Wiki CompFor
WhatsApp, WhatsApp Web, Telegram e mensageiros

Extração de WhatsApp em Android

Categoria: WhatsApp, WhatsApp Web, Telegram e mensageiros

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre extração de WhatsApp em Android no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, UFED Analytics, XRY, IPED, ADB, WhatsApp, Telegram. Os termos mais recorrentes neste tema incluem: whatsapp, mas, pelo, midia, pasta, pra, arquivo, https, esse, esta. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Conferir se a extração inclui bancos e chaves necessários.
  • Registrar quando extração parcial não traz dados de aplicativos.
  • Avaliar alternativas com ADB/root conforme risco e autorização.

Ferramentas, sistemas ou marcas citadas

UFEDUFED AnalyticsXRYIPEDADBWhatsAppTelegram

Palavras-chave recorrentes

whatsappmaspelomidiapastapraarquivohttpsesseestafoiserocultapodeeleconversascasovai

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 11/12/2017 19:15 a 19:20 — Extração e análise de mensagens do WhatsApp

11/12/2017 19:15 · Membro 0023
Aproveitando o gancho, alguém tá conseguindo extrair whatsapp dos motorolas?
11/12/2017 19:15 · Membro 0013
Tô agora com um caso e o aparelho é um xt1640
11/12/2017 19:16 · Membro 0013
Aparelho já veio com twrp instalado.
11/12/2017 19:16 · Membro 0023
Extraiu como? Ufed?
11/12/2017 19:16 · Membro 0013
Sim. Esse caso é exceção. Rs
11/12/2017 19:16 · Membro 0013
O cara manja de root e tal
11/12/2017 19:18 · Membro 0013
O outro é um j7 prime com senha, aí não pude fazer nada.
11/12/2017 19:18 · Membro 0023
Antes, era possível extrair com um script py que o pessoal da lista compartilhou, mas esses mais novos já não funciona mais..
11/12/2017 19:18 · Membro 0013
60 min de espera apos uma tentativa.
11/12/2017 19:20 · Membro 0023
Cada dia mais difícil

Origem 002 — 05/01/2018 10:30 a 10:30 — Extração e análise de mensagens do WhatsApp

05/01/2018 10:30 · Membro 0010
Prezados (as),



Segue orientação técnica que tem como intuito auxiliar os profissionais de segurança pública que exercem atividade de polícia judiciária na supressão de arquivos de mídia ilícitos no aplicativo WhatsApp.



Informo ainda, que em razão dos dados não serem sigilosos é ideal que o documento seja replicado aos órgãos de polícia judiciária, em especial os que trabalham com investigação de crimes cibernéticos.





Atenciosamente,



Diretoria de Inteligência – DINT

Secretaria Nacional de Segurança Pública - SENASP

Ministério da Justiça e Segurança Pública - MJSP

Edifício Sede - 5º andar - Sala 504  - CEP: 70064-900 / Brasília-DF

Tels.: [TELEFONE]
05/01/2018 10:30 · Membro 0010
<Mídia oculta>
ORIENTACAO TECNICA WHATSAPP

Origem 003 — 17/02/2018 20:09 a 20:11 — Vale a pena dá uma olhada 👆👆👆👆

17/02/2018 20:09 · Membro 0009
http://www.dizerodireito.com.br/2018/02/acesso-as-conversas-do-whatsapp-pela.html?m=1
17/02/2018 20:09 · Membro 0009
Vale a pena dá uma olhada 👆👆👆👆
17/02/2018 20:11 · Membro 0001
Acessar sem modificar rsrs

Origem 004 — 29/05/2018 17:16 a 17:24 — Extração e análise de mensagens do WhatsApp

29/05/2018 17:16 · Membro 0010
Opa estou com uma dúvida aqui
29/05/2018 17:17 · Membro 0010
Alguém já extraiu dados do WhatsApp instalado no parallel space?
29/05/2018 17:17 · Membro 0010
Que ferramenta usaram
29/05/2018 17:21 · Membro 0033
<Mídia oculta>
Conversas_WhatsApp_do_Parallel.pdf
29/05/2018 17:21 · Membro 0033
[NOME], tenta isso 👆. Aqui temos feito assim
29/05/2018 17:24 · Membro 0033
Após a última atualização do PA, fiz uma extração que continha dados do whatsapp via parallel e a própria ferramenta conseguiu abrir esses dados.... não sendo necessário efetuar os procedimentos do tutorial acima

Origem 005 — 15/06/2018 08:02 a 08:02 — Extração de WhatsApp em Android

15/06/2018 08:02 · Membro 0015
https://180graus.com/geral/correntistas-do-bb-poderao-fazer-consultas-por-whatsapp-e-twitter

Origem 006 — 03/08/2018 14:01 a 14:02 — Extração e análise de mensagens do WhatsApp

03/08/2018 14:01 · Membro 0003
No celular em que o WhatsApp está sendo instalado pedirá o código de verificação em 2 etapas. Ao clicar esqueci o Pin me apareceu essa mensagem.
03/08/2018 14:02 · Membro 0003
Tentei agora e deu isso o meu teste.

Origem 007 — 09/08/2018 05:49 a 05:49 — Extração de WhatsApp em Android

09/08/2018 05:49 · Membro 0001
https://research.checkpoint.com/fakesapp-a-vulnerability-in-whatsapp/

Origem 008 — 29/08/2018 12:19 a 12:19 — Extração de WhatsApp em Android

29/08/2018 12:19 · Membro 0015
https://pplware.sapo.pt/software/whatsapp-google-copia-nao-encriptada/

Origem 009 — 03/09/2018 21:19 a 21:32 — Extração e análise de mensagens do WhatsApp

03/09/2018 21:19 · Membro 0009
Pessoal, boa noite! Estou tentando exportar umas conversas do WhatsApp mas os arquivos de mídia de algumas não estão indo junto. Alguém aqui já passou por isso? Obrigado!
03/09/2018 21:24 · Membro 0009
Embora exista arquivos de mídia, em algumas conversas não aparece essa opção.
03/09/2018 21:26 · Membro 0008
Quando acontece isso eu exporto somente texto
03/09/2018 21:26 · Membro 0008
E depois envio manualmente por Bluetooth cada arquivo de mídia
03/09/2018 21:26 · Membro 0008
Está usando qual opção? A do próprio WhatsApp?
03/09/2018 21:27 · Membro 0008
Aqui usamos um app desenvolvido por um perito do PR
03/09/2018 21:27 · Membro 0008
É só instalar no aparelho, aí na hora de exportar ele tem a opção de usar o app
03/09/2018 21:27 · Membro 0008
<Mídia oculta>
EmailBkpToFile_Android5_above
03/09/2018 21:28 · Membro 0009
Estou usando esse app. O problema é q o WhatsApp não dá essa opção em algumas conversas.
03/09/2018 21:29 · Membro 0008
Vai gerar um arquivo TXT... mas é só abrir pelo Word com linguagem unicode-8 que converte os caracteres
03/09/2018 21:29 · Membro 0008
Aí depois envia por Bluetooth os arquivos
03/09/2018 21:29 · Membro 0008
Aí será fidedigno ao que está no chat
03/09/2018 21:30 · Membro 0009
Não sei se é a versão do whatsapp q tá no aparelho...
03/09/2018 21:30 · Membro 0009
Texto foi de boa. Problema são as mídias. Pq o MobileMerger já monta o relatório.
03/09/2018 21:32 · Membro 0009
O MobileMerger monta as conversas fazendo dessa forma?
03/09/2018 21:32 · Membro 0008
Aqui não estamos usando o Merger..

Origem 010 — 04/09/2018 09:39 a 10:29 — Extração e análise de mensagens do WhatsApp

04/09/2018 09:39 · Membro 0005
Bom dia! Pessoal já chegou no estado de vocês apenas capturas de tela de WhatsApp sem o aparelho celular para validação destas ou para a realização da extração diretamente do aparelho? Qual o procedimento que vocês adotaram nesse caso, solicitaram o aparelho? Desde já, obrigado!
04/09/2018 09:46 · Membro 0037
Bom-dia!
Somente faça a aferição com o aparelho!
Aqui já tentaram isso. Quando analisamos o aparelho, não foram encontradas as tais evidências... 🤔
Muito cuidado pra não "esquentar" prova, nem ser "embuchado"!
04/09/2018 10:13 · Membro 0005
Obrigado pelo retorno, Danilo! Chegaram algumas de uma delegacia específica, vou conversar com o delegado sobre a incapacidade da realização do exame e dizer que terá que ser enviado o aparelho.
04/09/2018 10:27 · Membro 0045
Farias isso é alguma coisa do próprio WhatsApp, tanto que você pode tentar usar o aplicativo ou usar a opção de exportar pra e-mail, que as mídias também não vão ser “vistas”. Se você olhar no arquivo texto, o WhatsApp setou, em todas as mídias dessa conversa, o status “arquivo de mídia oculto”, tentei de tudo mas não consegui mudar isso, e o chato é que as mídias estão todas lá, não tem atributo de oculto ou alguma proteção, não tem nada de diferente das outras, é fogo... a solução foi fazer o trabalho manual, pegar todas as mídias, colocar em uma mesma pasta que o texto, pegar o nome completo de “todos” os arquivos de mídia e colocar exatamente no lugar certinho, no momento em que elas estão posicionadas, dentro do diálogo, referenciadas no texto, substituindo a expressão “arquivo de mídia oculto”; só um detalhe, o arquivo de texto tem que ficar num padrão que o mobile Merger entenda, ou seja, uma mensagem por linha, senão ele não vai reconhecer. Boa sorte.
04/09/2018 10:29 · Membro 0009
Grande [NOME]! Valeu! 👍✌

Origem 011 — 18/10/2018 10:06 a 10:06 — Extração e análise de mensagens do WhatsApp

18/10/2018 10:06 · Membro 0048
Bom dia. Informo pequena alteração no script de carga de exportação do whatsapp por email para o UFED PA. Em algumas exportações aparecem bytes nas linhas de mensagens no arquivo de texto que impediam match com os padrões cadastrados. Um colega [MENCAO] da spi-pcdf sugeriu com sucesso uso do search do regex ao invés do match. Também foi incluido referência a licença MIT do projeto Whatsapp Analytics onde parte do código [SEGREDO].

https://github.com/kraftdenker/cellebrite-UFEDPA-scripts/tree/master/SPIWhatsAppEmail

Origem 012 — 14/11/2018 11:29 a 11:38 — Extração e análise de mensagens do WhatsApp

14/11/2018 11:29 · Membro 0055
Tem algum tutorial?
14/11/2018 11:30 · Membro 0071
<Mídia oculta>
Com os arquivos zerados, o WhatsApp mostrará apenas os Thumbnails.
Retornando a pasta Original, nos nossos testes, nada foi perdido. Entretanto, não temos total segurança de que seja assim para todas as versões do WhatsApp...
14/11/2018 11:30 · Membro 0071
Farei em breve! sem problemas!
14/11/2018 11:30 · Membro 0071
Lembrando que ele não abre a janela de permissões então..
14/11/2018 11:32 · Membro 0071
<Mídia oculta>
Permissão.
14/11/2018 11:36 · Membro 0071
<Mídia oculta>
Destino dos arquivos.
14/11/2018 11:38 · Membro 0071
Qualquer erro, sugestão ou interesse em ter os fontes que estão no github (conta privada), só mandar no privado ok!?
Desculpem a falta do manual e mandar assim corrido no WhatsApp.
Antes de iniciar, acho *muito importante* fazer uma cópia da pasta original do WhatsApp.

Origem 013 — 14/11/2018 12:10 a 12:24 — Extração e análise de mensagens do WhatsApp

14/11/2018 12:10 · Membro 0015
no final, depois de executar o CONCLUIR ... fica a pasta WhatsAppFake na memoria. Essa pasta pode ser excluida sem problemas?
14/11/2018 12:19 · Membro 0071
Pode sim. Faltou coragem para programar um rm -rf
14/11/2018 12:21 · Membro 0015
Ok. Outra duvida: todas as exportacoes (varias conversas) vao para a mesma pasta junto com todas as imagens, audios, etc?
14/11/2018 12:21 · Membro 0015
podia criar uma pasta pra cada conversa
14/11/2018 12:23 · Membro 0071
É possível sim. Criei uma issue no github e assim que sobrar um tempo no dia a dia, farei o ajuste.
14/11/2018 12:24 · Membro 0015
Mesmo assim já ajuda bastante. obg

Origem 014 — 06/12/2018 20:09 a 20:23 — Esse caso foi bizarro

06/12/2018 20:09 · Membro 0009
https://www.migalhas.com.br/Quentes/17,MI292102,51045-STJ+anula+prova+obtida+pelo+WhatsApp+Web+sem+conhecimento+do+dono+do
06/12/2018 20:23 · Membro 0037
Esse caso foi bizarro!

Origem 015 — 17/12/2018 17:12 a 17:12 — Extração e análise de mensagens do WhatsApp

17/12/2018 17:12 · Membro 0030
STJ anula provas obtidas no Whatsapp e 18 suspeitos de tráfico são liberados em Itajaí | Dagmara Spautz | NSC Total https://www.nsctotal.com.br/colunistas/dagmara-spautz/stj-anula-provas-obtidas-em-conversas-no-whatsapp-e-18-presos-por-trafico

Origem 016 — 02/01/2019 10:32 a 10:54 — Extração e análise de mensagens do WhatsApp

02/01/2019 10:32 · Membro 0037
Duas contas de WhatsApp?!
02/01/2019 10:34 · Membro 0003
Aparentemente não.
02/01/2019 10:37 · Membro 0003
No meu, eu bloqueei um contato mas não apareceu a fechadura 🤔
02/01/2019 10:54 · Membro 0003
eu ia dar flash no AP, mas vi aqui que tem o userdata dentro dele... acho que esse é o maldito da história

Origem 017 — 29/01/2019 11:26 a 11:26 — Extração e decodificação de bancos do WhatsApp

29/01/2019 11:26 · Membro 0071
Pessoal, sobre o SPITools, em alguns casos, *quando o bate-papo só tem áudios, o WhatsApp não exporta nada* de mídia, ou seja, vem só texto para os áudios. O colega [MENCAO] descobriu que se vc mandar um anexo com o WhatsApp offline, uma imagem por exemplo, ele passa a exportar.
O [MENCAO] [NOME] alertou para que façamos o backup (conforme o manual) mas utilizando a opção 'a' para o adb pull, e assim preservar os timestamps. Fica assim: *adb pull -a /sdcard/WhatsApp*

Origem 018 — 26/03/2019 14:51 a 14:54 — Recuperação de mensagens e vestígios do WhatsApp

26/03/2019 14:51 · Membro 0039
O WhatsApp ao exportar conversas por e-mail apresenta alguns erros quando o anexo é relativo a mensagem enviada por áudio. Esse erro não é apenas quando se tem apenas áudio. Percebi isso em algumas conversas que tinham vários áudios e imagens, porém, os áudios de interesse estavam como mídia oculta. Destaca-se que os áudios não estavam deletados. Comecei a verificar todas as mensagens exportadas, e constatei que o erro é recorrente mesmo utilizando o SPItools em diversos casos.
26/03/2019 14:54 · Membro 0039
Relatei o caso para o WhatsApp e ainda não me retornaram. Vale destacar que já havia relatado erros anteriores, e sempre eles sempre retornaram.
26/03/2019 14:54 · Membro 0039
Sugiro verificar sempre as mensagens exportadas.

Origem 019 — 30/04/2019 08:44 a 08:44 — Extração de WhatsApp em Android

30/04/2019 08:44 · Membro 0015
https://pplware.sapo.pt/redes_sociais/whatsapp-e-utilizado-como-um-antro-de-pornografia-infantil-diz-estudo/

Origem 020 — 08/05/2019 13:59 a 16:50 — Recuperação de mensagens e vestígios do WhatsApp

08/05/2019 13:59 · Membro 0045
Mas a timeline teoricamente também é um sqlite, que também pode ser alterado. Não se esquecendo também que a data de um dispositivo pode ser uma variável que pode ser alterada pra qualquer valor, a qualquer momento.
08/05/2019 14:56 · Membro 0045
Senhores alguém teria informações mais técnicas, a respeito desse golpe de clonagem de WhatsApp que está ocorrendo agora?? Como se daria o golpe, em nossa linguagem técnica, e o que poderia ser feito, em termos práticos, de forma a evitar que os infratores se apoderem da conta da vítima...
08/05/2019 14:59 · Membro 0025
Quando você instala o whatsapp no celular a empresa envia um código de 6 dígitos no forma NNN-NNN via SMS para seu número de celular. Na instalação pede esse código. O criminoso instala o whatsapp informando seu número, liga pra você dizendo ser da operadora e pede que informe esse número recebido via SMS. Ele ativa o whatsapp no celular dele usando seu código, desativando o seu aplicativo. Depois ativa a segunda etapa de segurança no whatsapp (uma senha), que só ele vai saber. Logo, você não tem como recuperar o whatsapp nesse número!
08/05/2019 14:59 · Membro 0025
A opção é mandar mensagem de email pra [EMAIL] e rezar que atendam logo!
08/05/2019 15:08 · Membro 0037
Em resumo: *engenharia social* (as usual)....
08/05/2019 16:42 · Membro 0045
A delegada daqui chegou a me dizer que existia casos em que havia a oferta de um “link”, pelo infrator, que passava a se apoderar do WhatsApp da vítima, após o clique nesse link. Daí eu fiquei curioso, pq a habilitação do WhatsApp em algum dispositivo, realmente depende da participação da operadora, e não consegui entender por qual outra forma isso se daria, se não fosse via operadora, através do envio do SMS. Sendo assim, então não se trata de “clonagem”, que seria algo próximo do que faz o web WhatsApp, e sim, o uso da engenharia social, para adquirir o código [SEGREDO] via SMS. Alguém tem notícia de algum caso em que tenha havido realmente uma “clonagem”, através de um link ou outro meio qualquer ?? Vou tentar apurar melhor essa informação por aqui, mas não vejo outra forma de habilitação do WhatsApp em um dispositivo, que não seja através do SMS.
08/05/2019 16:50 · Membro 0042
Caso a instalação de aplicativos de fontes desconhecidas esteja habilitada e se for concedida permissão de acesso às mensagens SMS, um aplicativo poderia ler esse conteúdo de mensagem e repassar via rede para o atacante utilizar
08/05/2019 16:50 · Membro 0042
E ativar o whats em outro aparelho

Origem 021 — 14/05/2019 10:07 a 10:32 — Extração e análise de mensagens do WhatsApp

14/05/2019 10:07 · Membro 0048
Muita vulnerabilidade nos Android ainda vêem do código dos codecs, porém são geralmente bibliotecas de código nativo, logo bem dependente do tipo de hardware subjacente.
14/05/2019 10:08 · Membro 0048
porém, com isolamento do processo no Android, talvez não tenham saído da sandbox do whatsapp, permitindo acesso apenas aos dados do zap
14/05/2019 10:32 · Membro 0078
Acho que não seria possível instalar um aplicativo o dependente dessa forma que ficasse rodando em background. Com buffet overlflow até seria possível conseguir executar código malicioso mas dentro do processo do WhatsApp. Se esse código consegue se instalar talvez seja fazendo um patch no próprio executável do WhatsApp deixando ele modificado com alguma função maliciosa adicional.

Origem 022 — 24/06/2019 14:54 a 15:37 — Extração e análise de mensagens do WhatsApp

24/06/2019 14:54 · Membro 0010
Opa
24/06/2019 14:55 · Membro 0010
Alguma forma de extrair WhatsApp de iPhone! algum app?
24/06/2019 14:56 · Membro 0072
geralmente um extração Advanced Logical já puxa o zazap
24/06/2019 14:56 · Membro 0072
do UFED...
24/06/2019 15:02 · Membro 0048
Se, desbloqueado estiver 😉
24/06/2019 15:37 · Membro 0018
Xry tem extraído

Origem 023 — 12/07/2019 16:24 a 17:04 — Extração e análise de mensagens do WhatsApp

12/07/2019 16:24 · Membro 0018
Pessoal, aconteceu um caso aqui e preciso de ajuda. Essa foto é um print que eu tirei de um celular. No celular que enviou a mensagem o nome que aparece é outro. Todas as outras mensagens da conversa são coincidentes, inclusive erros de português e horários. O que pode ter ocorrido?
12/07/2019 16:26 · Membro 0076
Não seria porque o nome que aparece é o que está cadastrado no aparelho?
12/07/2019 16:27 · Membro 0018
Mas o nome está na mensagem
12/07/2019 16:29 · Membro 0001
Se todas as mensagens estão idênticas
12/07/2019 16:33 · Membro 0076
Será que o WhatsApp não tem suporte para envio de variável?
12/07/2019 16:34 · Membro 0018
Mas teria que aterar os dados de apenas uma mensagem?
12/07/2019 16:34 · Membro 0018
Alterar?
12/07/2019 16:36 · Membro 0076
Assim, deve ser viagem minha, mas a ideia é que eu mandaria uma mensagem para você com uma parte sendo variável: Ex: "Olá, [MENCAO]". Aí, no meu celular aparece o seu nome conforme eu cadastrei, mas no seu celular aparecerá o seu nome como você cadastrou. É o que consigo imaginar.
12/07/2019 16:36 · Membro 0002
Você teve acesso as duas bases do WhatsApp dessa conversa?
12/07/2019 16:37 · Membro 0002
do remetente e destinatário
12/07/2019 16:37 · Membro 0018
Eu tive acesso um aparelho e o outro foi acessado pelo perito em Joinville
12/07/2019 16:38 · Membro 0018
Ambos apareciam da mesma forma, a única diferença era o nome
12/07/2019 16:40 · Membro 0003
Mas um remetente e o outro destinatário?
12/07/2019 16:41 · Membro 0002
teria sentido, no caso investigado , o cara se dar ao trabalho de tentar alterar isso? tipo fazer um "enxerto" pra criar algo
12/07/2019 16:44 · Membro 0018
Trata-se de uma cobrança
12/07/2019 17:04 · Membro 0018
Estou aqui pensando na vulnerabilidade do whatsapp

Origem 024 — 13/07/2019 10:37 a 10:44 — Extração e análise de mensagens do WhatsApp

13/07/2019 10:37 · Membro 0045
Não poderia ser um produto similar ao WhatsApp Marketing, que é uma solução voltada para empresas, que se utiliza de algo parecido com uma mala direta ??
13/07/2019 10:44 · Membro 0045
Não se pode afirmar ao certo a implementação dessas ferramentas, nem tampouco do próprio WhatsApp, que são verdadeiras caixas pretas, mas é notória a utilização de variáveis na mensagem.

Origem 025 — 13/07/2019 14:10 a 14:21 — Extração e análise de mensagens do WhatsApp

13/07/2019 14:10 · Membro 0018
Segundo a perícia de Joinville, era whatsapp e a daqui era whatsapp
13/07/2019 14:21 · Membro 0045
O WhatsApp Marketing, pelo que entendi, é algo que faz uso de um plugin, ou algo parecido, que de alguma forma faz uso das funcionalidades do próprio WhatsApp pra atingir uma massa de clientes, ou seja, é o próprio WhatsApp que está sendo usado mesmo, só que com alguma funcionalidade a mais, que implementa algo semelhante a uma mala direta, logo, evidentemente, fazendo uso de variáveis, o que explicaria a divergência nos dois telefones vistos. Seria o caso de verificar a existência de plugins ou aplicativos que pudessem possibilitar essas funcionalidades, nos dois telefones examinados, e não apenas no WhatsApp de forma isolada. Seria uma possibilidade.

Origem 026 — 24/07/2019 05:41 a 05:41 — Extração de WhatsApp em Android

24/07/2019 05:41 · Membro 0001
https://www.techtudo.com.br/dicas-e-tutoriais/2019/07/whatsapp-como-usar-o-wamr-para-recuperar-mensagens-apagadas-para-todos.ghtml

Origem 027 — 30/08/2019 11:03 a 11:03 — Extração e análise de mensagens do WhatsApp

30/08/2019 11:03 · Membro 0044
App espião brasileiro se passa por WhatsApp e vê tudo que você faz no celular | Segurança | TechTudo https://www.techtudo.com.br/noticias/2019/08/app-espiao-brasileiro-se-passa-por-whatsapp-e-ve-tudo-que-voce-faz-no-celular.ghtml

Origem 028 — 25/09/2019 21:45 a 22:11 — Extração e decodificação de bancos do WhatsApp

25/09/2019 21:45 · Membro 0090
Boa Noite pessoal! Sou o [NOME] Humberto, novato na Polícia Científica/PR... Queria saber se alguém já passou pela situação e pode dar orientações... Um familiar teve o WhatsApp clonado agora pouco e estavam aplicando aquele tradicional golpe de pedir dinheiro... Acho q é prudente que ele solicite o bloqueio da linha junto a operadora, correto? Uma vez q ainda não se sabe a forma utilizada para "clonar" o WhatsApp... E se foi só o WhatsApp ou a linha...
25/09/2019 21:48 · Membro 0003
Se o chip dele ainda estiver funcionando provavelmente só tiveram acesso ao WhatsApp
25/09/2019 22:02 · Membro 0090
Agora soube da informação complementa... O problema é maior, acessaram conta de banco, fizeram transferências e tudo mais.... Mas valeu pela dica!
25/09/2019 22:04 · Membro 0009
http://g1.globo.com/tecnologia/blog/tira-duvidas-de-tecnologia/post/whatsapp-saiba-o-que-fazer-quando-conta-e-clonada.html
25/09/2019 22:11 · Membro 0091
Muita atenção !! Malandragem aplicando golpes
25/09/2019 22:11 · Membro 0091
Esse é o golpe atual!

Origem 029 — 17/10/2019 16:32 a 16:32 — Extração e análise de mensagens do WhatsApp

17/10/2019 16:32 · Membro 0010
Alguém pode reenviar o extrator de whatsapp

Origem 030 — 01/11/2019 23:11 a 23:11 — Extração e análise de mensagens do WhatsApp

01/11/2019 23:11 · Membro 0010
Atualização do whatsapp

Origem 031 — 24/11/2019 11:24 a 11:55 — Extração e decodificação de bancos do WhatsApp

24/11/2019 11:24 · Membro 0096
Pessoal, boa tarde. Estou com Xiaomi Redmi 8 Lite.
No procedimento de backup do WhatsApp via downgrade o aplicativo original foi desinstalado e o de versão anterior não teve permissão para ser instalado, ou seja, o aparelho está sem WhatsApp. Alguma carta na manga pra eu voltar a acessar as conversas?
24/11/2019 11:35 · Membro 0045
Instalar o apk novamente, colocando o apk num sdcard ou dentro da memória interna do telefone, através de um cabo USB, pra não precisar liberar a internet do aparelho.
24/11/2019 11:37 · Membro 0096
Pois é, mas fazendo isso ele não permite o término da instalação.
Parece que tem a ver com a opção INSTALAR VIA USB, que só pode ser ativada com conexão.
24/11/2019 11:37 · Membro 0096
Ai que está meu entrave
24/11/2019 11:37 · Membro 0096
Normalmente isso dá pra ser feito nos Samsung da vida, parece ser peculiaridade da Xiaomi.
24/11/2019 11:39 · Membro 0045
Depende também da versão do WhatsApp, ele não permite downgrade por via convencional, então a versão do apk que está tentando instalar tem que ser igual ou maior a versão que estava instalada.
24/11/2019 11:43 · Membro 0003
Tenta instalar via adb
24/11/2019 11:43 · Membro 0003
adb install -r whatsapp.apk
24/11/2019 11:45 · Membro 0003
adb install [-l] [-t] [-r] [-s] <file> - push this package file to the
device and install it
('-t' uses for install debug apk)
('-l' means forward-lock the app)
('-r' means reinstall the app, keeping its data)
('-s' means install on SD card instead of internal storage)

adb uninstall [-k] <package> - remove this app package from the device
('-k' means keep the data and cache directories)
24/11/2019 11:46 · Membro 0096
Vou tentar tbm. E atualizo do que deu.
24/11/2019 11:48 · Membro 0003
https://apkpure.com/br/whatsapp-messenger/com.whatsapp
24/11/2019 11:48 · Membro 0003
Aqui tem diversas versões para baixar
24/11/2019 11:49 · Membro 0096
Deu certo! Esse foi meu vacilo. Não ter colocado uma versão igual ou superior à anterior.
24/11/2019 11:49 · Membro 0096
Pus a mais nova e deu.
24/11/2019 11:52 · Membro 0088
Quando reinstala dessa forma, ele pede confirmação por SMS ou já abre normalmente a conta do whatsApp?
24/11/2019 11:53 · Membro 0096
Abriu direto, como se nem tivesse desinstalado.
24/11/2019 11:54 · Membro 0088
Foi por USB ou ADb essa instalação?
24/11/2019 11:54 · Membro 0003
Ele dá uninstall -k, para manter dados
24/11/2019 11:55 · Membro 0096
Coloquei direto na raiz o apk. Pelo Windows Explorer msm. E executei pelo gerenciador de arquivos do celular.

Origem 032 — 26/11/2019 12:02 a 12:24 — Extração e análise de mensagens do WhatsApp

26/11/2019 12:02 · Membro 0091
Alguém tem experiência em atestar se um áudio foi produzido pelo WhatsApp. Tem como verificar número de série do celular, tem como editar o metadados do aplicativo (no metadados tem o nome WhatsApp no campo aplicativo) sem danificar o arquivo? Chegou pra gente uma penca de arquivos prováveis de áudio gerado no WhatsApp para atestar edição fonte e outros. 🤯🤯🤯🤯
26/11/2019 12:02 · Membro 0091
Pergunta do colega de fonética forense de Rondônia...
26/11/2019 12:24 · Membro 0003
Editar os metadados tem como, muito simples com o xvi32, por exemplo

Origem 033 — 06/01/2020 20:48 a 20:48 — Extração e análise de mensagens do WhatsApp

06/01/2020 20:48 · Membro 0051
Boa noite a todos, coloquei um anúncio na olx agora e já me ligaram daquele golpe famoso da clonagem de whatsapp. O número é de SP, se alguém na lista estiver com alguma investigação e quiser colocar mais esse número, é o seguinte 011969229882

Origem 034 — 17/02/2020 09:28 a 09:28 — Extração e análise de mensagens do WhatsApp

17/02/2020 09:28 · Membro 0072
Bom dia, senhoras e senhores. Poderiam disponibilizar aqueles scripts Python para automatizar a exportação de conversas do Whatsapp no Android?

Origem 035 — 03/03/2020 22:19 a 22:20 — Extração de WhatsApp em Android

03/03/2020 22:19 · Membro 0032
https://wabetainfo.com/whatsapp-beta-for-android-2-20-66-whats-new/
03/03/2020 22:20 · Membro 0032
https://canaltech.com.br/apps/whatsapp-trabalha-em-protecao-com-senha-para-backups-161274/

Origem 036 — 13/05/2020 12:49 a 12:49 — Análise de Registro Windows e arquivo NTUSER.DAT

13/05/2020 12:49 · Membro 0003
É possível juntar diversos elementos para dizer que a adulteração é pouco provável, como verificar a imagem na conversa, se os horários estão ok, o registro dela no msgstore, nos thumbs

Origem 037 — 22/06/2020 18:31 a 19:24 — Metadados EXIF/JPEG e individualização de câmera

22/06/2020 18:31 · Membro 0096
<Mídia oculta>
Pessoal, tudo bem?
Esta imagem está na pasta de mídias do WhatsApp, porém carrega metadados. O modelo de celular é o mesmo da peça examinada, então leva a crer que o camarada que fez a foto mesmo.
Porém o fato de ter ainda metadados significa que foi usada a câmera integrada ao app e não que foi importada da Galeria?
22/06/2020 18:40 · Membro 0020
Engraçado, só tinha visto metadados de imagem em aparelhos com versão bem antiga do WhatsApp. Mas ano passado cheguei a encontrar em apenas um Samsung com versão do WhatsApp recente... Cheguei até a achar que se tratava de um bug
22/06/2020 18:47 · Membro 0096
Pois é, acabei de fazer o teste no s10e de minha esposa. Tanto as imagens importadas da Galeria e enviadas pelo WhatsApp, quando as fotografias feitas com a câmera integrada do WhatsApp, são guardadas na pasta WhatsApp/Media com os metadados.
22/06/2020 18:47 · Membro 0096
Apenas as recebidas de outros usuários não possuem.
22/06/2020 19:20 · Membro 0042
Se vc enviar pela opção arquivo, a imagem vai integra, com todos os metadados e dimensões originais
22/06/2020 19:24 · Membro 0096
Dúvida, que não testei: tal arquivo enviado da forma que vc falou, vai pra pasta de imagens ou documentos?

Origem 038 — 04/07/2020 09:27 a 09:28 — Extração e análise de mensagens do WhatsApp

04/07/2020 09:27 · Membro 0009
Curtiu o frigobar? Tão dando grátis!!
http://gourI.ru/cocacola/
04/07/2020 09:28 · Membro 0009
Qual seria o objetivo desses compartilhamentos no WhatsApp? A princípio esses caras não coletam dados pessoais.

Origem 039 — 04/07/2020 12:59 a 13:55 — Extração e decodificação de bancos do WhatsApp

04/07/2020 12:59 · Membro 0088
Amigos, boa tarde. Há alguma forma de restaurar o whatsapp
04/07/2020 12:59 · Membro 0088
depois de um downgrade que falhou no forensictools?
04/07/2020 13:00 · Membro 0088
foi instalado um zap de 2014, mas não conseguiu extrair
04/07/2020 13:01 · Membro 0009
<Mídia oculta>
MSAB How to manually restore applications v.8.0 - English.pdf
04/07/2020 13:08 · Membro 0009
Baixa o apk (veja a versão) e usa o adb pra reinstalar.
04/07/2020 13:08 · Membro 0009
https://www.apkmirror.com/
04/07/2020 13:27 · Membro 0016
Vem acontecendo isso com frequência aqui. Em alguns casos o FT não está conseguindo voltar p a versão anterior. Em alguns casos precisei instalar até 3 versões do WA p o FT conseguir gerar o relatório certo. Em outros casos, após ter gerado o report, precisei substituir os arquivos msgstore.db e wa.db que vieram zerados, por os arquivos que estavam dentro do zip. Em seguida, fiz a extração "manual" e funcionou. Na me lembro bem os nomes das opções agora, mas se o mesmo ocorrer com vc, posso ver depois certinho.
04/07/2020 13:27 · Membro 0088
Que zip?
04/07/2020 13:28 · Membro 0016
Que o FT cria dentro da pasta onde está o whatsapp.ab (acho que é esse o nome)
04/07/2020 13:29 · Membro 0088
Ah, certo. Tenho pouca familiaridade com a ferramenta, apertei a opção expressa
04/07/2020 13:29 · Membro 0088
na expressa faz esse zip tb?
04/07/2020 13:29 · Membro 0088
ou isso é no aparelho?
04/07/2020 13:31 · Membro 0016
Essa semana peguei um caso que não tinha o "zip", imagino que o FT não o criou pois o celular estava com criptografia
04/07/2020 13:34 · Membro 0088
Quando se faz essa reinstalação, ele reconhece o db original, reexibindo as conversas?
04/07/2020 13:44 · Membro 0016
Inclusive se você instalar uma versão mais nova do apk (com o comando adb install -r apk)
04/07/2020 13:50 · Membro 0009
Exato. Se vc colocar “adb install” o aplicativo será instalado ao invés de ser reinstalado. Aí vc pode perder os dados do aplicativo.
04/07/2020 13:55 · Membro 0088
👍🏻👍🏻 atento no -r então eheh

Origem 040 — 14/07/2020 19:55 a 20:16 — Extração e análise de mensagens do WhatsApp

14/07/2020 19:55 · Membro 0096
Pessoal, a pasta WhatsApp/Shared tem função específica?
Como a pasta sent= enviadas?
14/07/2020 20:16 · Membro 0096
Pelo que li contém arquivo que não terminou de baixar e outros temporários. Nada relacionado a especificamente conteúdo compartilhado pelo usuário.

Origem 041 — 03/08/2020 10:29 a 10:30 — Recuperação de mensagens e vestígios do WhatsApp

03/08/2020 10:29 · Membro 0088
Amigos, bom dia. Tem algum arquivo Android que informe as datas de desinstalação de aplicativos?
03/08/2020 10:30 · Membro 0088
WhatsApp em específico.

Origem 042 — 25/08/2020 20:07 a 20:07 — Extração e análise de mensagens do WhatsApp

25/08/2020 20:07 · Membro 0122
Em versões antigas, o Whatsapp salvava em /WhatsApp/.Shared

Origem 043 — 22/03/2021 19:49 a 19:49 — Recuperação de mensagens e vestígios do WhatsApp

22/03/2021 19:49 · Membro 0091
Na verdade ele trouxe max, mas aparentemente tem um espaço não alocado indicando uma possível outra instância do app whatsapp com uma quantidade significativa de bytes, e screenshots de conversas q não foram recuperadas
22/03/2021 19:49 · Membro 0091
Indicando conversas*

Origem 044 — 21/04/2021 15:58 a 16:34 — Extração e análise de mensagens do WhatsApp

21/04/2021 15:58 · Membro 0015
esse parser é danado pra dar problema. Ja tive no anterior com o formato de data/hora e com alguns termos que usava como "ontem", "hoje", etc.
21/04/2021 15:59 · Membro 0015
tava testando a atualização do script e deu esse outro erro no caso
21/04/2021 15:59 · Membro 0015
('Oops!', (<type 'exceptions.IOError'>, IOError(<System.IO.IOException object at 0x0000000000000047 [System.IO.IOException: O acesso ao caminho 'E:\xxx\xxx\demxxx\wp\EmailWhatsApp\Conversa do WhatsApp com +55 11 95415-xxxx' foi negado. ---> System.UnauthorizedAccessException: O acesso ao caminho 'E:\xxx\xxx\demxxx\wp\EmailWhatsApp\Conversa do WhatsApp com +55 11 95415-xxxx' foi negado....]>,), <traceback object at 0x0000000000000048>), 'occurred.')
21/04/2021 15:59 · Membro 0015
se alguem souber como resolve, avisa ai
21/04/2021 16:02 · Membro 0117
https://signal.org/blog/cellebrite-vulnerabilities/
21/04/2021 16:08 · Membro 0078
Problema de permissão de acesso a uma pasta ou arquivo ai
21/04/2021 16:09 · Membro 0078
Ve se essa pasta existe mesmo, se existir roda o programa com terminal em modo administrador
21/04/2021 16:21 · Membro 0015
conferi a pasta e existe. Ate copiei pro C pra facilitar
21/04/2021 16:21 · Membro 0015
executei como adm e nada
21/04/2021 16:33 · Membro 0123
Interessantíssimo o tema.
21/04/2021 16:34 · Membro 0123
Tinha pensado sobre isso quando comecei a fazer um caso de ransomware. Até que ponto as ferramentas forenses que temos são imunes a código arbitrário sendo executado pela imagem do dispositivo suspeito?

Origem 045 — 21/04/2021 16:53 a 17:30 — Extração e análise de mensagens do WhatsApp

21/04/2021 16:53 · Membro 0078
Tentou abrir esse arquivo ai que dá erro em outro programa? Se for só um arquivo que tiver dando problema tira ele
21/04/2021 17:07 · Membro 0015
('Oops!', (<type 'exceptions.IOError'>, IOError(<System.IO.IOException object at 0x[IMEI]B [System.IO.IOException: O acesso ao caminho 'C:\Compartilhado\wp\EmailWhatsApp\Conversa do WhatsApp com [TELEFONE]' foi negado. ---> System.UnauthorizedAccessException: O acesso ao caminho 'C:\Compartilhado\wp\EmailWhatsApp\Conversa do WhatsApp com [TELEFONE]' foi negado....]>,), <traceback object at 0x[IMEI]C>), 'occurred.')
21/04/2021 17:07 · Membro 0015
é uma pasta que contem o arquivo txt com a conversa exportado pelo EXTRATOR
21/04/2021 17:22 · Membro 0078
Move essa pasta para outro lugar e tenta sem ela para ver se o problema é só nessa pasta ou em todas
21/04/2021 17:23 · Membro 0078
Se for só ela aqui depois você vê o que fazer com esse chat em específico ai
21/04/2021 17:30 · Membro 0015
ja tentei ate jogar na mesma pasta temporaria q o ufed executa o plugin

Origem 046 — 03/05/2021 19:30 a 19:30 — Extração de WhatsApp em Android

03/05/2021 19:30 · Membro 0015
https://pplware.sapo.pt/informacao/boystown-maior-rede-de-pornografia-do-mundo-foi-desmantelada/?utm_term=Novidade+para+quem+envia+audios+no+WhatsApp%3B+A+nova+atualizacao+do+Windows+10%3B+e+as+estreias+Netflix&utm_campaign=Newsletter+Pplware&utm_source=e-goi&utm_medium=email

Origem 047 — 21/05/2021 12:54 a 14:44 — Extração e análise de mensagens do WhatsApp

21/05/2021 12:54 · Membro 0104
Boa tarde. Verifique o cabo USB. Se a extração não prosseguir, desconecte o dispositivo. Em seguida, verifique se o aplicativo WhatsApp continua instalado. Se não estiver, instale o "waorig.apk" que está no diretório de saída utilizando o comando "adb install -r path/waorig.apk" (ATENÇÃO PARA A OPÇÃO '-r'). Refaça o procedimento no Forensic Tools.
21/05/2021 14:11 · Membro 0041
Boa tarde! Os senhores sabem se existe algum grupo de Whatsapp/Telegram para perícias especifico em equipamento DVR?
21/05/2021 14:35 · Membro 0044
Ok. Obrigado pela ajuda👍🏻
21/05/2021 14:38 · Membro 0044
Só vou executar amanhã. Mas já deu uma luz. O problema é que não achei o waori.apk
21/05/2021 14:39 · Membro 0104
Não está nesse diretório da imagem??
21/05/2021 14:40 · Membro 0104
Caso não encontre, vc pode fazer o download da última versão do whatsapp em https://www.apkmirror.com/.
21/05/2021 14:41 · Membro 0044
Não. Tá vazio
Não copiou nenhum arquivo
21/05/2021 14:41 · Membro 0104
Já fiz esse procedimento e relatei no laudo.
21/05/2021 14:44 · Membro 0044
Vou executar e depois posto o resultado.

Origem 048 — 21/06/2021 20:18 a 20:22 — Extração e análise de mensagens do WhatsApp

21/06/2021 20:18 · Membro 0071
<Mídia oculta>
Pessoal, tem um script bem bobo que de vez em quando eu gosto de usar e gostaria de compartilhar com vcs... O whatsapp usa uma *sequence* no campo de id da mensagem. Os valores da sequence nunca retroagem... quando vc olha a tabela messages vc *vê que da uns saltos e que o campo data está Null*
21/06/2021 20:19 · Membro 0071
<Mídia oculta>
Montei uma pequena query que mostra de uma forma melhor...
21/06/2021 20:19 · Membro 0071
vai que pode ser útil para mais alguém...
21/06/2021 20:20 · Membro 0071
bom que dá uma conferida na query!😅
21/06/2021 20:20 · Membro 0071
Coloquei no github: https://github.com/leosol/forensic-scripts
21/06/2021 20:21 · Membro 0071
esse seria o resultado esperado, exemplo, foram realizadas várias deleções de registros e se observa a quantidade de "saltos"
21/06/2021 20:22 · Membro 0071
qq coisa chama no privado!

Origem 049 — 24/07/2021 20:43 a 20:43 — Extração de WhatsApp em Android

24/07/2021 20:43 · Membro 0003
https://canaltech.com.br/juridico/como-tirar-prints-do-whatsapp-que-sirvam-como-prova-na-justica-190571/

Origem 050 — 03/08/2021 16:54 a 16:54 — / / Achei bem detalhado

03/08/2021 16:54 · Membro 0044
https://faq.whatsapp.com/general/chats/about-view-once?lang=pt-BR

Achei bem detalhado.

Origem 051 — 03/08/2021 23:41 a 23:41 — Extração de WhatsApp em Android

03/08/2021 23:41 · Membro 0078
https://twitter.com/WhatsApp/status/1422678722398748676?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1422678722398748676%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fd-11268700883876212414.ampproject.net%2F2107240354000%2Fframe.html

Origem 052 — 31/08/2021 18:58 a 18:58 — Extração e análise de mensagens do WhatsApp

31/08/2021 18:58 · Membro 0037
https://outline.com/rpbkvr
31/08/2021 18:58 · Membro 0037
👆👆Sobre captura de tela do WhatsApp.

Origem 053 — 10/09/2021 11:22 a 11:55 — Extração e decodificação de bancos do WhatsApp

10/09/2021 11:22 · Membro 0021
Bom dia!
Estão obtendo êxito em realizar extração do WhatsApp em dispositivos Xiaomi?

Em geral só estou conseguindo pelo UFED fazer extração lógica simples que não identifica os bate-papos.
Até agora não consegui extrair WhatsApp pelo pela ferramenta Forensic Tools 2.
Alguma sugestão, solução?


Observação: o Forensic Tools conseguiu extrair os bancos de dados. Abri pelo SQL Lite mas informa que está com criptografia. É possível quebrar essa criptografia?
10/09/2021 11:27 · Membro 0105
Bom dia.
Vocês possuem o touch 2? Em geral, quando não conseguimos a fisica ou Full FS, fazemos o apkdown do WhatsApp
10/09/2021 11:27 · Membro 0105
Sobre a crypto, infelizmente não.
10/09/2021 11:40 · Membro 0078
Então ele não extraiu o sqlite principal. Que eu saiba criptogtafado é só os backups
10/09/2021 11:40 · Membro 0088
A Forensic Tools não tá dando suporte ao crypt14.
10/09/2021 11:40 · Membro 0088
Dentro do .tar veio a key e o db sem criptografia?
10/09/2021 11:41 · Membro 0088
se veio a key, vc pode usar a ferramenta whapa ou whatsapp viewer para descriptografar os crypt14
10/09/2021 11:41 · Membro 0021
Não sei. Irei verificar.
10/09/2021 11:42 · Membro 0088
Os xiaomi demandam acesso a internet
10/09/2021 11:42 · Membro 0088
para o install usb
10/09/2021 11:42 · Membro 0088
install from usb
10/09/2021 11:42 · Membro 0088
nas configs de depuração
10/09/2021 11:43 · Membro 0088
não sei se todos, mas a maioria dos xiaomi que eu pego estão vindo assim
10/09/2021 11:43 · Membro 0088
aí o forensictools não consegue fazer todo o processo
10/09/2021 11:48 · Membro 0023
Nem o apk downgrade do UFED tá conseguindo, acredito que também por essa configuração estar desabilitada.
10/09/2021 11:55 · Membro 0020
Bom dia, alguém aí já teve sucesso em extração do Samsung sm-a107m/ds bloqueado por senha ?

Origem 054 — 02/10/2021 15:56 a 15:56 — Extração de WhatsApp em Android

02/10/2021 15:56 · Membro 0044
https://canaltech.com.br/apps/onde-fica-a-lixeira-do-whatsapp/

Origem 055 — 28/01/2022 18:35 a 18:47 — Extração e análise de mensagens do WhatsApp

28/01/2022 18:35 · Membro 0076
Pessoal, boa noite.

Eu estava tentando navegar nas pastas do WhatsApp de um iPhone. No Android, tem a pasta MEDIA onde ficam os arquivos recebidos e enviados e tal. Os arquivos têm nomes bem padronizados tipo IMG-20200101-WA0008.jpg. Teria como fazer o mesmo no iPhone? Eu achei a seguinte pasta: /mobile/Containers/Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/ mas os arquivos não têm nomes padronizados. Estou no caminho certo ou é outro?
28/01/2022 18:40 · Membro 0048
<Mídia oculta>
300.pdf
28/01/2022 18:41 · Membro 0048
👆🏼tem a seção do zap com os diretórios descritos
28/01/2022 18:47 · Membro 0076
Valeu, [MENCAO], pelo visto, eu fui no caminho certo. Muito obrigado.

Origem 056 — 11/02/2022 18:40 a 18:52 — Extração e análise de mensagens do WhatsApp

11/02/2022 18:40 · Membro 0076
Boa noite pessoal. Há um tempo eu vi que alguém aqui do grupo desenvolveu uma ferramenta para extrair conversas de WhatsApp em aparelhos Android. Alguém poderia me confirmar isso e, se possível me passar o link da ferramenta? Obrigado.
11/02/2022 18:52 · Membro 0105
Te chamo no privado.

Origem 057 — 01/07/2022 12:18 a 12:18 — Extração e análise de mensagens do WhatsApp

01/07/2022 12:18 · Membro 0088
Boa tarde, como faço para carregar no IPED uma pasta WhatsApp (a com.whatsapp extraída pelo forensictools)?
01/07/2022 12:18 · Membro 0088
Tentei pelo comando -d, até carregou a pasta, mas não detalhou as conversas:

Origem 058 — 06/07/2022 09:01 a 09:19 — Extração e análise de mensagens do WhatsApp

06/07/2022 09:01 · Membro 0042
Bom dia. Há algumas semanas atrás um colega postou sobre uma ferramenta desenvolvida para transcrição de arquivos de áudio.
06/07/2022 09:02 · Membro 0042
Existe alguma versão de demonstração? Estou com uma demanda de estupro de vulnerável que exige a transcrição de diversos áudios.
06/07/2022 09:10 · Membro 0015
O *Whatsapp Transcriber* é uma ferramenta gratuita, desenvolvida para auxiliar policiais com a tarefa de transcrever e analisar milhares de arquivos de mensagem de voz no mensageiro Whatsapp.

Desenvolvido por [NOME] Ribeiro Ritta
Delegado de Polícia do Estado do Rio Grande do Sul
06/07/2022 09:10 · Membro 0015
<Mídia oculta>
Manual do Usuário.pdf
06/07/2022 09:12 · Membro 0015
<Mídia oculta>
WhatsappTranscriberSetup.msi
06/07/2022 09:19 · Membro 0009
Um colega aqui do grupo tbm desenvolveu algo semelhante.

Origem 059 — 09/07/2022 13:46 a 13:47 — Extração e análise de mensagens do WhatsApp

09/07/2022 13:46 · Membro 0021
É possível desabilitar uma conversa do whatsapp com duração de 24 horas?
09/07/2022 13:47 · Membro 0105
Sim. A configuração não é definitiva. Pode ser alterado o tempo tbm para outras opções disponíveis.

Origem 060 — 22/08/2022 12:16 a 12:16 — Extração e análise de mensagens do WhatsApp

22/08/2022 12:16 · Membro 0157
Sua configuração do WhatsApp está para que apenas seus contatos possam ver sua foto ?

Origem 061 — 28/10/2022 12:11 a 12:26 — Recuperação de mensagens e vestígios do WhatsApp

28/10/2022 12:11 · Membro 0061
Será q não é possível solicitar ao WhatsApp a liberação desse arquivo?
28/10/2022 12:26 · Membro 0033
Não sei se o wa mantém uma cópia desse arquivo no servidor deles ou se é deletado em definitivo

Origem 062 — 05/12/2022 10:48 a 11:31 — Extração e análise de variantes do WhatsApp

05/12/2022 10:48 · Membro 0125
<Mídia oculta>
Bom dia. Estou tendo dificuldades pra executar o plugin do [MENCAO] na versão 7.58 do PA. Alguém já passou pelo mesmo?
05/12/2022 10:58 · Membro 0048
Bom dia. Qual seria o plugin?
05/12/2022 11:01 · Membro 0125
GBWhatsApp import
05/12/2022 11:09 · Membro 0080
Só funciona até na versão 7.50, pelo menos nos meus casos foram assim.
05/12/2022 11:09 · Membro 0080
Da em erro de exception
05/12/2022 11:11 · Membro 0048
Realmente, houve uma mudança na API do UFED. Com isso, vários scripts estão sendo portados para nova API. Mas como são muito que trabalhamos aqui na SPi/PCDF, ainda não portamos esse aí.
05/12/2022 11:12 · Membro 0048
Se quiser pode me enviar a versão que vc tem aí e vou colocar na fila de scripts para migrar.
05/12/2022 11:20 · Membro 0125
<Mídia oculta>
SPIWhatsAppEmail.zip
05/12/2022 11:20 · Membro 0125
Aqui usamos esse conjunto de scripts desenvolvidos por vc
05/12/2022 11:31 · Membro 0048
Estamos migrando vários scripts. Talvez amanhã eu consiga encaixar um tempo para migrar esse script. Várias pessoas já me procuraram para atualizar esse script tb.
05/12/2022 11:31 · Membro 0048
Aviso assim que conseguir

Origem 063 — 07/12/2022 12:58 a 13:01 — Extração e análise de variantes do WhatsApp

07/12/2022 12:58 · Membro 0080
Boa tarde [NOME].
Foram vocês que também desenvolveram o plug-in para o GBWhatsApp?
07/12/2022 13:01 · Membro 0048
Desculpe, mas sinceramente eu não lembro se foi

Origem 064 — 14/12/2022 09:39 a 09:39 — Extração e análise de mensagens do WhatsApp

14/12/2022 09:39 · Membro 0010
Bom dia, alguém tem aquele roteiro para descobrir a data de envio de um arquivo pelo WhatsApp?

Origem 065 — 22/12/2022 14:09 a 14:37 — Extração e decodificação de bancos do WhatsApp

22/12/2022 14:09 · Membro 0117
Muito resumidamente, quando está desinstalado a pasta /data/com.whatsapp não existe mais (e seu conteúdo como os bds e a chave de descriptografia dos backups).
Quando ocorre a desinstalação para o processo de downgrade, o comando de desinstalação enviado pela ferramenta é acompanhado do argumento "-k" (keep data) onde a pasta /data/com.whatsapp é preservada
22/12/2022 14:37 · Membro 0088
Se você tiver o chip ativo, poderá descriptografar esse crypt14

Origem 066 — 15/02/2023 15:24 a 16:05 — Extração e análise de mensagens do WhatsApp

15/02/2023 15:24 · Membro 0052
Boa. Farei constar no Laudo.
15/02/2023 15:41 · Membro 0096
Pessoal, boa tarde! É possível afirmar que as conversas do WhatsApp, extraídas pelo UFED, com o contato "status@broadcast", tratam-se dos status postados pelo usuário?
15/02/2023 15:41 · Membro 0096
IMG-20230215-WA0008.jpg (arquivo anexado)
15/02/2023 15:42 · Membro 0096
Por exemplo, neste caso aqui. Será que os balões azuis são reações de outras pessoas ao status, mas que foram apagadas?
15/02/2023 15:55 · Membro 0144
Não seriam aquelas listas de transmissão?
15/02/2023 15:56 · Membro 0096
Mas será que se fosse lista de transmissão não seriam apresentados os participantes?
15/02/2023 15:57 · Membro 0144
IMG-20230215-WA0009.jpg (arquivo anexado)
Você está correto
15/02/2023 16:03 · Membro 0096
Opa, show de bola! Obrigado!
Essa info está no site do WhatsApp?
15/02/2023 16:04 · Membro 0144
Peguei no ChatGPT 😅
15/02/2023 16:05 · Membro 0144
Lendo sua resposta vi que não faz sentido ser da lista de transmissão pois a lista seria apenas um 'semi-broadcast' dos contatos 😅

Origem 067 — 15/04/2023 10:02 a 10:05 — Extração e análise de mensagens do WhatsApp

15/04/2023 10:02 · Membro 0091
<Mídia oculta>
Bom dia senhores alguém já extraiu esse modelo? Ta desbloqueado mas n consigo extrair WhatsApp e Facebook Messenger....
15/04/2023 10:02 · Membro 0091
N sabia nem q existia essa marca
15/04/2023 10:05 · Membro 0091
Mediatek chipset

Origem 068 — 15/05/2023 21:24 a 21:35 — Esperar chegar pra todos isso

15/05/2023 21:24 · Membro 0166
Esperar chegar pra todos isso
15/05/2023 21:24 · Membro 0166
Mas no msgstore.db essa conversa vai estar...a proteçao deve ser só na interface-gráfica
15/05/2023 21:35 · Membro 0146
IMG-20230515-WA0001.jpg (arquivo anexado)

Origem 069 — 22/05/2023 07:26 a 07:26 — Extração e análise de mensagens do WhatsApp

22/05/2023 07:26 · Membro 0080
<Mídia oculta>
WhatsApp

Origem 070 — 22/08/2023 18:51 a 18:59 — Extração e decodificação de bancos do WhatsApp

22/08/2023 18:51 · Membro 0155
Boa noite. Vocês já tiveram problemas com o aplicativo Island?
22/08/2023 18:55 · Membro 0021
Boa noite!

Já houve alguma solicitação no seu Estado em que a autoridade policial ou o juiz pediu "perícia" de monitoramento de uma conta espelho de WhatsApp de suspeito, por exemplo? Ou usasse engenharia social ou técnicas para identificar os dados e a localização de um suspeito de crime?
22/08/2023 18:56 · Membro 0166
E como faz isso? Se as mensagens ficam no msgstore.db ?
22/08/2023 18:59 · Membro 0021
E-mail por exemplo? ***

Origem 071 — 28/09/2023 16:47 a 16:59 — Extração e decodificação de bancos do WhatsApp

28/09/2023 16:47 · Membro 0150
boa tarde, pessoal. é possivel afimar pelo caminho de um arquivo que ele foi compartilhado em um grupo de whats? ex: Shared/AppGroup/group.net.whatsapp.WhatsApp.shared/Message/
28/09/2023 16:59 · Membro 0166
Tem que ver no msgstore.db

Table Messages e Message_media

Origem 072 — 10/10/2023 15:10 a 15:28 — Extração e decodificação de bancos do WhatsApp

10/10/2023 15:10 · Membro 0088
<Mídia oculta>
Boa tarde, quando na tabela jid do msgstore a linha ao invés de informar o número telefônico do user informa um número assim, do q se trata? o q seria esse número e a tag "lid"?
10/10/2023 15:24 · Membro 0166
Tem que cruzar a tabela JID
10/10/2023 15:24 · Membro 0166
Com a tabela Messages
10/10/2023 15:24 · Membro 0166
Pq as vezes pode ser aquelas mensagens que vem agora do próprio whatsapp
10/10/2023 15:24 · Membro 0166
Ou mensagem de status
10/10/2023 15:28 · Membro 0088
Hum... blz, obrigado!

Origem 073 — 27/10/2023 13:55 a 14:11 — Extração e decodificação de bancos do WhatsApp

27/10/2023 13:55 · Membro 0088
Boa tarde, alguém saberia dizer em qual tabela do msgstore ficam os thumbnails das imagens?
27/10/2023 14:04 · Membro 0166
Fica na message_media
27/10/2023 14:04 · Membro 0166
Não estou no meu computador agora...mas se tu baixar o código-fonte do WhatsApp Viewer vai mostrar certinho
27/10/2023 14:07 · Membro 0088
não achei a coluna, será q depois q mudaram as tabelas trocaram de lugar?
27/10/2023 14:09 · Membro 0166
No código do WhatsappViewer....é na classe ExporterXYZ alguma coisa, acho que é ChatExporter
27/10/2023 14:09 · Membro 0166
Onde vai montar o html
27/10/2023 14:11 · Membro 0088
<Mídia oculta>
Ainda não olhei o viewer, mas parece q agora tem uma tabela só pra isso

Origem 074 — 15/12/2023 13:49 a 14:05 — Extração e decodificação de bancos do WhatsApp

15/12/2023 13:49 · Membro 0096
Pessoal, no WhatsApp, na pasta SHARED é possível dizer que são itens compartilhados pelo usuário?
15/12/2023 13:50 · Membro 0096
Por exemplo, num caso de pedofilia.
15/12/2023 13:50 · Membro 0096
Ou será q são somente aqueles que tem a marcação “encaminhado”?
15/12/2023 14:03 · Membro 0166
Tem que olhar no msgstore
15/12/2023 14:03 · Membro 0166
Pq os itens enviados ficam na pasta /sent/
15/12/2023 14:04 · Membro 0166
No msgstore vai dar pra ver se a mensagem foi recebida ou enviada
15/12/2023 14:04 · Membro 0166
Confirma olhando na table messages, coluna key_from_me ou from_me
15/12/2023 14:04 · Membro 0096
o duro é q não tem mais a msg com o conteúdo em si
15/12/2023 14:04 · Membro 0096
será q msm assim vai ter no msgstore?
15/12/2023 14:05 · Membro 0166
Mesmo que o conteudo da column data esteja em branco

Origem 075 — 10/01/2024 22:43 a 23:21 — Extração e análise de mensagens do WhatsApp

10/01/2024 22:43 · Membro 0071
aqui pra mim, em um teste rapido
o audio ficou em /storage/emulated/0/WhatsApp/.Shared/[HASH-HEX].opus
10/01/2024 22:44 · Membro 0071
gravei, em modo aviao e acionei o botao enviar
10/01/2024 22:45 · Membro 0071
se a mensagem foi compilada legal e enviada pro servidor, parou em " WhatsApp Voice Notes"
10/01/2024 22:45 · Membro 0071
o Whatsapp registrou atividade durante o processo de gravacao em uma pasta bem peculiar
/data/data/com.whatsapp/files/.trash
10/01/2024 22:46 · Membro 0071
mas acho que nao tem relacao nao.. nao sei...
10/01/2024 23:08 · Membro 0096
Legal. Eu deixei capturando na porta do microfone, pelo menos pra garantir.
Antes de prosseguir vou capturar a tela pra mostrar o estado. Depois vou tentar encontrar nessas pastas aí… Quem sabe… De repente tento extraçao pra procurar lá tbm.
10/01/2024 23:08 · Membro 0096
Em último caso clicar enviar, pq tbm vai afetar a data/hora de criação da msg em voice notes, né?
10/01/2024 23:18 · Membro 0071
e vc estaria compartilhando o vestigio com terceiros, nao?
10/01/2024 23:18 · Membro 0071
faz um adb pull /sdcard/WhatsApp/.Shared e olha quem seria o maior arquivo
10/01/2024 23:20 · Membro 0071
se nao achar no diretorio acima, veja em: /sdcard/Android/media/com.whatsapp
10/01/2024 23:20 · Membro 0071
se vc colocar na internet... nao sei...
10/01/2024 23:20 · Membro 0071
em ultimo caso... talvez...
10/01/2024 23:21 · Membro 0071
mas acho que vc encontra este arquivo ai!

Origem 076 — 01/10/2024 17:09 a 17:17 — Extração e análise de mensagens do WhatsApp

01/10/2024 17:09 · Membro 0150
Boa tarde, pessoal, alguem aqui ja recebeu requisição para tentar conseguir materializar um acesso indesejado de whatsweb de um dispositivo? Ex: a Delta quer saber se o namorado da vítima tinha acesso ao cel dela pelo whatsappweb e sabia todos os lugares q a vitima ia.
01/10/2024 17:17 · Membro 0048
no whatsapp principal da vítima pode ter registro na base de companiondevices
01/10/2024 17:17 · Membro 0048
mas não tem o IP, tem registro de qual SO horário que obteu acesso e o jid (identificador) do aparelho

Origem 077 — 22/10/2024 12:40 a 12:45 — Extração e análise de mensagens do WhatsApp

22/10/2024 12:40 · Membro 0191
Bom dia, gostaria de uma informação dos colegas, andei pesquisando sobre o diretorio private o Whatsapp e encontrei diversas definições diferentes sobre o que fica armazenado nela. vocês tem alguma instrução definida do que fica nela?
22/10/2024 12:42 · Membro 0166
nesse Private eu já percebi que ficam as mídias que tem tempo de duração
22/10/2024 12:42 · Membro 0166
as conversas que se auto-destroem em 24 horas, 1 semana, etc
22/10/2024 12:44 · Membro 0038
São as mídias privadas enviadas pelo proprietário do aparelho
22/10/2024 12:45 · Membro 0038
Creio que as temporárias tbm ficam nessa pasta

Origem 078 — 14/01/2025 14:34 a 14:47 — Extração e análise de mensagens do WhatsApp

14/01/2025 14:34 · Membro 0084
https://www.instagram.com/p/DEzkZ9ZN-LW/?igsh=bGo4b2EyMW03ZXhs
14/01/2025 14:34 · Membro 0084
A Associação Brasileira de Criminalística (ABC) divulgou uma nota pública expressando sua preocupação com a recente decisão do governador Ronaldo Caiado de recuar em relação à proposta de reestruturação das carreiras dos peritos oficiais criminais de Goiás.

É fundamental que essa nota seja amplamente compartilhada, principalmente nas redes sociais, para que nosso descontentamento com o tratamento dispensado pelo Governo de Goiás seja conhecido por toda a sociedade.

Convocamos todos os peritos criminais e médicos legistas a divulgarem esta mensagem em suas plataformas digitais e grupos de WhatsApp, sobretudo aqueles que contém peritos e médicos de outros estados.

Desde já, agradecemos imensamente o apoio e o engajamento de todos na defesa de nossos direitos.

Valorização Já!
14/01/2025 14:34 · Membro 0084
Boa tarde, pessoal!
Uns tempos atrás eu pedi apoio de vocês na divulgação de uma publicação do nosso sindicato que estava em negociação com o governo para uma reestruturação.

Entre indas e vindas, abrimos mão de muita coisa, mas aceitamos uma proposta feita pelo governo, mesmo que aquém do esperado.

Acontece, que antes de botarem em prática, o governo voltou atrás e não cumpriu o acordo.

Pedimos o apoio de vocês para comentarem na publicação, falando que são peritos de outros Estados e que apoiam nossa causa.
De antemão, agradeço muito aos que se disponibilizarem!
Abraço!
14/01/2025 14:47 · Membro 0166
a associação dos Peritos Criminais aqui do RS publicou isso
a ABC também publicou

Origem 079 — 09/02/2025 15:25 a 17:11 — Extração e análise de mensagens do WhatsApp

09/02/2025 15:25 · Membro 0088
Estou tendo problemas no PA em extrações de celulares de casos antigos de 2019. O PA recente não está carregando corretamente as conversas de WhatsApp de iphone, por exemplo. Creio que as versões mais recentes "desaprenderam" a como fazer o parsing desses whatsapp antigos. Alguém teria disponível versões bem anteriores do PA para que eu possa verificar isto? 7.20, 7.40?
09/02/2025 17:11 · Membro 0048
Centésimo episódio isolado dos fuzzygrades da Cellebrite

Origem 080 — 07/09/2025 22:54 a 22:57 — Recuperação de mensagens e vestígios do WhatsApp

07/09/2025 22:54 · Membro 0130
n. Foi dessa anterior. Acha que não precisa?
O UFDR individualiza o que é da câmera e o que é recebido de whatsapp, etc?°
07/09/2025 22:54 · Membro 0130
<Mídia oculta>
está no jeito aqui pra começar a outra extração
07/09/2025 22:54 · Membro 0147
É melhor vc fazer outra
07/09/2025 22:54 · Membro 0147
Pra pegar o WhatsApp
07/09/2025 22:54 · Membro 0130
vou cancelar o relatório
07/09/2025 22:55 · Membro 0147
Agora vc vai pegar o WhatsApp
07/09/2025 22:55 · Membro 0147
E torcer pra vir alguma coisa do chat deletado
07/09/2025 22:55 · Membro 0147
Me avisa aqui se deu certo
07/09/2025 22:56 · Membro 0130
<Mídia oculta>
coloquei pra rodar!
07/09/2025 22:57 · Membro 0130
vai demorar algumas horas
depois mando msg novamente então!!!!
Muitíssimo obrigado a vc e aos outros colegas pelo apoio
07/09/2025 22:57 · Membro 0130
infelizmente sou iniciante no Cellebrite
07/09/2025 22:57 · Membro 0147
Cara vc está muito bem
07/09/2025 22:57 · Membro 0147
STK-20250908-WA0000.webp (arquivo anexado)

Origem 081 — 08/09/2025 06:55 a 06:55 — Extração e análise de mensagens do WhatsApp

08/09/2025 06:55 · Membro 0003
Tem que ter cuidado no que vai afirmar sobre esses prints. Já peguei um caso assim, cheio de prints, mas todos feitos com um simulador de conversas de WhatsApp. Encontrei nos registros de instalação o programa que foi utilizado para forjar esses prints.

Origem 082 — 17/10/2025 11:32 a 12:06 — Extração e análise de mensagens do WhatsApp

17/10/2025 11:32 · Membro 0088
Bom dia. o IPED processa WhatsApp Desktop do Windows?
17/10/2025 11:57 · Membro 0198
Nas extrações que fiz já vi várias vezes dados de whats, mas não notei se era web ou de app instalado no pc.
17/10/2025 12:06 · Membro 0166
acho que não , acho que não salva as mensagens, é tipo o whatsapp-web

Origem 083 — 27/10/2025 14:44 a 14:44 — Extração e decodificação de bancos do WhatsApp

27/10/2025 14:44 · Membro 0166
pessoal, alguém sabe dizer se o PA tá interpretando certinho os arquivos "increment" do msgstore.db do whatsapp?
27/10/2025 14:44 · Membro 0166
https://github.com/Forenser-lab/wa-increment-decoder
27/10/2025 14:44 · Membro 0166
dos arquivos de incremento dos backups do whatsapp
27/10/2025 14:44 · Membro 0166
É um decoder, não fica 100%, mas ajuda
27/10/2025 14:44 · Membro 0166
o [NOME] do [NOME] Forensics me questionou agora

Origem 084 — 24/11/2025 08:52 a 09:10 — Uso do IPED na triagem, indexação e análise

24/11/2025 08:52 · Membro 0009
<Mídia oculta>
Bom dia, pessoal! Onde ficam armazenadas essas miniaturas? No próprio "msgstore.db"? No relatório inicial ela aparece. Mas quando eu gero um relatório do relatório inicial, ela desaparece. Obg
24/11/2025 08:55 · Membro 0166
fica dentro do próprio msgstore.db
24/11/2025 08:55 · Membro 0166
salvo engano fica na própria tabela messages ou message_media
24/11/2025 09:00 · Membro 0009
Até incluí o msgstore.db no relatório, mas não trouxe. Deve ser então algum bug do Reader. Obg
24/11/2025 09:10 · Membro 0166
processa o .UFDR no IPED
ele vai trazer essas imagens

Origem 085 — 28/11/2025 19:17 a 19:17 — Extração de WhatsApp em Android

28/11/2025 19:17 · Membro 0147
https://www.linkedin.com/posts/[NOME]-[NOME]_dez-pessoas-s%C3%A3o-presas-pela-pol%C3%ADcia-civil-activity-7400294904582758400-qOz0?utm_source=social_share_send&utm_medium=android_app&rcm=ACoAAB5q9eoBJ40H5I0qTluFZKxgUVNQFHMfFm8&utm_campaign=whatsapp

Origem 086 — 10/12/2025 21:28 a 21:28 — Extração e análise de mensagens do WhatsApp

10/12/2025 21:28 · Membro 0003
Uso de prova de prints de WhatsApp à luz da jurisprudência do STJ - Migalhas https://share.google/ohh9VeVE6fU0hm2OJ

Origem 087 — 10/01/2026 16:32 a 16:32 — Extração e análise de mensagens do WhatsApp

10/01/2026 16:32 · Membro 0166
Cybersecurity researchers have disclosed details of a new campaign that uses WhatsApp as a distribution vector for a Windows banking trojan called Astaroth in attacks targeting Brazil.

The campaign has been codenamed Boto Cor-de-Rosa by Acronis Threat Research Unit.

"The malware retrieves the victim's WhatsApp contact list and automatically sends malicious messages to each contact to further spread the infection," the cybersecurity company said

https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html

Origem 088 — 14/01/2026 10:33 a 10:54 — Extração e análise de mensagens do WhatsApp

14/01/2026 10:33 · Membro 0096
Pessoal, no PA, analisando o WhatsApp, pra relacionar os [MENCAO] dos usuários, só fazendo o cara-crachá na peça de exame mesmo ou vendo se tem algo nos contatos... Ou tem alguma alternativa?
14/01/2026 10:36 · Membro 0166
acho que vai ter que confrontar o numero de telefone com o arquivo "wa.db"
14/01/2026 10:41 · Membro 0096
acho q no iphone não rola né
14/01/2026 10:54 · Membro 0166
não lembro agora se ele tem um arquivo de contatos separado