Wiki CompFor
IPED, XRY, Magnet, Oxygen e outras ferramentas

Cálculo e verificação de hash em grandes volumes

Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre cálculo e verificação de hash em grandes volumes no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como IPED, Autopsy, Hashcat, ADB, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: hash, mesmo, arquivos, ser, mas, arquivo, pra, pelo, esse, base. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Preferir ferramentas que gerem saída auditável e reaproveitável.
  • Verificar estabilidade em grandes quantidades de arquivos.
  • Guardar CSV/HTML/relatório para rastreabilidade.

Ferramentas, sistemas ou marcas citadas

IPEDAutopsyHashcatADBODINWhatsApp

Palavras-chave recorrentes

hashmesmoarquivossermasarquivoprapeloessebasehttpswhatsapphashesmaisimagemhashcatfoipode

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 11/05/2017 11:36 a 12:48 — Cálculo e verificação de hashes em grande volume de arquivos

11/05/2017 11:36 · Membro 0015
Bom dia. Algum dos colegas tem um programa de cálculo de hash para grande quantidade de arquivos? Fsum não está dando conta
11/05/2017 11:39 · Membro 0003
eu peguei esse ontem e estou testando https://sourceforge.net/projects/quickhash/
11/05/2017 11:39 · Membro 0001
Bom dia. Uso o Fikeverifier
11/05/2017 11:40 · Membro 0001
Alguem já pegou algum HD com sistema de arquivos ZFS?
11/05/2017 11:42 · Membro 0015
Irei testar as sugestões de vcs [NOME] e [NOME]. Obg
11/05/2017 11:44 · Membro 0001
Ele tem a opção pra salvar em CSV aí depois é abrir no Excel
11/05/2017 11:44 · Membro 0016
Que estranho... nunca tive problema c o fsum, mesmo quando gravei arquivos em bluray... ele está dando problema na geração ou na visualização?
11/05/2017 11:53 · Membro 0015
Ele simplesmente fecha no momento de calcular os hashs. No caso em questão são 39 mil arquivos
11/05/2017 12:47 · Membro 0016
Não acho que a causa seja o número de arquivos... fiz um teste agora com mais de 70 mil arquivos e não tive problema. Ah, tentei inicialmente fazer o hash de todos os arquivos localizados em arquivos de programa e logo em seguida a tela fechou sem mostrar nada.
11/05/2017 12:48 · Membro 0015
Bom, os dois programas indicados deram conta do recado porém o arquivo gerado pelo QuickHash é mais utikizavel por se tratar de um HTML semelhante ao fsum

Origem 002 — 15/03/2018 08:40 a 09:44 — Extração e análise de mensagens do WhatsApp

15/03/2018 08:40 · Membro 0020
Pessoal uma dúvida meio básica, mais de interpretação de resultados do que técnica. Se dois arquivos de áudio WhatsApp, encontrados em dois pendrives diferentes possui o mesmo hash criptográfico é possível afirmar que eles foram produzidos pelo mesmo instrumento somente baseado na coincidência do hash?
15/03/2018 08:42 · Membro 0037
Pode também ser uma cópia.
15/03/2018 08:44 · Membro 0001
Sim, acredito que não tenha como produzir dois áudios com mesmo hash em equipamentos diferentes
15/03/2018 08:44 · Membro 0015
Eu não afirmaria. Se forem produzidos nas mesmas condicoes..gravados pelo mesmo celular, porem com numero de serie diferentes, origens diferentes..pode ser q dê igual
15/03/2018 08:44 · Membro 0015
*mesmo celular, leia-se mesmo modelo
15/03/2018 08:45 · Membro 0015
o conteudo pode ser identico mas a forma de produção, não
15/03/2018 08:48 · Membro 0003
Teriam que ter sido iniciados e finalizados no mesmo milisegundo, com os 2 celulares com relógios ajustados nos mesmos milisegundos também, por causa dos meta dados. Acho razoavelmente inviável de isso acontecer.
15/03/2018 08:49 · Membro 0041
Bom dia! Creio q seja melhor interpretar o conteúdo do arquivo, utilizando o Adobe Audition, para verificar se possuem as mesmas características quanto ao tipo de equipamento.
15/03/2018 08:51 · Membro 0041
Além disso, existem vários arquivos que apresentam os problemas das funções hashes de emitirem o mesmo código para arquivos distintos dependendo do tipo.
15/03/2018 08:51 · Membro 0020
Você chegou no ponto da minha dúvida, minha intenção era saber se posso matar a questão logo pelo md5 ou solicitar uma análise também da equipe de áudio e vídeo
15/03/2018 08:56 · Membro 0041
Com uso de software específico, da pra separar as ondas do som dos falantes e do ambiente...para depois sobrepolas dos arquivos distintos e ver se realmente são idênticas. Creio q dessa forma seria o ideal.
15/03/2018 08:56 · Membro 0026
Na minha opinião, a única possibilidade de dois áudios com o mesmo hash terem sido produzidos em momentos diferentes, seria no caso de serem produzidos inteiramente por computador, tipo uma voz sintetizada. Nao poderia haver, desde o inicio, nenhum componente analógico. Se for uma gravação de voz, por exemplo, acredito ser praticamente impossivel, conseguir o mesmo hash, ja que a voz e o processo de captação dela é inicialmente analogico. Mesmo sendo o mesmo conteúdo, a mesma palavra, por exemplo, uma simples mudança de [NOME] e ruido de fundo irão gerar um hash totalmente diferente.
15/03/2018 08:58 · Membro 0026
Para o caso dessa comparação, acredito que o hash é muito mais seguro e pratico do que analisar as propriedades do audio.
15/03/2018 08:59 · Membro 0003
Sim, havendo uma diferença de frequência, ainda que por apenas 1 milissegundo, o hash gerado seria totalmente diferente. Teria que ser um arquivo criado por computador especificamente com o objetivo de colisão de hash.
15/03/2018 09:00 · Membro 0041
Isso mesmo [NOME]. Se houver a colisão, proposital ou não, já gera dúvidas, concorda?
15/03/2018 09:01 · Membro 0037
Como afirmei acima, o mais provável é que um dos arquivos seja a cópia do outro. É a explicação mais simples e que encontra lastro na coincidência de hashes.
15/03/2018 09:06 · Membro 0026
Colisão acidental em dois áudios a probabilidade é desprezível. Já um ataque, em tese, é possível e o md5 já foi quebrado faz tempo.
15/03/2018 09:08 · Membro 0026
Mas se vc tem os dois áudios, é facil de resolver o problema do ataque. É só calcular novos hashs usando sha256 ou sha512.
15/03/2018 09:09 · Membro 0026
Esses, não existe na literatura ataques que funcionem.
15/03/2018 09:44 · Membro 0009
Eu tbm iria pelos hashes.

Origem 003 — 23/03/2018 06:47 a 06:57 — Cálculo e verificação de hashes em grande volume de arquivos

23/03/2018 06:47 · Membro 0027
Bom dia amigos. Eu não conheço esta base de hash do off. Como obte-la e aplica-la?
23/03/2018 06:55 · Membro 0048
No site da accessdata tem alguns KFF de entidades ligadas ao governo americano para download
23/03/2018 06:56 · Membro 0048
<Mídia oculta>
Kff Install Guide
23/03/2018 06:57 · Membro 0048
https://accessdata.com/product-download/kff-hash-sets

Origem 004 — 11/05/2018 10:39 a 10:39 — Cálculo e verificação de hashes em grande volume de arquivos

11/05/2018 10:39 · Membro 0005
Pessoal, estou gerando um csv pelo LED, mas o hash não esta aparecendo, vocês sabem como configurá-lo para aparecer? Desde já, obrigado!

Origem 005 — 11/06/2018 09:33 a 10:48 — Cálculo e verificação de hash em grandes volumes

11/06/2018 09:33 · Membro 0023
Alguém já usou ou usa esse módulo do autopsy?
11/06/2018 09:59 · Membro 0023
www.autopsy.com
11/06/2018 09:59 · Membro 0023
Pelo que entendi esse Project Vic é uma rede colaborativa que trabalha num banco de hashes de arquivos com conteúdo de pedofilia.
11/06/2018 10:00 · Membro 0023
Mas pra baixar esse banco de hashes é uma onda..
11/06/2018 10:48 · Membro 0037
Bom-dia!
Usamos aqui no RJ!
E sim, de fato o acesso aos hashes é bem controlado, mas seguindo os passos passados, quando do requerimento de acesso, é tranquilo!

Origem 006 — 22/06/2018 09:34 a 10:03 — Cálculo e verificação de hashes em grande volume de arquivos

22/06/2018 09:34 · Membro 0008
<Mídia oculta>
Bom dia, alguém já teve esse mesmo problema?
22/06/2018 09:34 · Membro 0008
Um colega me pediu ajuda aqui, mas até então nunca havia visto algo similar
22/06/2018 09:34 · Membro 0008
Imaginei que pudesse ser algum apk de terceiros, ou que revogando as autorizações de acesso talvez resolvesse
22/06/2018 09:38 · Membro 0010
Tenho um dúvida, em um laudo foi calculado o hash sha1 mas o assistente técnico calculou MD5. O fórum perdeu o CD com o arquivo. Pergunta: é possível converter um cálculo de hash em sha1 em MD5 ou vice versa?
22/06/2018 09:38 · Membro 0010
Perguntaram agora pra mim eu nem pesquisei no google
22/06/2018 09:43 · Membro 0003
https://forum.xda-developers.com/oneplus-one/help/app-obscuring-permission-request-t3558930/page1
22/06/2018 09:43 · Membro 0003
Dá uma olhada nesse tópico, [NOME]
22/06/2018 09:44 · Membro 0003
Já tive um problema parecido e era a permissão de desenhar sobre outros aplicativos do file manager
22/06/2018 09:45 · Membro 0008
Opa, blz, vou falar pra ele
22/06/2018 09:51 · Membro 0009
Aqui sempre deixamos uma cópia arquivada
22/06/2018 09:52 · Membro 0008
Claro... Pra nossa própria segurança até...
22/06/2018 09:52 · Membro 0046
Aqui temos cópia de todas as mídias que entregamos
22/06/2018 09:52 · Membro 0009
E material periciado ainda sai lacrado
22/06/2018 09:53 · Membro 0003
Se pudesse, o sha1 não seria mais seguro do que o md5. Bastaria colidir o md5 e transformar para sha1
22/06/2018 09:53 · Membro 0009
Que por lei deve ser preservado
22/06/2018 09:53 · Membro 0001
Se ele perdeu terá que dar conta
22/06/2018 09:55 · Membro 0001
Por lei deveria no órgão pericial
22/06/2018 09:55 · Membro 0010
Na real o fórum tem que ter bom senso ..... Encaminha cópia da mídia.... Não a mídia..
22/06/2018 09:56 · Membro 0001
No caso de reexame pelo assistente técnico, deveria ter sido feito na presença do perito oficial
22/06/2018 09:58 · Membro 0001
§ 6o Havendo requerimento das partes, o material probatório que serviu de base à perícia será disponibilizado no ambiente do órgão oficial, que manterá sempre sua guarda, e na presença de perito oficial, para exame pelos assistentes, salvo se for impossível a sua conservação. (Incluído pela Lei nº 11.690, de 2008)
22/06/2018 10:00 · Membro 0009
É o q diz a lei. Mas nosso órgão não tem onde armazenar e envia pra delegacia. Complicado!
22/06/2018 10:01 · Membro 0001
Sim, nesse caso deveríamos ter condições de ao menos lacrar adequadamente e rastrear o objeto
22/06/2018 10:02 · Membro 0009
Nosso lacre tbm não é lá essas coisas tbm. 🤦‍♂
22/06/2018 10:03 · Membro 0009
E rastrear... só no pensamento. 🤣🤣🤣

Origem 007 — 23/11/2018 12:22 a 12:22 — Há algum repositório onde tenha uma base de hashes mais atualizada para o

23/11/2018 12:22 · Membro 0055
Pessoal, há algum repositório onde tenha uma base de hashes mais atualizada para o LED?

Origem 008 — 27/06/2019 11:56 a 11:56 — Cálculo e verificação de hashes em grande volume de arquivos

27/06/2019 11:56 · Membro 0020
Seria interessante fazer o cruzamento de hash com a base de pornografia infantil

Origem 009 — 23/04/2020 16:14 a 16:23 — Cálculo e verificação de hashes em grande volume de arquivos

23/04/2020 16:14 · Membro 0038
Ontem recebi da delegacia de polícia, um documento impresso de um banco, supostamente assinado digitalmente, onde o Delegado pergunta sobre a originalidade do mesmo.
23/04/2020 16:14 · Membro 0038
É um exame de chaves público privada?
23/04/2020 16:14 · Membro 0038
Alguém pode me orientar?
23/04/2020 16:23 · Membro 0020
Sem o arquivo do documento digital assinado fica difícil o exame. Alguns sites possuem validador do hash do documento impresso que pode ajudar

Origem 010 — 07/12/2021 12:24 a 13:35 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

07/12/2021 12:24 · Membro 0020
Tentou as opções do perfil a500h?
07/12/2021 12:33 · Membro 0020
twrp https://bitbucket.org/Serverbee/downloadbee/downloads/TWRP_2.8.7.0_A500FU_MM_ODIN.tar.md5
07/12/2021 12:48 · Membro 0109
Conseguimos achar o esquema elétrico completo dele, e resolvemos via EDL mesmo. Era um caso em que a tela não funcionava. Obrigado pela ajuda.
07/12/2021 13:13 · Membro 0066
<Mídia oculta>
Galaxy A01 (SM A015M) com bloqueio de usuário. Alguém já conseguiu extrair? Boa tarde
07/12/2021 13:22 · Membro 0044
Já tentou o A015F?
07/12/2021 13:35 · Membro 0066
Ainda não. Vou tentar

Origem 011 — 28/01/2022 09:55 a 11:04 — Uso do IPED na triagem, indexação e análise

28/01/2022 09:55 · Membro 0039
Bom dia Pessoal. Alguém teria os arquivos com dados do photoDNAHashDatabase e do projectVicHashSetPath que pudesse disponibilizar para ser utilizado no IPED?
28/01/2022 11:01 · Membro 0037
Bom dia!
Tem que solicitar via diretor à PF para disponibilizar o plug-in e a base de dados.
28/01/2022 11:02 · Membro 0039
Você sabe especificar para onde deve ser requisitado na PF?
28/01/2022 11:04 · Membro 0037
Faz tempo isso, tentarei localizar no e-mail e te darei um retorno ASAP.

Origem 012 — 28/01/2022 14:05 a 15:23 — Cálculo e verificação de hash em grandes volumes

28/01/2022 14:05 · Membro 0023
Boa tarde, Srs. Alguém teria aqueles passo a passo de recuperação de conta pra instagram hackeado?
28/01/2022 14:20 · Membro 0037
<Mídia oculta>
Como pedir plugin + base de hashses para o PhotoDNA
28/01/2022 15:12 · Membro 0093
Boa tarde. Para o projeto VIC, enviamos email para [EMAIL], conforme orientações verificadas na página https://www.projectvic.org/get-hashes.
Em seguida eles enviam um passo a passo necessário para ter acesso a base.
28/01/2022 15:23 · Membro 0039
Eu já enviei alguns email para esse endereço. Entretanto, nunca me responderam.

Origem 013 — 27/03/2023 15:20 a 15:23 — Ataque e recuperação de senhas com Hashcat, John ou PRTK

27/03/2023 15:20 · Membro 0010
Boa tarde pessoal! alguma ferramente par excluir senha de planilha do excel ?
27/03/2023 15:22 · Membro 0003
https://www.passfab.com/excel/crack-excel-password.html
27/03/2023 15:22 · Membro 0003
pode testar essa primeira opção
27/03/2023 15:23 · Membro 0102
Por aqui, já usamos o hashcat com código 9500 e 9600

Origem 014 — 09/06/2023 13:53 a 14:38 — Extração e decodificação de bancos do WhatsApp

09/06/2023 13:53 · Membro 0088
Boa tarde. Qual é o tipo de resumo hash que o WhatsApp android usa para as mídias, áudio em específico? Vi que o msgstore.db tem a coluna file_hash com valor de 44 bytes (352 bits), qual seria o tipo?
09/06/2023 13:56 · Membro 0166
O whatsapp guarda na tabela message_media o base64 do hash sha256
09/06/2023 13:57 · Membro 0166
(Isso no Android)
09/06/2023 14:10 · Membro 0088
👍🏻 quando decodificar o base64 o SHA-256 sai em binário ou em ASCII?
09/06/2023 14:11 · Membro 0088
A hash de um arquivo aqui tá armazenado no message_media como 0v1JuZPzLrlJmmFQAd/9sg6S/R08bcb9YQPl6M0NUvg=
09/06/2023 14:15 · Membro 0088
<Mídia oculta>
quando converto, não tá saindo algo compreensível
09/06/2023 14:17 · Membro 0088
Há algum programa que faz essa conversão? Estou tentando por esses conversores online, mas até agora sem sucesso
09/06/2023 14:28 · Membro 0043
Esse é o melhor:

https://gchq.github.io/CyberChef/
09/06/2023 14:38 · Membro 0088
Excelente ferramenta, mesmo! Deu certo com ela agora! 👏🏻

Origem 015 — 09/06/2023 16:02 a 16:05 — Cálculo e verificação de hashes em grande volume de arquivos

09/06/2023 16:02 · Membro 0166
o que tu precisa exatamente?
09/06/2023 16:04 · Membro 0088
Queria autenticar que a hash de áudios .opus recebidos de fato correspondiam com a hash do db, se não teria havido troca dos áudios
09/06/2023 16:05 · Membro 0088
pq a data de modificação de alguns áudios estavam diferentes do q deveriam ser, achei estranho

Origem 016 — 13/07/2023 09:19 a 10:13 — Cálculo e verificação de hash em grandes volumes

13/07/2023 09:19 · Membro 0144
<Mídia oculta>
Alguém tem esse arquivo android.pattern.hashes.db ?
13/07/2023 09:22 · Membro 0096
aqui no meu nao tem nao
13/07/2023 09:29 · Membro 0146
Será a rainbow table dos padrões?
13/07/2023 09:45 · Membro 0144
Ele é solicitado quando executo um plugin nomeado AndroidUnlock Pattern Carver
13/07/2023 09:45 · Membro 0146
Qual a versão do teu PA? É a última?
13/07/2023 10:13 · Membro 0146
Dá o mesmo erro aqui. Atualizaram o PA e nem lembraram do plug-in.

Origem 017 — 30/08/2023 18:28 a 18:28 — Uso do IPED na triagem, indexação e análise

30/08/2023 18:28 · Membro 0150
alguem aqui ja setou o arquivo .csv do LED no IPED que poderia me dar uma ajuda?

Origem 018 — 24/11/2023 14:07 a 14:09 — Extração e análise de dados em iPhone/iOS

24/11/2023 14:07 · Membro 0021
Boa tarde!

Os colegas estão realizando hashs de exclusão de arquivos de sistema Android e iOS e arquivos de Internet etc, por exemplo, para o PA? Ou há banco de dados de hashs disponíveis para download?
24/11/2023 14:08 · Membro 0112
https://www25.senado.leg.br/web/atividade/materias/-/materia/136804

Colegas, me desculpem o assunto meio off-topic, mas creio que, como peritos, isso afeta a todos.
a PEC 76, também conhecida como PEC da Polícia Científica, está em tramitação no Senado, e tem que ser votada e aprovada até o fim deste ano, caso contrário será arquivada, e outra com o mesmo teor só poderá ser apresentada na próxima legislatura, daqui 4 anos.
esta é a hora de cobrar nossos congressistas, e usar a força dos nossos sindicatos pra cobrar deles também.
24/11/2023 14:09 · Membro 0048
Sim. Uso a do NIST:
https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds

Origem 019 — 24/11/2023 16:18 a 16:18 — / De posse do MD5, add aqui

24/11/2023 16:18 · Membro 0173
<Mídia oculta>
De posse do MD5, add aqui.
24/11/2023 16:18 · Membro 0173
pelo menos é assim que faço.

Origem 020 — 29/01/2024 10:51 a 11:16 — Ataque e recuperação de senhas com Hashcat, John ou PRTK

29/01/2024 10:51 · Membro 0091
Bom dia senhores, alguém já teve algum problema de compatibilidade hashcat - Windows - e NVIdia CUDADriver ? hashcat não está rodando por conta da leitura de uma biblioteca ?
29/01/2024 11:10 · Membro 0105
Olá. Já sim. Minha placa de vídeo não tem CUDA atualizado devido a falta de suporte. Aí nesse caso usei a opção "--backend-ignore-cuda" para poder rodar o hashcat
29/01/2024 11:10 · Membro 0105
Perde desempenho, porém para os casos que uso não é importante, pois nos casos mais críticos uso em uma placa com CUDA atualizado.
29/01/2024 11:15 · Membro 0048
Pode usar outra placa. Eu as vezes uso um programa que interfaceia CUDA em placas da Intel. Funciona bem para algum programas que usam CUDA antigo. Talvez funcione para o hashcat, nunca testei <Mensagem editada>
29/01/2024 11:16 · Membro 0048
https://github.com/vosen/ZLUDA
29/01/2024 11:16 · Membro 0091
Eu vi num forum aqui
29/01/2024 11:16 · Membro 0091
mas o sistema operacional só reconhecia o antigo

Origem 021 — 15/10/2024 20:04 a 20:04 — Extração e compatibilidade em Samsung SM8150

15/10/2024 20:04 · Membro 0071
Pessoal, estou precisando de um firehose para o Poco X3 Pro (M2102J20SG)
HWID: 0x000a50e100720000
CPU detected: "SM8150"
PK_HASH: 0x1bebe3863a6781db
alguém teria? ou teria acesso a ROMs (clansoft? - volta e meia são distribuídos junto com o QFIL.exe)
(já olhei na base do Bkerler, não encontrado lá)

Origem 022 — 30/10/2024 20:15 a 20:19 — Cálculo e verificação de hash em grandes volumes

30/10/2024 20:15 · Membro 0045
Senhores boa noite, alguém tem o LED versão 1.34 ou posterior, tô com a 1.34 aqui, mas não tenho a base de hashes, queria ver se deixava ela completinha.
30/10/2024 20:17 · Membro 0191
se alguém tiver tb tenho interesse
30/10/2024 20:19 · Membro 0015
https://1drv.ms/u/s!AoU0TNXrWmLiw3LBzh6IZxfqYiv9?e=kJWC0q
30/10/2024 20:19 · Membro 0015
Nesse link tem a versão 1.31

Origem 023 — 02/01/2025 19:50 a 21:46 — Ataque e recuperação de senhas com Hashcat, John ou PRTK

02/01/2025 19:50 · Membro 0105
Opa. Fui eu que mandei essa msgm
02/01/2025 19:50 · Membro 0105
É tranquilo esse esquema, se tiver todas as infos.

Hash da senha e o salt
02/01/2025 19:50 · Membro 0105
Aí tem que rodar em um hashcat e ter sorte que a senha de match
02/01/2025 19:51 · Membro 0105
Se quiser compartilhar esse password.key e a base de dados locksettings.db eu vejo para você.
02/01/2025 19:53 · Membro 0105
Já tivemos sucesso em vários casos. Os que não tivemos foram os que essas infos não foram coletados na extração de forma completa.
02/01/2025 19:56 · Membro 0088
https://www.clansoft.net/dl/index.php?a=downloads&b=file&id=6583
02/01/2025 19:56 · Membro 0088
Talvez esse aqui dê certo, lembro q já fiz algumas vezes, mas é bom ver se é o mesmo binário o firmware
02/01/2025 19:57 · Membro 0088
O site é pago, depois vejo se tenho já baixado, minha conta tá sem crédito lá
02/01/2025 19:58 · Membro 0088
De todo modo, pelo método que [MENCAO] mencionou de quebra de senha pelo hashcat com certeza terá sucesso
02/01/2025 20:04 · Membro 0105
Que top esse site.
02/01/2025 20:05 · Membro 0088
Muita coisa boa mesmo nesse site
02/01/2025 21:46 · Membro 0146
Um G531BT fez FB no Premium aqui. Android 5.1.1 mesmo 😁

Origem 024 — 08/09/2025 10:15 a 12:14 — Metadados EXIF/JPEG e individualização de câmera

08/09/2025 10:15 · Membro 0173
Bom dia.

Tens por ai o nome do App e o caminho padrão dele onde, por ventura, fiquem armazenadas as imagens?
08/09/2025 10:22 · Membro 0003
vou ver se acho o laudo aqui, já faz um tempo
08/09/2025 10:26 · Membro 0003
Referente ao segundo quesito, no relatório de etiquetas página 10 (dez), observa-se que
foram feitas pesquisas no aplicativo com.android.vending, que refere-se ao aplicativo conhecido
como Google Play, com o texto “Fake Chat Conversations (Conversas falsas)”, doravante
denominada FCC, no dia 15 de junho de 2018. Observou-se também, na página 9 (nove), pesquisa no
navegador Chrome com o texto “app que parece whatsapp”, sem data especificada.
08/09/2025 10:26 · Membro 0003
eu instalei no meu celular o aplicativo e fiz testes
08/09/2025 10:29 · Membro 0003
depois eu apliquei essa mesma metodologia para verificar os prints no celular questionado e pude indicar quais eram falsas, e quais tinham características compatíveis com prints autênticos
08/09/2025 10:38 · Membro 0015
Bom dia. Algum colega consegue tirar essa duvida:
Um arquivo de imagem suspeito foi encontrado no diretorio "/data/com.whatsapp/files/.Shared/cfd0ba42-bf64-40e7-8012-45598aed6e31.jpg"
Já fiz varias pesquisas e o maximo que encontrei se resumo a .Shared ser a pasta onde o WhatsApp armazena as mídias temporárias enviadas/recebidas primeiro e depois transferidas para as respectivas pastas, ou seja, arquivos de documentos para documentos do WhatsApp, arquivos de vídeo para vídeos do WhatsApp.
obs1: a imagem "original" (contendo metadados do aparelho e em alta qualidade) se encontra na galeria do aparelho celular, bem como outras imagens no mesmo ambiente.
obs2: não foi encontrado registro de envio da imagem na pasta Image do wpp. Busca por data e visualmente.
O quesito: A imagem em questão foi ou não compartilhada com alguem pelo usuário?
08/09/2025 10:45 · Membro 0105
Chegou a olhar no BD do wa?

No android as midias costumam armazenar o hash dos arquivos compartilhados no BD do wa.
Lá tbm consegue ver a flag se foi enviado ou recebido e para quem isso ocorreu.

Pode ser que os registros ainda estejam lá, mesmo que parciais. (Pode ser que nao tenha mais os interlocutores, mas o registro de comunicacao sim) <Mensagem editada>
08/09/2025 10:46 · Membro 0166
o whatsapp salva no Msgstore.db, na pasta "message_media" o hash sha256 (convertido em base 64) dos arquivos trafegados
08/09/2025 10:46 · Membro 0015
não olhei diretamente, mas pesquisei no PA pelo nome da imagem e so apareceu a da pasta .shared
08/09/2025 10:46 · Membro 0166
sugiro olhar essa table
08/09/2025 10:47 · Membro 0105
Veja lá. Acho que é o melhor caminho
08/09/2025 10:47 · Membro 0015
blz, vou procurar
08/09/2025 10:47 · Membro 0166
inclusive se ainda estiver disponível a URL pra download do arquivo .enc
08/09/2025 10:47 · Membro 0166
vai ter a chave pra decripto nessa mesma table "message_media" (ou é na table "messages?)
08/09/2025 10:47 · Membro 0105
No android é bem boa o BD do wa. Bem tranquilo de interpretar.
08/09/2025 10:48 · Membro 0105
Se comparar com do iOS.
08/09/2025 10:54 · Membro 0015
acredito que deve ser essa coluna
08/09/2025 11:02 · Membro 0015
seria o hash da imagem original?
08/09/2025 11:03 · Membro 0105
Nao. Esse é o uuid. O hash fica em outro local.
08/09/2025 11:28 · Membro 0166
salvo engano, o campo na tabela é "media_hex"
08/09/2025 11:29 · Membro 0166
que usa pra decriptografar o arquivo .enc
08/09/2025 11:29 · Membro 0166
o arquivo .enc é o arquivo original transmitido
08/09/2025 12:13 · Membro 0015
O arquivo alvo aqui n está na tabela mas está na pasta sent. Verifique o último backup e foi realizado dia 02/2024 sendo que a imagem foi criada e enviada no dia 03.
08/09/2025 12:14 · Membro 0015
E ainda tava configurado pra mensal (estranho). Ou seja, o backup não foi feito com os "novos dados" Tentei fazer manualmente mas dá erro

Origem 025 — 16/10/2025 13:03 a 13:18 — Uso do IPED na triagem, indexação e análise

16/10/2025 13:03 · Membro 0172
Pessoal, alguém sabe como excluir os arquivos de sistema Windows da extração do iped? Acredito que seja usando um arquivo de hashes. Se for mesmo, alguém tem um arquivo com esses hashes?
16/10/2025 13:18 · Membro 0048
Muito grande. Pode montar a base baseado nos do NiST

Origem 026 — 28/10/2025 12:46 a 13:17 — Extração e análise de mensagens do WhatsApp

28/10/2025 12:46 · Membro 0020
Pessoal, boa tarde. Onde eu baixo a versão beta do inseyets?
28/10/2025 12:54 · Membro 0193
Bom dia. Qual é o padrão de hash calculado em cada arquivo pelo iped?
28/10/2025 13:06 · Membro 0146
Boa tarde. Em Design Partner na aba Home. Tem que estar inscrito no programa.
28/10/2025 13:16 · Membro 0220
Opa. Na 4.2.2 se não me engano é md5, sha1 e sha-256.
28/10/2025 13:17 · Membro 0048
Configuração padrão [SEGREDO] sha1 e sha256
28/10/2025 13:17 · Membro 0048
Dá para configurar menos ou mais. Para linkar arquivos do whatsapp, precisa estar com o sha256 ligado
28/10/2025 13:17 · Membro 0048
/conf/HashTaskConfig txt

Origem 027 — 02/03/2026 15:14 a 15:20 — Cálculo e verificação de hash em grandes volumes

02/03/2026 15:14 · Membro 0004
Pessoal, boa tarde. Vocês conhecem algum link que já tenha os hashsets RDS do NIST no formato para ser importado no PA?
02/03/2026 15:20 · Membro 0144
Eu achei um recentemente, era em torno de 45-60GB, não lembro.
Vou ver aqui o link.

Origem 028 — 29/04/2026 20:52 a 23:03 — Apartir da versão 1.29 foi disponibilizado o jar "CalcLED.jar" dentro da pasta do

29/04/2026 20:52 · Membro 0015
Apartir da versão 1.29 foi disponibilizado o jar "CalcLED.jar" dentro da pasta do led pra geração de hashes no formato do Led. No manual também tem explicando seu uso e funcionamento. Assim pode-se adicionar a base de hashes qualquer arquivos frutos do trabalho local de cada um
29/04/2026 21:28 · Membro 0166
seria muito muito muito interessante nós ter um grupo que a cada "novo arquivo de hashes" fosse compartilhado pra ir aumentando a base dos hashes. E também enviar pro Wladimir pra ele adicionar lá e já vir com as novas versões do LED
29/04/2026 23:03 · Membro 0166
o wladimir me disse que até na PF depende da boa vontade dos peritos em gerar os hashes e enviar para ele colocar nas versões seguintes 🤷🏻‍♂️🤷🏻‍♂️