Wiki CompFor
IPED, XRY, Magnet, Oxygen e outras ferramentas

Autopsy, FTK, EnCase e ferramentas de análise em computadores

Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre autopsy, FTK, EnCase e ferramentas de análise em computadores no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, Autopsy, FTK, WhatsApp. Os termos mais recorrentes neste tema incluem: ftk, autopsy, e01, filesystem, mais, iped, imagem, cellebrite, whatsapp, ufed. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Selecionar ferramenta conforme artefato, sistema de arquivos e formato de imagem.
  • Validar resultados de carving, timeline e artefatos com mais de uma fonte quando necessário.
  • Preservar logs de processamento e parâmetros relevantes.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDMagnet AXIOMAutopsyFTKWhatsApp

Palavras-chave recorrentes

ftkautopsye01filesystemmaisipedimagemcellebritewhatsappufedstk-20221104-wa0003.webpdriveraxiomautopsy-4-14-release-highlightsandroid1507.0773910.9.0.284ps3

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 10/05/2018 15:53 a 16:07 — Autopsy, FTK, EnCase e ferramentas de análise em computadores

10/05/2018 15:53 · Membro 0034
Boa tarde, pessoal.

Alguém sabe de algum programa para Windows que não seja o FTK Imager que monte arquivos com extensão e01?
10/05/2018 15:54 · Membro 0020
Autopsy
10/05/2018 15:57 · Membro 0034
Ele monta como um driver a parte ou monta dentro de sua interface?
10/05/2018 16:07 · Membro 0034
Sim para as duas perguntas? Hehehehehe

Origem 002 — 18/05/2018 13:13 a 13:13 — Uso do IPED na triagem, indexação e análise

18/05/2018 13:13 · Membro 0037
Sem dúvida! Instalar as dependências e configurar o IPED/LED foi, inicialmente, mais tranquilo do que o Autopsy. Recentemente, com o esforço da comunidade, que estimulou o pessoal da "Basis Technology" (empresa que suporta os principais desenvolvedores do Autopsy), a coisa melhorou e agora há o pacote (Debian) específico para o Sleuthkit-Java.

Origem 003 — 22/02/2019 16:07 a 16:19 — Extração e análise de mensagens do WhatsApp

22/02/2019 16:07 · Membro 0044
<Mídia oculta>
1507.07739
22/02/2019 16:07 · Membro 0044
Forensic WhatsApp 👆🏻
22/02/2019 16:12 · Membro 0048
De 2015 pra cá já mudaram algumas coisas no zap
22/02/2019 16:12 · Membro 0048
Mas ajuda na interpretação de algumas informações
22/02/2019 16:13 · Membro 0003
pessoal, estou no ftk aqui e ele me apresentou esse filename date changed (MFT)
22/02/2019 16:13 · Membro 0003
alguém saberia me dizer o que seria essa informação?
22/02/2019 16:13 · Membro 0003
seria a troca do nome do arquivo, como isso sugere?
22/02/2019 16:19 · Membro 0048
Acho que é quando que esse campo foi alterado na mft

Origem 004 — 20/10/2019 17:35 a 18:04 — Alguma recomendação de software grátis para leitura de partições de uma imagem binária

20/10/2019 17:35 · Membro 0088
Boa tarde! Alguma recomendação de software grátis para leitura de partições de uma imagem binária completa de um aparelho android?
20/10/2019 18:04 · Membro 0003
O autopsy consegue interpretar algumas coisas

Origem 005 — 01/04/2020 12:27 a 12:48 — / É possível ler e/ou recuperar o conteúdo de um HD de PS3

01/04/2020 12:27 · Membro 0021
Boa tarde!
É possível ler e/ou recuperar o conteúdo de um HD de PS3 no Windows ou Linux?
01/04/2020 12:48 · Membro 0037
https://www.autopsy.com/autopsy-4-14-release-highlights/

Origem 006 — 08/05/2023 11:00 a 11:34 — Root e extração em dispositivo Positivo

08/05/2023 11:00 · Membro 0030
Bom dia, colegas. Estou com um Xbox apreendido aqui e gostaria de saber se algum colega já fez algum exame nesse dispositivo e se sim, com qual ferramenta?
08/05/2023 11:13 · Membro 0010
STK-20221104-WA0003.webp (arquivo anexado)
08/05/2023 11:19 · Membro 0166
acho que é mais fácil clonar o disco e executar
eu já tirei HD de XBOX.... FTK imager nem reconehce o FileSystem
08/05/2023 11:21 · Membro 0048
XBOX 360 e mais antigos até tem como fazer exame nos dados clonados
08/05/2023 11:24 · Membro 0030
pois é. Era o meu receio
08/05/2023 11:24 · Membro 0166
não faço idéia se o IPED, AXIOM, Autopsy reconhecerão o FileSystem
08/05/2023 11:34 · Membro 0030
e vcs buscam algo específico?
08/05/2023 11:34 · Membro 0030
pq não tem quesitação

Origem 007 — 10/10/2023 05:04 a 05:04 — Bin, pode tentar esse

10/10/2023 05:04 · Membro 0015
Bin, pode tentar esse: https://github.com/abrignoni/ALEAPP
10/10/2023 05:04 · Membro 0015
E ja ta integrado ao autopsy

Origem 008 — 15/01/2024 10:05 a 10:05 — Extração em dispositivos Realme/Oppo

15/01/2024 10:05 · Membro 0125
Bom dia.
Muito obrigado a todos pela colaboração.
[MENCAO] deu certo montar a imagem com o Arsenal. Realmente o FTK Imager não conseguia, mas o Arsenal conseguiu.
Rodei o comando manage-bde –off e descriptografou 🙌🏻🙌🏻

Origem 009 — 16/04/2026 14:11 a 14:35 — Eu to usando o UFED 10.9.0.284, com a versão 7.77.302, até onde sei

16/04/2026 14:11 · Membro 0080
Você não tem versão mais atualizada do inseyets?
Aqui, estamos fazendo
16/04/2026 14:16 · Membro 0112
eu to usando o UFED 10.9.0.284, com a versão 7.77.302, até onde sei é a mais atualizada, não?
16/04/2026 14:16 · Membro 0112
abri um chamado na Cellebrite e to aguardando retorno
16/04/2026 14:35 · Membro 0224
Desculpe a demora, me chamaram aqui esqueci de responder! Se FTK indicou que fez a leitura percorreu todos os bytes e o .e01 está vazio é porque a unidade está vazia.

Só Olhe o e01.txt para ver se não apareceu erro de leitura da unidade