Recuperação e decodificação de bancos do WhatsApp
Categoria: WhatsApp, WhatsApp Web, Telegram e mensageiros
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre recuperação e decodificação de bancos do WhatsApp no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, Physical Analyzer, XRY, IPED, Magnet AXIOM, Autopsy, FTK, ADB. Os termos mais recorrentes neste tema incluem: mas, whatsapp, https, dados, ele, lnkd.in, data, esse, pra, banco. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Preservar banco e chave de criptografia quando disponíveis.
- Indicar versão do app e formato de criptografia.
- Validar mensagens relevantes no banco decodificado.
Ferramentas, sistemas ou marcas citadas
UFEDPhysical AnalyzerXRYIPEDMagnet AXIOMAutopsyFTKADBODINBitLockerWhatsAppTelegramPalavras-chave recorrentes
maswhatsapphttpsdadoselelnkd.indataesseprabancoestafoimaiscelularandroidmesmoessabackupDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 03/01/2018 15:13 a 15:48 — Cálculo e verificação de hashes em grande volume de arquivos
Pessoal existe algum banco de dados de hash de arquivos de pornografia infantil que a gente possa consultar?
Mídia Library do CPS
Tem vários no NIST, mas todos precisam de autorização. https://www.nist.gov/oles/forensic-database-tech-digital-evidence-table
https://www.microsoft.com/en-us/photodna
O photodna não está disponível para o Brasil.
Vou tentar solicitar esse: https://www.iwf.org.uk/our-services/image-hash-list
Origem 002 — 01/03/2018 10:55 a 11:19 — Extração e decodificação de bancos do WhatsApp
Pessoal, bom dia! É possível recuperar a chave (key) do WhatsApp instalando o aplicativo em um celular com um chip q está desativado? Consegui recuperar os arquivos crypt12 do cartão de memória mas o usuário havia desinstalado o aplicativo e o chip foi desativado pela operadora.
Pouco provável, precisaria receber o código de ativação.
A dúvida é essa. Se na instalação ele já criaria a chave vinculada ao chip. Mesmo estando desativado.
Pessoal, bom-dia!
Coloquei essa questão no nosso grupo do trabalho e o perito [NOME] respondeu assim:
Coloquei essa questão no nosso grupo do trabalho e o perito [NOME] respondeu assim:
Bom dia !
O cartão, mesmo desativado, fica (por meses, até anos) ativo pra recepção de SMS. Claro, se a linha não tiver sido associada a outro ICCID (cartão). Nossa técnica SPAI poderia ser testada.
O cartão, mesmo desativado, fica (por meses, até anos) ativo pra recepção de SMS. Claro, se a linha não tiver sido associada a outro ICCID (cartão). Nossa técnica SPAI poderia ser testada.
Origem 003 — 03/04/2018 21:56 a 22:15 — Uso do IPED na triagem, indexação e análise
Boa noite!
Teria como disponibilizar o link para baixá-lo?
Teria como disponibilizar o link para baixá-lo?
Quanto à questão colocada, sugiro que tentem usar o [NOME], pois é muito fácil remasterizá-lo. Inclusive o pessoal da Federal assim o fazem para rodar o IPED/LED em campo.
Esse seria o ideal, mas sinceramente em um flagrante não vejo muita complicação em rodar o Led a partir do pendrive com JRE e o Led e fazer a análise Hot
Mas se a máquina estiver desligada?
Aí sim, inclusive utilizando bloqueador de escrita
Boa noite, desculpe interromper o fluxo da conversa. Alguém já usou o FTK em mais de uma máquina compartilhando o banco de dados em uma terceira máquina? Alguém tem dados sobre performance?
Origem 004 — 19/04/2018 13:19 a 15:14 — Extração e decodificação de bancos do WhatsApp
Bom dia a todos. Está circulando nos grupos de whatsapp sobre um APP denominado SINCABS que teria como objetivo criar o maior banco de dados de suspeitos do país. Ocorre que segundo informações preliminares, foi identificado que tal aplicativo parece ter sido desenvolvido por criminosos de Mossoró/RN e está sendo utilizado como phishing para colher dados dos policiais que se cadastram. Portanto, até que se esclareça por completo, sugerimos que NÃO INSTALEM O APP SINCABS e se o fizeram, NÃO INSIRAM SEUS DADOS NELE (MUITO MENOS SENHAS DE ACESSO AOS SISTEMAS PRF). Segue abaixo foto do referido APP na Play Store do Google:
[NOME], boa tarde! Você solicitou esse cabo? Estou necessitando realizar uma extração com ele, porém vi que não temos.
Nós se MT pedimos é chegou vários cabos adicionais, inclusive esse
Essa semana chegaram alguns pra gente, mas não o 523
http://s554675970.t.en25.com/e/er?s=554675970&lid=1768&elqTrackId=[HASH-HEX]&elq=[HASH-HEX]&elqaid=4286&elqat=1
Solicitei por esse link. E chegaram semana passada.
Samuel, toda vez que sai uma nova atualizacao de software eu vejo se twm novoa cabos e os peço.
Origem 005 — 18/05/2018 08:23 a 09:20 — Extração e decodificação de bancos do WhatsApp
Sabe se a investigação comparou os horários tanto no remetente quanto no destinatário?
Mds... Ainda bem que não estão pedindo essas coisas por aqui... 😅😅
eu acho que a data que circula na mensagem é universal, logo, só muda a decodificação do epoch
e na segurnaça de mensagem, para evitar replay e talz, acho que a data é assinada de alguma forma
tanto que se vc mudar demais a data do celular, o whatsapp nem funciona
Foi que já percebi ao fazer alguns testes. Se mudar algo de 30 minutos, funciona de boa.
Não, eh de texto mesmo
Eu já vi uma bagunça com celular alterado o fuso
Estava configurado hora automática da rede
Mas alterar só o horário do celular, não sei
Apareceu 8:01, que foi a hora q estava no meu celular hora q recebi a mensagem... Mas no banco de dados fica o utc-0 salvo, então se eu alterar o fuso altera a hora de recebimento tb
Aqui em Fortaleza, quando está em horário de verão, às vezes a hora automática da rede pega o fuso de Brasília, ficando uma hora adiantada para o horário local
Caramba... Até ex famoso caiu...
Não sei... Realmente eh uma informação importante. Vou conversar com a delegacia
Preciso de um celular rooteado. Queria fazer o seguinte teste: desligar a internet; colocar uma hora errada; ver qual o timestamp ta salvo no msgstore.db. enviar uma mensagem; forçar parada do WhatsApp no configurações/aplicativo; alterar a hora do aparelho e ver se o timestamp mudou.
Já vi q a hora altera se eu fizer isso no celular não rooteado... Só não entendo como o WhatsApp faz isso...
qual a influência do root?
Ver o que acontece com o timestamp de mensagem enviada, pq se for só alteração do fuso o timestamp não muda...
Origem 006 — 28/06/2018 10:57 a 10:58 — Artefatos e vestígios de uso do WhatsApp Web
Fiz um caso parecido. Mas constatei que as mensagens recebidas vieram do whatsapp web de osX e não do aparelho e o proprietário real estava usando o aparelho. Logo, provavelmente alguém pegou uma sessão whatsapp web ativa e se passou pelo proprietário
Olha que interessante! Essa informação aparece no relatório do UFED? Ou em algum outro lugar?
Que interessante. Você conseguiu essa informação através do banco de dados do aplicativo?
Origem 007 — 02/01/2019 09:25 a 09:45 — Extração e decodificação de bancos do WhatsApp
Não ter equipamento para teste é uma 💩...
Então, se alguém já tiver tentado e puder me dar uma luz. O celular que eu estava tentando o root está entrando no sistema, mas todas as aplicações estão dando force close. Estou pensando em dar flash no stock rom dele, para ver se resolve, o medo é dar wipe em tudo. Eu tenho o backup do mmcblk0, que a partição de dados está criptografada. Estou pensando em tentar dar o flash, se zerar, voltar via dd a mmcblk0 dele. Alguém já tentou algo assim?
Não deve funcionar devido ao provável reset da senha de cifragem armazenafa no TEE
e dar flash na stock?
Qual o aparelho. Depende da stock eu acho. Se vc abrir a stock e tiver uma imagem da userdata junto acho que não vai funcionar
Pq nos androids novos o security boot vai barrar uma imagem qur não bater a assinatura
SM-G532MT
então eu poderia dar flash por lá
dentro do zip da stock tem esses arquivos
eu queria, na verdade, só resolver os force closes das aplicações e devolver o aparelho mesmo, desisti ehehhe
Acho que vai dar pau. Mas se quiser tentar limpar só a particao cache pode ser que rrsolca
Já tentei, sem resultado.
Já fiz umas experiências co. Sucesso nesse tipo de stock
12-31 23:27:23.590 13336 13347 W System.err: mkdir failed: EACCES (Permission denied) : /data/user/150/com.sec.android.provider.badge/databases
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131138) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131072) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) cannot open file at line 31588 of [5a3022e081]
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) os_unix.c:31588: (13) open(/data/user/150/com.sec.android.provider.badge/databases/badge.db) -
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) Process .provider.badge : Pid (13336) Uid (15010001) Euid (15010001) Gid (15010001) Egid (15010001)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) osStat failed "/data/user/150/com.sec.android.provider.badge/databases/badge.db" due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Failed to open database '/data/user/150/com.sec.android.provider.badge/databases/badge.db'.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: android.database.sqlite.SQLiteCantOpenDatabaseException: unknown error (code 1806): Could not open database
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Error Code : 1806 (SQLITE_CANTOPEN_EACCES)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Caused By : Application has no permission to open the specified database file.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: (unknown error (code 1806): Could not open database)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131138) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 W SQLiteLog: (28) failed to open "/data/user/150/com.sec.android.provider.badge/databases/badge.db" with flag (131072) and mode_t (0) due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) cannot open file at line 31588 of [5a3022e081]
12-31 23:27:23.590 13336 13347 E SQLiteLog: (14) os_unix.c:31588: (13) open(/data/user/150/com.sec.android.provider.badge/databases/badge.db) -
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) Process .provider.badge : Pid (13336) Uid (15010001) Euid (15010001) Gid (15010001) Egid (15010001)
12-31 23:27:23.590 13336 13347 E SQLiteLog: (1) osStat failed "/data/user/150/com.sec.android.provider.badge/databases/badge.db" due to error (13)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Failed to open database '/data/user/150/com.sec.android.provider.badge/databases/badge.db'.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: android.database.sqlite.SQLiteCantOpenDatabaseException: unknown error (code 1806): Could not open database
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Error Code : 1806 (SQLITE_CANTOPEN_EACCES)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: Caused By : Application has no permission to open the specified database file.
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: (unknown error (code 1806): Could not open database)
12-31 23:27:23.590 13336 13347 E SQLiteDatabase: #################################################################
Mas tem que gravar a stock recortada
no logcat tá dando force close por isso
Trm que tirar só a system (o android) e gravar ele
Estava pensando em tentar isso mesmo.
E pra buscar informações?
Ou pra devolver o aparelho!
Se for pra buscar informações vale a pena!
Eu aconselho a ir no Sam mobile
Baixar a rom dele
E reinstalar tudo sem medo
Aí o próprio Android faz a atualização de todos os apps
pois é, já estou aqui com a rom
Dá uma olhada no xda se alguém tem dica
Já aconteceu isso comigo algumas vezes amigo
meu medo é dar wipe em tudo, que já aconteceu em um outro celular
Só que em um, um caso, importantíssimo
mas como essa não tem o userdata dentro, pode ser que não aconteça
Quando eu instalei ela deu pau e apagou tudo
Mas como tu já tem a extração
é o meu caso... esse é um caso de repercussão nacional... e é o celular da vítima, que talvez se transforme em investigada...
E avisa o resultado aqui!
e por falar nisso, aproveitando
Mas aí relata no laudo
no celular tem uns prints de whatsapp com esse cadeado no canto
e tem uns prints sem
Mas o jeito mais fácil que que conheço quando acontece isso é esse rom original mesmo!
cadeado não, fechadura
Origem 008 — 29/01/2019 18:38 a 21:34 — Extração e decodificação de bancos do WhatsApp
https://www.baixaki.com.br/android/download/gbwhatsapp.htm
Já viram esse app? Funciona como o WhatsApp e tem uma função de bloqueio incorporada.
Peguei um celular aqui com ele, bloqueado, só o app.
Esse tem uma função de backup que extrai até a .key
Yowhatsapp tbm tem essa função
https://www.mirror.co.uk/tech/whatsapp-bug-can-allow-people-13921486
Origem 009 — 08/05/2019 08:21 a 08:38 — Extração e decodificação de bancos do WhatsApp
Pessoal, vcs sabem informar se, colocando uma data incorreta no celular, a base do WhatsApp se mantém íntegra,com a data correta ou se ela é afetada?
se não me engano, ele trabalha com horário EPOCH. E parte das datas vêm da internet
Esse procedimento é, às vezes necessário, se, por exemplo, for preciso instalar uma versão mais antiga, pra tentar rodar, por exemplo, a exportação de mensagens, essa versão antiiga só funcionará, se a data do telefone for retroagida. As datas vinculadas a cada mensagem permanecem com a data em que elas foram produzidas e o horário estará sempre armazenado, na tabela sqlite, em UTC-0 da produção.
Quero saber se as datas da mensagem foram manipuladas ou nao
Se o telefone estiver rooteado, é possível alterar o conteúdo sqlite, já via aplicativo WhatsApp, ou telefone, não vejo possibilidades.
Bom dia pessoal. Vocês estão conseguindo utilizar no Ufed Touch 2, as opções de perfis sugeridos, onde sempre aparecem como opção de extração por Decrypting Bootloader?
E se a data do celular estiver com um erro razoável o Whatsapp não aceita a conexão.
Nessa opção é exigido o EDL mode. Acontece que aqui ninguém de nós está conseguindo que os aparelhos entrem nesse modo.
Então não é possível enviar mensagens com manipulação de dias de diferença, no máximo algumas horas.
Mesmo utilizando o cabo 523, que é o cabo próprio.
Origem 010 — 14/05/2019 21:55 a 23:18 — Mas neste caso, teria que tirar o celular do modo avião
Mas neste caso, teria que tirar o celular do modo avião?
Ou então ativar em outro aparelho
O objetivo é apenas obter a key
Para decifrar os database s
SE tiver backups cifrados
Origem 011 — 25/10/2019 16:58 a 17:42 — Acesso de baixo nível por JTAG, EDL, test point ou chip-off
Com o banco de dados de hashs de 10 de outubro
Alguma dica pra usar o cabo EDL com um Motorola xt1792
Se alguém um dia conseguir usar o EDL e puder filmar o procedimento para eu ver, ficarei muito agradecido. Nunca consegui fazer isso e estou achando que é lenda.
Eheh. As vezes consigo nuns lenovo
Ironicamente se o celular estiver brickado ele entra em modo edl automaticamente rsrs. Mas nunca consegui brickar o bicho eheh
Se tiver o esquemático do aparelho talvez consiga ativar em edl tb, mas as vezes requer dessolda
Esse EDL é mais marketing do que funcionalidade, o cabo até parece que veio direto da NASA kkkk
Origem 012 — 17/05/2020 18:45 a 18:45 — Free training and certification currently avaliable for April and May / / 1
*****Free training and certification currently avaliable for April and May *****
1. Microsoft - Azure certification
https://lnkd.in/g4E6FfJ
2. AWS - All AWS technology
https://lnkd.in/fkcMAKg
3. IBM - All IBM technology
https://lnkd.in/gR4zq2W
4. Oracle University - Cloud Infrastructure and Autonomous Database
https://lnkd.in/fVBv9KT
5. Fortinet - NSE1 and NSE2
https://lnkd.in/gH7SCE9
6. Palo Alto - Networks
https://lnkd.in/gfj9f6h
7. Cisco - Cyber Security
https://lnkd.in/gwZBBPJ
8. Qualysguard - Vulnerabilty management
https://lnkd.in/fMHuKc4
9. Nessus - Vulnerabilty management
https://lnkd.in/gEvcJeh
10. SAN's - cyber security
https://lnkd.in/gexceQz
11. Homeland security - ICS Security
https://lnkd.in/g7G4Ebh
12. Coursera - Cloud courses
https://lnkd.in/fTCXqFm
13. Pluralsight - All Training
https://lnkd.in/djPvKDe
14. Sololearn - All Training
https://lnkd.in/fYHT27z
1. Microsoft - Azure certification
https://lnkd.in/g4E6FfJ
2. AWS - All AWS technology
https://lnkd.in/fkcMAKg
3. IBM - All IBM technology
https://lnkd.in/gR4zq2W
4. Oracle University - Cloud Infrastructure and Autonomous Database
https://lnkd.in/fVBv9KT
5. Fortinet - NSE1 and NSE2
https://lnkd.in/gH7SCE9
6. Palo Alto - Networks
https://lnkd.in/gfj9f6h
7. Cisco - Cyber Security
https://lnkd.in/gwZBBPJ
8. Qualysguard - Vulnerabilty management
https://lnkd.in/fMHuKc4
9. Nessus - Vulnerabilty management
https://lnkd.in/gEvcJeh
10. SAN's - cyber security
https://lnkd.in/gexceQz
11. Homeland security - ICS Security
https://lnkd.in/g7G4Ebh
12. Coursera - Cloud courses
https://lnkd.in/fTCXqFm
13. Pluralsight - All Training
https://lnkd.in/djPvKDe
14. Sololearn - All Training
https://lnkd.in/fYHT27z
Origem 013 — 24/06/2020 12:06 a 12:07 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
WHATSAPP-MEDIA-DECRYPT.zip
WHATSAPP-MEDIA-DECRYPT.zip
pessoal, conforme prometido.... segue script para descriptografar medias do whatsapp
dentro do zip tem um txt contendo instruções de como utilizar
caso tenham alguma dúvida s
podem me mandar msg
Origem 014 — 08/07/2020 12:13 a 12:51 — Extração e análise de variantes do WhatsApp
Pessoal, estou com um A10 aqui com GBWhatsApp. O 4PC não pegou na lógica avançada nem no backup, o que muitas vezes acontece, tampouco ofereceu downgrade.
Alguém tem ideia de uma alternativa pra não partir pra extração manual?
Alguém tem ideia de uma alternativa pra não partir pra extração manual?
Você pode tentar:
- verifica se na pasta do gbwhatsapp já não está salvo o msgstore.db em claro ou com a key
- senão, tenta fazer um backup nas configurações do Gbwhatsapp, ele deveria salvar estes arquivos de backup no próprio celular (por ser um mod ele não teria acesso a salvar no google drive)
- verifica se na pasta do gbwhatsapp já não está salvo o msgstore.db em claro ou com a key
- senão, tenta fazer um backup nas configurações do Gbwhatsapp, ele deveria salvar estes arquivos de backup no próprio celular (por ser um mod ele não teria acesso a salvar no google drive)
Beleza. A primeira ideia tentei e não está. A segundo vou ver. Obrigado!
Tem uma opção pra fazer backup no gbwhatsapp
Outra opção é se você tiver o chip fazer o esquema de recuperar a key
O GBWhatsapp faz backup de toda sua base, depois disso o PA já reconhece e importa todo o conteúdo.
Consegui mesmo 👏🏻👍🏻
Origem 015 — 22/07/2020 11:53 a 12:00 — Recuperação de arquivos apagados e carving
Então, consegui fazer um dump parcial do userdata usando a rom baixada via multsync da multilaser. Vieram somente as imagens, nada de banco de dados.
Isso no PA? Talvez ele não reconheceu a partição
aí só tenha vindo imagem por conta de carving
na verdade, os dados estando lá, quis dizer
o sistema de arquivos aparece as pastas?
Sim no PA. O dump no SPD demora e acaba resultando numa falha. Acredito que pegou só parte mesmo
Não. Só no carving
entendi, mas deve estar acontecendo isso tb, o PA não compreendeu o dump
Sim, possivelmente. Já carreguei utilizando vários perfis e não mudou.
pra ter certeza, faz uma busca na tora no dump
por algum arquivo bem comum
msgstore
busca textual mesmo
Talvez a ferramenta consiga ler?
algum extrator?
Nela não. Vou dar uma olhada no hex
Origem 016 — 04/12/2020 12:35 a 13:03 — Extração e decodificação de bancos do WhatsApp
Acredite que seja possível alguns dados de aplicativos via Google drive, como subir a base de dados do WhatsApp para nuvem
Bom dia [NOME], aqui pra mim ainda é bom dia, o Smart Switch Backup faz essa migração.
https://www.androidauthority.com/switching-from-iphone-to-android-630665/
Tem algumas sugestões no Google
Não tem a opção backup? O Yowhatsapp mais recente tem uma opção de mods e dentro tem a opção de backup
Não tenho nenhum aqui com esse, mas olhando essa imagem eu diria para olhar nessas opções
Já revirei ele todo aqui. Negativo.
Se eu desinstalo ele pra colocar outro, perco a KEY. Correto?
Será que consigo sobrescrever com algum outro, como YOWHATSAPP por exemplo?
Será que consigo sobrescrever com algum outro, como YOWHATSAPP por exemplo?
Se não pensei em... Caso o chip ainda esteja ativo, tentar abrir os database em um celular com root e jogar pro PA. O que acha?
O bicho tá lotado! Ir manualmente vai ser sofrível.
O bicho tá lotado! Ir manualmente vai ser sofrível.
Ou melhor dizendo, pegar o KEY com um celular rooteado e jogar no PÁ.
É uma opção, pode usar uma máquina virtual ao invés do celular e acredito que com a Key e os bancos vc também consiga descriptografar pelo ForensicTools
Que VM vc usa aí? Não tentei assim ainda. Só com celular msm.
Dá para configurá-la para ser "rooteada" e vc extrai direto no pc (reconhece como adb)
Obrigada meninos [MENCAO] e [MENCAO]
Origem 017 — 10/12/2020 17:30 a 17:56 — Extração e decodificação de bancos do WhatsApp
Pessoal, boa tarde. Estou com um S10+ cujo WhatsApp está instalado, mas sei que o investigado o ativou em outro aparelho, então está naquela tela inicial com o botão CONCORDAR E CONTINUAR. Na pasta WHATSAPP no Armazenamento Interno há muitas fotos, áudios e vídeos.
Porém, a pasta DATABASES está vazia.
Existe alguma outra hipótese de os DB não estarem lá a não a ser por alguém ter apagado?
Eu fiz testes aqui e mesmo quando ativei o WhatsApp em outro aparelho ou mesmo desinstalei o WhatsApp do aparelho, as pastas, mídias e bancos de dados não são excluídos.
Porém, a pasta DATABASES está vazia.
Existe alguma outra hipótese de os DB não estarem lá a não a ser por alguém ter apagado?
Eu fiz testes aqui e mesmo quando ativei o WhatsApp em outro aparelho ou mesmo desinstalei o WhatsApp do aparelho, as pastas, mídias e bancos de dados não são excluídos.
Será que há alguma outro condição que faça os DB serem excluídos?
Acredito que se vc for no gerenciador de aplicativos, escolher o Whatapp, armazenamento, apagar dados, some tudo
nunca testei, mas geralmente em outros aplicativos apaga
Apps -> Whatsapp -> Armazenamento -> Apagar Dados (Não sei como está no S10+)
Pois é. Neste caso, as pastas de mídias estão lá lotadas. A pasta DATABASE existe, porém vazia.
Mas a pasta de mídias fica em "mídia externa", e não sei se essa operação que fiz teria efeito em midia externa. Alguém teria que testar
Origem 018 — 28/01/2021 11:00 a 12:15 — Extração e análise de variantes do WhatsApp
Pessoal, beleza? Bom dia.
Tenho recebido alguns aparelhos com GBWhatsApp sem a opção do backup completo. Vocês tbm?
Tem feito algo de diferente pra conseguir extrair?
Tenho recebido alguns aparelhos com GBWhatsApp sem a opção do backup completo. Vocês tbm?
Tem feito algo de diferente pra conseguir extrair?
As ferramenta de extração por e-mail, disponibilizada pelos colegas, SPITools ou Extrator 0.4... pode ser uma alternativa.
Pois é. A extração por e-mail e Extrator eu já usei aqui. Ainda toma tempo mas é uma alternativa.
O SPITools eu não conheço. Tbm não consegui achar aqui no histórico do grupo. Se conseguir mandar algum link pra eu aprender, agradeço.
O SPITools eu não conheço. Tbm não consegui achar aqui no histórico do grupo. Se conseguir mandar algum link pra eu aprender, agradeço.
Esses GBWhatsApp que eu tenho visto recentemente mostra que é feito sobre um base oficial do WhatsApp versão XPTO.
Acham que pode dar certo eu desinstalar esse GBWhatsApp mantendo dados de usuário e instalar a versão base do WhatsApp oficial?
Acham que pode dar certo eu desinstalar esse GBWhatsApp mantendo dados de usuário e instalar a versão base do WhatsApp oficial?
Tens o chip ativo para o número desse GB?
Ainda preciso conferir isso. A última vez foi a alternativa pra decodificação dos DB msm.
Mas tava pensando em uma alternativa independente de SIM.
Mas tava pensando em uma alternativa independente de SIM.
Como essa. Mas não sei se procede.
É, não sei se dá certo, se seria reconhecido como um WhatsApp.
Entre exportar por bluetooth ou e-mail, eu prefiro utilizar o chip, pois o database criptografado é uma prova mais sólida do que um monte de txt exportado, já q a key está vinculada ao número e ao db.
sem contar no trabalhão q dá ficar exportando
e acaba sendo menos invasivo, já q basta fazer uma extração de sistemas, preservando mais os dados do celular
do q instalar e reinstalar whatsapp, etc
Sim. Eu tenho um celular com root aqui. Vou testar essa de desinstalar e reinstalar. Vamos ver o que dá. Pelo menos pra curiosidade.
Pelo SIM tá garantido msm.
Valeu.
Pelo SIM tá garantido msm.
Valeu.
Uma forma de reduzir um pouco a trabalheira é utilizar o android client view pra automatizar o processo. Um colega já disponibilizou um script em python nesse sentido.
Dai adapta o script pra o do modelo do whatsapp
Outra desvantagem de exportar é que mensagens possivelmente valiosas em dbs de dias anteriores não serão obtidas
Desculpa se a pergunta é muito leiga, mas o que seria o Android Client View?
É, tem as problemáticas do método, mas é um método que geralmente dá certo, quando nenhum outro dá certo... rs..
https://github.com/dtmilano/AndroidViewClient
É uma biblioteca em python que automatiza processos em dispositivos android..
Origem 019 — 13/04/2021 09:59 a 14:47 — Imagem forense de mídia protegida por BitLocker
Bom dia! Estou com tablet Positivo Duo ZX3020 bloqueado por senha. Alguma dica de como realizar a extração?
Acho que esse computador é windows com memória flash interna, logo, uma estratégia de extração é boot por pendrive/DVD com linux e fazer um dd da flash. É senha da bios? Truecrypt? Ou senha do windows?
Senha do Windows
Se tiver com *bitlocker*, aí complica mais (dados cifrados), ou faz *bruteforce*, ou tenta recuperar a senha no F8 do *boot*, ou com disco de recuperação do windows (na mesma versão do que tem na máquina), ou tenta achar a senha vazada pela *darkweb* ou bancos similares de senha, baseada no usuário.
Tive uma experiência positivo a pouco tempo com Axiom....ele conseguiu descriptografar o bitlocker sem senha.... demorou, quase 30 dias para um disco de 250gb ....mas funcionou ..
dependendo da versão do Bitlocker, o bruteforce é mais factível
Caraca cara, deixei rodando por 25 dias e nada... Usou qual dicionário?
Mais 5 dias, quem sabe dava certo...😆
Vou fazer laudo complementar 🤫
https://g1.globo.com/politica/noticia/2021/04/12/operacao-spoofing-pf-conclui-nao-ser-possivel-atestar-autenticidade-e-integralidade-de-mensagens.ghtml
Bem, se for levar a rigor, em nenhuma mensagem das nossas perícias será possível afirmarmos ter autenticidade e integralidade, kkk. MAs daí a desconsiderarmos a prova... Espero que não aconteça isso.
Previsível, pois teria que ter sido feita a comparação com as mensagens nos celulares. Só texto complica.
Se o celular não tiver root, a possibilidade de adulteração é extremamente remota.
Poderia talvez alterar a base de dados do whatsapp em um celular com root, direto na base da memória interna que não é criptografada, fazer o backup e colocá-lo em um novo celular sem root e recuperar a base de dados nele acessando a conta com o mesmo chip. Nesse caso a base estaria adulterada e sem suspeita. 😬
Mas as mensagens não eram do telegram?
Ah, a do caso eram sim do telegram, acredito que um blob de texto hackeado tem 0 possibilidade de por si só atestar a autenticidade. Estava cogitando a possibilidade de adulteração de mensagens periciadas direto do celular, com base no questionamento do Artur.
Inclusive, muitas vezes há apenas prints de conversas (como no caso do Henry). Na qual facilmente um advogado poderia derrubar, só não derruba pq geralmente se encontram outros elementos que corroboram (como o novo depoimento da babá).
Já banco de dados de whatsapp aumenta a força da prova, mas ainda assim não é a prova de bala, como por exemplo a situação de root mencionada
A base de dados é como o DNA, não é 100% segura, mas a chance de não ser é tão pequena que é aceita como verdade
pois é. Até um print pode ser altamente relevante, havendo outros elementos para corroborar.
Esse print pode ser considerado como uma adulteração de prova, não pode?!
Origem 020 — 24/05/2021 11:40 a 13:32 — Extração e decodificação de bancos do WhatsApp
Bom dia a todos. Estou com um LGk12+ que não habilita o modo desenvolvedor. Alguém pode me dar uma luz??
Como vc esta tentando habilitar?
já busquei assistencia técnica da LG e nada
Menu principal, Configurações, Sobre o telefone, Informações do software, tocar em Criar número
ativar o Modo Desenvolvedor
ativar o Modo Desenvolvedor
eles instalaram um app que exibe atalhos para os comandos do Android...
é como se estivesse bloqueado por um programa
pelo menos não achei
Pessoal, caso vocês enfrentem problemas com os dbs crypt*14* do WhatsApp mais recente, o WhatsApp Viewer foi atualizado recentemente, dando suporte ao novo formato. Útil para quem não tiver um PA atualizado 👍🏻
Suponho que o PA já esteja dando suporte, correto?
https://github.com/andreas-mausch/whatsapp-viewer/releases/tag/v1.14
Origem 021 — 17/06/2021 20:11 a 20:23 — Extração e decodificação de bancos do WhatsApp
Caros, boa noite. Só compartilhando o resultado de um teste que venho fazendo há algum tempo, e agora, acabo de ter um bom resultado.
Tratam-se dos casos em que o WhatsApp fora anteriormente desinstalado, mas os databases .crypt12 continuam no armazenamento interno (/media/WhatsApp/Databases/). Nesses casos, ou o P. A. não retorna nenhuma mensagem, ou retorna apenas aquelas obtidas via carving.
Neste último teste, fiz uma busca em um dump físico de um celular, usando os primeiros 30 bytes relativos à chave do WhatsApp (arquivo "key"), que venho notado como sendo padrão (destacados na foto seguinte). A key tem comprimento total de 158bytes (0x9E).
Salvando esse trecho de 158B em um arquivo "key", e rodando o plug-in do PA (Android WhatsApp Standalone W/ Prov. Key), ele passou a interpretar as bases .crypt12 presentes no aparelho, e as mensagens foram inclusas no projeto.
Tratam-se dos casos em que o WhatsApp fora anteriormente desinstalado, mas os databases .crypt12 continuam no armazenamento interno (/media/WhatsApp/Databases/). Nesses casos, ou o P. A. não retorna nenhuma mensagem, ou retorna apenas aquelas obtidas via carving.
Neste último teste, fiz uma busca em um dump físico de um celular, usando os primeiros 30 bytes relativos à chave do WhatsApp (arquivo "key"), que venho notado como sendo padrão (destacados na foto seguinte). A key tem comprimento total de 158bytes (0x9E).
Salvando esse trecho de 158B em um arquivo "key", e rodando o plug-in do PA (Android WhatsApp Standalone W/ Prov. Key), ele passou a interpretar as bases .crypt12 presentes no aparelho, e as mensagens foram inclusas no projeto.
isso, perfeito! Venho fazendo quando o dump físico por algum bug do meu PA antigo não reconhece o sistema de arquivos corretamente ou quando a Key não existe mais, mas algumas vezes o dump ainda tem o resquício da key.
Nesse caso essa área da memória tá para algum arquivo?
Bacana!
Vinha xeretando nisso há tempos, mas não tinha sorte em coincidir com a key correta.
Vinha xeretando nisso há tempos, mas não tinha sorte em coincidir com a key correta.
Eu geralmente só busco alguns bytes na mão mesmo
Em 2016 eu passei umas 2 semanas com um caso assim. Busquei o hexa inicial da chave mas não tive sucesso de jeito nenhum. Acho que foi porque o celular tinha só uns 100 megas livres e a chave [SEGREDO] sobrescrita.
Na época percebi que os arquivos .nomedia também continham os bits iniciais da chave.
Mas vem muito falso positivo
Os .nomedia que ficavam nas pastas do whatsapp.
Origem 022 — 17/06/2021 20:55 a 22:05 — Extração e limitações em dispositivos Motorola
Se essas keys repetem um prefixo, será que a força bruta seria mais facil com essa redução de bits da chave. Ou esse prefixo não faz parte da chave aes?
Acho q não fazem parte os primeiros bytes
Pq acho q todas as keys crypt12 vem assim no comeco
Deve ser algum outro dado
Talvez no crypt14 esse trecho já seja diferente
https://github.com/leosol/whatsapp-key-carver
Pessoal, a gente no DF notou que a melhor maneira de achar a chave apagada é por meio dessa estrutura. Fizemos esse carver em 2019 e usamos bem antes disso em casos reais...
lamento que não tenha chegado ao conhecimento de vcs anteriormente
compartilhei isoladamente com um e com outro mas nunca abertamente...
enfim... amanhã compartilho os fontes
a mudança foi só no algoritmo
a cada dia, usamos menos o carver, por causa do FBE
Top D+.
Me tira uma duvida, o dispositivo possuía algum tipo de cifragem? FDE ou FBE
Me tira uma duvida, o dispositivo possuía algum tipo de cifragem? FDE ou FBE
Ainda não usei. Mas não entendi, eu deveria ter compartilhado aqui?
de forma alguma!! me expressei mal. perdão. é que eu lamento que a gente no DF não tenha tornado mais público, mas enfim...
Vocês do DF estão sempre à frente, venho aprendendo muito!
Seus scripts pra motorola xt10... e xt15.. já me salvaram muitas vezes eheh
grupo aqui tá forte! 💪
é bom inclusive fazer esses carvings mesmo quando está instalado o zap, verificando se algum crypt12 ficou sem descriptografar (no PA é representado pelo ">" ao lado do crypt12, ao menos na versão 7.8.0)
Toda vez q rola uma nova instalação sem restauração
*sem restauração de backup
e aí pode acontecer de alguns crypt12 descriptografar (o da key do zap atual)
e outros no mesmo dump não
o banco tb segue um padrão...
Bem isso, mesmo.
Esses crypt12 não decodificados com a key vigente vão parar todos na seção “Uncategorized” do PA, e passam batidos..
Esses crypt12 não decodificados com a key vigente vão parar todos na seção “Uncategorized” do PA, e passam batidos..
é necessário um banco de amostra
Origem 023 — 25/06/2021 08:49 a 08:53 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Pessoal, uma sequência de bytes bem grande (30 bytes) se repete nos arquivos key - de recuperação do backup do whatsapp.
Pessoal, uma sequência de bytes bem grande (30 bytes) se repete nos arquivos key - de recuperação do backup do whatsapp.
https://github.com/leosol/whatsapp-key-carver
dado o próprio tamanho da sequência, é meio difícil que o programa retorne muitos falsos positivos
quando rodo, resulta em 0, 1 ou 2 chaves
(que muitas vezes são chaves mesmo - de outras configurações do whatsapp)
para rodar:
.\whatsapp-carver.exe MMCBLK0.dd
(*obs*: não esquecer de colocar a dll do cygwin na mesma pasta do exe - usei POSIX 😅)
.\whatsapp-carver.exe MMCBLK0.dd
(*obs*: não esquecer de colocar a dll do cygwin na mesma pasta do exe - usei POSIX 😅)
usei uma chave bem antiga de 2018 e outra gerada ontem mesmo com a atualização do whatsapp mais recente
Origem 024 — 25/06/2021 17:34 a 19:29 — Extração e decodificação de bancos do WhatsApp
Boa tarde. Fizemos uma extração downgrade de um Samsung j810m onde o msgstore.db está acusando como corrompido. Já tentamos no ufed e no xry e temos o mesmo resultado. Além disso, já tentamos pegar o backup crypy14 e a key [SEGREDO] pelo WhatsApp viewer e também não funciona. Me parece que a data base estaria realmente corrompida, apesar que manualmente nós conseguimos visualizar as mensagens no aplicativo (não verifiquei todas as conversas)
https://www.github.com/B16f00t/whapa/tree/master/libs%2Fwhacipher.py
O whatsapp viewer mais recente é compatível também
Parece que existem versões diferentes
um colega aqui da SPI/PCDF (Augusto) fez uma correção
https://github.com/B16f00t/whapa/issues/113
augustoraphael commented 9 days ago
As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:
data = db_data[191:]
iv = db_data[67:83]
#96 (comment)
The above suggestion must be considered in the solution.
As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:
data = db_data[191:]
iv = db_data[67:83]
#96 (comment)
The above suggestion must be considered in the solution.
Vamos testar. Muito obrigado
Da pra ver que uma pessoa comenta na issue que fez um brute-force
variando os parâmetros da key (posição dentro da parte útil da key), levando 1 dia aproximadamente
ao final, outra pessoa comenta que as posições sugeridas não deram certo
bug do WhatsApp? modificaram o encrypt e esqueceram do decrypt?
testei aqui, gerei o backup, o WhatsApp reconhece mas deu erro ao decriptar
gerei o backup -> desconectei e reconectei a conta
vou juntar tudo aqui para postar na issue
pessoal, testei com W4b e Whatsapp padrão, versões 2.21.12.21 (whatsapp e w4b)
deu certo com a sugestão do augusto e com a turma da issue
decryptou o crypt14
só fazer esse ajuste mesmo:
_As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:
data = db_data[191:]
iv = db_data[67:83]_
_As mentioned in the previous isssue (link below), I think it has changed again. I got success descrypting my database just after change my whacipher.py file in lines 79 and 80 to the following:
data = db_data[191:]
iv = db_data[67:83]_
Origem 025 — 30/06/2021 20:24 a 21:18 — Extração e análise de variantes do WhatsApp
Samsung J415G/DS (Galaxy J4 Plus) com WhatsApp e GBWhatsApp.
GBWhatsApp veio com a Lógica Avançada.
<Mídia oculta>
Tela ao abrir o WhatsApp.
Tela ao abrir o WhatsApp.
E o WhatsApp veio com a Sistema de Arquivos.
Tava com sorte 🤦🏻♂️🤣🤣🤣
Pelo menos em algumas versões do YoWhatsApp, eles operavam através de uma cópia decodificada do msgstore.db. Nesse caso, eram acessíveis via dump de filesystem (e advanced logical).
Talvez ocorra algo análogo com esse GBWhatsApp.
Talvez ocorra algo análogo com esse GBWhatsApp.
Origem 026 — 01/07/2021 11:25 a 12:24 — Extração e decodificação de bancos do WhatsApp
Parabéns [MENCAO], peguei aqui um caso em que o PA não extraiu nenhuma mensagem WhatsApp. Rodei o programa e ele encontrou apenas uma chave. Rodei o plug in dentro do PA com a chave [SEGREDO] e mesmo assim continuou sem exibir nada. Olhei dentro do sistema de arquivos e vi que o aparelho possui vestígios de instalação de 5 versões diferentes do WhatsApp (todas crypt12). Usando o aplicativo WhatsApp viewer fui testando a chave em cada uma das databases e a chave decriptografou uma das bases com bastante coisa relevante. 👏🏼👏🏼👏🏼
Boa!👏👏👏
Tive esse mesmo problema no PA 7.42.
Mas no 7.45, aqui o script populou a seção Chats/WhatsApp, sem problemas.
Tive esse mesmo problema no PA 7.42.
Mas no 7.45, aqui o script populou a seção Chats/WhatsApp, sem problemas.
estou rodando o PA 7.46.0.64
depois vou fazer o teste com aversão anterior
puxa, que ótimo!! obrigado pelo feedback!!
<Mídia oculta>
Talvez ajude dar uma olhada no crypt12 com um editor HEX. Os dois últimos bytes são os 2 últimos números do celular. Assim vc exclui aquele backup eventualmente feito com outro número. Não sei se ajuda muito no seu caso... mas eventualmente pode ser útil...
Talvez ajude dar uma olhada no crypt12 com um editor HEX. Os dois últimos bytes são os 2 últimos números do celular. Assim vc exclui aquele backup eventualmente feito com outro número. Não sei se ajuda muito no seu caso... mas eventualmente pode ser útil...
<Mídia oculta>
infelizmente tiraram isso do crypt14... 😅
achava bom...
infelizmente tiraram isso do crypt14... 😅
achava bom...
IMG-20210701-WA0026.jpg (arquivo anexado)
Database de um tal de YoWhatsApp
A luta agora é fazer os dados aparecerem dentro do PA
Imita a estrutura de diretório do zap colocando o msg no databases e o key no files que dev funcionar
tem um script de importação do PA, já tentou usar?
quando roda ele pede a chave
Script para decriptar a base do WhatsApp
Tem esse plugin mesmo
Foi esse que rodei, mas acredito que ele tá tentando usar a chave recuperada na database errada, pois após execução ele não mostra nenhuma conversa WhatsApp
Melhor fazer num projeto separado avulso
Só com o database alvo e a s midias
Origem 027 — 19/07/2021 11:19 a 11:58 — Extração e decodificação de bancos do WhatsApp
Sabe informar qual kernel?
Android 9, Kernel 3.18.120
ou decrypting qualcom, alguém já fez?
Esse kernel é muito difícil fazer. Principalmente patch atualizado
Esses decrypt não são via EDL?
decrypting via EDL
alguém já fez nos Moto G6?
Já peguei um com patch atual e ele travava na extração. Não consegui.
Não faz, chipset com suporte limitado. Além disso G6 já é FBE.
Ouvi dizer que dá para desbloquear os xt1922 usando o perfil do lg-d821 no ufed, "remove screen lock". Mas nunca tentei
<Mídia oculta>
Alguém sabe o que significa esse scrambled?
Alguém sabe o que significa esse scrambled?
As mensagens aparecem todas fora de ordem… parece que o cara tá imitando o mestre Yoda…
Está explicado em um release do PA
Essas mensagens são doutra database do WhatsApp em iPhones. Ele consegue saber que é de uma mesma mensagem, mas não a ordem das palavras
Decoding of Scrambled messages (WhatsApp FTS ChatSearchV5fDB)
The decoding of WhatsApp messages recovered fromChatSearchV5f database is now supported. This is a
new source for WhatsApp messagesfor indexing messages data for quick search.
In ChatSearchV3 – the words inside the text body are ordered correctly.
InChatSearchV5f - the words are not necessarily ordered correctly and therefore cannot be re-ordered.
Recovering these “Scrambled messages’ still bring value.
For example, if a suspect sent "I will kill you” message, we would still see value recovering that message
even if body is "Kill I will you".
‘Scrambled messages’ will be indicated with a label.
The decoding of WhatsApp messages recovered fromChatSearchV5f database is now supported. This is a
new source for WhatsApp messagesfor indexing messages data for quick search.
In ChatSearchV3 – the words inside the text body are ordered correctly.
InChatSearchV5f - the words are not necessarily ordered correctly and therefore cannot be re-ordered.
Recovering these “Scrambled messages’ still bring value.
For example, if a suspect sent "I will kill you” message, we would still see value recovering that message
even if body is "Kill I will you".
‘Scrambled messages’ will be indicated with a label.
Entendi, perfeito. Obrigado.
Origem 028 — 10/09/2021 17:01 a 17:01 — Recuperação e decodificação de bancos do WhatsApp
https://techcrunch.com/2021/09/10/whatsapp-encrypt-cloud-backup/
Origem 029 — 22/10/2021 11:18 a 11:18 — Aparentemente apenas nos casos em que a chave
https://olhardigital.com.br/2021/10/20/seguranca/ferramenta-gratuita-pode-descriptografar-arquivos-atacados-por-ransomware/
https://github.com/SpiderLabs/BlackByteDecryptor
aparentemente apenas nos casos em que a chave [SEGREDO] , mas, já é um caminho!
Origem 030 — 11/11/2021 10:42 a 10:55 — Extração e decodificação de bancos do WhatsApp
Amigos, bom dia! Haveria alguma ferramenta de merge de dbs de whatsapp além do forensictools e whamerge do whapa?
Ambos estão com alguns problemas em fazer merge na versão mais recente dos dbs
o UFED PA, 😅
na teoria...
mas ele não está fazendo merge de crypt14...
tá foda...
na teoria...
mas ele não está fazendo merge de crypt14...
tá foda...
acho que não pegaram o lance da chave que mudou...
alguém avisa a turma na cellebrite 🙏
nossa, a versão recente do PA está sem fazer?
acho que não... pelo menos não consegui...
alguém mais no grupo teria notado o PA decriptando crypt14 e fazendo merge?
alguém mais no grupo teria notado o PA decriptando crypt14 e fazendo merge?
o Axiom parece q faz, mas não gostei muito daquela interface... e ele não exportar um .db merged, só exibe
o whapa tem travado...
pois é, tava olhando o código em python, é porque estão usando colunas e tabelas com nomes antigos
processei os ultimos com o IPED...
mudou muita coisa, tou tentando reescrever o código
No release notes do 7.49 diz que corrigiram o "WhatsApp backup not decrypted with key", mas não testei para ver se tem haver com crypt14
só q apareceu uma dúvida
o whamerge está focando apenas em algumas tabelas
pelo q entendi tem várias tabelas que ele não junta
pega do db mais recente
não sei se é pq é garantido q no db mais recente vem tudo, mas acho q n....
vou conferir assim que tiver um caso...
caramba... demorou isso hein 🤦♂️
caramba... demorou isso hein 🤦♂️
o whamerge só faz merge das tabelas messages, chatlist, quote e thumbnail
kkk eu detesto mexer com db, não é meu forte, mas tô tentando aqui
pq nosso PA é de 2018 ainda 🤦🏻♂️
pelo menos o codigo [SEGREDO] simples
mas estou sem entender o pq do código ignorar as outras tabelas, será q não precisa?
são muitas tabelas, ele só foca em 4
acho que o objetivo é apenas remontar o banco, sem torná-lo funcional... ou seja, se jogar o banco _merged_ no app, ele deve dar algum problema... provavelmente o motivo é pouca gente para dar manutenção...
é, faz sentido. No nosso caso é importante tudo.
Origem 031 — 18/01/2022 21:42 a 21:49 — Bootloader, desbloqueio OEM e risco de wipe
Qual método ele forneceu? Seria o lock pick?
Esse modelo é chipset MTK, então talvez consiga fazer via aquelas opções de MTK generico via bootloader. Como não sei se é crypto, tentaria primeiro as opções não crypto e depois a opção crypto.
Talvez ele seja Android 7, então pode ainda nao ser crypto
Essas marcas diferentes das tradicionais costumam estender bastante as versões do Android sem crypto
Nesse seria a física.
Se não foi apresentado lock pick no perfil dele, procure no perfil android generic e tente esse método, visto que o eq tem suporte a OTG
Cabo 500 e 501
Qual erro foi apresentado?
Vou tentar amanhã!
Tentou apenas 1 vez?
O interessante do caso q é de 2014
Então não deve ter sucesso mesmo.
Achei q seria super rápido
Aquelas opções de fisica bootloader podem te salvar então
Como última tentativa, ainda tem aquele software SP flash tools, mas nesse caso apenas se não for crypto
Vou tentar [MENCAO] !
Aviso se conseguir! 👊🏽
Origem 032 — 09/02/2022 11:56 a 13:52 — Extração e análise de variantes do WhatsApp
<Mídia oculta>
Imagem 1 (GbWhatsApp)
Imagem 1 (GbWhatsApp)
bom dia, gostaria de compartilhar com os colegas um caso de incosistencia de datas no aplicativo GbWhatsApp (imagem 1) e informações especificadas da mensagens (opção Dados - imagem 2). Utilizei tambem o EXTRATOR, e coincidiu com as informações da imagem 2.
<Mídia oculta>
Imagem 2 (dados da mensagem)
Imagem 2 (dados da mensagem)
Existem 10 dias de diferença entre as datas.
Alguem já tinha visto isso ou tem alguma explicação?
Data do dispositivo na hora do envio das mensagens?
Não tenho essa informação
mas o crime investigado aconteceu de fato no dia 23 de agosto
Bem, não sei se é o caso.... existe a data que a mensagem foi entregue ao servidor do whatsapp e existe outra data em que ela foi recebida efetivamente recebida no aparelho (data em que o aparelho foi conectado a internet) precisa analisar o banco de dados
Origem 033 — 16/02/2022 07:36 a 07:36 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
Manual_Extracao_SIGNAL.pdf
Manual_Extracao_SIGNAL.pdf
Olá meus caros amigos, neste tutorial vamos aprender a extrair e descriptografar a base de dados do aplicativo SIGNAL, que ao contrário dos demais apps, como Whatsapp e Telegram, este mantém o seu banco de dados local (signal.db) criptografado em modo AES-GCM, ou seja, mesmo que seja possível coletar tal base através de uma coleta física (ROOT) ou lógica (DOWNGRADE), nada poderá ser feito enquanto ela não for descriptografada.
Para Android, temos que obter três valores para descriptografar o banco de dados, o primeiro é o valor da chave que está no arquivo USERKEY_SignalSecret em formato HEXADECIMAL, localizado na KEYSTORE do dispositivo (VAMOS EXTRAIR SEM ROTEAR O DISPOSITIVO), vamos burlar e obter essa chave de um outro modo.
Já os demais valores estão presentes no arquivo XML org.thoughtcrime.securesms_preferences.xml, localizado na pasta raiz do Signal, sendo eles o TEXTO CIFRADO com AUTHTAG (Tag de autenticação) + IV, todos no formato BASE64.
Antes de iniciarmos de fato as aquisições devemos entender que o MAIOR DESAFIO está em extrair a chave HEXADECIMAL localizada na KEYSTORE do dispositivo, neste caso é necessário que o profissional realize o procedimento de ROOT para assim ter acesso a todo sistema operacional do aparelho, no entanto sabemos que atualmente, além dos riscos de danificar o dispositivo, as tentativas de realizar esse procedimento em dispositivos mais novos tem falhado...
Para Android, temos que obter três valores para descriptografar o banco de dados, o primeiro é o valor da chave que está no arquivo USERKEY_SignalSecret em formato HEXADECIMAL, localizado na KEYSTORE do dispositivo (VAMOS EXTRAIR SEM ROTEAR O DISPOSITIVO), vamos burlar e obter essa chave de um outro modo.
Já os demais valores estão presentes no arquivo XML org.thoughtcrime.securesms_preferences.xml, localizado na pasta raiz do Signal, sendo eles o TEXTO CIFRADO com AUTHTAG (Tag de autenticação) + IV, todos no formato BASE64.
Antes de iniciarmos de fato as aquisições devemos entender que o MAIOR DESAFIO está em extrair a chave HEXADECIMAL localizada na KEYSTORE do dispositivo, neste caso é necessário que o profissional realize o procedimento de ROOT para assim ter acesso a todo sistema operacional do aparelho, no entanto sabemos que atualmente, além dos riscos de danificar o dispositivo, as tentativas de realizar esse procedimento em dispositivos mais novos tem falhado...
Origem 034 — 01/07/2022 08:57 a 08:59 — Recuperação e decodificação de bancos do WhatsApp
Bom dia. Qual o site quem tem as ferramentas de solução (quando existe ) para ransomware dependendo do tipo ?
Bom dia.
Essas empresas de antivirus geralmente têm uma área de ferramentas de descriptografia.
https://www.avast.com/pt-br/ransomware-decryption-tools#pc
https://noransom.kaspersky.com/
e outras....
Essas empresas de antivirus geralmente têm uma área de ferramentas de descriptografia.
https://www.avast.com/pt-br/ransomware-decryption-tools#pc
https://noransom.kaspersky.com/
e outras....
https://www.nomoreransom.org/pt/index.html
Origem 035 — 21/07/2022 12:11 a 12:30 — Extração e compatibilidade em Samsung SM-A526B
No nosso banco de dados aqui, já houve sucesso com android 9
Não sei se estou errando em alguma configuração, pois tbém não consegui remover a tela inicial dele. Sempre quando ele reinicia, fica uma tela onde preciso deslizar para ir para a tela inicial. Já mexi em todas as configurações e não consigo tirar isso. E também não sei se é isso q está causando o insucesso
Olá. Qual versão do seu Touch?
E qual versão do kernel desse seu xiaomi?
E qual versão do kernel desse seu xiaomi?
4PC 7.57
Kernel 4.4.192-perf-g6859189
Kernel 4.4.192-perf-g6859189
Verificar se não é um bug nessa versão, pois deveria funcionar.
Bom dia a todos os amigos
SM-A526B
Pelo modelo M1808?
Tem algum desbloqueio pelo ufed
Pode usar o gnerico tbm. É a mesma coisa.
Não. É um Samsung Qualcomm. Então sem opção.
Perfeito [NOME] muito obrigado amigo
Origem 036 — 19/08/2022 08:02 a 08:23 — Extração e decodificação de bancos do WhatsApp
Bom dia, pessoal.
Todas as minhas extrações físicas não estão recuperando WhatsApp. Já aconteceu com algum de vcs?
Todas as minhas extrações físicas não estão recuperando WhatsApp. Já aconteceu com algum de vcs?
pelo ufed
existe o aplicativo e existe o msgstore.db, mas o physical analyzer não traz a opção no menu
Teve mudança no esquema do banco de dados do Whatsapp, que foi alterado no PA 7.56. Se tiver usando uma versão anterior não vai pegar.
Então, estou na versão 7.57
estou tendo que rodar o plugin Android Whatsapp Standalone pra conseguir trazer no menu. iOS que complica
Origem 037 — 03/11/2022 10:20 a 10:53 — Extração e decodificação de bancos do WhatsApp
Pessoal, bom dia! Conforme combinado, segue o link https://1drv.ms/u/s!AuHaDfORR1hLhdVZF_wAtgC3bBZArA?e=s4eVwZ do script de recuperação de arquivos de mídia do wa. Qualquer dúvida só me mandar msg
o whatsapp-decrypt-media.exe foi vc quem fez?
não, eu utilizo ele no script
Bom dia! Samsung A01 desbloqueado
alguma forma de EDL ou outro modo de extrair mais do que ADB? FBE?
A015 ou a013 ?
A015
Origem 038 — 05/05/2023 01:36 a 01:36 — ✨✨✨Melhores Certificações de Segurança Cibernética (GRATUITAS) (Atualizado !!!) ✨✨✨ / / / ✅1
✨✨✨Melhores Certificações de Segurança Cibernética (GRATUITAS) (Atualizado !!!) ✨✨✨
✅1. Introduction to Cybersecurity: https://lnkd.in/ghQY8cKA
✅2. Cybersecurity Essentials: https://lnkd.in/gZe6bf-t
✅3. Networking Essentials: https://lnkd.in/gjipDpgG
✅4. Intro to Information Security by Udacity: https://lnkd.in/ggdYxnUp
✅5. Network Security by Udacity: https://lnkd.in/gSHx2tJQ
✅6. NSE 1,2 & 3: https://lnkd.in/gsQJhn2a
✅7. Information Security by OpenLearn: https://lnkd.in/gvfghKNs
✅8. Network Security by OpenLearn: https://lnkd.in/gS2KWNfN
✅9. Risk Management by Open Learn: https://lnkd.in/gGPTDU2g
✅10. Certified in Cybersecurity℠ - CC: https://lnkd.in/gW3w8Jqu
✅11. CCNA Security Courses: https://lnkd.in/gfby3CR2
✅12. Network Defense Essentials (NDE): https://lnkd.in/g6mRKt2t
✅13. Ethical Hacking Essentials (EHE): https://lnkd.in/gRBGCud7
✅14. Digital Forensics Essentials (DFE): https://lnkd.in/gPrkYcDH
✅15. Dark Web, Anonymity, and Cryptocurrency: https://lnkd.in/gUrCCGdf
✅16. Digital Forensics by Open Learn: https://lnkd.in/gdv8emgt
✅17. AWS Cloud Certifications (Cybersecurity) : https://lnkd.in/gaDGWdkm
✅18. Microsoft Learn for Azure: https://lnkd.in/gDpkXiik
✅19. Google Cloud Training: https://lnkd.in/get8rnkh
✅20. Android Bug Bounty Hunting: Hunt Like a Rat: https://lnkd.in/gMNT8saN
✅21.Vulnerability Management: https://lnkd.in/gvNKJnni
✅22. Software Security: https://lnkd.in/gG4P5bkn
✅23. Developing Secure Software: https://lnkd.in/gQRwTzKU
✅24. PortSwigger Web Hacking - https://lnkd.in/eEa-fNfu
✅25. RedTeaming - https://lnkd.in/et_T2DEa
✅26. Splunk - https://lnkd.in/et5bkjeY
✅27. Secure Software Development - https://lnkd.in/ebGpA4wG
✅28. Maryland Software Security - https://lnkd.in/e3z4zFmJ
✅29. Stanford Cyber Resiliency - https://lnkd.in/eg9BM5Bv
+++
15 Free CISA Courses
https://lnkd.in/gH58PAFP
✅1. Introduction to Cybersecurity: https://lnkd.in/ghQY8cKA
✅2. Cybersecurity Essentials: https://lnkd.in/gZe6bf-t
✅3. Networking Essentials: https://lnkd.in/gjipDpgG
✅4. Intro to Information Security by Udacity: https://lnkd.in/ggdYxnUp
✅5. Network Security by Udacity: https://lnkd.in/gSHx2tJQ
✅6. NSE 1,2 & 3: https://lnkd.in/gsQJhn2a
✅7. Information Security by OpenLearn: https://lnkd.in/gvfghKNs
✅8. Network Security by OpenLearn: https://lnkd.in/gS2KWNfN
✅9. Risk Management by Open Learn: https://lnkd.in/gGPTDU2g
✅10. Certified in Cybersecurity℠ - CC: https://lnkd.in/gW3w8Jqu
✅11. CCNA Security Courses: https://lnkd.in/gfby3CR2
✅12. Network Defense Essentials (NDE): https://lnkd.in/g6mRKt2t
✅13. Ethical Hacking Essentials (EHE): https://lnkd.in/gRBGCud7
✅14. Digital Forensics Essentials (DFE): https://lnkd.in/gPrkYcDH
✅15. Dark Web, Anonymity, and Cryptocurrency: https://lnkd.in/gUrCCGdf
✅16. Digital Forensics by Open Learn: https://lnkd.in/gdv8emgt
✅17. AWS Cloud Certifications (Cybersecurity) : https://lnkd.in/gaDGWdkm
✅18. Microsoft Learn for Azure: https://lnkd.in/gDpkXiik
✅19. Google Cloud Training: https://lnkd.in/get8rnkh
✅20. Android Bug Bounty Hunting: Hunt Like a Rat: https://lnkd.in/gMNT8saN
✅21.Vulnerability Management: https://lnkd.in/gvNKJnni
✅22. Software Security: https://lnkd.in/gG4P5bkn
✅23. Developing Secure Software: https://lnkd.in/gQRwTzKU
✅24. PortSwigger Web Hacking - https://lnkd.in/eEa-fNfu
✅25. RedTeaming - https://lnkd.in/et_T2DEa
✅26. Splunk - https://lnkd.in/et5bkjeY
✅27. Secure Software Development - https://lnkd.in/ebGpA4wG
✅28. Maryland Software Security - https://lnkd.in/e3z4zFmJ
✅29. Stanford Cyber Resiliency - https://lnkd.in/eg9BM5Bv
+++
15 Free CISA Courses
https://lnkd.in/gH58PAFP
Origem 039 — 05/05/2023 10:22 a 10:36 — Extração e decodificação de bancos do WhatsApp
Sugiro então verificar no PA na mensagem bugada qual a fonte que ele usou, para ver qual msgstore.db ele pegou, se foi o do data/data/com.whatsapp ou de algum crypt14 dos databases, e verificar se o .db utilizado está indexando corretamente
Pegou do /apps/com.whatsapp/db/msgstore.db
é... tanatoscopia nesse msgstore aí, abre as tripas dele e vê se tem buraco de bala nesse negócio aí...
Origem 040 — 03/06/2023 09:43 a 10:28 — Extração e decodificação de bancos do WhatsApp
Os criminosos são criativos.
Me dá uma agonia quando alguém fala sobre tecnologia como se fosse algo mágico, sem dar nenhum detalhe técnico...
no rádio, tv e em qualquer canto tá cheio de geólogos, filósofos, advogados falando de TI dessa forma
olha que ainda rende visualizações...
nego repete que isso ou aquilo tem o poder de realizar técnicas mágicas hacker sem nem fazer um teste básico
cruzes
no rádio, tv e em qualquer canto tá cheio de geólogos, filósofos, advogados falando de TI dessa forma
olha que ainda rende visualizações...
nego repete que isso ou aquilo tem o poder de realizar técnicas mágicas hacker sem nem fazer um teste básico
cruzes
Programação pra Android tá na minha lista de aprendizados 😂😂
Mas o que eu já li, e ainda nao programei/testei, é que um app não consegue ler dados de outro app né
Ou seja, nao adianta eu criar um app e tentar ler por exemplo a /data/data/com.whatsapp/databases
Imagina que super poderoso isso que ele falou no vídeo...teria que ler toda a estrutura da /data/data e ainda saber onde fica cada senha [SEGREDO] fica armazenada
Origem 041 — 02/08/2023 22:23 a 22:24 — Recuperação e decodificação de bancos do WhatsApp
https://athenaforensics.co.uk/how-to-identify-when-an-android-handset-was-factory-reset/
Dá uma olhada ali no link que eu mandei
Tem um banco de dados do Android que guarda as informações de quando configuraram as contas
Talvez te ajude a confirmar essas datas aí que tu tá vendo
Origem 042 — 03/08/2023 17:01 a 17:02 — Na lógica ele deu erro em algumas etapas e fomos omitindo
Ou foi parcial da parcial?
Na lógica ele deu erro em algumas etapas e fomos omitindo...
Puq esse crypto impacta em ambas extrações.
Origem 043 — 22/08/2023 11:17 a 12:16 — Extração e root em dispositivos LG
Bom dia! Android armazena powerlogs? E logs indicando quando foi ativado/desativado modo avião, wifi, etc?
Mas esse tipo de backup trouxe o wpp alguma ve?
Sim, creio que seja a partição userdata toda ou os arquivos dela
Nas q eu fiz n vem 😰
Se não me engano, tive que unir também os binários em um só para funcionar corretamente no PA
Powerlogs ou de rede, alguém sabe dizer se tem no Android?
Depende do android. LG tem uma partição "secreta" que vem algo similar ao powerlog
tem inclusive as últimas ERBs (banco de dados LDB_MainData.db da partição mpt)
Axiom decodifica bem. UFED parcialmente
Android >=10 acho que tem um DB tb que tem algo do uso de aplicações, rede, etc...
tentando lembrar o nome do DB e onde fica
/system/batterystats-daily.xml
Aqui tem uns locais com informações interessantes no android:
https://github.com/RealityNet/Android-Forensics-References
https://github.com/RealityNet/Android-Forensics-References
👍🏻 obrigado vou procurar
Origem 044 — 14/09/2023 18:19 a 18:34 — Extração e decodificação de bancos do WhatsApp
<Mídia oculta>
estava aqui observando as informações exibidas pelo PA que tem como fonte o "/data/data/com.whatsapp/databases/msgstore.db : 0x6124DC7 (Tabela: message, message_location; " e vi que tem um campo TIPO que, às vezes, fica indicado como *SHARED* .
Qual seria a interpretação correta dessa informação?
estava aqui observando as informações exibidas pelo PA que tem como fonte o "/data/data/com.whatsapp/databases/msgstore.db : 0x6124DC7 (Tabela: message, message_location; " e vi que tem um campo TIPO que, às vezes, fica indicado como *SHARED* .
Qual seria a interpretação correta dessa informação?
em alguns registros o Tipo aparece em branco, noutros como *Shared*
é possível estabelecer uma relação entre a "linha do tempo" e as "localizações do dispositivo"?
pelo que vi aqui na linha do tempo, naquele instante exato, havia um estabelecimento de conversa entre o proprietário e um terceiro.
a fiquei na dúvida se a localização é do terceiro ou do proprietário do aparelho em estudo.
Creio q se refira ao autor da mensagem
eu o que eu preciso, mas preciso ter certeza disso pra fechar a resposta.
quando vi esse campo marcado na imagem eu fiquei na dúvida.
Origem 045 — 20/09/2023 10:11 a 10:33 — Extração e acesso a dados em iPhone 5
Windows 10 Timeline, se extrai de onde? chave?
procura no site da Nirsoft
tem inumeros softwares desenvolvidos...um deles eh quantas vezes cada programa foi executado, e historico de execucoes (linha do tempo)
tambem sugiro muito converter essa imagem .dd para .vmdk e executar no Vmware pra ver se a VPN estava instalada, se estava configurada pra inicializar junto, etc
tem inumeros softwares desenvolvidos...um deles eh quantas vezes cada programa foi executado, e historico de execucoes (linha do tempo)
tambem sugiro muito converter essa imagem .dd para .vmdk e executar no Vmware pra ver se a VPN estava instalada, se estava configurada pra inicializar junto, etc
boa ideia, subir na VM
AXIOM decodifica muita informação do SO
o IPED não seria uma solução gratuita para esse caso também ?
É um arquivo de banco de dados no formato SQLite localizado em:
*C:\Users\<profi le>\AppData\Local\ConnectedDevicesPlatform\<account-ID>\ActivitiesCache.db*
Eu gosto MUITO da ferramenta *Windows 10 Timeline database parser* do Eric Zimmerman
https://f001.backblazeb2.com/file/EricZimmermanTools/WxTCmd.zip
*C:\Users\<profi le>\AppData\Local\ConnectedDevicesPlatform\<account-ID>\ActivitiesCache.db*
Eu gosto MUITO da ferramenta *Windows 10 Timeline database parser* do Eric Zimmerman
https://f001.backblazeb2.com/file/EricZimmermanTools/WxTCmd.zip
Acho que ainda faltam muitos módulos no IPED para chegar perto do que o Axiom já faz
Axiom decodifica o TIMELINE do windows
como ferramenta gratis...tem essas da Nirsoft, Eric Zimmerman e o Autopsy
Nirsoft tem muita coisa top
para os mais experientes, entre o IPED e o Autopsy qual a melhor ? ou seria interessante processar nas duas ?
sugiro processar nos 2
nao ao mesmo tempo
Pessoal, alguém já teve oportunidade de examinar uma AirTag? Sei que está chegando uma aqui pra exame... Pelo que pesquisei, através de um iPhone, é possível ver os dados do proprietário...
Será que algo mais?
porque vai travar total tua maquina
Acho que dados do proprietário não, mas um iPhone deve detectar um AirTag próximo durante um tempo
Acho que armazenamento não tem né?
Belkasoft has released another beta version of our Belkasoft X Brute-Force tool: https://belkasoft.com/brute. The list of supported device models extended with iPhone 5 and 5C.
Estão fornecendo trial gratuito
Origem 046 — 11/01/2024 22:01 a 22:27 — Extração e decodificação de bancos do WhatsApp
se ele tinha WhatsApp, gerou o crypt12, depois desinstalou...
sendo FBE, complica msm
se vc não estiver com o SIM ativo... puts... aí complica mais ainda
sei nem o que fazer...
quem usa o Ávila, ele faz algo nestes casos?
sendo FBE, complica msm
se vc não estiver com o SIM ativo... puts... aí complica mais ainda
sei nem o que fazer...
quem usa o Ávila, ele faz algo nestes casos?
O [NOME] forensics faz o apk-downgrade do whatsapp, mas vai depender da versao do android (ele consegue até a versao 11 salvo engano)
isso, o [NOME] só faz downgrade apk. como na física já vieram todos os arquivos possíveis, acredito q sem o chip já era
guarda aí os crypt12 pra quando chegar um computador quântico kkk
É engraçado que mesmo no caso do Cellebrite, as vezes traz a key do whatsapp, mas ao tentar usar o WhatsApp Viewer diz que a key [SEGREDO]
o viewer tá desatualizado
A "sorte" é que o PA do Cellebrite já deixa aberto o crypt
daqui a 20 anos quando descriptografar tu envias o laudo no dia de se aposentar 😅
Origem 047 — 12/01/2024 06:09 a 07:56 — Extração e decodificação de bancos do WhatsApp
IMG-20240112-WA0000.jpg (arquivo anexado)
Você usaria o chip em outro celular ou num celular virtual , instala o whatsapp fornecendo os crypt12 e recuperaria a key pra ler as mensagens
Mas se é caso antigo já deve estar desativado o chip
Não sei se o whatsapp ainda restaura mensagens de crypt12 antigos na instalação, mas suponho q sim
Origem 048 — 12/04/2024 18:15 a 19:24 — Identificadores de telefonia, IMEI, ICCID e operadoras
Turma, alguém teria um banco de dados TAC/IMEI atualizado?
(é aquele banco de dados que relaciona a parte do imei com o fabricante/modelo)
acho que o kaggle tem mas tá desatualizado...
(é aquele banco de dados que relaciona a parte do imei com o fabricante/modelo)
acho que o kaggle tem mas tá desatualizado...
A base vem forte, já está interessado no grupo da forense 😅.
Tá testando como funciona a criptografia da visualização única
Pessoal estava comentando aqui hoje ele já foi testar.
Origem 049 — 24/06/2024 10:43 a 12:10 — Recuperação e decodificação de bancos do WhatsApp
Bom dia, colegas.
Qual a experiência de vocês com o "insaites" PA da Cellebrite?
Estão tendo problema dele ser muito pesado? comigo, numa máquina boa (64GB RAM, RTX 3060, I7, SSD) ele demora 30 segundos para responder um click ou uma ação de etiquetar uma evidência. E também já houve o fechamento abrupto do programa durante o uso. Estou bem decepcionado com a solução. Desisti de usa-lo. Produtividade baixíssima para fase de análise das evidências. Única alegria foi quando ele fechou abruptamente, eu abri e recarreguei a extração já decodificada. <Mensagem editada>
Qual a experiência de vocês com o "insaites" PA da Cellebrite?
Estão tendo problema dele ser muito pesado? comigo, numa máquina boa (64GB RAM, RTX 3060, I7, SSD) ele demora 30 segundos para responder um click ou uma ação de etiquetar uma evidência. E também já houve o fechamento abrupto do programa durante o uso. Estou bem decepcionado com a solução. Desisti de usa-lo. Produtividade baixíssima para fase de análise das evidências. Única alegria foi quando ele fechou abruptamente, eu abri e recarreguei a extração já decodificada. <Mensagem editada>
Boa tarde. Saberemos esta semana, mas espero ter uma boa usabilidade.
Esses "freezes" e fechamentos abruptos acontecem com muita frequência no XAMN Pro, a ponto de quase desistir de usar o programa para uma análise mais aprofundada.
Esses "freezes" e fechamentos abruptos acontecem com muita frequência no XAMN Pro, a ponto de quase desistir de usar o programa para uma análise mais aprofundada.
O comum é ter sérios problemas de performance. Já tive casos de que a extração não abriu no PA e ele abriu sem problemas. Tentar colocar o banco de dados dele em unidade SSD ajuda bastante
Origem 050 — 30/08/2024 11:42 a 12:07 — Extração e decodificação de bancos do WhatsApp
Dá uma olhada nesse artigo: https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_opensource-hacking-redteam-activity-7203985359225921536-MirL?utm_source=share&utm_medium=member_android
Para Whatsapp tem essa outra opção, gerando uma chave para criptografar o backup mas perde os backups da pasta:
https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_[NOME]-universal-whatsapp-extraction-activity-7149264399789191168-eIUA?utm_source=share&utm_medium=member_android
https://www.linkedin.com/posts/[NOME]-a-[NOME]-0987_[NOME]-universal-whatsapp-extraction-activity-7149264399789191168-eIUA?utm_source=share&utm_medium=member_android
Vou ver se consigo...
Alguém teria o *Apk WhatsApp-Email* para disponibilizar, por gentileza?
Esse do WhatsApp pode fazer tambem com outras ferramentas:
- Gera o End-to-End Encrypted Backup, anota a hex key, e decrypta com esse tool:
https://github.com/KnugiHK/WhatsApp-Chat-Exporter
Comando:
wtsexporter -a -k chave32bytes -b msgstore.db.crypt15
- Gera o End-to-End Encrypted Backup, anota a hex key, e decrypta com esse tool:
https://github.com/KnugiHK/WhatsApp-Chat-Exporter
Comando:
wtsexporter -a -k chave32bytes -b msgstore.db.crypt15
n é o mesmo EXTRATOR?
O extractor eu tenho por aqui...
queria testar outras opções pra ver se diferencia em algo
Origem 051 — 20/09/2024 08:58 a 11:55 — Extração e decodificação de bancos do WhatsApp
IMG-20240920-WA0001.jpg (arquivo anexado)
Aqui pede pra conectar a conta pra ativar a opção INSTALAR VIA USB
Aqui pede pra conectar a conta pra ativar a opção INSTALAR VIA USB
<Mídia oculta>
Bom dia! Moto g(20). Fiz a Smart Flow mas não veio o WhatsApp. Alguma dica?
Bom dia! Moto g(20). Fiz a Smart Flow mas não veio o WhatsApp. Alguma dica?
bota no AvillaForensics pra ver se reconhece pra apk down
Dá pra tentar rodar o iped em cima do UFDR também, Farias, aqui, quando o PA não pega, na maioria das vezes o iped consegue montar os chats.
No zip que extraiu tem a pasta do WA?
Fica lá em /data/data
Eu tô achando q não tem chat. Analisando o sistema de arquivos não tem o banco nem a chave, na pasta com.whatsapp. Tbm não tem mídia na pasta Media. Nem banco criptografado.
Peguei um aqui que a estrutura do WZ tava dentro da pasta do Facebook, por mais que eu alterasse os nomes, o PA não conseguia dormir mxergar, daí o Iped matou a paca.
<Mídia oculta>
[MENCAO]
[MENCAO]
<Mídia oculta>
Não tem a chave
Não tem a chave
Talvez esteja sem conta ativa, por isso não tem nada mesmo.
<Mídia oculta>
E nem o banco com as mensagens
E nem o banco com as mensagens
Nesse databases não tem algum msgstore?
Então não tem mesmo.
Talvez nem tenha conta ativa, por isso essa tela aí
Eu não tinha visto essa tela ainda. Talvez seja uma que esta no meio do processo de ativação.
<Mídia oculta>
Nem mídia nem banco criptografado
Nem mídia nem banco criptografado
Resumindo, acho q não tem nada mesmo. Deve ser ativação
Essa pasta databases tá muito pequena, com cara de que tá vazia mesmo.
De qualquer forma Farias, dá uma procurada, no projeto inteiro, pelo arquivo msgstore, pra ver se ele não pode tá disfarçado em outra pasta, como eu disse, peguei um aqui que tava dentro da pasta do Facebook.
Tentou no octoplus? E importou pro PA? Ou n tem o modelo lá?
Nenhum resultado 🤣🤣
Achei q era LG kkk
Tem que lembrar que existem os WhatsApp agora que são companiondevices (não são o principal).
não é pq é um celular que tem whatsapp que vc vai achar base e backups. Companions não fazem backups
não é pq é um celular que tem whatsapp que vc vai achar base e backups. Companions não fazem backups
Dessa eu não sabia. 🤦🏻♂️ Nesse caso específico na pasta Media tbm não tem nada. Nenhum áudio, nenhuma imagem ou vídeo.
Origem 052 — 19/12/2024 20:58 a 21:05 — Análise de Registro Windows e arquivo NTUSER.DAT
Pessoal, caso seja útil para alguém
eu fiz um programa que recebe como entrada o ZIP extraído do UFED premium e almeja produzir históricos de apps (*inclusive deletados*)
O programinha já seleciona as fontes e tenta produzir um timeline do app
Algumas fontes de informação são bem interessantes, como o sistema de Ahead of Time Compilation, que ocorre em alguns casos específicos (Dynamic Dex Loading, por exemplo). Outra fonte que me chamou a atenção foi um banco de dados interno que guarda a "orientaçao" preferida do app, se landscape ou portrait
eu fiz um programa que recebe como entrada o ZIP extraído do UFED premium e almeja produzir históricos de apps (*inclusive deletados*)
O programinha já seleciona as fontes e tenta produzir um timeline do app
Algumas fontes de informação são bem interessantes, como o sistema de Ahead of Time Compilation, que ocorre em alguns casos específicos (Dynamic Dex Loading, por exemplo). Outra fonte que me chamou a atenção foi um banco de dados interno que guarda a "orientaçao" preferida do app, se landscape ou portrait
mesmo após deletar, o registro fica no banco..
em alguns casos, eu consegui uma janela muito boa sobre a presença do app no aparelho, mesmo após ter sido excluído
Premium é de lua. Hoje fez bypass e física
https://github.com/leosol/android-app-analysis-timeline
<Mídia oculta>
Exemplo de como da para visualizar o "histórico da presença" do app no aparelho
Exemplo de como da para visualizar o "histórico da presença" do app no aparelho
Origem 053 — 21/01/2025 11:56 a 12:20 — Extração e decodificação de bancos do WhatsApp
Pessoal, como que vocês desenvolveriam a resposta a este quesito?
• Foi realizada uma verificação técnica que confirme a integridade do banco de dados de mensagens (backup) do WhatsApp?
• Foi realizada uma verificação técnica que confirme a integridade do banco de dados de mensagens (backup) do WhatsApp?
minha opinião é que não dá pra garantir nada...vai que alteraram o msgstore, fizeram restore e depois forçaram backup ?
https://medium.com/[MENCAO]/manipula%C3%A7%C3%A3o-de-mensagens-e-dados-em-dispositivos-android-sem-root-c6525b2e27d8
sera q estão querendo saber se foi tirado um hash do msgstore antes da extracao?
Depois do initroot usaria o perfil genérico ADB rooted?
Eu sinceramente duvido que a própria defesa saiba o que está perguntando aqui.
é, ai ta parecendo "enrolation" pra confundir o magistrado
essa restauração deixa vestígios
Que vestígios vc diz?
Será que se pegar a key [SEGREDO] o bkp já pode indicar integridade?
E se a adulteração foi feita tanto no mgstore quanto no backup?
O processo que ele faz é realizar um backup downgrade, alterar o banco e restaurar o backup. Testei somente em dois aparelhos e o processo de restauração faz com que certos arquivos percam os metadados de data de modificação. Possivelmente a biblioteca nativa do android não se preocupa em preservar essa informação. Possivelmente no log do whatsapp também deve ter vestígios
É um tipo de coisa que se foi feito pode ser que você consiga evidenciar que foi feito mas que se não achar evidência não significa que não foi feito. Pode ser apenas que você procurou vestigios errados. Se a pergunta for se há garantia de integridade não vai ter resposta. <Mensagem editada>
na época da pandemia tinha resumido isso: https://br4n6.wordpress.com/ <Mensagem editada>
Eu acho que uma linha pra responder pode ser que garantimos a integridade do conteúdo desde o recebimento da peça, que veio lacrada.
Mas que antes disso, não podemos responder.
Mas que antes disso, não podemos responder.
Enquanto na custódia da perícia, a integridade estava garantida.
Origem 054 — 24/03/2025 14:51 a 15:35 — Extração e análise de dados em iPhone/iOS
Apenas atualizando: pelo Premium não foi, mas pelo UFED normal checkm8 conseguimos uma FFS tranquilamente 🤷🏻♂️
Sobre o Inseyets PA, na prática o consumo de RAM é menor que o PA 7? Ou a mesma coisa?
Vou abrir uma extração de 400 GB de iPhone estou com receio de o consumo no PA 7 ser muito alto
A nova versão do inseyts (10.5) tá bacana. Fiz uns testes recentmente e acho que já corrigiram bem o uso de memória.
Ele não usa muita memória não, pois os dados estão situados todos em banco de dados. Logo, ele sobe só uma janela de dados para ram. Hoje o tamanho em megas dessa janela tem sido bem menor que a quantidade de megas que o PA ocupa. <Mensagem editada>
Ele não usa muita memória não, pois os dados estão situados todos em banco de dados. Logo, ele sobe só uma janela de dados para ram. Hoje o tamanho em megas dessa janela tem sido bem menor que a quantidade de megas que o PA ocupa. <Mensagem editada>
👍🏻 então vou testar no inseyets PA. Obrigado
Origem 055 — 10/09/2025 08:22 a 08:48 — Extração e acesso a dados em Redmi A2
Se for de um iPhone, tem o banco de dados Media.db
Lá ficam registrados todas as midias do aparelho celular. As produzidas e nao. (Nao lembro se tem diferença nesse BD das produzidas ou nao).
Esse BD tbm muda conforme versão do iOS. Mas consegue apoio no chatGPT sobre a interpretação dele. Já fiz uma vez sobre outra questão e ficou bem bacana.
Ai se correlacionar outras infos de sistemas do uso da câmera e apps, pode ser que consiga constatar a produção. Principalmente se nao for muito antigo.
Já nos androids vai depender de vários fatores. Marca, modelo, versão android, etc.
Lá ficam registrados todas as midias do aparelho celular. As produzidas e nao. (Nao lembro se tem diferença nesse BD das produzidas ou nao).
Esse BD tbm muda conforme versão do iOS. Mas consegue apoio no chatGPT sobre a interpretação dele. Já fiz uma vez sobre outra questão e ficou bem bacana.
Ai se correlacionar outras infos de sistemas do uso da câmera e apps, pode ser que consiga constatar a produção. Principalmente se nao for muito antigo.
Já nos androids vai depender de vários fatores. Marca, modelo, versão android, etc.
é Android. Redmi A2+
Origem 056 — 03/10/2025 18:25 a 20:03 — Era possivel acessar os arquivos manualmente apenas. / / Tinha senha o app
Eu já fiz uma vez pericia em um desses container crypto.
Naquele caso, no BD do app tinha essa correlação do arquivo crypto com o não crypto.
Naquele caso, no BD do app tinha essa correlação do arquivo crypto com o não crypto.
Eu não consegui na época decrypt os arquivos. Acabamos fazendo uma cópia deles e depois foi demonstrado a correlação via BD do app.
Era possivel acessar os arquivos manualmente apenas.
Tinha senha o app, mas descobrimos a senha por tentativas.
Tinha senha o app, mas descobrimos a senha por tentativas.
Se pesquisar esses nomes de arquivos de JPG no PA, ele nao indica algum BD que tenha essa informação?
Não pesquisei todos os 417. Fiz uma amostragem de meia dúzia, e eles não acharam correspondência direta do nome do arquivo com dados armazenados, só localizou o próprio arquivo e um link no Google Quick Search Box. No banco de dados do app só tinha a versão criptografada do nome de parte desses arquivos e de mais alguns arquivos em outra pasta, mas que o PA também reportou com zero bytes.
Origem 057 — 23/10/2025 16:35 a 18:13 — Extração e análise de variantes do WhatsApp
<Mídia oculta>
Boa tarde.
Alguém já se deparou com essa msg ao fazer o Parsing do WhatsApp no PA, por favor?
Xiaomi - Redmi 13C - Android 15 (Hyper OS)
A extração foi feita pelo [NOME] Forensics 3.8 (General Single Copy) + Univedrsal WhatsApp Extraction
Boa tarde.
Alguém já se deparou com essa msg ao fazer o Parsing do WhatsApp no PA, por favor?
Xiaomi - Redmi 13C - Android 15 (Hyper OS)
A extração foi feita pelo [NOME] Forensics 3.8 (General Single Copy) + Univedrsal WhatsApp Extraction
provavelmente o esquema do banco de dados está atualizado e não tá conseguindo fazer parser 🤷🏻♂️
igual eu abriria o msgstore.db com o DBBrowser for SQlite pra conferir
é o mais provável, mas pensei em perguntar no grupo pra ver se havia algo a mais <Mensagem editada>
Essa msgm sempre vai aparecer se o WA nao estiver em na árvore de diretório padrão ou esperada.
Ele aparece a mesma em uns tipos de extração via PC3000.
Quando nao esta
Dump/data/data/com.whats....
Ele da essa msgm.
Dump/data/data/com.whats....
Ele da essa msgm.
Se montar certinho a estrutura, ele deve sumir.
acabei deixando na pasta padrão da extração -> C:\Forensics-3-8\acquisitions\default\CopyAll\WC8TIRF6KZ4HQKQO\sdcard\Android\media\com.whatsapp\WhatsApp <Mensagem editada>
é a primeira vez que recebo essa msg.
Talvez o parse possa ficar zuado. Mas aí nao tenho certeza. <Mensagem editada>
É um alerta, pois não está no caminho padrão para o dispositivo. Pelo menos agora ele faz parsing, antigamente passava reto.
Agora isso pode ter relevância no exame se esses artefatos estiverem originalmente assim e não for fruto do processo de extração.
Agora isso pode ter relevância no exame se esses artefatos estiverem originalmente assim e não for fruto do processo de extração.
Estava agora com essa mensagem para o GBWhatsapp e não fez o parsing. O [MENCAO] me socorreu e montou direitinho os dbs. 👊
Eu não consegui montar as mags
Da forma como a extração foi feita eu mantive. Só complementei com os arquivos decriptografados
Origem 058 — 09/02/2026 11:14 a 12:36 — Extração e decodificação de bancos do WhatsApp
eu não tenho experiência com o uso dos ufdr no whatsapp... o que vc recomenda usar de config no parser pra ficar blz o whatsapp?
Pode mandar o Iped processar direto o UFDR, algumas não permitem, acho que o ipediar não lista o arquivo, por exemplo. Eu aconselhou colocar para parser banco de dados internal e external se não me engano no ipedconfig. Estou sem acesso agora , mas te mando no privado o parâmetro.
Origem 059 — 11/02/2026 09:17 a 10:17 — Extração e decodificação de bancos do WhatsApp
bom dia, pelo que tava lendo no histórico do grupo, iPhone 12 pro, com senha, com iOS 26.2.1, só no grey key, premium não faz, confere?
hot só GK. desbloqueado parece que o Inseyets beta está fazendo desde que a proteção de dispositivo roubado esteja desativada
Bom dia senhores, estou usando inseyets PA versão 10.8.0.6089 abrindo a extração de um iPhone XR IOS 18.7 .... Extração grande de 120gb .
O inseyets categorizou as mensagens do whatsapp, porém percebi que algumas mensagens do whatsapp foram identificadas no PA como INSTANTE MESSAGES mas tenho certeza, pelas características, que são do whatsapp. Alguém já teve problema semelhante?
O inseyets categorizou as mensagens do whatsapp, porém percebi que algumas mensagens do whatsapp foram identificadas no PA como INSTANTE MESSAGES mas tenho certeza, pelas características, que são do whatsapp. Alguém já teve problema semelhante?
Sim. No PA clássico esse problema era ainda mais grave. 100% das msgm iam para lá
Estamos deixando de usar o PA e migrando para o Inseyets para tentar fugir disso, pois não só o WA caia lá, mas o telegram, WA4B e outros.
A princípio o Inseyets tinha corrigido isso.
Caramba.... Nem previsão de correção ele deram?
Vimos que no 10.7.1 ainda tinha algumas msgm lá e no 10.8 tinha diminuído a qtd, mas nao devem ter resolvido 100%
Pode também indexar pelo iped 4.3
Nem sei.
Esse problema no PA estava ocorrendo desde a 7.71
Esse problema no PA estava ocorrendo desde a 7.71
fizemos isso aqui também. apesar de achar o PA mais estável migramos por conta desse problema com o whatsapp
Origem 060 — 04/03/2026 11:39 a 16:10 — Artefatos e vestígios de uso do WhatsApp Web
Bom dia a todos,
Estou com problema para extrair um Motorola XT2241-2 (Motorola edge 30 ultra)
Alguém aqui já teve dificuldades com esse aparelho?
Estou com problema para extrair um Motorola XT2241-2 (Motorola edge 30 ultra)
Alguém aqui já teve dificuldades com esse aparelho?
Boa tarde povo, alguém sabe me dizer onde fica registrado na última versão (ou últimas versões) do WhatsApp que o aparelho foi conectado no WhatsApp Web ?
eu tô olhando o arquivo log de texto puro que fica no /data/data/com.whatsapp/files/Logs
salvo engano meu, antes ficava um arquivo sqlite com nome "sessions" (algo assim) na pasta de databases
achei, fica no arquivo de LOG mesmo
HistorySyncManager/startMessageHistorySync for Device jid: 2333:[EMAIL], Platform type: CHROME, Device OS: Windows, Last active: 1772646296208, Login time: 1772646296208,
HistorySyncManager/startMessageHistorySync for Device jid: 2333:[EMAIL], Platform type: CHROME, Device OS: Windows, Last active: 1772646296208, Login time: 1772646296208,
Não me recordo se no mais atual, mas o banco é o companion_devices.db
Pode ler os campos do companion-devices.db aqui:
https://belkasoft.com/android-whatsapp-forensics-analysis
https://belkasoft.com/android-whatsapp-forensics-analysis
Origem 061 — 09/03/2026 16:14 a 17:10 — Root e extração em dispositivo Positivo
Mais um perito criminal para ser adicionado ao grupo 👆
Questionou o uso do Iped pela PF
IMG-20260309-WA0005.jpg (arquivo anexado)
Na próxima fatura da Techbiz vamos pedir que esse valor seja respeitado
Na próxima fatura da Techbiz vamos pedir que esse valor seja respeitado
Leram a matéria? Está buscando os seus "15 minutos de fama". O IPED é _open source_ , toda a comunidade mundial pode acessar e auditar a ferramenta, não é uma "caixa preta". E aposto que o próprio "perito" faz uso da ferramenta. Ademais, o [NOME], o [NOME] Forensics, outro dia mostrou como fazer para recuperar a mensagem, via utilização de ferramenta de banco de dados. <Mensagem editada>
Eu desenvolvo "ferramentinhas" _ad hocs_ e coloco isso no laudo. Se a parte a quem interesse solicitar o acesso ao código, eu fornecerei sem problemas. Colocar em dúvida a integridade da ferramenta só porque eles desenvolvem só porque eles desenvolveram, sem algo concreto e quando o código [SEGREDO] disponível, isso é claramente uma má fé IMHO.
Sem dúvida.
Segundo alguns código aberto é problema, mas ferramentas que decodificam sem qualquer transparência (e com bug) é a verdade absoluta.
🙄
Segundo alguns código aberto é problema, mas ferramentas que decodificam sem qualquer transparência (e com bug) é a verdade absoluta.
🙄
Fato. Mas essa matéria está com cara de que foi "comprada", aí arrumam os tais 'especialistas' que ninguém nunca ouviu falar para emitir esse tipo de opinião enviesada.
Já tivemos casos em que decodificam timezone totalmente errado e casos em que colocou uma data de ultima msgm na conversa que tirou do além, sem qualquer rastreio.
https://www.instagram.com/[NOME].castilho
Verdade. E possuem milhares afirmando que IPED é tecnicamente excelente , mas oq importa é um que diz que não acha correto 🙄
STK-20260309-WA0006.webp (arquivo anexado)
na real nao é Perito Criminal Oficial
a imprensa que tem mania de chamar de Perito Criminal
Faz parte. Afinal, jornalistas tbm têm boletos <Mensagem editada>
Nada contra criticar, questionar, um dos fundamentos da ciência é o ceticismo e isso é positivo, desde que direcionado eticamente em busca de sua melhoria. <Mensagem editada>
Tive que pesquisar quem é esse cara. Vi que é perito ganso. Quase fui convencido que era POC fazendo serviço de contra inteligência alimentando o país com informação errada, porque é algo que eu definitivamente faria se tivesse que falar com a mídia kkkkk
O que é um perito ganso?
Aqui na Bahia é o pato, que anda, voa e nada. Anda mal, voa mal e nada mal
É isso aí Danillo
O "mercado" tá cheio disso. Imagem bit-a-bit em celular... Dai-me paciência pai!
O "mercado" tá cheio disso. Imagem bit-a-bit em celular... Dai-me paciência pai!
Não sei se é o mesmo Castilho dessa outra matéria aqui: https://www.cnnbrasil.com.br/politica/caso-master-perito-detalha-como-a-pf-acessa-celulares-bloqueados/. Mas nesse artigo ele me perdeu quando afirmou que: "Segundo Castilho, no Brasil, apenas a PF, Polícia Civil e o Ministério Público têm autorização para utilizar softwares especializados em quebra de senhas e extração de dados." Como se Polícia Científica e Perícia Criminal fossem Polícia Civil em todo o país...
Origem 062 — 20/04/2026 10:49 a 11:29 — Identificadores de telefonia, IMEI, ICCID e operadoras
Bom dia. Já atendi um caso desse tipo. Fizemos a coleta dos logs e do banco de dados do Zabbix que ficava monitorando a rede para identificar se o tráfego na Empresa era condizente com o serviço prestado pela operadora. No final não conseguimos achar nada de relevante.
Interessante. O log foi da empresa que supostamente estaria utilizando a fibra de terceiro?
Origem 063 — 14/05/2026 09:07 a 10:43 — Extração e decodificação de bancos do WhatsApp
Bom dia. Estou com aparelho com suspeita de está conectado ao aparelho da vítima. Encontrei um registro de aparelho conectado no whatsapp, mas ainda não consegui achar na extração está informação. Alguma dica?
Tem um banco sqlite (salvo engano companion_devices.db no Android) que guarda informações sobre os aparelhos conectados a conta, porém, da última vez que analisei, não tem o IP. Apenas um número sequencial de sufixo, o sistema operacional, tipo de dispositivo, e as datações de conexão. <Mensagem editada>
No Android (/data/data/com.whatsapp/databases/) e no iOS (AppDomainGroup-group.net.whatsapp.WhatsApp.shared)
Para pegar o IP, ou vc pede quebra para META ou provedor (vc tem as datações), ou vc pode tentar interceptar o tráfego do aparelho quente <Mensagem editada>