Wiki CompFor
Segurança, incidentes, malware, phishing e fraude digital

Roubo de software e comparação de código-fonte

Categoria: Segurança, incidentes, malware, phishing e fraude digital

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre roubo de software e comparação de código-fonte no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, XRY, IPED, Magnet AXIOM, WhatsApp. Os termos mais recorrentes neste tema incluem: codigo, 12-31, mas, data, whatsapp, android, 20.847, versao, pra, iped. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Definir quesitos objetivos sobre similaridade, autoria e histórico de arquivos.
  • Preservar repositórios, versões e metadados de desenvolvimento.
  • Evitar transformar ordens genéricas em conclusões além do escopo.

Ferramentas, sistemas ou marcas citadas

UFEDXRYIPEDMagnet AXIOMWhatsApp

Palavras-chave recorrentes

codigo12-31masdatawhatsappandroid20.847versaopraipedessevouusarpodefontetypemesmojogo

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 05/01/2018 14:35 a 15:10 — "se há adulteração para ludibriar apostadores ou se há componentes NAS máquinas fruto

05/01/2018 14:35 · Membro 0020
"se há adulteração para ludibriar apostadores ou se há componentes nas máquinas fruto de descaminho ou contrabando"
05/01/2018 14:39 · Membro 0021
Resolução: física e lógica. Verificar se foi rompido o lacre/selo de segurança; abrir a máquina e verificar se há algum componente eletrônico adicionado ou estranho ao original. Ligar e realizar testes.
05/01/2018 14:48 · Membro 0021
É um caminho, sugestão. Outros colegas podem sugerir outras soluções.
05/01/2018 15:10 · Membro 0011
Diligência para apresentar nota fiscal ou documento de importação. Quanto a ludibriar, em algumas máquinas permite gerar cópia das últimas apostas. Sendo característica de jogo do bicho, por si mesmo já configura jogo de azar. Caso de apreensão do servidor, dai vale a pena analisar a aplicação. Porém em alguns casos o servidor está fora do país, geralmente onde não temos cooperação internacional.

Origem 002 — 14/01/2019 11:52 a 12:18 — Uso do IPED na triagem, indexação e análise

14/01/2019 11:52 · Membro 0061
Boa tarde. Alguém de vcs usa o arquivo asap para configuração do cabeçalho do relatório do iped? Começamos a usar o iped há pouco tempo aqui e ainda estamos na fase de "descobrimento" das funcionalidades
14/01/2019 11:56 · Membro 0043
Olá Thaíssa. Nós usamos o arquivo .asap. Ele é gerado pelo nosso Sistema de Criminalística (SisCrim).
14/01/2019 11:59 · Membro 0061
Mas como é a estrutura? É um txt q vc salva como .asap e coloca os campos q vc quer no cabeçalho?
14/01/2019 11:59 · Membro 0051
Oi [MENCAO], no RJ desenvolvi uma interface q tenta cobrir todas as funcionalidades do Iped, incluindo um gerenciador de regex com testes e um gerenciador de Jobs pra processamento em batch. Essa interface demanda obrigatoriamente o uso do asap para geração de relatórios.
14/01/2019 12:00 · Membro 0051
Tal interface é livre, posso enviar a vcs se quiserem.
14/01/2019 12:00 · Membro 0051
O formato do asap q usamos é assim:
14/01/2019 12:04 · Membro 0044
Também tenho interesse [EMAIL]
14/01/2019 12:04 · Membro 0018
[EMAIL]
14/01/2019 12:10 · Membro 0051
https://drive.google.com/open?id=15txLWFsVAl8v8Acn4RZrSSspTu2Eukha
14/01/2019 12:11 · Membro 0051
podem baixar ai. Como eu não coloco o iped e o led junto com a ferramenta pelo tamanho deles, vcs precisam colocar essas ferramentas nas pastas IPEDFiles e LEDFiles, conforme as duas fotos que vou mandar a seguir
14/01/2019 12:13 · Membro 0051
no link do download, dentro do caminho \IIPED\IPEDFiles\ip [ID-CASO]\htmlreport, tem os arquivos pertencentes ao relatório que usamos no RJ, com nosso brasão etc. Se substituirem pelo original do iped, fica como o relatório da PF. Mas vcs pode customizar e fazer o mais adequado para o estado de vcs.
14/01/2019 12:15 · Membro 0051
A interface está na versão 2.0.5 e roda com o iped na versão 3.14.2. A versão 3.14.5 ainda não foi testada, mas vou fazer isso em breve. Se quiserem usar essa nova versão do iped, pode ser que algo não saia como esperado, dai me informem que eu modifico já aqui.
14/01/2019 12:16 · Membro 0048
Aí podemos ver que seria bem interessante a senasp patrocinar um repositório de codigo fonte e promover um desenvolvimento por toda comunidade de peritos.
14/01/2019 12:18 · Membro 0061
Muito obrigada, [NOME]... Já baixei e testaremos aqui

Origem 003 — 29/04/2019 16:02 a 18:19 — Extração e análise de mensagens do WhatsApp

29/04/2019 16:02 · Membro 0009
Pessoal do Rio... Alguma nova versão dessa ferramenta? A versão q temos não processa a pasta WhatsApp Documents.
29/04/2019 16:02 · Membro 0051
o forensic tools se atualiza sozinho
29/04/2019 16:03 · Membro 0051
não sei se o desenvolvedor da ferramenta esta nessa lista, mas vou perguntar direto pra ele esse ponto aqui
29/04/2019 16:04 · Membro 0009
Mas não atualiza...
29/04/2019 17:04 · Membro 0009
Realmente não tá trazendo os documentos das conversas. PDF, DOCX etc
29/04/2019 18:13 · Membro 0070
Boa tarde, meus amigos. Algum Perito afim de passar uma temporada na SENASP contribuindo com o projeto de desenvolvimento do módulo da perícia no SINESP.
29/04/2019 18:16 · Membro 0002
Mais detalhes [NOME] 😁
29/04/2019 18:19 · Membro 0070
Seria na parte de levantar requisitos e testes na aplicação ... pois existe uma fábrica de software responsável pelo desenvolvimento e documentação

Origem 004 — 11/05/2019 07:59 a 09:13 — Uso do Magnet AXIOM/IEF em artefatos digitais

11/05/2019 07:59 · Membro 0044
Bom dia! Gostaria de agradecer pela postagem desta informação. Ela foi fundamental na realização de um exame visando encontrar o aplicativo espião. Brasilespiao que é o mesmo brunoeapiao. Com download em servidor da Amazon nos EUA.
11/05/2019 08:00 · Membro 0044
No entanto, fiquei pensando como de fato este tipo de aplicativo funciona. Teria dificuldade para explicar de forma pormenorizada em uma eventual arguição.
11/05/2019 08:01 · Membro 0044
Se alguém tiver alguma sugestão de artigo, agradeço.
11/05/2019 09:12 · Membro 0042
<Mídia oculta>
5-tools-pentest-mobile
11/05/2019 09:13 · Membro 0042
Vc poderia utilizar tentar obter o código fonte a partir de engenharia reversa
11/05/2019 09:13 · Membro 0042
Tb poderia emular o APK no UFED ou no Axiom

Origem 005 — 26/09/2019 15:14 a 15:15 — / Email_Bkp_To_File_Manual

26/09/2019 15:14 · Membro 0072
<Mídia oculta>
Email_Bkp_To_File_Manual
26/09/2019 15:15 · Membro 0061
Obrigada... vamos testar aqui
26/09/2019 15:15 · Membro 0072
Vou tentar colocar o código fonte do app no GitHub
26/09/2019 15:15 · Membro 0072
Assim os colegas poderiam ajudar no desenvolvimento do mesmo

Origem 006 — 09/03/2020 15:04 a 15:18 — Extração e decodificação de bancos do WhatsApp

09/03/2020 15:04 · Membro 0009
Pessoal, vcs tem conseguido fazer downgrade do zap em android 8.1? Motorola XT1672 .Patch de segurança 1/10/2018. Obg
09/03/2020 15:12 · Membro 0050
Prezados, vou compartilhar com o Srs uma técnica que utilizamos aqui no DF pra exportação do WhatsApp em Android 8.1 e 9, baseado no CVE-2019-11932 (Gif malformado que permite execução de código).
O código fonte original, do autor do ataque, encontra-se aqui: https://github.com/awakened1712/CVE-2019-11932
Nosso APK é baseado nesse código. Porém fizemos adaptações pra funcionar tb em plataforma 32bits. Porém, os testes com essa plataforma foram limitados.
Verificamos funcionar bem em 64 bits (Samsung S7, S8, etc).
09/03/2020 15:12 · Membro 0050
<Mídia oculta>
Ataque_WhatsApp_GIF_21_01_2020.apk
09/03/2020 15:14 · Membro 0050
Dependendo do dispositivo (64 ou 32 bits), basta clicar no botão correto.
Um gif é gerado em /sdcard
09/03/2020 15:14 · Membro 0050
Depois basta abrir uma das conversar do WhatsApp, clicar no clip pra enviar arquivos e clicar na Galeria.. O comando "cp /data/data/com.whatsapp/databases/* /sdcard/" . Depois basta copiar os bancos e importar no UFED.
09/03/2020 15:14 · Membro 0050
Talvez possa te ajudar ☝
09/03/2020 15:16 · Membro 0050
Percebemos que muitos aparelhos no Brasil possuem processador 64 bits, mas Android 32. Nesses casos geralmente não funciona.
09/03/2020 15:16 · Membro 0088
consegue acesso a pasta /com.whatsapp/files tb? Para a key
09/03/2020 15:16 · Membro 0088
excelente! para recuperar as conversas dos dbs criptografados no backup tb
09/03/2020 15:17 · Membro 0050
Conseguimos execução de código com o usuário do Whatsapp
09/03/2020 15:17 · Membro 0050
Explicação completa do ataque aqui: https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/
09/03/2020 15:18 · Membro 0050
Funciona até a versao 2.19.230 do WhatsApp, em ambiente Android.

Origem 007 — 13/03/2020 12:43 a 13:01 — Root em dispositivo Android para extração pericial

13/03/2020 12:43 · Membro 0084
Essa são as world link que o [NOME] falou
13/03/2020 12:44 · Membro 0103
arquivos “/opt/kiosk/libs/KiosK-withLibs.jar gerencia o acesso ao sistema, o arquivo “/opt/kiosk/logs/jlockwin.log possui logos deste acessos, e la vc pode achar chamadas no sistema com o nome de H4 (jogo halloween) ou outras abreviações de jogos,
13/03/2020 12:45 · Membro 0103
Pela análise do mesmo código apresentado pode-se observar que os processos relacionados a sítios de busca (Google), sítios como (Gmail) são criados na pasta “/usr/bin”, ao ponto que os processos relacionados ao programa “4804 ou h4” é criado na pasta “/tmp”.
13/03/2020 12:45 · Membro 0015
Exato. Encontrei tambem..tem datas e horarios da sliberacoes
13/03/2020 12:46 · Membro 0103
código do Kiosk-withLibs.jar
13/03/2020 12:47 · Membro 0015
como o usuario iniciava o jogo halloaween?
13/03/2020 12:48 · Membro 0103
somente com o uauário ADMIN
13/03/2020 12:49 · Membro 0015
aqui nao fazia diferença ser admin..apareciam as mesmas aplicações
13/03/2020 12:50 · Membro 0084
Você tem a senha de admin?
13/03/2020 12:52 · Membro 0015
nao..entrei no recovery mode depois escolhi a opcao root
13/03/2020 12:52 · Membro 0015
no pronpt tem como resetar a senha do cliente
13/03/2020 12:57 · Membro 0103
eles fazem de um que é complicado vc acessoar o jogo pq precisa de um acesso a server remoto, vc vai ter que analisar o código fonte das aplicações
13/03/2020 12:57 · Membro 0103
sou mexendo ai eu nunca consegui jogar
13/03/2020 13:00 · Membro 0103
<Mídia oculta>
Exemplo de um laudo nosso, nesse tinha o jogo BANG.
13/03/2020 13:01 · Membro 0103
tinha histórico da existência dele, pq era sempre apagado por estar na TMP

Origem 008 — 13/03/2020 15:45 a 16:39 — Roubo de software e comparação de código-fonte

13/03/2020 15:45 · Membro 0084
Não tem links pra jogos.
Tem processos que conectam num servidor e cujos arquivos são salvos na pasta tmp e posteriormente são apagados.

Dá pra falar que a máquina tem uma vpn com esse servidor por meio do app tinc e que é possível que tenha acessado alguma aplicação (incluindo jogos de azar) sem deixar vestígios.
13/03/2020 16:38 · Membro 0018
Aqui tem o teamviewer
13/03/2020 16:38 · Membro 0018
Vou procurar esses outros dados relacionados
13/03/2020 16:39 · Membro 0084
Aqui estamos na terra do Carlinhos Cachoeira. Caça-níquel aqui é mato.
😂😂

Origem 009 — 10/04/2021 13:06 a 14:14 — Elaboração de laudo e relatório técnico pericial

10/04/2021 13:06 · Membro 0051
Meu último laudo no lab foi uma engenharia reversa de um app do jogo do bicho. Me senti fechando em grande estilo. Conseguimos diversos dados do funcionamento, nomes de pessoas endereços de servidores etc etc. Assim como o funcionamento completo do programa. Aquilo é perícia, pq não havia botão a apertar que dava o resultado sem pontos técnicos.
10/04/2021 13:06 · Membro 0051
Mas não é um laudo que se faz rotineiramente. Tive tempo pra fazer.
10/04/2021 13:07 · Membro 0078
A meu ver é apenas coisas desse nivel que deveriam ser função das seções de informática forense.
10/04/2021 13:08 · Membro 0130
Boa! Parabéns!

Como chegar nesse nível de conhecimento, hein?!

Caramba!👏👏👏👏
10/04/2021 13:08 · Membro 0054
Seriam aqueles que rodam em terminais POS, executando Android?
10/04/2021 13:09 · Membro 0051
É um app para Android que executa em qualquer celular. Muito comum aqui no estado.
10/04/2021 13:33 · Membro 0054
<Mídia oculta>
Uns meses atrás, fiz a reversa de um apk instalado em um POS baseado em Android.
Desde a declaração das classes, às vezes já temos alguma pista do que veremos à frente.
10/04/2021 13:35 · Membro 0078
😅😅 o cara poderia até dar nome nada a ver as variáveis, mas o problema é que se ele fizer isso nem ele entende o próprio código.
10/04/2021 13:37 · Membro 0054
Faltou um cursinho de code obfuscation 😂
10/04/2021 13:38 · Membro 0078
Ah isso ai foi código decompilado? Achei que tinha encontrado o código fonte em algum lugar.
10/04/2021 13:40 · Membro 0054
O terminal era baseado em chipsett mtk. E deu bom em um dump físico.
10/04/2021 13:40 · Membro 0054
*chipset
10/04/2021 13:50 · Membro 0123
O terminal era de fabricação própria (artesanal, protótipo) ou de aspecto similar aos POS de cartão (Cielo, Stone, Redecard)?
10/04/2021 13:51 · Membro 0123
Tinha interface de dados USB externo?
10/04/2021 14:14 · Membro 0054
<Mídia oculta>
Terminal POS mesmo, porém de aplicação genérica (marca Sunmi).
10/04/2021 14:14 · Membro 0054
Sim, USB-C.
10/04/2021 14:14 · Membro 0054
O que facilita bastante.

Origem 010 — 27/02/2023 18:53 a 19:33 — Roubo de software e comparação de código-fonte

27/02/2023 18:53 · Membro 0144
Você pode usar o código abaixo pra fazer esse filtro

import Evtx.Evtx

with Evtx.Evtx("C:\\Windows\\System32\\winevt\\Logs\\System.evtx") as log:
for record in log.records():
if record.xml().find("EventID Qualifiers=\"16384\">5156<") != -1:
print("Data e hora: " + str(record.timestamp()))
print("Origem do IP: " + str(record.xml().split("<Data Name=\"SourceIpAddress\">")[1].split("</Data>")[0]))
print("Destino do IP: " + str(record.xml().split("<Data Name=\"DestIpAddress\">")[1].split("</Data>")[0]))
print("Nome do usuário: " + str(record.xml().split("<Data Name=\"SubjectUserName\">")[1].split("</Data>")[0]))
print("----------------------------------------------------")
27/02/2023 18:54 · Membro 0144
Esse código [SEGREDO] python e o Evtx não é builtin, tem que instalar

pip install evtx
27/02/2023 19:32 · Membro 0048
Tava vendo aqui, esse 5156 é aquela liberação do firewall para saída de pacote tcp por uma aplicação. É uma ideia, mas eu não vi aqui numa maquina real se ele coloca um ip local de loopback
27/02/2023 19:33 · Membro 0048
É uma boa dica essa. Vou depois rodar o script tb

Origem 011 — 31/08/2023 11:27 a 11:46 — Extração e análise de mensagens do WhatsApp

31/08/2023 11:27 · Membro 0107
Bom dia. Alguém tem conhecimento de alguma técnica para *rasteio de IP por conversa via WhatsApp*? Lembro de ter lido algo sobre isso em conversas anteriores, mas não consegui localizar.
31/08/2023 11:35 · Membro 0048
Pode usar a ferramenta que nosso colega da SPI/PCDF desenvolveu:
https://github.com/leosol/waip
31/08/2023 11:37 · Membro 0048
mas nesse caso precisa de originar uma ligação via whatsapp
31/08/2023 11:41 · Membro 0048
Telefone precisa está rooteado tb
31/08/2023 11:41 · Membro 0048
Tem uma forma que acho bem interessante tb.
31/08/2023 11:42 · Membro 0048
No windows, a nova versão DESKTOP do Whatsapp é dotnet e faz chamadas via desktop. Dessa forma, vc tb pode usar um sniffer capturando pacotes da aplicação e originar uma chamada que vc vê o IP nessa aplicação.
31/08/2023 11:43 · Membro 0048
fica mais fácil não usar o wireshark, mas usar uma ferramenta que filtra por processo
31/08/2023 11:44 · Membro 0048
Acho que o próprio network monitor da MS faz bem o serviço
31/08/2023 11:46 · Membro 0048
Outra forma tb é usar um roteador wifi, ou mesmo fazer tethering no computador e capturar o wifi do telefone e originar chamada

Origem 012 — 05/09/2023 18:42 a 19:25 — / / Haveria alguma possibilidade de êxito quando da aplicação do procedimento remoção

05/09/2023 18:42 · Membro 0147
IMG-20230905-WA0009.jpg (arquivo anexado)
É uma honra em está auxiliando e treinando nossos amigos da Polícia Civil do Estado do Pará!!! 🕵🏽‍♂️👮🏻‍♂️👨🏻‍💻✌🏼
05/09/2023 19:25 · Membro 0173
Boa noite.

Haveria alguma possibilidade de êxito quando da aplicação do procedimento remoção de bloqueio de tela num NOTE 10 usando uma versão anterior (NOTE 9)?

Caso o procedimento falhe é provável que o telefone não reinicie corretamente o Android?

Alguém já tentou algo similar?

Origem 013 — 12/09/2023 14:14 a 15:07 — Root e extração em dispositivo Positivo

12/09/2023 14:14 · Membro 0045
Senhores boa tarde, alguém tem idéia de algum log no Android, onde se consiga constatar a data de criação da senha por padrão de desenho existente no aparelho, segundo o requisitante seria de vital importância constatarmos a data de criação do padrão de desenho no dispositivo, possível utilização indevida de aparelhos apreendidos por policiais penais.
12/09/2023 14:32 · Membro 0166
olha no /data/data/com.android.google.gm
12/09/2023 14:32 · Membro 0166
Acho que é esse o caminho
12/09/2023 14:32 · Membro 0166
Quando foi criado o usuário
12/09/2023 14:33 · Membro 0166
Tem uma base de dados nesse final ".gm" que é o usuário do dispositivo
12/09/2023 14:42 · Membro 0048
Outro dia respondi um colega sobre exatamente o log que guarda isso. Deixa eubpegar os dados
12/09/2023 14:44 · Membro 0048
Tem nesse aquivo
LockSettingsLog_Enroll.log
12/09/2023 14:44 · Membro 0164
Boa tarde pessoal. Estou com um quesito para verificar se existe software espião instalado no PC. Sistemas Windows 10 Pro. Considerando que esses softwares podem estar disfarçados com outros nomes ou ocultos, alguém possui técnicas para localizar vestígios ?
12/09/2023 14:44 · Membro 0048
Vc pode trr um log semelhante a esse aqui:

12-31 15:23:20.861 lock enroll event Contents : setLockCredential new type = -1 Time : 12-31 15:23:20.845 User id : 0 UID : 8334 PID : 1000 Callers : 12-31 15:23:20.847 com.android.internal.widget.LockPatternUtils.makeLpuLog:2779 12-31 15:23:20.847 com.android.internal.widget.LockPatternUtils.setLockCredential:794 12-31 15:23:20.847 com.android.settings.password.ChooseLockGeneric$ChooseLockGenericFragment.updateUnlockMethodAndFinish:2263 12-31 15:23:20.847 com.android.settings.password.ChooseLockGeneric$ChooseLockGenericFragment.setUnlockMethod:2525 12-31 15:23:20.847 com.android.settings.password.ChooseLockGeneric$ChooseLockGenericFragment.onPreferenceTreeClick:1035 12-31 15:23:20.847 androidx.preference.Preference.performClick:1270 12-31 15:23:20.847 com.android.settingslib.RestrictedPreference.performClick:79 12-31 15:23:20.847 androidx.preference.Preference.performClick:1244 12-31 15:23:20.847 androidx.preference.Preference$1.onClick:193 12-31 15:23:20.847 android.view.View.performClick:8160
12/09/2023 14:45 · Membro 0048
Esse type pode ser um desses aqui:
CREDENTIAL_TYPE_NONE = -1

CREDENTIAL_TYPE_PATTERN = 1

CREDENTIAL_TYPE_PASSWORD_OR_PIN = 2
CREDENTIAL_TYPE_PASSWORD = 3
CREDENTIAL_TYPE_PIN = 4
12/09/2023 14:45 · Membro 0048
Conforme código fonte do android em:
https://android.googlesource.com/platform/frameworks/base/+/master/core/java/com/android/internal/widget/LockPatternUtils.java
12/09/2023 14:46 · Membro 0045
Top senhores, muito obrigado…👏👏👏
12/09/2023 15:04 · Membro 0048
Rodar um antivírus atualizado nos dados é um começo
12/09/2023 15:06 · Membro 0048
Outra é análise dinâmica subindo numa vm a imagem e monitorar o tráfego
12/09/2023 15:07 · Membro 0048
Ver o log de instalações

Origem 014 — 26/05/2025 12:57 a 14:55 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

26/05/2025 12:57 · Membro 0088
Boa tarde. Sobre o Direct do Instagram, notamos que muitas vezes a conversa não vem completa, apesar de estar visível na tela diversas mensagens, em um iPhone 8, conseguimos uma FFS no Premium e mesmo assim o PA não exibe
26/05/2025 12:59 · Membro 0048
Shareza é opensource, salvo engano. Dá para ver no código fonte <Mensagem editada>
26/05/2025 13:08 · Membro 0048
Axiom 👊🏼
26/05/2025 13:19 · Membro 0121
eu vi esse guia de artefatos do axiom... tô buscando uma confirmação, pra não ficar só no indicativo da ferramenta forense
beleza, valeu, pessoal 👍🏻
26/05/2025 13:46 · Membro 0146
FFS no Premium, método 4
26/05/2025 13:57 · Membro 0080
Qual a sua versão do premium?
26/05/2025 14:00 · Membro 0117
Tentou no xry? Via test point
26/05/2025 14:03 · Membro 0146
Esse faz um tempo foi na 7.66.406
26/05/2025 14:40 · Membro 0048
Não estou com tempo hoje, mas amanhã se der posso ver no código do shareza.
26/05/2025 14:55 · Membro 0080
Vou fazer downgrade e tentar.