Wiki CompFor
WhatsApp, WhatsApp Web, Telegram e mensageiros

WhatsApp Web em computadores e navegadores

Categoria: WhatsApp, WhatsApp Web, Telegram e mensageiros

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre whatsApp Web em computadores e navegadores no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, IPED, Magnet AXIOM, FTK, ADB, BitLocker, WhatsApp. Os termos mais recorrentes neste tema incluem: whatsapp, mas, web, https, foi, esse, arquivo, alguma, pra, pode. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Buscar artefatos de navegador, cache, LNK e histórico de acesso.
  • Distinguir espelhamento do celular de dados persistidos localmente.
  • Validar conversas encontradas em arquivos recuperados com os artefatos originais.

Ferramentas, sistemas ou marcas citadas

UFEDIPEDMagnet AXIOMFTKADBBitLockerWhatsApp

Palavras-chave recorrentes

whatsappmaswebhttpsfoiessearquivoalgumaprapodemensagemdatacachevermaiscomputadorcasomeu

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 22/11/2017 09:21 a 09:21 — Estou vendo se próximo ano consigo empacotar a solução e disponibilizar para uso

22/11/2017 09:21 · Membro 0003
Estou vendo se próximo ano consigo empacotar a solução e disponibilizar para uso. Atualmente precisa utilizar linux e windows, e ainda assim, o linux que ficava no meu notebook pifou...

Origem 002 — 28/06/2018 10:26 a 10:34 — Artefatos e vestígios de uso do WhatsApp Web

28/06/2018 10:26 · Membro 0034
Bom dia, pessoal. Alguém sabe se há alguma maneira de manipular uma mensagem do WhatsApp para parecer que alguém recebeu uma mensagem, mas na verdade o destinatário não enviou.

Uma mulher entrou na justiça e apresentou como prova uma mensagem enviada pelo seu patrão. Este, por sua vez alegou que não mandou a mensagem.

O simples fato de eu constatar no celular que a mensagem X tem como remetente o patrão dela é prova suficiente?
28/06/2018 10:30 · Membro 0003
Poderia manipulando a base de dados do whatsapp, mas não é algo trivial.
28/06/2018 10:30 · Membro 0003
Precisaria de root no aparelho também.
28/06/2018 10:31 · Membro 0003
Se fosse no whatsapp web seria bem fácil falsificar.
28/06/2018 10:32 · Membro 0034
Você diz alterando o código html?
28/06/2018 10:33 · Membro 0034
É. Aí seria fácil mesmo.
28/06/2018 10:33 · Membro 0003
No chrome vc pode inspecionar a página e alterar para um print.
28/06/2018 10:34 · Membro 0023
Ainda sim, nem tanto trivial..

Origem 003 — 02/10/2018 18:58 a 19:14 — Artefatos e vestígios de uso do WhatsApp Web

02/10/2018 18:58 · Membro 0014
Caso interessante.
02/10/2018 19:01 · Membro 0008
Não, pera.. Deixa ver se entendi
02/10/2018 19:01 · Membro 0008
A defesa alegou que, só porque não tinha o software do Whats instalado no desktop, ele não apagou nada remotamente?
02/10/2018 19:02 · Membro 0008
Os colegas aí mais conhecedores poderiam responder a procedência disso, levando em conta que o WhatsApp Web não necessariamente requer o software instalado no computador?
02/10/2018 19:03 · Membro 0014
Na verdade foi apagado a mensagem do aplicativo após apressão realizada.
02/10/2018 19:03 · Membro 0008
Explico melhor o questionamento:
Só porque no PC do Blairo não acharam um registro de WhatsApp Web, quer dizer que não pode ter usado WhatsApp Web em outro computador?
02/10/2018 19:03 · Membro 0014
Esta alegando que a evidência foi manipulada
02/10/2018 19:03 · Membro 0008
Sim, eu vi lá... Mas daí é foda né...
02/10/2018 19:04 · Membro 0014
Fake desligamento do dispositivo. Cerberus tem essa funcionalidade.
02/10/2018 19:06 · Membro 0014
A pessoa desliga o dispositivo é fica um tela preta. Mas na verdade você ainda pode manipular remotamente o diapositivo.
02/10/2018 19:06 · Membro 0014
Como evitar isso. Sequência de tecla para entrar na recovery e desliga via recovery
02/10/2018 19:11 · Membro 0014
Claro que no mundo ideal leva a faraday bag e coloca no diapositivo pra não tem comunicação
02/10/2018 19:14 · Membro 0013
Presumo também que eles não removeram o chip.
02/10/2018 19:14 · Membro 0013
Aí nada disso teria acontecido. Acredito eu.

Origem 004 — 15/12/2018 10:57 a 11:41 — Imagem forense de mídia protegida por BitLocker

15/12/2018 10:57 · Membro 0071
Ao utilizar o HD externo com bitlocker no Notebook, se ele monta e estão acessíveis as pastas e os arquivos, funcionaria instalar o FTK Imager no Notebook, adicionar e fazer a imagem de um drive lógico? Meu pensamento é que o FTK Imager conseguiria fazer a leitura bloco a bloco já descriptografado... Faz sentido?
15/12/2018 11:40 · Membro 0061
Estou fazendo a imagem lógica pelo Imager portable... não pensei em instalá-lo na máquina
15/12/2018 11:40 · Membro 0020
Mas acho que só vai funcionar instalando localmente na máquina
15/12/2018 11:41 · Membro 0061
Mas é uma hipótese a se considerar...
15/12/2018 11:41 · Membro 0020
Continue postando os resultados 👍🏼

Origem 005 — 09/05/2019 08:22 a 08:29 — Artefatos e vestígios de uso do WhatsApp Web

09/05/2019 08:22 · Membro 0004
Pessoal, fiz alguns testes alterando a data do celular e verificando o funcionamento do whatsapp. Pude perceber que, nessa última versão stable (2.19.115), consigo alterar a data até o dia 22/04. Antes disso, o whats deixa de funcionar. Será que esse limite está associado à data do release? Não achei em nenhum lugar a data de lançamento dessa versão pra fazer esse tipo de associação.
09/05/2019 08:23 · Membro 0003
Mesmo com essa data alterada consegue receber e enviar mensagens? Ou só abrir o aplicativo?
09/05/2019 08:24 · Membro 0004
consigo enviar e receber, somente o whatsapp web não abre
09/05/2019 08:25 · Membro 0048
acho que pode estar associado a data de lançamento mesmo. o que vc pode fazer é ver a data de compilação dos artefatos dentro do apk
09/05/2019 08:25 · Membro 0004
Estou enviando agora do meu com a data de 22/04
09/05/2019 08:25 · Membro 0003
interessante, achava que não conseguiria nem enviar
09/05/2019 08:26 · Membro 0004
Na camada de apresentação não houve alteração nenhuma
09/05/2019 08:26 · Membro 0048
vi agora uma versão que baixei de um appmirror e a data dos binários dex estão do dia 23/04
09/05/2019 08:29 · Membro 0004
humm, provavelmente essa versão tem data de lançamento do dia 22/04

Origem 006 — 28/10/2019 11:57 a 12:20 — Procure pela extensão para saber qual é o ransomware e faça a busca

28/10/2019 11:57 · Membro 0023
Senhores, uma consulta rápida. Tenho um caso de uma empresa que teve os computadores hackeados, criptografaram todos os arquivos e pastas, e estão pedindo resgate. Primeira vez que pego uma situação dessas. Alguma orientação para reaver os arquivos? E identificar de onde partiu o ataque?
28/10/2019 11:59 · Membro 0095
Dependendo do Ransomware existem ferramentas que recuperam os dados...a Kaspersky disponibiliza algumas...
28/10/2019 12:01 · Membro 0097
Tente este site. https://www.nomoreransom.org/
28/10/2019 12:04 · Membro 0023
O pedido de resgate
28/10/2019 12:05 · Membro 0042
<Mídia oculta>
Guia Análise Ransomware
28/10/2019 12:08 · Membro 0097
Procure pela extensão para saber qual é o ransomware e faça a busca no site que passei. Se não tiver uma ferramenta pra decifrar lá no site, muito provavelmente ainda não há vacina.
28/10/2019 12:20 · Membro 0023
Beleza!! Grato pelas orientações, Marcus, [NOME] e Weberson!

Origem 007 — 15/02/2020 10:10 a 10:10 — Saiu a lista dos blocos de TI, segue: / / Todo mundo null

15/02/2020 10:10 · Membro 0060
Saiu a lista dos blocos de TI, segue:

* Todo mundo null
* Array até o chão
* Pega no meu Python
* Hoje dou exception
* Manda Node
* Orienta meu objeto
* Só no back-end
* Esse anel não é de Ruby
* Bloco das startups: Me acelera que eu desenvolvo
* Quer uma máquina minha?
* Bloco de notas
* Tá Arduíno assopra
* Byte que eu gamo
* Bloco das QArmelitas
* Shell na terra
* Xor da Xuxa
* SPAMta neném
* EnCACHE aqui
* Não valho nada mas JAVA li

Origem 008 — 25/03/2020 12:25 a 13:56 — Metadados EXIF/JPEG e individualização de câmera

25/03/2020 12:25 · Membro 0096
Pessoal, boa tarde. Tudo bem?
As mídias de interesse que se encontram em caminhos como o abaixo... Vcs conseguem afirmar algo?
.
USERDATA (ExtX)/Root/data/com.lomotif.android/cache/image_manager_disk_cache/[HASH-HEX].0
25/03/2020 12:26 · Membro 0096
Pq até onde conheço, não consigo determinar se esse tipo, em cache, se foi enviado, por exemplo.
25/03/2020 13:49 · Membro 0088
Complicado afirmar algo, realmente.
25/03/2020 13:49 · Membro 0088
Raramente tem metadados a imagem cache, essa tem?
25/03/2020 13:51 · Membro 0088
parece vir de um programa de customização de vídeos, correto?
25/03/2020 13:51 · Membro 0088
https://lomotif.en.uptodown.com/android
25/03/2020 13:51 · Membro 0088
mas pode ser cache justamente de um arquivo de outro programa, no caso
25/03/2020 13:52 · Membro 0088
de uma foto no DCIM, whatsapp, etc.
25/03/2020 13:52 · Membro 0088
<Mídia oculta>
Exemplo, lomotif, mas as imagens da galeria são do instagram, então caches de imagens do instagram, no caso...
25/03/2020 13:56 · Membro 0096
Muito abrangente né

Origem 009 — 04/09/2020 08:42 a 09:16 — Artefatos e vestígios de uso do WhatsApp Web

04/09/2020 08:42 · Membro 0076
Bom dia, pessoal.

Estou numa operação aqui em que o suspeito fugiu. Mas deixou o computador com whatsapp aberto. Desliguei a Internet para ele não fechar o WhatsApp remotamente. Tem muita conversa. Estava querendo exportar as conversas, mas não achei uma maneira muito fácil. Só estou conseguindo basicamente salvar o que tá na tela (não as conversas anteriores). Alguém saberia de alguma maneira mais simples.

Obrigado.
04/09/2020 08:47 · Membro 0116
Creio que vai precisar conectar à Internet pra carregar as conversas antigas.
04/09/2020 08:52 · Membro 0076
Sim. Mas queria salvar o que já está a mostra.
04/09/2020 08:52 · Membro 0076
Uma ideia que tivemos aqui é filmar a tela do notebook. Mas fica assim bem amador o procedimento. Hehehe
04/09/2020 08:56 · Membro 0116
Tem como selecionar e imprimir para PDF a seleção. Porém, as imagens não "impressas"
04/09/2020 08:57 · Membro 0015
tira o velho print da tela
04/09/2020 08:58 · Membro 0116
Ou um programa pra capturar a tela
04/09/2020 08:58 · Membro 0076
É. Eu vi aqui. Mas selecionar cada trecho da conversa vai dar trabalho. Acho que vai ser melhor filmar mesmo
04/09/2020 09:07 · Membro 0102
Bom dia colega, acredito que seja possível exportar os dados com javascript, através do console do browser
04/09/2020 09:08 · Membro 0102
https://stackoverflow.com/questions/50524263/whatsapp-web-how-to-access-data-now
04/09/2020 09:09 · Membro 0102
https://gist.github.com/phpRajat/[HASH-HEX]
04/09/2020 09:10 · Membro 0076
Vixe! Essa solução do javascrip parece boa.
04/09/2020 09:10 · Membro 0102
Esse script tem de ser carregado no DOM:
04/09/2020 09:10 · Membro 0102
let myScript = document.createElement("script");
myScript.setAttribute("src", "https://www.example.com/foo.js");
document.body.appendChild(myScript);
04/09/2020 09:11 · Membro 0102
Não sei dizer sobre a compatibilidade atual destes códigos, acredito que para não perder os dados, todo cuidado seja pouco, contudo, após documentar de outras formas, pode-se explorar estas possibilidades com maior liberdade
04/09/2020 09:16 · Membro 0084
Tem um programa chamado "Httrack" que faz um clone offline da página web, mas nunca testei no WhatsApp web

Origem 010 — 27/09/2021 10:27 a 13:12 — Identificadores de telefonia, IMEI, ICCID e operadoras

27/09/2021 10:27 · Membro 0041
Bom dia! Recebi uma requisição para fazer exame sobre furto de moedas bitcoin. Alguém já fez esse tipo de exame? Eu acreditava que seria de competência da Perícia Federal realizar esse tipo de exame.
27/09/2021 11:03 · Membro 0026
Bom dia. Eu já fiz uma vez referente a um esquema de pirâmide usando bitcoins. Não era exatamente furto de bitcoins. Acredito que não haja essa atribuição automática de competência para a PF.
27/09/2021 11:11 · Membro 0041
Complicado saber se o furto ocorreu entre Estados ou não.
27/09/2021 11:14 · Membro 0076
Pode ser que o objetivo seja ver como foi o furto: entraram na casa da pessoa e furtaram a seed, invadiram o computador e pegaram as chaves, entraram na conta da corretora dele, tem malware no computador, etc.
27/09/2021 11:18 · Membro 0020
A última versão do PA possui um módulo de análise de bitcoin
27/09/2021 13:02 · Membro 0139
Boa tarde senhores. Perito Caldas - PCDF.
27/09/2021 13:07 · Membro 0120
Seja bem vindo! 👊🏾😉
27/09/2021 13:09 · Membro 0020
Curiosidade, é só o número que é de fora do Brasil?
27/09/2021 13:09 · Membro 0139
é um número virtual.
27/09/2021 13:09 · Membro 0004
Kkkk também perguntei no privado
27/09/2021 13:12 · Membro 0004
Se a malandragem já estava aplicando golpes com chips de operadora, com isso agora vai ser exponencial

Origem 011 — 13/06/2022 13:51 a 15:22 — Artefatos e vestígios de uso do WhatsApp Web

13/06/2022 13:51 · Membro 0021
[EMAIL] 2vdgsttb
13/06/2022 13:51 · Membro 0021
Conta e senha do Google Drive
13/06/2022 14:23 · Membro 0021
Talvez seja necessário criar outra conta devido a inatividade.
13/06/2022 14:30 · Membro 0021
E necessário criar uma nova conta e a planilha da forma que já foi comentado.
A maioria concorda em criar e inserir os dados dos dispositivos e métodos? Algum voluntário para criar a conta e planilha?
13/06/2022 14:48 · Membro 0021
https://www.migalhas.com.br/amp/depeso/359527/stj-inviabiliza-uso-de-prints-de-whatsapp-como-meio-de-prova
13/06/2022 15:05 · Membro 0015
Ilicitude apenas em print de tela de WhatsApp Web
13/06/2022 15:22 · Membro 0037
Boa tarde!
Resumo a quem não leu o artigo: a "prova" (print de tela do WhatsApp Web) não fora produzida por perito oficial.

Origem 012 — 26/10/2022 23:57 a 23:57 — Um homem ucraniano foi acusado de fraude eletrônica por supostamente infectar milhões de

26/10/2022 23:57 · Membro 0147
https://raccoon.ic3.gov/home
26/10/2022 23:57 · Membro 0147
Um homem ucraniano foi acusado de fraude eletrônica por supostamente infectar milhões de computadores com um software maligno em uma operação de crime digital conhecida como "Raccoon Infostealer", informou o Departamento de Justiça dos Estados Unidos nesta terça-feira (25)
26/10/2022 23:57 · Membro 0147
Depois, o malware foi instalado nos computadores das vítimas e usado para roubar dados pessoais, como senhas e informações financeiras, segundo o departamento.
26/10/2022 23:57 · Membro 0147
O FBI e os órgãos responsáveis pela aplicação da lei na Itália e na Holanda desmantelaram a infraestrutura digital que apoiava o "Raccoon Infostealer" em março de 2022, quando Sokolovsky foi preso.
26/10/2022 23:57 · Membro 0147
O FBI criou um site onde qualquer pessoa pode inserir seu endereço de e-mail para determinar se ele está contido no repositório do governo dos EUA de dados roubados do Raccoon Infostealer. O site é raccoon.ic3.gov . Se o endereço de e-mail estiver nos dados, o FBI enviará um e-mail para esse endereço notificando o usuário. As vítimas em potencial são incentivadas a preencher uma reclamação detalhada e compartilhar qualquer dano financeiro ou outro causado pelo roubo de suas informações no Internet Crime Complaint Center (IC3) do FBI em ic3.gov/Home/FileComplaint.

Origem 013 — 17/03/2023 11:39 a 12:09 — Esse é aquele que paga por desbloqueio

17/03/2023 11:39 · Membro 0155
Esse é aquele que paga por desbloqueio?
17/03/2023 11:41 · Membro 0001
Não, desbloqueio ilimitado.
17/03/2023 11:53 · Membro 0088
Sabes dizer por quanto ficou? O que seriam os endpoints?
17/03/2023 12:02 · Membro 0026
4M, mais ou menos, mas foi um pacote com notebooks homologados da cellebrite (TKs). Caso vc já tenha computadores, não precisa dos tks.
Daí ficam 3 computadores com 4pc, que se conectam ao servidor do Premium e viram terminais Premium.
É um modelo cliente/servidor.
Com isso, temos 3 premiums, em vez de um do modelo tradicional que tudo ficava numa mesma máquina.
17/03/2023 12:03 · Membro 0088
Interessante 👍🏻 obrigado
17/03/2023 12:04 · Membro 0088
Estava achando estranho, pois aqui em PE nos ofereceram por 4.9M, então deve ser com esses notebooks e não nos avisaram...
17/03/2023 12:05 · Membro 0088
Caros esses notebooks 😅
17/03/2023 12:07 · Membro 0040
seria 1,4 se vc dividisse por 3
17/03/2023 12:08 · Membro 0091
Na verdade eh mais barato
17/03/2023 12:08 · Membro 0040
Mas eles só vendem nesse modo.
17/03/2023 12:08 · Membro 0091
Mas esse pacote de 4M eh já com mais 3 de renovação que não são obrigatórios
17/03/2023 12:08 · Membro 0040
Sim, 3 anos de renovação e 3 pontos
17/03/2023 12:08 · Membro 0091
Então o anual fica por 1.9M
17/03/2023 12:08 · Membro 0040
Precisa tem uma máquina dedicada com windows server
17/03/2023 12:08 · Membro 0091
Só q n vale a pena contratar 1 ano pra ter o trabalho burocrático
17/03/2023 12:08 · Membro 0040
Que não está no pacote
17/03/2023 12:09 · Membro 0091
Eu recebi a proposta deles semana passada
17/03/2023 12:09 · Membro 0091
Se quiser posso repassar

Origem 014 — 26/08/2023 11:36 a 11:55 — Artefatos e vestígios de uso do WhatsApp Web

26/08/2023 11:36 · Membro 0048
UFED fez carving do WAL? Show de bola
26/08/2023 11:36 · Membro 0071
mas no caso do [MENCAO], nao tem wal, tem?
26/08/2023 11:37 · Membro 0048
no meu caso não era mensagem do ZAP, por isso usei outra ferramenta. No meu caso foi para ver conexões do ZAP no WEB
26/08/2023 11:38 · Membro 0048
aí foi bacana pq o agente malicioso játinha desconectado, não tinha nada no Banco, mas tinha no WAL registrado
26/08/2023 11:38 · Membro 0071
esse aí eu costumo dar um insert em *companion-devices* e ver se o ID incrementou... muitas vezes tá zerado e a pessoa nunca usou o WhatsApp Web... daí nem olho adiante
26/08/2023 11:40 · Membro 0048
ai foi carving no WAL para achar
26/08/2023 11:43 · Membro 0048
companion para os novos, no caso era na época que ainda era depende do zap principal, ficava no web_sessions.db-wal. Hoje é tudo no companion pq são aparelhos "independentes"
26/08/2023 11:55 · Membro 0088
👍🏻 Vou verificar, mas creio q não

Origem 015 — 19/02/2024 12:17 a 12:17 — Artefatos e vestígios de uso do WhatsApp Web

19/02/2024 12:17 · Membro 0015
alguem tem alguma dica de extração de whatsapp web (usando o aplicativo no PC) ?

Origem 016 — 19/05/2024 12:17 a 12:17 — Artefatos e vestígios de uso do WhatsApp Web

19/05/2024 12:17 · Membro 0044
Prova obtida por espelhamento do WhatsApp Web deve ser presumida válida https://www.conjur.com.br/2024-mai-19/prova-obtida-por-espelhamento-do-whatsapp-web-deve-ser-presumida-valida/

Origem 017 — 22/05/2024 14:53 a 15:01 — Artefatos e vestígios de uso do WhatsApp Web

22/05/2024 14:53 · Membro 0172
Pessoal, alguém tem alguma dica pra extrair as conversas do whatsapp web?
22/05/2024 14:58 · Membro 0117
Teve um colega aqui que desenvolveu uma ferramenta. Acredito que ainda está funcionando. https://github.com/kraftdenker/ZAPiXWEB
22/05/2024 15:01 · Membro 0172
Show. Vou testar mais tarde. Vlw

Origem 018 — 14/08/2024 09:06 a 09:13 — Artefatos e vestígios de uso do WhatsApp Web

14/08/2024 09:06 · Membro 0040
Bom dia galera. Estamos com um caso aqui de whatsapp web aberto em um notebook. Existe alguma forma da gente extrair essas conversas?
14/08/2024 09:07 · Membro 0147
Já consegui alguns chats pelo AXIOM
14/08/2024 09:08 · Membro 0147
Porém precisa estar bem atualizado
14/08/2024 09:08 · Membro 0037
Tem uma aplicação desenvolvida pelos colegas do DF que faz essa coleta.
14/08/2024 09:09 · Membro 0040
Axiom não temos aqui.
14/08/2024 09:09 · Membro 0147
Quem pode passar [MENCAO] M Marques ?
14/08/2024 09:09 · Membro 0040
Opa, se puder compartilhar já vai salvar nossa pele aqui
14/08/2024 09:10 · Membro 0048
https://github.com/kraftdenker/ZAPiXWEB/tree/main
14/08/2024 09:11 · Membro 0048
De mandeira resumida:
Colar esse script no console (f12 ou CTRL+I):
https://raw.githubusercontent.com/kraftdenker/ZAPiXWEB/main/SPIZAPiXWEB.js
14/08/2024 09:13 · Membro 0020
No passado vi esse aqui, mas não sei se ainda funciona
14/08/2024 09:13 · Membro 0191
Bom dia, você poderia me encaminhar também por favor
14/08/2024 09:13 · Membro 0020
https://stackoverflow.com/questions/50524263/whatsapp-web-how-to-access-data-now

Origem 019 — 15/08/2024 11:55 a 12:17 — Artefatos e vestígios de uso do WhatsApp Web

15/08/2024 11:55 · Membro 0076
Bom dia, pessoal. Alguém sabe de alguma maneira de baixar os vídeos e áudios do WhatsApp para eles ficarem no cache? Estou fazendo isso, mas de um em um. É um grupo gigante. <Mensagem editada>
15/08/2024 11:57 · Membro 0048
WhatsApp web?
15/08/2024 11:57 · Membro 0048
WhatsApp WEB? para ficar no cache do Browser?
15/08/2024 11:58 · Membro 0076
É para vir na extração.
15/08/2024 12:00 · Membro 0048
Não seria colocar para baixar automático na configuração ? colocar para baixar o tipo de anexo video
15/08/2024 12:01 · Membro 0048
https://faq.whatsapp.com/[IMEI]/?locale=pt_BR&cms_platform=android
colocar para baixar tudo mesmo em rede de dados móveis, wifi, roaming
15/08/2024 12:01 · Membro 0076
Mas isso seria só para as novas mensagens, né? Eu queria algo retroativo.
15/08/2024 12:07 · Membro 0048
aí só usando um ROBô via adb tipo monkeyrunner, etc...
15/08/2024 12:08 · Membro 0048
teria que programar para ele com a conversa aberta identificar algum vídeo e clicar para baixar.
15/08/2024 12:17 · Membro 0076
E é iPhone ainda por cima. Hehehe! Mas valeu. Vou ver com a chefia aqui o que dá pra fazer.

Origem 020 — 21/08/2024 08:47 a 10:02 — Artefatos e vestígios de uso do WhatsApp Web

21/08/2024 08:47 · Membro 0035
Bom dia pessoal!
Alguém já localizou algum aplicativo espião instalado em um celular Xiaomi POCO M3 PRO 5G, com versão Androide 11 RP1.A200720.011, em qual pasta do sistema ele se aloca?
21/08/2024 08:58 · Membro 0050
Qual tipo de espião?
Tem muitos ataques a bancos com variantes do CraxsRat. Já fiz alguns exames nessa linha.
21/08/2024 09:17 · Membro 0035
Bom dia , a única informação que temos é baseada no depoimento da vítima, que de acordo com ela, teve a sua conversa captada pelo WhatsApp, pela ex esposa.
21/08/2024 09:18 · Membro 0035
Estamos suspeitando de pareamento, pois, o aplicativo mostra 3 equipamentos pareados.
21/08/2024 09:19 · Membro 0035
Mas queremos fechar a questão
21/08/2024 09:20 · Membro 0035
como identificar as conexões do whatsapp em outros computadores ou outros aparelhos? <Mensagem editada>
21/08/2024 09:28 · Membro 0050
Na análise do celular, recomendo utilizar as ferramentas que o [MENCAO] desenvolveu para identificar apks não instalados via PlayStore.

https://github.com/leosol/androbash
https://github.com/leosol/android-app-analysis-timeline

Não tive boa experiência com a ferramenta de detecção de malware da Cellebrite. Geralmente não encontra nada.
21/08/2024 09:30 · Membro 0050
Caso tenha o computador que pode ter sincronizado via WhatsApp Web, indico fazer uma analisa apurada dos arquivos de cache dos navegadores, em especial os mecanismos Local Storage e IndexedDB. Ferramentas convencionais nao processam bem essas evidencias, e tem muita informação.

Gosta de utilizar essas ferramentas:
https://github.com/google/dfindexeddb
https://github.com/cclgroupltd/ccl_chromium_reader
21/08/2024 09:31 · Membro 0175
Com a quebra do sigilo telemático do WhatsApp certamente dará as informações de logs de Ip
21/08/2024 09:34 · Membro 0050
Também tem uma tabela que registra esses dados. Salvo engano, web_sessions.db
21/08/2024 09:39 · Membro 0035
Não temos, mas agradeço o retorno.
21/08/2024 09:40 · Membro 0183
As quebras de sigilo que a Meta manda são meio "magras"...e normalmente limitadas por um período mais curto.

Os dispositivos utilizados podem conter mais informação.
21/08/2024 10:02 · Membro 0071
<Mídia oculta>
o androbash te ajuda a ver o que não é "google play"
tb já puxa os apks para análise...
é conjunto de scripts com greps...

Origem 021 — 29/10/2024 14:53 a 16:16 — Agora eu penso que o CellebriteReader deveria dar um erro falando que falta

29/10/2024 14:53 · Membro 0076
Boa tarde pessoal. Mandei um relatório URDR para uma delegacia. A pessoa até consegue navegar pelos dados, mas não consegue exibi-los. E, como acontece com todo mundo de TI, "no meu computador funciona.". Alguém já passou por algo parecido?
29/10/2024 14:54 · Membro 0076
IMG-20241029-WA0052.jpg (arquivo anexado)
29/10/2024 14:54 · Membro 0076
IMG-20241029-WA0051.jpg (arquivo anexado)
29/10/2024 14:54 · Membro 0076
Foto 1: Computador da pessoa.
Foto 2: Meu computador.
29/10/2024 15:01 · Membro 0050
IMG-20241029-WA0053.jpg (arquivo anexado)
Estanho o tamanho do arquivo
29/10/2024 15:03 · Membro 0076
Boa observação. Eu vou agora acessar o computador de lá remotamente e vou ver essa questão. Vou calcular os hashes do relatório para ver se eles baixaram tudo.
29/10/2024 15:18 · Membro 0048
Desconfio que é problema de dotnet.
29/10/2024 15:38 · Membro 0078
Se fosse provável que o reader nem abriria.
29/10/2024 15:38 · Membro 0117
pode tentar com o reader do pa10 pra ver se acontece o mesmo
29/10/2024 15:44 · Membro 0076
Descobri o problema. Era que a pessoa baixou o arquivo .ufdr e não baixou o arquivo .z01. Segundo ela, como tinham o "o mesmo nome". Ela achou que era a mesma coisa e não baixou.
29/10/2024 15:46 · Membro 0076
IMG-20241029-WA0055.jpg (arquivo anexado)
29/10/2024 15:47 · Membro 0076
Agora eu penso que o CellebriteReader deveria dar um erro falando que falta um arquivo e não abrir como se nada tivesse acontecido. <Mensagem editada>
29/10/2024 15:58 · Membro 0078
Se fazem isso com o Ufed reader imagina o que fazem com relatório em pdf que tem várias pastas com anexos soltas do lado do pdf em si. Muito comum copiarem só o arquivo pdf e deixarem os anexos todos pra traz.
29/10/2024 16:07 · Membro 0155
É por essas que entrego tudo em .7z bloco sólido
29/10/2024 16:16 · Membro 0076
Já pensei em fazer algo do tipo, mas esbarro em dois problemas:
- Conexões lentas no interior do estado
- Alguma forma legada de entregar os relatórios para a justiça na forma de DVD.

Com o tempo, penso mesmo em migrar para um arquivão.

Origem 022 — 07/01/2025 11:55 a 12:06 — Análise de dados em Telegram, Facebook Messenger e mensageiros

07/01/2025 11:55 · Membro 0015
Bom dia. Alguém tem uma lista de palavras chaves pra busca em indexações de pedofilia?
07/01/2025 12:06 · Membro 0166
#### Termos Suspeitos (utilizados na busca por nome de arquivo)
TermosSuspeitos = adolescente;angel;babies;baby;bambin;bebe;bebê;blackcat;boy;bucetinha;child;crianca;criança;cuties;cuzinho;darkcollection;daughter;defloration;fuck;funky;garotinh;gatinh;genital;girl;hairless;hentai;hurtmeh;hussyfan;hussyfun;hymen;incest;infant;jailbait;kiddie;kiddy;kids;kidzilla;kinderkutje;kingpass;kleuterkutje;liluplanet;lola;lolita;lolilust;nina;ninfet;novinh;nymph;paedo;pedo;pthc;ptsc;qqaazz;r@ygold;rape;raygold;sdpa;teen;toddler;underage;vicky;virgem;virgen;virgin;0 yo;0yo;0yr;1 yo;1yo;1yr;2 yo;2yo;2yr;3 yo;3yo;3yr;4 yo;4yo;4yr;5 yo;5yo;5yr;6 yo;6yo;6yr;7 yo;7yo;7yr;8 yo;8yo;8yr;9 yo;9yo;9yr;gigatribe;shareaza;emule;dreamule;kazaa;amule;limewire;frostwire;torbrowser;tormessenger;torchat;kdquality;kinderficker;lsbar;mafiasex;lordofthering;nablot;nimphet;pretten;opva;2jvnpygai7z6uvkw;3m2mcxyuvx7sjurh;3wkcznbshhkeaede;4jznz3kcagiqxowb;4q2lxcv26d6xjlay;6zx6cxigcq7tjtue;7mdzuqhtqzaxhxpi;7q3siksb5c6trcqo;aknsdc3jku7of5qe;auutwvpt2zktxwng;avyeyuxi2dcf4cmi;babyixntjlabwkpi;bdclubqtqy2cvso2;boysopidonajtogl;boyvidsaullbcnhu;boyvidscckevqedz;chatlistea3zbsck;childsplayboq3sq;cpvls4gi2cvvirrk;elysiumucxuu3rs2;es2adizg32j3kob5;girhkbbgsglcj4jk;gokchgwvlprblrxc;grams7enufi7jmdl;gxmrzk2s56oxzb3e;hss3uro2hsxfogfq;hurtmehpneqdprmj;hwiki2tzj277eepp;hyjmkmb3lfymiprp;jjvxrbpckwpz3kwu;m2nkhqte4sxilvre;mail2tor2zyjdctd;mailtoralnhyol5v;mkingdompdzmk7e3;mt3plrzdiyqf6jim;muff7i44irws3mwu;njwzqbbwt5wpenog;olieomd25ui2zwmu;op4jvhn65pjv3slt;opva2pilsncvtwmh;oxwugzccvk3dk6tj;pbchatkoollgzmbf;pedoartre6ookiff;pedochmilnyxthis;pedoncnkqgghgk7e;qce3tl2wr4h3g2c7;rtxoifxmiyimzp3m;saemf4erbrvhfddd;streamxxhqn3k64x;teensexaqb2wbloa;teensexixxowrrgf;tenplus547yrmxld;tlz4usfmkau5febr;tmoxh4kr5xfnvxun;torblogjp5rjeyhx;toyboxmdablekkzf;tz2u3xs63fbx4jjb;uhwikih256ynt57t;updoabb6pcii3po5;upf45jv3bziuctml;uz2tz3hgh4td6j6a;v4stwi3tzicuh6vh;wxlcwyoisgi3725u;xkinder5eseudi2h;xplayyyyyirxui4n;xqmvgskrgmuytie6;y46n5mcakffjqpzw;ybswra66ouubgzb2;ye4x7dzr6w2dpa7c;yn5u473m54dbptve;zqktlwi4fecvo6ri;jjclubumn7vkhyuw;243vnzoix3ct6vowjgakv3pdqrzkfnkoz5plwgta3ar2onqobzhz5jid;3dboys55e43kyhh6lz2ejpuhnt4fa3jifrmw3xpagivkvxn7qy5q4myd;5figq755l7c55eopjphypkpfj5b4ap5nm6rvie2tygcwtafbjhv3p3id;5hxxw4p4adget6dkbjflg2cfmktf5ojoq2sw5xyr6v4ekz6b4x56drad;alice34mdngm7dhzx34dglpactwrppd6cskewvi7ny2ktn7x7tf77qid;bo [ID-CASO];bo [ID-CASO];bxkqj6tqkamhrdmpsf6ehxgbqvayusionnlqc4kskaqdlvzjevwjnpid;dibocamqrholin4dzde2ul4lyiedwx4nv3zy4opg2yjixrpy7o3o3qyd;eightch55i3v3dmhtshui2x5njln3yx3ibetgbgkfghnnvctae45wrid;gdwkeoxhrj2psanwpbm3cju2yxbmry5y3ca4wrylymkfju7q5dbd76id;gk3fgh3hqpiprgl5wgazny5qsxjjzndenzpgdsd6f7z4adrxaosf4dqd;gl7qgheo7nuirnrkrmzn33wq33hmjh5p3bunrl4pskdjjtay57pniaqd;hispachcpjfymc6lhad3jsfxq2tjcpabqc5oesogvcjkvm5rjtrwtbqd;ieerjeynr5cw24xp6mme34o7mdbbtq54zssosoxnthzwpn6keqsatwqd;iifz7vplkeovyrruirnridqb6ewbvirjxkb2w333lrjeytxlt3gqbsyd;ilovecpwhugfrii2x73xcp2r4q5nxbi4xmv2uz75zljdgzj7jhidrzqd;jwzzevnbrletxx7e4nqmfv73mre7rjik6nktidduppjcei6xr75aybyd;ld2wpn4gvmw6nh722jdwpawfgcbncxkmhoftjfdpsrtkhnoqbrvb3pid;llxhfn5neym3dmsvdmu5so43lzp77i2tfoz2aasvcdjkzls3a6hz55qd;m4x46ca54hicudsmwijoxg4ds4abs6q45sr6wm6g6ptt2vbpnjxnskad;wg7ljicnzfrh7dhssrsqgiqhqe7vgzc2ovyit2zz5bgiolztieljmjyd;ygx5ek4op42ljsxcbg6jsx4k255eggn3cj65z5xkf4iei5frwvvkr6yd;z4zfh676cfnazykuwezehrz3nvcqbkqgxfy3m5qqo5hawred6moqscyd;wisefolderhider;privatefolder

#### Termos utilizados na busca simples no conteudo do arquivo.
TermosConteudo = babyheart;babyj;babyshivid;babyshvid;bucetinha;cuzinho;darkcollection;defloration;hurtmeh;hussyfan;hussyfun;jailbait;kidzilla;kinderkutje;kingpass;kleuterkutje;liluplanet;lolilust;lolita;pedofilia;pedofilo;preteen;pthc;qqaazz;r@ygold;raygold;underage;gigatribe;shareaza;emule;dreamule;kazaa;amule;limewire;frostwire;torbrowser;tormessenger;torchat;kdquality;kinderficker;mafiasex;childfugga;mylola;lolalover;toddler;lordofthering;childsex;nablot;nimphet;reallola;2jvnpygai7z6uvkw;3m2mcxyuvx7sjurh;3wkcznbshhkeaede;4jznz3kcagiqxowb;4q2lxcv26d6xjlay;6zx6cxigcq7tjtue;7mdzuqhtqzaxhxpi;7q3siksb5c6trcqo;aknsdc3jku7of5qe;auutwvpt2zktxwng;avyeyuxi2dcf4cmi;babyixntjlabwkpi;bdclubqtqy2cvso2;boysopidonajtogl;boyvids;chatlistea3zbsck;childsplayboq3sq;cpvls4gi2cvvirrk;elysiumucxuu3rs2;es2adizg32j3kob5;girhkbbgsglcj4jk;gokchgwvlprblrxc;grams7enufi7jmdl;gxmrzk2s56oxzb3e;hss3uro2hsxfogfq;hurtmehpneqdprmj;hwiki2tzj277eepp;hyjmkmb3lfymiprp;jjvxrbpckwpz3kwu;m2nkhqte4sxilvre;mail2tor2zyjdctd;mailtoralnhyol5v;mkingdompdzmk7e3;mt3plrzdiyqf6jim;muff7i44irws3mwu;njwzqbbwt5wpenog;olieomd25ui2zwmu;op4jvhn65pjv3slt;opva2pilsncvtwmh;oxwugzccvk3dk6tj;pbchatkoollgzmbf;pedoartre6ookiff;pedochmilnyxthis;pedoncnkqgghgk7e;qce3tl2wr4h3g2c7;rtxoifxmiyimzp3m;saemf4erbrvhfddd;streamxxhqn3k64x;teensexaqb2wbloa;teensexixxowrrgf;tenplus547yrmxld;tlz4usfmkau5febr;tmoxh4kr5xfnvxun;torblogjp5rjeyhx;toyboxmdablekkzf;tz2u3xs63fbx4jjb;uhwikih256ynt57t;updoabb6pcii3po5;upf45jv3bziuctml;uz2tz3hgh4td6j6a;v4stwi3tzicuh6vh;wxlcwyoisgi3725u;xkinder5eseudi2h;xplayyyyyirxui4n;xqmvgskrgmuytie6;y46n5mcakffjqpzw;ybswra66ouubgzb2;ye4x7dzr6w2dpa7c;yn5u473m54dbptve;zqktlwi4fecvo6ri;jjclubumn7vkhyuw;243vnzoix3ct6vowjgakv3pdqrzkfnkoz5plwgta3ar2onqobzhz5jid;3dboys55e43kyhh6lz2ejpuhnt4fa3jifrmw3xpagivkvxn7qy5q4myd;5figq755l7c55eopjphypkpfj5b4ap5nm6rvie2tygcwtafbjhv3p3id;5hxxw4p4adget6dkbjflg2cfmktf5ojoq2sw5xyr6v4ekz6b4x56drad;alice34mdngm7dhzx34dglpactwrppd6cskewvi7ny2ktn7x7tf77qid;bo [ID-CASO];bo [ID-CASO];bxkqj6tqkamhrdmpsf6ehxgbqvayusionnlqc4kskaqdlvzjevwjnpid;dibocamqrholin4dzde2ul4lyiedwx4nv3zy4opg2yjixrpy7o3o3qyd;eightch55i3v3dmhtshui2x5njln3yx3ibetgbgkfghnnvctae45wrid;gdwkeoxhrj2psanwpbm3cju2yxbmry5y3ca4wrylymkfju7q5dbd76id;gk3fgh3hqpiprgl5wgazny5qsxjjzndenzpgdsd6f7z4adrxaosf4dqd;gl7qgheo7nuirnrkrmzn33wq33hmjh5p3bunrl4pskdjjtay57pniaqd;hispachcpjfymc6lhad3jsfxq2tjcpabqc5oesogvcjkvm5rjtrwtbqd;ieerjeynr5cw24xp6mme34o7mdbbtq54zssosoxnthzwpn6keqsatwqd;iifz7vplkeovyrruirnridqb6ewbvirjxkb2w333lrjeytxlt3gqbsyd;ilovecpwhugfrii2x73xcp2r4q5nxbi4xmv2uz75zljdgzj7jhidrzqd;jwzzevnbrletxx7e4nqmfv73mre7rjik6nktidduppjcei6xr75aybyd;ld2wpn4gvmw6nh722jdwpawfgcbncxkmhoftjfdpsrtkhnoqbrvb3pid;llxhfn5neym3dmsvdmu5so43lzp77i2tfoz2aasvcdjkzls3a6hz55qd;m4x46ca54hicudsmwijoxg4ds4abs6q45sr6wm6g6ptt2vbpnjxnskad;wg7ljicnzfrh7dhssrsqgiqhqe7vgzc2ovyit2zz5bgiolztieljmjyd;ygx5ek4op42ljsxcbg6jsx4k255eggn3cj65z5xkf4iei5frwvvkr6yd;z4zfh676cfnazykuwezehrz3nvcqbkqgxfy3m5qqo5hawred6moqscyd;wisefolderhider;privatefolder
07/01/2025 12:06 · Membro 0166
retirei esses termos do arquivo de configuração do LED

Origem 023 — 23/05/2025 08:51 a 09:18 — Artefatos e vestígios de uso do WhatsApp Web

23/05/2025 08:51 · Membro 0204
E se o print for realizado pelo perito durante a perícia e colocar no laudo. Alguma irregularidade?
23/05/2025 09:00 · Membro 0173
Bom dia.
Acho que se criou essa neura toda depois que foi demonstrado que poderia haver manipulação quando se trata de WhatsApp web...O importante é que a prova constatada exista no aparelho. Nem sempre conseguimos extrair tudo e o print se faz necessário. <Mensagem editada>
23/05/2025 09:08 · Membro 0147
O print deve ser feito da extração que foi realizada pelo perito, não de uma foto do celular. Utilizamos isso para evidenciar alguma coisa do laudo. Então o interessante é que esse print seja da própria ferramenta forense ou indexadora como o iped
23/05/2025 09:16 · Membro 0044
Bom dia. Ontem assistimos a apresentação da solução PC3000 que estamos tentando adquirir. Achei muito interessante e nem mais barata que o UFED. Elas se complementam. A PC e o MP já conseguiram adquirir.
23/05/2025 09:18 · Membro 0173
isso. Estamos correndo atrás também.

Origem 024 — 21/10/2025 09:49 a 09:54 — Artefatos e vestígios de uso do WhatsApp Web

21/10/2025 09:49 · Membro 0166
Como o WhatsApp Web virou porta de entrada para ataque hacker com foco no Brasil https://g1.globo.com/tecnologia/noticia/2025/10/12/como-o-whatsapp-web-virou-porta-de-entrada-para-ataque-hacker-com-foco-no-brasil.ghtml
21/10/2025 09:54 · Membro 0048
Por alto, do que vi, parece que grande parte desse ataque é engenharia social ativando um XSS-DOM no ZAP WEB

Origem 025 — 09/05/2026 06:59 a 06:59 — Acesso a volume protegido por BitLocker

09/05/2026 06:59 · Membro 0048
Bom dia, colegas.
"Evolução" do Bitpixie, para quebrar o Bitlocker, agora tem uma evolução (que permite fazer de um pendrive).
Para os computadores com os protectors 7 e 11:
https://github.com/garatc/BitUnlocker
Só o UEFI (bios) não bloquear certificado velho da MS (acho que vários computadores ainda são vulneráveis) <Mensagem editada>

Origem 026 — 29/05/2026 15:42 a 16:57 — Artefatos e vestígios de uso do WhatsApp Web

29/05/2026 15:42 · Membro 0088
Boa tarde! Está funcionando para analisar notebooks em que foi utilizado o whatsapp web no Edge?
29/05/2026 16:42 · Membro 0048
Não baixa sem sessão
29/05/2026 16:42 · Membro 0048
Só se já tivesse ligado
29/05/2026 16:45 · Membro 0088
Beleza. Obrigado. Só mais uma dúvida: e o programa WhatsApp Desktop, consegue algo?
29/05/2026 16:57 · Membro 0048
Mas, precisa maquina ligada e senha do usuario

Origem 027 — 09/06/2026 09:38 a 09:49 — Artefatos e vestígios de uso do WhatsApp Web

09/06/2026 09:38 · Membro 0042
Bom dia pessoal...

Há alguma possibilidade/ferramenta/metodologia disponível para se obter o histórico de mensagens do WhatsApp web a partir de uma imagem Forense (E.01)?
09/06/2026 09:49 · Membro 0147
O Magnet AXIOM estava trazendo alguma coisa
09/06/2026 09:49 · Membro 0147
Inclusive chats do discord
09/06/2026 09:49 · Membro 0048
A única que conheço é pegar fragmentos de mensagens do arquivo de paginação (pagefile). O MAGNET AXIOM faz um parser no pagefile e as vezes recupera fragmentos de mensagens.
Vc consegue outras informações do banco do Browser usado, mas geralmente só se tem anexos, contatos e conta. Mensagens, até onde sei, não ficam armazenadas localmente.