Extração de WhatsApp em Android
Categoria: WhatsApp, WhatsApp Web, Telegram e mensageiros
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre extração de WhatsApp em Android no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, UFED Analytics, XRY, IPED, ADB, WhatsApp, Telegram. Os termos mais recorrentes neste tema incluem: whatsapp, mas, pelo, midia, pasta, pra, arquivo, https, esse, esta. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Conferir se a extração inclui bancos e chaves necessários.
- Registrar quando extração parcial não traz dados de aplicativos.
- Avaliar alternativas com ADB/root conforme risco e autorização.
Ferramentas, sistemas ou marcas citadas
UFEDUFED AnalyticsXRYIPEDADBWhatsAppTelegramPalavras-chave recorrentes
whatsappmaspelomidiapastapraarquivohttpsesseestafoiserocultapodeeleconversascasovaiDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 11/12/2017 19:15 a 19:20 — Extração e análise de mensagens do WhatsApp
Aproveitando o gancho, alguém tá conseguindo extrair whatsapp dos motorolas?
Tô agora com um caso e o aparelho é um xt1640
Aparelho já veio com twrp instalado.
Extraiu como? Ufed?
Sim. Esse caso é exceção. Rs
O cara manja de root e tal
O outro é um j7 prime com senha, aí não pude fazer nada.
Antes, era possível extrair com um script py que o pessoal da lista compartilhou, mas esses mais novos já não funciona mais..
60 min de espera apos uma tentativa.
Cada dia mais difícil
Origem 002 — 05/01/2018 10:30 a 10:30 — Extração e análise de mensagens do WhatsApp
Prezados (as),
Segue orientação técnica que tem como intuito auxiliar os profissionais de segurança pública que exercem atividade de polícia judiciária na supressão de arquivos de mídia ilícitos no aplicativo WhatsApp.
Informo ainda, que em razão dos dados não serem sigilosos é ideal que o documento seja replicado aos órgãos de polícia judiciária, em especial os que trabalham com investigação de crimes cibernéticos.
Atenciosamente,
Diretoria de Inteligência – DINT
Secretaria Nacional de Segurança Pública - SENASP
Ministério da Justiça e Segurança Pública - MJSP
Edifício Sede - 5º andar - Sala 504 - CEP: 70064-900 / Brasília-DF
Tels.: [TELEFONE]
Segue orientação técnica que tem como intuito auxiliar os profissionais de segurança pública que exercem atividade de polícia judiciária na supressão de arquivos de mídia ilícitos no aplicativo WhatsApp.
Informo ainda, que em razão dos dados não serem sigilosos é ideal que o documento seja replicado aos órgãos de polícia judiciária, em especial os que trabalham com investigação de crimes cibernéticos.
Atenciosamente,
Diretoria de Inteligência – DINT
Secretaria Nacional de Segurança Pública - SENASP
Ministério da Justiça e Segurança Pública - MJSP
Edifício Sede - 5º andar - Sala 504 - CEP: 70064-900 / Brasília-DF
Tels.: [TELEFONE]
<Mídia oculta>
ORIENTACAO TECNICA WHATSAPP
ORIENTACAO TECNICA WHATSAPP
Origem 003 — 17/02/2018 20:09 a 20:11 — Vale a pena dá uma olhada 👆👆👆👆
http://www.dizerodireito.com.br/2018/02/acesso-as-conversas-do-whatsapp-pela.html?m=1
Vale a pena dá uma olhada 👆👆👆👆
Acessar sem modificar rsrs
Origem 004 — 29/05/2018 17:16 a 17:24 — Extração e análise de mensagens do WhatsApp
Opa estou com uma dúvida aqui
Alguém já extraiu dados do WhatsApp instalado no parallel space?
Que ferramenta usaram
<Mídia oculta>
Conversas_WhatsApp_do_Parallel.pdf
Conversas_WhatsApp_do_Parallel.pdf
[NOME], tenta isso 👆. Aqui temos feito assim
Após a última atualização do PA, fiz uma extração que continha dados do whatsapp via parallel e a própria ferramenta conseguiu abrir esses dados.... não sendo necessário efetuar os procedimentos do tutorial acima
Origem 005 — 15/06/2018 08:02 a 08:02 — Extração de WhatsApp em Android
https://180graus.com/geral/correntistas-do-bb-poderao-fazer-consultas-por-whatsapp-e-twitter
Origem 006 — 03/08/2018 14:01 a 14:02 — Extração e análise de mensagens do WhatsApp
No celular em que o WhatsApp está sendo instalado pedirá o código de verificação em 2 etapas. Ao clicar esqueci o Pin me apareceu essa mensagem.
Tentei agora e deu isso o meu teste.
Origem 007 — 09/08/2018 05:49 a 05:49 — Extração de WhatsApp em Android
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/
Origem 008 — 29/08/2018 12:19 a 12:19 — Extração de WhatsApp em Android
https://pplware.sapo.pt/software/whatsapp-google-copia-nao-encriptada/
Origem 009 — 03/09/2018 21:19 a 21:32 — Extração e análise de mensagens do WhatsApp
Pessoal, boa noite! Estou tentando exportar umas conversas do WhatsApp mas os arquivos de mídia de algumas não estão indo junto. Alguém aqui já passou por isso? Obrigado!
Embora exista arquivos de mídia, em algumas conversas não aparece essa opção.
Quando acontece isso eu exporto somente texto
E depois envio manualmente por Bluetooth cada arquivo de mídia
Está usando qual opção? A do próprio WhatsApp?
Aqui usamos um app desenvolvido por um perito do PR
É só instalar no aparelho, aí na hora de exportar ele tem a opção de usar o app
<Mídia oculta>
EmailBkpToFile_Android5_above
EmailBkpToFile_Android5_above
Estou usando esse app. O problema é q o WhatsApp não dá essa opção em algumas conversas.
Vai gerar um arquivo TXT... mas é só abrir pelo Word com linguagem unicode-8 que converte os caracteres
Aí depois envia por Bluetooth os arquivos
Aí será fidedigno ao que está no chat
Não sei se é a versão do whatsapp q tá no aparelho...
Texto foi de boa. Problema são as mídias. Pq o MobileMerger já monta o relatório.
O MobileMerger monta as conversas fazendo dessa forma?
Aqui não estamos usando o Merger..
Origem 010 — 04/09/2018 09:39 a 10:29 — Extração e análise de mensagens do WhatsApp
Bom dia! Pessoal já chegou no estado de vocês apenas capturas de tela de WhatsApp sem o aparelho celular para validação destas ou para a realização da extração diretamente do aparelho? Qual o procedimento que vocês adotaram nesse caso, solicitaram o aparelho? Desde já, obrigado!
Bom-dia!
Somente faça a aferição com o aparelho!
Aqui já tentaram isso. Quando analisamos o aparelho, não foram encontradas as tais evidências... 🤔
Muito cuidado pra não "esquentar" prova, nem ser "embuchado"!
Somente faça a aferição com o aparelho!
Aqui já tentaram isso. Quando analisamos o aparelho, não foram encontradas as tais evidências... 🤔
Muito cuidado pra não "esquentar" prova, nem ser "embuchado"!
Obrigado pelo retorno, Danilo! Chegaram algumas de uma delegacia específica, vou conversar com o delegado sobre a incapacidade da realização do exame e dizer que terá que ser enviado o aparelho.
Farias isso é alguma coisa do próprio WhatsApp, tanto que você pode tentar usar o aplicativo ou usar a opção de exportar pra e-mail, que as mídias também não vão ser “vistas”. Se você olhar no arquivo texto, o WhatsApp setou, em todas as mídias dessa conversa, o status “arquivo de mídia oculto”, tentei de tudo mas não consegui mudar isso, e o chato é que as mídias estão todas lá, não tem atributo de oculto ou alguma proteção, não tem nada de diferente das outras, é fogo... a solução foi fazer o trabalho manual, pegar todas as mídias, colocar em uma mesma pasta que o texto, pegar o nome completo de “todos” os arquivos de mídia e colocar exatamente no lugar certinho, no momento em que elas estão posicionadas, dentro do diálogo, referenciadas no texto, substituindo a expressão “arquivo de mídia oculto”; só um detalhe, o arquivo de texto tem que ficar num padrão que o mobile Merger entenda, ou seja, uma mensagem por linha, senão ele não vai reconhecer. Boa sorte.
Grande [NOME]! Valeu! 👍✌
Origem 011 — 18/10/2018 10:06 a 10:06 — Extração e análise de mensagens do WhatsApp
Bom dia. Informo pequena alteração no script de carga de exportação do whatsapp por email para o UFED PA. Em algumas exportações aparecem bytes nas linhas de mensagens no arquivo de texto que impediam match com os padrões cadastrados. Um colega [MENCAO] da spi-pcdf sugeriu com sucesso uso do search do regex ao invés do match. Também foi incluido referência a licença MIT do projeto Whatsapp Analytics onde parte do código [SEGREDO].
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail
Origem 012 — 14/11/2018 11:29 a 11:38 — Extração e análise de mensagens do WhatsApp
Tem algum tutorial?
<Mídia oculta>
Com os arquivos zerados, o WhatsApp mostrará apenas os Thumbnails.
Retornando a pasta Original, nos nossos testes, nada foi perdido. Entretanto, não temos total segurança de que seja assim para todas as versões do WhatsApp...
Com os arquivos zerados, o WhatsApp mostrará apenas os Thumbnails.
Retornando a pasta Original, nos nossos testes, nada foi perdido. Entretanto, não temos total segurança de que seja assim para todas as versões do WhatsApp...
Farei em breve! sem problemas!
Lembrando que ele não abre a janela de permissões então..
<Mídia oculta>
Permissão.
Permissão.
<Mídia oculta>
Destino dos arquivos.
Destino dos arquivos.
Qualquer erro, sugestão ou interesse em ter os fontes que estão no github (conta privada), só mandar no privado ok!?
Desculpem a falta do manual e mandar assim corrido no WhatsApp.
Antes de iniciar, acho *muito importante* fazer uma cópia da pasta original do WhatsApp.
Desculpem a falta do manual e mandar assim corrido no WhatsApp.
Antes de iniciar, acho *muito importante* fazer uma cópia da pasta original do WhatsApp.
Origem 013 — 14/11/2018 12:10 a 12:24 — Extração e análise de mensagens do WhatsApp
no final, depois de executar o CONCLUIR ... fica a pasta WhatsAppFake na memoria. Essa pasta pode ser excluida sem problemas?
Pode sim. Faltou coragem para programar um rm -rf
Ok. Outra duvida: todas as exportacoes (varias conversas) vao para a mesma pasta junto com todas as imagens, audios, etc?
podia criar uma pasta pra cada conversa
É possível sim. Criei uma issue no github e assim que sobrar um tempo no dia a dia, farei o ajuste.
Mesmo assim já ajuda bastante. obg
Origem 014 — 06/12/2018 20:09 a 20:23 — Esse caso foi bizarro
https://www.migalhas.com.br/Quentes/17,MI292102,51045-STJ+anula+prova+obtida+pelo+WhatsApp+Web+sem+conhecimento+do+dono+do
Esse caso foi bizarro!
Origem 015 — 17/12/2018 17:12 a 17:12 — Extração e análise de mensagens do WhatsApp
STJ anula provas obtidas no Whatsapp e 18 suspeitos de tráfico são liberados em Itajaí | Dagmara Spautz | NSC Total https://www.nsctotal.com.br/colunistas/dagmara-spautz/stj-anula-provas-obtidas-em-conversas-no-whatsapp-e-18-presos-por-trafico
Origem 016 — 02/01/2019 10:32 a 10:54 — Extração e análise de mensagens do WhatsApp
Duas contas de WhatsApp?!
Aparentemente não.
No meu, eu bloqueei um contato mas não apareceu a fechadura 🤔
eu ia dar flash no AP, mas vi aqui que tem o userdata dentro dele... acho que esse é o maldito da história
Origem 017 — 29/01/2019 11:26 a 11:26 — Extração e decodificação de bancos do WhatsApp
Pessoal, sobre o SPITools, em alguns casos, *quando o bate-papo só tem áudios, o WhatsApp não exporta nada* de mídia, ou seja, vem só texto para os áudios. O colega [MENCAO] descobriu que se vc mandar um anexo com o WhatsApp offline, uma imagem por exemplo, ele passa a exportar.
O [MENCAO] [NOME] alertou para que façamos o backup (conforme o manual) mas utilizando a opção 'a' para o adb pull, e assim preservar os timestamps. Fica assim: *adb pull -a /sdcard/WhatsApp*
O [MENCAO] [NOME] alertou para que façamos o backup (conforme o manual) mas utilizando a opção 'a' para o adb pull, e assim preservar os timestamps. Fica assim: *adb pull -a /sdcard/WhatsApp*
Origem 018 — 26/03/2019 14:51 a 14:54 — Recuperação de mensagens e vestígios do WhatsApp
O WhatsApp ao exportar conversas por e-mail apresenta alguns erros quando o anexo é relativo a mensagem enviada por áudio. Esse erro não é apenas quando se tem apenas áudio. Percebi isso em algumas conversas que tinham vários áudios e imagens, porém, os áudios de interesse estavam como mídia oculta. Destaca-se que os áudios não estavam deletados. Comecei a verificar todas as mensagens exportadas, e constatei que o erro é recorrente mesmo utilizando o SPItools em diversos casos.
Relatei o caso para o WhatsApp e ainda não me retornaram. Vale destacar que já havia relatado erros anteriores, e sempre eles sempre retornaram.
Sugiro verificar sempre as mensagens exportadas.
Origem 019 — 30/04/2019 08:44 a 08:44 — Extração de WhatsApp em Android
https://pplware.sapo.pt/redes_sociais/whatsapp-e-utilizado-como-um-antro-de-pornografia-infantil-diz-estudo/
Origem 020 — 08/05/2019 13:59 a 16:50 — Recuperação de mensagens e vestígios do WhatsApp
Mas a timeline teoricamente também é um sqlite, que também pode ser alterado. Não se esquecendo também que a data de um dispositivo pode ser uma variável que pode ser alterada pra qualquer valor, a qualquer momento.
Senhores alguém teria informações mais técnicas, a respeito desse golpe de clonagem de WhatsApp que está ocorrendo agora?? Como se daria o golpe, em nossa linguagem técnica, e o que poderia ser feito, em termos práticos, de forma a evitar que os infratores se apoderem da conta da vítima...
Quando você instala o whatsapp no celular a empresa envia um código de 6 dígitos no forma NNN-NNN via SMS para seu número de celular. Na instalação pede esse código. O criminoso instala o whatsapp informando seu número, liga pra você dizendo ser da operadora e pede que informe esse número recebido via SMS. Ele ativa o whatsapp no celular dele usando seu código, desativando o seu aplicativo. Depois ativa a segunda etapa de segurança no whatsapp (uma senha), que só ele vai saber. Logo, você não tem como recuperar o whatsapp nesse número!
A opção é mandar mensagem de email pra [EMAIL] e rezar que atendam logo!
Em resumo: *engenharia social* (as usual)....
A delegada daqui chegou a me dizer que existia casos em que havia a oferta de um “link”, pelo infrator, que passava a se apoderar do WhatsApp da vítima, após o clique nesse link. Daí eu fiquei curioso, pq a habilitação do WhatsApp em algum dispositivo, realmente depende da participação da operadora, e não consegui entender por qual outra forma isso se daria, se não fosse via operadora, através do envio do SMS. Sendo assim, então não se trata de “clonagem”, que seria algo próximo do que faz o web WhatsApp, e sim, o uso da engenharia social, para adquirir o código [SEGREDO] via SMS. Alguém tem notícia de algum caso em que tenha havido realmente uma “clonagem”, através de um link ou outro meio qualquer ?? Vou tentar apurar melhor essa informação por aqui, mas não vejo outra forma de habilitação do WhatsApp em um dispositivo, que não seja através do SMS.
Caso a instalação de aplicativos de fontes desconhecidas esteja habilitada e se for concedida permissão de acesso às mensagens SMS, um aplicativo poderia ler esse conteúdo de mensagem e repassar via rede para o atacante utilizar
E ativar o whats em outro aparelho
Origem 021 — 14/05/2019 10:07 a 10:32 — Extração e análise de mensagens do WhatsApp
Muita vulnerabilidade nos Android ainda vêem do código dos codecs, porém são geralmente bibliotecas de código nativo, logo bem dependente do tipo de hardware subjacente.
porém, com isolamento do processo no Android, talvez não tenham saído da sandbox do whatsapp, permitindo acesso apenas aos dados do zap
Acho que não seria possível instalar um aplicativo o dependente dessa forma que ficasse rodando em background. Com buffet overlflow até seria possível conseguir executar código malicioso mas dentro do processo do WhatsApp. Se esse código consegue se instalar talvez seja fazendo um patch no próprio executável do WhatsApp deixando ele modificado com alguma função maliciosa adicional.
Origem 022 — 24/06/2019 14:54 a 15:37 — Extração e análise de mensagens do WhatsApp
Opa
Alguma forma de extrair WhatsApp de iPhone! algum app?
geralmente um extração Advanced Logical já puxa o zazap
do UFED...
Se, desbloqueado estiver 😉
Xry tem extraído
Origem 023 — 12/07/2019 16:24 a 17:04 — Extração e análise de mensagens do WhatsApp
Pessoal, aconteceu um caso aqui e preciso de ajuda. Essa foto é um print que eu tirei de um celular. No celular que enviou a mensagem o nome que aparece é outro. Todas as outras mensagens da conversa são coincidentes, inclusive erros de português e horários. O que pode ter ocorrido?
Não seria porque o nome que aparece é o que está cadastrado no aparelho?
Mas o nome está na mensagem
Se todas as mensagens estão idênticas
Será que o WhatsApp não tem suporte para envio de variável?
Mas teria que aterar os dados de apenas uma mensagem?
Alterar?
Assim, deve ser viagem minha, mas a ideia é que eu mandaria uma mensagem para você com uma parte sendo variável: Ex: "Olá, [MENCAO]". Aí, no meu celular aparece o seu nome conforme eu cadastrei, mas no seu celular aparecerá o seu nome como você cadastrou. É o que consigo imaginar.
Você teve acesso as duas bases do WhatsApp dessa conversa?
do remetente e destinatário
Eu tive acesso um aparelho e o outro foi acessado pelo perito em Joinville
Ambos apareciam da mesma forma, a única diferença era o nome
Mas um remetente e o outro destinatário?
teria sentido, no caso investigado , o cara se dar ao trabalho de tentar alterar isso? tipo fazer um "enxerto" pra criar algo
Trata-se de uma cobrança
Estou aqui pensando na vulnerabilidade do whatsapp
Origem 024 — 13/07/2019 10:37 a 10:44 — Extração e análise de mensagens do WhatsApp
Não poderia ser um produto similar ao WhatsApp Marketing, que é uma solução voltada para empresas, que se utiliza de algo parecido com uma mala direta ??
Não se pode afirmar ao certo a implementação dessas ferramentas, nem tampouco do próprio WhatsApp, que são verdadeiras caixas pretas, mas é notória a utilização de variáveis na mensagem.
Origem 025 — 13/07/2019 14:10 a 14:21 — Extração e análise de mensagens do WhatsApp
Segundo a perícia de Joinville, era whatsapp e a daqui era whatsapp
O WhatsApp Marketing, pelo que entendi, é algo que faz uso de um plugin, ou algo parecido, que de alguma forma faz uso das funcionalidades do próprio WhatsApp pra atingir uma massa de clientes, ou seja, é o próprio WhatsApp que está sendo usado mesmo, só que com alguma funcionalidade a mais, que implementa algo semelhante a uma mala direta, logo, evidentemente, fazendo uso de variáveis, o que explicaria a divergência nos dois telefones vistos. Seria o caso de verificar a existência de plugins ou aplicativos que pudessem possibilitar essas funcionalidades, nos dois telefones examinados, e não apenas no WhatsApp de forma isolada. Seria uma possibilidade.
Origem 026 — 24/07/2019 05:41 a 05:41 — Extração de WhatsApp em Android
https://www.techtudo.com.br/dicas-e-tutoriais/2019/07/whatsapp-como-usar-o-wamr-para-recuperar-mensagens-apagadas-para-todos.ghtml
Origem 027 — 30/08/2019 11:03 a 11:03 — Extração e análise de mensagens do WhatsApp
App espião brasileiro se passa por WhatsApp e vê tudo que você faz no celular | Segurança | TechTudo https://www.techtudo.com.br/noticias/2019/08/app-espiao-brasileiro-se-passa-por-whatsapp-e-ve-tudo-que-voce-faz-no-celular.ghtml
Origem 028 — 25/09/2019 21:45 a 22:11 — Extração e decodificação de bancos do WhatsApp
Boa Noite pessoal! Sou o [NOME] Humberto, novato na Polícia Científica/PR... Queria saber se alguém já passou pela situação e pode dar orientações... Um familiar teve o WhatsApp clonado agora pouco e estavam aplicando aquele tradicional golpe de pedir dinheiro... Acho q é prudente que ele solicite o bloqueio da linha junto a operadora, correto? Uma vez q ainda não se sabe a forma utilizada para "clonar" o WhatsApp... E se foi só o WhatsApp ou a linha...
Se o chip dele ainda estiver funcionando provavelmente só tiveram acesso ao WhatsApp
Agora soube da informação complementa... O problema é maior, acessaram conta de banco, fizeram transferências e tudo mais.... Mas valeu pela dica!
http://g1.globo.com/tecnologia/blog/tira-duvidas-de-tecnologia/post/whatsapp-saiba-o-que-fazer-quando-conta-e-clonada.html
Muita atenção !! Malandragem aplicando golpes
Esse é o golpe atual!
Origem 029 — 17/10/2019 16:32 a 16:32 — Extração e análise de mensagens do WhatsApp
Alguém pode reenviar o extrator de whatsapp
Origem 030 — 01/11/2019 23:11 a 23:11 — Extração e análise de mensagens do WhatsApp
Atualização do whatsapp
Origem 031 — 24/11/2019 11:24 a 11:55 — Extração e decodificação de bancos do WhatsApp
Pessoal, boa tarde. Estou com Xiaomi Redmi 8 Lite.
No procedimento de backup do WhatsApp via downgrade o aplicativo original foi desinstalado e o de versão anterior não teve permissão para ser instalado, ou seja, o aparelho está sem WhatsApp. Alguma carta na manga pra eu voltar a acessar as conversas?
No procedimento de backup do WhatsApp via downgrade o aplicativo original foi desinstalado e o de versão anterior não teve permissão para ser instalado, ou seja, o aparelho está sem WhatsApp. Alguma carta na manga pra eu voltar a acessar as conversas?
Instalar o apk novamente, colocando o apk num sdcard ou dentro da memória interna do telefone, através de um cabo USB, pra não precisar liberar a internet do aparelho.
Pois é, mas fazendo isso ele não permite o término da instalação.
Parece que tem a ver com a opção INSTALAR VIA USB, que só pode ser ativada com conexão.
Parece que tem a ver com a opção INSTALAR VIA USB, que só pode ser ativada com conexão.
Ai que está meu entrave
Normalmente isso dá pra ser feito nos Samsung da vida, parece ser peculiaridade da Xiaomi.
Depende também da versão do WhatsApp, ele não permite downgrade por via convencional, então a versão do apk que está tentando instalar tem que ser igual ou maior a versão que estava instalada.
Tenta instalar via adb
adb install -r whatsapp.apk
adb install [-l] [-t] [-r] [-s] <file> - push this package file to the
device and install it
('-t' uses for install debug apk)
('-l' means forward-lock the app)
('-r' means reinstall the app, keeping its data)
('-s' means install on SD card instead of internal storage)
adb uninstall [-k] <package> - remove this app package from the device
('-k' means keep the data and cache directories)
device and install it
('-t' uses for install debug apk)
('-l' means forward-lock the app)
('-r' means reinstall the app, keeping its data)
('-s' means install on SD card instead of internal storage)
adb uninstall [-k] <package> - remove this app package from the device
('-k' means keep the data and cache directories)
Vou tentar tbm. E atualizo do que deu.
https://apkpure.com/br/whatsapp-messenger/com.whatsapp
Aqui tem diversas versões para baixar
Deu certo! Esse foi meu vacilo. Não ter colocado uma versão igual ou superior à anterior.
Pus a mais nova e deu.
Quando reinstala dessa forma, ele pede confirmação por SMS ou já abre normalmente a conta do whatsApp?
Abriu direto, como se nem tivesse desinstalado.
Foi por USB ou ADb essa instalação?
Ele dá uninstall -k, para manter dados
Coloquei direto na raiz o apk. Pelo Windows Explorer msm. E executei pelo gerenciador de arquivos do celular.
Origem 032 — 26/11/2019 12:02 a 12:24 — Extração e análise de mensagens do WhatsApp
Alguém tem experiência em atestar se um áudio foi produzido pelo WhatsApp. Tem como verificar número de série do celular, tem como editar o metadados do aplicativo (no metadados tem o nome WhatsApp no campo aplicativo) sem danificar o arquivo? Chegou pra gente uma penca de arquivos prováveis de áudio gerado no WhatsApp para atestar edição fonte e outros. 🤯🤯🤯🤯
Pergunta do colega de fonética forense de Rondônia...
Editar os metadados tem como, muito simples com o xvi32, por exemplo
Origem 033 — 06/01/2020 20:48 a 20:48 — Extração e análise de mensagens do WhatsApp
Boa noite a todos, coloquei um anúncio na olx agora e já me ligaram daquele golpe famoso da clonagem de whatsapp. O número é de SP, se alguém na lista estiver com alguma investigação e quiser colocar mais esse número, é o seguinte 011969229882
Origem 034 — 17/02/2020 09:28 a 09:28 — Extração e análise de mensagens do WhatsApp
Bom dia, senhoras e senhores. Poderiam disponibilizar aqueles scripts Python para automatizar a exportação de conversas do Whatsapp no Android?
Origem 035 — 03/03/2020 22:19 a 22:20 — Extração de WhatsApp em Android
https://wabetainfo.com/whatsapp-beta-for-android-2-20-66-whats-new/
https://canaltech.com.br/apps/whatsapp-trabalha-em-protecao-com-senha-para-backups-161274/
Origem 036 — 13/05/2020 12:49 a 12:49 — Análise de Registro Windows e arquivo NTUSER.DAT
É possível juntar diversos elementos para dizer que a adulteração é pouco provável, como verificar a imagem na conversa, se os horários estão ok, o registro dela no msgstore, nos thumbs
Origem 037 — 22/06/2020 18:31 a 19:24 — Metadados EXIF/JPEG e individualização de câmera
<Mídia oculta>
Pessoal, tudo bem?
Esta imagem está na pasta de mídias do WhatsApp, porém carrega metadados. O modelo de celular é o mesmo da peça examinada, então leva a crer que o camarada que fez a foto mesmo.
Porém o fato de ter ainda metadados significa que foi usada a câmera integrada ao app e não que foi importada da Galeria?
Pessoal, tudo bem?
Esta imagem está na pasta de mídias do WhatsApp, porém carrega metadados. O modelo de celular é o mesmo da peça examinada, então leva a crer que o camarada que fez a foto mesmo.
Porém o fato de ter ainda metadados significa que foi usada a câmera integrada ao app e não que foi importada da Galeria?
Engraçado, só tinha visto metadados de imagem em aparelhos com versão bem antiga do WhatsApp. Mas ano passado cheguei a encontrar em apenas um Samsung com versão do WhatsApp recente... Cheguei até a achar que se tratava de um bug
Pois é, acabei de fazer o teste no s10e de minha esposa. Tanto as imagens importadas da Galeria e enviadas pelo WhatsApp, quando as fotografias feitas com a câmera integrada do WhatsApp, são guardadas na pasta WhatsApp/Media com os metadados.
Apenas as recebidas de outros usuários não possuem.
Se vc enviar pela opção arquivo, a imagem vai integra, com todos os metadados e dimensões originais
Dúvida, que não testei: tal arquivo enviado da forma que vc falou, vai pra pasta de imagens ou documentos?
Origem 038 — 04/07/2020 09:27 a 09:28 — Extração e análise de mensagens do WhatsApp
Curtiu o frigobar? Tão dando grátis!!
http://gourI.ru/cocacola/
http://gourI.ru/cocacola/
Qual seria o objetivo desses compartilhamentos no WhatsApp? A princípio esses caras não coletam dados pessoais.
Origem 039 — 04/07/2020 12:59 a 13:55 — Extração e decodificação de bancos do WhatsApp
Amigos, boa tarde. Há alguma forma de restaurar o whatsapp
depois de um downgrade que falhou no forensictools?
foi instalado um zap de 2014, mas não conseguiu extrair
<Mídia oculta>
MSAB How to manually restore applications v.8.0 - English.pdf
MSAB How to manually restore applications v.8.0 - English.pdf
Baixa o apk (veja a versão) e usa o adb pra reinstalar.
https://www.apkmirror.com/
Vem acontecendo isso com frequência aqui. Em alguns casos o FT não está conseguindo voltar p a versão anterior. Em alguns casos precisei instalar até 3 versões do WA p o FT conseguir gerar o relatório certo. Em outros casos, após ter gerado o report, precisei substituir os arquivos msgstore.db e wa.db que vieram zerados, por os arquivos que estavam dentro do zip. Em seguida, fiz a extração "manual" e funcionou. Na me lembro bem os nomes das opções agora, mas se o mesmo ocorrer com vc, posso ver depois certinho.
Que zip?
Que o FT cria dentro da pasta onde está o whatsapp.ab (acho que é esse o nome)
Ah, certo. Tenho pouca familiaridade com a ferramenta, apertei a opção expressa
na expressa faz esse zip tb?
ou isso é no aparelho?
Essa semana peguei um caso que não tinha o "zip", imagino que o FT não o criou pois o celular estava com criptografia
Quando se faz essa reinstalação, ele reconhece o db original, reexibindo as conversas?
Inclusive se você instalar uma versão mais nova do apk (com o comando adb install -r apk)
Exato. Se vc colocar “adb install” o aplicativo será instalado ao invés de ser reinstalado. Aí vc pode perder os dados do aplicativo.
👍🏻👍🏻 atento no -r então eheh
Origem 040 — 14/07/2020 19:55 a 20:16 — Extração e análise de mensagens do WhatsApp
Pessoal, a pasta WhatsApp/Shared tem função específica?
Como a pasta sent= enviadas?
Como a pasta sent= enviadas?
Pelo que li contém arquivo que não terminou de baixar e outros temporários. Nada relacionado a especificamente conteúdo compartilhado pelo usuário.
Origem 041 — 03/08/2020 10:29 a 10:30 — Recuperação de mensagens e vestígios do WhatsApp
Amigos, bom dia. Tem algum arquivo Android que informe as datas de desinstalação de aplicativos?
WhatsApp em específico.
Origem 042 — 25/08/2020 20:07 a 20:07 — Extração e análise de mensagens do WhatsApp
Em versões antigas, o Whatsapp salvava em /WhatsApp/.Shared
Origem 043 — 22/03/2021 19:49 a 19:49 — Recuperação de mensagens e vestígios do WhatsApp
Na verdade ele trouxe max, mas aparentemente tem um espaço não alocado indicando uma possível outra instância do app whatsapp com uma quantidade significativa de bytes, e screenshots de conversas q não foram recuperadas
Indicando conversas*
Origem 044 — 21/04/2021 15:58 a 16:34 — Extração e análise de mensagens do WhatsApp
esse parser é danado pra dar problema. Ja tive no anterior com o formato de data/hora e com alguns termos que usava como "ontem", "hoje", etc.
tava testando a atualização do script e deu esse outro erro no caso
('Oops!', (<type 'exceptions.IOError'>, IOError(<System.IO.IOException object at 0x0000000000000047 [System.IO.IOException: O acesso ao caminho 'E:\xxx\xxx\demxxx\wp\EmailWhatsApp\Conversa do WhatsApp com +55 11 95415-xxxx' foi negado. ---> System.UnauthorizedAccessException: O acesso ao caminho 'E:\xxx\xxx\demxxx\wp\EmailWhatsApp\Conversa do WhatsApp com +55 11 95415-xxxx' foi negado....]>,), <traceback object at 0x0000000000000048>), 'occurred.')
se alguem souber como resolve, avisa ai
https://signal.org/blog/cellebrite-vulnerabilities/
Problema de permissão de acesso a uma pasta ou arquivo ai
Ve se essa pasta existe mesmo, se existir roda o programa com terminal em modo administrador
conferi a pasta e existe. Ate copiei pro C pra facilitar
executei como adm e nada
Interessantíssimo o tema.
Tinha pensado sobre isso quando comecei a fazer um caso de ransomware. Até que ponto as ferramentas forenses que temos são imunes a código arbitrário sendo executado pela imagem do dispositivo suspeito?
Origem 045 — 21/04/2021 16:53 a 17:30 — Extração e análise de mensagens do WhatsApp
Tentou abrir esse arquivo ai que dá erro em outro programa? Se for só um arquivo que tiver dando problema tira ele
('Oops!', (<type 'exceptions.IOError'>, IOError(<System.IO.IOException object at 0x[IMEI]B [System.IO.IOException: O acesso ao caminho 'C:\Compartilhado\wp\EmailWhatsApp\Conversa do WhatsApp com [TELEFONE]' foi negado. ---> System.UnauthorizedAccessException: O acesso ao caminho 'C:\Compartilhado\wp\EmailWhatsApp\Conversa do WhatsApp com [TELEFONE]' foi negado....]>,), <traceback object at 0x[IMEI]C>), 'occurred.')
é uma pasta que contem o arquivo txt com a conversa exportado pelo EXTRATOR
Move essa pasta para outro lugar e tenta sem ela para ver se o problema é só nessa pasta ou em todas
Se for só ela aqui depois você vê o que fazer com esse chat em específico ai
ja tentei ate jogar na mesma pasta temporaria q o ufed executa o plugin
Origem 046 — 03/05/2021 19:30 a 19:30 — Extração de WhatsApp em Android
https://pplware.sapo.pt/informacao/boystown-maior-rede-de-pornografia-do-mundo-foi-desmantelada/?utm_term=Novidade+para+quem+envia+audios+no+WhatsApp%3B+A+nova+atualizacao+do+Windows+10%3B+e+as+estreias+Netflix&utm_campaign=Newsletter+Pplware&utm_source=e-goi&utm_medium=email
Origem 047 — 21/05/2021 12:54 a 14:44 — Extração e análise de mensagens do WhatsApp
Boa tarde. Verifique o cabo USB. Se a extração não prosseguir, desconecte o dispositivo. Em seguida, verifique se o aplicativo WhatsApp continua instalado. Se não estiver, instale o "waorig.apk" que está no diretório de saída utilizando o comando "adb install -r path/waorig.apk" (ATENÇÃO PARA A OPÇÃO '-r'). Refaça o procedimento no Forensic Tools.
Boa tarde! Os senhores sabem se existe algum grupo de Whatsapp/Telegram para perícias especifico em equipamento DVR?
Ok. Obrigado pela ajuda👍🏻
Só vou executar amanhã. Mas já deu uma luz. O problema é que não achei o waori.apk
Não está nesse diretório da imagem??
Caso não encontre, vc pode fazer o download da última versão do whatsapp em https://www.apkmirror.com/.
Não. Tá vazio
Não copiou nenhum arquivo
Não copiou nenhum arquivo
Já fiz esse procedimento e relatei no laudo.
Vou executar e depois posto o resultado.
Origem 048 — 21/06/2021 20:18 a 20:22 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Pessoal, tem um script bem bobo que de vez em quando eu gosto de usar e gostaria de compartilhar com vcs... O whatsapp usa uma *sequence* no campo de id da mensagem. Os valores da sequence nunca retroagem... quando vc olha a tabela messages vc *vê que da uns saltos e que o campo data está Null*
Pessoal, tem um script bem bobo que de vez em quando eu gosto de usar e gostaria de compartilhar com vcs... O whatsapp usa uma *sequence* no campo de id da mensagem. Os valores da sequence nunca retroagem... quando vc olha a tabela messages vc *vê que da uns saltos e que o campo data está Null*
<Mídia oculta>
Montei uma pequena query que mostra de uma forma melhor...
Montei uma pequena query que mostra de uma forma melhor...
vai que pode ser útil para mais alguém...
bom que dá uma conferida na query!😅
Coloquei no github: https://github.com/leosol/forensic-scripts
esse seria o resultado esperado, exemplo, foram realizadas várias deleções de registros e se observa a quantidade de "saltos"
qq coisa chama no privado!
Origem 049 — 24/07/2021 20:43 a 20:43 — Extração de WhatsApp em Android
https://canaltech.com.br/juridico/como-tirar-prints-do-whatsapp-que-sirvam-como-prova-na-justica-190571/
Origem 050 — 03/08/2021 16:54 a 16:54 — / / Achei bem detalhado
https://faq.whatsapp.com/general/chats/about-view-once?lang=pt-BR
Achei bem detalhado.
Achei bem detalhado.
Origem 051 — 03/08/2021 23:41 a 23:41 — Extração de WhatsApp em Android
https://twitter.com/WhatsApp/status/1422678722398748676?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1422678722398748676%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fd-11268700883876212414.ampproject.net%2F2107240354000%2Fframe.html
Origem 052 — 31/08/2021 18:58 a 18:58 — Extração e análise de mensagens do WhatsApp
https://outline.com/rpbkvr
👆👆Sobre captura de tela do WhatsApp.
Origem 053 — 10/09/2021 11:22 a 11:55 — Extração e decodificação de bancos do WhatsApp
Bom dia!
Estão obtendo êxito em realizar extração do WhatsApp em dispositivos Xiaomi?
Em geral só estou conseguindo pelo UFED fazer extração lógica simples que não identifica os bate-papos.
Até agora não consegui extrair WhatsApp pelo pela ferramenta Forensic Tools 2.
Alguma sugestão, solução?
Observação: o Forensic Tools conseguiu extrair os bancos de dados. Abri pelo SQL Lite mas informa que está com criptografia. É possível quebrar essa criptografia?
Estão obtendo êxito em realizar extração do WhatsApp em dispositivos Xiaomi?
Em geral só estou conseguindo pelo UFED fazer extração lógica simples que não identifica os bate-papos.
Até agora não consegui extrair WhatsApp pelo pela ferramenta Forensic Tools 2.
Alguma sugestão, solução?
Observação: o Forensic Tools conseguiu extrair os bancos de dados. Abri pelo SQL Lite mas informa que está com criptografia. É possível quebrar essa criptografia?
Bom dia.
Vocês possuem o touch 2? Em geral, quando não conseguimos a fisica ou Full FS, fazemos o apkdown do WhatsApp
Vocês possuem o touch 2? Em geral, quando não conseguimos a fisica ou Full FS, fazemos o apkdown do WhatsApp
Sobre a crypto, infelizmente não.
Então ele não extraiu o sqlite principal. Que eu saiba criptogtafado é só os backups
A Forensic Tools não tá dando suporte ao crypt14.
Dentro do .tar veio a key e o db sem criptografia?
se veio a key, vc pode usar a ferramenta whapa ou whatsapp viewer para descriptografar os crypt14
Não sei. Irei verificar.
Os xiaomi demandam acesso a internet
para o install usb
install from usb
nas configs de depuração
não sei se todos, mas a maioria dos xiaomi que eu pego estão vindo assim
aí o forensictools não consegue fazer todo o processo
Nem o apk downgrade do UFED tá conseguindo, acredito que também por essa configuração estar desabilitada.
Bom dia, alguém aí já teve sucesso em extração do Samsung sm-a107m/ds bloqueado por senha ?
Origem 054 — 02/10/2021 15:56 a 15:56 — Extração de WhatsApp em Android
https://canaltech.com.br/apps/onde-fica-a-lixeira-do-whatsapp/
Origem 055 — 28/01/2022 18:35 a 18:47 — Extração e análise de mensagens do WhatsApp
Pessoal, boa noite.
Eu estava tentando navegar nas pastas do WhatsApp de um iPhone. No Android, tem a pasta MEDIA onde ficam os arquivos recebidos e enviados e tal. Os arquivos têm nomes bem padronizados tipo IMG-20200101-WA0008.jpg. Teria como fazer o mesmo no iPhone? Eu achei a seguinte pasta: /mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ mas os arquivos não têm nomes padronizados. Estou no caminho certo ou é outro?
Eu estava tentando navegar nas pastas do WhatsApp de um iPhone. No Android, tem a pasta MEDIA onde ficam os arquivos recebidos e enviados e tal. Os arquivos têm nomes bem padronizados tipo IMG-20200101-WA0008.jpg. Teria como fazer o mesmo no iPhone? Eu achei a seguinte pasta: /mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ mas os arquivos não têm nomes padronizados. Estou no caminho certo ou é outro?
<Mídia oculta>
300.pdf
300.pdf
👆🏼tem a seção do zap com os diretórios descritos
Valeu, [MENCAO], pelo visto, eu fui no caminho certo. Muito obrigado.
Origem 056 — 11/02/2022 18:40 a 18:52 — Extração e análise de mensagens do WhatsApp
Boa noite pessoal. Há um tempo eu vi que alguém aqui do grupo desenvolveu uma ferramenta para extrair conversas de WhatsApp em aparelhos Android. Alguém poderia me confirmar isso e, se possível me passar o link da ferramenta? Obrigado.
Te chamo no privado.
Origem 057 — 01/07/2022 12:18 a 12:18 — Extração e análise de mensagens do WhatsApp
Boa tarde, como faço para carregar no IPED uma pasta WhatsApp (a com.whatsapp extraída pelo forensictools)?
Tentei pelo comando -d, até carregou a pasta, mas não detalhou as conversas:
Origem 058 — 06/07/2022 09:01 a 09:19 — Extração e análise de mensagens do WhatsApp
Bom dia. Há algumas semanas atrás um colega postou sobre uma ferramenta desenvolvida para transcrição de arquivos de áudio.
Existe alguma versão de demonstração? Estou com uma demanda de estupro de vulnerável que exige a transcrição de diversos áudios.
O *Whatsapp Transcriber* é uma ferramenta gratuita, desenvolvida para auxiliar policiais com a tarefa de transcrever e analisar milhares de arquivos de mensagem de voz no mensageiro Whatsapp.
Desenvolvido por [NOME] Ribeiro Ritta
Delegado de Polícia do Estado do Rio Grande do Sul
Desenvolvido por [NOME] Ribeiro Ritta
Delegado de Polícia do Estado do Rio Grande do Sul
<Mídia oculta>
Manual do Usuário.pdf
Manual do Usuário.pdf
<Mídia oculta>
WhatsappTranscriberSetup.msi
WhatsappTranscriberSetup.msi
Um colega aqui do grupo tbm desenvolveu algo semelhante.
Origem 059 — 09/07/2022 13:46 a 13:47 — Extração e análise de mensagens do WhatsApp
É possível desabilitar uma conversa do whatsapp com duração de 24 horas?
Sim. A configuração não é definitiva. Pode ser alterado o tempo tbm para outras opções disponíveis.
Origem 060 — 22/08/2022 12:16 a 12:16 — Extração e análise de mensagens do WhatsApp
Sua configuração do WhatsApp está para que apenas seus contatos possam ver sua foto ?
Origem 061 — 28/10/2022 12:11 a 12:26 — Recuperação de mensagens e vestígios do WhatsApp
Será q não é possível solicitar ao WhatsApp a liberação desse arquivo?
Não sei se o wa mantém uma cópia desse arquivo no servidor deles ou se é deletado em definitivo
Origem 062 — 05/12/2022 10:48 a 11:31 — Extração e análise de variantes do WhatsApp
<Mídia oculta>
Bom dia. Estou tendo dificuldades pra executar o plugin do [MENCAO] na versão 7.58 do PA. Alguém já passou pelo mesmo?
Bom dia. Estou tendo dificuldades pra executar o plugin do [MENCAO] na versão 7.58 do PA. Alguém já passou pelo mesmo?
Bom dia. Qual seria o plugin?
GBWhatsApp import
Só funciona até na versão 7.50, pelo menos nos meus casos foram assim.
Da em erro de exception
Realmente, houve uma mudança na API do UFED. Com isso, vários scripts estão sendo portados para nova API. Mas como são muito que trabalhamos aqui na SPi/PCDF, ainda não portamos esse aí.
Se quiser pode me enviar a versão que vc tem aí e vou colocar na fila de scripts para migrar.
<Mídia oculta>
SPIWhatsAppEmail.zip
SPIWhatsAppEmail.zip
Aqui usamos esse conjunto de scripts desenvolvidos por vc
Estamos migrando vários scripts. Talvez amanhã eu consiga encaixar um tempo para migrar esse script. Várias pessoas já me procuraram para atualizar esse script tb.
Aviso assim que conseguir
Origem 063 — 07/12/2022 12:58 a 13:01 — Extração e análise de variantes do WhatsApp
Boa tarde [NOME].
Foram vocês que também desenvolveram o plug-in para o GBWhatsApp?
Foram vocês que também desenvolveram o plug-in para o GBWhatsApp?
Desculpe, mas sinceramente eu não lembro se foi
Origem 064 — 14/12/2022 09:39 a 09:39 — Extração e análise de mensagens do WhatsApp
Bom dia, alguém tem aquele roteiro para descobrir a data de envio de um arquivo pelo WhatsApp?
Origem 065 — 22/12/2022 14:09 a 14:37 — Extração e decodificação de bancos do WhatsApp
Muito resumidamente, quando está desinstalado a pasta /data/com.whatsapp não existe mais (e seu conteúdo como os bds e a chave de descriptografia dos backups).
Quando ocorre a desinstalação para o processo de downgrade, o comando de desinstalação enviado pela ferramenta é acompanhado do argumento "-k" (keep data) onde a pasta /data/com.whatsapp é preservada
Quando ocorre a desinstalação para o processo de downgrade, o comando de desinstalação enviado pela ferramenta é acompanhado do argumento "-k" (keep data) onde a pasta /data/com.whatsapp é preservada
Se você tiver o chip ativo, poderá descriptografar esse crypt14
Origem 066 — 15/02/2023 15:24 a 16:05 — Extração e análise de mensagens do WhatsApp
Boa. Farei constar no Laudo.
Pessoal, boa tarde! É possível afirmar que as conversas do WhatsApp, extraídas pelo UFED, com o contato "status@broadcast", tratam-se dos status postados pelo usuário?
IMG-20230215-WA0008.jpg (arquivo anexado)
Por exemplo, neste caso aqui. Será que os balões azuis são reações de outras pessoas ao status, mas que foram apagadas?
Não seriam aquelas listas de transmissão?
Mas será que se fosse lista de transmissão não seriam apresentados os participantes?
IMG-20230215-WA0009.jpg (arquivo anexado)
Você está correto
Você está correto
Opa, show de bola! Obrigado!
Essa info está no site do WhatsApp?
Essa info está no site do WhatsApp?
Peguei no ChatGPT 😅
Lendo sua resposta vi que não faz sentido ser da lista de transmissão pois a lista seria apenas um 'semi-broadcast' dos contatos 😅
Origem 067 — 15/04/2023 10:02 a 10:05 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
Bom dia senhores alguém já extraiu esse modelo? Ta desbloqueado mas n consigo extrair WhatsApp e Facebook Messenger....
Bom dia senhores alguém já extraiu esse modelo? Ta desbloqueado mas n consigo extrair WhatsApp e Facebook Messenger....
N sabia nem q existia essa marca
Mediatek chipset
Origem 068 — 15/05/2023 21:24 a 21:35 — Esperar chegar pra todos isso
Esperar chegar pra todos isso
Mas no msgstore.db essa conversa vai estar...a proteçao deve ser só na interface-gráfica
IMG-20230515-WA0001.jpg (arquivo anexado)
Origem 069 — 22/05/2023 07:26 a 07:26 — Extração e análise de mensagens do WhatsApp
<Mídia oculta>
WhatsApp
Origem 070 — 22/08/2023 18:51 a 18:59 — Extração e decodificação de bancos do WhatsApp
Boa noite. Vocês já tiveram problemas com o aplicativo Island?
Boa noite!
Já houve alguma solicitação no seu Estado em que a autoridade policial ou o juiz pediu "perícia" de monitoramento de uma conta espelho de WhatsApp de suspeito, por exemplo? Ou usasse engenharia social ou técnicas para identificar os dados e a localização de um suspeito de crime?
Já houve alguma solicitação no seu Estado em que a autoridade policial ou o juiz pediu "perícia" de monitoramento de uma conta espelho de WhatsApp de suspeito, por exemplo? Ou usasse engenharia social ou técnicas para identificar os dados e a localização de um suspeito de crime?
E como faz isso? Se as mensagens ficam no msgstore.db ?
E-mail por exemplo? ***
Origem 071 — 28/09/2023 16:47 a 16:59 — Extração e decodificação de bancos do WhatsApp
boa tarde, pessoal. é possivel afimar pelo caminho de um arquivo que ele foi compartilhado em um grupo de whats? ex: Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/
Tem que ver no msgstore.db
Table Messages e Message_media
Table Messages e Message_media
Origem 072 — 10/10/2023 15:10 a 15:28 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Boa tarde, quando na tabela jid do msgstore a linha ao invés de informar o número telefônico do user informa um número assim, do q se trata? o q seria esse número e a tag "lid"?
Boa tarde, quando na tabela jid do msgstore a linha ao invés de informar o número telefônico do user informa um número assim, do q se trata? o q seria esse número e a tag "lid"?
Tem que cruzar a tabela JID
Com a tabela Messages
Pq as vezes pode ser aquelas mensagens que vem agora do próprio whatsapp
Ou mensagem de status
Hum... blz, obrigado!
Origem 073 — 27/10/2023 13:55 a 14:11 — Extração e decodificação de bancos do WhatsApp
Boa tarde, alguém saberia dizer em qual tabela do msgstore ficam os thumbnails das imagens?
Fica na message_media
Não estou no meu computador agora...mas se tu baixar o código-fonte do WhatsApp Viewer vai mostrar certinho
não achei a coluna, será q depois q mudaram as tabelas trocaram de lugar?
No código do WhatsappViewer....é na classe ExporterXYZ alguma coisa, acho que é ChatExporter
Onde vai montar o html
<Mídia oculta>
Ainda não olhei o viewer, mas parece q agora tem uma tabela só pra isso
Ainda não olhei o viewer, mas parece q agora tem uma tabela só pra isso
Origem 074 — 15/12/2023 13:49 a 14:05 — Extração e decodificação de bancos do WhatsApp
Pessoal, no WhatsApp, na pasta SHARED é possível dizer que são itens compartilhados pelo usuário?
Por exemplo, num caso de pedofilia.
Ou será q são somente aqueles que tem a marcação “encaminhado”?
Tem que olhar no msgstore
Pq os itens enviados ficam na pasta /sent/
No msgstore vai dar pra ver se a mensagem foi recebida ou enviada
Confirma olhando na table messages, coluna key_from_me ou from_me
o duro é q não tem mais a msg com o conteúdo em si
será q msm assim vai ter no msgstore?
Mesmo que o conteudo da column data esteja em branco
Origem 075 — 10/01/2024 22:43 a 23:21 — Extração e análise de mensagens do WhatsApp
aqui pra mim, em um teste rapido
o audio ficou em /storage/emulated/0/WhatsApp/.Shared/[HASH-HEX].opus
o audio ficou em /storage/emulated/0/WhatsApp/.Shared/[HASH-HEX].opus
gravei, em modo aviao e acionei o botao enviar
se a mensagem foi compilada legal e enviada pro servidor, parou em " WhatsApp Voice Notes"
o Whatsapp registrou atividade durante o processo de gravacao em uma pasta bem peculiar
/data/data/com.whatsapp/files/.trash
/data/data/com.whatsapp/files/.trash
mas acho que nao tem relacao nao.. nao sei...
Legal. Eu deixei capturando na porta do microfone, pelo menos pra garantir.
Antes de prosseguir vou capturar a tela pra mostrar o estado. Depois vou tentar encontrar nessas pastas aí… Quem sabe… De repente tento extraçao pra procurar lá tbm.
Antes de prosseguir vou capturar a tela pra mostrar o estado. Depois vou tentar encontrar nessas pastas aí… Quem sabe… De repente tento extraçao pra procurar lá tbm.
Em último caso clicar enviar, pq tbm vai afetar a data/hora de criação da msg em voice notes, né?
e vc estaria compartilhando o vestigio com terceiros, nao?
faz um adb pull /sdcard/WhatsApp/.Shared e olha quem seria o maior arquivo
se nao achar no diretorio acima, veja em: /sdcard/Android/media/com.whatsapp
se vc colocar na internet... nao sei...
em ultimo caso... talvez...
mas acho que vc encontra este arquivo ai!
Origem 076 — 01/10/2024 17:09 a 17:17 — Extração e análise de mensagens do WhatsApp
Boa tarde, pessoal, alguem aqui ja recebeu requisição para tentar conseguir materializar um acesso indesejado de whatsweb de um dispositivo? Ex: a Delta quer saber se o namorado da vítima tinha acesso ao cel dela pelo whatsappweb e sabia todos os lugares q a vitima ia.
no whatsapp principal da vítima pode ter registro na base de companiondevices
mas não tem o IP, tem registro de qual SO horário que obteu acesso e o jid (identificador) do aparelho
Origem 077 — 22/10/2024 12:40 a 12:45 — Extração e análise de mensagens do WhatsApp
Bom dia, gostaria de uma informação dos colegas, andei pesquisando sobre o diretorio private o Whatsapp e encontrei diversas definições diferentes sobre o que fica armazenado nela. vocês tem alguma instrução definida do que fica nela?
nesse Private eu já percebi que ficam as mídias que tem tempo de duração
as conversas que se auto-destroem em 24 horas, 1 semana, etc
São as mídias privadas enviadas pelo proprietário do aparelho
Creio que as temporárias tbm ficam nessa pasta
Origem 078 — 14/01/2025 14:34 a 14:47 — Extração e análise de mensagens do WhatsApp
https://www.instagram.com/p/DEzkZ9ZN-LW/?igsh=bGo4b2EyMW03ZXhs
A Associação Brasileira de Criminalística (ABC) divulgou uma nota pública expressando sua preocupação com a recente decisão do governador Ronaldo Caiado de recuar em relação à proposta de reestruturação das carreiras dos peritos oficiais criminais de Goiás.
É fundamental que essa nota seja amplamente compartilhada, principalmente nas redes sociais, para que nosso descontentamento com o tratamento dispensado pelo Governo de Goiás seja conhecido por toda a sociedade.
Convocamos todos os peritos criminais e médicos legistas a divulgarem esta mensagem em suas plataformas digitais e grupos de WhatsApp, sobretudo aqueles que contém peritos e médicos de outros estados.
Desde já, agradecemos imensamente o apoio e o engajamento de todos na defesa de nossos direitos.
Valorização Já!
É fundamental que essa nota seja amplamente compartilhada, principalmente nas redes sociais, para que nosso descontentamento com o tratamento dispensado pelo Governo de Goiás seja conhecido por toda a sociedade.
Convocamos todos os peritos criminais e médicos legistas a divulgarem esta mensagem em suas plataformas digitais e grupos de WhatsApp, sobretudo aqueles que contém peritos e médicos de outros estados.
Desde já, agradecemos imensamente o apoio e o engajamento de todos na defesa de nossos direitos.
Valorização Já!
Boa tarde, pessoal!
Uns tempos atrás eu pedi apoio de vocês na divulgação de uma publicação do nosso sindicato que estava em negociação com o governo para uma reestruturação.
Entre indas e vindas, abrimos mão de muita coisa, mas aceitamos uma proposta feita pelo governo, mesmo que aquém do esperado.
Acontece, que antes de botarem em prática, o governo voltou atrás e não cumpriu o acordo.
Pedimos o apoio de vocês para comentarem na publicação, falando que são peritos de outros Estados e que apoiam nossa causa.
De antemão, agradeço muito aos que se disponibilizarem!
Abraço!
Uns tempos atrás eu pedi apoio de vocês na divulgação de uma publicação do nosso sindicato que estava em negociação com o governo para uma reestruturação.
Entre indas e vindas, abrimos mão de muita coisa, mas aceitamos uma proposta feita pelo governo, mesmo que aquém do esperado.
Acontece, que antes de botarem em prática, o governo voltou atrás e não cumpriu o acordo.
Pedimos o apoio de vocês para comentarem na publicação, falando que são peritos de outros Estados e que apoiam nossa causa.
De antemão, agradeço muito aos que se disponibilizarem!
Abraço!
a associação dos Peritos Criminais aqui do RS publicou isso
a ABC também publicou
a ABC também publicou
Origem 079 — 09/02/2025 15:25 a 17:11 — Extração e análise de mensagens do WhatsApp
Estou tendo problemas no PA em extrações de celulares de casos antigos de 2019. O PA recente não está carregando corretamente as conversas de WhatsApp de iphone, por exemplo. Creio que as versões mais recentes "desaprenderam" a como fazer o parsing desses whatsapp antigos. Alguém teria disponível versões bem anteriores do PA para que eu possa verificar isto? 7.20, 7.40?
Centésimo episódio isolado dos fuzzygrades da Cellebrite
Origem 080 — 07/09/2025 22:54 a 22:57 — Recuperação de mensagens e vestígios do WhatsApp
n. Foi dessa anterior. Acha que não precisa?
O UFDR individualiza o que é da câmera e o que é recebido de whatsapp, etc?°
O UFDR individualiza o que é da câmera e o que é recebido de whatsapp, etc?°
<Mídia oculta>
está no jeito aqui pra começar a outra extração
está no jeito aqui pra começar a outra extração
É melhor vc fazer outra
Pra pegar o WhatsApp
vou cancelar o relatório
Agora vc vai pegar o WhatsApp
E torcer pra vir alguma coisa do chat deletado
Me avisa aqui se deu certo
<Mídia oculta>
coloquei pra rodar!
coloquei pra rodar!
vai demorar algumas horas
depois mando msg novamente então!!!!
Muitíssimo obrigado a vc e aos outros colegas pelo apoio
depois mando msg novamente então!!!!
Muitíssimo obrigado a vc e aos outros colegas pelo apoio
infelizmente sou iniciante no Cellebrite
Cara vc está muito bem
STK-20250908-WA0000.webp (arquivo anexado)
Origem 081 — 08/09/2025 06:55 a 06:55 — Extração e análise de mensagens do WhatsApp
Tem que ter cuidado no que vai afirmar sobre esses prints. Já peguei um caso assim, cheio de prints, mas todos feitos com um simulador de conversas de WhatsApp. Encontrei nos registros de instalação o programa que foi utilizado para forjar esses prints.
Origem 082 — 17/10/2025 11:32 a 12:06 — Extração e análise de mensagens do WhatsApp
Bom dia. o IPED processa WhatsApp Desktop do Windows?
Nas extrações que fiz já vi várias vezes dados de whats, mas não notei se era web ou de app instalado no pc.
acho que não , acho que não salva as mensagens, é tipo o whatsapp-web
Origem 083 — 27/10/2025 14:44 a 14:44 — Extração e decodificação de bancos do WhatsApp
pessoal, alguém sabe dizer se o PA tá interpretando certinho os arquivos "increment" do msgstore.db do whatsapp?
https://github.com/Forenser-lab/wa-increment-decoder
dos arquivos de incremento dos backups do whatsapp
É um decoder, não fica 100%, mas ajuda
o [NOME] do [NOME] Forensics me questionou agora
Origem 084 — 24/11/2025 08:52 a 09:10 — Uso do IPED na triagem, indexação e análise
<Mídia oculta>
Bom dia, pessoal! Onde ficam armazenadas essas miniaturas? No próprio "msgstore.db"? No relatório inicial ela aparece. Mas quando eu gero um relatório do relatório inicial, ela desaparece. Obg
Bom dia, pessoal! Onde ficam armazenadas essas miniaturas? No próprio "msgstore.db"? No relatório inicial ela aparece. Mas quando eu gero um relatório do relatório inicial, ela desaparece. Obg
fica dentro do próprio msgstore.db
salvo engano fica na própria tabela messages ou message_media
Até incluí o msgstore.db no relatório, mas não trouxe. Deve ser então algum bug do Reader. Obg
processa o .UFDR no IPED
ele vai trazer essas imagens
ele vai trazer essas imagens
Origem 085 — 28/11/2025 19:17 a 19:17 — Extração de WhatsApp em Android
https://www.linkedin.com/posts/[NOME]-[NOME]_dez-pessoas-s%C3%A3o-presas-pela-pol%C3%ADcia-civil-activity-7400294904582758400-qOz0?utm_source=social_share_send&utm_medium=android_app&rcm=ACoAAB5q9eoBJ40H5I0qTluFZKxgUVNQFHMfFm8&utm_campaign=whatsapp
Origem 086 — 10/12/2025 21:28 a 21:28 — Extração e análise de mensagens do WhatsApp
Uso de prova de prints de WhatsApp à luz da jurisprudência do STJ - Migalhas https://share.google/ohh9VeVE6fU0hm2OJ
Origem 087 — 10/01/2026 16:32 a 16:32 — Extração e análise de mensagens do WhatsApp
Cybersecurity researchers have disclosed details of a new campaign that uses WhatsApp as a distribution vector for a Windows banking trojan called Astaroth in attacks targeting Brazil.
The campaign has been codenamed Boto Cor-de-Rosa by Acronis Threat Research Unit.
"The malware retrieves the victim's WhatsApp contact list and automatically sends malicious messages to each contact to further spread the infection," the cybersecurity company said
https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html
The campaign has been codenamed Boto Cor-de-Rosa by Acronis Threat Research Unit.
"The malware retrieves the victim's WhatsApp contact list and automatically sends malicious messages to each contact to further spread the infection," the cybersecurity company said
https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html
Origem 088 — 14/01/2026 10:33 a 10:54 — Extração e análise de mensagens do WhatsApp
Pessoal, no PA, analisando o WhatsApp, pra relacionar os [MENCAO] dos usuários, só fazendo o cara-crachá na peça de exame mesmo ou vendo se tem algo nos contatos... Ou tem alguma alternativa?
acho que vai ter que confrontar o numero de telefone com o arquivo "wa.db"
acho q no iphone não rola né
não lembro agora se ele tem um arquivo de contatos separado