Wiki CompFor
WhatsApp, WhatsApp Web, Telegram e mensageiros

Recuperação e decodificação de bancos do WhatsApp

Categoria: WhatsApp, WhatsApp Web, Telegram e mensageiros

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre recuperação e decodificação de bancos do WhatsApp no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, XRY, IPED, Magnet AXIOM, Autopsy, FTK, ADB. Os termos mais recorrentes neste tema incluem: mas, whatsapp, https, dados, ele, lnkd.in, data, esse, pra, banco. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Preservar banco e chave de criptografia quando disponíveis.
  • Indicar versão do app e formato de criptografia.
  • Validar mensagens relevantes no banco decodificado.

Ferramentas, sistemas ou marcas citadas

UFEDPhysical AnalyzerXRYIPEDMagnet AXIOMAutopsyFTKADBODINBitLockerWhatsAppTelegram

Palavras-chave recorrentes

maswhatsapphttpsdadoselelnkd.indataesseprabancoestafoimaiscelularandroidmesmoessabackup

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 03/01/2018 15:13 a 15:48 — Cálculo e verificação de hashes em grande volume de arquivos

03/01/2018 15:13 · Membro 0020
Pessoal existe algum banco de dados de hash de arquivos de pornografia infantil que a gente possa consultar?
03/01/2018 15:18 · Membro 0011
Mídia Library do CPS
03/01/2018 15:21 · Membro 0003
Tem vários no NIST, mas todos precisam de autorização. https://www.nist.gov/oles/forensic-database-tech-digital-evidence-table
03/01/2018 15:23 · Membro 0003
https://www.microsoft.com/en-us/photodna
03/01/2018 15:25 · Membro 0003
O photodna não está disponível para o Brasil.
03/01/2018 15:48 · Membro 0003
Vou tentar solicitar esse: https://www.iwf.org.uk/our-services/image-hash-list

Origem 002 — 01/03/2018 10:55 a 11:19 — Extração e decodificação de bancos do WhatsApp

01/03/2018 10:55 · Membro 0009
Pessoal, bom dia! É possível recuperar a chave (key) do WhatsApp instalando o aplicativo em um celular com um chip q está desativado? Consegui recuperar os arquivos crypt12 do cartão de memória mas o usuário havia desinstalado o aplicativo e o chip foi desativado pela operadora.
01/03/2018 10:58 · Membro 0003
Pouco provável, precisaria receber o código de ativação.
01/03/2018 10:59 · Membro 0009
A dúvida é essa. Se na instalação ele já criaria a chave vinculada ao chip. Mesmo estando desativado.
01/03/2018 11:18 · Membro 0037
Pessoal, bom-dia!
Coloquei essa questão no nosso grupo do trabalho e o perito [NOME] respondeu assim:
01/03/2018 11:19 · Membro 0037
Bom dia !
O cartão, mesmo desativado, fica (por meses, até anos) ativo pra recepção de SMS. Claro, se a linha não tiver sido associada a outro ICCID (cartão). Nossa técnica SPAI poderia ser testada.

Origem 003 — 03/04/2018 21:56 a 22:15 — Uso do IPED na triagem, indexação e análise

03/04/2018 21:56 · Membro 0037
Boa noite!
Teria como disponibilizar o link para baixá-lo?
03/04/2018 21:59 · Membro 0037
Quanto à questão colocada, sugiro que tentem usar o [NOME], pois é muito fácil remasterizá-lo. Inclusive o pessoal da Federal assim o fazem para rodar o IPED/LED em campo.
03/04/2018 22:02 · Membro 0020
Esse seria o ideal, mas sinceramente em um flagrante não vejo muita complicação em rodar o Led a partir do pendrive com JRE e o Led e fazer a análise Hot
03/04/2018 22:08 · Membro 0001
Mas se a máquina estiver desligada?
03/04/2018 22:10 · Membro 0020
Aí sim, inclusive utilizando bloqueador de escrita
03/04/2018 22:15 · Membro 0051
Boa noite, desculpe interromper o fluxo da conversa. Alguém já usou o FTK em mais de uma máquina compartilhando o banco de dados em uma terceira máquina? Alguém tem dados sobre performance?

Origem 004 — 19/04/2018 13:19 a 15:14 — Extração e decodificação de bancos do WhatsApp

19/04/2018 13:19 · Membro 0021
Bom dia a todos. Está circulando nos grupos de whatsapp sobre um APP denominado SINCABS que teria como objetivo criar o maior banco de dados de suspeitos do país. Ocorre que segundo informações preliminares, foi identificado que tal aplicativo parece ter sido desenvolvido por criminosos de Mossoró/RN e está sendo utilizado como phishing para colher dados dos policiais que se cadastram. Portanto, até que se esclareça por completo, sugerimos que NÃO INSTALEM O APP SINCABS e se o fizeram, NÃO INSIRAM SEUS DADOS NELE (MUITO MENOS SENHAS DE ACESSO AOS SISTEMAS PRF). Segue abaixo foto do referido APP na Play Store do Google:
19/04/2018 14:44 · Membro 0055
[NOME], boa tarde! Você solicitou esse cabo? Estou necessitando realizar uma extração com ele, porém vi que não temos.
19/04/2018 14:45 · Membro 0040
Nós se MT pedimos é chegou vários cabos adicionais, inclusive esse
19/04/2018 14:47 · Membro 0055
Essa semana chegaram alguns pra gente, mas não o 523
19/04/2018 14:50 · Membro 0039
http://s554675970.t.en25.com/e/er?s=554675970&lid=1768&elqTrackId=[HASH-HEX]&elq=[HASH-HEX]&elqaid=4286&elqat=1
19/04/2018 14:51 · Membro 0039
Solicitei por esse link. E chegaram semana passada.
19/04/2018 15:14 · Membro 0041
Samuel, toda vez que sai uma nova atualizacao de software eu vejo se twm novoa cabos e os peço.

Origem 005 — 18/05/2018 08:23 a 09:20 — Extração e decodificação de bancos do WhatsApp

18/05/2018 08:23 · Membro 0034
Sabe se a investigação comparou os horários tanto no remetente quanto no destinatário?
18/05/2018 08:27 · Membro 0008
Mds... Ainda bem que não estão pedindo essas coisas por aqui... 😅😅
18/05/2018 08:41 · Membro 0048
eu acho que a data que circula na mensagem é universal, logo, só muda a decodificação do epoch
18/05/2018 08:43 · Membro 0048
e na segurnaça de mensagem, para evitar replay e talz, acho que a data é assinada de alguma forma
18/05/2018 08:44 · Membro 0048
tanto que se vc mudar demais a data do celular, o whatsapp nem funciona
18/05/2018 08:55 · Membro 0013
Foi que já percebi ao fazer alguns testes. Se mudar algo de 30 minutos, funciona de boa.
18/05/2018 08:59 · Membro 0057
Não, eh de texto mesmo
18/05/2018 08:59 · Membro 0003
Eu já vi uma bagunça com celular alterado o fuso
18/05/2018 09:00 · Membro 0057
Estava configurado hora automática da rede
18/05/2018 09:00 · Membro 0003
Mas alterar só o horário do celular, não sei
18/05/2018 09:01 · Membro 0057
Apareceu 8:01, que foi a hora q estava no meu celular hora q recebi a mensagem... Mas no banco de dados fica o utc-0 salvo, então se eu alterar o fuso altera a hora de recebimento tb
18/05/2018 09:01 · Membro 0003
Aqui em Fortaleza, quando está em horário de verão, às vezes a hora automática da rede pega o fuso de Brasília, ficando uma hora adiantada para o horário local
18/05/2018 09:04 · Membro 0008
Caramba... Até ex famoso caiu...
18/05/2018 09:05 · Membro 0057
Não sei... Realmente eh uma informação importante. Vou conversar com a delegacia
18/05/2018 09:12 · Membro 0057
Preciso de um celular rooteado. Queria fazer o seguinte teste: desligar a internet; colocar uma hora errada; ver qual o timestamp ta salvo no msgstore.db. enviar uma mensagem; forçar parada do WhatsApp no configurações/aplicativo; alterar a hora do aparelho e ver se o timestamp mudou.
18/05/2018 09:16 · Membro 0057
Já vi q a hora altera se eu fizer isso no celular não rooteado... Só não entendo como o WhatsApp faz isso...
18/05/2018 09:18 · Membro 0003
qual a influência do root?
18/05/2018 09:20 · Membro 0057
Ver o que acontece com o timestamp de mensagem enviada, pq se for só alteração do fuso o timestamp não muda...

Origem 006 — 28/06/2018 10:57 a 10:58 — Artefatos e vestígios de uso do WhatsApp Web

28/06/2018 10:57 · Membro 0048
Fiz um caso parecido. Mas constatei que as mensagens recebidas vieram do whatsapp web de osX e não do aparelho e o proprietário real estava usando o aparelho. Logo, provavelmente alguém pegou uma sessão whatsapp web ativa e se passou pelo proprietário
28/06/2018 10:58 · Membro 0034
Olha que interessante! Essa informação aparece no relatório do UFED? Ou em algum outro lugar?
28/06/2018 10:58 · Membro 0003
Que interessante. Você conseguiu essa informação através do banco de dados do aplicativo?

Origem 007 — 02/01/2019 09:25 a 09:45 — Extração e decodificação de bancos do WhatsApp

02/01/2019 09:25 · Membro 0003
Não ter equipamento para teste é uma 💩...
02/01/2019 09:27 · Membro 0003
Então, se alguém já tiver tentado e puder me dar uma luz. O celular que eu estava tentando o root está entrando no sistema, mas todas as aplicações estão dando force close. Estou pensando em dar flash no stock rom dele, para ver se resolve, o medo é dar wipe em tudo. Eu tenho o backup do mmcblk0, que a partição de dados está criptografada. Estou pensando em tentar dar o flash, se zerar, voltar via dd a mmcblk0 dele. Alguém já tentou algo assim?
02/01/2019 09:31 · Membro 0048
Não deve funcionar devido ao provável reset da senha de cifragem armazenafa no TEE
02/01/2019 09:33 · Membro 0003
e dar flash na stock?
02/01/2019 09:34 · Membro 0048
Qual o aparelho. Depende da stock eu acho. Se vc abrir a stock e tiver uma imagem da userdata junto acho que não vai funcionar
02/01/2019 09:35 · Membro 0048
Pq nos androids novos o security boot vai barrar uma imagem qur não bater a assinatura
02/01/2019 09:37 · Membro 0003
SM-G532MT
02/01/2019 09:37 · Membro 0003
então eu poderia dar flash por lá
02/01/2019 09:38 · Membro 0003
dentro do zip da stock tem esses arquivos
02/01/2019 09:38 · Membro 0003
eu queria, na verdade, só resolver os force closes das aplicações e devolver o aparelho mesmo, desisti ehehhe
02/01/2019 09:39 · Membro 0048
Acho que vai dar pau. Mas se quiser tentar limpar só a particao cache pode ser que rrsolca
02/01/2019 09:39 · Membro 0003
Já tentei, sem resultado.
02/01/2019 09:40 · Membro 0048
Já fiz umas experiências co. Sucesso nesse tipo de stock
02/01/2019 09:40 · Membro 0003
12-31 23:27:23.590 13336 13347 W System.err: mkdir failed: EACCES (Permission denied) : /data/user/150/com.sec.android.provider.badge/databases
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131138) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131072) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) cannot open file at line 31588 of [5a3022e081]
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) os_unix.c:31588: (13) open(/data/user/150/com.sec.android.provider.badge/databases/badge.db) -
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) Process .provider.badge : Pid (13336) Uid (15010001) Euid (15010001) Gid (15010001) Egid (15010001)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) osStat failed "/data/user/150/com.sec.android.provider.badge/databases/badge.db" due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Failed to open database '/data/user/150/com.sec.android.provider.badge/databases/badge.db'.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: android.database.sqlite.SQLiteCantOpenDatabaseException: unknown error (code 1806): Could not open database
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Error Code : 1806 (SQLITE_CANTOPEN_EACCES)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Caused By : Application has no permission to open the specified database file.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: (unknown error (code 1806): Could not open database)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
02/01/2019 09:40 · Membro 0048
Mas tem que gravar a stock recortada
02/01/2019 09:40 · Membro 0003
no logcat tá dando force close por isso
02/01/2019 09:41 · Membro 0048
Trm que tirar só a system (o android) e gravar ele
02/01/2019 09:41 · Membro 0003
Estava pensando em tentar isso mesmo.
02/01/2019 09:41 · Membro 0010
E pra buscar informações?
02/01/2019 09:41 · Membro 0010
Ou pra devolver o aparelho!
02/01/2019 09:42 · Membro 0010
Se for pra buscar informações vale a pena!
02/01/2019 09:42 · Membro 0010
Eu aconselho a ir no Sam mobile
02/01/2019 09:42 · Membro 0010
Baixar a rom dele
02/01/2019 09:42 · Membro 0010
E reinstalar tudo sem medo
02/01/2019 09:43 · Membro 0010
Aí o próprio Android faz a atualização de todos os apps
02/01/2019 09:43 · Membro 0003
pois é, já estou aqui com a rom
02/01/2019 09:43 · Membro 0048
Dá uma olhada no xda se alguém tem dica
02/01/2019 09:43 · Membro 0010
Já aconteceu isso comigo algumas vezes amigo
02/01/2019 09:43 · Membro 0003
meu medo é dar wipe em tudo, que já aconteceu em um outro celular
02/01/2019 09:43 · Membro 0010
Só que em um, um caso, importantíssimo
02/01/2019 09:43 · Membro 0003
mas como essa não tem o userdata dentro, pode ser que não aconteça
02/01/2019 09:43 · Membro 0010
Quando eu instalei ela deu pau e apagou tudo
02/01/2019 09:44 · Membro 0010
Mas como tu já tem a extração
02/01/2019 09:44 · Membro 0003
é o meu caso... esse é um caso de repercussão nacional... e é o celular da vítima, que talvez se transforme em investigada...
02/01/2019 09:44 · Membro 0010
E avisa o resultado aqui!
02/01/2019 09:44 · Membro 0003
e por falar nisso, aproveitando
02/01/2019 09:45 · Membro 0010
Mas aí relata no laudo
02/01/2019 09:45 · Membro 0003
no celular tem uns prints de whatsapp com esse cadeado no canto
02/01/2019 09:45 · Membro 0003
e tem uns prints sem
02/01/2019 09:45 · Membro 0010
Mas o jeito mais fácil que que conheço quando acontece isso é esse rom original mesmo!
02/01/2019 09:45 · Membro 0003
cadeado não, fechadura

Origem 008 — 29/01/2019 18:38 a 21:34 — Extração e decodificação de bancos do WhatsApp

29/01/2019 18:38 · Membro 0023
https://www.baixaki.com.br/android/download/gbwhatsapp.htm
29/01/2019 18:38 · Membro 0023
Já viram esse app? Funciona como o WhatsApp e tem uma função de bloqueio incorporada.
29/01/2019 18:40 · Membro 0023
Peguei um celular aqui com ele, bloqueado, só o app.
29/01/2019 19:11 · Membro 0055
Esse tem uma função de backup que extrai até a .key
29/01/2019 19:53 · Membro 0033
Yowhatsapp tbm tem essa função
29/01/2019 21:34 · Membro 0003
https://www.mirror.co.uk/tech/whatsapp-bug-can-allow-people-13921486

Origem 009 — 08/05/2019 08:21 a 08:38 — Extração e decodificação de bancos do WhatsApp

08/05/2019 08:21 · Membro 0004
Pessoal, vcs sabem informar se, colocando uma data incorreta no celular, a base do WhatsApp se mantém íntegra,com a data correta ou se ela é afetada?
08/05/2019 08:23 · Membro 0048
se não me engano, ele trabalha com horário EPOCH. E parte das datas vêm da internet
08/05/2019 08:31 · Membro 0045
Esse procedimento é, às vezes necessário, se, por exemplo, for preciso instalar uma versão mais antiga, pra tentar rodar, por exemplo, a exportação de mensagens, essa versão antiiga só funcionará, se a data do telefone for retroagida. As datas vinculadas a cada mensagem permanecem com a data em que elas foram produzidas e o horário estará sempre armazenado, na tabela sqlite, em UTC-0 da produção.
08/05/2019 08:32 · Membro 0004
Quero saber se as datas da mensagem foram manipuladas ou nao
08/05/2019 08:36 · Membro 0045
Se o telefone estiver rooteado, é possível alterar o conteúdo sqlite, já via aplicativo WhatsApp, ou telefone, não vejo possibilidades.
08/05/2019 08:37 · Membro 0079
Bom dia pessoal. Vocês estão conseguindo utilizar no Ufed Touch 2, as opções de perfis sugeridos, onde sempre aparecem como opção de extração por Decrypting Bootloader?
08/05/2019 08:38 · Membro 0003
E se a data do celular estiver com um erro razoável o Whatsapp não aceita a conexão.
08/05/2019 08:38 · Membro 0079
Nessa opção é exigido o EDL mode. Acontece que aqui ninguém de nós está conseguindo que os aparelhos entrem nesse modo.
08/05/2019 08:38 · Membro 0003
Então não é possível enviar mensagens com manipulação de dias de diferença, no máximo algumas horas.
08/05/2019 08:38 · Membro 0079
Mesmo utilizando o cabo 523, que é o cabo próprio.

Origem 010 — 14/05/2019 21:55 a 23:18 — Mas neste caso, teria que tirar o celular do modo avião

14/05/2019 21:55 · Membro 0072
Mas neste caso, teria que tirar o celular do modo avião?
14/05/2019 22:37 · Membro 0042
Ou então ativar em outro aparelho
14/05/2019 22:38 · Membro 0042
O objetivo é apenas obter a key
14/05/2019 22:38 · Membro 0042
Para decifrar os database s
14/05/2019 23:18 · Membro 0023
SE tiver backups cifrados

Origem 011 — 25/10/2019 16:58 a 17:42 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off

25/10/2019 16:58 · Membro 0010
Com o banco de dados de hashs de 10 de outubro
25/10/2019 17:34 · Membro 0010
Alguma dica pra usar o cabo EDL com um Motorola xt1792
25/10/2019 17:37 · Membro 0076
Se alguém um dia conseguir usar o EDL e puder filmar o procedimento para eu ver, ficarei muito agradecido. Nunca consegui fazer isso e estou achando que é lenda.
25/10/2019 17:39 · Membro 0088
Eheh. As vezes consigo nuns lenovo
25/10/2019 17:40 · Membro 0088
Ironicamente se o celular estiver brickado ele entra em modo edl automaticamente rsrs. Mas nunca consegui brickar o bicho eheh
25/10/2019 17:41 · Membro 0088
Se tiver o esquemático do aparelho talvez consiga ativar em edl tb, mas as vezes requer dessolda
25/10/2019 17:42 · Membro 0020
Esse EDL é mais marketing do que funcionalidade, o cabo até parece que veio direto da NASA kkkk

Origem 012 — 17/05/2020 18:45 a 18:45 — Free training and certification currently avaliable for April and May / / 1

17/05/2020 18:45 · Membro 0070
*****Free training and certification currently avaliable for April and May *****

1. Microsoft - Azure certification
https://lnkd.in/g4E6FfJ

2. AWS - All AWS technology
https://lnkd.in/fkcMAKg

3. IBM - All IBM technology
https://lnkd.in/gR4zq2W

4. Oracle University - Cloud Infrastructure and Autonomous Database
https://lnkd.in/fVBv9KT

5. Fortinet - NSE1 and NSE2
https://lnkd.in/gH7SCE9

6. Palo Alto - Networks
https://lnkd.in/gfj9f6h

7. Cisco - Cyber Security
https://lnkd.in/gwZBBPJ

8. Qualysguard - Vulnerabilty management
https://lnkd.in/fMHuKc4

9. Nessus - Vulnerabilty management
https://lnkd.in/gEvcJeh

10. SAN's - cyber security
https://lnkd.in/gexceQz

11. Homeland security - ICS Security
https://lnkd.in/g7G4Ebh

12. Coursera - Cloud courses
https://lnkd.in/fTCXqFm

13. Pluralsight - All Training
https://lnkd.in/djPvKDe

14. Sololearn - All Training
https://lnkd.in/fYHT27z

Origem 013 — 24/06/2020 12:06 a 12:07 — Extração e decodificação de bancos do WhatsApp

24/06/2020 12:06 · Membro 0033
<Mídia oculta>
WHATSAPP-MEDIA-DECRYPT.zip
24/06/2020 12:06 · Membro 0033
pessoal, conforme prometido.... segue script para descriptografar medias do whatsapp
24/06/2020 12:07 · Membro 0033
dentro do zip tem um txt contendo instruções de como utilizar
24/06/2020 12:07 · Membro 0033
caso tenham alguma dúvida s
24/06/2020 12:07 · Membro 0033
podem me mandar msg

Origem 014 — 08/07/2020 12:13 a 12:51 — Extração e análise de variantes do WhatsApp

08/07/2020 12:13 · Membro 0096
Pessoal, estou com um A10 aqui com GBWhatsApp. O 4PC não pegou na lógica avançada nem no backup, o que muitas vezes acontece, tampouco ofereceu downgrade.
Alguém tem ideia de uma alternativa pra não partir pra extração manual?
08/07/2020 12:17 · Membro 0117
Você pode tentar:
- verifica se na pasta do gbwhatsapp já não está salvo o msgstore.db em claro ou com a key
- senão, tenta fazer um backup nas configurações do Gbwhatsapp, ele deveria salvar estes arquivos de backup no próprio celular (por ser um mod ele não teria acesso a salvar no google drive)
08/07/2020 12:21 · Membro 0096
Beleza. A primeira ideia tentei e não está. A segundo vou ver. Obrigado!
08/07/2020 12:26 · Membro 0088
Tem uma opção pra fazer backup no gbwhatsapp
08/07/2020 12:26 · Membro 0088
Outra opção é se você tiver o chip fazer o esquema de recuperar a key
08/07/2020 12:47 · Membro 0045
O GBWhatsapp faz backup de toda sua base, depois disso o PA já reconhece e importa todo o conteúdo.
08/07/2020 12:51 · Membro 0096
Consegui mesmo 👏🏻👍🏻

Origem 015 — 22/07/2020 11:53 a 12:00 — Recuperação de arquivos apagados e carving

22/07/2020 11:53 · Membro 0117
Então, consegui fazer um dump parcial do userdata usando a rom baixada via multsync da multilaser. Vieram somente as imagens, nada de banco de dados.
22/07/2020 11:54 · Membro 0088
Isso no PA? Talvez ele não reconheceu a partição
22/07/2020 11:54 · Membro 0088
aí só tenha vindo imagem por conta de carving
22/07/2020 11:55 · Membro 0088
na verdade, os dados estando lá, quis dizer
22/07/2020 11:55 · Membro 0088
o sistema de arquivos aparece as pastas?
22/07/2020 11:55 · Membro 0117
Sim no PA. O dump no SPD demora e acaba resultando numa falha. Acredito que pegou só parte mesmo
22/07/2020 11:56 · Membro 0117
Não. Só no carving
22/07/2020 11:56 · Membro 0088
entendi, mas deve estar acontecendo isso tb, o PA não compreendeu o dump
22/07/2020 11:57 · Membro 0117
Sim, possivelmente. Já carreguei utilizando vários perfis e não mudou.
22/07/2020 11:58 · Membro 0088
pra ter certeza, faz uma busca na tora no dump
22/07/2020 11:58 · Membro 0088
por algum arquivo bem comum
22/07/2020 11:58 · Membro 0088
msgstore
22/07/2020 11:58 · Membro 0088
busca textual mesmo
22/07/2020 11:58 · Membro 0088
Talvez a ferramenta consiga ler?
22/07/2020 11:58 · Membro 0088
algum extrator?
22/07/2020 12:00 · Membro 0117
Nela não. Vou dar uma olhada no hex

Origem 016 — 04/12/2020 12:35 a 13:03 — Extração e decodificação de bancos do WhatsApp

04/12/2020 12:35 · Membro 0003
Acredite que seja possível alguns dados de aplicativos via Google drive, como subir a base de dados do WhatsApp para nuvem
04/12/2020 12:36 · Membro 0045
Bom dia [NOME], aqui pra mim ainda é bom dia, o Smart Switch Backup faz essa migração.
04/12/2020 12:37 · Membro 0003
https://www.androidauthority.com/switching-from-iphone-to-android-630665/
04/12/2020 12:37 · Membro 0003
Tem algumas sugestões no Google
04/12/2020 12:39 · Membro 0117
Não tem a opção backup? O Yowhatsapp mais recente tem uma opção de mods e dentro tem a opção de backup
04/12/2020 12:41 · Membro 0117
Não tenho nenhum aqui com esse, mas olhando essa imagem eu diria para olhar nessas opções
04/12/2020 12:41 · Membro 0096
Já revirei ele todo aqui. Negativo.
04/12/2020 12:42 · Membro 0096
Se eu desinstalo ele pra colocar outro, perco a KEY. Correto?
Será que consigo sobrescrever com algum outro, como YOWHATSAPP por exemplo?
04/12/2020 12:43 · Membro 0096
Se não pensei em... Caso o chip ainda esteja ativo, tentar abrir os database em um celular com root e jogar pro PA. O que acha?
O bicho tá lotado! Ir manualmente vai ser sofrível.
04/12/2020 12:45 · Membro 0096
Ou melhor dizendo, pegar o KEY com um celular rooteado e jogar no PÁ.
04/12/2020 12:48 · Membro 0128
É uma opção, pode usar uma máquina virtual ao invés do celular e acredito que com a Key e os bancos vc também consiga descriptografar pelo ForensicTools
04/12/2020 12:48 · Membro 0096
Que VM vc usa aí? Não tentei assim ainda. Só com celular msm.
04/12/2020 12:51 · Membro 0128
Dá para configurá-la para ser "rooteada" e vc extrai direto no pc (reconhece como adb)
04/12/2020 13:03 · Membro 0017
Obrigada meninos [MENCAO] e [MENCAO]

Origem 017 — 10/12/2020 17:30 a 17:56 — Extração e decodificação de bancos do WhatsApp

10/12/2020 17:30 · Membro 0096
Pessoal, boa tarde. Estou com um S10+ cujo WhatsApp está instalado, mas sei que o investigado o ativou em outro aparelho, então está naquela tela inicial com o botão CONCORDAR E CONTINUAR. Na pasta WHATSAPP no Armazenamento Interno há muitas fotos, áudios e vídeos.
Porém, a pasta DATABASES está vazia.
Existe alguma outra hipótese de os DB não estarem lá a não a ser por alguém ter apagado?
Eu fiz testes aqui e mesmo quando ativei o WhatsApp em outro aparelho ou mesmo desinstalei o WhatsApp do aparelho, as pastas, mídias e bancos de dados não são excluídos.
10/12/2020 17:31 · Membro 0096
Será que há alguma outro condição que faça os DB serem excluídos?
10/12/2020 17:52 · Membro 0048
Acredito que se vc for no gerenciador de aplicativos, escolher o Whatapp, armazenamento, apagar dados, some tudo
10/12/2020 17:52 · Membro 0048
nunca testei, mas geralmente em outros aplicativos apaga
10/12/2020 17:53 · Membro 0048
Apps -> Whatsapp -> Armazenamento -> Apagar Dados (Não sei como está no S10+)
10/12/2020 17:54 · Membro 0096
Pois é. Neste caso, as pastas de mídias estão lá lotadas. A pasta DATABASE existe, porém vazia.
10/12/2020 17:56 · Membro 0048
Mas a pasta de mídias fica em "mídia externa", e não sei se essa operação que fiz teria efeito em midia externa. Alguém teria que testar

Origem 018 — 28/01/2021 11:00 a 12:15 — Extração e análise de variantes do WhatsApp

28/01/2021 11:00 · Membro 0096
Pessoal, beleza? Bom dia.
Tenho recebido alguns aparelhos com GBWhatsApp sem a opção do backup completo. Vocês tbm?
Tem feito algo de diferente pra conseguir extrair?
28/01/2021 11:25 · Membro 0023
As ferramenta de extração por e-mail, disponibilizada pelos colegas, SPITools ou Extrator 0.4... pode ser uma alternativa.
28/01/2021 11:36 · Membro 0096
Pois é. A extração por e-mail e Extrator eu já usei aqui. Ainda toma tempo mas é uma alternativa.
O SPITools eu não conheço. Tbm não consegui achar aqui no histórico do grupo. Se conseguir mandar algum link pra eu aprender, agradeço.
28/01/2021 11:39 · Membro 0096
Esses GBWhatsApp que eu tenho visto recentemente mostra que é feito sobre um base oficial do WhatsApp versão XPTO.
Acham que pode dar certo eu desinstalar esse GBWhatsApp mantendo dados de usuário e instalar a versão base do WhatsApp oficial?
28/01/2021 11:39 · Membro 0088
Tens o chip ativo para o número desse GB?
28/01/2021 11:40 · Membro 0096
Ainda preciso conferir isso. A última vez foi a alternativa pra decodificação dos DB msm.
Mas tava pensando em uma alternativa independente de SIM.
28/01/2021 11:40 · Membro 0096
Como essa. Mas não sei se procede.
28/01/2021 11:46 · Membro 0088
É, não sei se dá certo, se seria reconhecido como um WhatsApp.
28/01/2021 11:47 · Membro 0088
Entre exportar por bluetooth ou e-mail, eu prefiro utilizar o chip, pois o database criptografado é uma prova mais sólida do que um monte de txt exportado, já q a key está vinculada ao número e ao db.
28/01/2021 11:48 · Membro 0088
sem contar no trabalhão q dá ficar exportando
28/01/2021 11:50 · Membro 0088
e acaba sendo menos invasivo, já q basta fazer uma extração de sistemas, preservando mais os dados do celular
28/01/2021 11:51 · Membro 0088
do q instalar e reinstalar whatsapp, etc
28/01/2021 11:52 · Membro 0096
Sim. Eu tenho um celular com root aqui. Vou testar essa de desinstalar e reinstalar. Vamos ver o que dá. Pelo menos pra curiosidade.
Pelo SIM tá garantido msm.
Valeu.
28/01/2021 12:11 · Membro 0023
Uma forma de reduzir um pouco a trabalheira é utilizar o android client view pra automatizar o processo. Um colega já disponibilizou um script em python nesse sentido.
28/01/2021 12:11 · Membro 0023
Dai adapta o script pra o do modelo do whatsapp
28/01/2021 12:13 · Membro 0088
Outra desvantagem de exportar é que mensagens possivelmente valiosas em dbs de dias anteriores não serão obtidas
28/01/2021 12:13 · Membro 0096
Desculpa se a pergunta é muito leiga, mas o que seria o Android Client View?
28/01/2021 12:14 · Membro 0023
É, tem as problemáticas do método, mas é um método que geralmente dá certo, quando nenhum outro dá certo... rs..
28/01/2021 12:15 · Membro 0023
https://github.com/dtmilano/AndroidViewClient
28/01/2021 12:15 · Membro 0023
É uma biblioteca em python que automatiza processos em dispositivos android..

Origem 019 — 13/04/2021 09:59 a 14:47 — Imagem forense de mídia protegida por BitLocker

13/04/2021 09:59 · Membro 0044
Bom dia! Estou com tablet Positivo Duo ZX3020 bloqueado por senha. Alguma dica de como realizar a extração?
13/04/2021 10:24 · Membro 0048
Acho que esse computador é windows com memória flash interna, logo, uma estratégia de extração é boot por pendrive/DVD com linux e fazer um dd da flash. É senha da bios? Truecrypt? Ou senha do windows?
13/04/2021 10:33 · Membro 0044
Senha do Windows
13/04/2021 10:44 · Membro 0048
Se tiver com *bitlocker*, aí complica mais (dados cifrados), ou faz *bruteforce*, ou tenta recuperar a senha no F8 do *boot*, ou com disco de recuperação do windows (na mesma versão do que tem na máquina), ou tenta achar a senha vazada pela *darkweb* ou bancos similares de senha, baseada no usuário.
13/04/2021 10:46 · Membro 0095
Tive uma experiência positivo a pouco tempo com Axiom....ele conseguiu descriptografar o bitlocker sem senha.... demorou, quase 30 dias para um disco de 250gb ....mas funcionou ..
13/04/2021 10:51 · Membro 0048
dependendo da versão do Bitlocker, o bruteforce é mais factível
13/04/2021 11:04 · Membro 0020
Caraca cara, deixei rodando por 25 dias e nada... Usou qual dicionário?
13/04/2021 11:06 · Membro 0048
Mais 5 dias, quem sabe dava certo...😆
13/04/2021 11:07 · Membro 0020
Vou fazer laudo complementar 🤫
13/04/2021 12:08 · Membro 0033
https://g1.globo.com/politica/noticia/2021/04/12/operacao-spoofing-pf-conclui-nao-ser-possivel-atestar-autenticidade-e-integralidade-de-mensagens.ghtml
13/04/2021 12:19 · Membro 0088
Bem, se for levar a rigor, em nenhuma mensagem das nossas perícias será possível afirmarmos ter autenticidade e integralidade, kkk. MAs daí a desconsiderarmos a prova... Espero que não aconteça isso.
13/04/2021 14:04 · Membro 0048
Previsível, pois teria que ter sido feita a comparação com as mensagens nos celulares. Só texto complica.
13/04/2021 14:06 · Membro 0003
Se o celular não tiver root, a possibilidade de adulteração é extremamente remota.
13/04/2021 14:11 · Membro 0003
Poderia talvez alterar a base de dados do whatsapp em um celular com root, direto na base da memória interna que não é criptografada, fazer o backup e colocá-lo em um novo celular sem root e recuperar a base de dados nele acessando a conta com o mesmo chip. Nesse caso a base estaria adulterada e sem suspeita. 😬
13/04/2021 14:12 · Membro 0117
Mas as mensagens não eram do telegram?
13/04/2021 14:20 · Membro 0003
Ah, a do caso eram sim do telegram, acredito que um blob de texto hackeado tem 0 possibilidade de por si só atestar a autenticidade. Estava cogitando a possibilidade de adulteração de mensagens periciadas direto do celular, com base no questionamento do Artur.
13/04/2021 14:22 · Membro 0088
Inclusive, muitas vezes há apenas prints de conversas (como no caso do Henry). Na qual facilmente um advogado poderia derrubar, só não derruba pq geralmente se encontram outros elementos que corroboram (como o novo depoimento da babá).
13/04/2021 14:24 · Membro 0088
Já banco de dados de whatsapp aumenta a força da prova, mas ainda assim não é a prova de bala, como por exemplo a situação de root mencionada
13/04/2021 14:30 · Membro 0003
A base de dados é como o DNA, não é 100% segura, mas a chance de não ser é tão pequena que é aceita como verdade
13/04/2021 14:45 · Membro 0088
pois é. Até um print pode ser altamente relevante, havendo outros elementos para corroborar.
13/04/2021 14:47 · Membro 0130
Esse print pode ser considerado como uma adulteração de prova, não pode?!

Origem 020 — 24/05/2021 11:40 a 13:32 — Extração e decodificação de bancos do WhatsApp

24/05/2021 11:40 · Membro 0038
Bom dia a todos. Estou com um LGk12+ que não habilita o modo desenvolvedor. Alguém pode me dar uma luz??
24/05/2021 12:00 · Membro 0105
Como vc esta tentando habilitar?
24/05/2021 12:00 · Membro 0038
já busquei assistencia técnica da LG e nada
24/05/2021 12:01 · Membro 0038
Menu principal, Configurações, Sobre o telefone, Informações do software, tocar em Criar número
ativar o Modo Desenvolvedor
24/05/2021 12:02 · Membro 0038
eles instalaram um app que exibe atalhos para os comandos do Android...
24/05/2021 12:02 · Membro 0038
é como se estivesse bloqueado por um programa
24/05/2021 12:03 · Membro 0038
pelo menos não achei
24/05/2021 13:31 · Membro 0088
Pessoal, caso vocês enfrentem problemas com os dbs crypt*14* do WhatsApp mais recente, o WhatsApp Viewer foi atualizado recentemente, dando suporte ao novo formato. Útil para quem não tiver um PA atualizado 👍🏻
24/05/2021 13:31 · Membro 0088
Suponho que o PA já esteja dando suporte, correto?
24/05/2021 13:32 · Membro 0088
https://github.com/andreas-mausch/whatsapp-viewer/releases/tag/v1.14

Origem 021 — 17/06/2021 20:11 a 20:23 — Extração e decodificação de bancos do WhatsApp

17/06/2021 20:11 · Membro 0054
Caros, boa noite. Só compartilhando o resultado de um teste que venho fazendo há algum tempo, e agora, acabo de ter um bom resultado.

Tratam-se dos casos em que o WhatsApp fora anteriormente desinstalado, mas os databases .crypt12 continuam no armazenamento interno (/media/WhatsApp/Databases/). Nesses casos, ou o P. A. não retorna nenhuma mensagem, ou retorna apenas aquelas obtidas via carving.

Neste último teste, fiz uma busca em um dump físico de um celular, usando os primeiros 30 bytes relativos à chave do WhatsApp (arquivo "key"), que venho notado como sendo padrão (destacados na foto seguinte). A key tem comprimento total de 158bytes (0x9E).

Salvando esse trecho de 158B em um arquivo "key", e rodando o plug-in do PA (Android WhatsApp Standalone W/ Prov. Key), ele passou a interpretar as bases .crypt12 presentes no aparelho, e as mensagens foram inclusas no projeto.
17/06/2021 20:18 · Membro 0088
isso, perfeito! Venho fazendo quando o dump físico por algum bug do meu PA antigo não reconhece o sistema de arquivos corretamente ou quando a Key não existe mais, mas algumas vezes o dump ainda tem o resquício da key.
17/06/2021 20:19 · Membro 0088
Nesse caso essa área da memória tá para algum arquivo?
17/06/2021 20:21 · Membro 0054
Bacana!
Vinha xeretando nisso há tempos, mas não tinha sorte em coincidir com a key correta.
17/06/2021 20:22 · Membro 0088
Eu geralmente só busco alguns bytes na mão mesmo
17/06/2021 20:22 · Membro 0003
Em 2016 eu passei umas 2 semanas com um caso assim. Busquei o hexa inicial da chave mas não tive sucesso de jeito nenhum. Acho que foi porque o celular tinha só uns 100 megas livres e a chave [SEGREDO] sobrescrita.
17/06/2021 20:23 · Membro 0003
Na época percebi que os arquivos .nomedia também continham os bits iniciais da chave.
17/06/2021 20:23 · Membro 0088
Mas vem muito falso positivo
17/06/2021 20:23 · Membro 0003
Os .nomedia que ficavam nas pastas do whatsapp.

Origem 022 — 17/06/2021 20:55 a 22:05 — Extração e limitações em dispositivos Motorola

17/06/2021 20:55 · Membro 0048
Se essas keys repetem um prefixo, será que a força bruta seria mais facil com essa redução de bits da chave. Ou esse prefixo não faz parte da chave aes?
17/06/2021 21:10 · Membro 0088
Acho q não fazem parte os primeiros bytes
17/06/2021 21:10 · Membro 0088
Pq acho q todas as keys crypt12 vem assim no comeco
17/06/2021 21:11 · Membro 0088
Deve ser algum outro dado
17/06/2021 21:14 · Membro 0088
Talvez no crypt14 esse trecho já seja diferente
17/06/2021 21:15 · Membro 0071
https://github.com/leosol/whatsapp-key-carver
17/06/2021 21:16 · Membro 0071
Pessoal, a gente no DF notou que a melhor maneira de achar a chave apagada é por meio dessa estrutura. Fizemos esse carver em 2019 e usamos bem antes disso em casos reais...
17/06/2021 21:16 · Membro 0071
lamento que não tenha chegado ao conhecimento de vcs anteriormente
17/06/2021 21:16 · Membro 0071
compartilhei isoladamente com um e com outro mas nunca abertamente...
17/06/2021 21:17 · Membro 0071
enfim... amanhã compartilho os fontes
17/06/2021 21:17 · Membro 0071
a mudança foi só no algoritmo
17/06/2021 21:17 · Membro 0071
a cada dia, usamos menos o carver, por causa do FBE
17/06/2021 21:18 · Membro 0042
Top D+.
Me tira uma duvida, o dispositivo possuía algum tipo de cifragem? FDE ou FBE
17/06/2021 21:28 · Membro 0088
Ainda não usei. Mas não entendi, eu deveria ter compartilhado aqui?
17/06/2021 21:30 · Membro 0071
de forma alguma!! me expressei mal. perdão. é que eu lamento que a gente no DF não tenha tornado mais público, mas enfim...
17/06/2021 21:31 · Membro 0088
Vocês do DF estão sempre à frente, venho aprendendo muito!
17/06/2021 21:32 · Membro 0088
Seus scripts pra motorola xt10... e xt15.. já me salvaram muitas vezes eheh
17/06/2021 21:33 · Membro 0071
grupo aqui tá forte! 💪
17/06/2021 21:42 · Membro 0088
é bom inclusive fazer esses carvings mesmo quando está instalado o zap, verificando se algum crypt12 ficou sem descriptografar (no PA é representado pelo ">" ao lado do crypt12, ao menos na versão 7.8.0)
17/06/2021 21:42 · Membro 0088
Toda vez q rola uma nova instalação sem restauração
17/06/2021 21:42 · Membro 0088
*sem restauração de backup
17/06/2021 21:43 · Membro 0088
e aí pode acontecer de alguns crypt12 descriptografar (o da key do zap atual)
17/06/2021 21:43 · Membro 0088
e outros no mesmo dump não
17/06/2021 22:04 · Membro 0071
o banco tb segue um padrão...
17/06/2021 22:05 · Membro 0054
Bem isso, mesmo.
Esses crypt12 não decodificados com a key vigente vão parar todos na seção “Uncategorized” do PA, e passam batidos..
17/06/2021 22:05 · Membro 0071
é necessário um banco de amostra

Origem 023 — 25/06/2021 08:49 a 08:53 — Extração e decodificação de bancos do WhatsApp

25/06/2021 08:49 · Membro 0071
<Mídia oculta>
Pessoal, uma sequência de bytes bem grande (30 bytes) se repete nos arquivos key - de recuperação do backup do whatsapp.
25/06/2021 08:49 · Membro 0071
https://github.com/leosol/whatsapp-key-carver
25/06/2021 08:50 · Membro 0071
dado o próprio tamanho da sequência, é meio difícil que o programa retorne muitos falsos positivos
25/06/2021 08:50 · Membro 0071
quando rodo, resulta em 0, 1 ou 2 chaves
25/06/2021 08:50 · Membro 0071
(que muitas vezes são chaves mesmo - de outras configurações do whatsapp)
25/06/2021 08:51 · Membro 0071
para rodar:
.\whatsapp-carver.exe MMCBLK0.dd
(*obs*: não esquecer de colocar a dll do cygwin na mesma pasta do exe - usei POSIX 😅)
25/06/2021 08:53 · Membro 0071
usei uma chave bem antiga de 2018 e outra gerada ontem mesmo com a atualização do whatsapp mais recente

Origem 024 — 25/06/2021 17:34 a 19:29 — Extração e decodificação de bancos do WhatsApp

25/06/2021 17:34 · Membro 0117
Boa tarde. Fizemos uma extração downgrade de um Samsung j810m onde o msgstore.db está acusando como corrompido. Já tentamos no ufed e no xry e temos o mesmo resultado. Além disso, já tentamos pegar o backup crypy14 e a key [SEGREDO] pelo WhatsApp viewer e também não funciona. Me parece que a data base estaria realmente corrompida, apesar que manualmente nós conseguimos visualizar as mensagens no aplicativo (não verifiquei todas as conversas)
25/06/2021 17:56 · Membro 0048
https://www.github.com/B16f00t/whapa/tree/master/libs%2Fwhacipher.py
25/06/2021 17:57 · Membro 0088
O whatsapp viewer mais recente é compatível também
25/06/2021 17:57 · Membro 0048
Parece que existem versões diferentes
25/06/2021 17:58 · Membro 0048
um colega aqui da SPI/PCDF (Augusto) fez uma correção
25/06/2021 17:58 · Membro 0048
https://github.com/B16f00t/whapa/issues/113
25/06/2021 17:58 · Membro 0048
augustoraphael commented 9 days ago
As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:

data = db_data[191:]
iv = db_data[67:83]

#96 (comment)

The above suggestion must be considered in the solution.
25/06/2021 18:05 · Membro 0117
Vamos testar. Muito obrigado
25/06/2021 18:26 · Membro 0071
Da pra ver que uma pessoa comenta na issue que fez um brute-force
25/06/2021 18:27 · Membro 0071
variando os parâmetros da key (posição dentro da parte útil da key), levando 1 dia aproximadamente
25/06/2021 18:27 · Membro 0071
ao final, outra pessoa comenta que as posições sugeridas não deram certo
25/06/2021 18:28 · Membro 0071
bug do WhatsApp? modificaram o encrypt e esqueceram do decrypt?
25/06/2021 18:28 · Membro 0071
testei aqui, gerei o backup, o WhatsApp reconhece mas deu erro ao decriptar
25/06/2021 18:28 · Membro 0071
gerei o backup -> desconectei e reconectei a conta
25/06/2021 18:31 · Membro 0071
vou juntar tudo aqui para postar na issue
25/06/2021 19:28 · Membro 0071
pessoal, testei com W4b e Whatsapp padrão, versões 2.21.12.21 (whatsapp e w4b)
25/06/2021 19:28 · Membro 0071
deu certo com a sugestão do augusto e com a turma da issue
25/06/2021 19:28 · Membro 0071
decryptou o crypt14
25/06/2021 19:29 · Membro 0071
só fazer esse ajuste mesmo:

_As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:

data = db_data[191:]
iv = db_data[67:83]_

Origem 025 — 30/06/2021 20:24 a 21:18 — Extração e análise de variantes do WhatsApp

30/06/2021 20:24 · Membro 0009
Samsung J415G/DS (Galaxy J4 Plus) com WhatsApp e GBWhatsApp.
30/06/2021 20:25 · Membro 0009
GBWhatsApp veio com a Lógica Avançada.
30/06/2021 20:27 · Membro 0009
<Mídia oculta>
Tela ao abrir o WhatsApp.
30/06/2021 20:28 · Membro 0009
E o WhatsApp veio com a Sistema de Arquivos.
30/06/2021 20:38 · Membro 0009
Tava com sorte 🤦🏻‍♂️🤣🤣🤣
30/06/2021 21:18 · Membro 0054
Pelo menos em algumas versões do YoWhatsApp, eles operavam através de uma cópia decodificada do msgstore.db. Nesse caso, eram acessíveis via dump de filesystem (e advanced logical).

Talvez ocorra algo análogo com esse GBWhatsApp.

Origem 026 — 01/07/2021 11:25 a 12:24 — Extração e decodificação de bancos do WhatsApp

01/07/2021 11:25 · Membro 0020
Parabéns [MENCAO], peguei aqui um caso em que o PA não extraiu nenhuma mensagem WhatsApp. Rodei o programa e ele encontrou apenas uma chave. Rodei o plug in dentro do PA com a chave [SEGREDO] e mesmo assim continuou sem exibir nada. Olhei dentro do sistema de arquivos e vi que o aparelho possui vestígios de instalação de 5 versões diferentes do WhatsApp (todas crypt12). Usando o aplicativo WhatsApp viewer fui testando a chave em cada uma das databases e a chave decriptografou uma das bases com bastante coisa relevante. 👏🏼👏🏼👏🏼
01/07/2021 11:32 · Membro 0054
Boa!👏👏👏

Tive esse mesmo problema no PA 7.42.
Mas no 7.45, aqui o script populou a seção Chats/WhatsApp, sem problemas.
01/07/2021 11:33 · Membro 0020
estou rodando o PA 7.46.0.64
01/07/2021 11:33 · Membro 0020
depois vou fazer o teste com aversão anterior
01/07/2021 11:45 · Membro 0071
puxa, que ótimo!! obrigado pelo feedback!!
01/07/2021 11:50 · Membro 0071
<Mídia oculta>
Talvez ajude dar uma olhada no crypt12 com um editor HEX. Os dois últimos bytes são os 2 últimos números do celular. Assim vc exclui aquele backup eventualmente feito com outro número. Não sei se ajuda muito no seu caso... mas eventualmente pode ser útil...
01/07/2021 11:51 · Membro 0071
<Mídia oculta>
infelizmente tiraram isso do crypt14... 😅
achava bom...
01/07/2021 11:57 · Membro 0020
IMG-20210701-WA0026.jpg (arquivo anexado)
01/07/2021 11:59 · Membro 0020
Database de um tal de YoWhatsApp
01/07/2021 11:59 · Membro 0020
A luta agora é fazer os dados aparecerem dentro do PA
01/07/2021 12:02 · Membro 0048
Imita a estrutura de diretório do zap colocando o msg no databases e o key no files que dev funcionar
01/07/2021 12:07 · Membro 0003
tem um script de importação do PA, já tentou usar?
01/07/2021 12:07 · Membro 0003
quando roda ele pede a chave
01/07/2021 12:08 · Membro 0003
Script para decriptar a base do WhatsApp
01/07/2021 12:19 · Membro 0048
Tem esse plugin mesmo
01/07/2021 12:20 · Membro 0020
Foi esse que rodei, mas acredito que ele tá tentando usar a chave recuperada na database errada, pois após execução ele não mostra nenhuma conversa WhatsApp
01/07/2021 12:23 · Membro 0048
Melhor fazer num projeto separado avulso
01/07/2021 12:24 · Membro 0048
Só com o database alvo e a s midias

Origem 027 — 19/07/2021 11:19 a 11:58 — Extração e decodificação de bancos do WhatsApp

19/07/2021 11:19 · Membro 0105
Sabe informar qual kernel?
19/07/2021 11:21 · Membro 0071
Android 9, Kernel 3.18.120
19/07/2021 11:21 · Membro 0071
ou decrypting qualcom, alguém já fez?
19/07/2021 11:22 · Membro 0105
Esse kernel é muito difícil fazer. Principalmente patch atualizado
19/07/2021 11:29 · Membro 0105
Esses decrypt não são via EDL?
19/07/2021 11:30 · Membro 0071
decrypting via EDL
19/07/2021 11:30 · Membro 0071
alguém já fez nos Moto G6?
19/07/2021 11:36 · Membro 0048
Já peguei um com patch atual e ele travava na extração. Não consegui.
19/07/2021 11:37 · Membro 0117
Não faz, chipset com suporte limitado. Além disso G6 já é FBE.
19/07/2021 11:40 · Membro 0048
Ouvi dizer que dá para desbloquear os xt1922 usando o perfil do lg-d821 no ufed, "remove screen lock". Mas nunca tentei
19/07/2021 11:50 · Membro 0023
<Mídia oculta>
Alguém sabe o que significa esse scrambled?
19/07/2021 11:50 · Membro 0023
As mensagens aparecem todas fora de ordem… parece que o cara tá imitando o mestre Yoda…
19/07/2021 11:54 · Membro 0117
Está explicado em um release do PA
19/07/2021 11:55 · Membro 0117
Essas mensagens são doutra database do WhatsApp em iPhones. Ele consegue saber que é de uma mesma mensagem, mas não a ordem das palavras
19/07/2021 11:56 · Membro 0117
Decoding of Scrambled messages (WhatsApp FTS ChatSearchV5fDB)
The decoding of WhatsApp messages recovered fromChatSearchV5f database is now supported. This is a
new source for WhatsApp messagesfor indexing messages data for quick search.
In ChatSearchV3 – the words inside the text body are ordered correctly.
InChatSearchV5f - the words are not necessarily ordered correctly and therefore cannot be re-ordered.
Recovering these “Scrambled messages’ still bring value.
For example, if a suspect sent "I will kill you” message, we would still see value recovering that message
even if body is "Kill I will you".
‘Scrambled messages’ will be indicated with a label.
19/07/2021 11:58 · Membro 0023
Entendi, perfeito. Obrigado.

Origem 028 — 10/09/2021 17:01 a 17:01 — Recuperação e decodificação de bancos do WhatsApp

10/09/2021 17:01 · Membro 0054
https://techcrunch.com/2021/09/10/whatsapp-encrypt-cloud-backup/

Origem 029 — 22/10/2021 11:18 a 11:18 — Aparentemente apenas nos casos em que a chave

22/10/2021 11:18 · Membro 0042
https://olhardigital.com.br/2021/10/20/seguranca/ferramenta-gratuita-pode-descriptografar-arquivos-atacados-por-ransomware/
22/10/2021 11:18 · Membro 0042
https://github.com/SpiderLabs/BlackByteDecryptor
22/10/2021 11:18 · Membro 0042
aparentemente apenas nos casos em que a chave [SEGREDO] , mas, já é um caminho!

Origem 030 — 11/11/2021 10:42 a 10:55 — Extração e decodificação de bancos do WhatsApp

11/11/2021 10:42 · Membro 0088
Amigos, bom dia! Haveria alguma ferramenta de merge de dbs de whatsapp além do forensictools e whamerge do whapa?
11/11/2021 10:43 · Membro 0088
Ambos estão com alguns problemas em fazer merge na versão mais recente dos dbs
11/11/2021 10:43 · Membro 0071
o UFED PA, 😅
na teoria...
mas ele não está fazendo merge de crypt14...
tá foda...
11/11/2021 10:43 · Membro 0071
acho que não pegaram o lance da chave que mudou...
11/11/2021 10:44 · Membro 0071
alguém avisa a turma na cellebrite 🙏
11/11/2021 10:44 · Membro 0088
nossa, a versão recente do PA está sem fazer?
11/11/2021 10:45 · Membro 0071
acho que não... pelo menos não consegui...
alguém mais no grupo teria notado o PA decriptando crypt14 e fazendo merge?
11/11/2021 10:45 · Membro 0088
o Axiom parece q faz, mas não gostei muito daquela interface... e ele não exportar um .db merged, só exibe
11/11/2021 10:45 · Membro 0071
o whapa tem travado...
11/11/2021 10:46 · Membro 0088
pois é, tava olhando o código em python, é porque estão usando colunas e tabelas com nomes antigos
11/11/2021 10:46 · Membro 0071
processei os ultimos com o IPED...
11/11/2021 10:46 · Membro 0088
mudou muita coisa, tou tentando reescrever o código
11/11/2021 10:46 · Membro 0048
No release notes do 7.49 diz que corrigiram o "WhatsApp backup not decrypted with key", mas não testei para ver se tem haver com crypt14
11/11/2021 10:46 · Membro 0088
só q apareceu uma dúvida
11/11/2021 10:47 · Membro 0088
o whamerge está focando apenas em algumas tabelas
11/11/2021 10:47 · Membro 0088
pelo q entendi tem várias tabelas que ele não junta
11/11/2021 10:47 · Membro 0088
pega do db mais recente
11/11/2021 10:47 · Membro 0088
não sei se é pq é garantido q no db mais recente vem tudo, mas acho q n....
11/11/2021 10:49 · Membro 0071
vou conferir assim que tiver um caso...
caramba... demorou isso hein 🤦‍♂️
11/11/2021 10:49 · Membro 0088
o whamerge só faz merge das tabelas messages, chatlist, quote e thumbnail
11/11/2021 10:51 · Membro 0088
kkk eu detesto mexer com db, não é meu forte, mas tô tentando aqui
11/11/2021 10:51 · Membro 0088
pq nosso PA é de 2018 ainda 🤦🏻‍♂️
11/11/2021 10:52 · Membro 0088
pelo menos o codigo [SEGREDO] simples
11/11/2021 10:52 · Membro 0088
mas estou sem entender o pq do código ignorar as outras tabelas, será q não precisa?
11/11/2021 10:52 · Membro 0088
são muitas tabelas, ele só foca em 4
11/11/2021 10:54 · Membro 0071
acho que o objetivo é apenas remontar o banco, sem torná-lo funcional... ou seja, se jogar o banco _merged_ no app, ele deve dar algum problema... provavelmente o motivo é pouca gente para dar manutenção...
11/11/2021 10:55 · Membro 0088
é, faz sentido. No nosso caso é importante tudo.

Origem 031 — 18/01/2022 21:42 a 21:49 — Bootloader, desbloqueio OEM e risco de wipe

18/01/2022 21:42 · Membro 0105
Qual método ele forneceu? Seria o lock pick?
18/01/2022 21:43 · Membro 0105
Esse modelo é chipset MTK, então talvez consiga fazer via aquelas opções de MTK generico via bootloader. Como não sei se é crypto, tentaria primeiro as opções não crypto e depois a opção crypto.
18/01/2022 21:43 · Membro 0105
Talvez ele seja Android 7, então pode ainda nao ser crypto
18/01/2022 21:44 · Membro 0105
Essas marcas diferentes das tradicionais costumam estender bastante as versões do Android sem crypto
18/01/2022 21:45 · Membro 0105
Nesse seria a física.
18/01/2022 21:46 · Membro 0105
Se não foi apresentado lock pick no perfil dele, procure no perfil android generic e tente esse método, visto que o eq tem suporte a OTG
18/01/2022 21:46 · Membro 0091
Cabo 500 e 501
18/01/2022 21:46 · Membro 0105
Qual erro foi apresentado?
18/01/2022 21:46 · Membro 0091
Vou tentar amanhã!
18/01/2022 21:47 · Membro 0105
Tentou apenas 1 vez?
18/01/2022 21:47 · Membro 0091
O interessante do caso q é de 2014
18/01/2022 21:47 · Membro 0105
Então não deve ter sucesso mesmo.
18/01/2022 21:48 · Membro 0091
Achei q seria super rápido
18/01/2022 21:48 · Membro 0105
Aquelas opções de fisica bootloader podem te salvar então
18/01/2022 21:48 · Membro 0105
Como última tentativa, ainda tem aquele software SP flash tools, mas nesse caso apenas se não for crypto
18/01/2022 21:48 · Membro 0091
Vou tentar [MENCAO] !
18/01/2022 21:49 · Membro 0091
Aviso se conseguir! 👊🏽

Origem 032 — 09/02/2022 11:56 a 13:52 — Extração e análise de variantes do WhatsApp

09/02/2022 11:56 · Membro 0015
<Mídia oculta>
Imagem 1 (GbWhatsApp)
09/02/2022 11:56 · Membro 0015
bom dia, gostaria de compartilhar com os colegas um caso de incosistencia de datas no aplicativo GbWhatsApp (imagem 1) e informações especificadas da mensagens (opção Dados - imagem 2). Utilizei tambem o EXTRATOR, e coincidiu com as informações da imagem 2.
09/02/2022 11:56 · Membro 0015
<Mídia oculta>
Imagem 2 (dados da mensagem)
09/02/2022 11:57 · Membro 0015
Existem 10 dias de diferença entre as datas.
09/02/2022 11:57 · Membro 0015
Alguem já tinha visto isso ou tem alguma explicação?
09/02/2022 12:08 · Membro 0139
Data do dispositivo na hora do envio das mensagens?
09/02/2022 12:14 · Membro 0015
Não tenho essa informação
09/02/2022 12:15 · Membro 0015
mas o crime investigado aconteceu de fato no dia 23 de agosto
09/02/2022 13:52 · Membro 0020
Bem, não sei se é o caso.... existe a data que a mensagem foi entregue ao servidor do whatsapp e existe outra data em que ela foi recebida efetivamente recebida no aparelho (data em que o aparelho foi conectado a internet) precisa analisar o banco de dados

Origem 033 — 16/02/2022 07:36 a 07:36 — Extração e decodificação de bancos do WhatsApp

16/02/2022 07:36 · Membro 0042
<Mídia oculta>
Manual_Extracao_SIGNAL.pdf
16/02/2022 07:36 · Membro 0042
Olá meus caros amigos, neste tutorial vamos aprender a extrair e descriptografar a base de dados do aplicativo SIGNAL, que ao contrário dos demais apps, como Whatsapp e Telegram, este mantém o seu banco de dados local (signal.db) criptografado em modo AES-GCM, ou seja, mesmo que seja possível coletar tal base através de uma coleta física (ROOT) ou lógica (DOWNGRADE), nada poderá ser feito enquanto ela não for descriptografada.

Para Android, temos que obter três valores para descriptografar o banco de dados, o primeiro é o valor da chave que está no arquivo USERKEY_SignalSecret em formato HEXADECIMAL, localizado na KEYSTORE do dispositivo (VAMOS EXTRAIR SEM ROTEAR O DISPOSITIVO), vamos burlar e obter essa chave de um outro modo.

Já os demais valores estão presentes no arquivo XML org.thoughtcrime.securesms_preferences.xml, localizado na pasta raiz do Signal, sendo eles o TEXTO CIFRADO com AUTHTAG (Tag de autenticação) + IV, todos no formato BASE64.

Antes de iniciarmos de fato as aquisições devemos entender que o MAIOR DESAFIO está em extrair a chave HEXADECIMAL localizada na KEYSTORE do dispositivo, neste caso é necessário que o profissional realize o procedimento de ROOT para assim ter acesso a todo sistema operacional do aparelho, no entanto sabemos que atualmente, além dos riscos de danificar o dispositivo, as tentativas de realizar esse procedimento em dispositivos mais novos tem falhado...

Origem 034 — 01/07/2022 08:57 a 08:59 — Recuperação e decodificação de bancos do WhatsApp

01/07/2022 08:57 · Membro 0015
Bom dia. Qual o site quem tem as ferramentas de solução (quando existe ) para ransomware dependendo do tipo ?
01/07/2022 08:59 · Membro 0048
Bom dia.
Essas empresas de antivirus geralmente têm uma área de ferramentas de descriptografia.
https://www.avast.com/pt-br/ransomware-decryption-tools#pc
https://noransom.kaspersky.com/
e outras....
01/07/2022 08:59 · Membro 0095
https://www.nomoreransom.org/pt/index.html

Origem 035 — 21/07/2022 12:11 a 12:30 — Extração e compatibilidade em Samsung SM-A526B

21/07/2022 12:11 · Membro 0125
No nosso banco de dados aqui, já houve sucesso com android 9
21/07/2022 12:12 · Membro 0125
Não sei se estou errando em alguma configuração, pois tbém não consegui remover a tela inicial dele. Sempre quando ele reinicia, fica uma tela onde preciso deslizar para ir para a tela inicial. Já mexi em todas as configurações e não consigo tirar isso. E também não sei se é isso q está causando o insucesso
21/07/2022 12:19 · Membro 0105
Olá. Qual versão do seu Touch?
E qual versão do kernel desse seu xiaomi?
21/07/2022 12:20 · Membro 0125
4PC 7.57
Kernel 4.4.192-perf-g6859189
21/07/2022 12:23 · Membro 0105
Verificar se não é um bug nessa versão, pois deveria funcionar.
21/07/2022 12:25 · Membro 0147
Bom dia a todos os amigos
21/07/2022 12:26 · Membro 0147
SM-A526B
21/07/2022 12:26 · Membro 0125
Pelo modelo M1808?
21/07/2022 12:26 · Membro 0147
Tem algum desbloqueio pelo ufed
21/07/2022 12:26 · Membro 0105
Pode usar o gnerico tbm. É a mesma coisa.
21/07/2022 12:27 · Membro 0105
Não. É um Samsung Qualcomm. Então sem opção.
21/07/2022 12:30 · Membro 0147
Perfeito [NOME] muito obrigado amigo

Origem 036 — 19/08/2022 08:02 a 08:23 — Extração e decodificação de bancos do WhatsApp

19/08/2022 08:02 · Membro 0058
Bom dia, pessoal.

Todas as minhas extrações físicas não estão recuperando WhatsApp. Já aconteceu com algum de vcs?
19/08/2022 08:02 · Membro 0058
pelo ufed
19/08/2022 08:04 · Membro 0058
existe o aplicativo e existe o msgstore.db, mas o physical analyzer não traz a opção no menu
19/08/2022 08:17 · Membro 0109
Teve mudança no esquema do banco de dados do Whatsapp, que foi alterado no PA 7.56. Se tiver usando uma versão anterior não vai pegar.
19/08/2022 08:22 · Membro 0058
Então, estou na versão 7.57
19/08/2022 08:23 · Membro 0058
estou tendo que rodar o plugin Android Whatsapp Standalone pra conseguir trazer no menu. iOS que complica

Origem 037 — 03/11/2022 10:20 a 10:53 — Extração e decodificação de bancos do WhatsApp

03/11/2022 10:20 · Membro 0033
Pessoal, bom dia! Conforme combinado, segue o link https://1drv.ms/u/s!AuHaDfORR1hLhdVZF_wAtgC3bBZArA?e=s4eVwZ do script de recuperação de arquivos de mídia do wa. Qualquer dúvida só me mandar msg
03/11/2022 10:28 · Membro 0071
o whatsapp-decrypt-media.exe foi vc quem fez?
03/11/2022 10:29 · Membro 0033
não, eu utilizo ele no script
03/11/2022 10:49 · Membro 0088
Bom dia! Samsung A01 desbloqueado
03/11/2022 10:49 · Membro 0088
alguma forma de EDL ou outro modo de extrair mais do que ADB? FBE?
03/11/2022 10:53 · Membro 0117
A015 ou a013 ?
03/11/2022 10:53 · Membro 0088
A015

Origem 038 — 05/05/2023 01:36 a 01:36 — ✨✨✨Melhores Certificações de Segurança Cibernética (GRATUITAS) (Atualizado !!!) ✨✨✨ / / / ✅1

05/05/2023 01:36 · Membro 0147
✨✨✨Melhores Certificações de Segurança Cibernética (GRATUITAS) (Atualizado !!!) ✨✨✨


✅1. Introduction to Cybersecurity: https://lnkd.in/ghQY8cKA
✅2. Cybersecurity Essentials: https://lnkd.in/gZe6bf-t
✅3. Networking Essentials: https://lnkd.in/gjipDpgG
✅4. Intro to Information Security by Udacity: https://lnkd.in/ggdYxnUp
✅5. Network Security by Udacity: https://lnkd.in/gSHx2tJQ
✅6. NSE 1,2 & 3: https://lnkd.in/gsQJhn2a
✅7. Information Security by OpenLearn: https://lnkd.in/gvfghKNs
✅8. Network Security by OpenLearn: https://lnkd.in/gS2KWNfN
✅9. Risk Management by Open Learn: https://lnkd.in/gGPTDU2g
✅10. Certified in Cybersecurity℠ - CC: https://lnkd.in/gW3w8Jqu
✅11. CCNA Security Courses: https://lnkd.in/gfby3CR2
✅12. Network Defense Essentials (NDE): https://lnkd.in/g6mRKt2t
✅13. Ethical Hacking Essentials (EHE): https://lnkd.in/gRBGCud7
✅14. Digital Forensics Essentials (DFE): https://lnkd.in/gPrkYcDH
✅15. Dark Web, Anonymity, and Cryptocurrency: https://lnkd.in/gUrCCGdf
✅16. Digital Forensics by Open Learn: https://lnkd.in/gdv8emgt
✅17. AWS Cloud Certifications (Cybersecurity) : https://lnkd.in/gaDGWdkm
✅18. Microsoft Learn for Azure: https://lnkd.in/gDpkXiik
✅19. Google Cloud Training: https://lnkd.in/get8rnkh
✅20. Android Bug Bounty Hunting: Hunt Like a Rat: https://lnkd.in/gMNT8saN
✅21.Vulnerability Management: https://lnkd.in/gvNKJnni
✅22. Software Security: https://lnkd.in/gG4P5bkn
✅23. Developing Secure Software: https://lnkd.in/gQRwTzKU
✅24. PortSwigger Web Hacking - https://lnkd.in/eEa-fNfu
✅25. RedTeaming - https://lnkd.in/et_T2DEa
✅26. Splunk - https://lnkd.in/et5bkjeY
✅27. Secure Software Development - https://lnkd.in/ebGpA4wG
✅28. Maryland Software Security - https://lnkd.in/e3z4zFmJ
✅29. Stanford Cyber Resiliency - https://lnkd.in/eg9BM5Bv
+++
15 Free CISA Courses
https://lnkd.in/gH58PAFP

Origem 039 — 05/05/2023 10:22 a 10:36 — Extração e decodificação de bancos do WhatsApp

05/05/2023 10:22 · Membro 0088
Sugiro então verificar no PA na mensagem bugada qual a fonte que ele usou, para ver qual msgstore.db ele pegou, se foi o do data/data/com.whatsapp ou de algum crypt14 dos databases, e verificar se o .db utilizado está indexando corretamente
05/05/2023 10:34 · Membro 0164
Pegou do /apps/com.whatsapp/db/msgstore.db
05/05/2023 10:36 · Membro 0088
é... tanatoscopia nesse msgstore aí, abre as tripas dele e vê se tem buraco de bala nesse negócio aí...

Origem 040 — 03/06/2023 09:43 a 10:28 — Extração e decodificação de bancos do WhatsApp

03/06/2023 09:43 · Membro 0021
Os criminosos são criativos.
03/06/2023 09:46 · Membro 0071
Me dá uma agonia quando alguém fala sobre tecnologia como se fosse algo mágico, sem dar nenhum detalhe técnico...
no rádio, tv e em qualquer canto tá cheio de geólogos, filósofos, advogados falando de TI dessa forma
olha que ainda rende visualizações...
nego repete que isso ou aquilo tem o poder de realizar técnicas mágicas hacker sem nem fazer um teste básico
cruzes
03/06/2023 10:26 · Membro 0166
Programação pra Android tá na minha lista de aprendizados 😂😂
03/06/2023 10:26 · Membro 0166
Mas o que eu já li, e ainda nao programei/testei, é que um app não consegue ler dados de outro app né
03/06/2023 10:27 · Membro 0166
Ou seja, nao adianta eu criar um app e tentar ler por exemplo a /data/data/com.whatsapp/databases
03/06/2023 10:28 · Membro 0166
Imagina que super poderoso isso que ele falou no vídeo...teria que ler toda a estrutura da /data/data e ainda saber onde fica cada senha [SEGREDO] fica armazenada

Origem 041 — 02/08/2023 22:23 a 22:24 — Recuperação e decodificação de bancos do WhatsApp

02/08/2023 22:23 · Membro 0166
https://athenaforensics.co.uk/how-to-identify-when-an-android-handset-was-factory-reset/
02/08/2023 22:23 · Membro 0166
Dá uma olhada ali no link que eu mandei
02/08/2023 22:23 · Membro 0166
Tem um banco de dados do Android que guarda as informações de quando configuraram as contas
02/08/2023 22:24 · Membro 0166
Talvez te ajude a confirmar essas datas aí que tu tá vendo

Origem 042 — 03/08/2023 17:01 a 17:02 — Na lógica ele deu erro em algumas etapas e fomos omitindo

03/08/2023 17:01 · Membro 0105
Ou foi parcial da parcial?
03/08/2023 17:01 · Membro 0144
Na lógica ele deu erro em algumas etapas e fomos omitindo...
03/08/2023 17:02 · Membro 0105
Puq esse crypto impacta em ambas extrações.

Origem 043 — 22/08/2023 11:17 a 12:16 — Extração e root em dispositivos LG

22/08/2023 11:17 · Membro 0088
Bom dia! Android armazena powerlogs? E logs indicando quando foi ativado/desativado modo avião, wifi, etc?
22/08/2023 11:45 · Membro 0015
Mas esse tipo de backup trouxe o wpp alguma ve?
22/08/2023 11:53 · Membro 0088
Sim, creio que seja a partição userdata toda ou os arquivos dela
22/08/2023 11:58 · Membro 0015
Nas q eu fiz n vem 😰
22/08/2023 12:07 · Membro 0088
Se não me engano, tive que unir também os binários em um só para funcionar corretamente no PA
22/08/2023 12:07 · Membro 0088
Powerlogs ou de rede, alguém sabe dizer se tem no Android?
22/08/2023 12:10 · Membro 0048
Depende do android. LG tem uma partição "secreta" que vem algo similar ao powerlog
22/08/2023 12:12 · Membro 0048
tem inclusive as últimas ERBs (banco de dados LDB_MainData.db da partição mpt)
22/08/2023 12:12 · Membro 0048
Axiom decodifica bem. UFED parcialmente
22/08/2023 12:13 · Membro 0048
Android >=10 acho que tem um DB tb que tem algo do uso de aplicações, rede, etc...
22/08/2023 12:13 · Membro 0048
tentando lembrar o nome do DB e onde fica
22/08/2023 12:15 · Membro 0048
/system/batterystats-daily.xml
22/08/2023 12:16 · Membro 0048
Aqui tem uns locais com informações interessantes no android:
https://github.com/RealityNet/Android-Forensics-References
22/08/2023 12:16 · Membro 0088
👍🏻 obrigado vou procurar

Origem 044 — 14/09/2023 18:19 a 18:34 — Extração e decodificação de bancos do WhatsApp

14/09/2023 18:19 · Membro 0173
<Mídia oculta>
estava aqui observando as informações exibidas pelo PA que tem como fonte o "/data/data/com.whatsapp/databases/msgstore.db : 0x6124DC7 (Tabela: message, message_location; " e vi que tem um campo TIPO que, às vezes, fica indicado como *SHARED* .

Qual seria a interpretação correta dessa informação?
14/09/2023 18:20 · Membro 0173
em alguns registros o Tipo aparece em branco, noutros como *Shared*
14/09/2023 18:21 · Membro 0173
é possível estabelecer uma relação entre a "linha do tempo" e as "localizações do dispositivo"?
14/09/2023 18:25 · Membro 0173
pelo que vi aqui na linha do tempo, naquele instante exato, havia um estabelecimento de conversa entre o proprietário e um terceiro.
14/09/2023 18:26 · Membro 0173
a fiquei na dúvida se a localização é do terceiro ou do proprietário do aparelho em estudo.
14/09/2023 18:29 · Membro 0088
Creio q se refira ao autor da mensagem
14/09/2023 18:33 · Membro 0173
eu o que eu preciso, mas preciso ter certeza disso pra fechar a resposta.
14/09/2023 18:34 · Membro 0173
quando vi esse campo marcado na imagem eu fiquei na dúvida.

Origem 045 — 20/09/2023 10:11 a 10:33 — Extração e acesso a dados em iPhone 5

20/09/2023 10:11 · Membro 0015
Windows 10 Timeline, se extrai de onde? chave?
20/09/2023 10:11 · Membro 0166
procura no site da Nirsoft
tem inumeros softwares desenvolvidos...um deles eh quantas vezes cada programa foi executado, e historico de execucoes (linha do tempo)

tambem sugiro muito converter essa imagem .dd para .vmdk e executar no Vmware pra ver se a VPN estava instalada, se estava configurada pra inicializar junto, etc
20/09/2023 10:12 · Membro 0015
boa ideia, subir na VM
20/09/2023 10:13 · Membro 0048
AXIOM decodifica muita informação do SO
20/09/2023 10:14 · Membro 0164
o IPED não seria uma solução gratuita para esse caso também ?
20/09/2023 10:14 · Membro 0043
É um arquivo de banco de dados no formato SQLite localizado em:
*C:\Users\<profi le>\AppData\Local\ConnectedDevicesPlatform\<account-ID>\ActivitiesCache.db*

Eu gosto MUITO da ferramenta *Windows 10 Timeline database parser* do Eric Zimmerman
https://f001.backblazeb2.com/file/EricZimmermanTools/WxTCmd.zip
20/09/2023 10:15 · Membro 0048
Acho que ainda faltam muitos módulos no IPED para chegar perto do que o Axiom já faz
20/09/2023 10:15 · Membro 0048
Axiom decodifica o TIMELINE do windows
20/09/2023 10:15 · Membro 0166
como ferramenta gratis...tem essas da Nirsoft, Eric Zimmerman e o Autopsy
20/09/2023 10:16 · Membro 0048
Nirsoft tem muita coisa top
20/09/2023 10:16 · Membro 0164
para os mais experientes, entre o IPED e o Autopsy qual a melhor ? ou seria interessante processar nas duas ?
20/09/2023 10:17 · Membro 0166
sugiro processar nos 2
20/09/2023 10:17 · Membro 0166
nao ao mesmo tempo
20/09/2023 10:17 · Membro 0096
Pessoal, alguém já teve oportunidade de examinar uma AirTag? Sei que está chegando uma aqui pra exame... Pelo que pesquisei, através de um iPhone, é possível ver os dados do proprietário...
20/09/2023 10:17 · Membro 0096
Será que algo mais?
20/09/2023 10:17 · Membro 0166
porque vai travar total tua maquina
20/09/2023 10:22 · Membro 0123
Acho que dados do proprietário não, mas um iPhone deve detectar um AirTag próximo durante um tempo
20/09/2023 10:23 · Membro 0096
Acho que armazenamento não tem né?
20/09/2023 10:32 · Membro 0042
Belkasoft has released another beta version of our Belkasoft X Brute-Force tool: https://belkasoft.com/brute. The list of supported device models extended with iPhone 5 and 5C.
20/09/2023 10:33 · Membro 0042
Estão fornecendo trial gratuito

Origem 046 — 11/01/2024 22:01 a 22:27 — Extração e decodificação de bancos do WhatsApp

11/01/2024 22:01 · Membro 0071
se ele tinha WhatsApp, gerou o crypt12, depois desinstalou...
sendo FBE, complica msm
se vc não estiver com o SIM ativo... puts... aí complica mais ainda
sei nem o que fazer...
quem usa o Ávila, ele faz algo nestes casos?
11/01/2024 22:04 · Membro 0166
O [NOME] forensics faz o apk-downgrade do whatsapp, mas vai depender da versao do android (ele consegue até a versao 11 salvo engano)
11/01/2024 22:24 · Membro 0088
isso, o [NOME] só faz downgrade apk. como na física já vieram todos os arquivos possíveis, acredito q sem o chip já era
11/01/2024 22:25 · Membro 0088
guarda aí os crypt12 pra quando chegar um computador quântico kkk
11/01/2024 22:26 · Membro 0166
É engraçado que mesmo no caso do Cellebrite, as vezes traz a key do whatsapp, mas ao tentar usar o WhatsApp Viewer diz que a key [SEGREDO]
11/01/2024 22:26 · Membro 0088
o viewer tá desatualizado
11/01/2024 22:27 · Membro 0166
A "sorte" é que o PA do Cellebrite já deixa aberto o crypt
11/01/2024 22:27 · Membro 0088
daqui a 20 anos quando descriptografar tu envias o laudo no dia de se aposentar 😅

Origem 047 — 12/01/2024 06:09 a 07:56 — Extração e decodificação de bancos do WhatsApp

12/01/2024 06:09 · Membro 0182
IMG-20240112-WA0000.jpg (arquivo anexado)
12/01/2024 07:55 · Membro 0088
Você usaria o chip em outro celular ou num celular virtual , instala o whatsapp fornecendo os crypt12 e recuperaria a key pra ler as mensagens
12/01/2024 07:55 · Membro 0088
Mas se é caso antigo já deve estar desativado o chip
12/01/2024 07:56 · Membro 0088
Não sei se o whatsapp ainda restaura mensagens de crypt12 antigos na instalação, mas suponho q sim

Origem 048 — 12/04/2024 18:15 a 19:24 — Identificadores de telefonia, IMEI, ICCID e operadoras

12/04/2024 18:15 · Membro 0071
Turma, alguém teria um banco de dados TAC/IMEI atualizado?
(é aquele banco de dados que relaciona a parte do imei com o fabricante/modelo)
acho que o kaggle tem mas tá desatualizado...
12/04/2024 19:17 · Membro 0117
A base vem forte, já está interessado no grupo da forense 😅.
12/04/2024 19:22 · Membro 0146
Tá testando como funciona a criptografia da visualização única
12/04/2024 19:24 · Membro 0164
Pessoal estava comentando aqui hoje ele já foi testar.

Origem 049 — 24/06/2024 10:43 a 12:10 — Recuperação e decodificação de bancos do WhatsApp

24/06/2024 10:43 · Membro 0048
Bom dia, colegas.
Qual a experiência de vocês com o "insaites" PA da Cellebrite?
Estão tendo problema dele ser muito pesado? comigo, numa máquina boa (64GB RAM, RTX 3060, I7, SSD) ele demora 30 segundos para responder um click ou uma ação de etiquetar uma evidência. E também já houve o fechamento abrupto do programa durante o uso. Estou bem decepcionado com a solução. Desisti de usa-lo. Produtividade baixíssima para fase de análise das evidências. Única alegria foi quando ele fechou abruptamente, eu abri e recarreguei a extração já decodificada. <Mensagem editada>
24/06/2024 12:08 · Membro 0155
Boa tarde. Saberemos esta semana, mas espero ter uma boa usabilidade.

Esses "freezes" e fechamentos abruptos acontecem com muita frequência no XAMN Pro, a ponto de quase desistir de usar o programa para uma análise mais aprofundada.
24/06/2024 12:10 · Membro 0020
O comum é ter sérios problemas de performance. Já tive casos de que a extração não abriu no PA e ele abriu sem problemas. Tentar colocar o banco de dados dele em unidade SSD ajuda bastante

Origem 050 — 30/08/2024 11:42 a 12:07 — Extração e decodificação de bancos do WhatsApp

30/08/2024 11:42 · Membro 0114
Dá uma olhada nesse artigo: https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_opensource-hacking-redteam-activity-7203985359225921536-MirL?utm_source=share&utm_medium=member_android
30/08/2024 11:45 · Membro 0114
Para Whatsapp tem essa outra opção, gerando uma chave para criptografar o backup mas perde os backups da pasta:
https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_[NOME]-universal-whatsapp-extraction-activity-7149264399789191168-eIUA?utm_source=share&utm_medium=member_android
30/08/2024 11:50 · Membro 0154
Vou ver se consigo...
30/08/2024 12:02 · Membro 0173
Alguém teria o *Apk WhatsApp-Email* para disponibilizar, por gentileza?
30/08/2024 12:04 · Membro 0114
Esse do WhatsApp pode fazer tambem com outras ferramentas:
- Gera o End-to-End Encrypted Backup, anota a hex key, e decrypta com esse tool:
https://github.com/KnugiHK/WhatsApp-Chat-Exporter

Comando:

wtsexporter -a -k chave32bytes -b msgstore.db.crypt15
30/08/2024 12:04 · Membro 0015
n é o mesmo EXTRATOR?
30/08/2024 12:07 · Membro 0173
O extractor eu tenho por aqui...
30/08/2024 12:07 · Membro 0173
queria testar outras opções pra ver se diferencia em algo

Origem 051 — 20/09/2024 08:58 a 11:55 — Extração e decodificação de bancos do WhatsApp

20/09/2024 08:58 · Membro 0096
IMG-20240920-WA0001.jpg (arquivo anexado)
Aqui pede pra conectar a conta pra ativar a opção INSTALAR VIA USB
20/09/2024 10:13 · Membro 0009
<Mídia oculta>
Bom dia! Moto g(20). Fiz a Smart Flow mas não veio o WhatsApp. Alguma dica?
20/09/2024 10:19 · Membro 0166
bota no AvillaForensics pra ver se reconhece pra apk down
20/09/2024 10:32 · Membro 0045
Dá pra tentar rodar o iped em cima do UFDR também, Farias, aqui, quando o PA não pega, na maioria das vezes o iped consegue montar os chats.
20/09/2024 10:34 · Membro 0105
No zip que extraiu tem a pasta do WA?
20/09/2024 10:34 · Membro 0105
Fica lá em /data/data
20/09/2024 10:36 · Membro 0009
Eu tô achando q não tem chat. Analisando o sistema de arquivos não tem o banco nem a chave, na pasta com.whatsapp. Tbm não tem mídia na pasta Media. Nem banco criptografado.
20/09/2024 10:37 · Membro 0045
Peguei um aqui que a estrutura do WZ tava dentro da pasta do Facebook, por mais que eu alterasse os nomes, o PA não conseguia dormir mxergar, daí o Iped matou a paca.
20/09/2024 10:37 · Membro 0009
<Mídia oculta>
[MENCAO]
20/09/2024 10:38 · Membro 0009
<Mídia oculta>
Não tem a chave
20/09/2024 10:38 · Membro 0105
Talvez esteja sem conta ativa, por isso não tem nada mesmo.
20/09/2024 10:38 · Membro 0009
<Mídia oculta>
E nem o banco com as mensagens
20/09/2024 10:38 · Membro 0105
Nesse databases não tem algum msgstore?
20/09/2024 10:39 · Membro 0105
Então não tem mesmo.
20/09/2024 10:39 · Membro 0105
Talvez nem tenha conta ativa, por isso essa tela aí
20/09/2024 10:40 · Membro 0105
Eu não tinha visto essa tela ainda. Talvez seja uma que esta no meio do processo de ativação.
20/09/2024 10:40 · Membro 0009
<Mídia oculta>
Nem mídia nem banco criptografado
20/09/2024 10:41 · Membro 0009
Resumindo, acho q não tem nada mesmo. Deve ser ativação
20/09/2024 10:41 · Membro 0045
Essa pasta databases tá muito pequena, com cara de que tá vazia mesmo.
20/09/2024 10:42 · Membro 0045
De qualquer forma Farias, dá uma procurada, no projeto inteiro, pelo arquivo msgstore, pra ver se ele não pode tá disfarçado em outra pasta, como eu disse, peguei um aqui que tava dentro da pasta do Facebook.
20/09/2024 10:44 · Membro 0091
Tentou no octoplus? E importou pro PA? Ou n tem o modelo lá?
20/09/2024 10:44 · Membro 0009
Nenhum resultado 🤣🤣
20/09/2024 10:45 · Membro 0091
Achei q era LG kkk
20/09/2024 11:50 · Membro 0048
Tem que lembrar que existem os WhatsApp agora que são companiondevices (não são o principal).
não é pq é um celular que tem whatsapp que vc vai achar base e backups. Companions não fazem backups
20/09/2024 11:55 · Membro 0009
Dessa eu não sabia. 🤦🏻‍♂️ Nesse caso específico na pasta Media tbm não tem nada. Nenhum áudio, nenhuma imagem ou vídeo.

Origem 052 — 19/12/2024 20:58 a 21:05 — Análise de Registro Windows e arquivo NTUSER.DAT

19/12/2024 20:58 · Membro 0071
Pessoal, caso seja útil para alguém
eu fiz um programa que recebe como entrada o ZIP extraído do UFED premium e almeja produzir históricos de apps (*inclusive deletados*)
O programinha já seleciona as fontes e tenta produzir um timeline do app
Algumas fontes de informação são bem interessantes, como o sistema de Ahead of Time Compilation, que ocorre em alguns casos específicos (Dynamic Dex Loading, por exemplo). Outra fonte que me chamou a atenção foi um banco de dados interno que guarda a "orientaçao" preferida do app, se landscape ou portrait
19/12/2024 20:58 · Membro 0071
mesmo após deletar, o registro fica no banco..
19/12/2024 20:58 · Membro 0071
em alguns casos, eu consegui uma janela muito boa sobre a presença do app no aparelho, mesmo após ter sido excluído
19/12/2024 20:59 · Membro 0155
Premium é de lua. Hoje fez bypass e física
19/12/2024 20:59 · Membro 0071
https://github.com/leosol/android-app-analysis-timeline
19/12/2024 21:05 · Membro 0071
<Mídia oculta>
Exemplo de como da para visualizar o "histórico da presença" do app no aparelho

Origem 053 — 21/01/2025 11:56 a 12:20 — Extração e decodificação de bancos do WhatsApp

21/01/2025 11:56 · Membro 0096
Pessoal, como que vocês desenvolveriam a resposta a este quesito?

• Foi realizada uma verificação técnica que confirme a integridade do banco de dados de mensagens (backup) do WhatsApp?
21/01/2025 11:58 · Membro 0166
minha opinião é que não dá pra garantir nada...vai que alteraram o msgstore, fizeram restore e depois forçaram backup ?
21/01/2025 11:58 · Membro 0166
https://medium.com/[MENCAO]/manipula%C3%A7%C3%A3o-de-mensagens-e-dados-em-dispositivos-android-sem-root-c6525b2e27d8
21/01/2025 12:00 · Membro 0015
sera q estão querendo saber se foi tirado um hash do msgstore antes da extracao?
21/01/2025 12:00 · Membro 0088
Depois do initroot usaria o perfil genérico ADB rooted?
21/01/2025 12:02 · Membro 0096
Eu sinceramente duvido que a própria defesa saiba o que está perguntando aqui.
21/01/2025 12:03 · Membro 0015
é, ai ta parecendo "enrolation" pra confundir o magistrado
21/01/2025 12:06 · Membro 0117
essa restauração deixa vestígios
21/01/2025 12:07 · Membro 0096
Que vestígios vc diz?
21/01/2025 12:07 · Membro 0096
Será que se pegar a key [SEGREDO] o bkp já pode indicar integridade?
21/01/2025 12:09 · Membro 0078
E se a adulteração foi feita tanto no mgstore quanto no backup?
21/01/2025 12:12 · Membro 0117
O processo que ele faz é realizar um backup downgrade, alterar o banco e restaurar o backup. Testei somente em dois aparelhos e o processo de restauração faz com que certos arquivos percam os metadados de data de modificação. Possivelmente a biblioteca nativa do android não se preocupa em preservar essa informação. Possivelmente no log do whatsapp também deve ter vestígios
21/01/2025 12:14 · Membro 0078
É um tipo de coisa que se foi feito pode ser que você consiga evidenciar que foi feito mas que se não achar evidência não significa que não foi feito. Pode ser apenas que você procurou vestigios errados. Se a pergunta for se há garantia de integridade não vai ter resposta. <Mensagem editada>
21/01/2025 12:15 · Membro 0117
na época da pandemia tinha resumido isso: https://br4n6.wordpress.com/ <Mensagem editada>
21/01/2025 12:20 · Membro 0096
Eu acho que uma linha pra responder pode ser que garantimos a integridade do conteúdo desde o recebimento da peça, que veio lacrada.

Mas que antes disso, não podemos responder.
21/01/2025 12:20 · Membro 0096
Enquanto na custódia da perícia, a integridade estava garantida.

Origem 054 — 24/03/2025 14:51 a 15:35 — Extração e análise de dados em iPhone/iOS

24/03/2025 14:51 · Membro 0088
Apenas atualizando: pelo Premium não foi, mas pelo UFED normal checkm8 conseguimos uma FFS tranquilamente 🤷🏻‍♂️
24/03/2025 15:13 · Membro 0088
Sobre o Inseyets PA, na prática o consumo de RAM é menor que o PA 7? Ou a mesma coisa?
24/03/2025 15:14 · Membro 0088
Vou abrir uma extração de 400 GB de iPhone estou com receio de o consumo no PA 7 ser muito alto
24/03/2025 15:31 · Membro 0048
A nova versão do inseyts (10.5) tá bacana. Fiz uns testes recentmente e acho que já corrigiram bem o uso de memória.
Ele não usa muita memória não, pois os dados estão situados todos em banco de dados. Logo, ele sobe só uma janela de dados para ram. Hoje o tamanho em megas dessa janela tem sido bem menor que a quantidade de megas que o PA ocupa. <Mensagem editada>
24/03/2025 15:35 · Membro 0088
👍🏻 então vou testar no inseyets PA. Obrigado

Origem 055 — 10/09/2025 08:22 a 08:48 — Extração e acesso a dados em Redmi A2

10/09/2025 08:22 · Membro 0105
Se for de um iPhone, tem o banco de dados Media.db

Lá ficam registrados todas as midias do aparelho celular. As produzidas e nao. (Nao lembro se tem diferença nesse BD das produzidas ou nao).

Esse BD tbm muda conforme versão do iOS. Mas consegue apoio no chatGPT sobre a interpretação dele. Já fiz uma vez sobre outra questão e ficou bem bacana.

Ai se correlacionar outras infos de sistemas do uso da câmera e apps, pode ser que consiga constatar a produção. Principalmente se nao for muito antigo.

Já nos androids vai depender de vários fatores. Marca, modelo, versão android, etc.
10/09/2025 08:48 · Membro 0015
é Android. Redmi A2+

Origem 056 — 03/10/2025 18:25 a 20:03 — Era possivel acessar os arquivos manualmente apenas. / / Tinha senha o app

03/10/2025 18:25 · Membro 0105
Eu já fiz uma vez pericia em um desses container crypto.
Naquele caso, no BD do app tinha essa correlação do arquivo crypto com o não crypto.
03/10/2025 18:26 · Membro 0105
Eu não consegui na época decrypt os arquivos. Acabamos fazendo uma cópia deles e depois foi demonstrado a correlação via BD do app.
03/10/2025 18:27 · Membro 0105
Era possivel acessar os arquivos manualmente apenas.

Tinha senha o app, mas descobrimos a senha por tentativas.
03/10/2025 18:28 · Membro 0105
Se pesquisar esses nomes de arquivos de JPG no PA, ele nao indica algum BD que tenha essa informação?
03/10/2025 20:03 · Membro 0207
Não pesquisei todos os 417. Fiz uma amostragem de meia dúzia, e eles não acharam correspondência direta do nome do arquivo com dados armazenados, só localizou o próprio arquivo e um link no Google Quick Search Box. No banco de dados do app só tinha a versão criptografada do nome de parte desses arquivos e de mais alguns arquivos em outra pasta, mas que o PA também reportou com zero bytes.

Origem 057 — 23/10/2025 16:35 a 18:13 — Extração e análise de variantes do WhatsApp

23/10/2025 16:35 · Membro 0173
<Mídia oculta>
Boa tarde.

Alguém já se deparou com essa msg ao fazer o Parsing do WhatsApp no PA, por favor?

Xiaomi - Redmi 13C - Android 15 (Hyper OS)

A extração foi feita pelo [NOME] Forensics 3.8 (General Single Copy) + Univedrsal WhatsApp Extraction
23/10/2025 16:37 · Membro 0166
provavelmente o esquema do banco de dados está atualizado e não tá conseguindo fazer parser 🤷🏻‍♂️
23/10/2025 16:37 · Membro 0166
igual eu abriria o msgstore.db com o DBBrowser for SQlite pra conferir
23/10/2025 16:37 · Membro 0173
é o mais provável, mas pensei em perguntar no grupo pra ver se havia algo a mais <Mensagem editada>
23/10/2025 16:38 · Membro 0105
Essa msgm sempre vai aparecer se o WA nao estiver em na árvore de diretório padrão ou esperada.
23/10/2025 16:38 · Membro 0105
Ele aparece a mesma em uns tipos de extração via PC3000.
23/10/2025 16:39 · Membro 0105
Quando nao esta

Dump/data/data/com.whats....

Ele da essa msgm.
23/10/2025 16:39 · Membro 0105
Se montar certinho a estrutura, ele deve sumir.
23/10/2025 16:39 · Membro 0173
acabei deixando na pasta padrão da extração -> C:\Forensics-3-8\acquisitions\default\CopyAll\WC8TIRF6KZ4HQKQO\sdcard\Android\media\com.whatsapp\WhatsApp <Mensagem editada>
23/10/2025 16:41 · Membro 0173
é a primeira vez que recebo essa msg.
23/10/2025 16:42 · Membro 0105
Talvez o parse possa ficar zuado. Mas aí nao tenho certeza. <Mensagem editada>
23/10/2025 17:02 · Membro 0048
É um alerta, pois não está no caminho padrão para o dispositivo. Pelo menos agora ele faz parsing, antigamente passava reto.
Agora isso pode ter relevância no exame se esses artefatos estiverem originalmente assim e não for fruto do processo de extração.
23/10/2025 17:48 · Membro 0146
Estava agora com essa mensagem para o GBWhatsapp e não fez o parsing. O [MENCAO] me socorreu e montou direitinho os dbs. 👊
23/10/2025 18:11 · Membro 0173
Eu não consegui montar as mags
23/10/2025 18:13 · Membro 0173
Da forma como a extração foi feita eu mantive. Só complementei com os arquivos decriptografados

Origem 058 — 09/02/2026 11:14 a 12:36 — Extração e decodificação de bancos do WhatsApp

09/02/2026 11:14 · Membro 0096
eu não tenho experiência com o uso dos ufdr no whatsapp... o que vc recomenda usar de config no parser pra ficar blz o whatsapp?
09/02/2026 12:36 · Membro 0049
Pode mandar o Iped processar direto o UFDR, algumas não permitem, acho que o ipediar não lista o arquivo, por exemplo. Eu aconselhou colocar para parser banco de dados internal e external se não me engano no ipedconfig. Estou sem acesso agora , mas te mando no privado o parâmetro.

Origem 059 — 11/02/2026 09:17 a 10:17 — Extração e decodificação de bancos do WhatsApp

11/02/2026 09:17 · Membro 0112
bom dia, pelo que tava lendo no histórico do grupo, iPhone 12 pro, com senha, com iOS 26.2.1, só no grey key, premium não faz, confere?
11/02/2026 09:25 · Membro 0117
hot só GK. desbloqueado parece que o Inseyets beta está fazendo desde que a proteção de dispositivo roubado esteja desativada
11/02/2026 09:36 · Membro 0020
Bom dia senhores, estou usando inseyets PA versão 10.8.0.6089 abrindo a extração de um iPhone XR IOS 18.7 .... Extração grande de 120gb .

O inseyets categorizou as mensagens do whatsapp, porém percebi que algumas mensagens do whatsapp foram identificadas no PA como INSTANTE MESSAGES mas tenho certeza, pelas características, que são do whatsapp. Alguém já teve problema semelhante?
11/02/2026 09:38 · Membro 0105
Sim. No PA clássico esse problema era ainda mais grave. 100% das msgm iam para lá
11/02/2026 09:39 · Membro 0105
Estamos deixando de usar o PA e migrando para o Inseyets para tentar fugir disso, pois não só o WA caia lá, mas o telegram, WA4B e outros.
11/02/2026 09:40 · Membro 0105
A princípio o Inseyets tinha corrigido isso.
11/02/2026 09:40 · Membro 0020
Caramba.... Nem previsão de correção ele deram?
11/02/2026 09:40 · Membro 0105
Vimos que no 10.7.1 ainda tinha algumas msgm lá e no 10.8 tinha diminuído a qtd, mas nao devem ter resolvido 100%
11/02/2026 09:41 · Membro 0147
Pode também indexar pelo iped 4.3
11/02/2026 09:41 · Membro 0105
Nem sei.

Esse problema no PA estava ocorrendo desde a 7.71
11/02/2026 10:17 · Membro 0088
fizemos isso aqui também. apesar de achar o PA mais estável migramos por conta desse problema com o whatsapp

Origem 060 — 04/03/2026 11:39 a 16:10 — Artefatos e vestígios de uso do WhatsApp Web

04/03/2026 11:39 · Membro 0224
Bom dia a todos,

Estou com problema para extrair um Motorola XT2241-2 (Motorola edge 30 ultra)

Alguém aqui já teve dificuldades com esse aparelho?
04/03/2026 13:34 · Membro 0166
Boa tarde povo, alguém sabe me dizer onde fica registrado na última versão (ou últimas versões) do WhatsApp que o aparelho foi conectado no WhatsApp Web ?
04/03/2026 13:34 · Membro 0166
eu tô olhando o arquivo log de texto puro que fica no /data/data/com.whatsapp/files/Logs
04/03/2026 13:35 · Membro 0166
salvo engano meu, antes ficava um arquivo sqlite com nome "sessions" (algo assim) na pasta de databases
04/03/2026 15:27 · Membro 0166
achei, fica no arquivo de LOG mesmo

HistorySyncManager/startMessageHistorySync for Device jid: 2333:[EMAIL], Platform type: CHROME, Device OS: Windows, Last active: 1772646296208, Login time: 1772646296208,
04/03/2026 16:09 · Membro 0048
Não me recordo se no mais atual, mas o banco é o companion_devices.db
04/03/2026 16:10 · Membro 0048
Pode ler os campos do companion-devices.db aqui:
https://belkasoft.com/android-whatsapp-forensics-analysis

Origem 061 — 09/03/2026 16:14 a 17:10 — Root e extração em dispositivo Positivo

09/03/2026 16:14 · Membro 0009
Mais um perito criminal para ser adicionado ao grupo 👆
09/03/2026 16:16 · Membro 0009
Questionou o uso do Iped pela PF
09/03/2026 16:16 · Membro 0117
IMG-20260309-WA0005.jpg (arquivo anexado)
Na próxima fatura da Techbiz vamos pedir que esse valor seja respeitado
09/03/2026 16:39 · Membro 0037
Leram a matéria? Está buscando os seus "15 minutos de fama". O IPED é _open source_ , toda a comunidade mundial pode acessar e auditar a ferramenta, não é uma "caixa preta". E aposto que o próprio "perito" faz uso da ferramenta. Ademais, o [NOME], o [NOME] Forensics, outro dia mostrou como fazer para recuperar a mensagem, via utilização de ferramenta de banco de dados. <Mensagem editada>
09/03/2026 16:42 · Membro 0037
Eu desenvolvo "ferramentinhas" _ad hocs_ e coloco isso no laudo. Se a parte a quem interesse solicitar o acesso ao código, eu fornecerei sem problemas. Colocar em dúvida a integridade da ferramenta só porque eles desenvolvem só porque eles desenvolveram, sem algo concreto e quando o código [SEGREDO] disponível, isso é claramente uma má fé IMHO.
09/03/2026 16:45 · Membro 0105
Sem dúvida.

Segundo alguns código aberto é problema, mas ferramentas que decodificam sem qualquer transparência (e com bug) é a verdade absoluta.
🙄
09/03/2026 16:47 · Membro 0037
Fato. Mas essa matéria está com cara de que foi "comprada", aí arrumam os tais 'especialistas' que ninguém nunca ouviu falar para emitir esse tipo de opinião enviesada.
09/03/2026 16:47 · Membro 0105
Já tivemos casos em que decodificam timezone totalmente errado e casos em que colocou uma data de ultima msgm na conversa que tirou do além, sem qualquer rastreio.
09/03/2026 16:48 · Membro 0166
https://www.instagram.com/[NOME].castilho
09/03/2026 16:48 · Membro 0105
Verdade. E possuem milhares afirmando que IPED é tecnicamente excelente , mas oq importa é um que diz que não acha correto 🙄
09/03/2026 16:48 · Membro 0183
STK-20260309-WA0006.webp (arquivo anexado)
09/03/2026 16:48 · Membro 0166
na real nao é Perito Criminal Oficial
09/03/2026 16:48 · Membro 0166
a imprensa que tem mania de chamar de Perito Criminal
09/03/2026 16:50 · Membro 0105
Faz parte. Afinal, jornalistas tbm têm boletos <Mensagem editada>
09/03/2026 16:50 · Membro 0037
Nada contra criticar, questionar, um dos fundamentos da ciência é o ceticismo e isso é positivo, desde que direcionado eticamente em busca de sua melhoria. <Mensagem editada>
09/03/2026 16:57 · Membro 0155
Tive que pesquisar quem é esse cara. Vi que é perito ganso. Quase fui convencido que era POC fazendo serviço de contra inteligência alimentando o país com informação errada, porque é algo que eu definitivamente faria se tivesse que falar com a mídia kkkkk
09/03/2026 17:01 · Membro 0076
O que é um perito ganso?
09/03/2026 17:04 · Membro 0212
Aqui na Bahia é o pato, que anda, voa e nada. Anda mal, voa mal e nada mal
09/03/2026 17:06 · Membro 0212
É isso aí Danillo
O "mercado" tá cheio disso. Imagem bit-a-bit em celular... Dai-me paciência pai!
09/03/2026 17:10 · Membro 0207
Não sei se é o mesmo Castilho dessa outra matéria aqui: https://www.cnnbrasil.com.br/politica/caso-master-perito-detalha-como-a-pf-acessa-celulares-bloqueados/. Mas nesse artigo ele me perdeu quando afirmou que: "Segundo Castilho, no Brasil, apenas a PF, Polícia Civil e o Ministério Público têm autorização para utilizar softwares especializados em quebra de senhas e extração de dados." Como se Polícia Científica e Perícia Criminal fossem Polícia Civil em todo o país...

Origem 062 — 20/04/2026 10:49 a 11:29 — Identificadores de telefonia, IMEI, ICCID e operadoras

20/04/2026 10:49 · Membro 0207
Bom dia. Já atendi um caso desse tipo. Fizemos a coleta dos logs e do banco de dados do Zabbix que ficava monitorando a rede para identificar se o tráfego na Empresa era condizente com o serviço prestado pela operadora. No final não conseguimos achar nada de relevante.
20/04/2026 11:29 · Membro 0044
Interessante. O log foi da empresa que supostamente estaria utilizando a fibra de terceiro?

Origem 063 — 14/05/2026 09:07 a 10:43 — Extração e decodificação de bancos do WhatsApp

14/05/2026 09:07 · Membro 0044
Bom dia. Estou com aparelho com suspeita de está conectado ao aparelho da vítima. Encontrei um registro de aparelho conectado no whatsapp, mas ainda não consegui achar na extração está informação. Alguma dica?
14/05/2026 10:40 · Membro 0048
Tem um banco sqlite (salvo engano companion_devices.db no Android) que guarda informações sobre os aparelhos conectados a conta, porém, da última vez que analisei, não tem o IP. Apenas um número sequencial de sufixo, o sistema operacional, tipo de dispositivo, e as datações de conexão. <Mensagem editada>
14/05/2026 10:40 · Membro 0048
No Android (/data/data/com.whatsapp/databases/) e no iOS (AppDomainGroup-group.net.whatsapp.WhatsApp.shared)
14/05/2026 10:43 · Membro 0048
Para pegar o IP, ou vc pede quebra para META ou provedor (vc tem as datações), ou vc pode tentar interceptar o tráfego do aparelho quente <Mensagem editada>