Recuperação de Imagens Apagadas do WhatsApp

FORENSE DIGITAL

Recuperação de Imagens Apagadas do WhatsApp

Guia Completo: File Carving • UFED • Cellebrite

⚠️  AVISO LEGAL — LEIA ANTES DE PROSSEGUIR Este tutorial destina-se EXCLUSIVAMENTE a profissionais de perícia forense, policiais, advogados e pesquisadores atuando dentro dos limites legais. A extração de dados de dispositivos sem autorização judicial ou do proprietário pode configurar crime. Sempre obtenha as autorizações necessárias antes de iniciar qualquer procedimento.

1. Introdução

A recuperação de imagens apagadas do WhatsApp é uma das tarefas mais requisitadas na perícia forense digital. Quando um usuário apaga uma foto no aplicativo, o arquivo não é imediatamente destruído — o sistema operacional apenas marca aquele espaço como disponível para reutilização. Enquanto o espaço não for sobrescrito por novos dados, é possível recuperar o conteúdo.

Este guia apresenta três abordagens complementares:

• File Carving — técnica de software para recuperar arquivos a partir de padrões de bytes (assinaturas/magic bytes)

• UFED (Universal Forensic Extraction Device) — hardware especializado da Cellebrite para extração forense

• Cellebrite Physical Analyzer / UFED Touch — análise e visualização dos dados extraídos

Sistema alvo	Android e iOS com WhatsApp instalado
Arquivos buscados	JPEG, PNG, MP4, WEBP (imagens e mídias do WhatsApp)
Pré-requisito	Autorização legal (mandado judicial ou consentimento)
Nível técnico	Intermediário a Avançado

2. Conceitos Fundamentais

2.1 Onde o WhatsApp armazena imagens?

O WhatsApp organiza suas mídias em estruturas de diretórios específicas. Conhecer esses caminhos é essencial para direcionar a análise:

Android (interno)	/data/data/com.whatsapp/files/  e  /sdcard/WhatsApp/Media/
Android (SD Card)	/sdcard/WhatsApp/Media/WhatsApp Images/
iOS	/var/mobile/Containers/Data/Application/<UUID>/Documents/
Banco de dados	msgstore.db (SQLite) — contém referências às mídias
Thumbnails	Armazenadas separadamente; úteis mesmo sem o original

2.2 O que é File Carving?

File Carving (ou data carving) é a técnica de reconstruir arquivos diretamente a partir de um dump de memória ou imagem de disco, sem depender do sistema de arquivos. O processo identifica padrões de bytes conhecidos como magic bytes (ou file signatures) que marcam o início e o fim de cada tipo de arquivo.

📌 Assinaturas de arquivos de interesse forense no WhatsApp JPEG: FF D8 FF (início) | FF D9 (fim)PNG: 89 50 4E 47 0D 0A 1A 0A (início) | 49 45 4E 44 AE 42 60 82 (fim)WEBP: 52 49 46 46 ... 57 45 42 50MP4/3GP: 00 00 00 xx 66 74 79 70

3. Método 1 — File Carving com Software

3.1 Ferramentas necessárias

• Autopsy (gratuito, multiplataforma) — www.autopsy.com

• Foremost ou Scalpel — carving via linha de comando (Linux)

• Photorec / TestDisk — recuperação de arquivos (gratuito)

• FTK Imager (AccessData) — criação de imagem forense do dispositivo

• ADB (Android Debug Bridge) — para extração via USB em Android

3.2 Passo a passo — Carving com Autopsy

01	Preservar a Evidência — Criar Imagem Forense NUNCA trabalhe diretamente no dispositivo original. Crie uma cópia bit-a-bit (imagem forense). Use FTK Imager ou dd via ADB. Calcule e registre o hash MD5/SHA256 da imagem para garantir a integridade da cadeia de custódia.

Comandos úteis via ADB (Android):

Terminal — ADB adb rootadb shell dd if=/dev/block/mmcblk0p21 bs=512 | gzip -c > imagem_forense.img.gzadb pull /sdcard/WhatsApp ./backup_whatsappmd5sum imagem_forense.img.gz  # Registre este hash!

02	Instalar e Abrir o Autopsy Baixe e instale o Autopsy (autopsy.com). Inicie o programa como Administrador/root. Clique em 'New Case' e preencha as informações do caso (nome, número, perito responsável).

• Nome do caso: use identificador único (ex: CASO_2024_001)

• Diretório base: escolha local com espaço suficiente

• Número do caso e investigador: obrigatório para documentação

03	Adicionar a Imagem Forense como Fonte de Dados Em 'Add Data Source', selecione 'Disk Image or VM File'. Carregue o arquivo .img, .dd ou .E01. Selecione o fuso horário correto do dispositivo.

• Formatos aceitos: .dd, .img, .E01, .L01, .vmdk

• Ative 'Verify MD5' para confirmar integridade da imagem

04	Configurar Módulos de Análise Na tela de configuração de ingest modules, ative os seguintes módulos para maximizar a recuperação de mídias do WhatsApp:

• File Type Identification — identifica tipos por magic bytes

• Hash Lookup — compara com banco de dados de hashes conhecidos

• Picture Analyzer — extrai metadados EXIF das imagens

• Android Analyzer — extrai dados específicos do WhatsApp (Android)

• Keyword Search — busca termos no banco de dados SQLite do WhatsApp

05	Executar a Análise e Aguardar Clique em 'Finish' para iniciar. O tempo varia de 20 minutos a várias horas dependendo do tamanho da imagem e do hardware. Acompanhe o progresso na barra inferior da tela.

⏱️ Dica de Performance Para imagens grandes (>32 GB), é recomendável executar em máquina dedicada com SSD e no mínimo 16 GB de RAM. Evite interromper o processo para não corromper o banco de dados de análise do Autopsy.

06	Localizar Arquivos Recuperados Após a análise, navegue em 'Views > File Types > Images' para ver todas as imagens encontradas, incluindo arquivos deletados (marcados com X vermelho na árvore). Filtre por caminho /WhatsApp/Media/ para focar nas mídias do aplicativo.

• Arquivos deletados aparecem com indicador visual (ícone X)

• Verifique a coluna 'Known Status' e 'Flags' para identificar arquivos recuperados de espaço não alocado

• Use a aba 'Thumbnail' para visualização rápida das imagens

07	Exportar e Documentar Selecione os arquivos relevantes > botão direito > 'Export'. Documente cada arquivo com: hash, caminho original, timestamps (criação, modificação, acesso), status (ativo/deletado) e método de recuperação.

Gere o relatório final: File > Generate Report > selecione HTML ou Excel.

4. Método 2 — Extração com UFED (Cellebrite)

4.1 O que é o UFED?

O UFED (Universal Forensic Extraction Device) é um hardware desenvolvido pela Cellebrite, empresa israelense líder em forense móvel. É o padrão ouro em extração de dados forenses de dispositivos móveis, utilizado por forças policiais e órgãos periciais de mais de 150 países.

Fabricante	Cellebrite (Israel)
Modelos comuns	UFED Touch 2, UFED 4PC, UFED Premium
Sistemas suportados	Android, iOS, Windows Phone, BlackBerry e mais de 35.000 perfis
Tipos de extração	Lógica, File System, Física (chip-off, JTAG, ISP)
Software companion	Physical Analyzer, UFED Analytics Desktop

4.2 Tipos de extração disponíveis

O UFED oferece diferentes níveis de extração, do menos ao mais invasivo:

Tipo	Descrição	Imagens recuperadas
Lógica	Copia apenas dados acessíveis normalmente via APIs do sistema	Apenas imagens visíveis
File System	Acesso ao sistema de arquivos completo, incluindo arquivos ocultos	Imagens ativas + caches
Física	Imagem bit-a-bit da memória Flash (NAND) — máxima recuperação	Imagens deletadas + fragmentos
ADB/iTunes Backup	Extração via backup do sistema — sem root necessário	Depende do backup

4.3 Passo a passo — Extração física com UFED Touch 2

01	Preparar o Ambiente Forense Coloque o dispositivo em modo avião para evitar alterações remotas. Use uma gaiola de Faraday se disponível. Fotografe o estado físico do dispositivo. Registre IMEI, número de série, modelo e versão do sistema operacional.

🔒 Proteção de Evidência Dispositivos ligados: mantenha ligados se possível (dados em RAM podem ser relevantes). Dispositivos desligados: NÃO ligue sem antes verificar se há bloqueio por senha ou criptografia habilitada. Baterias descarregadas: conecte à fonte antes de iniciar a extração.

02	Identificar o Dispositivo no UFED Ligue o UFED Touch 2 e aguarde inicialização. Na tela principal, selecione 'Extract Data'. Digite o fabricante e modelo do dispositivo alvo, ou escaneie o IMEI/código de barras. O UFED carregará automaticamente o perfil de extração compatível.

• Se o modelo não for encontrado, use 'Advanced > Manual Selection'

• Verifique se há atualização de perfis disponível (UFED Cloud)

03	Selecionar o Tipo de Extração Para máxima recuperação de imagens apagadas, escolha 'Physical Extraction'. Se o dispositivo não suportar extração física diretamente, tente 'File System' como segunda opção. Para iOS, use 'Advanced Logical' com suporte a checkm8 se o dispositivo for compatível.

• Android com root: extração física direta via ADB

• Android sem root: tente EDL (Emergency Download Mode) ou ISP

• iOS (A7–A11): checkm8 via UFED Premium

• iOS (A12+): extração lógica avançada ou iTunes Backup

04	Conectar o Dispositivo e Iniciar Conecte o dispositivo usando o cabo indicado pelo UFED para aquele modelo. Siga as instruções na tela (pode incluir: desativar USB debugging, aceitar popup de autorização, entrar em modo fastboot/recovery). Confirme e inicie a extração.

📱 Android — Dica para dispositivos com tela quebrada Para dispositivos com tela inacessível, o UFED oferece suporte a extração via hardware (JTAG/ISP/Chip-off) que não depende da interface do sistema operacional. Consulte o manual do UFED para procedimentos específicos de cada chipset.

05	Aguardar e Verificar a Extração O processo pode levar de 10 minutos (lógica) a várias horas (física). Não desconecte o dispositivo durante a extração. Ao finalizar, o UFED exibirá um resumo com: tamanho total extraído, hash da extração (MD5/SHA256) e status de cada seção de memória.

• Salve o relatório de extração — ele é a prova da cadeia de custódia

• Verifique se o hash final confere com o registrado ao início

06	Exportar o Arquivo de Extração Conecte um HD externo ou pendrive formatado em exFAT ao UFED. Selecione 'Save Extraction' e escolha o destino. O arquivo gerado será no formato .UFD ou .ufd junto com a pasta de dados. Faça backup em duas mídias diferentes.

5. Método 3 — Análise com Cellebrite Physical Analyzer

5.1 Instalação e Licença

O Cellebrite Physical Analyzer (PA) é o software de análise forense da Cellebrite, que processa as extrações do UFED e apresenta os dados de forma organizada, incluindo recuperação de dados deletados.

• Requisitos: Windows 10/11 64-bit, 16 GB RAM (recomendado 32 GB), SSD

• Licença: dongle USB ou licença online (adquirida via Cellebrite)

• Download: portal.cellebrite.com (conta corporativa necessária)

5.2 Passo a passo — Análise de imagens WhatsApp

01	Criar Novo Caso no Physical Analyzer Abra o Cellebrite Physical Analyzer. Vá em File > New Case. Preencha: nome do caso, número do processo, nome do investigador, data. Selecione o local para salvar o projeto de análise.

• Mantenha o padrão de nomenclatura da sua organização

• O caso é um container — pode conter múltiplas extrações do mesmo dispositivo

02	Importar a Extração do UFED Clique em 'Add Evidence'. Selecione o arquivo .UFD ou a pasta de extração gerada pelo UFED. O PA detectará automaticamente o tipo de extração e iniciará o processamento.

Formatos aceitos pelo Physical Analyzer:

• Arquivos .UFD (UFED Touch 2, UFED 4PC)

• Imagens .dd, .img, .bin (extração física bruta)

• Backups iTunes (.backup) e Google (Takeout)

• Extrações de outros fabricantes via UFED Reader

03	Executar Decodificação e Carving Após importar, o PA oferece opções de processamento avançado. Clique em 'Advanced Options' e ative: 'Recover Deleted Data', 'File Carving', 'Extract WhatsApp Data'. Confirme e aguarde a decodificação completa.

🔍 Opções críticas para recuperação de imagens ✓ Recover Deleted Data — analisa espaço não alocado✓ File Carving — busca por assinaturas de arquivo (JPEG, PNG, WEBP)✓ Decode WhatsApp Databases — extrai msgstore.db e wa.db✓ Extract Thumbnails — recupera miniaturas mesmo sem o original✓ Cloud Data — se autorizado, pode recuperar backup do Google Drive

04	Navegar nas Imagens Recuperadas No painel esquerdo, expanda 'Media > Photos'. As imagens são organizadas por: ativas, deletadas e recuperadas por carving. Use o filtro 'WhatsApp' para ver apenas mídias do aplicativo. A aba 'Timeline' permite visualizar cronologicamente.

• Imagens com fundo verde: ativas no momento da extração

• Imagens com fundo vermelho/cinza: deletadas ou recuperadas por carving

• Clique em qualquer imagem para ver metadados EXIF, timestamps e localização GPS se disponível

05	Analisar o Banco de Dados do WhatsApp No painel esquerdo, acesse 'Applications > WhatsApp'. O PA decodifica automaticamente o msgstore.db e exibe: conversas, contatos, mídias enviadas/recebidas e mensagens deletadas. Vincule as imagens às conversas para contexto forense.

• Mensagens deletadas aparecem com indicador específico no PA

• A tabela 'message_media' no SQLite contém referências a cada arquivo de mídia

• Use a aba 'Connections' para mapear relacionamentos entre contatos

06	Gerar Relatório Forense Vá em File > Generate Report. Selecione o template adequado (PDF, HTML, Excel, XML). Inclua: evidências selecionadas, hashes, cadeia de custódia, screenshots e exportação das imagens. O relatório é assinado digitalmente pelo software.

Conteúdo recomendado no relatório:

• Informações do caso e do perito

• Detalhes do dispositivo e extração

• Hash de integridade da extração

• Galeria de imagens com metadados

• Exportação das imagens em pasta organizada

• Log de atividades do software

6. Cadeia de Custódia e Boas Práticas

6.1 Documentação obrigatória

A validade jurídica de uma perícia digital depende diretamente da documentação adequada da cadeia de custódia. Todo procedimento deve ser registrado cronologicamente.

Recebimento	Data/hora, estado físico, selos de lacre, quem entregou
Extração	Ferramenta usada, versão, tipo de extração, hash inicial e final
Análise	Software utilizado, versão, configurações, perito responsável
Exportação	Arquivos exportados, hashes individuais, destino
Devolução/Lacre	Data/hora, novo lacramento, termo de devolução

6.2 Verificação de integridade — Hashing

O hash criptográfico é a principal garantia de que as evidências não foram alteradas. Use sempre SHA-256 como padrão.

Terminal — Cálculo de Hash # Linux/macOSsha256sum imagem_forense.img# Windows (PowerShell)Get-FileHash imagem_forense.img -Algorithm SHA256# Verificar hash de múltiplos arquivossha256sum -c hashes.txt

6.3 O que fazer quando as imagens não são encontradas?

Em alguns casos, a recuperação pode ser parcial ou impossível. Veja opções alternativas:

1. Verificar backup em nuvem (Google Drive ou iCloud) — exige autorização judicial específica

2. Solicitar dados ao WhatsApp/Meta via MLAT (Mutual Legal Assistance Treaty) — para casos criminais

3. Analisar thumbnails e caches — mesmo sem o original, miniaturas podem ser evidências válidas

4. Verificar dispositivos de outros participantes da conversa

5. Análise de chips de memória (Chip-off) — último recurso, destrutivo, para dispositivos danificados

7. Quadro Comparativo dos Métodos

Critério	File Carving (Autopsy)	UFED	Cellebrite PA
Custo	Gratuito	Alto (USD 15k+)	Alto (licença anual)
Facilidade de uso	Técnico	Intermediário	Intermediário
Recuperação deletados	Alta (com imagem física)	Muito alta	Muito alta
Suporte WhatsApp	Parcial (via plugin)	Nativo completo	Nativo completo
Validade judicial	Aceito com metodologia	Padrão ouro	Padrão ouro
Velocidade	Lenta a moderada	Moderada	Rápida
iOS suportado	Limitado	Sim (limitações A12+)	Sim (limitações A12+)

8. Referências e Recursos

• Cellebrite UFED — cellebrite.com/en/ufed

• Autopsy Forensics — autopsy.com

• NIST — Guia de Forense Digital: nvlpubs.nist.gov

• RFC 3227 — Guidelines for Evidence Collection and Archiving

• Resolução CFP nº 009/2018 — Código de Ética do Perito

• Lei 13.709/2018 (LGPD) — Base legal para tratamento de dados

• Portaria SENASP nº 82/2014 — Normas de Perícia Criminal no Brasil

Este documento é de uso exclusivo para fins forenses legítimos. O uso indevido pode configurar crime.