Avilla Forensics: Ferramenta Gratuita para Coleta e Análise de Smartphones

Conceitos iniciais de Forense Digital

Para falarmos de Forense Digital ou sobre o Avilla Forensics, é necessário que primeiramente conceituemos a ciência forense e o que a compõe.

Ciência Forense é uma área formada pela união de várias outras áreas de conhecimento, como a física, química, medicina, entre outras, para a resolução de questões de interesse jurídico, de ordem civil ou criminal. 

É um conjunto multidisciplinar de ciências aplicadas ao uso judicial ou relacionado ao fórum.

Então, todas as ciências que acompanham a ciência forense são utilizações de ciências tradicionais, como, por exemplo, a medicina, porém aplicada a uma finalidade forense com a missão de auxiliar em um processo judicial.

“A computação forense ou forense digital é a ramificação da criminalística que visa analisar vestígios cibernéticos e os elementos relacionados.” (VELHO, 2016). 

A tecnologia começou a abraçar o mundo em todas as áreas de trabalho, de estudos, de relacionamentos e, portanto, a computação forense vem entender esse ambiente e que tipos de evidências esse ambiente digital produz.

É a ciência forense utilizando da ciência da computação na resolução de crimes. 

O que são Evidências digitais?

De acordo com ABNT (2013), Evidências digitais são informações ou dados, armazenados ou transmitidos em forma binária, que podem ser invocados como evidência.

Em outras palavras, é qualquer tipo de dado digital que possa ajudar a demonstrar que uma fraude ou irregularidade foi cometida ou que possa estabelecer um vínculo entre a vítima e o agente.

O Perito Digital irá buscar essa evidência dentro de computadores ou dispositivos móveis.

Ao contrário do que muitos acreditam, a computação forense atua em qualquer tipo de crime.

Em um homicídio, por exemplo. Nesse caso, em relação ao criminoso vai demonstrar, pelo menos, se ele esteve no local do crime e, de repente, outras evidências que possam apontar um planejamento de um possível crime.

Você pode gostar de assistir:

Novos Paradigmas 

O mercado tem apresentado vários modelos ou paradigmas tecnológicos, e um deles é a mobilidade, ou seja, uma explosão no uso de smartphones, tablets, livros digitais etc.

Todo mundo quer ter o seu ambiente móvel, carregar suas informações para qualquer lugar e, geralmente, através de uma rede sem fio para acesso às informações. 

Com a evolução da tecnologia, inúmeras ferramentas são desenvolvidas para extrair evidências de dispositivos móveis e nenhuma delas possui a capacidade de extrair todas as evidências de todos os dispositivos disponíveis no mercado.

No entanto, podemos afirmar, com grande certeza, de que o Avilla Forensics vem ganhando espaço entre uma das melhores ferramentas de extração de dispositivos móveis no mundo.

O que é o Avilla Forensics?

É uma ferramenta forense móvel gratuita, criada em fevereiro de 2021 e projetada para auxiliar os investigadores a obter informações e evidências de um dispositivo móvel.

Oferecendo recursos que permitem interagir com um dispositivo móvel através da interface do Android Debug Bridge (ADB), uma ferramenta de linha de comando versátil, que permite a comunicação com um dispositivo,  criando um backup completo e instalando seu próprio agente para análise de dados em tempo real.

Sendo desenvolvida em C#, a ferramenta roda de forma tranquila em ambientes Windows 10/11 com suas atualizações iniciais.

Porém, algumas opções da ferramenta necessitam dos seguintes downloads adicionais:

• JAVA: https://www.java.com/pt-BR/download/ – Para rodar algumas ferramentas, como o IPAD , necessitam do Java instalado.
• PYTHON: https://www.python.org/ – Alguns scripts, como o de decriptação necessitam do Python instalado.
• Notepad++: https://notepad-plus-plus.org/downloads/ – Para verificar os códigos e arquivos XML. Suporte melhor para vários tipos de arquivos texto.
• DB Browser: https://sqlitebrowser.org/ – Para navegar pelas bases de dados.
• Android Studio: https://developer.android.com/studio/ – Ambiente de Virtualização. Por ser muito pesado, pode ser substituído pelo Virtualbox.
• Virtualbox: https://www.virtualbox.org/wiki/Downloads – Ambiente de Virtualização.

A ferramenta em sua versão mais atual, na ocasião deste tutorial a versão 3.0, possibilita uma vasta opção de operações nos dispositivos móveis, tais como:

• Backup ADB.
• APK Downgrade em 15 aplicativos.
• Parser Chats WhatsApp.
• Coletas ADB diversas.
• Rastreamento, Download e Decriptação de arquivos .ENC do WhatsApp.
• Busca da Lista de Contatos.
• Fotos Avatares e Contatos Excluídos do WhatsApp.
• Decriptação Databases WhatsApp Crypt 14 e 15.
• Capturas de Tela.
• DUMP de Tela
• Integração automática com o IPED.
• Integração automática com o AFLogical.
• Integração automática com o Alias Connector.
• Conversão de .AB para .TAR
• Varredura Rápida e Transferência em tempo real
• Localizador de Imagens (Hashs, Metadados, Geolocalização, Plotagem da localização no Google Maps e Google Earth).
• Plotagem (EM LOTES) da Geolocalização de imagens no Google Earth (geo.kml) com patch e miniaturas das imagens.
• Instalação e Desinstalação de APKs via ADB.
• Calculadora HASH, entre outras funções.

Download e Instalação do Avilla Forensics 3.0

A ferramenta pode ser adquirida no endereço:

https://materiais.academiadeforensedigital.com.br/download-avilla-forensics-lp

A ferramenta não é instalável e deve ser instalada no C:\Forensics.

Execute como administrador o arquivo “Avilla Forensics.exe” e não coloque espaços no nome da pasta, tampouco altere o estado da pasta da ferramenta.

Crie uma pasta para salvar suas aquisições.

Pré-Requisitos para uso da ferramenta Avilla Forensics

Para utilizar a ferramenta, é recomendado possuir conhecimentos técnicos em forense em dispositivos móveis.

1. Requer JAVA (https://www.java.com/pt-BR/):

• – IPED-4.0.1: “C:\Forensics\IPED-4.0.1_and_plugins” (Just install JAVA) (Apenas instalar o JAVA).
• – IPED Tools: “C:\Forensics\bin\IPEDTools\IPEDTools.exe” (Apenas instalar o JAVA).
• – Bycode Viewer: “C:\Forensics\bin\bycodeviewer” (Apenas instalar o JAVA).
• – Jadx-1.2.0: “C:\Forensics\bin\jadx-1.2.0” (Apenas instalar o JAVA).
• – Backup Extractor: “C:\Forensics\backup_extractor” (Apenas instalar o JAVA).
• O módulo Backup Extrator (. AB para .TAR) pode exigir que você adicione o patch “C:\Forensics” nas variáveis do sistema.
• – GPS PRUNE “C:\Forensics\bin\gpsprune” (Apenas instalar o JAVA).
• – jExiftool GUI: “C:\Forensics\bin\exiftoolgui\jExifToolGUI.exe “(Apenas instalar o JAVA).

 2. Requer PHYTON (https://www.python.org/):

• – Instaloader: Para instalar execute o arquivo “C:\Forensics\bin\instaloader-master\install_instaloader.bat” ou pip install instaloader => Não Precisa mais, o arquivo .py foi compilado para .exe
• – MVT Para instalar execute o arquivo “C:\Forensics\bin\mvt-main\install_mvt.bat” ou pip install mvt
• – WhatsApp-Crypt14-Crypt15-Decrypt: Para instalar execute o arquivo “C:\Forensics\bin\install_whacipher.bat” ou pip install -r requirements.txt
• – Whatsapp Media Decrypt: Para instalar execute o arquivo “C:\Forensics\bin\WhatsApp-Crypt14-Crypt15-Decrypter-main\install-Decrypter.bat” ou pip install pycryptodome

Android Debug Bridge (ADB) do Avilla Forensics

Segundo Avilla (2021) “O Android Debug Bridge (adb) é uma ferramenta de linha de comando versátil que permite a comunicação com um dispositivo. O comando adb facilita uma variedade de ações do dispositivo, como instalar e depurar apps.”

Aplicativos que configuram algo específico necessitam de execução de comandos do adb. Um exemplo simples quando isso ocorre, é com permissões especiais.

O Android possui diversas permissões, algumas estão disponíveis para aplicativos de terceiros, como acesso à câmera, permissão de arquivos, permissão de localização padrão.

Entretanto, existem algumas permissões que não são disponíveis para aplicativos de terceiros e apenas usando o adb é possível acessar permissões especiais para qualquer aplicativo. 

O ADB pode ser encontrado em https://developer.android.com/studio/command-line/adb 

Para usar ADB com seu dispositivo Android, você deve habilitar um recurso chamado “Depuração USB”.

Toque no ícone Configurações (fig.2) e selecione “Sobre o telefone” (Fig. 3).

Role totalmente para baixo e toque no item “Número da versão” sete vezes.

Você deve receber uma mensagem dizendo que agora é um desenvolvedor. 

Volte para a página principal de Configurações e você verá uma nova opção na seção “Sistema” chamada “Opções do desenvolvedor”.

Abra-o e ative “Depuração USB”. (Fig.4)

OBS: O acesso pode variar de acordo com os diferentes tipos de dispositivos. 

No XIAOMI, é preciso desabilitar a opção de bloqueios de instalação de APK´s para instalar o exploit necessário para fazer o APK Downgrade.

Após conectar o cabo, aparecerá uma tela de permissão para a depuração USB, como abaixo:

Basta clicar em PERMITIR e habilitar a depuração USB.

Coleta de WhatsApp pelo Avilla Forensics

• 5.1 APK DOWNGRADE

  (Atenção: Este procedimento pode danificar a evidência, e só deve ser realizado em último caso.)

  

   

Existem algumas limitações do Android 12 que, por apresentar características de segurança, não é possível usar o APK Downgrade.

Os telefones XIAOMI podem vir com proteções USB.

Remova as proteções com os seguintes passos:

1. Ative as opções do desenvolvedor.
2. Configurações -> Configurações adicionais -> Desativar otimizações MIUI
3. Reinicializar telefone
4. Configurações -> Configurações adicionais -> Opções do desenvolvedor -> Permitir depuração USB
5. Segurança (aplicativo do sistema) -> Gerenciar aplicativos -> Permissões -> Ícone de engrenagem (no canto superior direito) -> Instalar via USB (verdadeiro)
6. Reinicializar telefone
7. Configurações -> Configurações adicionais -> Opções do desenvolvedor -> Ativar instalação via USB

O Avilla Forensics irá identificar apenas o que está instalado no dispositivo.

– Salvar em:  Local de armazenagem do backup.

-Detectar: Detecta os aplicativos instalados no dispositivo.

– Aplicação teste: Aplicativo teste. Vai instalar um aplicativo genérico no dispositivo e nele você consegue fazer o downgrade e se houver algum erro ele não vai danificar o aplicativo alvo de aquisição.

Dump Package e DBInfo:  Estado original que o WhatsApp está naquele momento, por padrão já vem habilitado.

Ele vai fazer todo o dumping do aplicativo do estado antes da extração. 

Após efetuar os testes de conexão, definir o local de armazenamento, clicar em EXTRAIR.

ATENÇÃO: NÃO INTERROMPA O PROCESSO!

O aplicativo irá salvar o arquivo base.apk em uma pasta temporária.

O arquivo base.apk é a versão atual. Se esse arquivo não aparecer, houve algum erro com a operação.

No processo normal, esse arquivo será retornado ao final. 

Após reiniciar a versão original, vai perguntar se você quer extrair as mídias.

Caso dê erro, é preciso fazer a instalação manualmente.

O arquivo extraído será salvo no formato. ab, conforme a figura abaixo:

• Conversão de .ab para .tar no Avilla Forensics

Aqui você define a origem do arquivo .AB extraído na etapa anterior e o destino onde será armazenado o arquivo .TAR gerado com a operação de conversão de backup.

Informações importantes para a conversão de .AB para .TAR:

• Requer JAVA;
• Backups ADB com senha podem demorar mais tempo para converter;
• Procure não colocar senhas nos backups solicitados no “Backup ADB” ou no “Downgrade”, assim você agiliza o processo de conversão;
• Caso esse módulo não funcione procure adicionar nas variáveis do sistema o patch “C:\Forensics“;
• Você também pode adicionar nas variáveis do sistema o PATCH do adb.exe e do grep.exe para chamá-los diretamente do CMD de qualquer local;
• “C:\Forensics\adb\adb.exe”; e
• “C:\Forensics\bin\grep.exe”

• PARSER DO WHATSAPP

É necessário verificar qual a versão do esquema de seu banco de dados antes de iniciar a montagem gráfica dos chats do WhatsApp.

Os bancos de dados mais antigos possuíam o Crypt 12, desde então houve mudanças na estrutura do banco de dados.

Desta forma, ferramentas como o Cellebrite, deixam de montar graficamente os chats das versões mais atuais, não reconhecendo os comandos SELECT nas tabelas.

Na tela “Montagem de Chats”, você deverá efetuar 3 passos:

1. Selecionar a pasta destino dos Chats (Copie a pasta “Media” neste mesmo local).
2. Selecione a pasta: \com.whatsapp\f\Avatars
3. Selecione o arquivo .DB: \com.whatsapp\db\msgstore.db

Indexação do Avilla Forensics com IPED

De acordo com AVILLA (2021), o IPED é “um software de código aberto que pode ser usado para processar e analisar evidências digitais, muitas vezes apreendidas em cenas de crime por policiais ou em uma investigação corporativa por examinadores particulares.”

Ferramenta feita em JAVA e desenvolvida por peritos da Polícia Federal, a partir de 2012.

Maiores informações sobre o IPED podem ser adquiridas em: https://github.com/sepinf-inc/IPED

Desde o início, o objetivo da ferramenta era o processamento de dados eficiente e a estabilidade.

Algumas características da ferramenta são: 

• Processamento de dados de linha de comando para criação de casos em lote;
• Suporte multiplataforma, testado em sistemas Windows e Linux;
• Estojos portáteis sem instalação, você pode executá-los a partir de unidades removíveis;
• Interface de análise integrada e intuitiva;
• Alto desempenho multithread e suporte para caixas grandes: velocidade de processamento de até 400 GB/h usando;
• Hardware moderno e 135 milhões de itens em uma (multi) caixa a partir de 12/12/2019;
• Atualmente o IPED usa a Biblioteca Sleuthkit apenas para decodificar imagens de disco e sistemas de arquivos, portanto, os mesmos formatos de imagem são suportados: RAW/DD, E01, EX01, ISO9660, AFF, VHD, VMDK. Atualmente o IPED usa a Biblioteca Sleuthkit apenas para decodificar imagens de disco e sistemas de arquivos, portanto, os mesmos formatos de imagem são suportados: RAW/DD, E01, EX01, ISO9660, AFF, VHD, VMDK.;
• Suporte para os formatos UDF(ISO), AD1 (AccessData) e UFDR (Cellebrite);
• Recentemente foi adicionado suporte para APFS, graças à implementação do BlackBag para Sleuthkit.

Treinamento Oficial da ferramenta Avilla Forensics 

A Academia de Forense Digital é o único centro de treinamentos autorizado a entregar o Treinamento Oficial da ferramenta Avilla Forensics, o Treinamento é ministrado pelo próprio desenvolvedor, Prof. Daniel Avilla. Este treinamento visa preparar o estudante a manusear a ferramenta Avilla Forensics, além de embasar passo a passo como é feito o procedimento de extração lógica avançada através de diversas técnicas, tais como apk downgrade.

Sobre o autor:

Assis Henriques é Mestre em Ciência da Computação (Gestão de TI), com Especializações em Perícia Forense Computacional, Direito Cibernético, Gerência de Projetos pela Fundação Getúlio Vargas/FGV e em Gestão de Segurança da Informação e Comunicações pela UNB.  Atualmente é Analista de TI do Instituto Federal do Maranhão – IFMA no Núcleo de Infraestrutura.  Áreas de Interesse: Segurança da Informação, Proteção de Dados (LGPD), Perícia Forense Computacional, Gestão de T.I. e Data Analytics.

www.linkedin.com/in/assishenriques

Referências:

• ABNT. ABNT NBR ISO/IEC 27037: 2013. [S.l.]: [s.n.], 2013.
• AVILLA, D. Extração Lógica Avançada com Avilla Forensics 3.0. AFD – Academia de Forense Digital. [S.l.], p. 233. 2021.
• DIGITAL, A. D. F. Webinar Introdução à Coleta Forense de Evidências Digitais, 28 maio 2018. Disponivel em: <https://youtu.be/EHUOKyc3DsQ>. Acesso em: 20 dez. 2022.
• VELHO, J. A. Tratado de Computação Forense. Campinas : Editora MIllenium, 2016.