Autopsy, FTK, EnCase e ferramentas de análise em computadores
Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre autopsy, FTK, EnCase e ferramentas de análise em computadores no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, Autopsy, FTK, WhatsApp. Os termos mais recorrentes neste tema incluem: ftk, autopsy, e01, filesystem, mais, iped, imagem, cellebrite, whatsapp, ufed. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Selecionar ferramenta conforme artefato, sistema de arquivos e formato de imagem.
- Validar resultados de carving, timeline e artefatos com mais de uma fonte quando necessário.
- Preservar logs de processamento e parâmetros relevantes.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDMagnet AXIOMAutopsyFTKWhatsAppPalavras-chave recorrentes
ftkautopsye01filesystemmaisipedimagemcellebritewhatsappufedstk-20221104-wa0003.webpdriveraxiomautopsy-4-14-release-highlightsandroid1507.0773910.9.0.284ps3Discussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 10/05/2018 15:53 a 16:07 — Autopsy, FTK, EnCase e ferramentas de análise em computadores
Boa tarde, pessoal.
Alguém sabe de algum programa para Windows que não seja o FTK Imager que monte arquivos com extensão e01?
Alguém sabe de algum programa para Windows que não seja o FTK Imager que monte arquivos com extensão e01?
Autopsy
Ele monta como um driver a parte ou monta dentro de sua interface?
Sim para as duas perguntas? Hehehehehe
Origem 002 — 18/05/2018 13:13 a 13:13 — Uso do IPED na triagem, indexação e análise
Sem dúvida! Instalar as dependências e configurar o IPED/LED foi, inicialmente, mais tranquilo do que o Autopsy. Recentemente, com o esforço da comunidade, que estimulou o pessoal da "Basis Technology" (empresa que suporta os principais desenvolvedores do Autopsy), a coisa melhorou e agora há o pacote (Debian) específico para o Sleuthkit-Java.
Origem 003 — 22/02/2019 16:07 a 16:19 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
1507.07739
1507.07739
Forensic WhatsApp 👆🏻
De 2015 pra cá já mudaram algumas coisas no zap
Mas ajuda na interpretação de algumas informações
pessoal, estou no ftk aqui e ele me apresentou esse filename date changed (MFT)
alguém saberia me dizer o que seria essa informação?
seria a troca do nome do arquivo, como isso sugere?
Acho que é quando que esse campo foi alterado na mft
Origem 004 — 20/10/2019 17:35 a 18:04 — Alguma recomendação de software grátis para leitura de partições de uma imagem binária
Boa tarde! Alguma recomendação de software grátis para leitura de partições de uma imagem binária completa de um aparelho android?
O autopsy consegue interpretar algumas coisas
Origem 005 — 01/04/2020 12:27 a 12:48 — / É possível ler e/ou recuperar o conteúdo de um HD de PS3
Boa tarde!
É possível ler e/ou recuperar o conteúdo de um HD de PS3 no Windows ou Linux?
É possível ler e/ou recuperar o conteúdo de um HD de PS3 no Windows ou Linux?
https://www.autopsy.com/autopsy-4-14-release-highlights/
Origem 006 — 08/05/2023 11:00 a 11:34 — Root e extração em dispositivo Positivo
Bom dia, colegas. Estou com um Xbox apreendido aqui e gostaria de saber se algum colega já fez algum exame nesse dispositivo e se sim, com qual ferramenta?
STK-20221104-WA0003.webp (arquivo anexado)
acho que é mais fácil clonar o disco e executar
eu já tirei HD de XBOX.... FTK imager nem reconehce o FileSystem
eu já tirei HD de XBOX.... FTK imager nem reconehce o FileSystem
XBOX 360 e mais antigos até tem como fazer exame nos dados clonados
pois é. Era o meu receio
não faço idéia se o IPED, AXIOM, Autopsy reconhecerão o FileSystem
e vcs buscam algo específico?
pq não tem quesitação
Origem 007 — 10/10/2023 05:04 a 05:04 — Bin, pode tentar esse
Bin, pode tentar esse: https://github.com/abrignoni/ALEAPP
E ja ta integrado ao autopsy
Origem 008 — 15/01/2024 10:05 a 10:05 — Extração em dispositivos Realme/Oppo
Bom dia.
Muito obrigado a todos pela colaboração.
[MENCAO] deu certo montar a imagem com o Arsenal. Realmente o FTK Imager não conseguia, mas o Arsenal conseguiu.
Rodei o comando manage-bde –off e descriptografou 🙌🏻🙌🏻
Muito obrigado a todos pela colaboração.
[MENCAO] deu certo montar a imagem com o Arsenal. Realmente o FTK Imager não conseguia, mas o Arsenal conseguiu.
Rodei o comando manage-bde –off e descriptografou 🙌🏻🙌🏻
Origem 009 — 16/04/2026 14:11 a 14:35 — Eu to usando o UFED 10.9.0.284, com a versão 7.77.302, até onde sei
Você não tem versão mais atualizada do inseyets?
Aqui, estamos fazendo
Aqui, estamos fazendo
eu to usando o UFED 10.9.0.284, com a versão 7.77.302, até onde sei é a mais atualizada, não?
abri um chamado na Cellebrite e to aguardando retorno
Desculpe a demora, me chamaram aqui esqueci de responder! Se FTK indicou que fez a leitura percorreu todos os bytes e o .e01 está vazio é porque a unidade está vazia.
Só Olhe o e01.txt para ver se não apareceu erro de leitura da unidade
Só Olhe o e01.txt para ver se não apareceu erro de leitura da unidade