Wiki CompFor
Windows, Registro, navegadores e artefatos de uso

Artefatos de USB e mídias removíveis no Windows

Categoria: Windows, Registro, navegadores e artefatos de uso

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre artefatos de USB e mídias removíveis no Windows no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como UFED, FTK, ADB, BitLocker, FileVault. Os termos mais recorrentes neste tema incluem: pendrive, pra, pelo, ele, mas, usb, drive, ntfs, licenca, boot. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Buscar registros de conexão de mídias e identificadores de dispositivo.
  • Correlacionar com LNK, Shellbags, RecentDocs e timestamps.
  • Evitar concluir cópia apenas por conexão de USB sem artefatos complementares.

Ferramentas, sistemas ou marcas citadas

UFEDFTKADBBitLockerFileVault

Palavras-chave recorrentes

pendriveprapeloelemasusbdriventfslicencabootufedssdmensagemmacftkfilevaultesseessa

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 29/06/2017 15:24 a 15:25 — Vestígios de uso e cópia para mídias USB no Windows

29/06/2017 15:24 · Membro 0021
https://security.stackexchange.com/questions/23280/how-to-detect-if-files-were-saved-or-copied-to-a-usb-drive
29/06/2017 15:25 · Membro 0021
Como detectar se os arquivos foram salvos ou copiados para uma unidade USB?

Origem 002 — 03/04/2018 21:26 a 21:36 — Teve uma situação que tive dificuldade de rodar

03/04/2018 21:26 · Membro 0001
Teve uma situação que tive dificuldade de rodar...
03/04/2018 21:26 · Membro 0001
Abri o prompt como administrador e pelo prompt fui na pasta do led e executei o .bat
03/04/2018 21:27 · Membro 0001
Veja a quantidade de memória alocada para o Java também
03/04/2018 21:27 · Membro 0001
Qualquer edita o .Bat e diminui o Xms
03/04/2018 21:31 · Membro 0002
Acho que o [NOME] falou a partir de um pen drive bootavel... Ex.: maquina desligada e dar boot por um linux e rodar o led apontando pro HD suspeito
03/04/2018 21:32 · Membro 0002
Pra tentar constatar algo in loco
03/04/2018 21:32 · Membro 0020
As duas opções podem ser interessantes
03/04/2018 21:35 · Membro 0002
A outra opção de rodar o led na máquina suspeita é que provavelmente deve precisar alterar alguma config nela
03/04/2018 21:36 · Membro 0001
O ideal é tirar o HD e rodar fora

Origem 003 — 25/09/2018 13:38 a 14:12 — Eu passei por um problema semelhante. No meu caso o HD externo não

25/09/2018 13:38 · Membro 0023
Alguém sabe pq dessa mensagem?
25/09/2018 13:38 · Membro 0023
O pendrive tá formatado exfat
25/09/2018 13:38 · Membro 0023
Tentei ntfs tb, mesma mensagem
25/09/2018 13:59 · Membro 0020
Formata o pendrive em ntfs que vai
25/09/2018 14:01 · Membro 0056
Eu passei por um problema semelhante. No meu caso o HD externo não era reconhecido. Pluguei um teclado USB no ufed, fiz logoff do usuário comum e loguei como Manager, aí pluguei o HD e ele foi instalado corretamente. Qnd abri o software posteriormente ele passou a reconhecer o HD. Não sei se pode te ajudar essa opção mas fica o relato caso alguém passe por isso no futuro.
25/09/2018 14:11 · Membro 0023
Tentei também.. não funcionou..
25/09/2018 14:12 · Membro 0023
O que identifiquei aqui é que, quando plugo o celular no computador ele não monta a unidade..
25/09/2018 14:12 · Membro 0023
Só tá carregando..

Origem 004 — 09/12/2019 12:21 a 12:47 — Análise de volumes criptografados com VeraCrypt, FileVault ou LUKS

09/12/2019 12:21 · Membro 0021
Bom dia!
Alguma sugestão pra realizar a cópia física dos dados do Macbook air?
09/12/2019 12:30 · Membro 0020
Existe o ftkimager for mac, mas só funciona com a máquina ligada. Na época até pesquisei por outras soluções, mas eram pagas
09/12/2019 12:35 · Membro 0060
Faço com boot Linux [NOME] e depois G imager...
09/12/2019 12:36 · Membro 0060
Antes tem que colocar o HD externo no modo escrita
09/12/2019 12:37 · Membro 0054
Se não for dos macs mais novos (com chip T2), uso o Sumuri Paladin.
09/12/2019 12:37 · Membro 0021
Inicia pelo CD/DVD de boot? Ou HD externo?
09/12/2019 12:38 · Membro 0054
Funciona se o disco não estiver com FileVault
09/12/2019 12:38 · Membro 0060
Um pendrive com o boot [NOME]
09/12/2019 12:40 · Membro 0021
É necessário alguma configuração pra iniciar pelo pendrive ou só iniciar e pressionar a tecla C?
09/12/2019 12:41 · Membro 0021
Executar pelo pendrive?
09/12/2019 12:45 · Membro 0020
Sim, funciona com um pendrive ou disco externo. Mas você precisa fazer um pendrive bootavel com Linux
09/12/2019 12:46 · Membro 0021
Inicaliza pelo pendrive. Ok
09/12/2019 12:47 · Membro 0060
Ligar o Mac com a tecla option apertada

Origem 005 — 03/12/2020 10:01 a 10:52 — Metadados EXIF/JPEG e individualização de câmera

03/12/2020 10:01 · Membro 0083
Pessoal, bom dia! Um coleta Perito está com umas fotos de local corrompidas. Já fiz algumas tentativas de recuperação sem sucesso, alguém tem alguma sugestão? *Obs.: são imagens .JPG e com seus respectivos tamanhos.*
03/12/2020 10:02 · Membro 0010
Já jogou no drive do Google?
03/12/2020 10:03 · Membro 0010
Há um tempo atrás um colega pediu pra ver se eu conseguia recuperar uma foto e mandou pelo drive google
03/12/2020 10:04 · Membro 0010
Segundo ele nem precisou, na hora que ele colocou o drive do Google já deu pra visualizar a foto!
03/12/2020 10:04 · Membro 0010
Se funcionar da um toque
03/12/2020 10:07 · Membro 0088
Tentaste um "carving" no PA, [MENCAO]?
03/12/2020 10:09 · Membro 0088
como foi essa corrompida?
03/12/2020 10:09 · Membro 0088
Dá uma olhada nos hexadecimais, se tem dados, já vi situação q infelizmente os dados estavam zerados, aí já era
03/12/2020 10:10 · Membro 0083
Não tenho o histórico, só um pendrive e a informação que não abre as imagens de dois diretórios
03/12/2020 10:15 · Membro 0003
https://www.cgsecurity.org/wiki/TestDisk_Download
03/12/2020 10:20 · Membro 0083
Não gostaria de passar na partição toda, não encontrei a opção de selecionar diretório específico
03/12/2020 10:24 · Membro 0003
não tem mesmo, mas acho que vale a pena tentar mesmo assim
03/12/2020 10:33 · Membro 0048
e o velho photorec? já tentou?
03/12/2020 10:35 · Membro 0083
Não seria o TestDisk?
03/12/2020 10:38 · Membro 0003
normalmente para pendrives eu faço uma imagem com o ftk imager e depois passo o testdisk, dá bons resultados
03/12/2020 10:42 · Membro 0083
Todos os outros arquivos do pendrive estão normais, apenas esses 2 diretórios com pane (acredito que já tenha sido na cópia)
03/12/2020 10:44 · Membro 0088
checa a assinatura do começo dos arquivos, se bate com jpeg ao menos. Deve ter sido uma corrompida e tanto eheh
03/12/2020 10:44 · Membro 0088
FF D8 FF se não me engano
03/12/2020 10:44 · Membro 0088
joga no exifftool tb para ver se ele reconhece algum metadado?
03/12/2020 10:52 · Membro 0048
passa um binwalk nele, vê o que ele detecta

Origem 006 — 03/08/2021 09:03 a 09:52 — Artefatos de USB e mídias removíveis no Windows

03/08/2021 09:03 · Membro 0020
Pessoal, bom dia. Preciso de uma ajuda de vocês. Gostaria de saber qual o método vocês estão utilizando para adquirir o disco ssd dos Mac book air. No passado utilizei o ftk imager for Mac, mas esse, na versão gratuita, precisa acontecer com a máquina ligada...
03/08/2021 09:48 · Membro 0021
Usa um um Linux no pendrive e faz a cópia dd.
03/08/2021 09:48 · Membro 0090
Mas nos air, se não me engano, precisamos daquele adaptador para ter várias USB...
03/08/2021 09:49 · Membro 0117
Boot pelo [NOME] e cópia pelo guymager. Só lembrar de usar o [NOME] 11 para que ele reconheça os ssd nvme.
03/08/2021 09:50 · Membro 0020
Última vez que usei o [NOME] ele não conseguiu ler a partição Mac, vou tentar novamente... Consegui abrir o MacBook, mas aqui não temos leitor de m.2 😭
03/08/2021 09:50 · Membro 0021
Um detalhe. O disco normalmente está habilitado com criptografia. Tem que desabilitar primeiro.
03/08/2021 09:50 · Membro 0020
Opa... Era essa dica que faltava 👏🏼👏🏼👏🏼 obrigado
03/08/2021 09:52 · Membro 0021
Pode usar o comando DD ou usar um aplicativo da uma versão do Linux.

Origem 007 — 23/06/2022 11:06 a 11:17 — Conexão USB, ADB e diagnóstico de porta em Android

23/06/2022 11:06 · Membro 0048
Reconhece o modo ADB?
23/06/2022 11:07 · Membro 0125
Hora vai até a tentativa 10 e dá essa mensagem, hora ocorre no começo
23/06/2022 11:08 · Membro 0125
Aconteceu o mesmo no UFED Touch e eu pensei q fosse pen drive. Agora estou fazendo no 4PC
23/06/2022 11:09 · Membro 0048
Esse celular está com armazenamento interno muito lotado?
23/06/2022 11:09 · Membro 0048
Muitas vezes esses métodos de extração precisam de um espaço livre para funcionar direito
23/06/2022 11:10 · Membro 0048
Se estiver muito lotado as vezes dá problema
23/06/2022 11:10 · Membro 0048
Não sei o que pode ser.
23/06/2022 11:17 · Membro 0048
É verdade, Moto geralmente não pega esse método

Origem 008 — 27/06/2022 16:58 a 18:24 — Conexão USB, ADB e diagnóstico de porta em Android

27/06/2022 16:58 · Membro 0126
Boa tarde, resetamos o touch2 pois estava reiniciando muito durante as extrações, porém no inicio quando estamos parte de fazer o upload da licença pelo USB aparece a seguinte mensagem "A license was not found, please ensure the license is located in the root directory of the USB drive"
Baixamos a licença direto do mycellebrite e colocamos na pasta raiz de um pendrive formatado.
Alguém já teve esse problema? ou sabe como resolver?
27/06/2022 18:11 · Membro 0105
Em qual conector USB vc esta colocando o pendrive?
27/06/2022 18:13 · Membro 0126
Coloquei nos auxiliares na parte de trás, mas quando aparecia a mensagem eu testava em todos
27/06/2022 18:19 · Membro 0134
Sistema de arquivos talvez?
27/06/2022 18:19 · Membro 0126
Testamos no ntfs e o fat
27/06/2022 18:20 · Membro 0126
Em mais de um pendrive
27/06/2022 18:20 · Membro 0126
Mandamos pra cellebrite também
27/06/2022 18:21 · Membro 0126
Vou ver a resposta deles e encaminho aqui tbm, caso alguém mais tenha esse problema
27/06/2022 18:24 · Membro 0048
Qual o formato do arquivo de licença?

Origem 009 — 13/04/2023 23:12 a 23:21 — Até o , acho que foi pra todo mundo. A ISO precisa ser

13/04/2023 23:12 · Membro 0128
🤚🏽 [EMAIL]
13/04/2023 23:21 · Membro 0045
Senhores até o [NOME], acho que foi pra todo mundo. A ISO precisa ser queimada pra um pen drive de pelo menos 16GB, aqui eu uso o Rufus, e no Rufus, aconselho a optar por gravar no modo dd. Qualquer senha que for pedida, sempre vai ser de 1 a 6. Hoje já fiz um teste, rodando numa HP Z820, em um HD de 1 TB, implicado numa situação de pedofilia, e funfou direitinho. Espero que consiga ajudar. Qualquer dúvida, pode falar.

Origem 010 — 22/05/2023 15:19 a 15:24 — Excelente. Obrigado 👍🏻

22/05/2023 15:19 · Membro 0088
Excelente. Obrigado [MENCAO] 👍🏻
22/05/2023 15:24 · Membro 0020
Essa metodologia funciona muito bem, só precisa ficar ligado na sequência correta pra entrar no BIOS do Macbook e setar pra boot através do pendrive, caso contrário ele vai subir o sistema alterando a evidência

Origem 011 — 22/09/2025 11:49 a 11:49 — Análise de Registro Windows e arquivo NTUSER.DAT

22/09/2025 11:49 · Membro 0030
Bom dia, colegas. Alguém já fez caça-níquel com pendrive bootavel com Android? Na verdade, tenho apenas os pendrives...fica algum registro armazenado no pendrive que eu possa buscar? Alguma dica?

Origem 012 — 23/05/2026 20:56 a 20:56 — Acesso a volume protegido por BitLocker

23/05/2026 20:56 · Membro 0003
Falha crítica no Windows 11 permite burlar criptografia do BitLocker com um pen drive - Tudocelular.com https://share.google/jEep829saQCldzyLp