Artefatos de USB e mídias removíveis no Windows
Categoria: Windows, Registro, navegadores e artefatos de uso
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre artefatos de USB e mídias removíveis no Windows no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como UFED, FTK, ADB, BitLocker, FileVault. Os termos mais recorrentes neste tema incluem: pendrive, pra, pelo, ele, mas, usb, drive, ntfs, licenca, boot. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Buscar registros de conexão de mídias e identificadores de dispositivo.
- Correlacionar com LNK, Shellbags, RecentDocs e timestamps.
- Evitar concluir cópia apenas por conexão de USB sem artefatos complementares.
Ferramentas, sistemas ou marcas citadas
UFEDFTKADBBitLockerFileVaultPalavras-chave recorrentes
pendriveprapeloelemasusbdriventfslicencabootufedssdmensagemmacftkfilevaultesseessaDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 29/06/2017 15:24 a 15:25 — Vestígios de uso e cópia para mídias USB no Windows
https://security.stackexchange.com/questions/23280/how-to-detect-if-files-were-saved-or-copied-to-a-usb-drive
Como detectar se os arquivos foram salvos ou copiados para uma unidade USB?
Origem 002 — 03/04/2018 21:26 a 21:36 — Teve uma situação que tive dificuldade de rodar
Teve uma situação que tive dificuldade de rodar...
Abri o prompt como administrador e pelo prompt fui na pasta do led e executei o .bat
Veja a quantidade de memória alocada para o Java também
Qualquer edita o .Bat e diminui o Xms
Acho que o [NOME] falou a partir de um pen drive bootavel... Ex.: maquina desligada e dar boot por um linux e rodar o led apontando pro HD suspeito
Pra tentar constatar algo in loco
As duas opções podem ser interessantes
A outra opção de rodar o led na máquina suspeita é que provavelmente deve precisar alterar alguma config nela
O ideal é tirar o HD e rodar fora
Origem 003 — 25/09/2018 13:38 a 14:12 — Eu passei por um problema semelhante. No meu caso o HD externo não
Alguém sabe pq dessa mensagem?
O pendrive tá formatado exfat
Tentei ntfs tb, mesma mensagem
Formata o pendrive em ntfs que vai
Eu passei por um problema semelhante. No meu caso o HD externo não era reconhecido. Pluguei um teclado USB no ufed, fiz logoff do usuário comum e loguei como Manager, aí pluguei o HD e ele foi instalado corretamente. Qnd abri o software posteriormente ele passou a reconhecer o HD. Não sei se pode te ajudar essa opção mas fica o relato caso alguém passe por isso no futuro.
Tentei também.. não funcionou..
O que identifiquei aqui é que, quando plugo o celular no computador ele não monta a unidade..
Só tá carregando..
Origem 004 — 09/12/2019 12:21 a 12:47 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS
Bom dia!
Alguma sugestão pra realizar a cópia física dos dados do Macbook air?
Alguma sugestão pra realizar a cópia física dos dados do Macbook air?
Existe o ftkimager for mac, mas só funciona com a máquina ligada. Na época até pesquisei por outras soluções, mas eram pagas
Faço com boot Linux [NOME] e depois G imager...
Antes tem que colocar o HD externo no modo escrita
Se não for dos macs mais novos (com chip T2), uso o Sumuri Paladin.
Inicia pelo CD/DVD de boot? Ou HD externo?
Funciona se o disco não estiver com FileVault
Um pendrive com o boot [NOME]
É necessário alguma configuração pra iniciar pelo pendrive ou só iniciar e pressionar a tecla C?
Executar pelo pendrive?
Sim, funciona com um pendrive ou disco externo. Mas você precisa fazer um pendrive bootavel com Linux
Inicaliza pelo pendrive. Ok
Ligar o Mac com a tecla option apertada
Origem 005 — 03/12/2020 10:01 a 10:52 — Metadados EXIF/JPEG e individualização de câmera
Pessoal, bom dia! Um coleta Perito está com umas fotos de local corrompidas. Já fiz algumas tentativas de recuperação sem sucesso, alguém tem alguma sugestão? *Obs.: são imagens .JPG e com seus respectivos tamanhos.*
Já jogou no drive do Google?
Há um tempo atrás um colega pediu pra ver se eu conseguia recuperar uma foto e mandou pelo drive google
Segundo ele nem precisou, na hora que ele colocou o drive do Google já deu pra visualizar a foto!
Se funcionar da um toque
Tentaste um "carving" no PA, [MENCAO]?
como foi essa corrompida?
Dá uma olhada nos hexadecimais, se tem dados, já vi situação q infelizmente os dados estavam zerados, aí já era
Não tenho o histórico, só um pendrive e a informação que não abre as imagens de dois diretórios
https://www.cgsecurity.org/wiki/TestDisk_Download
Não gostaria de passar na partição toda, não encontrei a opção de selecionar diretório específico
não tem mesmo, mas acho que vale a pena tentar mesmo assim
e o velho photorec? já tentou?
Não seria o TestDisk?
normalmente para pendrives eu faço uma imagem com o ftk imager e depois passo o testdisk, dá bons resultados
Todos os outros arquivos do pendrive estão normais, apenas esses 2 diretórios com pane (acredito que já tenha sido na cópia)
checa a assinatura do começo dos arquivos, se bate com jpeg ao menos. Deve ter sido uma corrompida e tanto eheh
FF D8 FF se não me engano
joga no exifftool tb para ver se ele reconhece algum metadado?
passa um binwalk nele, vê o que ele detecta
Origem 006 — 03/08/2021 09:03 a 09:52 — Artefatos de USB e mídias removíveis no Windows
Pessoal, bom dia. Preciso de uma ajuda de vocês. Gostaria de saber qual o método vocês estão utilizando para adquirir o disco ssd dos Mac book air. No passado utilizei o ftk imager for Mac, mas esse, na versão gratuita, precisa acontecer com a máquina ligada...
Usa um um Linux no pendrive e faz a cópia dd.
Mas nos air, se não me engano, precisamos daquele adaptador para ter várias USB...
Boot pelo [NOME] e cópia pelo guymager. Só lembrar de usar o [NOME] 11 para que ele reconheça os ssd nvme.
Última vez que usei o [NOME] ele não conseguiu ler a partição Mac, vou tentar novamente... Consegui abrir o MacBook, mas aqui não temos leitor de m.2 😭
Um detalhe. O disco normalmente está habilitado com criptografia. Tem que desabilitar primeiro.
Opa... Era essa dica que faltava 👏🏼👏🏼👏🏼 obrigado
Pode usar o comando DD ou usar um aplicativo da uma versão do Linux.
Origem 007 — 23/06/2022 11:06 a 11:17 — Conexão USB, ADB e diagnóstico de porta em Android
Reconhece o modo ADB?
Hora vai até a tentativa 10 e dá essa mensagem, hora ocorre no começo
Aconteceu o mesmo no UFED Touch e eu pensei q fosse pen drive. Agora estou fazendo no 4PC
Esse celular está com armazenamento interno muito lotado?
Muitas vezes esses métodos de extração precisam de um espaço livre para funcionar direito
Se estiver muito lotado as vezes dá problema
Não sei o que pode ser.
É verdade, Moto geralmente não pega esse método
Origem 008 — 27/06/2022 16:58 a 18:24 — Conexão USB, ADB e diagnóstico de porta em Android
Boa tarde, resetamos o touch2 pois estava reiniciando muito durante as extrações, porém no inicio quando estamos parte de fazer o upload da licença pelo USB aparece a seguinte mensagem "A license was not found, please ensure the license is located in the root directory of the USB drive"
Baixamos a licença direto do mycellebrite e colocamos na pasta raiz de um pendrive formatado.
Alguém já teve esse problema? ou sabe como resolver?
Baixamos a licença direto do mycellebrite e colocamos na pasta raiz de um pendrive formatado.
Alguém já teve esse problema? ou sabe como resolver?
Em qual conector USB vc esta colocando o pendrive?
Coloquei nos auxiliares na parte de trás, mas quando aparecia a mensagem eu testava em todos
Sistema de arquivos talvez?
Testamos no ntfs e o fat
Em mais de um pendrive
Mandamos pra cellebrite também
Vou ver a resposta deles e encaminho aqui tbm, caso alguém mais tenha esse problema
Qual o formato do arquivo de licença?
Origem 009 — 13/04/2023 23:12 a 23:21 — Até o , acho que foi pra todo mundo. A ISO precisa ser
🤚🏽 [EMAIL]
Senhores até o [NOME], acho que foi pra todo mundo. A ISO precisa ser queimada pra um pen drive de pelo menos 16GB, aqui eu uso o Rufus, e no Rufus, aconselho a optar por gravar no modo dd. Qualquer senha que for pedida, sempre vai ser de 1 a 6. Hoje já fiz um teste, rodando numa HP Z820, em um HD de 1 TB, implicado numa situação de pedofilia, e funfou direitinho. Espero que consiga ajudar. Qualquer dúvida, pode falar.
Origem 010 — 22/05/2023 15:19 a 15:24 — Excelente. Obrigado 👍🏻
Excelente. Obrigado [MENCAO] 👍🏻
Essa metodologia funciona muito bem, só precisa ficar ligado na sequência correta pra entrar no BIOS do Macbook e setar pra boot através do pendrive, caso contrário ele vai subir o sistema alterando a evidência
Origem 011 — 22/09/2025 11:49 a 11:49 — Análise de Registro Windows e arquivo NTUSER.DAT
Bom dia, colegas. Alguém já fez caça-níquel com pendrive bootavel com Android? Na verdade, tenho apenas os pendrives...fica algum registro armazenado no pendrive que eu possa buscar? Alguma dica?
Origem 012 — 23/05/2026 20:56 a 20:56 — Acesso a volume protegido por BitLocker
Falha crítica no Windows 11 permite burlar criptografia do BitLocker com um pen drive - Tudocelular.com https://share.google/jEep829saQCldzyLp