Wiki CompFor
Root, FRP, bootloader, JTAG, EDL e métodos de baixo nível

Root em dispositivos Android para fins periciais

Categoria: Root, FRP, bootloader, JTAG, EDL e métodos de baixo nível

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre root em dispositivos Android para fins periciais no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: root, esse, pra, android, foi, mas, tela, supersu, possivel, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Avaliar risco de alteração de dados antes de root.
  • Preferir procedimentos documentados e compatíveis com modelo/versão.
  • Registrar sucesso, falha e efeitos colaterais observados.

Ferramentas, sistemas ou marcas citadas

UFEDPhysical AnalyzerODINWhatsApp

Palavras-chave recorrentes

rootessepraandroidfoimastelasupersupossiveleledepoisbackuptwrpfazerdocumentodeucriptografadowhatsapp

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 14/08/2019 10:31 a 10:49 — Bootloader, desbloqueio OEM e risco de wipe

14/08/2019 10:31 · Membro 0004
pessoal, já conseguiram fazer root em um samsung com android oreo sem perder os dados?
14/08/2019 10:42 · Membro 0045
A partir do Android 7 a Samsung implementou um firmware que funciona idêntico aos demais fabricantes, pra rootear é necessário o desbloqueio físico do bootloader, o que fatalmente provoca o wipe. A solução talvez fosse fazer um backup de nuvem (é necessário ter o e-mail e a senha) ou um backup local via smart switch backup (é necessário ter o chip válido pra ativar algumas aplicações), pra tentar restaurar as informações, depois de rooteado.
14/08/2019 10:49 · Membro 0004
Entendi. Entretando, mesmo fazendo um backup local, perderia os dados marcados como deletados após o reset do root, correto?
14/08/2019 10:49 · Membro 0004
restauraria apenas aqueles que estavam ativos na memória

Origem 002 — 30/09/2019 10:45 a 12:07 — Extração e análise de mensagens do WhatsApp

30/09/2019 10:45 · Membro 0060
Bom dia! Alguém tem sugestão para responder se as msg do whatsapp estão íntegras?
Verifiquei a coerência das datas, se o telefone foi rooteado, e testei se o OS é original pelo SafetyNet Helper Sample.apk
30/09/2019 10:47 · Membro 0060
Mas tudo isso não impede uma manipulação no BD do Whatsapp se feita por um especialista
30/09/2019 11:01 · Membro 0010
Bom dia amigos! Preciso de um favor
30/09/2019 11:01 · Membro 0010
Alguém tem a versão atualizada do Led?
30/09/2019 11:04 · Membro 0092
Bom dia! Eu tb gostaria e se possível do KFF tb.
30/09/2019 11:13 · Membro 0078
Seria possível alterar as mensagens do sqlite sem fazer root?
30/09/2019 11:14 · Membro 0078
Pu teria como saber se o aparelho foi rooteado em algum momento e depois desfeito o root?
30/09/2019 11:16 · Membro 0078
Pensando aqui talvez fosse possível uma pessoa via twrp ou cwm extrair o sqlite para um computador, alterá-lo e depois inserir ele novamente no aparelho adulterado.
30/09/2019 11:17 · Membro 0078
Nesse caso se ele conseguir injetar a recovery sem fazer o root seria sim possível alterar o sqlite mesmo sem rootear o aparelho.
30/09/2019 11:37 · Membro 0060
Foi exatamente isso que pensei
Mas no laudo tenho que escrever de forma que existe essa remota possibilidade de fraude
30/09/2019 11:43 · Membro 0021
Bom dia!
O Delta encaminhou uma cópia de um documento oficial impresso e datado de 09.04.2018 e um computador. Ele solicitou a localização e extração do documento digital, e as datas de criação desse documento. Suspeita-se que o documento foi impresso com data divergente, data retroativa. Nos exames, constatou-se somente fragmentos relacionados ao documento impresso, 01) um arquivo temporário com a extensão TMP e armazenado em "...Windows/Temporary Internet Fles/Content.Word...", datado de 22.05.2018;
02) um arquivo com a extensão ASD localizado em "...$Recycle.Bin...", datado de 22.05.2018.
Com base nos fragmentos é possível inferir a data de criação e/ou modificação? É possível inferir que este arquivo foi criado no computador examinado ou só visualizado? Outras considerações?
30/09/2019 12:03 · Membro 0060
Eu faria considerações apenas em cima dos metadados do Word e do sistema operacional. Quanto ao fragmento é pesquisar quando é registrado nessa pasta
30/09/2019 12:03 · Membro 0021
É possível inferir que este documento foi visualizado no navegador MS Internet Explorer e/ou no site Outlook?
30/09/2019 12:07 · Membro 0021
Constatou-se só fragmentos. Não havia o documento do Word íntegro armazenado no HD examinado.

Origem 003 — 27/11/2019 13:43 a 14:21 — Extração e decodificação de bancos do WhatsApp

27/11/2019 13:43 · Membro 0023
<Mídia oculta>
Boa tarde, Srs. Apliquei root com twrp + supersu neste cidadão, e agora ele tá apresentando várias mensagens de erro, seguidamente, impossibilitando até autorizar a permissão de leitura. É um SM-G532M, com android 6.0.1. Alguém tem alguma solução?
27/11/2019 13:45 · Membro 0023
Se fazer a carga da rom original, pra tentar corrigir, eu perco os dados?
27/11/2019 13:47 · Membro 0088
[NOME], dias atrás eu peguei um G532M, pedi ajuda aqui no grupo
27/11/2019 13:48 · Membro 0088
Eu usei o tutorial q citei no youtube, deu muito pau na hora do supersu
27/11/2019 13:48 · Membro 0088
mas deu para extrair a física depois
27/11/2019 13:48 · Membro 0088
os bugs foram na hora da instalação do supersu
27/11/2019 13:49 · Membro 0088
foi o mesmo twrp e supersu do vídeo o que usaste?
27/11/2019 13:52 · Membro 0023
<Mídia oculta>
Não sei.. eu já tinha um guardado aqui.. mas acabei de usá-lo em outro e funcionou bem. Da uns alertas em vermelho ao rodar o supersu, mas depois que finaliza, liga o aparelho e funciona normal. Porém, nesse caso em específico, rodou o supersu da mesma forma, com alguns erros, mas passou. Só que ao carregar o SO, fica dando essas messagens de erro, erro no tocuhwiz, erro no android, e erros em aplicativos..
27/11/2019 13:53 · Membro 0045
Instalando outra firmware por cima resolve os erros. Não perde nada, se usar o Odin.
27/11/2019 13:54 · Membro 0003
Aconteceu isso comigo, mas era em um caso muito polêmico, então deixei assim mesmo.
27/11/2019 13:55 · Membro 0103
com a twrp vc pode copiar a partição inteira do android e montar no Physical Analyzer la no abrir avançado. Ai depois vc tenta recuperar
27/11/2019 13:56 · Membro 0092
Isso.. sem precisar realizar o root
27/11/2019 13:57 · Membro 0023
a twrp já tem acesso root?
27/11/2019 13:58 · Membro 0045
Essa família é criptografada, não dá pra usar o backup da twrp.
27/11/2019 14:00 · Membro 0103
a twrp nao inicio o SO. Copia o arquivo mmcblk0 e talvez da certo. Se montar a partição e a aparecer esse arquivo nao vai estar criptografado não. O android 6 é criptografado já?
27/11/2019 14:00 · Membro 0092
Não seria a partir do Android 7?
27/11/2019 14:01 · Membro 0088
Por exceção essa G532M já vem criptografada pelo q entendi rsrs
27/11/2019 14:01 · Membro 0045
Já é criptografado por natureza, de fábrica, independente do Android, essa família foi a quem mais me bateu.
27/11/2019 14:02 · Membro 0088
a maioria dos tutoriais pedem pra dar wipe na hora de root, mas tem esse no youtube que eu fiz, o twrp não deixou copiar, instalei o supersu, deu muito pau
27/11/2019 14:02 · Membro 0088
sem wipe
27/11/2019 14:02 · Membro 0088
lógico
27/11/2019 14:03 · Membro 0088
No caso, pra esse modelo, a maioria dos tutoriais de root sugerem Wipe, mas esse tutorial em específico não.
27/11/2019 14:07 · Membro 0023
Foi o que fiz aqui. Deu certo o root, o problema é essas mensagens de erro _dialogs_ que ficam aparecendo sem parar.
27/11/2019 14:08 · Membro 0023
Dai, não aparece aquela caixinha de dialogo do SuperSU, que pede a permissão pra leitura a memória física.
27/11/2019 14:09 · Membro 0023
E nem carrega mais nada, fica só aparecendo essas mensagens. 😖
27/11/2019 14:11 · Membro 0045
Se conseguir fazer a extração pode fazer, as mensagens se resolvem com a reinstalação do firmware.
27/11/2019 14:12 · Membro 0003
O meu que deu esse problema eu consegui abrir ainda o whatsapp sendo bem rápido enquanto o sistema estava ainda carregando
27/11/2019 14:16 · Membro 0023
Deu certo aqui. Abri rapidamente o SuperSU, ao carregar o sistema, antes de começar a aparecer as mensagens de erro. Configurei pra não perguntar, autorizar direto.
27/11/2019 14:18 · Membro 0088
Boa! Ia sugerir agorinha rsrs
27/11/2019 14:20 · Membro 0023
<Mídia oculta>
🙏🏼😂
27/11/2019 14:21 · Membro 0023
Agora é só esperar 6 horas.. 🙄

Origem 004 — 22/10/2021 07:21 a 07:33 — Root e extração em SM-G360BT

22/10/2021 07:21 · Membro 0009
Bom dia, pessoal! Alguém tem os arquivos para rootear o SM-G360BT/DS? Android 5.0.2. Patch 01-03-2017. Obg
22/10/2021 07:25 · Membro 0048
Creio que esses aí gravando um recovery twrp. Não sei exatamente qual, talvez esse aqui
https://dl.twrp.me/coreprimelte/twrp-3.1.0-0-coreprimelte.img.tar.html
22/10/2021 07:28 · Membro 0048
Ou talvez esse
https://androidfilehost.com/?fid=673956719939819775
22/10/2021 07:33 · Membro 0009
Valeu, [MENCAO] ! Testar aqui. 👍🏻

Origem 005 — 24/07/2022 10:28 a 10:32 — Extração Samsung em modo Download/ODIN

24/07/2022 10:28 · Membro 0096
Pessoal, bom dia. No 4PC não é possível desbloquear XT1033.
Lembro que já foi dito alguma ferramenta alternativa aqui pra conseguir. Alguém poderia relembrar, por favor?
24/07/2022 10:28 · Membro 0147
Será que foi pelo Odin?
24/07/2022 10:29 · Membro 0147
Porém acho arriscado
24/07/2022 10:29 · Membro 0096
Não. É MOTO G1.
24/07/2022 10:32 · Membro 0109
Esse não funciona pelo UFED mesmo. Temos usado o exploit de initroot. Vou enviar no privado um artigo explicando, precisando de ajuda, podemos ver amanhã.

Origem 006 — 19/03/2024 21:28 a 21:36 — Isso mesmo. Depois do método 4 ele fornece essa tela de tentar via

19/03/2024 21:28 · Membro 0105
Isso mesmo. Depois do método 4 ele fornece essa tela de tentar via recovery.

Nunca tivemos sucesso através dessa opção ainda.
Bom saber que infinix da boa.
19/03/2024 21:30 · Membro 0105
O 107m normalmente exploita no método 4.

Em alguns casos de celulares MTK, precisa ficar fazendo "carinho na barriga" do celular para que a tela não fique em off. Aí da boa o exploit.
Temos vários casos que foram com sucesso apenas se for feito isso.
19/03/2024 21:31 · Membro 0105
Em alguns, precisa esperar chegar até o método 4 para começar o "carinho". Se começar antes não funciona 🤣
19/03/2024 21:36 · Membro 0080
Esse carinho é não deixar apagar a tela?

Origem 007 — 20/12/2024 15:13 a 15:23 — Extração e compatibilidade em Samsung SM-J600GT

20/12/2024 15:13 · Membro 0096
<Mídia oculta>
Estou tentando um SM-J600GT aqui. É normal ficar nesse “checking device compatibility” por um bom tempo? Recomeçando porcentagem e tal?

Temos mandingas por aqui tbm?
20/12/2024 15:15 · Membro 0117
tentar deixar o aparelho com a tela ligada nos métodos 1 e 2 me parece ajudar nos acessos. Geralmente colocamos tela de "chamada de emergência" que a maioria fica com a tela ligada. Já nesse passo 4, ocorre isso às vezes e só esperando pra ver o resultado.
20/12/2024 15:17 · Membro 0105
Esse nem precisa de BF se não tiver secure startup. Pode ir direto para fisica. Já economiza um Voucher.
20/12/2024 15:18 · Membro 0096
Ah, tá. Mas esse processo em que estou é necessário pra se chegar na física tbm, certo?
20/12/2024 15:19 · Membro 0096
Show. Valeu pela dica.
20/12/2024 15:19 · Membro 0105
Esse processo é o de exploit
20/12/2024 15:19 · Membro 0105
Ele sempre irá ocorrer.
20/12/2024 15:19 · Membro 0105
O celular sempre irá (quando tem suporte) entrar em algum desses 4 métodos.
20/12/2024 15:20 · Membro 0105
Os com chipset unisoc tem um método extra.
20/12/2024 15:20 · Membro 0096
Falhou a tentativa 2 de 7 aqui tbm. Checando compatibilidade novamente…
20/12/2024 15:20 · Membro 0105
Sim. Ele tenta várias. Esse método 4 é o mais instável. Então pode ocorrer tbm reboot durante as tentativas.
20/12/2024 15:20 · Membro 0096
E o celular fica meio que piscando na tela do padrão [SEGREDO] isso né?
20/12/2024 15:21 · Membro 0105
Isso. É o próprio premium tentando deixar a tela ligada e gerando comunicações com o celular. Faz parte do processo.
20/12/2024 15:21 · Membro 0105
Os métodos mais comuns de dar ok no exploit são 1 e 4.
20/12/2024 15:23 · Membro 0105
O 4 acaba ficando por último pq ele pode causar a perda do AFU nos FBE.

Origem 008 — 24/04/2025 18:36 a 18:56 — G-532M-DS com inicialização segura, mais fácil de extrair pelo premium, UFED ou nao

24/04/2025 18:36 · Membro 0071
pessoal, G-532M-DS com inicialização segura, mais fácil de extrair pelo premium, UFED ou nao deve conseguir extrair por não conseguir inicializar o brute-force? alguém se lembra? Cel antigo, com fama de ser meio chatinho...
24/04/2025 18:36 · Membro 0071
nao me lembro bem dos perrengues... alguém com boa memória?
24/04/2025 18:49 · Membro 0071
perdão! premium conseguiu inicializar o brute-force, depois de circular entre versões diferentes
24/04/2025 18:50 · Membro 0105
Boa noite.

Esse é tranquilo quando não tem inicialização segura.

O caminho seria premium, contudo acredito que pode ter problema no exploit.

Normalmente esses com inicialização segura são chatos.
24/04/2025 18:50 · Membro 0105
Não sei se o PC3000 tem suporte para BF secure startup nesse aí. Nunca tive um para testar.
24/04/2025 18:56 · Membro 0071
pior que deu médio bom
24/04/2025 18:56 · Membro 0071
premium entrou, porém, fica na tela de brute-force, com zero attempts
24/04/2025 18:56 · Membro 0071
seria o "problema no exploit" que vc citou?