Wiki CompFor
Segurança, incidentes, malware, phishing e fraude digital

Apagamento indevido, backup e incidentes administrativos

Categoria: Segurança, incidentes, malware, phishing e fraude digital

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre apagamento indevido, backup e incidentes administrativos no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, FTK, ADB, WhatsApp. Os termos mais recorrentes neste tema incluem: backup, mas, dados, mensagens, whatsapp, pra, recuperar, fazer, apagadas, caso. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Avaliar logs, backups e possibilidade de restauração.
  • Registrar origem do incidente e comandos/contas envolvidos quando disponíveis.
  • Diferenciar recuperação técnica de análise de responsabilidade.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDFTKADBWhatsApp

Palavras-chave recorrentes

backupmasdadosmensagenswhatsappprarecuperarfazerapagadascasomensagemessebancopodeoperadoralaudoiphonechip

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 04/10/2017 08:37 a 08:42 — Aí tá de brinqueition

04/10/2017 08:37 · Membro 0001
http://www.cbsi.net.br/2017/10/profissional-de-ti-erra-script-e-apaga-16-mil-processos-do-banco-de-dados-doTCE-AM.html
04/10/2017 08:39 · Membro 0008
aí tá de brinqueition
04/10/2017 08:40 · Membro 0028
Famoso DELETE sem WHERE e com commit automático E sem backup
04/10/2017 08:40 · Membro 0008
sorte que tinham backup
04/10/2017 08:40 · Membro 0008
parece que vão recuperar totalmente os dados
04/10/2017 08:41 · Membro 0008
imagina só... apagou 80% dos processos de aposentadoria
04/10/2017 08:41 · Membro 0008
veja o tamanho da encrenca
04/10/2017 08:42 · Membro 0028
Tinha backup? Então pra que o alarde? Kkkkk
04/10/2017 08:42 · Membro 0008
porque é disso que o povo gosta
04/10/2017 08:42 · Membro 0008
um título de notícia bem alarmante

Origem 002 — 21/02/2020 06:44 a 08:41 — Spoofing de número e vulnerabilidade da caixa postal

21/02/2020 06:44 · Membro 0072
Esse procedimento com um aparelho double consegue pegar mensagens apagadas?
21/02/2020 06:50 · Membro 0003
É possível olhando os backups de dias anteriores. Como o WhatsApp guarda backup dos últimos 5 dias, você poderia recuperar mensagens apagadas até 5 dias atrás.
21/02/2020 08:14 · Membro 0088
Isso. Por isso aviso pros colegas agentes e delegados que conheço a deixarem sempre q possível desligado o aparelho, muitos achavam q deixar em modo avião já seria suficiente. Justamente pra evitar q um novo backup automático aconteça e um antigo com conversas apagadas se perca.
21/02/2020 08:15 · Membro 0088
Gosto muito desse método, rsrs. Teve uma vez q o chip tava bloqueado, eu avisei no laudo q se a operadora liberasse recebimento de SMS eu poderia recuperar conversas, o juiz deu a canetada e a operadora desbloqueou sem bronca, foi muito bom eheh
21/02/2020 08:16 · Membro 0088
Agora eu tô com um caso sem o chip, vou botar no laudo q se a operadora me enviar um chip eu recupero kkkk
21/02/2020 08:17 · Membro 0088
Vamos ver se vai rolar!
21/02/2020 08:17 · Membro 0083
Já já você recebe uma proposta pra trabalhar nas operadoras!
21/02/2020 08:18 · Membro 0088
Um colega me disse q já fez trocando o número do chip, nunca fiz, pq tenho receio de ter repercussão o fato de trocar o número
21/02/2020 08:18 · Membro 0088
Todos os contatos do alvo
21/02/2020 08:18 · Membro 0088
Vão receber aquele aviso e tal
21/02/2020 08:19 · Membro 0088
Aí vou ser mais mal pago do q somos agora na pcpe kkkk
21/02/2020 08:28 · Membro 0010
Bah cara mais essa técnica aí é perfeita!
21/02/2020 08:28 · Membro 0003
Eu peguei um caso [ID-CASO] que eu fiquei com muita vontade de fazer esse seu método. Botei no laudo que poderia recuperar as conversas se autorizassem receber um SMS no chip, mas nunca obtive resposta...
21/02/2020 08:29 · Membro 0010
Pra celulares bloqueados
21/02/2020 08:30 · Membro 0003
Para bloqueados não dá para retirar o arquivo de banco de dados do WhatsApp. Só funciona se tiver backup na nuvem, mas nesse caso precisaria das credenciais
21/02/2020 08:30 · Membro 0010
Aqui temos um bom relacionamento com o MP e judiciário, vou já sugerir ja pra colocar no pedido do MP e na decisão do juiz!
21/02/2020 08:30 · Membro 0010
Sim precisa da conta Google também
21/02/2020 08:31 · Membro 0010
Mas! Tô pensando em uma espécie de "grampo telefônico" legalizado
21/02/2020 08:31 · Membro 0003
Pior que nesse caso que falei o acusado, depois de ter o celular apreendido, pediu para fazer uma ligação e desinstalou o WhatsApp. Foi vacilo da delegacia
21/02/2020 08:33 · Membro 0003
Para não usar o chip poderia fazer uma caixa postal para a linha, usar o exploit de acessar a caixa via linha IP e pegar o código de ativação do WhatsApp 🤣🤣
21/02/2020 08:36 · Membro 0003
Mas nesse caso eu fiquei umas duas semanas pesquisando e escovando bits para tentar recuperar a chave, mas não teve jeito... Para piorar a situação o celular estava com memória praticamente cheia. Então botei no laudo que esse seria o único método que eu visualizava como viável para recuperar as conversas
21/02/2020 08:41 · Membro 0088
Deu certo no zap business, [MENCAO] ?

Origem 003 — 14/05/2020 19:47 a 20:27 — Root em dispositivo Android para extração pericial

14/05/2020 19:47 · Membro 0013
Eu tenho um mi A2. Quando percebi a chatisse para rootear o meu, desisti
14/05/2020 20:02 · Membro 0088
<Mídia oculta>
Até na bandidagem temos "Compliance".
14/05/2020 20:04 · Membro 0088
restaurar para padrões de fábrica já é golpe baixo na gente. Tudo tem limites
14/05/2020 20:12 · Membro 0088
"PLINT" já me salvou tantas vezes rapaz, até nisso os caras tão ligado.
14/05/2020 20:14 · Membro 0099
A sorte é quando eles apagam as plints, mas ficam na .cliptray
14/05/2020 20:25 · Membro 0088
cuidado n, daqui a pouco adicionam uma regra pra "CLIPTLAY"
14/05/2020 20:26 · Membro 0010
Apaga logo hahahaha
14/05/2020 20:26 · Membro 0010
É uma pena quando apaga os prints nunca mais da pra recuperar
14/05/2020 20:27 · Membro 0010
Aí da pra espalhar isso aí!

Origem 004 — 04/05/2022 10:37 a 10:59 — Extração e decodificação de bancos do WhatsApp

04/05/2022 10:37 · Membro 0096
Olha só! E tem como saber se é pré-instalado?
04/05/2022 10:40 · Membro 0048
Uma forma rápida nos samsungs:, se vc for nas configurações, Aplicativos, verá que os préinstalados vc não consegue desinstalar por essa interface
04/05/2022 10:40 · Membro 0048
Geralmente samsungs vêm com Facebook, se vc olhar lá, verá que não tem a opção "desinstalar".
04/05/2022 10:41 · Membro 0048
Em outras marcas de Android eu não lembro muito, mas é algo semelhante
04/05/2022 10:41 · Membro 0048
Tem outra forma por adb, mas não lembro direito.
04/05/2022 10:44 · Membro 0096
Queria saber tbm se vocês conseguem me ajudar com um caso. Foi pedido pra ver se mensagens do whatsapp foram apagadas, ou se houve qualquer outro tipo de manipulação no app, em data posterior à apreensão. Alguma idéia de como verificar essa data?
Eu fiz a extração no ufed e abri o banco de dados do wa no sqlite. Encontrei as mensagens apagadas.
04/05/2022 10:45 · Membro 0048
Acho que o comando por adb é:
pm list packages -s
04/05/2022 10:47 · Membro 0048
Talvez tenha no arquivo transacional do sqlite
04/05/2022 10:48 · Membro 0048
ou no log do whatsapp mesmo
04/05/2022 10:49 · Membro 0096
Pois é, lá só tem os registros da extração. Nada anterior
04/05/2022 10:50 · Membro 0048
o que se pode tentar fazer é fazer um diferencial dos arquivos de backup do zap
04/05/2022 10:50 · Membro 0048
se ele estiver guardando o backup diário, vc pode pegar os últimos e ir fazendo um diferencial
04/05/2022 10:51 · Membro 0048
e ver se algum deles ainda tinha a mensagem
04/05/2022 10:51 · Membro 0048
Acho que um registro direto de apagamento não tem no sqlite nem no zap, talvez mesmo seria o log, mas acho que ele não chegaria nesse nível de detalhamento de log.
Assim, só me vem a mente esse esquema de comparar os bakups.
04/05/2022 10:55 · Membro 0050
vai que pode ser útil para mais alguém...
04/05/2022 10:55 · Membro 0050
bom que dá uma conferida na query!😅
04/05/2022 10:55 · Membro 0050
Coloquei no github: https://github.com/leosol/forensic-scripts
04/05/2022 10:56 · Membro 0050
☝️ outro indicativo de que msgs foram apagadas
04/05/2022 10:59 · Membro 0048
Boa. Inclusive ele pode pela sequence ter também uma janela de tempo, além da possiblidade de comparar os backups. Dá para passar o intervalo de tempo razoável.

Origem 005 — 20/05/2022 11:19 a 11:45 — Extração e compatibilidade em Samsung SMARTPHONE

20/05/2022 11:19 · Membro 0091
Bom dia Senhores, alguém já conseguiu realizar o processo de Jailbreak no IOS 14.6 ?
Estou com um Iphone XS MAX A1921 cuja extração inicial não retornou dados apagados... estou tentando uma complementar que requer o Jailbreak... tentei realizar pelo checkra1 mas deu versão de SO não suportada...
20/05/2022 11:21 · Membro 0105
Mesmo que consiga, não deve recuperar os apagados. Esse iOS é FBE, então se não estiver em algum banco de dados ou lixeira, já era.
20/05/2022 11:22 · Membro 0091
Vlw [MENCAO] , me economizou um tempo grande
20/05/2022 11:33 · Membro 0021
Verifiquei agora no editor.
Quase tudo está em 00.

Bom dia!
20/05/2022 11:33 · Membro 0021
Então, a formatação do Android faz o wipe?
20/05/2022 11:38 · Membro 0088
Pode ter sido um cartão pouco utilizado
20/05/2022 11:45 · Membro 0021
Entendi.
Irei inserir o cartão de memória no smartphone e fazer novamente a extração ou recuperação dos dados.

Origem 006 — 27/02/2023 13:55 a 14:57 — Conexão USB, ADB e diagnóstico de porta em Android

27/02/2023 13:55 · Membro 0015
Os ícones debaixo não parecem ;(
27/02/2023 14:01 · Membro 0023
Alguém tem algum tutorial de como fazer downgrade manualmente?
27/02/2023 14:33 · Membro 0048
Geralmente o básico é:
adb push app.apk /sdcard/app.apk
adb shell pm install -r -d /sdcard/app.apk
27/02/2023 14:35 · Membro 0023
o push faz o backup e o install o restore?
27/02/2023 14:38 · Membro 0048
Push manda o apk e o install instala o -r é para manter os dados e o -d é para avisar que é downgrade
27/02/2023 14:39 · Membro 0048
MAS, CUIDADO pois o sucesso e a desgraça dependem de como o fabricante implementou isso por trás
27/02/2023 14:39 · Membro 0048
Tem fabricante que ignora o -r e apaga todos os dados anteriores
27/02/2023 14:40 · Membro 0048
Tb há relatos que aparelhos que já têm o zap como blotware pré instalado vão apagar tudo tb
27/02/2023 14:43 · Membro 0023
Melhor deixar como tá então
27/02/2023 14:50 · Membro 0023
É possível fazer o backup dos dados, e caso apagado por um desses motivos, restaurar?
27/02/2023 14:57 · Membro 0048
O que ele apaga é o diretório protegido e inacessível da aplicação onde ficam a chave criptográfica, o msgstore.db e outros.

Origem 007 — 18/05/2023 14:18 a 14:18 — Recebemos recentemente aqui uma idêntica a essa e orientamos da mesma forma. /

18/05/2023 14:18 · Membro 0121
recebemos recentemente aqui uma idêntica a essa e orientamos da mesma forma.
aí o juiz determinou o apagamento completo dos celulares e discos rígidos e a destruição das outras mídias, como dvds.

Origem 008 — 05/07/2023 09:20 a 10:20 — Extração e compatibilidade em Samsung SMARTPHONE

05/07/2023 09:20 · Membro 0162
Atualizando…
O backup no cartão não deu certo, pois não aparece a opção Backup UserData.
05/07/2023 09:21 · Membro 0162
Parti para o SP Flash Tool, e consegui achar a Rom correta para o modelo do smartphone, porém, todos os lugares onde achei alguma informação sobre o SP Flash Tool diz que vai apagar todos os dados (inclusive os arquivos do usuário)
05/07/2023 09:23 · Membro 0162
Para evitar apagar esses dados, já que não consegui fazer o backup pelo SDcard, basta desmarcar a opção “userdata” na hora de flashear o smartphone?
05/07/2023 09:32 · Membro 0088
vc desmarca tudo aí
05/07/2023 09:32 · Membro 0088
e na aba Readback
05/07/2023 10:09 · Membro 0088
vc pode na tentativa e erro ir aumentando o length, mas às vezes aparece as propriedades do chip
05/07/2023 10:10 · Membro 0088
se não me engano aparece na aba memory test
05/07/2023 10:13 · Membro 0071
puxa, bacana esse feedback
tem bastante gente trabalhando em casos de cyber
05/07/2023 10:14 · Membro 0071
em vários locais!
05/07/2023 10:19 · Membro 0088
No caso é só indicar o endereço 0 de início e dar um length em bytes
05/07/2023 10:19 · Membro 0088
E selecionar o botao Read Back
05/07/2023 10:20 · Membro 0088
Não roda na outra aba de download pq aí sim vai sobrescrever dados

Origem 009 — 08/03/2024 16:32 a 17:28 — Extração e decodificação de bancos do WhatsApp

08/03/2024 16:32 · Membro 0040
IMG-20240308-WA0026.jpg (arquivo anexado)
08/03/2024 16:33 · Membro 0040
Alguém já viu isso aqui?
08/03/2024 16:41 · Membro 0105
Se for de um iPhone, sim. Essas mensagem foram recuperadas do Chatsearch.sql no iPhone. Aí as palavras não vem na ordem que foram enviadas, ou seja, scrambled.
08/03/2024 16:42 · Membro 0105
Normalmente são mensagens apagadas. Pelo o que indica na imagem, é apagada.
08/03/2024 16:56 · Membro 0040
Entendi, obrigado pela informação [NOME]
08/03/2024 17:13 · Membro 0026
Já tive q ir em audiência judicial por causa desse scrambled
08/03/2024 17:15 · Membro 0026
Temos um texto padrão aqui em SC p quando aparece isso:
08/03/2024 17:15 · Membro 0026
Foram recuperadas conversas apagadas do aplicativo Whatsapp, por meio da ferramenta
forense, de uma base de dados auxiliar do aplicativo instalado no celular, utilizada para a indexação e
melhoria do desempenho nas pesquisas realizadas pelo usuário. Por questões técnicas, as mensagens
apagadas recuperadas especificamente dessa base de dados, denominada “ChatSearchV5f.sqlite”
apresentam as palavras de cada conversa fora de ordem, devendo a autoridade solicitante ficar ciente
dessa característica ao analisar o conteúdo dessas mensagens específicas. As mensagens apagadas e
recuperadas, apresentadas com as palavras fora de ordem, estão identificadas com a etiqueta
“Scrambled”, conforme ilustrado a seguir.
08/03/2024 17:19 · Membro 0166
Desculpem a pergunta burra...mas essas mensagens embaralhadas não estão na tabela "message" do msgstore.db? São obtidas por carving do Cellebrite?!
08/03/2024 17:26 · Membro 0026
pelo q eu lembro qdo pesquisei isso ha uns anos, essas mensagens ficam em outra base e o objetivo é agilizar buscas no aplicativo
08/03/2024 17:27 · Membro 0026
e em alguns casos, sao as unicas informacoes disponiveis de mensagens apagadas
08/03/2024 17:27 · Membro 0026
dai a cellebrite inclui. apesar de estar fora de ordem, seria melhor q nada
08/03/2024 17:28 · Membro 0026
na audiencia, o juiz queria q eu as colocasse em ordem... 🤷‍♂️

Origem 010 — 20/03/2024 08:33 a 08:36 — Extração e análise de dados em iPhone/iOS

20/03/2024 08:33 · Membro 0146
Bom dia. Com relação ao álbum “apagados” do iPhone descobri que na extração FFS essas mídias são recuperadas mas sem o Physical Analizer indicar a pasta. Fica tudo junto mesmo. O que acontece no iPhone é que é definido num banco de dados em que pasta deve ser exibida a mídia.
20/03/2024 08:35 · Membro 0146
Esse banco de dados SQLite fica em /var/mobile/media/PhotoData/Photos.SQLite
20/03/2024 08:36 · Membro 0146
Dá pra abrir no PA mas decifrar são outros quinhentos.

Origem 011 — 20/03/2025 14:24 a 16:42 — Triagem visual de imagens e vídeos no IPED

20/03/2025 14:24 · Membro 0112
pessoal, to indo pra uma operação agora, que a civil alega que quando eles entraram no imóvel, a pessoa apagou os arquivos do computador.
melhor jeito é passar photorec no hd, ou tem como buscar por "arquivos recentemente apagados"?
20/03/2025 14:25 · Membro 0166
se tiver com tempo sobrando...roda o IPED direto
abre o CMD como administrador
e no parâmetro -d passa \\.\PHYSICALDRIVE____
20/03/2025 14:46 · Membro 0003
Se abrir a imagem no ftk imager, se foi recentemente apagado, deve até aparecer lá
20/03/2025 14:47 · Membro 0112
tempo sobrando, no local, vai ser complicado.
mas o [NOME] lembrou bem. vou tentar com o ftkimager.
20/03/2025 14:49 · Membro 0003
Não é um método preciso, mas em pouco tempo pode já dar uma resposta. Se não achar, aí parte para algo mais complexo
20/03/2025 16:42 · Membro 0112
deu super certo com o ftkimager, conseguimos materializar o flagrante!

Origem 012 — 28/09/2025 18:47 a 19:03 — Extração e decodificação de bancos do WhatsApp

28/09/2025 18:47 · Membro 0186
Boa tarde, Pessoal! Por gentileza, alguém saberia me responder se UFED é capaz de restaurar mensagens recebidas pelo WhatsApp e apagadas por quem enviou?
28/09/2025 18:49 · Membro 0147
Oi Dani boa noite e bom plantão, o UFED consegue fazer a técnica de MERGE entre as 07 últimas tabelas de backup do WhatasApp <Mensagem editada>
28/09/2025 18:49 · Membro 0147
então se alguma mensagem foi apagada da tabela principal
28/09/2025 18:50 · Membro 0147
e tenha em um dos backups do whatsApp
28/09/2025 18:51 · Membro 0147
ele vai remontar a tabela principal com essa mensagem encontrada em uma das tabelas de backup <Mensagem editada>
28/09/2025 18:51 · Membro 0147
lembrando que mensagens temporárias ainda não é possível recuperar
28/09/2025 18:52 · Membro 0147
faça uma extração smartflow se caso esse seu celular seja android. <Mensagem editada>
28/09/2025 18:53 · Membro 0147
Estou em QAP por aqui caso precise de mais ajuda.
28/09/2025 18:55 · Membro 0186
Muitíssimo obrigada! 🤝🤝
28/09/2025 18:56 · Membro 0147
por nada colega! Tenha uma ótima noite!
28/09/2025 19:03 · Membro 0166
se tu processar o .ufdr no IPED, ele remonta (posso estar enganado)
28/09/2025 19:03 · Membro 0166
mas eu fiz um programa que varre esses backups de WhatsApp e verifica se a mensagem foi apagada