Root em dispositivos Android para fins periciais
Categoria: Root, FRP, bootloader, JTAG, EDL e métodos de baixo nível
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre root em dispositivos Android para fins periciais no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, ODIN, WhatsApp. Os termos mais recorrentes neste tema incluem: root, esse, pra, android, foi, mas, tela, supersu, possivel, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Avaliar risco de alteração de dados antes de root.
- Preferir procedimentos documentados e compatíveis com modelo/versão.
- Registrar sucesso, falha e efeitos colaterais observados.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerODINWhatsAppPalavras-chave recorrentes
rootessepraandroidfoimastelasupersupossiveleledepoisbackuptwrpfazerdocumentodeucriptografadowhatsappDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 14/08/2019 10:31 a 10:49 — Bootloader, desbloqueio OEM e risco de wipe
pessoal, já conseguiram fazer root em um samsung com android oreo sem perder os dados?
A partir do Android 7 a Samsung implementou um firmware que funciona idêntico aos demais fabricantes, pra rootear é necessário o desbloqueio físico do bootloader, o que fatalmente provoca o wipe. A solução talvez fosse fazer um backup de nuvem (é necessário ter o e-mail e a senha) ou um backup local via smart switch backup (é necessário ter o chip válido pra ativar algumas aplicações), pra tentar restaurar as informações, depois de rooteado.
Entendi. Entretando, mesmo fazendo um backup local, perderia os dados marcados como deletados após o reset do root, correto?
restauraria apenas aqueles que estavam ativos na memória
Origem 002 — 30/09/2019 10:45 a 12:07 — Extração e análise de mensagens do WhatsApp
Bom dia! Alguém tem sugestão para responder se as msg do whatsapp estão íntegras?
Verifiquei a coerência das datas, se o telefone foi rooteado, e testei se o OS é original pelo SafetyNet Helper Sample.apk
Verifiquei a coerência das datas, se o telefone foi rooteado, e testei se o OS é original pelo SafetyNet Helper Sample.apk
Mas tudo isso não impede uma manipulação no BD do Whatsapp se feita por um especialista
Bom dia amigos! Preciso de um favor
Alguém tem a versão atualizada do Led?
Bom dia! Eu tb gostaria e se possível do KFF tb.
Seria possível alterar as mensagens do sqlite sem fazer root?
Pu teria como saber se o aparelho foi rooteado em algum momento e depois desfeito o root?
Pensando aqui talvez fosse possível uma pessoa via twrp ou cwm extrair o sqlite para um computador, alterá-lo e depois inserir ele novamente no aparelho adulterado.
Nesse caso se ele conseguir injetar a recovery sem fazer o root seria sim possível alterar o sqlite mesmo sem rootear o aparelho.
Foi exatamente isso que pensei
Mas no laudo tenho que escrever de forma que existe essa remota possibilidade de fraude
Mas no laudo tenho que escrever de forma que existe essa remota possibilidade de fraude
Bom dia!
O Delta encaminhou uma cópia de um documento oficial impresso e datado de 09.04.2018 e um computador. Ele solicitou a localização e extração do documento digital, e as datas de criação desse documento. Suspeita-se que o documento foi impresso com data divergente, data retroativa. Nos exames, constatou-se somente fragmentos relacionados ao documento impresso, 01) um arquivo temporário com a extensão TMP e armazenado em "...Windows/Temporary Internet Fles/Content.Word...", datado de 22.05.2018;
02) um arquivo com a extensão ASD localizado em "...$Recycle.Bin...", datado de 22.05.2018.
Com base nos fragmentos é possível inferir a data de criação e/ou modificação? É possível inferir que este arquivo foi criado no computador examinado ou só visualizado? Outras considerações?
O Delta encaminhou uma cópia de um documento oficial impresso e datado de 09.04.2018 e um computador. Ele solicitou a localização e extração do documento digital, e as datas de criação desse documento. Suspeita-se que o documento foi impresso com data divergente, data retroativa. Nos exames, constatou-se somente fragmentos relacionados ao documento impresso, 01) um arquivo temporário com a extensão TMP e armazenado em "...Windows/Temporary Internet Fles/Content.Word...", datado de 22.05.2018;
02) um arquivo com a extensão ASD localizado em "...$Recycle.Bin...", datado de 22.05.2018.
Com base nos fragmentos é possível inferir a data de criação e/ou modificação? É possível inferir que este arquivo foi criado no computador examinado ou só visualizado? Outras considerações?
Eu faria considerações apenas em cima dos metadados do Word e do sistema operacional. Quanto ao fragmento é pesquisar quando é registrado nessa pasta
É possível inferir que este documento foi visualizado no navegador MS Internet Explorer e/ou no site Outlook?
Constatou-se só fragmentos. Não havia o documento do Word íntegro armazenado no HD examinado.
Origem 003 — 27/11/2019 13:43 a 14:21 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Boa tarde, Srs. Apliquei root com twrp + supersu neste cidadão, e agora ele tá apresentando várias mensagens de erro, seguidamente, impossibilitando até autorizar a permissão de leitura. É um SM-G532M, com android 6.0.1. Alguém tem alguma solução?
Boa tarde, Srs. Apliquei root com twrp + supersu neste cidadão, e agora ele tá apresentando várias mensagens de erro, seguidamente, impossibilitando até autorizar a permissão de leitura. É um SM-G532M, com android 6.0.1. Alguém tem alguma solução?
Se fazer a carga da rom original, pra tentar corrigir, eu perco os dados?
[NOME], dias atrás eu peguei um G532M, pedi ajuda aqui no grupo
Eu usei o tutorial q citei no youtube, deu muito pau na hora do supersu
mas deu para extrair a física depois
os bugs foram na hora da instalação do supersu
foi o mesmo twrp e supersu do vídeo o que usaste?
<Mídia oculta>
Não sei.. eu já tinha um guardado aqui.. mas acabei de usá-lo em outro e funcionou bem. Da uns alertas em vermelho ao rodar o supersu, mas depois que finaliza, liga o aparelho e funciona normal. Porém, nesse caso em específico, rodou o supersu da mesma forma, com alguns erros, mas passou. Só que ao carregar o SO, fica dando essas messagens de erro, erro no tocuhwiz, erro no android, e erros em aplicativos..
Não sei.. eu já tinha um guardado aqui.. mas acabei de usá-lo em outro e funcionou bem. Da uns alertas em vermelho ao rodar o supersu, mas depois que finaliza, liga o aparelho e funciona normal. Porém, nesse caso em específico, rodou o supersu da mesma forma, com alguns erros, mas passou. Só que ao carregar o SO, fica dando essas messagens de erro, erro no tocuhwiz, erro no android, e erros em aplicativos..
Instalando outra firmware por cima resolve os erros. Não perde nada, se usar o Odin.
Aconteceu isso comigo, mas era em um caso muito polêmico, então deixei assim mesmo.
com a twrp vc pode copiar a partição inteira do android e montar no Physical Analyzer la no abrir avançado. Ai depois vc tenta recuperar
Isso.. sem precisar realizar o root
a twrp já tem acesso root?
Essa família é criptografada, não dá pra usar o backup da twrp.
a twrp nao inicio o SO. Copia o arquivo mmcblk0 e talvez da certo. Se montar a partição e a aparecer esse arquivo nao vai estar criptografado não. O android 6 é criptografado já?
Não seria a partir do Android 7?
Por exceção essa G532M já vem criptografada pelo q entendi rsrs
Já é criptografado por natureza, de fábrica, independente do Android, essa família foi a quem mais me bateu.
a maioria dos tutoriais pedem pra dar wipe na hora de root, mas tem esse no youtube que eu fiz, o twrp não deixou copiar, instalei o supersu, deu muito pau
sem wipe
lógico
No caso, pra esse modelo, a maioria dos tutoriais de root sugerem Wipe, mas esse tutorial em específico não.
Foi o que fiz aqui. Deu certo o root, o problema é essas mensagens de erro _dialogs_ que ficam aparecendo sem parar.
Dai, não aparece aquela caixinha de dialogo do SuperSU, que pede a permissão pra leitura a memória física.
E nem carrega mais nada, fica só aparecendo essas mensagens. 😖
Se conseguir fazer a extração pode fazer, as mensagens se resolvem com a reinstalação do firmware.
O meu que deu esse problema eu consegui abrir ainda o whatsapp sendo bem rápido enquanto o sistema estava ainda carregando
Deu certo aqui. Abri rapidamente o SuperSU, ao carregar o sistema, antes de começar a aparecer as mensagens de erro. Configurei pra não perguntar, autorizar direto.
Boa! Ia sugerir agorinha rsrs
<Mídia oculta>
🙏🏼😂
🙏🏼😂
Agora é só esperar 6 horas.. 🙄
Origem 004 — 22/10/2021 07:21 a 07:33 — Root e extração em SM-G360BT
Bom dia, pessoal! Alguém tem os arquivos para rootear o SM-G360BT/DS? Android 5.0.2. Patch 01-03-2017. Obg
Creio que esses aí gravando um recovery twrp. Não sei exatamente qual, talvez esse aqui
https://dl.twrp.me/coreprimelte/twrp-3.1.0-0-coreprimelte.img.tar.html
https://dl.twrp.me/coreprimelte/twrp-3.1.0-0-coreprimelte.img.tar.html
Ou talvez esse
https://androidfilehost.com/?fid=673956719939819775
https://androidfilehost.com/?fid=673956719939819775
Valeu, [MENCAO] ! Testar aqui. 👍🏻
Origem 005 — 24/07/2022 10:28 a 10:32 — Extração Samsung em modo Download/ODIN
Pessoal, bom dia. No 4PC não é possível desbloquear XT1033.
Lembro que já foi dito alguma ferramenta alternativa aqui pra conseguir. Alguém poderia relembrar, por favor?
Lembro que já foi dito alguma ferramenta alternativa aqui pra conseguir. Alguém poderia relembrar, por favor?
Será que foi pelo Odin?
Porém acho arriscado
Não. É MOTO G1.
Esse não funciona pelo UFED mesmo. Temos usado o exploit de initroot. Vou enviar no privado um artigo explicando, precisando de ajuda, podemos ver amanhã.
Origem 006 — 19/03/2024 21:28 a 21:36 — Isso mesmo. Depois do método 4 ele fornece essa tela de tentar via
Isso mesmo. Depois do método 4 ele fornece essa tela de tentar via recovery.
Nunca tivemos sucesso através dessa opção ainda.
Bom saber que infinix da boa.
Nunca tivemos sucesso através dessa opção ainda.
Bom saber que infinix da boa.
O 107m normalmente exploita no método 4.
Em alguns casos de celulares MTK, precisa ficar fazendo "carinho na barriga" do celular para que a tela não fique em off. Aí da boa o exploit.
Temos vários casos que foram com sucesso apenas se for feito isso.
Em alguns casos de celulares MTK, precisa ficar fazendo "carinho na barriga" do celular para que a tela não fique em off. Aí da boa o exploit.
Temos vários casos que foram com sucesso apenas se for feito isso.
Em alguns, precisa esperar chegar até o método 4 para começar o "carinho". Se começar antes não funciona 🤣
Esse carinho é não deixar apagar a tela?
Origem 007 — 20/12/2024 15:13 a 15:23 — Extração e compatibilidade em Samsung SM-J600GT
<Mídia oculta>
Estou tentando um SM-J600GT aqui. É normal ficar nesse “checking device compatibility” por um bom tempo? Recomeçando porcentagem e tal?
Temos mandingas por aqui tbm?
Estou tentando um SM-J600GT aqui. É normal ficar nesse “checking device compatibility” por um bom tempo? Recomeçando porcentagem e tal?
Temos mandingas por aqui tbm?
tentar deixar o aparelho com a tela ligada nos métodos 1 e 2 me parece ajudar nos acessos. Geralmente colocamos tela de "chamada de emergência" que a maioria fica com a tela ligada. Já nesse passo 4, ocorre isso às vezes e só esperando pra ver o resultado.
Esse nem precisa de BF se não tiver secure startup. Pode ir direto para fisica. Já economiza um Voucher.
Ah, tá. Mas esse processo em que estou é necessário pra se chegar na física tbm, certo?
Show. Valeu pela dica.
Esse processo é o de exploit
Ele sempre irá ocorrer.
O celular sempre irá (quando tem suporte) entrar em algum desses 4 métodos.
Os com chipset unisoc tem um método extra.
Falhou a tentativa 2 de 7 aqui tbm. Checando compatibilidade novamente…
Sim. Ele tenta várias. Esse método 4 é o mais instável. Então pode ocorrer tbm reboot durante as tentativas.
E o celular fica meio que piscando na tela do padrão [SEGREDO] isso né?
Isso. É o próprio premium tentando deixar a tela ligada e gerando comunicações com o celular. Faz parte do processo.
Os métodos mais comuns de dar ok no exploit são 1 e 4.
O 4 acaba ficando por último pq ele pode causar a perda do AFU nos FBE.
Origem 008 — 24/04/2025 18:36 a 18:56 — G-532M-DS com inicialização segura, mais fácil de extrair pelo premium, UFED ou nao
pessoal, G-532M-DS com inicialização segura, mais fácil de extrair pelo premium, UFED ou nao deve conseguir extrair por não conseguir inicializar o brute-force? alguém se lembra? Cel antigo, com fama de ser meio chatinho...
nao me lembro bem dos perrengues... alguém com boa memória?
perdão! premium conseguiu inicializar o brute-force, depois de circular entre versões diferentes
Boa noite.
Esse é tranquilo quando não tem inicialização segura.
O caminho seria premium, contudo acredito que pode ter problema no exploit.
Normalmente esses com inicialização segura são chatos.
Esse é tranquilo quando não tem inicialização segura.
O caminho seria premium, contudo acredito que pode ter problema no exploit.
Normalmente esses com inicialização segura são chatos.
Não sei se o PC3000 tem suporte para BF secure startup nesse aí. Nunca tive um para testar.
pior que deu médio bom
premium entrou, porém, fica na tela de brute-force, com zero attempts
seria o "problema no exploit" que vc citou?