Cálculo e verificação de hash em grandes volumes
Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre cálculo e verificação de hash em grandes volumes no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como IPED, Autopsy, Hashcat, ADB, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: hash, mesmo, arquivos, ser, mas, arquivo, pra, pelo, esse, base. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Preferir ferramentas que gerem saída auditável e reaproveitável.
- Verificar estabilidade em grandes quantidades de arquivos.
- Guardar CSV/HTML/relatório para rastreabilidade.
Ferramentas, sistemas ou marcas citadas
IPEDAutopsyHashcatADBODINWhatsAppPalavras-chave recorrentes
hashmesmoarquivossermasarquivoprapeloessebasehttpswhatsapphashesmaisimagemhashcatfoipodeDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 11/05/2017 11:36 a 12:48 — Cálculo e verificação de hashes em grande volume de arquivos
Bom dia. Algum dos colegas tem um programa de cálculo de hash para grande quantidade de arquivos? Fsum não está dando conta
eu peguei esse ontem e estou testando https://sourceforge.net/projects/quickhash/
Bom dia. Uso o Fikeverifier
Alguem já pegou algum HD com sistema de arquivos ZFS?
Irei testar as sugestões de vcs [NOME] e [NOME]. Obg
Ele tem a opção pra salvar em CSV aí depois é abrir no Excel
Que estranho... nunca tive problema c o fsum, mesmo quando gravei arquivos em bluray... ele está dando problema na geração ou na visualização?
Ele simplesmente fecha no momento de calcular os hashs. No caso em questão são 39 mil arquivos
Não acho que a causa seja o número de arquivos... fiz um teste agora com mais de 70 mil arquivos e não tive problema. Ah, tentei inicialmente fazer o hash de todos os arquivos localizados em arquivos de programa e logo em seguida a tela fechou sem mostrar nada.
Bom, os dois programas indicados deram conta do recado porém o arquivo gerado pelo QuickHash é mais utikizavel por se tratar de um HTML semelhante ao fsum
Origem 002 — 15/03/2018 08:40 a 09:44 — Extração e análise de mensagens do WhatsApp
Pessoal uma dúvida meio básica, mais de interpretação de resultados do que técnica. Se dois arquivos de áudio WhatsApp, encontrados em dois pendrives diferentes possui o mesmo hash criptográfico é possível afirmar que eles foram produzidos pelo mesmo instrumento somente baseado na coincidência do hash?
Pode também ser uma cópia.
Sim, acredito que não tenha como produzir dois áudios com mesmo hash em equipamentos diferentes
Eu não afirmaria. Se forem produzidos nas mesmas condicoes..gravados pelo mesmo celular, porem com numero de serie diferentes, origens diferentes..pode ser q dê igual
*mesmo celular, leia-se mesmo modelo
o conteudo pode ser identico mas a forma de produção, não
Teriam que ter sido iniciados e finalizados no mesmo milisegundo, com os 2 celulares com relógios ajustados nos mesmos milisegundos também, por causa dos meta dados. Acho razoavelmente inviável de isso acontecer.
Bom dia! Creio q seja melhor interpretar o conteúdo do arquivo, utilizando o Adobe Audition, para verificar se possuem as mesmas características quanto ao tipo de equipamento.
Além disso, existem vários arquivos que apresentam os problemas das funções hashes de emitirem o mesmo código para arquivos distintos dependendo do tipo.
Você chegou no ponto da minha dúvida, minha intenção era saber se posso matar a questão logo pelo md5 ou solicitar uma análise também da equipe de áudio e vídeo
Com uso de software específico, da pra separar as ondas do som dos falantes e do ambiente...para depois sobrepolas dos arquivos distintos e ver se realmente são idênticas. Creio q dessa forma seria o ideal.
Na minha opinião, a única possibilidade de dois áudios com o mesmo hash terem sido produzidos em momentos diferentes, seria no caso de serem produzidos inteiramente por computador, tipo uma voz sintetizada. Nao poderia haver, desde o inicio, nenhum componente analógico. Se for uma gravação de voz, por exemplo, acredito ser praticamente impossivel, conseguir o mesmo hash, ja que a voz e o processo de captação dela é inicialmente analogico. Mesmo sendo o mesmo conteúdo, a mesma palavra, por exemplo, uma simples mudança de [NOME] e ruido de fundo irão gerar um hash totalmente diferente.
Para o caso dessa comparação, acredito que o hash é muito mais seguro e pratico do que analisar as propriedades do audio.
Sim, havendo uma diferença de frequência, ainda que por apenas 1 milissegundo, o hash gerado seria totalmente diferente. Teria que ser um arquivo criado por computador especificamente com o objetivo de colisão de hash.
Isso mesmo [NOME]. Se houver a colisão, proposital ou não, já gera dúvidas, concorda?
Como afirmei acima, o mais provável é que um dos arquivos seja a cópia do outro. É a explicação mais simples e que encontra lastro na coincidência de hashes.
Colisão acidental em dois áudios a probabilidade é desprezível. Já um ataque, em tese, é possível e o md5 já foi quebrado faz tempo.
Mas se vc tem os dois áudios, é facil de resolver o problema do ataque. É só calcular novos hashs usando sha256 ou sha512.
Esses, não existe na literatura ataques que funcionem.
Eu tbm iria pelos hashes.
Origem 003 — 23/03/2018 06:47 a 06:57 — Cálculo e verificação de hashes em grande volume de arquivos
Bom dia amigos. Eu não conheço esta base de hash do off. Como obte-la e aplica-la?
No site da accessdata tem alguns KFF de entidades ligadas ao governo americano para download
<Mídia oculta>
Kff Install Guide
Kff Install Guide
https://accessdata.com/product-download/kff-hash-sets
Origem 004 — 11/05/2018 10:39 a 10:39 — Cálculo e verificação de hashes em grande volume de arquivos
Pessoal, estou gerando um csv pelo LED, mas o hash não esta aparecendo, vocês sabem como configurá-lo para aparecer? Desde já, obrigado!
Origem 005 — 11/06/2018 09:33 a 10:48 — Cálculo e verificação de hash em grandes volumes
Alguém já usou ou usa esse módulo do autopsy?
www.autopsy.com
Pelo que entendi esse Project Vic é uma rede colaborativa que trabalha num banco de hashes de arquivos com conteúdo de pedofilia.
Mas pra baixar esse banco de hashes é uma onda..
Bom-dia!
Usamos aqui no RJ!
E sim, de fato o acesso aos hashes é bem controlado, mas seguindo os passos passados, quando do requerimento de acesso, é tranquilo!
Usamos aqui no RJ!
E sim, de fato o acesso aos hashes é bem controlado, mas seguindo os passos passados, quando do requerimento de acesso, é tranquilo!
Origem 006 — 22/06/2018 09:34 a 10:03 — Cálculo e verificação de hashes em grande volume de arquivos
<Mídia oculta>
Bom dia, alguém já teve esse mesmo problema?
Bom dia, alguém já teve esse mesmo problema?
Um colega me pediu ajuda aqui, mas até então nunca havia visto algo similar
Imaginei que pudesse ser algum apk de terceiros, ou que revogando as autorizações de acesso talvez resolvesse
Tenho um dúvida, em um laudo foi calculado o hash sha1 mas o assistente técnico calculou MD5. O fórum perdeu o CD com o arquivo. Pergunta: é possível converter um cálculo de hash em sha1 em MD5 ou vice versa?
Perguntaram agora pra mim eu nem pesquisei no google
https://forum.xda-developers.com/oneplus-one/help/app-obscuring-permission-request-t3558930/page1
Dá uma olhada nesse tópico, [NOME]
Já tive um problema parecido e era a permissão de desenhar sobre outros aplicativos do file manager
Opa, blz, vou falar pra ele
Aqui sempre deixamos uma cópia arquivada
Claro... Pra nossa própria segurança até...
Aqui temos cópia de todas as mídias que entregamos
E material periciado ainda sai lacrado
Se pudesse, o sha1 não seria mais seguro do que o md5. Bastaria colidir o md5 e transformar para sha1
Que por lei deve ser preservado
Se ele perdeu terá que dar conta
Por lei deveria no órgão pericial
Na real o fórum tem que ter bom senso ..... Encaminha cópia da mídia.... Não a mídia..
No caso de reexame pelo assistente técnico, deveria ter sido feito na presença do perito oficial
§ 6o Havendo requerimento das partes, o material probatório que serviu de base à perícia será disponibilizado no ambiente do órgão oficial, que manterá sempre sua guarda, e na presença de perito oficial, para exame pelos assistentes, salvo se for impossível a sua conservação. (Incluído pela Lei nº 11.690, de 2008)
É o q diz a lei. Mas nosso órgão não tem onde armazenar e envia pra delegacia. Complicado!
Sim, nesse caso deveríamos ter condições de ao menos lacrar adequadamente e rastrear o objeto
Nosso lacre tbm não é lá essas coisas tbm. 🤦♂
E rastrear... só no pensamento. 🤣🤣🤣
Origem 007 — 23/11/2018 12:22 a 12:22 — Há algum repositório onde tenha uma base de hashes mais atualizada para o
Pessoal, há algum repositório onde tenha uma base de hashes mais atualizada para o LED?
Origem 008 — 27/06/2019 11:56 a 11:56 — Cálculo e verificação de hashes em grande volume de arquivos
Seria interessante fazer o cruzamento de hash com a base de pornografia infantil
Origem 009 — 23/04/2020 16:14 a 16:23 — Cálculo e verificação de hashes em grande volume de arquivos
Ontem recebi da delegacia de polícia, um documento impresso de um banco, supostamente assinado digitalmente, onde o Delegado pergunta sobre a originalidade do mesmo.
É um exame de chaves público privada?
Alguém pode me orientar?
Sem o arquivo do documento digital assinado fica difícil o exame. Alguns sites possuem validador do hash do documento impresso que pode ajudar
Origem 010 — 07/12/2021 12:24 a 13:35 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Tentou as opções do perfil a500h?
twrp https://bitbucket.org/Serverbee/downloadbee/downloads/TWRP_2.8.7.0_A500FU_MM_ODIN.tar.md5
Conseguimos achar o esquema elétrico completo dele, e resolvemos via EDL mesmo. Era um caso em que a tela não funcionava. Obrigado pela ajuda.
<Mídia oculta>
Galaxy A01 (SM A015M) com bloqueio de usuário. Alguém já conseguiu extrair? Boa tarde
Galaxy A01 (SM A015M) com bloqueio de usuário. Alguém já conseguiu extrair? Boa tarde
Já tentou o A015F?
Ainda não. Vou tentar
Origem 011 — 28/01/2022 09:55 a 11:04 — Uso do IPED na triagem, indexação e análise
Bom dia Pessoal. Alguém teria os arquivos com dados do photoDNAHashDatabase e do projectVicHashSetPath que pudesse disponibilizar para ser utilizado no IPED?
Bom dia!
Tem que solicitar via diretor à PF para disponibilizar o plug-in e a base de dados.
Tem que solicitar via diretor à PF para disponibilizar o plug-in e a base de dados.
Você sabe especificar para onde deve ser requisitado na PF?
Faz tempo isso, tentarei localizar no e-mail e te darei um retorno ASAP.
Origem 012 — 28/01/2022 14:05 a 15:23 — Cálculo e verificação de hash em grandes volumes
Boa tarde, Srs. Alguém teria aqueles passo a passo de recuperação de conta pra instagram hackeado?
<Mídia oculta>
Como pedir plugin + base de hashses para o PhotoDNA
Como pedir plugin + base de hashses para o PhotoDNA
Boa tarde. Para o projeto VIC, enviamos email para [EMAIL], conforme orientações verificadas na página https://www.projectvic.org/get-hashes.
Em seguida eles enviam um passo a passo necessário para ter acesso a base.
Em seguida eles enviam um passo a passo necessário para ter acesso a base.
Eu já enviei alguns email para esse endereço. Entretanto, nunca me responderam.
Origem 013 — 27/03/2023 15:20 a 15:23 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Boa tarde pessoal! alguma ferramente par excluir senha de planilha do excel ?
https://www.passfab.com/excel/crack-excel-password.html
pode testar essa primeira opção
Por aqui, já usamos o hashcat com código 9500 e 9600
Origem 014 — 09/06/2023 13:53 a 14:38 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Qual é o tipo de resumo hash que o WhatsApp android usa para as mídias, áudio em específico? Vi que o msgstore.db tem a coluna file_hash com valor de 44 bytes (352 bits), qual seria o tipo?
O whatsapp guarda na tabela message_media o base64 do hash sha256
(Isso no Android)
👍🏻 quando decodificar o base64 o SHA-256 sai em binário ou em ASCII?
A hash de um arquivo aqui tá armazenado no message_media como 0v1JuZPzLrlJmmFQAd/9sg6S/R08bcb9YQPl6M0NUvg=
<Mídia oculta>
quando converto, não tá saindo algo compreensível
quando converto, não tá saindo algo compreensível
Há algum programa que faz essa conversão? Estou tentando por esses conversores online, mas até agora sem sucesso
Esse é o melhor:
https://gchq.github.io/CyberChef/
https://gchq.github.io/CyberChef/
Excelente ferramenta, mesmo! Deu certo com ela agora! 👏🏻
Origem 015 — 09/06/2023 16:02 a 16:05 — Cálculo e verificação de hashes em grande volume de arquivos
o que tu precisa exatamente?
Queria autenticar que a hash de áudios .opus recebidos de fato correspondiam com a hash do db, se não teria havido troca dos áudios
pq a data de modificação de alguns áudios estavam diferentes do q deveriam ser, achei estranho
Origem 016 — 13/07/2023 09:19 a 10:13 — Cálculo e verificação de hash em grandes volumes
<Mídia oculta>
Alguém tem esse arquivo android.pattern.hashes.db ?
Alguém tem esse arquivo android.pattern.hashes.db ?
aqui no meu nao tem nao
Será a rainbow table dos padrões?
Ele é solicitado quando executo um plugin nomeado AndroidUnlock Pattern Carver
Qual a versão do teu PA? É a última?
Dá o mesmo erro aqui. Atualizaram o PA e nem lembraram do plug-in.
Origem 017 — 30/08/2023 18:28 a 18:28 — Uso do IPED na triagem, indexação e análise
alguem aqui ja setou o arquivo .csv do LED no IPED que poderia me dar uma ajuda?
Origem 018 — 24/11/2023 14:07 a 14:09 — Extração e análise de dados em iPhone/iOS
Boa tarde!
Os colegas estão realizando hashs de exclusão de arquivos de sistema Android e iOS e arquivos de Internet etc, por exemplo, para o PA? Ou há banco de dados de hashs disponíveis para download?
Os colegas estão realizando hashs de exclusão de arquivos de sistema Android e iOS e arquivos de Internet etc, por exemplo, para o PA? Ou há banco de dados de hashs disponíveis para download?
https://www25.senado.leg.br/web/atividade/materias/-/materia/136804
Colegas, me desculpem o assunto meio off-topic, mas creio que, como peritos, isso afeta a todos.
a PEC 76, também conhecida como PEC da Polícia Científica, está em tramitação no Senado, e tem que ser votada e aprovada até o fim deste ano, caso contrário será arquivada, e outra com o mesmo teor só poderá ser apresentada na próxima legislatura, daqui 4 anos.
esta é a hora de cobrar nossos congressistas, e usar a força dos nossos sindicatos pra cobrar deles também.
Colegas, me desculpem o assunto meio off-topic, mas creio que, como peritos, isso afeta a todos.
a PEC 76, também conhecida como PEC da Polícia Científica, está em tramitação no Senado, e tem que ser votada e aprovada até o fim deste ano, caso contrário será arquivada, e outra com o mesmo teor só poderá ser apresentada na próxima legislatura, daqui 4 anos.
esta é a hora de cobrar nossos congressistas, e usar a força dos nossos sindicatos pra cobrar deles também.
Sim. Uso a do NIST:
https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds
https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl/nsrl-download/current-rds
Origem 019 — 24/11/2023 16:18 a 16:18 — / De posse do MD5, add aqui
<Mídia oculta>
De posse do MD5, add aqui.
De posse do MD5, add aqui.
pelo menos é assim que faço.
Origem 020 — 29/01/2024 10:51 a 11:16 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Bom dia senhores, alguém já teve algum problema de compatibilidade hashcat - Windows - e NVIdia CUDADriver ? hashcat não está rodando por conta da leitura de uma biblioteca ?
Olá. Já sim. Minha placa de vídeo não tem CUDA atualizado devido a falta de suporte. Aí nesse caso usei a opção "--backend-ignore-cuda" para poder rodar o hashcat
Perde desempenho, porém para os casos que uso não é importante, pois nos casos mais críticos uso em uma placa com CUDA atualizado.
Pode usar outra placa. Eu as vezes uso um programa que interfaceia CUDA em placas da Intel. Funciona bem para algum programas que usam CUDA antigo. Talvez funcione para o hashcat, nunca testei <Mensagem editada>
https://github.com/vosen/ZLUDA
Eu vi num forum aqui
mas o sistema operacional só reconhecia o antigo
Origem 021 — 15/10/2024 20:04 a 20:04 — Extração e compatibilidade em Samsung SM8150
Pessoal, estou precisando de um firehose para o Poco X3 Pro (M2102J20SG)
HWID: 0x000a50e100720000
CPU detected: "SM8150"
PK_HASH: 0x1bebe3863a6781db
alguém teria? ou teria acesso a ROMs (clansoft? - volta e meia são distribuídos junto com o QFIL.exe)
(já olhei na base do Bkerler, não encontrado lá)
HWID: 0x000a50e100720000
CPU detected: "SM8150"
PK_HASH: 0x1bebe3863a6781db
alguém teria? ou teria acesso a ROMs (clansoft? - volta e meia são distribuídos junto com o QFIL.exe)
(já olhei na base do Bkerler, não encontrado lá)
Origem 022 — 30/10/2024 20:15 a 20:19 — Cálculo e verificação de hash em grandes volumes
Senhores boa noite, alguém tem o LED versão 1.34 ou posterior, tô com a 1.34 aqui, mas não tenho a base de hashes, queria ver se deixava ela completinha.
se alguém tiver tb tenho interesse
https://1drv.ms/u/s!AoU0TNXrWmLiw3LBzh6IZxfqYiv9?e=kJWC0q
Nesse link tem a versão 1.31
Origem 023 — 02/01/2025 19:50 a 21:46 — Ataque e recuperação de senhas com Hashcat, John ou PRTK
Opa. Fui eu que mandei essa msgm
É tranquilo esse esquema, se tiver todas as infos.
Hash da senha e o salt
Hash da senha e o salt
Aí tem que rodar em um hashcat e ter sorte que a senha de match
Se quiser compartilhar esse password.key e a base de dados locksettings.db eu vejo para você.
Já tivemos sucesso em vários casos. Os que não tivemos foram os que essas infos não foram coletados na extração de forma completa.
https://www.clansoft.net/dl/index.php?a=downloads&b=file&id=6583
Talvez esse aqui dê certo, lembro q já fiz algumas vezes, mas é bom ver se é o mesmo binário o firmware
O site é pago, depois vejo se tenho já baixado, minha conta tá sem crédito lá
De todo modo, pelo método que [MENCAO] mencionou de quebra de senha pelo hashcat com certeza terá sucesso
Que top esse site.
Muita coisa boa mesmo nesse site
Um G531BT fez FB no Premium aqui. Android 5.1.1 mesmo 😁
Origem 024 — 08/09/2025 10:15 a 12:14 — Metadados EXIF/JPEG e individualização de câmera
Bom dia.
Tens por ai o nome do App e o caminho padrão dele onde, por ventura, fiquem armazenadas as imagens?
Tens por ai o nome do App e o caminho padrão dele onde, por ventura, fiquem armazenadas as imagens?
vou ver se acho o laudo aqui, já faz um tempo
Referente ao segundo quesito, no relatório de etiquetas página 10 (dez), observa-se que
foram feitas pesquisas no aplicativo com.android.vending, que refere-se ao aplicativo conhecido
como Google Play, com o texto “Fake Chat Conversations (Conversas falsas)”, doravante
denominada FCC, no dia 15 de junho de 2018. Observou-se também, na página 9 (nove), pesquisa no
navegador Chrome com o texto “app que parece whatsapp”, sem data especificada.
foram feitas pesquisas no aplicativo com.android.vending, que refere-se ao aplicativo conhecido
como Google Play, com o texto “Fake Chat Conversations (Conversas falsas)”, doravante
denominada FCC, no dia 15 de junho de 2018. Observou-se também, na página 9 (nove), pesquisa no
navegador Chrome com o texto “app que parece whatsapp”, sem data especificada.
eu instalei no meu celular o aplicativo e fiz testes
depois eu apliquei essa mesma metodologia para verificar os prints no celular questionado e pude indicar quais eram falsas, e quais tinham características compatíveis com prints autênticos
Bom dia. Algum colega consegue tirar essa duvida:
Um arquivo de imagem suspeito foi encontrado no diretorio "/data/com.whatsapp/files/.Shared/cfd0ba42-bf64-40e7-8012-45598aed6e31.jpg"
Já fiz varias pesquisas e o maximo que encontrei se resumo a .Shared ser a pasta onde o WhatsApp armazena as mídias temporárias enviadas/recebidas primeiro e depois transferidas para as respectivas pastas, ou seja, arquivos de documentos para documentos do WhatsApp, arquivos de vídeo para vídeos do WhatsApp.
obs1: a imagem "original" (contendo metadados do aparelho e em alta qualidade) se encontra na galeria do aparelho celular, bem como outras imagens no mesmo ambiente.
obs2: não foi encontrado registro de envio da imagem na pasta Image do wpp. Busca por data e visualmente.
O quesito: A imagem em questão foi ou não compartilhada com alguem pelo usuário?
Um arquivo de imagem suspeito foi encontrado no diretorio "/data/com.whatsapp/files/.Shared/cfd0ba42-bf64-40e7-8012-45598aed6e31.jpg"
Já fiz varias pesquisas e o maximo que encontrei se resumo a .Shared ser a pasta onde o WhatsApp armazena as mídias temporárias enviadas/recebidas primeiro e depois transferidas para as respectivas pastas, ou seja, arquivos de documentos para documentos do WhatsApp, arquivos de vídeo para vídeos do WhatsApp.
obs1: a imagem "original" (contendo metadados do aparelho e em alta qualidade) se encontra na galeria do aparelho celular, bem como outras imagens no mesmo ambiente.
obs2: não foi encontrado registro de envio da imagem na pasta Image do wpp. Busca por data e visualmente.
O quesito: A imagem em questão foi ou não compartilhada com alguem pelo usuário?
Chegou a olhar no BD do wa?
No android as midias costumam armazenar o hash dos arquivos compartilhados no BD do wa.
Lá tbm consegue ver a flag se foi enviado ou recebido e para quem isso ocorreu.
Pode ser que os registros ainda estejam lá, mesmo que parciais. (Pode ser que nao tenha mais os interlocutores, mas o registro de comunicacao sim) <Mensagem editada>
No android as midias costumam armazenar o hash dos arquivos compartilhados no BD do wa.
Lá tbm consegue ver a flag se foi enviado ou recebido e para quem isso ocorreu.
Pode ser que os registros ainda estejam lá, mesmo que parciais. (Pode ser que nao tenha mais os interlocutores, mas o registro de comunicacao sim) <Mensagem editada>
o whatsapp salva no Msgstore.db, na pasta "message_media" o hash sha256 (convertido em base 64) dos arquivos trafegados
não olhei diretamente, mas pesquisei no PA pelo nome da imagem e so apareceu a da pasta .shared
sugiro olhar essa table
Veja lá. Acho que é o melhor caminho
blz, vou procurar
inclusive se ainda estiver disponível a URL pra download do arquivo .enc
vai ter a chave pra decripto nessa mesma table "message_media" (ou é na table "messages?)
No android é bem boa o BD do wa. Bem tranquilo de interpretar.
Se comparar com do iOS.
acredito que deve ser essa coluna
seria o hash da imagem original?
Nao. Esse é o uuid. O hash fica em outro local.
salvo engano, o campo na tabela é "media_hex"
que usa pra decriptografar o arquivo .enc
o arquivo .enc é o arquivo original transmitido
O arquivo alvo aqui n está na tabela mas está na pasta sent. Verifique o último backup e foi realizado dia 02/2024 sendo que a imagem foi criada e enviada no dia 03.
E ainda tava configurado pra mensal (estranho). Ou seja, o backup não foi feito com os "novos dados" Tentei fazer manualmente mas dá erro
Origem 025 — 16/10/2025 13:03 a 13:18 — Uso do IPED na triagem, indexação e análise
Pessoal, alguém sabe como excluir os arquivos de sistema Windows da extração do iped? Acredito que seja usando um arquivo de hashes. Se for mesmo, alguém tem um arquivo com esses hashes?
Muito grande. Pode montar a base baseado nos do NiST
Origem 026 — 28/10/2025 12:46 a 13:17 — Extração e análise de mensagens do WhatsApp
Pessoal, boa tarde. Onde eu baixo a versão beta do inseyets?
Bom dia. Qual é o padrão de hash calculado em cada arquivo pelo iped?
Boa tarde. Em Design Partner na aba Home. Tem que estar inscrito no programa.
Opa. Na 4.2.2 se não me engano é md5, sha1 e sha-256.
Configuração padrão [SEGREDO] sha1 e sha256
Dá para configurar menos ou mais. Para linkar arquivos do whatsapp, precisa estar com o sha256 ligado
/conf/HashTaskConfig txt
Origem 027 — 02/03/2026 15:14 a 15:20 — Cálculo e verificação de hash em grandes volumes
Pessoal, boa tarde. Vocês conhecem algum link que já tenha os hashsets RDS do NIST no formato para ser importado no PA?
Eu achei um recentemente, era em torno de 45-60GB, não lembro.
Vou ver aqui o link.
Vou ver aqui o link.
Origem 028 — 29/04/2026 20:52 a 23:03 — Apartir da versão 1.29 foi disponibilizado o jar "CalcLED.jar" dentro da pasta do
Apartir da versão 1.29 foi disponibilizado o jar "CalcLED.jar" dentro da pasta do led pra geração de hashes no formato do Led. No manual também tem explicando seu uso e funcionamento. Assim pode-se adicionar a base de hashes qualquer arquivos frutos do trabalho local de cada um
seria muito muito muito interessante nós ter um grupo que a cada "novo arquivo de hashes" fosse compartilhado pra ir aumentando a base dos hashes. E também enviar pro Wladimir pra ele adicionar lá e já vir com as novas versões do LED
o wladimir me disse que até na PF depende da boa vontade dos peritos em gerar os hashes e enviar para ele colocar nas versões seguintes 🤷🏻♂️🤷🏻♂️