Uso do IPED para indexação, visualização e triagem
Categoria: IPED, XRY, Magnet, Oxygen e outras ferramentas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre uso do IPED para indexação, visualização e triagem no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, Autopsy, FTK, EnCase, ADB, WhatsApp. Os termos mais recorrentes neste tema incluem: iped, mas, whatsapp, pra, https, esse, visualizacao, mensagem, esta, versao. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Usar o IPED para triagem rápida, indexação e visualização de mídias.
- Ajustar escopo e filtros para reduzir ruído em grandes bases.
- Registrar limitações quando o artefato depender de decodificação específica.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDMagnet AXIOMAutopsyFTKEnCaseADBWhatsAppTelegramiTunesPalavras-chave recorrentes
ipedmaswhatsappprahttpsessevisualizacaomensagemestaversaopeloarquivogithub.comunicamaisalgumaimagemestouDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 27/04/2017 22:59 a 23:01 — Uso do IPED na triagem, indexação e análise
Boa noite! Vocês estão utilizando o IPED?
caso usem, vocês sabem dizer se ele detecta mensagens ocultadas via esteanografia?
Origem 002 — 19/10/2017 16:58 a 17:15 — Provavelmente os senhores já estão a par de uma grande operação para combate
Pessoal, provavelmente os senhores já estão a par de uma grande operação para combate de um tipo de crime específico que acontecerá amanhã. Conversei agora com um dos delegados responsáveis e eles possuem o objetivo de fazer o flagrante baseado nas análises do perito realizadas no local. Pergunto... Qual ferramenta os senhores pretendem utilizar para análise no local? Aqui temos uma licença do encase portable que, particularmente, acho muito ruim. Também já vi uma ferramenta desenvolvida por um perito federal que seria bastante adequada para essa finalidade. Gostaria de saber dos colegas as suas estratégias... Sem expor muito a operação
Faremos em Alagoas também! O pop específica as ferramentas ideais
Usaremos o LED também
Sem ferramenta fica bem complicado
Usaremos os cases de HD , com bloqueio de escrita da USB e fazendo as buscas pelo LED
Como é mais de um alvo e só tem TD3
Usaremos cases mesmo
Os procedimentos encaminhados para nós só sugeriram usar o recuva.. 🙄
Origem 003 — 20/02/2018 17:45 a 18:04 — Uso do IPED na triagem, indexação e análise
Alguma dica para localizar Keylogger
Fiz indexação com IPED
Eu queria uma coisa fácil
Monta a imagen c ftk imager e passa antivirus.
Após uma varredura com antivírus em caso de insucesso, Pesquise os principais keylogger do mercado e realize busca pelos nomes.
Vai na inicialização do sistema e procura por algum exe suspeito
Origem 004 — 21/12/2018 10:36 a 10:36 — Uso do IPED na triagem, indexação e análise
Bom dia, estou com uma duvida no arquivo "Lista de Arquivos.csv" gerado apos a indexação feita pelo IPED (3.13.5): as colunas "Deletado" e "Recuperado" sao preenchidas apenas com true ou false. A duvida é qual a diferença pois estranhei que apareceu um arquivo em que deletado tava TRUE e recuperado FALSE. Penso que pode ser fragmento.
Origem 005 — 14/01/2019 12:33 a 12:36 — Extração e análise de mensagens do WhatsApp
qualquer dúvida, pode perguntar, sem probs. A interface no início parece meio difícil pq tá sem um manual específico dela. Mas depois que vc aprende o funcionamento, vc vai ver que adianta mto o serviço, principalmente quanto ao gerenciamento de profiles, jobs, regex, kff, indexação etc etc
Me manda as dúvidas que tiver que eu respondo praticamente na hora, só tenho o delay q o meu whatsapp não toca devido a um problema de segurança que temos no RJ
Tá joia... imagino q teremos dúvidas sim
Origem 006 — 14/01/2019 16:33 a 17:22 — Uso do IPED na triagem, indexação e análise
Ideal seria equipe do IPED oficializar para manter uma só tag oficial para servir de base para a evolução conjunta dele e das ferramentas/plugins associados
Se acharem a interface adequada e quiserem integrar no projeto, ok. Por mim não tem problema algum, fiz o código por diversão qnd quebrei o pé. Agora o Iped de verdade, tem q ser visto com os desenvolvedores dele. Se colocar em um Repositório para todos desenvolverem juntos, posso ajudar tb.
Origem 007 — 11/04/2019 10:48 a 10:48 — Uso do IPED na triagem, indexação e análise
Bom dia pessoal! Alguém tem um exemplo de arquivo de informações de caso no formato aceito pelo iped, o asap?
Origem 008 — 08/05/2019 11:10 a 11:10 — Extração e análise de mensagens do WhatsApp
Teoricamente apenas seria possível alterar os dados internos do whatsapp, como as marcações de data/hora das mensagens. Mas isso não afetaria a timeline do dispositivo, correto?
Origem 009 — 30/05/2019 10:13 a 12:09 — Uso do IPED na triagem, indexação e análise
Bom dia pessoal. Alguém por gentileza poderia explicar como importar a base de hash do NSRL para o IPED? Tentei com o comando -importkff apontando para o diretório e depois para o arquivo txt, mas sem sucesso.
https://forms.camara.leg.br/ex/enquetes/2205280
Vamos votar! Divulguem!
Oi [NOME], no RJ usamos uma interface chamada IIPED, além de todas as outras funcionalidades do Iped, ela também importa automaticamente isso. Se for de interesse, posso te passar o link da ferramenta.
Origem 010 — 07/06/2019 09:58 a 13:25 — Uso do IPED na triagem, indexação e análise
Pelo que entendi e fiz aqui o download é uma versao grafica para o iped.
coloca os dados do iped q vc ja tem na pasta IPEDFiles
e executa o iiped.exe
queria saber qual a ultima versao do IPED tem disponivel. Uso a 3.15.5
Eu tenho essa! Baixei esta semana no site da PF
Ok, ja baixando aqui
https://servicos.dpf.gov.br/ferramentas/IPED/
O IIPED eu testei até o 3.14.2. Uma das coisas do TODO era justamente adequar as novas funcionalidades do 3.15.6 a partir do change log.
Origem 011 — 21/06/2019 19:17 a 19:17 — Uso do IPED na triagem, indexação e análise
Boa noite! Alguém sabe se há alguma forma de indexar com o IPED arquivos de pasta de usuários protegidas?
Origem 012 — 02/09/2019 11:36 a 11:39 — Uso do IPED na triagem, indexação e análise
Bom dia. Vcs estão usando a versão 3.15.6 do iped? Aqui, essa versão tem apresentado alguns erros, como problemas na geração de relatórios e finalização abrupta de processamentos por falta de memória.
Estou usando, mas não tive problemas
Origem 013 — 20/09/2019 16:15 a 16:24 — Extração e análise de mensagens do WhatsApp
Pessoal, uma dúvida... a pasta Sent do WhatsApp armazena o q finalmente? Obg
Pela lógica... rsrs E ficam armazenados mesmo após vc apagar da galeria.
Origem 014 — 12/11/2019 15:03 a 15:05 — Extração e análise de mensagens do WhatsApp
Vcs já notaram esse bug / ausência de "feature" no PA?
No WhatsApp Viewer, as miniaturas de imagens apagadas são vinculadas
e visíveis, no PA, não aparecem na interface
Quase deixava essa evidência importante passar
Aparecia na aba imagens essas miniaturas no PA, mas sem vínculo com o whatsapp.
Origem 015 — 15/01/2020 12:21 a 12:28 — Uso do IPED na triagem, indexação e análise
Pessoal, boa tarde!
Para o conhecimento de todos, o Nassif disponibilizou o IPED no GITHUB:
https://github.com/lfcnassif/IPED
Para o conhecimento de todos, o Nassif disponibilizou o IPED no GITHUB:
https://github.com/lfcnassif/IPED
Conforme mensagem do mesmo,
"Ainda tem que melhorar bastante a parte de documentação, API, manual,
etc, mas já é possível colaborar."
"Ainda tem que melhorar bastante a parte de documentação, API, manual,
etc, mas já é possível colaborar."
Alguém aí já fez perícia em ultrassom? Rsrs
STK-20200115-WA0008.webp (arquivo anexado)
Origem 016 — 02/06/2020 13:58 a 14:11 — Uso do IPED na triagem, indexação e análise
boa tarde, alguem tem contato dos desenvolvedores do IPED ?? precisando tirar uma duvida
No github você pode abrir um ticket sobre a questão...
https://github.com/lfcnassif/IPED/issues
Origem 017 — 22/08/2020 18:01 a 18:16 — Existe alguma ferramenta que faca indexação de dados extraídos de memória RAM
Boa noite! Existe alguma ferramenta que faca indexação de dados extraídos de memória RAM?
FTK faz
Tem o Volatility, acho que é free.
Origem 018 — 22/08/2020 19:20 a 20:43 — Vc conseguiu fazer dump de memória num caso que estava ligado
Vc conseguiu fazer dump de memória num caso que estava ligado?
Eh tranquilo de usar, tendo o profile correto
Eu já usei o volatility
Queria saber se tem teria alguma ferramenta que já ajudasse a fazer a indexação, geração de relatório de forma organizada e tals
Não conheço mas como é feito em python bem capaz de existir alguma coisa relacionada no github
Origem 019 — 26/08/2020 11:20 a 11:20 — Uso do IPED na triagem, indexação e análise
Preciso de ajuda com o IPED
Alguém tem experiência?
Origem 020 — 27/08/2020 12:47 a 13:54 — Extração e análise de mensagens do WhatsApp
IMG-20200827-WA0007.jpg (arquivo anexado)
Pessoal, alguém vê possibilidade de dizer se esta imagem pode ter sido produzida ou não pelo usuário do celular?
Pessoal, alguém vê possibilidade de dizer se esta imagem pode ter sido produzida ou não pelo usuário do celular?
Ela tá no cache do aplicativo de visualização de fotos, então é difícil afirmar.
Só se conseguisse ver de qual pasta ele criou esse preview, olhando na base de dados do aplicativo talvez
Bom dia senhores!
Já ocorreu de acidentalmente extraviar um cartão SIM ou cartão de memória na sala da seção de perícias em informática e entregar o Laudo sem essa peça? Como foi a justificativa?
Já ocorreu de acidentalmente extraviar um cartão SIM ou cartão de memória na sala da seção de perícias em informática e entregar o Laudo sem essa peça? Como foi a justificativa?
Pode tentar olhar esse arquivo dbe1, no final do caminho, ver se é uma base de dados, e se nela tem o campo da pasta de onde foi criado o preview. Deve ter, para poder organizar as pastas no aplicativo
Beleza. Vou tentar. Muito obrigado!!
Glide é uma aplicação de vídeo chat
Então muito provavelmente deve ser uma imagem de perfil de alguém 🤔
Apesar de que o aplicativo também pode trocar imagens, como o WhatsApp, então pode ter sido uma imagem recebida ou enviada também
Tem o glide instalado aí?
Eu fui olhar no meu celular se tinha esse arquivo dbe1 aí e vi que não tinha, como ele estava dentro dessa pasta glide_cache, fui pesquisar o que seria essa pasta, então encontrei esse aplicativo
Aparentemente tem um aplicativo de visualização de imagens com esse nome também... Mas talvez não seja o caso
https://stackoverflow.com/questions/32406489/glide-how-to-find-if-the-image-is-already-cached-and-use-the-cached-version
Origem 021 — 01/09/2020 17:42 a 17:43 — Uso do IPED na triagem, indexação e análise
Alguém já baixou o IPED pelo GitHub? Quais arquivos devo fazer download no site https://github.com/sepinf-inc/IPED
se for buildar, todos
https://github.com/sepinf-inc/IPED/releases/download/3.18.2/IP [ID-CASO]
Obrigado! Não vou buildar, rs
Origem 022 — 03/02/2021 10:03 a 10:12 — Uso do IPED na triagem, indexação e análise
Caros, bom dia!
Aos colegas que tem utilizado o IPED, poderiam me ajudar com uma dúvida, por gentileza?
Nas versões mais recentes, os profiles de configuração estão separados por localidades (en / pt-BR). E no meu caso, a execução padrão aparentemente está utilizando o perfil "default" do idioma inglês (en\default). Com isso, a interface do IPED também passou a ficar nesse idioma.
Nesse contexto, saberiam me instruir como eu poderia processar o caso utilizando o perfil pt-BR?
Desde já, agradeço!
Aos colegas que tem utilizado o IPED, poderiam me ajudar com uma dúvida, por gentileza?
Nas versões mais recentes, os profiles de configuração estão separados por localidades (en / pt-BR). E no meu caso, a execução padrão aparentemente está utilizando o perfil "default" do idioma inglês (en\default). Com isso, a interface do IPED também passou a ficar nesse idioma.
Nesse contexto, saberiam me instruir como eu poderia processar o caso utilizando o perfil pt-BR?
Desde já, agradeço!
https://github.com/sepinf-inc/IPED/discussions/135
Para qualquer dúvida com relação ao IPED, se pode pesquisar no fórum de discussão no github:
https://github.com/sepinf-inc/IPED/discussions
👍
https://github.com/sepinf-inc/IPED/discussions
👍
😅
Passei batido aqui! Muito obrigado!😁
Passei batido aqui! Muito obrigado!😁
No seu caso, basta alterar o 'locale"(pt-BR) no arquivo LocalConfig.txt
Mas, tem que processar já em pt-BR. Se vc processar e depois querer mudar não vai funcionar direito
a indexação está amarrada ao locale utilizado no processamento (indexação)
Origem 023 — 16/07/2021 13:09 a 13:30 — Uso do IPED na triagem, indexação e análise
Bom saber, e falando em ransoware, estou com um caso aqui de 2 HDs de servidor, estou rodando o Plaso para pegar os logs dele e depois vou analisar as Hives no IPED para ver se acho alguma coisa a mais sobre o ataque sofrido, alguém teria mais alguma dica?
Veja os logs do powershell. Procure por entradas com o parâmetro encoded. O pessoal é danado pra usar esse parâmetro pra passar script codificado em base64
blza, vou ficar atento para isso tbm :)
Origem 024 — 10/08/2021 14:21 a 14:24 — Uso do IPED na triagem, indexação e análise
Alguém já viu esse erro?
Já vi quando o processamento é encerrado antes de concluir
<Mídia oculta>
IPED-SearchApp.log
IPED-SearchApp.log
mas pq acontece isso ?
agora não abre mais
Pelo que entendo o BD com os índices das evidências não conclui e daí apresenta esse erro
Origem 025 — 18/10/2021 12:16 a 12:25 — Uso do IPED na triagem, indexação e análise
Bom dia! Estou instalando o IPed no Ubuntu e esta ocorrendo esse erro. Alguém sabe o motivo? ocorre quando dou o comando mvn install
Vc está compilando pq fez alguma modificação no fonte? Sem o trace dos erros é complicado. Qual versão tentou compilar?
Se for só para usar, melhor baixar uma release pronta e usar.
Para usar no linux. java -jar iped.jar
Ta certo...vou desistir de tentar compilar kkk
Eu geralmente compilo sem problemas. Mas teria que ver se essa release tem algum problema nos arquivos de configuração
Origem 026 — 20/10/2021 12:34 a 12:39 — Uso do IPED na triagem, indexação e análise
Bom dia, Srs. Alguém poderia me indicar onde ou como posso baixar a última versão do IPED?
Eu baixo direto do git https://github.com/sepinf-inc/IPED/tags
Se quiser já compilado:
https://github.com/sepinf-inc/IPED/releases
https://github.com/sepinf-inc/IPED/releases
Origem 027 — 10/01/2022 10:23 a 10:26 — Uso do IPED na triagem, indexação e análise
Bom dia! Alguém teria o IPED v3.18.10 já compilado?
https://github.com/sepinf-inc/IPED/releases
https://github.com/sepinf-inc/IPED/releases/download/3.18.10/IP [ID-CASO]
Recomendo a versão 3.18.12
Correção de bugs mais recentes
https://github.com/sepinf-inc/IPED/releases/download/3.18.12/IP [ID-CASO]
Origem 028 — 09/02/2022 08:56 a 09:06 — Uso do IPED para indexação, visualização e triagem
Alguém pode indicar um programa para melhorar a visualização de placas de veículos em CFTVs??
Bom dia pessoal, qual o procedimento para adicionar um colega aqui do MT?
Origem 029 — 07/07/2022 08:49 a 10:11 — Extração e bloqueios em Redmi Note 7 Nao sei
Bom dia pessoal. Alguém já conseguiu obter acesso aos registros de Recovery Logs de um Xiaomi Redmi Note 7?
Nao sei informar. Recebi de outro coelga. Inclusive não tive tempo ainda de testar
Bom dia! Fiz um teste aqui comparando essa ferramenta e a transcrição do google via iped. A do google foi um pouco melhor. Só q o iped não gera um relatório dos áudios com as transcrições. Pelo menos no relatório que eu gerei dos áudios não veio.
Origem 030 — 20/07/2022 11:31 a 11:34 — Uso do IPED na triagem, indexação e análise
Bom dia, Srs.
Onde eu posso baixar a última versão do IPED?
Onde eu posso baixar a última versão do IPED?
https://github.com/sepinf-inc/IPED/releases/download/4.0.1/IP [ID-CASO]
Origem 031 — 17/08/2022 13:54 a 13:54 — Uso do IPED na triagem, indexação e análise
Boa tarde! Para quem faz uso do IPED, qual versão do LED estão utilizando?
Origem 032 — 22/03/2023 10:13 a 11:04 — Uso do IPED na triagem, indexação e análise
Senhores bom dia, alguém já conseguiu rodar bem o IPED 4.X com todas as novas funcionalidades, em alguma distribuição Linux ?? A pergunta se dá pelo fato de estarmos apanhando aqui do [NOME], em várias versões, pra conseguirmos instalar as versões necessárias das suítes que o IPED precisa (Java, python, sleuthkit,…), e fazer com que o Linux continue estável. Se sim, qual foi a distribuição ??
Tive vários problemas no Linux Ubuntu 22.04 com a 4.1. Até desisti, mas vou tentar novamente com esse novo release fix da semana passada (4.1.1
Nesse release do [NOME] 13 até que funcionou, o problema é que como a partir do [NOME] 11, que foi feito em cima do Ubuntu 18.04, ficou a necessidade de rodar o boot repair, depois de instalado, daí o boot ficou frágil, na primeira alteração que você faz no Linux, o boot de perde e você não consegue mais subir o S.O
Origem 033 — 13/04/2023 18:28 a 18:48 — Root em dispositivo Android para extração pericial
Senhores boa tarde, informo que depois de muita luta, conseguimos fazer funcionar o IPED 4 numa versão do Linux. Ele rodou bem numa versão do Ubuntu 18.04 que instalamos aqui. Deixamos ela bem enxuta e instalamos a suíte inteira, necessária pras novas funcionalidades do IPED 4, e uns quatro aplicativos do dia a dia, como o Caja Root e o Unblock. Mas a versão do Linux tá totalmente customizável, caso queiram adicionar mais alguma coisa. A versão final tá num formato ISO, bootável ou instalável. Caso alguém tenha interesse, posso compartilhar a ISO, ela ficou com onze gigas e pouquinho.
☝️eu tb tenho interesse!
Fizemos um scriptzinnho pro IPED, onde ele já inicia todo o ambiente necessário pro IPED rodar, inclusive o container python, e já fica no ponto só de mandar a linha de comando pro Java, ficou bem legal.
Voltando pro IC agora, já vou upar pra minha nuvem, e já compartilho, só preciso dos e-mails.
No momento que for necessário digitar alguma senha, root, navegador, outros mais, a senha sempre será de 1 a 6.
[EMAIL]
não seria melhor zipar e por senha [SEGREDO] público?
talvez te daria menos trabalho
Acho melhor por email amigão
Restringe pros peritos criminais
Origem 034 — 20/04/2023 20:19 a 20:19 — A solução está aqui nessa thread / / / / Obgdo a todos
A solução está aqui nessa thread
https://github.com/sepinf-inc/IPED/discussions/1656
Obgdo a todos que se dispuseram em ajudar, com as dicas de vocês acabei aprendendo coisas novas para futuros casos. Vlw galera 🙏🏽
https://github.com/sepinf-inc/IPED/discussions/1656
Obgdo a todos que se dispuseram em ajudar, com as dicas de vocês acabei aprendendo coisas novas para futuros casos. Vlw galera 🙏🏽
Origem 035 — 03/07/2023 19:37 a 20:13 — Extração e limitações em dispositivos Motorola
Boa noite!
Na experiência dos senhores (as) qual o software gratuito mais rápido e eficiente para indexar, analisar, recuperar dados em HD e gerar relatórios? é qual na versão comercial?
Na experiência dos senhores (as) qual o software gratuito mais rápido e eficiente para indexar, analisar, recuperar dados em HD e gerar relatórios? é qual na versão comercial?
IPED, Autopsy etc?
[MENCAO] recentemente vi relatorio de comparação feito pelo NIST sobre software forense. Melhor custo benefício é o IPED.
Uso o Autopsy mas percebi que é lento e ainda há algumas limitações.
https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt/federated-testing
Isso mesmo. IPED é uma ferramenta excelente.
Raras exceções o Autopsy traz informações que o IPED não traz (exemplo: extrações físicas de Motorolas)
Mas sem dúvida...o Autopsy é muito lerdo, é ideal pra deixar processando no fim de semana. IPED nisso é muito mais rápido porque já foi projetado pra usar SSD, núcleos do processador
Mas sem dúvida...o Autopsy é muito lerdo, é ideal pra deixar processando no fim de semana. IPED nisso é muito mais rápido porque já foi projetado pra usar SSD, núcleos do processador
Estou com um Positivo Twist Mini S431 (processador MTK MT6580) bloqueado por padrão de desenho. Estou tentando os perfis genéricos para esse fabricante de processador, mas, sem sucesso.
Vocês já pegaram algum desse modelo?
Vocês já pegaram algum desse modelo?
Origem 036 — 14/11/2023 14:34 a 14:58 — Root e extração em dispositivo Positivo
<Mídia oculta>
Alguem ja conseguiu acesso p copiar o hd? No [NOME] a partiçao esta como criptografada
Alguem ja conseguiu acesso p copiar o hd? No [NOME] a partiçao esta como criptografada
so' sabendo a chave
ou exporta os termos indexados pelo IPED de algum outro dispositivo apreendido
Origem 037 — 05/02/2024 16:18 a 16:30 — Uso do IPED na triagem, indexação e análise
Boa tarde.
Qual versão do IPED vcs estão usando? Qual a última versão?
Qual versão do IPED vcs estão usando? Qual a última versão?
https://github.com/sepinf-inc/IPED/releases
No link tem disponível a última versão do iped
Origem 038 — 21/03/2024 10:12 a 10:18 — Uso do IPED na triagem, indexação e análise
Bom dia, pessoal!
Tô com um caso aqui em que é necessário apenas verificar os registros de acessos remotos que foram realizados pelo software *anydesk*. É possível encontrar os acessos?
Alguém já fez análises desse tipo ?
Trata-se de um notebook com Windows 10.
Tô com um caso aqui em que é necessário apenas verificar os registros de acessos remotos que foram realizados pelo software *anydesk*. É possível encontrar os acessos?
Alguém já fez análises desse tipo ?
Trata-se de um notebook com Windows 10.
Olá. É possível sim.
faça a indexação no IPED que irá encontrar os Logs do Anydesk.
faça a indexação no IPED que irá encontrar os Logs do Anydesk.
Opa
https://www.synacktiv.com/en/publications/legitimate-rats-a-comprehensive-forensic-analysis-of-the-usual-suspects.html
Boa fonte ☝️☝️
Boa fonte ☝️☝️
Arquivos importantes:
%PROGRAMDATA%\AnyDesk\connection_trace.txt
%APPDATA%\AnyDesk\ad.trace
%PROGRAMDATA%\AnyDesk\ad_svc.trace
%APPDATA%\AnyDesk\chat\*.txt
%PROGRAMDATA%\AnyDesk\connection_trace.txt
%APPDATA%\AnyDesk\ad.trace
%PROGRAMDATA%\AnyDesk\ad_svc.trace
%APPDATA%\AnyDesk\chat\*.txt
Obrigado pela dica [MENCAO] para avisar que um "carinho na barriga" não se nega a nenhum celular!
deu certo!! valeu demais!!
deu certo!! valeu demais!!
😂😂😂😂
Jamais ia imaginar que tem que ficar acariciando o celular pra ele "liberar" os dados
Jamais ia imaginar que tem que ficar acariciando o celular pra ele "liberar" os dados
Origem 039 — 12/04/2024 14:57 a 16:23 — Extração e análise de mensagens do WhatsApp
Boa tarde,
Samsung Galaxy A14 (A146m/ds) com PayJoy Brasil , alguém jpa conseguiu remover ?
Samsung Galaxy A14 (A146m/ds) com PayJoy Brasil , alguém jpa conseguiu remover ?
Colegas, alguém gastou energia pra entender a chave de decriptografia dos arquivos de mídia do WhatsApp? como ela é gerada?
Eu estou fazendo um teste aqui de arquivos de visualização única...o arquivo pode ser baixado e a chave de decriptografia fica lá na tabela "message_media".... mas, no momento que o arquivo é aberto o WhatsApp apaga essa chave de decriptografia
Eu estou fazendo um teste aqui de arquivos de visualização única...o arquivo pode ser baixado e a chave de decriptografia fica lá na tabela "message_media".... mas, no momento que o arquivo é aberto o WhatsApp apaga essa chave de decriptografia
a URL pra download do arquivo .enc permanece, mas queria entender a lógica do WhatsApp pra gerar aquela chave da decriptografia
Acho que é AES256/GCM com padd
Sim, mas a minha dúvida é se existe uma lógica na geraçao desta chave
Eu queria ver se existe a possibilidade de decriptar um arquivo de visualizaçao única...pois fica lá URL (é possível baixar ele de novo) e o hash em SHA256 também fica armazenado na tabela message_media
Eu fiz o teste, se só baixar o arquivo de visualizaçao única, a chave de decriptografia fica lá na tabela
O "problema" é que se visualizar o arquivo, aí o whatsapp apaga essa chave 😔😔😔 (o que não acontece para os arquuvos normais)
Acho que com as ferramentas Ávila Forensics e Forensics tools vai te ajudar a entender melhor o conhecimento dessas chaves
Através do downgrade dos aplicativos
Chave [SEGREDO] na fonte é enviada usando cifra assimétrica com ECDH <Mensagem editada>
Então já era a chance de tentar remontar isso
Esses arquivos de visualizaçao única facilitam "destruir" a informação
Origem 040 — 10/05/2024 15:22 a 15:34 — Extração e análise de mensagens do WhatsApp
👆🏽👆🏽👆🏽 Boa tarde, pra montar os chats do WhatsApp no iped, precisa ajustar esse parâmetro no ParsingTaskConfig.txt, fica show, diálogos e transcrição automática já acompanhando os áudios, desde que as transcrições estejam habilitadas também. <Mensagem editada>
E pra gerar um relatório só com os marcadores, levando os chats, tem alguma configuração específica?
Origem 041 — 23/09/2024 09:32 a 09:55 — Uso do IPED na triagem, indexação e análise
Bom dia. Como vcs geralmente encontram e analisam arquivos referentes a máquinas virtuais em extrações de hds processadas com o iped?
Eu exporto o arquivo da VM
E processo separado de novo no IPED
Geralmente esses arquivos tem quais nomes e quais tipos de extensões?
Eu sou novato no setor 🥲
Aí tu passa só esse arquivo como entrada pro IPED
Origem 042 — 02/10/2024 21:18 a 21:37 — Uso do IPED na triagem, indexação e análise
Ja viu como fica no iped?
Tem um local no reader com os MSISDN e ai você vê que são os mesmos que o proprietário tem. No iped voce vai vendo as conversas e o numero muda ao longo do chat <Mensagem editada>
Origem 043 — 04/10/2024 16:39 a 17:12 — Extração em dispositivos Realme/Oppo
Boa tarde galera. Estou com alguns arquivos grandes dentro da pasta o IPED, com a extensão .hprof
certamente que sim, heap dump do java
porém, indicam que o seu processamento ou visualização falharam
Entendi, valeu [NOME]! Realmente deram alguns problemas de processamento aqui mas já resolvi
Origem 044 — 07/11/2024 13:08 a 13:31 — Uso do IPED na triagem, indexação e análise
<Mídia oculta>
alguem sabe dizer o que pode ser esse erro ao gerar relatório no IPED?
alguem sabe dizer o que pode ser esse erro ao gerar relatório no IPED?
Manda o log aqui
Erro mais comum é por falta de espaço no disco de destino.
Mas pode ser alguma configuração de java
Ou o destino já se encontra com a pasta do Iped. Pode colocar --continue no final da linha de comando
nao tou achando rsrs
Fica na pasta onde botou para gerar o relatório
Origem 045 — 26/12/2024 14:42 a 14:49 — Triagem visual de imagens e vídeos no IPED
Boa tarde, pessoal.
Peguei um tablet com android e tinha o TWRP nele. Fiz uma imagem com o dd /dev/block/mmcblk0 img.bin num cartão de memória. Estou tentando abrir no PA, mas não estou conseguindo.
Será que alguém poderia me ajudar?
Peguei um tablet com android e tinha o TWRP nele. Fiz uma imagem com o dd /dev/block/mmcblk0 img.bin num cartão de memória. Estou tentando abrir no PA, mas não estou conseguindo.
Será que alguém poderia me ajudar?
Tentou abrir com o IPED?
Tentei não. Acha melhor? O objetivo seria gerar um relatório para o pessoal da delegacia analisar.
Faça um teste. Pode lhe surpreender.
Manda o IPED abrir esse binário e dele vc gera um report.
ou tenta abrir no FTK imager
Acho que consegui no PÁ aqui. Hehehehe
Obrigado [MENCAO] e [MENCAO]. Vou guardar essas dicas para uso futuro.
Origem 046 — 13/02/2025 16:53 a 16:53 — Extração em dispositivos Realme/Oppo
Pessoal, recebi uma porção de CD e DVD junto com outras peças de informática.
Muitos deles aparentam estar vazios. Testei em dois drives diferentes.
Se forem muito antigos, é possível que se percam os dados? Alguém já viu isso?
Alguns são CD-R, então podem realmente não ter nada. Mas outros parecem ser de músicas, sem ser gravação caseira.
Muitos deles aparentam estar vazios. Testei em dois drives diferentes.
Se forem muito antigos, é possível que se percam os dados? Alguém já viu isso?
Alguns são CD-R, então podem realmente não ter nada. Mas outros parecem ser de músicas, sem ser gravação caseira.
Origem 047 — 25/03/2025 15:54 a 15:55 — Uso do IPED na triagem, indexação e análise
<Mídia oculta>
boa tarde, turma. alguem sabe dizer onde o tá esse arquivo de log p verificar esse erro no IPED?
boa tarde, turma. alguem sabe dizer onde o tá esse arquivo de log p verificar esse erro no IPED?
Na pasta onde vc salvou o processamento, entra na pasta iped e depois log <Mensagem editada>
Origem 048 — 15/04/2025 09:15 a 09:53 — Uso do IPED na triagem, indexação e análise
Bom dia pessoal, alguém sabe se no iped no campo de pesquisa eu consigo usar expressões regulares ou só consigo fazer isso incluindo minha regex no arquivo de configuração
dá pra usar o asterisco
Mas se eu quiser buscar por exemplo
\d{7}-\d{2}
Eu conseguiria?
\d{7}-\d{2}
Eu conseguiria?
Ou esse tipo de regex só na configuração dele
Achei aqui tem como fazer deixando a busca entre .//
Na tela inicial ele mostra como o 15 item
Bom dia!
No IPED-Search, que é a ferramenta de pesquisa e análise a ser utilizada após o processamento do IPED, há um help, em que são mostradas as regex suportadas pela *Lucent*, que é a biblioteca Java implementada no IPED. Há inclusive um link para página da referida, em que encontrará mais exemplos de utilização.
No IPED-Search, que é a ferramenta de pesquisa e análise a ser utilizada após o processamento do IPED, há um help, em que são mostradas as regex suportadas pela *Lucent*, que é a biblioteca Java implementada no IPED. Há inclusive um link para página da referida, em que encontrará mais exemplos de utilização.
Muito obrigado Danillo vou buscar aqui
Por nada, colega.
É possível fazer espécie de "query" (quem já utilizou EnCase 6 da antiga Guidance sabe do que estou falando), combinando regex e operadores lógicos, que juntamente com outros filtros, resolvem com eficácia o exame realizado.
É possível fazer espécie de "query" (quem já utilizou EnCase 6 da antiga Guidance sabe do que estou falando), combinando regex e operadores lógicos, que juntamente com outros filtros, resolvem com eficácia o exame realizado.
Muito bom saber disso, eu tinha visto q ele aceitava expressões lógicas, mas não juntando os dois
Origem 049 — 06/05/2025 14:29 a 15:18 — Extração e análise de mensagens do WhatsApp
Boa tarde! Qual ferramenta vocês recomendam para transcrição dos áudios de WhatsApp? A Cellebrite só fornece no pathfinder ou tem alguma outra ferramenta deles que faz transcrição? E o axiom?
iped?
[NOME] é só .opus
usamos o iped
👍🏻 recomendas alguma configuração em específico no iped? lembro vagamente que ele fornece algumas opções de bibliotecas de transcrição
Não próximas versões o Inseyets deverá integrar transcrição
Origem 050 — 16/05/2025 14:30 a 16:00 — Extração em dispositivos Realme/Oppo
Pessoal, não tenho muita experiência com o IPED, mas estou processando uma imagem ali e está demorando um tanto.
Percebi que ele usa no máximo 6 GB de RAM. Existe alguma forma de aumentar esse "limite" durante o processamento? Por exemplo, durante o fds?
Percebi que ele usa no máximo 6 GB de RAM. Existe alguma forma de aumentar esse "limite" durante o processamento? Por exemplo, durante o fds?
https://github.com/sepinf-inc/IPED/wiki/Performance-Tips
Ok. Entendi que o *enable robustImageReading* me ajudaria nesse caso.
Eu posso fazer essa alteração durante o parsing? Vai funcionar?
Eu posso fazer essa alteração durante o parsing? Vai funcionar?
É sim. Tá indo no Premium
Pelo acesso imediato, o Agent realmente já tinha sido instalado. O Premium que bugou bem no final e não continuou para o bf
Não. Tem que ser antes do processamento.
acabei de ver que essa opção já está em TRUE
Obrigado pela descrição, no meu caso é um bloqueado.
Vou comparar os demais dados com o do q estou trabalhando
Vou comparar os demais dados com o do q estou trabalhando
Origem 051 — 21/05/2025 15:06 a 16:50 — Uso do IPED na triagem, indexação e análise
Boa tarde.. por acaso algum dos colegas tem alguma documentação de como configurar o KFF da nist.gov (RDSv3) no IPED 4?
https://github.com/sepinf-inc/IPED/wiki/User-Manual#hashes-database-version--400
Origem 052 — 10/06/2025 15:52 a 15:55 — Uso do IPED na triagem, indexação e análise
[ERROR] [app.processing.Main] Processing aborted because of OutOfMemoryError. See the possible workarounds at https://github.com/sepinf-inc/IPED/wiki/Troubleshooting
ERROR!!!
acessei essa pagina deles no GitHub,
ERROR!!!
acessei essa pagina deles no GitHub,
Alguém ja passou por esse erro no IPED ao gerar um relatório grande ?
ja fiz isso "A solução recomendada é ativar a opção enableExternalParsing dentro de conf/ParsingTaskConfig.txt."
"O tamanho máximo do heap e o número de processos de análise externa podem ser ajustados com as opções externalParsingMaxMem e numExternalParsers."
tambem alterei para 1GB o "externalParsingMaxMem", o padrao [SEGREDO]
tambem alterei para 1GB o "externalParsingMaxMem", o padrao [SEGREDO]
Origem 053 — 23/08/2025 13:05 a 13:59 — Conexão USB, ADB e diagnóstico de porta em Android
Bom dia. Mas vc gostaria de criar o UFDR a partir de que? Vai fazer o parser da extração?
Tem muitos projetos no github pra parser do UFDR, que dá pra ter uma boa noção da estrutura.
Tem muitos projetos no github pra parser do UFDR, que dá pra ter uma boa noção da estrutura.
https://github.com/casework/CASE-Implementation-UFED-XML
Esse acima é um sax parser do XML do reader. Dá pra ter uma boa noção da estrutura do UFDR
A partir de um backup adb ou do iTunes, por exemplo.
Desconheço ferramenta gratuita que faça parser de todos os aplicativos e gere um UFDR.
No IPED tem um parser sax em java
https://github.com/sepinf-inc/IPED/tree/master/iped-parsers%2Fiped-parsers-impl%2Fsrc%2Fmain%2Fjava%2Fiped%2Fparsers%2Fufed
Acho que tem um parser simples de ufdr lá <Mensagem editada>
Origem 054 — 09/09/2025 12:28 a 12:52 — Extração e decodificação de bancos do WhatsApp
Bom dia. Uma vez processada uma extração feita com o pc3000, o iped apenas conseguiu indexar as conversas de Telegram, não interpretando as conversas de WhatsApp. Existe algum procedimento que deve ser feito antes para que o iped reconheça as conversas de WhatsApp?
Bom dia, não sei se seria seu caso, mas a depender da versão do Whatsapp ele tem mudanças em suas tabelas do banco.
Certa vez precisei usar uma versão mais antiga do IPED para conseguir montar a conversa, pois a versão do whatsapp era antiga. Da para ver olhando pelo log do IPED.
Certa vez precisei usar uma versão mais antiga do IPED para conseguir montar a conversa, pois a versão do whatsapp era antiga. Da para ver olhando pelo log do IPED.
nem sempre o IPED consegue indexar as conversas do WhatsApp
eu usava o "WhatsApp Viewer" pra abrir as conversas, mas só funciona até versões 2023 por aí
aí eu acabei criando um programa que lê as milhões de variações do banco msgstore.db ,e exporta as conversas
eu usava o "WhatsApp Viewer" pra abrir as conversas, mas só funciona até versões 2023 por aí
aí eu acabei criando um programa que lê as milhões de variações do banco msgstore.db ,e exporta as conversas
Origem 055 — 29/10/2025 08:08 a 10:21 — Extração em dispositivos Realme/Oppo
Pessoal, no IPED, quando a localização da pasta temporária do IPED está como DEFAULT no localconfig, onde ela fica?
/tmp
no windows acho que no %TEMP%
Eu não tenho muita experiência com o IPED e o que está acontecendo é o seguinte. Fiz a imagem de um HDD de 500GB, cuja extração em E01 deu 80GB. Setei o IPED no perfil forensic e o processamento está em mais de 200 horas sem finalizar.
Um colega comentou que poderia ser o fato de a pasta TEMP do IPED estar na mesma unidade de destino do processamento, mas sendo a %TEMP%, realmente não está na mesma unidade.
Esse tempo de processamento de 200h pra 80GB me parece ser excessivo. Alguém tem alguma dica?
Um colega comentou que poderia ser o fato de a pasta TEMP do IPED estar na mesma unidade de destino do processamento, mas sendo a %TEMP%, realmente não está na mesma unidade.
Esse tempo de processamento de 200h pra 80GB me parece ser excessivo. Alguém tem alguma dica?
Quais as tarefas estão sendo executadas no momento
sugiro desligar algumas tarefas:
- geração de grafo;
- geração de HTMLReport
sugiro desligar algumas tarefas:
- geração de grafo;
- geração de HTMLReport
tem que ver o que está pegando processamento. Na janela de processamento mostra quanto cada parser e tarefa está pegando
veja quem tá pegando muito e avalie se realmente é necessária tal tarefa/parser <Mensagem editada>
Pro básico, 80GB era para ser bem rápido
Há pouco fechei pra reiniciar o PC e continuar... Ai vejo isso...
a geração de grafo e html report eu desabilito nos txt de config né
Verifica consumo de ram, se não tá paginando
Vc quer dizer se a memória já não está no talo?
Isso, apesar q o Iped por padrão tem um limite, eu geralmente uso o comando -xms e -xmx pra aumentar a alocação
Esse tempfile tá pesado
bom jogar o tempo para outro disco, talvez um ssd
Acho q topou o heap da programa e não expandiu
Ele já não está na mesma unidade da extração/processamento. Está no C: junto com o Windows. Isso é igualmente ruim?
Cara, perdão. Não entendi.
Tá usando 16 GB q foi o máximo q o programa alocou
Realmente com dois SSD deve melhorar, ou jogar num SSD só?
tá... só pra entender... coloco a imagem no SSD1...
posso processar no ssd1 tbm?
e coloco o temp no ssd2? <Mensagem editada>
sei que o cenários ideal seriam 3 discos, mas sabe são as coisas né
mandei recomeçar em outra maquina agora... temp em um SSD... imagem e processamento em um segundo SSD... e sistema operacional num terceiro SSD
Poderia copiar o temp do que já processou e jogar no SSD e dar um - - continue no iped
O temp uma flag indexTempOnSSD no IPED config
Na minha experiência, o disco de indexação temp e destino é mais impactante no tempo
Se os três forem SSD NVMe o gargalo será o CPU e as configs de parsing escolhidas
é... o temp deixei num SSD (nvme) só pra rodar isso... a imagem e o destino do processamento estão num mesmo SSD (sata)... tá ok né?
Creio que não terá o melhor desempenho, até porque o destino é SATA, certo? Mas não levaria 200h pra 80GB 🤔
Origem 056 — 07/02/2026 08:43 a 09:08 — Extração e análise de mensagens do WhatsApp
Bom dia, eu utilizava o iped para analisar conversas de WhatsApp, mas estava ocorrendo muitos bugs, o 4.3 esta melhor em relação às conversas do WhatsApp? Vcs indicam utilizar o iped 4.3 com iped tools ou o ipediar 4.3?
Acho que os maiores ganhos foram a interpretação dos whatsapp de UFDR. Se você processa o whatsapp direto no Iped, independente se usa a interface do Ipedtools, ipediar ou direto no iped.exe terá o mesmo resultado. Importante é a configuração do parser do profile que escolhe.
Origem 057 — 10/02/2026 09:37 a 11:53 — Extração e análise de mensagens do WhatsApp
abri um UFDR aqui no IPED que o PA não reconhecia nenhuma conversa do WhatsApp que tivesse 2 participantes... deixei o parser só no INTERNAL do IPED e aí reconheceu tudo de boa!
Qual versão do iped vc usou [NOME]?
A mais recente né?
Essa tá excelente mesmo
Inclusive até nuvem eu peço, é só ter a decisão do juiz
Ainda tem o doc ai, [NOME]?
<Mídia oculta>
Ofício [ID-CASO] Solicitação de Desbloqueio Completo de Dispositivo.docx
Ofício [ID-CASO] Solicitação de Desbloqueio Completo de Dispositivo.docx
ja usei esse documento, eu mesmo assinando. eles respondem super rápido
Pessoal, afinal, o celular do [NOME] Vorcaro foi extraído de qual forma? Estava em AFU?
https://timesbrasil.com.br/brasil/pf-quebra-criptografia-do-celular-de-vorcaro-e-recupera-mensagens-apagadas/
materia super genérica..
Origem 058 — 13/02/2026 10:42 a 10:42 — Uso do IPED na triagem, indexação e análise
Bom dia a todos
Alguém pode me instruir como listar no iped, apenas um tipo de extensão de arquivo?
Por exemplo: listar apenas *.docx* <Mensagem editada>
Alguém pode me instruir como listar no iped, apenas um tipo de extensão de arquivo?
Por exemplo: listar apenas *.docx* <Mensagem editada>
Origem 059 — 15/02/2026 08:46 a 08:48 — Uso do IPED na triagem, indexação e análise
Bom dia , quero baixar o iped 4.3 , mas estou com uma dúvida...
Faço o download dos dois e coloco em uma pasta ou um é um incremento do outro com mais plugins?
Origem 060 — 15/02/2026 20:09 a 20:25 — Uso do IPED na triagem, indexação e análise
<Mídia oculta>
Tentei abrir o que estava salvo e veio esta mensagem.
Você sabe onde fica esse continue?
Tentei abrir o que estava salvo e veio esta mensagem.
Você sabe onde fica esse continue?
Boa noite pessoal.
Estava gerando um relatório, muito grande, e ao que me parece, o comprador deu tilt e desligou.
Ao retornar na pasta que estava gravado o relatório, tentei abrir e iped.exe e esta mensagem apareceu <Mensagem editada>
Estava gerando um relatório, muito grande, e ao que me parece, o comprador deu tilt e desligou.
Ao retornar na pasta que estava gravado o relatório, tentei abrir e iped.exe e esta mensagem apareceu <Mensagem editada>
boa noite Alfredo ! quando vc for executar em linha de comando o iped com caminho de origem e de destino e os demais profiles q por ventura vc esteja utilizando, vc também passa na linha de comando o --continue
[NOME], eu já estava gerando o relatório.
esse comando vai retomar o processamento
Eu uso a linha de comando, somente para fazer o processamento.
O relatório eu gero a partir do próprio Iped, em opções. <Mensagem editada>
O relatório eu gero a partir do próprio Iped, em opções. <Mensagem editada>
Origem 061 — 16/02/2026 12:37 a 12:37 — Uso do IPED na triagem, indexação e análise
Provável que o processamento não finalizou.
Veja o log do IPED pra mais informações
Veja o log do IPED pra mais informações
Origem 062 — 19/02/2026 14:55 a 14:58 — Extração e análise de mensagens do WhatsApp
Pessoal, sobre a parsing do WhatsApp no IPED, existe alguma maneira de eu transcrever apenas áudios de determinadas conversas e períodos?
Do jeito que está hoje não
Origem 063 — 07/03/2026 09:08 a 10:00 — Triagem visual de imagens e vídeos no IPED
https://www.instagram.com/reel/DVkAALwAsRs/?igsh=eGxwcHpncjRwN3Fs
Bom dia! Que mandinga é essa que extrai as msgs de visualização única do zap?
Será que os .enc ainda estavam disponíveis e baixaram? Vem o link do enc no db do zap para mensagens de visualização única?
Mas foi imagem né pelo que entendi <Mensagem editada>
Pelo oq foi falado, aparentemente ele escrevia as mgm em bloco de notas e depois enviava uma foto de visualização única.
As fotos nao foram recuperadas, mas esses textos dos blocos de notas sim. Algo nesse sentido.
As fotos nao foram recuperadas, mas esses textos dos blocos de notas sim. Algo nesse sentido.
Mas já vi em relatórios essas msgm de visualização única que o usuário envio e que foram recuperadas. Msgm de meses atrás
Oq nao recupera são as que recebeu, mas que enviou sim
Sim, áudios soltos
Nada, msgm, áudio e video grudado na conversa <Mensagem editada>
Tem a flag de visualização unica, mas conseguiu amarrar na conversa
Mas oq recebeu nao recuperou, apenas oq enviou
E era android. Caso do final do ano passado.
possivelmente os prints ou thumbnails. correlacionaram com o timestamp da mensagem de visualização unica
tanto que só pegaram a que ele mandava, o que o contato mandou não recuperaram
Tinha q verificar se nesse horário havia outra conversa. Já q o Moraes tá negando
o celular destinatário recebeu / visualizou?
eu já fiz uns testes dessas mensagens de visualização única e constatei que no Android os arquivos enviados tão indo parar na pasta "Shared"
É única para quem recebe, não para quem envia.
tem que pegar o celular do Careca
O [NOME] também conseguiu recuperar dessa forma
https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_%C3%A9-poss%C3%ADvel-recuperar-m%C3%ADdia-de-visualiza%C3%A7%C3%A3o-activity-7434041496527470592-3U1q?utm_source=share&utm_medium=member_android&rcm=ACoAADQveOcB-p75Opqri4K1VLmtHHb6oxsOd-g
somente o celular de quem enviou
Salvo engano, o iped já faz isso
Origem 064 — 07/03/2026 10:25 a 13:06 — Extração e decodificação de bancos do WhatsApp
"Extração de dados criptografados ainda presentes nos serviços do aplicativo;" seriam os .enc?
Acho que a matéria deu uma valorizada
Zap normalmente bloqueia print de mensagem única
Hum… faz sentido. Estou colocando na mesma cesta dois mecanismos diferentes. A pessoa mandava mensagens temporárias e não de visualização única.
Aí, o print funcionava
Para teste, fiz a captura de tela com imagem de visualização única. Não capturou a imagem enviada. Aparelho com Android.
Eu corrigi a informação. Na verdade, era mensagem temporária. Eu estava achando que eram mecanismos idênticos.
Não sei como funciona esse mecanismo, mas imagino que o aplicativo deve manter a imagem de visualização única apenas na memória RAM após alocação dinâmica. Não chega a ser armazenada em uma memória não volátil. Depois apaga a memória RAM e libera o espaço.
Eu também estou imaginando que ela fica no servidor até a pessoa abrir, não deve chegar no aparelho antes.
Testei isso também. Aparecia a mensagem informando que havia recebida a imagem. Sem abrir eu desliguei as conexões do celular e a imagem não abria. Ativando a conexão novamente, a imagem baixava e abria uma única vez.
no aparelho que envia, eu fiz uns testes. A mensagem de visualização única (mesmo depois de visualizada) ficou no msgstore.db o link pra download do arquivo na tabela "message_media" e a chave de decriptografia
<Mídia oculta>
Também não dá para abrir na web.
Também não dá para abrir na web.
no aparelho que recebe o whatsapp apaga a chave de decriptografia ao abrir a mensagem
https://www.tj.kyushu-u.ac.jp/evergreen/contents/EG2024-11_1_content/pdf/pp516-524.pdf
Ajuda a dar um norte 👆🏼
Origem 065 — 14/03/2026 11:56 a 13:16 — Artefatos e vestígios de uso do WhatsApp Web
Olha aí, é possível baixar os .enc de visualização única só ainda estiver disponível no servidor do zap
eu estou fazendo uns testes junto com o [MENCAO] Gil Faccin sobre isso
pelo menos no celular que enviou consegue se recuperar
inclusive testei envio de visualização única pelo WhatsApp web e usei a ferramenta do colega [MENCAO] e deu certo também pra recuperar
o que nao deu pra recuperar pelo whatsapp-web é visualização única recebida <Mensagem editada>
👍🏻 massa Isso já deveria ser feito pelo PA, né? Baixar essas mídias como opção à parte
O PA permite o uso de scripts python como plug-in. Talvez possa possibilitar a recuperação no próprio PA
Se eu não me engano, o whatsapp web não exibe mensagem de visualização única, exibe a mensagem para abrir pelo aplicativo
Iped faz algum tipo de tratamento de .encs?
.encs ficam no dispositivo?
Se a autorização for apenas para o aparelho, sem incluir nuvem, pode-se acessar os .encs?
Se a autorização for apenas para o aparelho, sem incluir nuvem, pode-se acessar os .encs?
Boa pergunta. Os links dos enc curiosamente são públicos, mas não sei como é considerado legalmente
Públicos no sentido de estar disponível para baixar pra quem tiver o link https
Origem 066 — 16/03/2026 14:25 a 14:52 — Extração e análise de mensagens do WhatsApp
Pessoal, alguém trabalha com transcrição de áudio no IPED? Qual configuração que usa? Whisper? Wav2vec2?
Qual é melhor custo benefício?
Qual é melhor custo benefício?
Fizemos testes com o IPED na nossa infra de transcrição com o whisper já.
Não usamos o Wav2vec2 pq já temos toda a infra pronta do whisper
Blz. Ia testar pra funcionar por esses dias, mas sou bem iniciante no assunto. O q q seria essa infra?
Conversamos no privado
Pessoal,
Já tiveram casos em que o WA tinha 2 contas?
É naquele esquema de dupla conta nativa do WA.
Sabem dizer se o IPED consegue diferenciar as conversas de cada uma das instâncias?
Já tiveram casos em que o WA tinha 2 contas?
É naquele esquema de dupla conta nativa do WA.
Sabem dizer se o IPED consegue diferenciar as conversas de cada uma das instâncias?
O PA diferenciou.
Na extração FFS ele tem essa estrutura
*Conta principal* /data/data/com.whatsapp/
*Conta secundária* /data/data/com.whatsapp/accounts/1003/
Na extração FFS ele tem essa estrutura
*Conta principal* /data/data/com.whatsapp/
*Conta secundária* /data/data/com.whatsapp/accounts/1003/
Origem 067 — 18/03/2026 07:20 a 07:20 — Recuperação de mensagens e vestígios do WhatsApp
<Mídia oculta>
📱Imersão: Passo a Passo de Como Recuperar Mídias de Mensagens de Visualização Única do WhatsApp
📅 Data: 26/03
🕗 Hora: 20h
💳 Valor do Investimento: R$ 69,99
☎️ [TELEFONE]
🔗 Para ingressar, acesse o link: [LINK-CONVITE-WHATSAPP]?mode=gi_t
📱Imersão: Passo a Passo de Como Recuperar Mídias de Mensagens de Visualização Única do WhatsApp
📅 Data: 26/03
🕗 Hora: 20h
💳 Valor do Investimento: R$ 69,99
☎️ [TELEFONE]
🔗 Para ingressar, acesse o link: [LINK-CONVITE-WHATSAPP]?mode=gi_t
📱Imersão: Passo a Passo de Como Recuperar Mídias de Mensagens de Visualização Única do WhatsApp
📅 Data: 26/03
🕗 Hora: 20h
💳 Valor do Investimento: R$ 69,99
☎️ [TELEFONE]
🔗 Para ingressar, acesse o link: [LINK-CONVITE-WHATSAPP]?mode=gi_t
📅 Data: 26/03
🕗 Hora: 20h
💳 Valor do Investimento: R$ 69,99
☎️ [TELEFONE]
🔗 Para ingressar, acesse o link: [LINK-CONVITE-WHATSAPP]?mode=gi_t