Wiki CompFor
Samsung, ODIN, firmware e modelos Galaxy

Pasta Segura da Samsung

Categoria: Samsung, ODIN, firmware e modelos Galaxy

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre pasta Segura da Samsung no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, ADB. Os termos mais recorrentes neste tema incluem: senha, pasta, quando, ele, segura, samsung, xry, ufed, mas, esta. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Identificar existência de contêiner separado e credencial própria.
  • Registrar se a ferramenta acessou ou não o conteúdo da Pasta Segura.
  • Evitar afirmar inexistência de dados quando o contêiner não foi aberto.

Ferramentas, sistemas ou marcas citadas

UFEDXRYADB

Palavras-chave recorrentes

senhapastaquandoelesegurasamsungxryufedmasestadowngradedecryptcellebriteromlaboratorioconsegueandroidacesso

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 02/08/2017 09:45 a 10:04 — Acesso a arquivos da Pasta Segura Samsung

02/08/2017 09:45 · Membro 0001
Bom dia! Alguém já pegou algum aparelho com o aplicativo pasta segura da Samsung? Con seguiu acesso aos arquivos?
02/08/2017 10:04 · Membro 0001
Samsung j2

Origem 002 — 04/01/2021 12:31 a 12:31 — Acesso a arquivos da Pasta Segura Samsung

04/01/2021 12:31 · Membro 0124
Pessoal, boa tarde. Estou com um Samsung S9 desbloqueado, mas com muito material de interesse na pasta segura que está pedindo um padrão que desconheço. Tem jeito de extrair esse conteúdo com o Cellebrite?

Origem 003 — 02/06/2023 19:35 a 19:35 — Acesso a arquivos da Pasta Segura Samsung

02/06/2023 19:35 · Membro 0117
Está com senha conhecida ou sem senha? Pq se removeram a senha de bloqueio, tipicamente apaga o conteúdo da pasta segura por segurança. Se está com senha conhecida, tenta fazer a smart flow nele. Muitas vezes a secure folder está montada e ele acaba pegando mesmo sem brute force.

Origem 004 — 02/06/2023 22:59 a 22:59 — Acesso a arquivos da Pasta Segura Samsung

02/06/2023 22:59 · Membro 0155
O aparelho está sem senha, se não me engano; na segunda verifico direito. Só sei que pede senha para desbloquear a pasta segura.

E aqui a gente só tem o xry atualizado.

Origem 005 — 03/08/2023 09:46 a 09:46 — Acesso a arquivos da Pasta Segura Samsung

03/08/2023 09:46 · Membro 0112
bom dia,
Galaxy S20 FE desbloqueado. Alguma solução pra pegar as informações da pasta segura?

Origem 006 — 28/12/2023 09:52 a 11:31 — Acesso a arquivos da Pasta Segura Samsung

28/12/2023 09:52 · Membro 0147
Acho que o amigo só tem o XRY lá no ES amigo [NOME]
28/12/2023 10:07 · Membro 0155
Nosso ufed tá bem desatualizado... Mas salvei seu comentário para quando o 4PC chegar. Valeu 👊🏻
28/12/2023 10:13 · Membro 0117
Tens o ufed com a smartflow já? Se sim, tenta uma FFS para ver se os arquivos que vieram do usuário 150 estão totalmente ilegíveis ou não.

Outra opção é tentar o downgrade pra ROM de 2021 já que o bit é o mesmo, mas há alguns riscos de ativar o knox e perder de vez o conteúdo da pasta segura. E então fazer uma exynos generic no xry e ver se vem (se essa rom for das que monta a pasta segura ao desbloquear o aparelho)
28/12/2023 11:31 · Membro 0155
Não temos. Downgrade é muito arriscado, e exibida generic foi retirado suporte da licença padrão 🫠

Origem 007 — 07/02/2025 17:53 a 18:03 — Compatibilidade e extração em dispositivos Samsung Galaxy

07/02/2025 17:53 · Membro 0004
Pessoal, na estrutra de diretórios do Android, onde fica o secure folder?
07/02/2025 17:59 · Membro 0105
Normalmente nas pastas com indicação do usuário com id 10
07/02/2025 18:01 · Membro 0004
Achei. No caso aqui foi user 150
07/02/2025 18:01 · Membro 0105
Isso nos casos de samsung.
Nos xiaomi (segundo espaco) aí é conforme o eq.
Pode ter algumas diferenças, mas tbm tem indicação do usuario com id 10.
07/02/2025 18:02 · Membro 0105
O id 0 é o padrão.
07/02/2025 18:02 · Membro 0004
Tem uma pasta media do usuário 0 e do 150
07/02/2025 18:02 · Membro 0105
O que for diferente, ai é o outro ou outros.
07/02/2025 18:02 · Membro 0105
Isso. Tem outros diretórios com indicação tbm do segundo espaço.
07/02/2025 18:03 · Membro 0105
De cabeça não lembro de todos, mas navegando vc consegue identificar esses users com id 0 e o 150
07/02/2025 18:03 · Membro 0105
Quando tem mais de um user, ele faz essa diferença

Origem 008 — 08/02/2025 09:24 a 09:53 — Conexão USB, ADB e diagnóstico de porta em Android

08/02/2025 09:24 · Membro 0037
<Mídia oculta>
Homem usa conta do Google para provar inocência em assalto; veja como salvar seu histórico https://glo.bo/dqjf4n8
08/02/2025 09:35 · Membro 0080
Bom dia [MENCAO] , falando sobre UID pasta segura, estou com Samsung com uid 95.
08/02/2025 09:35 · Membro 0080
IMG-20250208-WA0000.jpg (arquivo anexado)
08/02/2025 09:37 · Membro 0105
Bom dia.

Nesse caso não seria pasta segura, mas aquela função de dual app
08/02/2025 09:37 · Membro 0004
Entendi. Alguns podem variar o id
08/02/2025 09:37 · Membro 0004
Isso. Dois Whats por exemplo
08/02/2025 09:37 · Membro 0105
Isso. Função nativa do Android.
08/02/2025 09:38 · Membro 0105
Estranho pedir BF nesse caso.
08/02/2025 09:38 · Membro 0105
Normalmente ele fica decrypt quando consegue acesso ao user 0.
08/02/2025 09:39 · Membro 0105
Ou o BF seria para o user 0 aí?
08/02/2025 09:39 · Membro 0088
Parece ser pro 95 mesmo
08/02/2025 09:41 · Membro 0105
Nos logs não indica qual é. Apenas que "precisa" de bf para o 95.

Até agora todos que vi, quando consegue do 0 ele já deixa decrypt o 95.
Seria novidade esse aí, puq nao teria BF para dual app pq não pede senha para tal função.
08/02/2025 09:42 · Membro 0105
Interessante mesmo.
08/02/2025 09:45 · Membro 0105
É comum o premium se perder quando tem outros usuários. Por isso é bom, quando possível, conseguir o 0 e confirmar se tem mesmo o outro ativo.

Principalmente quando indicia senha alfanumérica para esses outros users.
Quando ele se perde, sempre fala que a senha [SEGREDO].
08/02/2025 09:48 · Membro 0088
O log informa que seria um BF adicional, creio que vá fazer 2 BF, não?
08/02/2025 09:50 · Membro 0105
Então, assim que consegue o decrypt do 0, normalmente ele já deixa o 95 em decrypt. Puq ai ele consegue o acesso a tudo.
08/02/2025 09:51 · Membro 0105
Provavel que o premium de um comando de "adb ls" e identifica que os diretórios do 95 estão em claro. Aí já some essa opção de BF para ele.

É o que temos visto nesses casos.
08/02/2025 09:52 · Membro 0105
Diferente das pastas seguras e segundo espaço. Nesses fica encrypt e exigem o BF quando estão ativados.
08/02/2025 09:53 · Membro 0088
Pode ser esse caso, ele chama de secure folder aí

Origem 009 — 15/12/2025 12:01 a 12:33 — Extração e análise de dados em iPhone/iOS

15/12/2025 12:01 · Membro 0112
atualizando:
instalei a versão 7.76.105 do Ufed, e deu certo.
extração FFS e secure folder
15/12/2025 12:12 · Membro 0146
Bom dia. Alguém também travou na atualização do firmware do turbolink na última beta?
15/12/2025 12:33 · Membro 0020
Pessoal, dando um feedback do feedback.

Estamos no laboratório com o [NOME] Sala, funcionário da cellebrite, e ele corrigiu essa informação.

No mundo IOS, dispositivos em brute force realmente são bloqueados de acesso a rede.

No mundo Android isso não é verdadeiro, ou seja, durante o brute force o dispositivo NÃO está bloqueado de acesso a rede sendo necessário o uso de Faraday bag.