de backup)
<Mídia oculta>
bom dia pessoal... alguma mantinga no UFED para os casos (como esse SM-A155M) em que as iterações seguem até 100/100 mesmo reativando o PERMENECER ATIVO... até acabarem as tentativas? alguém conseguiu progredir?
bom dia pessoal... alguma mantinga no UFED para os casos (como esse SM-A155M) em que as iterações seguem até 100/100 mesmo reativando o PERMENECER ATIVO... até acabarem as tentativas? alguém conseguiu progredir?
Dentro do production tem a planilha e os htmls com os arquivos de cada conta
Corrigindo. Me parece que 2 primeiros são backups do ID 1820342 e o terceiro é um backup do ID 2221322
Eu estou olhando essas planilhas aqui. Vou estudar o que pode ser. Obrigado pela ajuda aí.
Escrevi errado anteriormente. Mas agora entendi mais ou menos o que é:
ID A - Aparelho 1
ID A - Aparelho 2
ID B - Aparelho 3
Blended 1 = ID A, Aparelhos 1 + 2
Blended 2 = ID C, Sem aparelho
Blended 3 = ID B, Aparelho 3
ID A - Aparelho 1
ID A - Aparelho 2
ID B - Aparelho 3
Blended 1 = ID A, Aparelhos 1 + 2
Blended 2 = ID C, Sem aparelho
Blended 3 = ID B, Aparelho 3
Só que o blended não é a mistura dos backups dos aparelhos, são os dados que ficam na conta icloud (contatos, bookmarks, emails, drive, photos, etc) <Mensagem editada>
Origem 108 — 11/02/2026 13:19 a 13:34 — Extração e acesso a dados em iPhone 16
Boa tarde pessoal Grey key está conseguindo fazer iphone 16 com iOS 26.2?
Se tiver a senha, sim
Origem 109 — 27/02/2026 08:51 a 10:26 — Extração e acesso a dados em iPhone 13 Pro
Meu abraço fraterno a todos os colegas que trabalham com isso. Realmente, muitas vezes chega a doer no corpo depois de uma sequência de exames.
bom dia, como está o suporte do iPhone 13 Pro em AFU no Premium?
Até ios 18.3
<Mídia oculta>
Colega ta em andamento dessa extração. Versão do UFED 10.8.0.322
Colega ta em andamento dessa extração. Versão do UFED 10.8.0.322
excelente! tenho dois 13 Pro e um 12 Pro aqui pra extrair aqui
Origem 110 — 12/03/2026 15:06 a 17:36 — Bootloader, desbloqueio OEM e risco de wipe
boa tarde, grey key tá fazendo iphone em BFU até que versão?
https://x.com/eddieoz/status/2031813408866070814?s=20
https://www.ledger.com/blog-is-your-smartphones-hardware-safe
Depende do iOS.
Eles faz de todos, mas tem limite de iOS
Para descobrir a versão do seu, consegue no modo diagnóstico
Parece que o cara usou um fault_injection no bootloader
Boa tarde! Sobre aquele C20 de ontem:
<Mídia oculta>
Testpoint, podendo manter a bateria plugada
Testpoint, podendo manter a bateria plugada
👍🏻 deu certo no inseyets
Origem 111 — 13/03/2026 08:36 a 09:41 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Bom dia, estou tentando uma extração no iPhone 11, pelo Inseyets UFED e está aparecendo essa mensagem, alguma dica?
Bom dia, estou tentando uma extração no iPhone 11, pelo Inseyets UFED e está aparecendo essa mensagem, alguma dica?
Ta parecendo que a versão do iOS em que esta esse iPhone, não é suportável pelo insights
Seu insights está atualizado?
Está na versão 10.8.0.322
Tá parecendo que é uma versão Beta no aparelho.
Se for celular de vítima, talvez arriscaria atualizar o iOS de forma a conseguir a extração
Tá desbloqueado? Acho que uma lógica avançada vai
Acho que ja está atualizado <Mensagem editada>
Ah, acima do 26 oficial?
<Mídia oculta>
A versão instalada no iPhone👆🏻
A versão instalada no iPhone👆🏻
Ta marcando ai 26.2
Verifica se esta marcado o modo antifurto
Acho que é bem isso
Tem 26.3 já , não sei se pro 11
É versão BETA, o inseyets não vai fazer.
Talvez pelo 3utools vc consiga atualizar sem botar internet
Mas tem seus riscos
<Mídia oculta>
A proteção de dispositivo roubado está desativado
A proteção de dispositivo roubado está desativado
Bom dia pessoal. Isso é informação oficial da Cellebrite. Não oferece suporte para versões Beta. Somente o GreyKey oferece este suporte.
Então só sobrou essa dica
Se Não tiver outra alternativa, usa o Libimobiledevice para fazer um backup, ou ainda o UFADE. Pelo menos WhatsApp vc terá
Entre outros tantos dados
Lógica avançada normal será que vai?
O [NOME] faz completo
Só perde sistema em profundidade
Utilizo muito ele aqui
Outra opção bem viável
Só precisa estar com o iTunes atualizado
Ta chegando a versão paga hein galera
Três caminhos: lógica avançada ou atualizar esse iOS pelo 3utools ou arriscar botar internet e atualizar <Mensagem editada>
Serei o garoto propaganda haha
O libemobiledevice não depende de softwares de terceiros e é open source
Eu baixei o ufade <Mensagem editada>
A lógica avançada é pior ou melhor que essas ferramentas?
https://libimobiledevice.org/
https://github.com/libimobiledevice-win32/imobiledevice-net
https://github.com/libimobiledevice-win32/imobiledevice-net
Cara pra iPhone eu prefiro a lógica avançada
Outra boa opção
https://github.com/prosch88/UFADE
https://github.com/prosch88/UFADE
Utiliza o pymobiledevice3 (https://github.com/doronz88/pymobiledevice3) e o iOSbackup (https://github.com/avibrazil/iOSbackup)
Ja tá no radar do meu desktop
<Mídia oculta>
Bom dia, atualizamos o Inseyets UFED, mas a mensagem voltou a aparecer.
Bom dia, atualizamos o Inseyets UFED, mas a mensagem voltou a aparecer.
O telefone tá com uma versão Beta do ios, precisaria colocar, no telefone, alguma versão de ios oficial, se quiser fazer no Inseyets.
Faz uma lógica avançada no modo ufed normal, muitas vezes é uma boa extração
Sim, aconteceu comigo recente, exatamente isso daí. Estava com uma versão beta. Fiz a lógica avançada no modo ufed e trouxe mídias e WhatsApp. Um caso de tráfico, atendeu para me caso.
Origem 112 — 25/03/2026 16:53 a 18:44 — Extração e acesso a dados em iPhone 17 Pro Max
Boa tarde! Essa opção de proteção de roubo do iphone, se for até a casa da pessoa pra tentar desativar, mesmo assim vai pedir face id?
o ideal é fazer logo na busca e apreensão se o Perito estiver presente
Uma hora depois de solicitar o desligamento. Aperta para desligar e espera 1h para pegar a biometria do proprietário
pessoa falecida uns dias já
se for iphone até o 14 já consegue fazer via modo bloqueado no premium
😅 iPhone 17 Pro Max de pessoa falecida há 5 dias
<Mídia oculta>
Chegando em casa faço o teste
Chegando em casa faço o teste
Se estiver na configuração de "sempre", nem em casa vai conseguir. nesse caso melhor esperar a prox atualização. se for só em locais conhecidos, deveria dar pra remover só com a senha.
👍🏻 tá Longe de Locais Familiares, não vai pedir FaceID na casa dela?
não deveria. Não sei como funciona após reiniciar
será que é GPS ou wifi esse reconhecimento de local?
Em casa também pediu Face ID. Não deixou alterar só com a senha
Tava como Sempre ou só local familiar?
Blz, se der testa de novo hj e amanhã escolhendo local familiar?
Alterei para “longe de locais familiares” com o Face ID mas tenho que esperar 1 hora
ia ajudar aqui se vale a pena ir pra casa da vítima tentar desbloquear lá
Sim, também me interessa essa situação
Segue não permitindo alterar sem o Face ID, mas dando uma fuçada descobri que no app Mapas do iPhone o meu endereço dá em outro lugar (dobrando a esquina 🤦🏻♂️). Vi que pode ser isso devido a divergência que tem no cadastro do meu endereço que está no card do Contatos
Uma hora vou lá no meio do rua para ver se muda alguma coisa
Origem 113 — 26/03/2026 18:28 a 18:34 — Extração e acesso a dados em iPhone 13
pessoal, to com um iPhone 13, com iOS 26.2.1, no UFED ele só me deu opção de extração BFU. se eu colocar no Premium consigo fazer Brute Force tb?
Acho que o GK ja faz esse Conra
não tenho GK... :(
Não sei se nesse ios 26.2 faz FB
Teve uma atualização recente
<Mídia oculta>
é, to olhando a support matrix, ele diz só em AFU... 🙁
é, to olhando a support matrix, ele diz só em AFU... 🙁
Origem 114 — 08/05/2026 13:57 a 16:21 — Extração e análise de dados em iPhone/iOS
Boa tarde. Alguém já teve sucesso com esta última Beta do Inseyets com iPhone com proteção contra roubo?
Só conseguimos com GK.
Sim... desbloqueado com SDP ativado tá extraindo
Aqui foi no 16 e 17 pro max
Eu estou tentando um 15 com iOS 26.3.1 mas quando pede para parear com o Pin depois tenta o Face ID <Mensagem editada>
No momento em que ele pede pra parear, não faça nada
Aguarde até aparecer o botão "continue" no UFED
Numa segunda tentativa chegou a aparecer o continue mas aí andou mais um pouco e acabou voltando para o menu inicial. Mas vou tentar de novo. Valeu!
<Mídia oculta>
Ah, agora vi que, apesar de indicar 26.3.1, o IOS é 23.3.1(a).
Ah, agora vi que, apesar de indicar 26.3.1, o IOS é 23.3.1(a).
Não é para fazer mesmo
Origem 115 — 12/05/2026 09:45 a 10:58 — Extração e acesso a dados em iPhone 11
<Mídia oculta>
Bom dia!
Algum registro de sucesso recente nesse modelo? Ele está desbloqueado, mas com problema nos botões power e volume. Depois de muita luta ligou, mas deu durante a extração, dizendo que o aparelho estava desconectado e depois voltou pra tela incial.
Bom dia!
Algum registro de sucesso recente nesse modelo? Ele está desbloqueado, mas com problema nos botões power e volume. Depois de muita luta ligou, mas deu durante a extração, dizendo que o aparelho estava desconectado e depois voltou pra tela incial.
Bom dia , Estou com um iPhone 11 IOS 15.5 que foi fornecida a senha de desbloqueio.
O problema é que aparente o touch está inoperante (a tela está funcionando). Já coloquei o cabo otg com teclado e mouse. Mas na tela aparece o acessório USB mas pede para desbloquear para usar .
Preciso contornar esse problema do touch? Alguma dica? Até iniciando aqui o fluxo para aparelho bloqueado... Mas acho que vou esbarrar no mesmo problema
O problema é que aparente o touch está inoperante (a tela está funcionando). Já coloquei o cabo otg com teclado e mouse. Mas na tela aparece o acessório USB mas pede para desbloquear para usar .
Preciso contornar esse problema do touch? Alguma dica? Até iniciando aqui o fluxo para aparelho bloqueado... Mas acho que vou esbarrar no mesmo problema
Bom dia. Já fizemos aqui no Premium, mas a algum tempo.
Vc tem premium?
Consegue fazer sem a tela.
Talvez até no ufed consiga, mas fica bem no limite do iOS para checkm8. Aí talvez dê erro.
Tenho inseyets sim
Bom dia. Quando tem problema no touch e precisa interagir com o cel conectado usamos um mouse Bluetooth.
Temos vários registros de sucesso.
O fluxo para iPhone desbloqueado deu erro
Tente no fluxo de bloqueado mesmo. As vezes o unlocked da erro.
Ele está colocando em brute Force, aí vou informar a senha no inseyets para ver o que acontece
As vezes no meio do expliit da erro, mas se tentar novamente já iniciando com modo iTunes da boa.
Falha na conexão USB
Esse era para aquele xiaomi 😅😅
Ia dizer para fazer via ufed, mas vi q nao tem checkm8 para o iphone 11.
Já tivemos problemas como esse com iOS mais antigo no Premium. Ele teria suporte, mas fica assim no final do exploit.
Se tiver GK na PF por aí, acho que seria o caminho.
Se tiver GK na PF por aí, acho que seria o caminho.
Nesse iOS o exploit do 11 nao pede interação com a tela do celular no premium e GK. Ele consegue fazer o processo sozinho.
Mas fica nessa chatice do exploit.
Tenta limpar o exploit completo e iniciar no método locked (ja em iTunes).
Mas fica nessa chatice do exploit.
Tenta limpar o exploit completo e iniciar no método locked (ja em iTunes).
Se repetir o erro, aí teria que conseguir uma tela operante.
GK ainda é um sonho aqui pelo Ceará 🥲
Fui pelo fluxo para iPhone bloqueado, informei a senha no dicionário, ele achou e agora está fazendo FFS 🙏🏽
Bom dia! Vocês teriam alguma ata recente/vigente de Workstations? HP Z8 G5
Origem 116 — 03/06/2026 14:16 a 14:52 — Compatibilidade e extração em dispositivos Samsung Galaxy
Perícia de tag de rastreamento, vcs já fizeram? Alguma dica de como proceder?
Identificar usando um app no celular e mais informações com o fabricante.
Artur, se for airtag o buscar do iPhone identifica o SN e a Apple indica a conta vinculada
https://www.mercadolivre.com.br/localizador-rastreador-compativel-com-android-e-ios-pei-s10-cor-branco/p/MLB68328971?pdp_filters=item_id%3AMLB[TELEFONE]&from=gshop&matt_tool=69040175&matt_word=&matt_source=google&matt_campaign_id=[CPF]&matt_ad_group_id=197094204131&matt_match_type=&matt_network=g&matt_device=c&matt_creative=792396419494&matt_keyword=&matt_ad_position=&matt_ad_type=pla&matt_merchant_id=735128761&matt_product_id=MLB68328971-product&matt_product_partition_id=2470334780383&matt_target_id=pla-2470334780383&cq_src=google_ads&cq_cmp=[CPF]&cq_net=g&cq_plt=gp&cq_med=pla&gad_source=1&gad_campaignid=[CPF]&gbraid=0AAAAAD93qcDlVkn_B9IAm9bPAU_8TcGQU&gclid=CjwKCAjwuO_QBhAWEiwAIkVhUzO4pRbQQN70UZoszM4X8uSUap1p6s-qM9wEDiPBi8HI7cAKJJV5rhoC5IkQAvD_BwE
👍🏻 qual app pode ser usado?
deixa eu ver se tenho aqui o nome ainda
Celular Samsung série S consegue sem programa.
Eu li no Celular Samsung pessoal. Mas, acho que tem opções no GooglePlayStore de apps para ler airtags
procura por "AirTag Scanner" "Bluetooth BLE", algo assim
talvez esse aqui:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&referrer=
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&referrer=
Marioria dos celulares com NFC acho que já pega se chegar perto
Origem 117 — 08/06/2026 09:49 a 10:46 — Extração e acesso a dados em iPhone 12 pro Max
Pessoal, iPhone 12 pro Max IOS 26.5 com senha fornecida. O Premium está dando como não suportado. Só com GK?
Isso. GK já está fazendo
Ou aguardar suporte do Premium
iOS 26.5 é bem recente
Somente com GK! Bom dia!