Software Avançado De Investigação Forense Móvel

O MOBILedit Forensics é um software forense avançado para telefones, que extrai e analisa profundamente o conteúdo do telefone, incluindo dados excluídos , dados do aplicativo, senhas, geolocalizações e qualquer coisa que possa residir no telefone. Software profissional para autoridades e usuários corporativos e finais. Ele também pode ignorar a senha, o PIN e a criptografia de backup do telefone .

Exigências
MOBILedit forensics Express
Celular com (a depuração USB deve estar ativada.)

Passo 1:

Faça o download do MOBILedit Forensic Express  AQUI 

Instale no seu PC.
Agora clique em MOBILedit Forensic e clique em Iniciar .

Passo 2:
Na próxima etapa, ele começará a procurar dispositivos, conecte seu dispositivo com o cabo de dados
N ota : USB depuração deve ser habilitado.

Etapa 3:
Agora selecione seu dispositivo e clique na próxima opção.

Passo 4:
Ele solicitará a aquisição de todos os dados do telefone necessários para instalar o aplicativo de conector no dispositivo, clique em Instalar .

Passo 5:
Clique em ok se o seu telefone não estiver enraizado.
Enraizado é necessário se você deseja obter o máximo de informações, incluindo dados excluídos e de aplicativos, como mensagens do Whatsapp e do Facebook e muito mais.

Passo 6:
Selecione uma seleção específica e clique no botão Avançar .

Passo 7:
Clique no botão Selecionar tudo e Próximo . Nesta etapa, você pode selecionar os dados especificados que deseja extrair do dispositivo.

Passo 8:
Nesta etapa, preencha os detalhes do caso no campo de texto e clique em Avançar .

Passo 9:
Agora selecione o formato do relatório e também o backup das exportações.
Aqui, temos quatro opções para fazer backup de nossas exportações, como backup MobiLedit, exportação MobiLedi, backup Cellebrite UFDR e ADB.

Passo 10:
Selecione a pasta de destino onde deseja salvar o resultado e o backup, depois clique em exportar.

Passo 11:
Agora aguarde os dados de exportação e análise, uma vez concluídos, clique na pasta do relatório e veja o resultado.

Resultado em formato PDF

Resultado de 009_calls.pfd

Mais informações »

Cuidado com o que você envia para a Lixeira!

Como sabe é comum utilizar a Lixeira do Windows para dispensar aqueles arquivos que não utilizamos mais. Porém devemos redobrar a atenção para o que enviamos para a Lixeira, pois a Segurança dos seus dados ou da sua empresa podem estar em jogo.
Durante um PenTest você pode ate considerar incluir este passo a passo para tentar extrair informações sensíveis sobre o ambiente e auxiliar a equipe de Segurança a fim de melhorar a abordagem e os pontos de atenção durante a campanha de Conscientização sobre Segurança da Informação para os funcionários.
Observações:
Administradores de Redes não armazenem senhas em arquivos de texto, planilhas. (Utilize um Cofre de Senhas).
01 ) Para extrair os arquivos da Lixeira de um usuário é necessário descobrir qual SID do usuário. Para isso basta executar o comando:

C:\marrocamp>wmic useraccount get Name,SID

02 )  Entre no diretório C:\ e execute o comando dir /a para exibir todas as pastas ocultas.Você deve encontrar a pasta: $Recycle.Bin

C:\$Recycle.Bin – Windows Vista ou Superior
C:\RECYCLER – Windows NT/2000/XP
C:\RECYCLED – Windows 95/98/ME 

C:\marrocamp>cd \

C:\>dir /a

3) Acesse a pasta $Recycle.Bin e digite o comando dir /a para visualizar a pasta correspondente ao usuário que deseja acessar.
No meu exemplo a pasta S-1-5-21-2603634268-333812968-3880080425-1001 correspondente ao usuário marrocamp (01 Passo).
C:\>cd $Recycle.Bin
C:\$Recycle.Bin> dir /a

4) Acesse a pasta S-1-5-21-2603634268-333812968-3880080425-1001 e visualize os arquivos que estão armazenados na Lixeira utilizando o comando dir.
Obs:
$Ixxxxx – São os Metadados dos arquivos.
$Rxxxxx – São os arquivos com conteúdo. 
C:\$Recycle.Bin>cd S-1-5-21-2603634268-333812968-3880080425-1001
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>

5) Criei uma pasta (ex: Lixeira) para copiar todo os arquivos da Lixeira do usuário, em seguida realize a copia dos arquivos que iniciam com $R.
C:\$Recycle.Bin\S-1-5-21-2603634268-333812968-3880080425-1001>md C:\marrocamp\Lixeira
C:\$Recycle.Bin\S-1-5-21-2603634268-333812968-3880080425-1001>copy $R* C:\marrocamp\Lixeira

 6) Acesse a pasta (ex: C:\marrocamp\Lixeira) para visualizar os arquivos.

Arquivo de texto com Senhas: $RTSIC71.txt

Atenção !!!!

Com as informações encontradas na Lixeira um usuário mal intencionado poderia ter acesso 

aos servidores da sua empresa.

Mais informações »

Proteja seu WhatsApp contra hackers

WhatsApp é o aplicativo de troca de mensagens mais popular no mundo, por conta disso é o alvo principal de golpistas e hackers.

Existem diversos métodos para se hackear WhatsApp, mas o tipo de ataque mais aplicado é muito simples. O ataque que cito envolve engenharia social, a arte de ludibriar pessoas afim de obter um resultado.

Neste tipo de ataque, o atacante geralmente já está de posse de uma conta hackeada afim de passar mais credibilidade ao alvo, afinal é mais fácil você conseguir atenção de alguém se você se passar por alguém que está no contexto que a pessoa vive, mesma escola, emprego etc.

O hacker então chamará você no privado e inventará uma história, geralmente a história envolve uma solicitação de ajuda com o app de mensagem. Por exemplo o hacker pode inventar que o WhatsApp dele está com problema e portanto precisa da sua ajuda, ele falará que você receberá um código de 6 dígitos e é para você passar para ele este código. Se você passar o código, você terá seu WhatsApp comprometido na hora caso não tenha proteção de confirmação em duas etapas ativadas em sua conta.

Neste momento depois que ele consegue o código de 6 dígitos, o hacker se cadastrará no WhatsApp com seu número e ativará a confirmação em duas etapas com um PIN e um email, para piorar a situação o hacker fará de tudo para manter você ocupado... vai encher você de spam de sms e ligações, para que não dê tempo de você ativar um PIN e email antes dele. Quando ele conseguir ativar a confirmação em duas etapas é o momento em que você perde acesso total a sua conta no WhatsApp. Não adiantará usar seu próprio número para se cadastrar novamente pois o WhatsApp solicitará o PIN de acesso ou email para recuperação e só o hacker tem essa informação.
A única solução que lhe resta é trocar de número e avisar aos seus contatos que não envie mensagens para o número antigo pois ele está comprometido.
Agora de posse de sua conta, o hacker vai aguardar por mensagens... afinal ele não tem acesso as mensagens anteriores e aos contatos uma vez que esses dados ficam armazenada em seu aparelho ou em seu Google Drive que não foram comprometidos. Sendo assim, quando alguém mandar uma mensagem para seu antigo número ou começar a aparecer as mensagens dos grupos que você participava o hacker entrará em ação tentando aplicar o golpe em outros usuários do WhatsApp.
Mas porque estão hackeando contas do WhatsApp? Simples, golpistas de posse dessas contas vão então transformá-las em contas comerciais afim de aplicar golpes se passando por empresas que usam o WhatsApp Business ou mesmo aplicar golpes financeiros em seus contatos se passando por você.
Como se proteger? Super fácil, primeiramente certifique que possua um endereço de email válido e seguro.
Depois acesse as configurações do seu WhatsApp, clique nos 3 pontinhos e depois em "Configurações" e em seguida clique em "Conta".
Você então verá a opção "Confirmação em duas etapas", clicando nessa opção você visualizará a tela abaixo:

Clicando em "Ativar", será solicitado um código numérico de 6 dígitos. Crie um que você se lembre futuramente se precisar.

Depois solicitará um email, para caso esquecer o PIN que digitou anteriormente.

Após isso está concluído a confirmação em duas etapas.

Se deseja remover a confirmação em duas etapas, basta clicar em "Desativar".

E depois confirmar clicando em "Desativar".

Mais informações »

Como extrair/gerar WhatsApp key de qualquer Android

WhatsDump é um script que permite você extrair a chave privada de um usuário do WhatsApp de dispositivos Android (suportando inclusive a versão superior a Android 9 e 10). O que a ferramenta faz é basicamente criar um emulador Android rodando versão 6.0 com root e registrar o número do telefone do WhatsApp referente ao arquivo "msgstore.db.crypt12" que você tenha informado previamente ao script.

Script: https://github.com/MarcoG3/WhatsDump
Repositório sumiu? Fork: https://github.com/MarcoG3/WhatsDump

Primeiramente obtenha o arquivo "msgstore.db.crypt12" que fica no smartphone do alvo no caminho ".../WhatsApp/Databases/". Então em um dispositivo com root, use um emulador Android no computador e habilite seu root, clique aqui e saiba mais, instale o WhatsApp e depois cole o arquivo "msgstore.db.crypt12" no caminho ".../WhatsApp/Databases/" (em uma instalação limpa do WhatsApp, é necessário criar a pasta "Databases") do Android com root. Feito isso, abra o aplicativo e então registre normalmente o número do alvo, será necessário interceptar o sms ou a ligação contendo o código para registrar o número, (caso o alvo utilize pin, será necessário obter o pin). Após registrado, no WhatsApp do alvo aparecerá uma notificação: "Desconectado do WhatsApp. Seu número de celular não está mais registrado neste aparelho". Então, confirme que você quer restaurar o backup local e pronto. Agora basta, com permissões de root em algum aplicativo explorador de arquivos, navegar até o caminho "/data/data/com.whatsapp/files" e copiar o arquivo "key" para então depois usar algum software para descriptografar o histórico de conversas, clique aqui e saiba mais.

Note que no WhatsApp do alvo aparecerá a seguinte mensagem:

"Seu número de celular não está mais registrado com o WhatsApp neste aparelho. Provavelmente você já tenha registrado esse número em outro aparelho. Caso você não tenha feito isso, confirme seu número de celular para acessar sua conta."

Resumindo, o alvo pode rapidamente restaurar a conta. Para evitar ser vítima desses golpes uma dica é jamais fornecer o código de ativação se chegar por sms ou ligação, inclusive o WhatsApp alerta sobre isso, quando alguém tenta registrar seu número uma notificação aparece em seu aparelho: "Um código de registro do WhatsApp foi solicitado para seu número de celular.". Também é importante deixar ativado o PIN, saiba mais clicando aqui.

Mais informações »

Como pegar as conversas?
Tutorial  abaixo para pegar conversas do WhatsApp do Android ou iOS  - Aplicavel em Windows, Mac e Linux.
iOS
Para conseguir o arquivo ChatStorage.sqlite (que contém as conversas) baixe o programa iPhone / iPod Touch Backup Extractor projetado para rodar em Mac OS X 10.5 ou superior.
Clique aqui para baixar em seu MAC.
O programa converte os backups de iPhone ou iPod Touch que são criados pelo iTunes em arquivos facilmente utilizáveis. Confira abaixo um tutorial em vídeo de como utilizar a ferramenta:

*Em primeiro lugar certifique-se de ter um backup recente do iTunes sem criptografia, para isto no iTunes em backup deixe desmarcado a opção "Encrypt iPhone backup"
Android
Abaixo vocês conferem um tutorial em vídeo de como pegar o arquivo que contém as conversas no Android remotamente infectando o aparelho da vítima, esse arquivo também pode ser obtido facilmente plugando o Android no computador e indo na pasta "WhatsApp" e depois na pasta "Databases".

Se o arquivo que contém as conversas do WhatsApp estiver com o nome apenas  de "msgstore.db" significa que ele está sem criptografia, mas se estiver com o nome "msgstore.db.cryptX" (crypt8, crypt7, crypt6...) significa que ele está criptografado e é necessário a "Key" (chave).

Você encontra a "Key" em "/data/data/com.whatsapp/files" ou seja se você for tentar pegar manualmente pelo Android será necessário acesso ao ROOT para navegar na pasta raiz "/" , depois dentro da pasta 'files' terá um arquivo com o nome "Key".

Mais informações »