INTRODUÇÃO

Podemos observar que atualmente o

aplicativo WhatsApp vem recebendo diversas atualizações, entre
melhorias e correções, e tais modificações vem dificultando a cada dia o
trabalho dos Peritos Criminais e Policiais. A partir do ano de 2019 a App
liberou a função da biometria por impressão digital permitindo uma
segurança maior ao usuário e uma nova barreira para o policial, no entanto
mesmo com essa segurança adicional, é possível burlar tal etapa para
obtermos e extraímos as conversas criptografadas e a mídia do APP, é o
que demonstraremos a seguir, siga fielmente as etapas.
 PREPARANDO O DISPOSITIVO

Vale ressaltar que os procedimentos abaixo

demonstrados funcionam também para efetuar uma coleta com a função
da biometria desativada. Para iniciarmos devemos preparar o dispositivo
para que seja possível a devida comunicação com o ADB (Android
Debug Bridge), para isso devemos configurar para que o smartphone
fique em MODO DEPURAÇÂO USB, princípio básico para qualquer
extração forense em dispositivos móveis.

Acesse as configurações do dispositivo.

Role a tela de configurações até o final e acesse o menu Sobre o
telefone.
Atenção a essa etapa: Role a tela até o final e localize a opção Número da
Versão e pressione 7 (sete) vezes rapidamente até o ativar o modo
desenvolvedor.
Após ativado o modo desenvolvedor retorne ao menu inicial da tela de
configurações e acesse a opção Sistema => Avançado => Opções do
Desenvolvedor => Depuração USB.
Se tudo ocorreu bem desbloqueie a tela e conecte o dispositivo na porta
USB do computador, permita o acesso ao telefone assim que solicitado.
 EXTRAÇÃO DOS DADOS

A coleta será realizada com a utilização do

Android Forensics, nesta nova versão foi incluída uma barra de
processo durante as operações requisitadas pelo usuário, a tela do
programa não trava. Foi implementado também a extração completa das
conversas, dos arquivos, da Key (Chave) e da mídia do aplicativo
WhatsApp sem a necessidade do ROOT.
 EXTRAÇÃO COM
ANDROID FORENSICS 2.0

REQUISITOS MÍNIMOS:

Dispositivo: Ativado a Depuração USB.

Sistema Operacional: Windows 10 atualizado.
Para Extração: Sistemas 32 ou 64 Bits.
Conversão Backup .AB para .TAR: Sistemas 32 ou 64 Bits e o JAVA
instalado.
Relatório IPED PF: Sistema 64 Bits e JAVA instalado.
Observe que o primeiro passo do software e copiar o caminho e o
arquivo original do aplicativo WhatsApp para ao final restaurá-lo ao seu
estado original. Tais arquivos serão armazenados na pasta temp.
No próximo passo o programa irá desinstalar a versão original e logo em
seguida reiniciar o dispositivo para a instalação do Exploit
LegacyWhatsApp.apk, só prossiga após a reinicialização e desbloqueio
da tela.
No dispositivo, após a instalação do Exploit, pressione o botão continuar
para dar prosseguimento a coleta, na sequência clique em Fazer backup
de meus dados.
Observe que o programa irá buscar arquivos de mídia em dois locais do
dispositivo, pois esses locais podem variar caso a biometria esteja ativada
ou não.

Quando a biometria estiver desativada por padrão os arquivos de midias

são salvos no caminho a baxo:

/sdcard/WhatsApp
Por sua vez quando o usuário ativa a biometria as mídias passam a serem
salvas neste novo local abaixo:

/sdcard/Android/media/com.whatsapp/

Por fim o programa oferece a opção de converter o arquvo .AB para .TAR,
formato esse que e lido pelo indexador IPED da Policia Federal.
Pasta de mídia do WhatsApp Backup ADB da pasta
com Biometria. com.whatsapp, ao indexar com o
IPED elimine esta pasta, pois ela é
redundante.

Pasta de mídia do WhatsApp Principal pasta que contém os

sem Biometria bancos de dados das conversas,
lista de contatos, KEY (chave) e
etc.
 INDEXAÇÃO DOS ARQUIVOS
COM IPED

De nada adianta realizar a extração dos dados se não houver uma forma
eficiente de analisar os dados coletados de forma mais adequada, para
isso Peritos Criminais da Polícia Federal desenvolveram um poderoso
software que é capaz de lidar com milhões de dados, tal ferramenta foi
amplamente utilizada na operação Lava Jato. Para facilitar a geração
desse indexador o Android Forensics automatiza esse processo facilitando
o trabalho.

https://servicos.dpf.gov.br/ferramentas/IPED/

Extração Whatsapp realizada com o Androis Forensics 2.0

Extração Whatsapp realizada com o Androis Forensics 2.0
Siga os passos a seguir para obter uma análise conforme os resultados
das telas acima demonstradas. No modulo IPED selecione PASTA e
clique em SELECIONAR e SALVAR EM, por fim clique no botão
EXTRAIR.
 INDEXAÇÃO DOS ARQUIVOS
COM AUTOPSY

https://www.autopsy.com/download/

O Autopsy Digital Forensics é mais uma alternativa FREE para indexar e

processar os dados coletados, a única desvantagem é que as conversas
do WhatsApp não são estruturadas.