Apagamento indevido, backup e incidentes administrativos
Categoria: Segurança, incidentes, malware, phishing e fraude digital
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre apagamento indevido, backup e incidentes administrativos no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, FTK, ADB, WhatsApp. Os termos mais recorrentes neste tema incluem: backup, mas, dados, mensagens, whatsapp, pra, recuperar, fazer, apagadas, caso. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Avaliar logs, backups e possibilidade de restauração.
- Registrar origem do incidente e comandos/contas envolvidos quando disponíveis.
- Diferenciar recuperação técnica de análise de responsabilidade.
Ferramentas, sistemas ou marcas citadas
UFEDIPEDFTKADBWhatsAppPalavras-chave recorrentes
backupmasdadosmensagenswhatsappprarecuperarfazerapagadascasomensagemessebancopodeoperadoralaudoiphonechipDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 04/10/2017 08:37 a 08:42 — Aí tá de brinqueition
http://www.cbsi.net.br/2017/10/profissional-de-ti-erra-script-e-apaga-16-mil-processos-do-banco-de-dados-doTCE-AM.html
aí tá de brinqueition
Famoso DELETE sem WHERE e com commit automático E sem backup
sorte que tinham backup
parece que vão recuperar totalmente os dados
imagina só... apagou 80% dos processos de aposentadoria
veja o tamanho da encrenca
Tinha backup? Então pra que o alarde? Kkkkk
porque é disso que o povo gosta
um título de notícia bem alarmante
Origem 002 — 21/02/2020 06:44 a 08:41 — Spoofing de número e vulnerabilidade da caixa postal
Esse procedimento com um aparelho double consegue pegar mensagens apagadas?
É possível olhando os backups de dias anteriores. Como o WhatsApp guarda backup dos últimos 5 dias, você poderia recuperar mensagens apagadas até 5 dias atrás.
Isso. Por isso aviso pros colegas agentes e delegados que conheço a deixarem sempre q possível desligado o aparelho, muitos achavam q deixar em modo avião já seria suficiente. Justamente pra evitar q um novo backup automático aconteça e um antigo com conversas apagadas se perca.
Gosto muito desse método, rsrs. Teve uma vez q o chip tava bloqueado, eu avisei no laudo q se a operadora liberasse recebimento de SMS eu poderia recuperar conversas, o juiz deu a canetada e a operadora desbloqueou sem bronca, foi muito bom eheh
Agora eu tô com um caso sem o chip, vou botar no laudo q se a operadora me enviar um chip eu recupero kkkk
Vamos ver se vai rolar!
Já já você recebe uma proposta pra trabalhar nas operadoras!
Um colega me disse q já fez trocando o número do chip, nunca fiz, pq tenho receio de ter repercussão o fato de trocar o número
Todos os contatos do alvo
Vão receber aquele aviso e tal
Aí vou ser mais mal pago do q somos agora na pcpe kkkk
Bah cara mais essa técnica aí é perfeita!
Eu peguei um caso [ID-CASO] que eu fiquei com muita vontade de fazer esse seu método. Botei no laudo que poderia recuperar as conversas se autorizassem receber um SMS no chip, mas nunca obtive resposta...
Pra celulares bloqueados
Para bloqueados não dá para retirar o arquivo de banco de dados do WhatsApp. Só funciona se tiver backup na nuvem, mas nesse caso precisaria das credenciais
Aqui temos um bom relacionamento com o MP e judiciário, vou já sugerir ja pra colocar no pedido do MP e na decisão do juiz!
Sim precisa da conta Google também
Mas! Tô pensando em uma espécie de "grampo telefônico" legalizado
Pior que nesse caso que falei o acusado, depois de ter o celular apreendido, pediu para fazer uma ligação e desinstalou o WhatsApp. Foi vacilo da delegacia
Para não usar o chip poderia fazer uma caixa postal para a linha, usar o exploit de acessar a caixa via linha IP e pegar o código de ativação do WhatsApp 🤣🤣
Mas nesse caso eu fiquei umas duas semanas pesquisando e escovando bits para tentar recuperar a chave, mas não teve jeito... Para piorar a situação o celular estava com memória praticamente cheia. Então botei no laudo que esse seria o único método que eu visualizava como viável para recuperar as conversas
Deu certo no zap business, [MENCAO] ?
Origem 003 — 14/05/2020 19:47 a 20:27 — Root em dispositivo Android para extração pericial
Eu tenho um mi A2. Quando percebi a chatisse para rootear o meu, desisti
<Mídia oculta>
Até na bandidagem temos "Compliance".
Até na bandidagem temos "Compliance".
restaurar para padrões de fábrica já é golpe baixo na gente. Tudo tem limites
"PLINT" já me salvou tantas vezes rapaz, até nisso os caras tão ligado.
A sorte é quando eles apagam as plints, mas ficam na .cliptray
cuidado n, daqui a pouco adicionam uma regra pra "CLIPTLAY"
Apaga logo hahahaha
É uma pena quando apaga os prints nunca mais da pra recuperar
Aí da pra espalhar isso aí!
Origem 004 — 04/05/2022 10:37 a 10:59 — Extração e decodificação de bancos do WhatsApp
Olha só! E tem como saber se é pré-instalado?
Uma forma rápida nos samsungs:, se vc for nas configurações, Aplicativos, verá que os préinstalados vc não consegue desinstalar por essa interface
Geralmente samsungs vêm com Facebook, se vc olhar lá, verá que não tem a opção "desinstalar".
Em outras marcas de Android eu não lembro muito, mas é algo semelhante
Tem outra forma por adb, mas não lembro direito.
Queria saber tbm se vocês conseguem me ajudar com um caso. Foi pedido pra ver se mensagens do whatsapp foram apagadas, ou se houve qualquer outro tipo de manipulação no app, em data posterior à apreensão. Alguma idéia de como verificar essa data?
Eu fiz a extração no ufed e abri o banco de dados do wa no sqlite. Encontrei as mensagens apagadas.
Eu fiz a extração no ufed e abri o banco de dados do wa no sqlite. Encontrei as mensagens apagadas.
Acho que o comando por adb é:
pm list packages -s
pm list packages -s
Talvez tenha no arquivo transacional do sqlite
ou no log do whatsapp mesmo
Pois é, lá só tem os registros da extração. Nada anterior
o que se pode tentar fazer é fazer um diferencial dos arquivos de backup do zap
se ele estiver guardando o backup diário, vc pode pegar os últimos e ir fazendo um diferencial
e ver se algum deles ainda tinha a mensagem
Acho que um registro direto de apagamento não tem no sqlite nem no zap, talvez mesmo seria o log, mas acho que ele não chegaria nesse nível de detalhamento de log.
Assim, só me vem a mente esse esquema de comparar os bakups.
Assim, só me vem a mente esse esquema de comparar os bakups.
vai que pode ser útil para mais alguém...
bom que dá uma conferida na query!😅
Coloquei no github: https://github.com/leosol/forensic-scripts
☝️ outro indicativo de que msgs foram apagadas
Boa. Inclusive ele pode pela sequence ter também uma janela de tempo, além da possiblidade de comparar os backups. Dá para passar o intervalo de tempo razoável.
Origem 005 — 20/05/2022 11:19 a 11:45 — Extração e compatibilidade em Samsung SMARTPHONE
Bom dia Senhores, alguém já conseguiu realizar o processo de Jailbreak no IOS 14.6 ?
Estou com um Iphone XS MAX A1921 cuja extração inicial não retornou dados apagados... estou tentando uma complementar que requer o Jailbreak... tentei realizar pelo checkra1 mas deu versão de SO não suportada...
Estou com um Iphone XS MAX A1921 cuja extração inicial não retornou dados apagados... estou tentando uma complementar que requer o Jailbreak... tentei realizar pelo checkra1 mas deu versão de SO não suportada...
Mesmo que consiga, não deve recuperar os apagados. Esse iOS é FBE, então se não estiver em algum banco de dados ou lixeira, já era.
Vlw [MENCAO] , me economizou um tempo grande
Verifiquei agora no editor.
Quase tudo está em 00.
Bom dia!
Quase tudo está em 00.
Bom dia!
Então, a formatação do Android faz o wipe?
Pode ter sido um cartão pouco utilizado
Entendi.
Irei inserir o cartão de memória no smartphone e fazer novamente a extração ou recuperação dos dados.
Irei inserir o cartão de memória no smartphone e fazer novamente a extração ou recuperação dos dados.
Origem 006 — 27/02/2023 13:55 a 14:57 — Conexão USB, ADB e diagnóstico de porta em Android
Os ícones debaixo não parecem ;(
Alguém tem algum tutorial de como fazer downgrade manualmente?
Geralmente o básico é:
adb push app.apk /sdcard/app.apk
adb shell pm install -r -d /sdcard/app.apk
adb push app.apk /sdcard/app.apk
adb shell pm install -r -d /sdcard/app.apk
o push faz o backup e o install o restore?
Push manda o apk e o install instala o -r é para manter os dados e o -d é para avisar que é downgrade
MAS, CUIDADO pois o sucesso e a desgraça dependem de como o fabricante implementou isso por trás
Tem fabricante que ignora o -r e apaga todos os dados anteriores
Tb há relatos que aparelhos que já têm o zap como blotware pré instalado vão apagar tudo tb
Melhor deixar como tá então
É possível fazer o backup dos dados, e caso apagado por um desses motivos, restaurar?
O que ele apaga é o diretório protegido e inacessível da aplicação onde ficam a chave criptográfica, o msgstore.db e outros.
Origem 007 — 18/05/2023 14:18 a 14:18 — Recebemos recentemente aqui uma idêntica a essa e orientamos da mesma forma. /
recebemos recentemente aqui uma idêntica a essa e orientamos da mesma forma.
aí o juiz determinou o apagamento completo dos celulares e discos rígidos e a destruição das outras mídias, como dvds.
aí o juiz determinou o apagamento completo dos celulares e discos rígidos e a destruição das outras mídias, como dvds.
Origem 008 — 05/07/2023 09:20 a 10:20 — Extração e compatibilidade em Samsung SMARTPHONE
Atualizando…
O backup no cartão não deu certo, pois não aparece a opção Backup UserData.
O backup no cartão não deu certo, pois não aparece a opção Backup UserData.
Parti para o SP Flash Tool, e consegui achar a Rom correta para o modelo do smartphone, porém, todos os lugares onde achei alguma informação sobre o SP Flash Tool diz que vai apagar todos os dados (inclusive os arquivos do usuário)
Para evitar apagar esses dados, já que não consegui fazer o backup pelo SDcard, basta desmarcar a opção “userdata” na hora de flashear o smartphone?
vc desmarca tudo aí
e na aba Readback
vc pode na tentativa e erro ir aumentando o length, mas às vezes aparece as propriedades do chip
se não me engano aparece na aba memory test
puxa, bacana esse feedback
tem bastante gente trabalhando em casos de cyber
tem bastante gente trabalhando em casos de cyber
em vários locais!
No caso é só indicar o endereço 0 de início e dar um length em bytes
E selecionar o botao Read Back
Não roda na outra aba de download pq aí sim vai sobrescrever dados
Origem 009 — 08/03/2024 16:32 a 17:28 — Extração e decodificação de bancos do WhatsApp
IMG-20240308-WA0026.jpg (arquivo anexado)
Alguém já viu isso aqui?
Se for de um iPhone, sim. Essas mensagem foram recuperadas do Chatsearch.sql no iPhone. Aí as palavras não vem na ordem que foram enviadas, ou seja, scrambled.
Normalmente são mensagens apagadas. Pelo o que indica na imagem, é apagada.
Entendi, obrigado pela informação [NOME]
Já tive q ir em audiência judicial por causa desse scrambled
Temos um texto padrão aqui em SC p quando aparece isso:
Foram recuperadas conversas apagadas do aplicativo Whatsapp, por meio da ferramenta
forense, de uma base de dados auxiliar do aplicativo instalado no celular, utilizada para a indexação e
melhoria do desempenho nas pesquisas realizadas pelo usuário. Por questões técnicas, as mensagens
apagadas recuperadas especificamente dessa base de dados, denominada “ChatSearchV5f.sqlite”
apresentam as palavras de cada conversa fora de ordem, devendo a autoridade solicitante ficar ciente
dessa característica ao analisar o conteúdo dessas mensagens específicas. As mensagens apagadas e
recuperadas, apresentadas com as palavras fora de ordem, estão identificadas com a etiqueta
“Scrambled”, conforme ilustrado a seguir.
forense, de uma base de dados auxiliar do aplicativo instalado no celular, utilizada para a indexação e
melhoria do desempenho nas pesquisas realizadas pelo usuário. Por questões técnicas, as mensagens
apagadas recuperadas especificamente dessa base de dados, denominada “ChatSearchV5f.sqlite”
apresentam as palavras de cada conversa fora de ordem, devendo a autoridade solicitante ficar ciente
dessa característica ao analisar o conteúdo dessas mensagens específicas. As mensagens apagadas e
recuperadas, apresentadas com as palavras fora de ordem, estão identificadas com a etiqueta
“Scrambled”, conforme ilustrado a seguir.
Desculpem a pergunta burra...mas essas mensagens embaralhadas não estão na tabela "message" do msgstore.db? São obtidas por carving do Cellebrite?!
pelo q eu lembro qdo pesquisei isso ha uns anos, essas mensagens ficam em outra base e o objetivo é agilizar buscas no aplicativo
e em alguns casos, sao as unicas informacoes disponiveis de mensagens apagadas
dai a cellebrite inclui. apesar de estar fora de ordem, seria melhor q nada
na audiencia, o juiz queria q eu as colocasse em ordem... 🤷♂️
Origem 010 — 20/03/2024 08:33 a 08:36 — Extração e análise de dados em iPhone/iOS
Bom dia. Com relação ao álbum “apagados” do iPhone descobri que na extração FFS essas mídias são recuperadas mas sem o Physical Analizer indicar a pasta. Fica tudo junto mesmo. O que acontece no iPhone é que é definido num banco de dados em que pasta deve ser exibida a mídia.
Esse banco de dados SQLite fica em /var/mobile/media/PhotoData/Photos.SQLite
Dá pra abrir no PA mas decifrar são outros quinhentos.
Origem 011 — 20/03/2025 14:24 a 16:42 — Triagem visual de imagens e vídeos no IPED
pessoal, to indo pra uma operação agora, que a civil alega que quando eles entraram no imóvel, a pessoa apagou os arquivos do computador.
melhor jeito é passar photorec no hd, ou tem como buscar por "arquivos recentemente apagados"?
melhor jeito é passar photorec no hd, ou tem como buscar por "arquivos recentemente apagados"?
se tiver com tempo sobrando...roda o IPED direto
abre o CMD como administrador
e no parâmetro -d passa \\.\PHYSICALDRIVE____
abre o CMD como administrador
e no parâmetro -d passa \\.\PHYSICALDRIVE____
Se abrir a imagem no ftk imager, se foi recentemente apagado, deve até aparecer lá
tempo sobrando, no local, vai ser complicado.
mas o [NOME] lembrou bem. vou tentar com o ftkimager.
mas o [NOME] lembrou bem. vou tentar com o ftkimager.
Não é um método preciso, mas em pouco tempo pode já dar uma resposta. Se não achar, aí parte para algo mais complexo
deu super certo com o ftkimager, conseguimos materializar o flagrante!
Origem 012 — 28/09/2025 18:47 a 19:03 — Extração e decodificação de bancos do WhatsApp
Boa tarde, Pessoal! Por gentileza, alguém saberia me responder se UFED é capaz de restaurar mensagens recebidas pelo WhatsApp e apagadas por quem enviou?
Oi Dani boa noite e bom plantão, o UFED consegue fazer a técnica de MERGE entre as 07 últimas tabelas de backup do WhatasApp <Mensagem editada>
então se alguma mensagem foi apagada da tabela principal
e tenha em um dos backups do whatsApp
ele vai remontar a tabela principal com essa mensagem encontrada em uma das tabelas de backup <Mensagem editada>
lembrando que mensagens temporárias ainda não é possível recuperar
faça uma extração smartflow se caso esse seu celular seja android. <Mensagem editada>
Estou em QAP por aqui caso precise de mais ajuda.
Muitíssimo obrigada! 🤝🤝
por nada colega! Tenha uma ótima noite!
se tu processar o .ufdr no IPED, ele remonta (posso estar enganado)
mas eu fiz um programa que varre esses backups de WhatsApp e verifica se a mensagem foi apagada