Magnet AXIOM/IEF em artefatos digitais
Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre magnet AXIOM/IEF em artefatos digitais no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, IPED, Magnet AXIOM, IEF, Autopsy, FTK, Tableau. Os termos mais recorrentes neste tema incluem: axiom, magnet, https, ief, www.magnetforensics.com, mas, imagem, arquivos, ser, programas. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Usar AXIOM/IEF como ferramenta complementar de artefatos e navegação.
- Validar achados relevantes no arquivo ou banco original.
- Registrar versão e módulos utilizados.
Ferramentas, sistemas ou marcas citadas
UFEDXRYIPEDMagnet AXIOMIEFAutopsyFTKTableauFileVaultiTunesiCloudPalavras-chave recorrentes
axiommagnethttpsiefwww.magnetforensics.commasimagemarquivosserprogramaspradvralgumamuitoficaferramentacarvingaquisicaoDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 16/03/2018 11:26 a 11:38 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia! Alguém sabe se a licença do IEF alcança o módulo de aquisição de imagens (Magnet Acquire)???
O magnet acquire é gratuito, é só logar com o usuário e baixar.
Origem 002 — 25/04/2019 09:10 a 09:10 — Magnet AXIOM/IEF em artefatos digitais
https://www.magnetforensics.com/resources/magnet-app-simulator/
Origem 003 — 23/05/2019 12:22 a 13:30 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia! Boa tarde! Senhores e senhoras, sugestões para realizar buscas, análises e identificação de programas para criação e editação de trilhas de cartões magnéticos e fraldes em cartões bancários e magnéticos?
Boa tarde [MENCAO], a maioria dos casos que pagamos no RJ desse tema, as ferramentas guardam seus dados capturados ou gerados em arquivos do tipo txt
nesses arquivos, geralmente aparecem as palavras "trilha", "senha", "conta", "agência" e coisas do gênero
se fosse eu fazendo um laudo desse tipo, seguiria uma linha de filtrar por txt, depois daria uma leve olhada por padrões em nomes dos arquivos. Tipicamente, sistemas Windows já tem muitos txts que vc vê em diversos casos, dai já podem ser ignorados. Os programas geram, normalmente, muitos arquivos com padrões de dados repetidos e padrões de nomes em sequência, por exemplo datas sequenciais
a partir dai, identificando a base de dados dos programas, vc vê a localização deles e, provavelmente, estará no mesmo diretório ou próximo do binário de captura ou de geração ou de gerenciamento dos dados
O laudo fica praticamente pronto dai. Caso vc queira algo mais completo, estando com tempo e a delegacia pedindo mais coisas, vc pode montar a evidência como um disco físico, fazer o mapeamento para um vmdk e analisar na Virtual Box
Dai, se pode inferir o funcionamento por grey box, analisando as comunicações da VM, os arquivos que são abertos, os processos iniciados e, por fim, a própria dinâmica de funcionamento do programa.
Espero ter ajudado.
Origem 004 — 12/07/2019 11:48 a 12:40 — Triagem visual de imagens e vídeos no IPED
<Mídia oculta>
Bom dia pessoal, estou com um HD aqui, fiz imagem atraves do Tableau (formato .E01) e indexei no FTK e IEF (infelizmente nao temos o Axiom aqui). Ja fiz varias buscas por esse GUID e nao encontrei o mesmo. Alguem tem alguma dica overpower pra achar esse danado ?
Bom dia pessoal, estou com um HD aqui, fiz imagem atraves do Tableau (formato .E01) e indexei no FTK e IEF (infelizmente nao temos o Axiom aqui). Ja fiz varias buscas por esse GUID e nao encontrei o mesmo. Alguem tem alguma dica overpower pra achar esse danado ?
Oi, [MENCAO] ! Já respondi a este tipo de quesitaçao aqui em SC! Esta info vem junto aos dados dos programas P2P! Normalmente em programas específicos, eMule é um deles, se não me engano! No IEF ou Axiom, ele já cria uma subcategoria com os GUIDs nos dados referentes ao programa!
No caso eu so achei o Shareaza no Hd
Mas nao veio essa subcategoria
Obrigado pela resposta Naty
Olha, acho que programas que utilizam a rede Gnutella que tem GUID! 🤔
Tentou ver se no autopsy tem algo relativo a isso?
O Shareazza usa tambem
Nao tentei no Autopsy [NOME], mas eh uma opção tb, caso nao encontre nesses que ja indexei 🤔
Já consegui ver no IPED tb!
<Mídia oculta>
P2P
P2P
Talvez seja básico, mas achei bacana a didática! 😁
Vou tentar rodar o IPED agora a tarde tb
Vou ler o documento agora a tarde Naty, obrigado pelo compartilhamento de conhecimento!
Origem 005 — 19/12/2019 11:59 a 12:53 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Bom dia!
A imagem gerada pelo [NOME] eu posso abrir no Autopsy ou outro software?
A imagem gerada pelo [NOME] eu posso abrir no Autopsy ou outro software?
Deu certo a aquisição? Qual a extensão do arquivo-imagem?
Imagem DD, extensão 00, 01, 02 etc.
o AXIOM ou IEF costumam abrir.
Abrindo pelo Autopsy percebi que não consegue interpretar os dados.
se nem o axiom abrir, talvez tenha que verificar se o filevault não está criptografando o disco. nesse caso, possivelmente precisará da senha do usuário, e fazer uma aquisição via Target Disk Mode.
Certo. Irei testar as ferramentas citadas.
A nova versão do FTK interpreta. Salvo engano 7.1.
Certo. Salvo engano não temos a versão atualizada do FTK.
Origem 006 — 03/03/2020 17:41 a 18:09 — Compatibilidade e extração em dispositivos Samsung Galaxy
Boa noite! Aos colegas que fazem perícia relacionada à pedofilia, há alguma dica para encontrar o GUID (_globally unique identifier_) de programas P2P sem termos que ligar a máquina para executar o software?
O axiom e o ief identificam após processar a imagem
Sabes informar no IEF onde fica?
Tô com um caso processado no axiom
Deve ser específico do eMule. No caso aqui é o ARES
Samuel, vc dispõe do AXIOM aí?
Procure na árvore de registros: \HKEY_CURRENT_USER\Software\Ares\
Lá, terá o valor "Personal.GUID"
Lá, terá o valor "Personal.GUID"
<Mídia oculta>
Forensic Analysis of Ares Galaxy Peer-to-Peer Network.pdf
Forensic Analysis of Ares Galaxy Peer-to-Peer Network.pdf
Este artigo pode ser útil na sua pesquisa. Dê uma olhadinha, também, no valor de registro "Personal.Nickname".
Obrigado! Irei olhar os parâmetros. Aqui não possuímos o Axiom, apenas o IEF.
Origem 007 — 12/08/2020 13:01 a 13:46 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde!
Programa pra conectar ao hardware (leitor de tarja magnética) e ler os dados do cartão.
Vi que um colega perguntou outro dia qual sobre o programa pra realizar a leitura da tarja magnética de um cartão.
Programa pra conectar ao hardware (leitor de tarja magnética) e ler os dados do cartão.
Vi que um colega perguntou outro dia qual sobre o programa pra realizar a leitura da tarja magnética de um cartão.
Leitor de tarja magnética.
Origem 008 — 04/09/2020 09:31 a 11:59 — Uso do Magnet AXIOM/IEF em artefatos digitais
Tem gente de Goiás no grupo?
Tem sim. Eu sou um deles.
https://www.magnetforensics.com/resources/web-page-saver/
Outra opção. Free 👆🏻
Não sei se eu não soube usar, mas parece que só grava jogo.
Gente, obrigado pela ajuda. Foram muito úteis.
Pra efeitos de teste, eu faria um dump da RAM, e experimentaria rodar no AXIOM.
Grava a tela normal tb
Pra gravar a tela conheço o OBS. Funciona bem Linux, Mac e Win e é free.
https://obsproject.com/
https://obsproject.com/
A gente faz muito pouca operação. O padrão [SEGREDO] os equipamentos já na perícia. Mas é bom ter uns programas standalones num pendrive para quebrar o galho num momento desses.
Origem 009 — 02/03/2021 17:25 a 17:26 — Extração e compatibilidade em Samsung SMARTPHONE
<Mídia oculta>
Descritivo Técnico - Magnet AXIOM (Computer + Smartphone).docx
Descritivo Técnico - Magnet AXIOM (Computer + Smartphone).docx
Segue o TR e o orcamento da ferramenta Axiom para quem tem interesse em adquirir ou renovar a licença.
<Mídia oculta>
QUO-07924-W9C2P3 - Aquisição AXIOM (2un) ICMS.pdf
QUO-07924-W9C2P3 - Aquisição AXIOM (2un) ICMS.pdf
Origem 010 — 04/08/2021 16:10 a 16:10 — Uso do Magnet AXIOM/IEF em artefatos digitais
Pessoal, boa tarde. Alguém aí trabalha regularmente com o AXIOM? Se sim, está tendo problema ao processar evidência com a última versão v5.3.0.25803. Processei e conclui um laudo na versão anterior e agora, após atualizar dá erro e não conclui o processamento da evidência (já tentei 3x e em duas máquinas diferentes)
Origem 011 — 06/01/2022 12:10 a 12:34 — Conta iCloud, localização e rastreamento de iPhone
Ou teria alguma ferramenta melhor?
Provavelmente vai ter 2FA, não?
Isso, estamos com o chip e autorização para o acesso
O Axiom, será q faz algum tipo de backup a partir do icloud?
Origem 012 — 20/01/2022 11:57 a 12:06 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia!
Preciso dar início a uma solicitação de compra de estações de trabalho, aquisição de FTK e AXIOM. Algum dos senhores sabem de algum ata vigente?
Preciso dar início a uma solicitação de compra de estações de trabalho, aquisição de FTK e AXIOM. Algum dos senhores sabem de algum ata vigente?
[NOME], o [MENCAO] tem um TR, com vários equipamentos, inclusive esses dois! Já bem avançado! Talvez ele possa lhe ajudar!
Valeu [NOME]! vou falar com ele.
Bom dia. Ata não sei, mas aqui no DF renovamos 5 AXIOM. Se puder contribuir com alguma coisa só chamar!
vou falar contigo no PV.
Origem 013 — 02/09/2022 11:06 a 11:21 — Backup criptografado do iPhone e senha do iTunes
Bom dia. Obrigado pelas dicas, [MENCAO]. Consegui gerar o log sysdiagnose, arquivo tar.gz. Como fazemos para extrair do aparelho esse arquivo? Vem no Backup do iTunes?
Acho que aqui tem detalhado:
https://andreafortuna.org/2020/10/09/how-to-extract-sysdiagnose-logs-for-forensic-purposes-on-ios/
Se vc tiver o AXION, tem esse binários no diretório de instalação dele tb
https://andreafortuna.org/2020/10/09/how-to-extract-sysdiagnose-logs-for-forensic-purposes-on-ios/
Se vc tiver o AXION, tem esse binários no diretório de instalação dele tb
https://github.com/libimobiledevice/libimobiledevice
No Magnet AXIOM
\Program Files\Magnet Forensics\Magnet AXIOM\AXIOM Process\x64\libimobiledevice\
\Program Files\Magnet Forensics\Magnet AXIOM\AXIOM Process\x64\libimobiledevice\
Tem o Magnet Aquire tb, fica aqui:
\Program Files (x86)\Magnet ACQUIRE\x64\libimobiledevice\
\Program Files (x86)\Magnet ACQUIRE\x64\libimobiledevice\
ótimo, temos o Axiom 👍🏻
AXION faz parser desse log, fica bem bacana
Origem 014 — 14/09/2022 07:57 a 09:10 — Extração e análise de dados em iPhone/iOS
https://www.grayshift.com/graykey/
Alguém aqui usa essa solução forense?
Que eu saiba ainda não estava disponível no país.
Que eu saiba tem venda limitada para algumas forças de segurança no exterior apenas. É um tipo um Cellebrite Premium. Um "blackbox" de extração. Tem parceria com a MagnetForensics.
E agora com a empresa do FTK tbm
https://www.magnetforensics.com/blog/how-to-get-graykey-from-magnet-forensics/
Acho que a MSAAB (do xry) tb tem
Nesse contexto, na minha opinião, Vejo um conflito de interesse da techbiz em comercializar esse produto no Brasil. Se eles representam cellebrite Premium que custa 1,6 milhões por 12 meses e também representam o axiom .... Dificilmente eles vão focar venda nesse produto que deve ser mais barato que o Ufed Premium
Segundo a última informação que me passaram o xry não possui solução de brute force para iOS
https://www.msab.com/updates/msab-grayshift-technology-alliance-partnership/
Então vai funcionar como um módulo adicional correto?
Deve ser igual ao do AXIOM. Vc tem que comprar o greykey e o AXIOM conversa direto com o BOX na extração
Tenho minhas dúvidas se a techbiz vai oferecer isso como adicional do axiom no lugar de ufed Premium.... Como governo a gente fica muito limitado ao fornecedor que possui exclusividade na comercialização do produto no Brasil. Viu perguntar pro gerente de conta
Ainda nao pode vender na america do sul
Retorno do [NOME] scovino da techbiz
Pelo que eu saiba, por enquanto, só as forças do 5Eyes, Korea do Sul e Japão, algo assim.
Bem, já tenho o retorno da techbiz... Estou aguardando retorno do pessoal que representa o xry
Origem 015 — 07/10/2022 10:46 a 11:48 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia. Estou com um DVR que está com HD comprometido. Tentei fazer a imagem do HD e o máximo que consegui foi uma parcial 53% dele. Passei o DVR Extractor nessa imagem parcial e ele "recuperou" cerca de 1000 vídeos em formato dav com cerca 400MB cada um. O problema é que todos os arquivos recuperados estão vazios. Alguém tem alguma sugestão?
https://www.magnetforensics.com/products/magnet-dvr-examiner/
Tem um trial de 30 dias
Tem um trial de 30 dias
Foi uma extração escolhendo data e hora ou de todo o conteúdo?
Não… aberta sem especificar nada
Vou testar… já tinha usado o trial do DVR examiner antes de ser da magnet. Era ruim pq ele te mostrava o q podia ser recuperado, mas para ter os arquivos mesmo, vc tinha q comprar a licença
Continua igual, só recupera alguns poucos arquivos e mesmo assim de escolha do programa (e vem com marca d'água)
Origem 016 — 21/10/2022 12:53 a 12:54 — Uso do Magnet AXIOM/IEF em artefatos digitais
Bom dia. Alguém tem noção de valores de uma licença do Axiom e do DVR Examiner?
Axiom ta +- 250mil, nao chega a 300
Origem 017 — 16/01/2023 20:48 a 22:24 — Uso do Magnet AXIOM/IEF em artefatos digitais
a MAGNET liberou esta ferramenta de aquisição de memória do windows (fica muito vestígio, senhas...sessões, pesquisas....)
https://www.magnetforensics.com/resources/magnet-dumpit-for-windows/
https://www.magnetforensics.com/resources/magnet-dumpit-for-windows/
Baixei esses dias, mas ainda não testei. Tem a para linux tb no github deles
Origem 018 — 24/03/2023 10:32 a 13:07 — Extração e análise de dados em iPhone/iOS
Bom dia, Estou com um IPhone XR (A2105) bloqueado. Existe alguma opção de extração ?
Mesmo que seja uma extração parcial.
No UFED não há.
checkm8 parou no X se não me engano.
Obrigado pela informação, [MENCAO].
Qual seria uma boa ferramenta para recuperação de vídeos apagados em uma partição NTFS?
IPED faz?
carving de H264 / MP4?
Axiom é bom para esse tipo de carving?
[MENCAO] , carving raw do DVRExtractor numa partição NTFS, daria certo?
se não for HD de DVR, o Photorec costuma ser o melhor pra fazer carving de arquivos.
Hmm talvez. Depende da fragmentação dos arquivos. E talvez aumentar o probesize e o analyzeduration
Magnet tem uma ferramenta específica para DVR:
https://www.magnetforensics.com/products/magnet-dvr-examiner/
https://www.magnetforensics.com/products/magnet-dvr-examiner/
O IEF (novo Axiom) faz carving de vídeos
Origem 019 — 17/04/2023 13:22 a 14:28 — Uso do Magnet AXIOM/IEF em artefatos digitais
Alguém já fez laudo em retorno de mandado judicial do google?
Vc precisa processar o retorno de mandado? Axiom processa.
Axiom processa o .zip ou o aiff4
Origem 020 — 12/06/2023 12:59 a 13:32 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde. Axiom processa sistema APFS de MacBook?
Sim. Muito bem inclusive
Vou testar. Estou conseguindo fazer a imagem pelo procedimento sugerido por [MENCAO] : [NOME] + guyimager 👏🏻. Mas tenho quase certeza q tá criptografado =/.
Boa tarde pessoal.
Alguém tem firehoose pra compartilhar 😅
Algum repositório ou algo semelhante.
Agradeço desde já
Alguém tem firehoose pra compartilhar 😅
Algum repositório ou algo semelhante.
Agradeço desde já
Opa, parece que achei 😅
Me corrijam se eu estiver errado
Me corrijam se eu estiver errado
Alguém já fez dump usando o QFIL? Pra mim sempre da erro no protocolo Sahara
Origem 021 — 19/08/2023 15:16 a 15:16 — Uso do Magnet AXIOM/IEF em artefatos digitais
Só fiz no axiom
Origem 022 — 10/11/2023 11:52 a 11:52 — Uso do Magnet AXIOM/IEF em artefatos digitais
https://www.magnetforensics.com/resources/encrypted-disk-detector/
Em pesquisa acabei encontrando essa ferramenta livre da Magnet... fica o registro tb.
Origem 023 — 21/12/2023 23:50 a 23:50 — Magnet AXIOM/IEF em artefatos digitais
https://www.magnetforensics.com/blog/ios-17-initial-access-support-for-magnet-graykey-and-magnet-verakey/
Origem 024 — 18/01/2024 16:26 a 16:26 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde senhores. Alguém sabe de alguma ata vigente de aquisição do Axiom?
Origem 025 — 30/09/2024 17:35 a 17:47 — Uso do Magnet AXIOM/IEF em artefatos digitais
O que aquela VERIFACT entrega que garante a validade da prova perante ao judiciário? Vcs sabem?
to fazendo uma coleta de provas aqui no Instagram
Se for para copiar site, recomendo usar a ferramenta da magnet:
https://www.magnetforensics.com/resources/web-page-saver/
Ela baixa tudo para pdf,png e/ou sqlite e faz o hash de tudo.
https://www.magnetforensics.com/resources/web-page-saver/
Ela baixa tudo para pdf,png e/ou sqlite e faz o hash de tudo.
Vc cadastra os endereços e ele baixa os endereços em pdf único se for o caso. Fica num formato interessante e com certo controle de integridade.
Mais uma vez, muito obrigado, [NOME]!
Em tempo: vocês aqui são sinistros demais! Sabem muito!!!!! 👏🏼👏🏼👏🏼👏🏼
Origem 026 — 17/03/2025 15:55 a 17:23 — Uso do Magnet AXIOM/IEF em artefatos digitais
Boa tarde, pessoal. Estou com dois computadores de uma câmara municipal na qual foi identificado o pagamento de boletos com códigos de barra alterados.
Eu consegui identificar vários malwares nos arquivos apagados e na pasta de downloads sendo alguns deles catalogados como malwares de bancos que podem alterar os códigos de barra. Porém, ao passar o antivírus nos arquivos do sistema, no caso o Windows defender, eu não consigo encontrar contaminação. Também vasculhei os históricos dos navegadores, mas sem sucesso ao achar alguma pista de como os arquivos foram baixados.
Por acaso, alguém teria mais alguma sugestão de algum procedimento para fazer? Obrigado.
Eu consegui identificar vários malwares nos arquivos apagados e na pasta de downloads sendo alguns deles catalogados como malwares de bancos que podem alterar os códigos de barra. Porém, ao passar o antivírus nos arquivos do sistema, no caso o Windows defender, eu não consigo encontrar contaminação. Também vasculhei os históricos dos navegadores, mas sem sucesso ao achar alguma pista de como os arquivos foram baixados.
Por acaso, alguém teria mais alguma sugestão de algum procedimento para fazer? Obrigado.
Pode ver os prefetchs, amshare da execução. Axiom é muito bom para análise de malware
Hum... pode ser útil mesmo. Vou ver aqui o que arrumo. O Axiom não tenho aqui. A gente tinha um IEF da Magnet coisa de mais de década pra trás.
Obrigado, pessoal, pelas dicas.