Oxygen Forensic e Jet Imager
Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre oxygen Forensic e Jet Imager no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, Magnet AXIOM, IEF, Oxygen, ADB, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: root, mas, pra, https, mais, ele, pelo, fazer, oxygen, esse. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Avaliar Oxygen como alternativa complementar para extrações e triagem.
- Comparar suporte de modelo e capacidade de root com outras ferramentas.
- Documentar quando a ferramenta produzir resultado diferente.
Ferramentas, sistemas ou marcas citadas
UFEDXRYMagnet AXIOMIEFOxygenADBODINWhatsAppPalavras-chave recorrentes
rootmasprahttpsmaiselepelofazeroxygenesseandroidalgumserpodealgumausbocultamidiaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 15/05/2017 13:07 a 13:07 — Uso do Oxygen Forensic em extrações e análise
Nobres, boa tarde.
Alguém utiliza o Oxygen Forensic?
Origem 002 — 28/07/2017 00:03 a 00:11 — Root em dispositivo Android para extração pericial
https://forensicfocus.com/News/article/sid=2946/
☝Testei aqui, além de fazer root, com o preço de 1 cellebrite compra 20 Oxygen.
Ferramenta tá evoluindo bem.
https://www.oxygen-forensic.com/en/products/oxygen-forensic-detective/detective/jet-imager
Origem 003 — 25/01/2018 12:57 a 14:21 — Root e extração em SM-A710M
Boa tarde! Alguém já fez root no SAMSUNG SM-A710M?
Um Asus Zenfone 3 Max (ZC5220TL) bloqueado por código alfanumérico... Alguma sugestão de acesso?
Origem 004 — 08/03/2018 12:10 a 13:56 — Root em dispositivo Android para extração pericial
Consegui por esse método... pelo site https://desktop.firmware.mobi/ basta digitar o modelo e produzir um pacote do cf auto root
Esse site que vc mencionou é o novo site do https://autoroot.chainfire.eu. Neste ainda tem diversos autoroot para vários modelos
Origem 005 — 13/07/2018 09:47 a 09:50 — Root em dispositivo Android para extração pericial
Pessoal, Bom dia!
Estou com um J1 20FN com Android 5.1.1 desbloqueado que não consigo extrair o zap. Existe algum procedimento nesse caso sem root?
Vcs conhecem o root temporário?
Estou com um J1 20FN com Android 5.1.1 desbloqueado que não consigo extrair o zap. Existe algum procedimento nesse caso sem root?
Vcs conhecem o root temporário?
Segue o livro sobre celulares....
<Mídia oculta>
2015 - Rohit Tama_Donnie Tindall - Learning Android Forensics.pdf
2015 - Rohit Tama_Donnie Tindall - Learning Android Forensics.pdf
Origem 006 — 09/08/2018 18:12 a 18:30 — Root e extração em SMARTCALL
Boa tarde, pessoal. Só continuando a saga do programa espião, encontrei na partição "userdata" na pasta /Root/data/<nome maluco>/shared_prefs/ o arquivo de nome "SMARTCALL.xml".
Nesse arquivo estão as configurações do programa e consegui encontrar o nome do servidor (im.brunoespiao.com.br) e o nome do usuário, que possivelmente a investigação vai ligar ao nome do suspeito.
Nesse arquivo estão as configurações do programa e consegui encontrar o nome do servidor (im.brunoespiao.com.br) e o nome do usuário, que possivelmente a investigação vai ligar ao nome do suspeito.
Se algum dia mais alguém passar por isso, fica a dica.
Parabéns pelo empenho e obrigado por compartilhar!!!
De vez em quando, sai um Laudo bacana desses. Melhor que as extrações genéricas que a gente sempre faz.
Bem interessante. Parabéns.
Origem 007 — 18/09/2018 08:19 a 08:19 — Root em dispositivo Android para extração pericial
Alguém conhece um procedimento de root no S8 G950FD que não formate os dados?
Origem 008 — 16/10/2018 10:23 a 11:55 — Root e extração em SMN9005
Pessoal, mais uma vez peço para, se quiserem, acessar o link e dar uma comentada (curtir já serve). Vários vereadores já fizeram contato depois que a matéria começou a chamar a atenção e hoje vou a câmara.
Esse projeto é inédito para o IGP em Santa Catarina, pelo que sei, e pode ser copiado e levado aos executivos dos demais municípios-sede do IGP.
Se puderem entrar e curtir e deixar um comentário seria ótimo
Vivida pela maior parte dos institutos
É um projeto pioneiro e queremos copiar o convênio com outros municípios
Aqui em Alagoas tentaram convênio com uma prefeitura no interior pra ceder funcionários pro IC de lá, mas não deu certo por algum motivo político!
Acho muito legal esse tipo de projeto, inclusive apoio. Mas considero um absurdo precisarmos mendigar para, prefeitura, judiciário, mp, iniciativa privada, pra termos o minimo necessário para trabalhar
<Mídia oculta>
CF-Auto-Root-hlte-hltexx-smn9005 ROO com SUCESSO.7z
CF-Auto-Root-hlte-hltexx-smn9005 ROO com SUCESSO.7z
Root aplicado com sucesso. Segue o CF auto root para o modelo acima citado.
N9005?
Origem 009 — 22/10/2018 10:39 a 11:21 — Extração e limitações em dispositivos Motorola
Pergunta: algum estado adquiriu e utiliza outra ferramenta para perícias em aparelhos celulares que não seja XRY e UFED?
No RJ temos utilizado o _ForensicTools_ (desenvolvimento próprio).
Ok, mas não é comercializada, certo?
Magnet AXIOM
eficiente em algumas extrações Motorola
Recebemos uma licença de testes para o Oxygen Forensics
Infelizmente não foi adquirido
[NOME], eu tentei várias vezes
Fazer um teste com o oxygen
Qual a diferença do ief?
Origem 010 — 05/12/2018 09:03 a 09:07 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia... Não sei se já haviam reparado, mas talvez venha a calhar caso não:
Algumas vezes me deparei com twrp que não reconhece montar o cartão SD para instalar SU; porém, quando estiver na interface da TWRP, ao conectar o USB ele pode ser reconhecido no PC para manuseio, até mesmo para transferência de arquivos em alguns casos, permitindo colocar o arquivo SU diretamente na memória interna
Algumas vezes me deparei com twrp que não reconhece montar o cartão SD para instalar SU; porém, quando estiver na interface da TWRP, ao conectar o USB ele pode ser reconhecido no PC para manuseio, até mesmo para transferência de arquivos em alguns casos, permitindo colocar o arquivo SU diretamente na memória interna
Geralmente o usuário de shell do twrp já é root. Basta fazer um dd da memória ou logo um adb push
Não há necessidade de root ou su
Bom dia! Tenta retroagir a data do UFED para uma data dentro do período de licença válida e tenta instalar o pacote.
Origem 011 — 05/12/2018 11:14 a 11:14 — Root em dispositivo Android para extração pericial
Caso queira fazer o root ele tbm pode ser feito por sideload
Origem 012 — 07/03/2019 11:34 a 11:50 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal, caso alguém pegue os aparelhos xt1033, xt1040, xt1068 e xt1069. Se estiverem bloqueados, o UFED não faz a extração nem desbloqueia o aparelho. No entanto, fiz para esses aparelhos o patch descrito em https://alephsecurity.com/2017/06/07/initroot-moto para explorar a falha conhecida como *initroot*.
link para baixar os arquivos: https://github.com/leosol/initroot
após o fastboot continue, não se deve desconectar o aparelho do pc pois ele subirá já com adb, root e sem pedir autorização.
to com um XT1603 com senha, tem a opção no TOUCH 2, mas nao to conseguindo. Tem o tal do EDL mas não ta dando certo
bom dar uma lida antes para enteder como funciona: https://alephsecurity.com/2017/06/07/initroot-moto
Faz o teste para ver se é vulnerável.
EDL não funciona porque ele tenta usar uma função que não está disponível na maioria dos androids porque foi removido pelo fabricante. Essa informação foi repassada por um colega aqui do grupo e também passei pelo mesmo problema
Origem 013 — 18/04/2020 14:14 a 14:14 — Oxygen Forensic e Jet Imager
https://articles.forensicfocus.com/tag/com-apple-wifi-plist/
https://articles.forensicfocus.com/2018/05/28/apple-iphone-forensics-significant-locations/
Origem 014 — 17/06/2020 08:55 a 10:09 — Extração e análise de mensagens do WhatsApp
Pessoal, bom dia. Existe alguma solução pra extrair um Samsung sm-j200bt (j2), desbloqueado, COM PROBLEMA NA INTERFACE USB (SÓ CARREGA), SEM ROOT, Android 5.1.1 (patch segurança 2016-08-01)? já tentei até abrir pra tentar soldar o cabo na placa, mas tem um parafuso que não quer acordo na hora de remover a carcaça. A únicas opções que estou vendo são: extração via Bluetooth que não pega quase nada e exportar as conversas do WhatsApp por txt com o app no cartão. Será que não existe algum método para adquirir a memória para o cartão e que não dependa da interface USB?
Root sem usb é difícil
Qual o android?
Ele tá na versão 5.1.1... Existe algum root seguro pra esse modelo?
Pode tentar instalar kingoroot por bluetooth/cartão, colocar o celular na rede com firewall bloqueando tudo menos os servers do kingoroot, ver se ele faz root, e finalmente cono root fazer um dd parcelado pro cartão
Vou tentar montar a infra aqui.
Eu acho que o kingoroot cobsegue root, nem que seja provisório (softroot).Tipo ele pode nao cobseguir instalar o su na sustem, porem vc fica com acesso irrestrito as partições. INSTALA tb um terminal para vc dar os comandos depois para realizar o dump da partição userdata
Se o Lab de vcs tiver uma verba e for uma evidência importante, leva num técnico, dá 40 contos q ele ajeita a USB pra vc. Muitas vezes acontece isso aqui.
Depois de root, vc tb pode se quiser usar o adb por tcp
Eu peço esmola aos delegados, muitas vezes kkk
Tá aí que pode ser viável também
PTT-20200617-WA0004.opus (arquivo anexado)
Pretendo aprender a fazer esses consertos básicos, mas não eh da minha formação
Por enquanto vamos no virando assim eheh
É preciso root para tcp adb?
Em Rondônia não sai laudo nenhum de informática com mais de um item. Se vierem quinze itens no ofício, vão sair quinze laudos. Além de ser mais ágil pra ir entregando aos poucos, passa a ser mais justo com o nosso trabalho, em virtude de ser mais transparente e mais visível, com relação à quantidade de trabalho que a gente realmente produz.
Que eu saiba sim. Pq tem que derrubar o adbd (deamon no celular) e subir ele escutando tcp
Aqui no Ceará um perito ficou 6 meses sem entregar laudo. Começaram a fazer pressão por produtividade, até que tiveram a ideia de olhar o que estava acontecendo. Era um laudo de 35 cpus... Depois disso começamos a desmembrar
Aqui em MS já tentamos sensibilidar a direção, mas não conseguimos que desmembrem. Nossa proposta é que todo laudo teria no máximo 4 CPUS. Facilita expedição de laudos, gera uma "produtividade", e toda equipe ganha serviço ou pode trabalhar em uma mesma operação quando tem grande quantidade de material a ser examinado e se trata de urgente/emergente/flagrante/amigo do amigo..kkkk
A minha estratégia aqui foi diferente, eu convenci os delegados das maiores delegacias “clientes”, que seria mais rápido pra eles obterem os resultados das extrações e irem aos poucos realizando as restituições, daí como todos entenderam e concordaram, não teve como a direção do IC obstacular alguma coisa.
Origem 015 — 20/08/2020 11:57 a 12:08 — Root em dispositivo Android para extração pericial
Pessoal, alguém já conseguiu física ou, pelo menos, o root no Multilaser MS40G? Processador Spreadtrum SC7731E. Busquei aparelhos com o mesmo processador no 4PC, mas física só com ROOT.
Consegui extrair pelo spd research Tool, mas a rom não era exatamente a mesma e acabou brickando o aparelho eheh. E extraiu em pedaços q deu trabalho pra juntar, mas deu certo
Mas creio q usando a rom exata e configurando adequadamente o spd, dê certo
Origem 016 — 06/03/2021 15:00 a 15:13 — Extração e compatibilidade em Samsung XT1514
Boa tarde! Preciso de outra ajuda: referente ao initroot, haveria em algum repositório o arquivo initroot-xt1514-p64-MALICIOUS.cpio.gz?
no https://github.com/leosol/initroot tem a pasta do 1514, mas não tem a rom já patcheada
Boa tarde. Estou tentando extrair as conversas do Signal no com o Cellebrite PA. No Samsung a10 não vem nada e no Motorola A6 ele extrai, mas não decodifica. Alguma dica?
Origem 017 — 04/11/2021 01:23 a 01:23 — Root em dispositivo Android para extração pericial
Sim, eu cheguei a estudar um pouco isso, precisaria usar engroot para ter acesso root. Eu já mexi um pouco com esses firmwares, e não tive uma experiência tão boa, possivelmente por desconhecimento meu desse processo e, como apareceram outras coisas para fazer, minhas tentativas nessa direção acabaram escanteadas. Provavelmente valha uma nova tentativa.
Origem 018 — 13/01/2022 10:06 a 11:26 — Uso do Oxygen Forensic em extrações e análise
Acredito que eles não divulgaram isso. Mas provavelmente está relacionad a um UAF na gpu adreno ( CVE-2021-1905 e outros)
Vlw.. vou dar uma pesquisada.
Dá a entender que são mais de uma CVE ligadas a vulnerabilidades no módulo de kernel linux da qualcomm. Pela imprecisão de tempo, talvez usem alguma euristica ou técnica de bypass do aslr ou ROP gadget.
Vejo uma similaridade com o método cve-2021-28663 da gpu Mali que a oxygen forensics usa.
Já tem uns ataques nessa linha de GPU há algum tempo:
https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html
https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html
Tenho a sensação que é por aí mesmo, via gpu
Origem 019 — 03/02/2022 18:40 a 20:11 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Pessoal alguém já conseguiu fazer extração ou remover senha de Motorola xt1068 ou xt1550?
https://github.com/leosol/initroot
Se ele estiver vulnerável ao initroot
Hummm, vou testar aqui. Obrigado
Se não funcionar, o Xt1550 faz via EDL
xt1068 é bem de boa
devo ter algo pronto pra ele
Opa, eu baixei o init root dele para tentar aqui.
Qualquer coisa q tiver a mais será bem vindo 🙂
Qualquer coisa q tiver a mais será bem vindo 🙂
Origem 020 — 15/07/2022 15:10 a 15:38 — Bootloader, desbloqueio OEM e risco de wipe
Boa tarde. Gostaria de uma ajuda, se possível.
Aqui no RS estamos montando especificação técnica para licitar um servidor de quebra de senha.
Só consegui um orçamento. Alguém poderia indicar contato de fornecedores?
E alguém já passou por esse cenário e poderia compartilhar alguma especificação?
Aqui no RS estamos montando especificação técnica para licitar um servidor de quebra de senha.
Só consegui um orçamento. Alguém poderia indicar contato de fornecedores?
E alguém já passou por esse cenário e poderia compartilhar alguma especificação?
<Mídia oculta>
Boa tarde a todos. Alguém já pegou esse rapaz? Já chegou aqui na perícia mexido, tentaram alguma coisa com odin e afins.. fica só reiniciando mas consegui ir pra tela de download..
Boa tarde a todos. Alguém já pegou esse rapaz? Já chegou aqui na perícia mexido, tentaram alguma coisa com odin e afins.. fica só reiniciando mas consegui ir pra tela de download..
Tentei pelo processador não deu certo, pelo chipset tbm não deu
Qual versão do Android?
<Mídia oculta>
Tá assim .. 😑
Tá assim .. 😑
Aqui já tivemos sucesso fazendo a Física pelo modelo G360T
Tanto por Boot Loader quanto por EDL ADB
Obgdo, vou tentar aqui.
Ainda é possível aplicar root pelo KingoRoot ou twrp.
Bootloader é a melhor opção.
Bootloader é a melhor opção.
certo
Obgdo mais uma vez
Obgdo mais uma vez
Origem 021 — 31/08/2022 09:50 a 09:52 — Uso do Oxygen Forensic em extrações e análise
Alguém tem o contato de um representante da Oxygen no Brasil?
Oxygen Mobile Forensic
[NOME] Kirino [EMAIL]
Origem 022 — 10/02/2023 16:01 a 16:05 — Extração e limitações em Motorola XT1078
Boa tarde! Moto XT1078. Alguma opção pra fazer a física? Obg
Provavel que via initroot consiga.
Origem 023 — 10/02/2023 16:59 a 16:59 — / Tem o initroot pra esse
<Mídia oculta>
Tem o initroot pra esse, [MENCAO] ?
Tem o initroot pra esse, [MENCAO] ?
Origem 024 — 26/06/2023 11:17 a 13:46 — Extração e limitações em Motorola Moto E13
Bom dia, pessoal. Moto E13 com senha tem alguma forma de quebrar/burlar?
Por ser unisoc T606, provavelmente só o Premium/XRY Pro. O oxygen detective anunciou algum suporte a BF de unisoc, mas acho que esse não estava incluso.
Beleza. Obrigado, [MENCAO]
é o melhor caminho, já tive caso que só consegui recuperar pois tinha um de mesmo modelo dando sopa
As opções de recuperação são bem caras, tem uns guias DIY pra fazer câmara limpa pra desmontar, trocar disco, etc, dá um trabalho mas se quiser economizar dá pra tentar construir
Origem 025 — 14/08/2023 16:25 a 16:30 — Poderiam enviar de novo
Poderiam enviar de novo?
<Mídia oculta>
initroot-modified.cpio.gz
initroot-modified.cpio.gz
Origem 026 — 29/08/2023 17:20 a 17:49 — Root em dispositivo Android para extração pericial
Boa tarde!
Alguém tem o aplicativo/programa que é aberto via TWRP para acessar as pastas dos dispositivos Samsung antigos?
Além disso, alguém tem os nomes dos arquivos e caminhos para apagar por meio desse aplicativo (não lembro o nome agora) intuito de desbloquear o dispositivo?
Alguém tem o aplicativo/programa que é aberto via TWRP para acessar as pastas dos dispositivos Samsung antigos?
Além disso, alguém tem os nomes dos arquivos e caminhos para apagar por meio desse aplicativo (não lembro o nome agora) intuito de desbloquear o dispositivo?
/data/system/gesture.key [SEGREDO].key
Desbloqueio via exclusão de arquivos.
Posso usar o TWRP para excluir ou tem outro aplicativo?
se não me falha a memória depende a versão do android, em alguns pela twrp vc já consegue acesso aos arquivos, senão teria que usar algum explorador de arquivos root
Qual erro que da no UFEd?
"Cannot read phone memory (89)"
vai do passo 1 pro 2, pede pra reiniciar, mostra "finalizing" e dá isso
Até a versão 7 do Android.
Qual aplicativo/explorador você usa?
https://forum.xda-developers.com/t/guide-how-to-crack-android-pattern-lock.1800799/
Pesquisando encontrei o aplicativo:
AROMA File Explorer
AROMA File Explorer
Obrigado [MENCAO]!
https://drfone.wondershare.com/root/root-file-manager.html já usei os 3 primeiros deste link
<Mídia oculta>
aroma fm-varios.zip
aroma fm-varios.zip
tem várias versões nesse zip aí, pode ir testando até achar uma que dê certo com a recovery
bota dentro do cartão sd e pelo twrp faz como se fosse instalar que ele abre
Origem 027 — 23/01/2025 12:54 a 13:05 — Bootloader, desbloqueio OEM e risco de wipe
<Mídia oculta>
Boa tarde, Pessoal! Alguém aqui já conseguiu extrair dados de scanner automotivo?
Boa tarde, Pessoal! Alguém aqui já conseguiu extrair dados de scanner automotivo?
Android 5.1 esse aí
macete para esse aí, conectar numa rede isolada, fazer um compartilhamento, instalar um kingoroot ou semelhante, root, Usar o prŕoprio ESFileExplorer que vem instalado em modo root, zippar todos os dados de usuário, mandar pela rede
se quiser algo mais baixo nível, depois do root, instalar um terminal, subir um netcat fazendo DD para máquina destino do mmcblk0 <Mensagem editada>
Tenta descobrir o Chipset, se for mediatek capaz de conseguir a física por bootloader
Acho prático usar o ESFileExplorer se não for para tentar carving. Aí nem precisa de root
Se quiser carving, usa o root e transmite a imagem com dd por netcat
tem um banco sqlite em /data/data/com.xtooltech.X100PAD3/databases/main.db que tem dados dos relatórios da aplicação
algumas colunas têm até o NIV e as coordenadas geográficas do uso
No diretório do armazenamento interno denominado Diagnosis/traces/, existem registros codificados de prováveis comandos de operação (arquivos com extensão “.log”), dentre eles, os localizados em diretórios cujas nomenclaturas sugerem operações relacionadas a programação de chaves (prefixo do diretório contendo ‘PS_IK’ )
Origem 028 — 11/02/2025 12:20 a 12:42 — Extrações, importação e limitações no XRY
Boa taarde pessoal, alguém já contratou a ferramenta Oxygen Forensic Detective ? Existe representante no Brasil, é aquisição ou modelo de assinatura que nem o Insight ?
Boa tarde, [NOME]! Há muito tempo que n vejo representante deles no Brasil. Acho que não tem mais
Na época que peguei proposta (2016/2017) era perpétua
Até a XRY estava meio capenga das pernas, não sei como ficou.
estou precisando justificar a inexigibilidade do XRY em relação as outras ferramentas !