📘 GUIA COMPLETO — Investigação Digital Segura

abril 17, 2026

📘 GUIA COMPLETO — Investigação Digital Segura

USB em Cibersegurança · Avila Forensics · IPED · i2 · OSINT | Guia Investigativo

PENDRIVES EM CIBERSEGURANÇA

Faca de dois gumes: proteção avançada vs. ameaça devastadora

🐧 TAILS OS — Pendrive Amnésico

Sistema operacional live que não deixa rastros no computador hospedeiro. Tudo passa pelo Tor. Memória apagada ao desligar.

Instalação

BASH / LINUX

# 1. Baixe a imagem em tails.boum.org (verifique assinatura PGP)
# 2. Instale Tails Installer ou use dd:

dd if=tails-amd64-5.x.img of=/dev/sdX \
   bs=16M conv=fsync status=progress

# Windows: use balenaEtcher (etcher.balena.io)
# Pendrive mínimo: 8GB USB 3.0

Configuração para investigadores

✓ Configure Persistent Storage cifrado para salvar evidências
✓ Ative Unsafe Browser só para portais que exigem login
✓ Use KeePassXC embutido para senhas de investigação
✓ Câmera/microfone: desative fisicamente se possível

🔑 FIDO2 / YubiKey — 2FA Hardware

Chave USB física de autenticação. Imune a phishing — só autentica no domínio legítimo.

Configurar no Linux

BASH

# Instalar biblioteca PAM FIDO2
sudo apt install libpam-u2f

# Registrar chave
pamu2fcfg > ~/.config/Yubico/u2f_keys

# Adicionar ao PAM (sudo, login)
# /etc/pam.d/sudo — adicionar linha:
auth required pam_u2f.so

Modelos recomendados

YubiKey 5 NFC: USB-A + NFC, FIDO2/U2F/TOTP
YubiKey 5C Nano: USB-C compacto, sempre conectado
Token2 FIDO2: alternativa econômica
Nitrokey 3: open-source hardware

💾 VeraCrypt — Pendrive Criptografado

Criar volume criptografado

VERACRYPT CLI

# Criar volume de 4GB no pendrive
veracrypt --text --create /dev/sdX1 \
  --size=4G \
  --encryption=AES \
  --hash=SHA-512 \
  --filesystem=FAT \
  --password=SENHA_FORTE \
  --volume-type=normal

# Montar
veracrypt /dev/sdX1 /mnt/seguro

# Desmontar (apaga RAM)
veracrypt -d /mnt/seguro

Volume oculto (deniabilidade plausível)

O VeraCrypt permite criar dois volumes no mesmo espaço: um volume externo (senha falsa) e um volume oculto (senha verdadeira). Sob coerção, forneça a senha falsa — o volume oculto permanece indetectável.

⚠️

Formate o pendrive completo com VeraCrypt antes de usar para investigações. Pendrives comuns deixam metadados no sistema de arquivos.

⚠️ RUBBER DUCKY & BadUSB — Awareness Defensivo

🚫

Escopo defensivo: Esta seção explica como funcionam ataques HID para que investigadores os identifiquem e mitiguem, não para executá-los. A criação de payloads de ataque não está coberta.

Como funcionam

Rubber Ducky / BadUSB exploram o fato de que sistemas operacionais confiam cegamente em dispositivos USB que se identificam como teclados (HID — Human Interface Device). O ataque ocorre em milissegundos:

Plug-in

Dispositivo conectado → OS detecta "teclado USB" automaticamente (sem driver)

Digitação automatizada

Injeta centenas de teclas por segundo — invisível para o usuário

Payload executado

Abre terminal, baixa malware, exfiltra dados, cria backdoor — tudo em <30s

Como identificar em cena de crime / perícia

Indicador	O que observar	Ferramenta
VID/PID suspeito	Pen drive com VID de teclado (045E, 046D)	lsusb -v / USBDeview
Firmware adulterado	Controladora AT90USB / ATmega em pen drive	USB Detective
Log de eventos	Event ID 2003/2004 — HID device connected	Windows Event Viewer
PowerShell history	Comandos executados no horário do plug-in	PSReadLine logs
Prefetch	Executáveis iniciados após conexão USB	PECmd, WxTCmd

Proteção

✓ USBGuard (Linux): cria whitelist de dispositivos USB autorizados
✓ Política de grupo (Windows): bloquear dispositivos HID não autorizados via GPO
✓ USB Data Blocker (PortaPow): carregadores que bloqueiam pinos de dados
⚠ Nunca conecte pendrives de origem desconhecida em equipamentos de trabalho

🔬 USB THIEF — Análise de Malware (Perspectiva Defensiva)

🔒

Nota: O USB Thief é um trojan documentado pela ESET. Esta seção é uma análise técnica para que investigadores saibam como detectá-lo e proteger ambientes. Instruções de deploy/uso ofensivo não são fornecidas.

O que é

Descoberto pela ESET em 2016, o USB Thief é um malware sofisticado de exfiltração que opera exclusivamente em pendrives — nunca cria arquivos no HD da vítima. Foi projetado para ambientes air-gapped (sem internet).

Técnicas únicas identificadas pela ESET

Técnica	Como funciona	Por que é sofisticado
Autoexecução disfarçada	Usa DLL hijacking em apps legítimos (Firefox, Notepad++) carregados do pendrive	Não requer autorun.inf
Encriptação por hardware ID	Cada cópia é criptografada com o ID único do pendrive que a carrega	A cópia não roda em outro dispositivo
Encadeamento criptográfico	Cada arquivo é assinado com hash do anterior — cadeia de integridade	Qualquer alteração quebra a execução
Sem rastros no host	Opera 100% em RAM e pendrive, sem escrita no HD	Anti-forense de disco
Exfiltração de dados	Copia arquivos do sistema para pasta oculta no pendrive	Funciona offline

Como investigadores e peritos detectam

✓ Análise de RAM (Volatility): processos órfãos iniciados por DLL de caminho USB
✓ USBStor registry key: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR — log de todos os pendrives
✓ Prefetch: arquivos .pf gerados mesmo sem escrita em disco
✓ ShimCache / AppCompatCache: registro de executáveis rodados
✓ Análise do pendrive suspeito: procure subpastas ocultas com timestamps anômalos
⚠ IOCs publicados pela ESET: WeLiveSecurity.com — busque "USB Thief"

ℹ️

Relatório técnico completo da ESET: welivesecurity.com → pesquise "Win32/PSW.Stealer.NAI" ou "USB Thief". Inclui IoCs, hashes e YARA rules para detecção.

AVILA FORENSICS — WhatsApp Deletado

Tutorial completo: recuperação de imagens e mensagens apagadas

ℹ️

Avila Forensics é uma ferramenta forense brasileira desenvolvida por Thiago Avila, usada pela Polícia Federal, MP e Polícias Civis. É gratuita, open-source e mantida ativamente. Site oficial: avilux.com.br

📲 PASSO 1 — Obter o banco de dados do WhatsApp

Android (sem root)

ADB / WINDOWS

# Instale ADB: developer.android.com/tools/adb
# Ative Depuração USB no celular (Opções do Desenvolvedor)

# Verificar dispositivo conectado
adb devices

# Extrair backup completo (sem root — via adb backup)
adb backup -f backup_wa.ab -apk -noshared com.whatsapp

# Converter .ab para .tar (requer Android Backup Extractor)
java -jar abe.jar unpack backup_wa.ab backup_wa.tar ""
tar xvf backup_wa.tar

# Banco de dados fica em:
# apps/com.whatsapp/db/msgstore.db  (mensagens)
# apps/com.whatsapp/db/wa.db        (contatos)

Android com root ou imagem forense

ADB ROOT

# Com root: acesso direto ao banco
adb root
adb pull /data/data/com.whatsapp/databases/msgstore.db .
adb pull /data/data/com.whatsapp/databases/wa.db .

# Mídia (fotos, vídeos, áudios)
adb pull /sdcard/WhatsApp/ ./whatsapp_media/

# Gerar hash antes de qualquer análise!
sha256sum msgstore.db > hash_msgstore.txt

🔍 PASSO 2 — Análise com Avila Forensics

Instalação

Baixe em avilux.com.br · Requer Java 11+ · Disponível para Windows, Linux e macOS

Importar o banco msgstore.db

Menu Arquivo → Abrir Banco de Dados → selecione msgstore.db · O Avila detecta automaticamente versão do WhatsApp

Análise de mensagens deletadas

Aba "Mensagens Deletadas" → Avila varre o espaço não alocado do SQLite (free pages) recuperando registros apagados logicamente

Recuperar imagens

Aba "Mídia" → vincule a pasta WhatsApp/Media · Miniaturas são extraídas do banco mesmo sem o arquivo original

Timeline de conversas

Aba "Timeline" → visão cronológica de todas as mensagens, incluindo hora de envio, leitura e deleção (quando disponível)

Exportar relatório

Menu Relatório → PDF · Inclui hash automático SHA-256 do banco analisado e metadados de cadeia de custódia

Consulta SQL manual (para peritos avançados)

SQL — SQLite

-- Mensagens deletadas ficam com deleted=1
SELECT _id, key_remote_jid, data, timestamp,
       received_timestamp, 'status', starred
FROM messages
WHERE deleted = 1
ORDER BY timestamp DESC;

-- Mídia com thumbs (miniaturas) mesmo sem arquivo
SELECT message_row_id, file_path, file_size,
       media_name, thumbnail
FROM message_media
WHERE thumbnail IS NOT NULL
ORDER BY message_row_id DESC;

-- Contatos
SELECT jid, display_name, number
FROM wa_contacts
WHERE jid LIKE '%@s.whatsapp.net';

📋 Funções-chave do Avila Forensics

Função	O que recupera	Observação
Mensagens deletadas	Textos, horários, remetentes	Recupera de free pages SQLite
Miniaturas de mídia	Thumb de fotos/vídeos mesmo apagados	Thumbnail fica no banco
Ligações	Histórico de chamadas VoIP WA	Tabela call_log
Grupos	Membros, histórico, admin	Tabela group_participants
Status/Stories	Stories visualizados	Tabela status
Chaves de criptografia	key file para descriptografar backups	Requer root ou iTunes backup
Hash automático	SHA-256 de cada arquivo analisado	Válido para cadeia de custódia

IPED — INDEXADOR E PESQUISADOR DE EVIDÊNCIAS DIGITAIS

Ferramenta oficial da Polícia Federal do Brasil — open-source

✅

IPED (Indexer and Processor of Electronic Evidence) é desenvolvido pela Polícia Federal Brasileira. É open-source (GitHub: github.com/sepinf-inc/IPED), gratuito e usado em investigações federais, estaduais e pelo MP. Suporta imagens forenses E01, AFF, DD e diretórios.

⚙️ Instalação e Requisitos

Requisito	Especificação
Java	JDK 11 ou superior (OpenJDK recomendado)
RAM	Mínimo 8GB · Recomendado 16–32GB para grandes casos
SO	Windows 10/11 ou Linux (Ubuntu 20.04+)
Armazenamento	SSD para índice — 30% do tamanho da evidência
Download	github.com/sepinf-inc/IPED/releases

WINDOWS CMD

:: Processar imagem forense E01
java -jar iped.jar ^
  -d "D:\caso01\evidencia.E01" ^
  -o "D:\caso01\iped_output" ^
  -profile fastmode

:: Processar diretório (coleta ao vivo)
java -jar iped.jar ^
  -d "D:\coleta_dispositivo" ^
  -o "D:\caso01\iped_output"

🔍 Perfis de Processamento

fastmode: indexação rápida sem OCR — para triagem inicial
pdev: análise de dispositivos móveis (Android/iOS)
forensics: análise completa com OCR em PDFs e imagens
triage: perfil de triagem em campo

Módulos principais do IPED

WhatsApp Parser: extrai e organiza conversas WA
Telegram Parser: grupos, canais, mensagens
E-mail Parser: PST, OST, EML, MBOX
SQLite Parser: qualquer banco de dados SQLite
OCR: lê texto de PDFs escaneados e fotos
Foto duplicada: agrupa fotos similares (hash perceptual)
Geolocalização: mapeia EXIF de fotos no mapa

🖥️ Interface IPED — Guia de Uso

Abrir caso processado

Execute iped-graph.jar ou clique em pesquisa.exe na pasta de saída. A interface Lucene abre no navegador padrão (localhost)

Pesquisa por palavras-chave

Campo de busca suporta operadores Lucene: AND, OR, NOT, aspas para frase exata, * para curinga. Ex.: "transferência pix" AND "favorecido"

Filtros avançados

Filtrar por: tipo de arquivo, data de criação/modificação/acesso, tamanho, extensão, marcação de investigador, hash duplicado

Galeria de mídia

Visualize todas as imagens e vídeos em galeria. Filtros por similaridade de imagem (faces, objetos). Integração com PhotoDNA para CSAM

Gráfico de comunicações

Aba IPED-Graph: visualiza relações entre contatos, remetentes de email e usuários de mensageiros — integra com Neo4j

Relatório de evidências

Selecione itens → Relatório → PDF ou ZIP. Inclui hash SHA-256, path original, metadados e preview de cada evidência

LUCENE QUERY SYNTAX

# Exemplos de busca no IPED

# Frase exata
"lavagem de dinheiro"

# Boolean
pix AND (transferência OR pagamento) NOT boleto

# Por tipo e data
type:WhatsApp AND date:[2024-01-01 TO 2024-12-31]

# CPF / CNPJ pattern
/\d{3}\.\d{3}\.\d{3}\-\d{2}/

# Termos com curinga
narcot* OR trafico OR droga*

# Hash de arquivo conhecido
hash:3a7b9c2d1e4f5a8b6c0d2e3f4a5b7c8d

i2 ANALYST'S NOTEBOOK — ANÁLISE DE VÍNCULOS

Mapeamento de redes criminosas · Passo a passo completo

🕸️ O que é o i2 Analyst's Notebook

Software da IBM para análise e visualização de redes criminosas. Padrão mundial em agências de inteligência, polícias e Ministério Público. Permite visualizar relações entre pessoas, empresas, contas bancárias, veículos, endereços e eventos no tempo.

Versões disponíveis

i2 Analyst's Notebook Premium: versão completa com suporte a SNA (Social Network Analysis)
i2 iBase: banco de dados compartilhado para equipes
Maltego: alternativa open-source/freemium amplamente usada em OSINT
Gephi: alternativa gratuita para análise de redes complexas

📊 PASSO A PASSO — Criando Análise de Vínculos

Preparar as fontes de dados

Reúna: extratos bancários (CSV/XLS), registros telefônicos (ERBs), logs de IP, registros DETRAN, dados da Receita Federal. O i2 importa Excel, CSV e texto estruturado.

Criar novo chart (gráfico)

Arquivo → Novo Gráfico · Defina período temporal da investigação. Escolha o template: Social Network Analysis ou Timeline & Link Analysis

Adicionar entidades (nós)

Toolbar: selecione o tipo → Person (pessoa), Organization, Vehicle, Account, Phone, Address, Event. Arraste para o canvas. Dê duplo clique para editar atributos (CPF, nome, placa, etc.)

Criar vínculos (arestas)

Selecione entidade A → segure Ctrl → clique entidade B → botão direito → Add Link. Defina: tipo de relação (ligação, transferência, encontro), data, força do vínculo (frequência), fonte da informação.

Importar dados em lote

Para ERBs ou extratos com milhares de linhas: File → Import → Anb File ou use o Import Specification Wizard. Mapeie colunas para atributos de entidades automaticamente.

Análise de centralidade

Aba Social Network Analysis → Calculate: identifica automaticamente o nó mais conectado (hub central da organização criminosa). Métricas: Betweenness (quem conecta grupos), Degree (quem tem mais conexões).

Timeline (linha do tempo)

Aba Timeline View: visualize quando cada relação ocorreu. Excelente para cruzar ligações telefônicas com datas de crimes.

Exportar para relatório

File → Print/Export → PDF ou PNG de alta resolução. Inclua legendas e data de geração do gráfico. O chart .anb pode ser encaminhado como peça do inquérito.

💡 Dicas Avançadas para Investigadores

Técnica	Como usar no i2	Aplicação
Cluster por grupo	Selecione nós → Group → Color by cluster	Separar facções/células
Filtro temporal	View → Filter → Date range	Focar período do crime
Link strength	Editar aresta → Frequency value	Peso por nº de ligações
Geo-mapa	View → Map View (requer coordenadas)	Plotar endereços em mapa
Cross-chart search	Edit → Find Matching Entities	Cruzar dois casos
SNA automático	Analyze → Social Network Analysis	Identificar líder da rede

ℹ️

Maltego Community (gratuito) executa as mesmas análises com transforms OSINT automatizados: busca por CPF, email, domínio, IP. Disponível em maltego.com.

HISTÓRICO DE NAVEGAÇÃO — COLETA FORENSE

Windows e Linux · Artefatos · Localização · Scripts

🪟 Windows — Localização dos Artefatos

Navegador	Caminho do histórico
Chrome / Edge	%LOCALAPPDATA%\Google\Chrome\User Data\Default\History
Firefox	%APPDATA%\Mozilla\Firefox\Profiles\*.default\places.sqlite
Edge (Legacy)	%LOCALAPPDATA%\Microsoft\Windows\History
Opera	%APPDATA%\Opera Software\Opera Stable\History
Internet Explorer	%LOCALAPPDATA%\Microsoft\Windows\WebCache\WebCacheV01.dat

Extração com PowerShell

POWERSHELL

# Copiar banco do Chrome (feche o navegador antes)
$src = "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\History"
$dst = "C:\forense\chrome_history_$(Get-Date -f 'yyyyMMdd_HHmm').db"
Copy-Item $src $dst

# Hash da cópia
Get-FileHash $dst -Algorithm SHA256 |
  Select-Object Hash,Path |
  Export-Csv "C:\forense\hash.csv"

# Ler SQLite com módulo
Install-Module PSSQLite -Force
Import-Module PSSQLite
Invoke-SqliteQuery -DataSource $dst -Query "
  SELECT url, title, visit_count,
    datetime(last_visit_time/1000000-11644473600,'unixepoch') as last_visit
  FROM urls ORDER BY last_visit_time DESC LIMIT 200"

🐧 Linux — Localização e Coleta

Navegador	Caminho
Chrome / Chromium	~/.config/google-chrome/Default/History
Firefox	~/.mozilla/firefox/*.default/places.sqlite
Brave	~/.config/BraveSoftware/Brave-Browser/Default/History
Opera	~/.config/opera/History

Script de coleta Linux

BASH

#!/bin/bash
OUT="./coleta_navegacao_$(date +%Y%m%d_%H%M)"
mkdir -p "$OUT"

# Chrome
CHROME="$HOME/.config/google-chrome/Default/History"
if [ -f "$CHROME" ]; then
  cp "$CHROME" "$OUT/chrome_history.db"
  sha256sum "$OUT/chrome_history.db" >> "$OUT/hashes.txt"
fi

# Firefox
find ~/.mozilla -name places.sqlite -exec cp {} "$OUT/" \;

# Ler Chrome SQLite e exportar CSV
sqlite3 -separator ',' "$OUT/chrome_history.db" \
  "SELECT url,title,visit_count,
   datetime(last_visit_time/1000000-11644473600,'unixepoch')
   FROM urls ORDER BY last_visit_time DESC LIMIT 500;" \
  > "$OUT/historico.csv"

echo "[OK] Coleta em $OUT"
sha256sum "$OUT"/* >> "$OUT/hashes.txt"

🔎 Artefatos Adicionais de Navegação (Windows)

Artefato	Localização	O que revela
Prefetch	C:\Windows\Prefetch\	Executáveis e hora de execução
Shellbags	NTUSER.DAT → Software\Classes\Local Settings\	Pastas acessadas (mesmo deletadas)
LNK files	%APPDATA%\Microsoft\Windows\Recent\	Arquivos recentes abertos
Jump Lists	%APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\	Arquivos por aplicativo
Thumbnails Cache	%LOCALAPPDATA%\Microsoft\Windows\Explorer\	Miniaturas de imagens (mesmo apagadas)
$MFT	Raiz do volume NTFS	Todos os arquivos, incluindo deletados

ℹ️

Ferramentas recomendadas: Browser History Viewer (free), BrowsingHistoryView (NirSoft), DB Browser for SQLite, Eric Zimmerman Tools (LECmd, JLECmd, MFTECmd — todas gratuitas em ericzimmerman.github.io)

OSINT — MAPEAR USUÁRIOS NO X / TWITTER E FACEBOOK

Técnicas de inteligência em fontes abertas para investigadores

⚠️

Âmbito legal: As técnicas abaixo utilizam exclusivamente dados públicos. Para dados de usuários privados (mensagens, dados de conta), é necessário ordem judicial (Módulo 3 do guia anterior). O acesso não autorizado a contas é crime — Art. 154-A do CP.

🐦 X (Twitter) — OSINT

Ferramentas gratuitas

✓ TweetDeck: monitorar hashtags, contas e termos em tempo real
✓ Whopostedwhat.com: pesquisa avançada por data/keyword no X
✓ Tinfoleak: extrai metadados, geolocalização e apps de uma conta
✓ Twint (Python): scraper sem API — coleta tweets históricos
✓ Social Bearing: estatísticas e timeline de contas públicas
✓ Mentionmapp: mapa de conexões e menções entre contas

Operadores de busca do X

X SEARCH

# Busca geolocalizada (raio de 10km de SP)
geocode:-23.5505,-46.6333,10km "fraude"

# Busca por período
golpe since:2024-01-01 until:2024-12-31

# De uma conta específica
from:usuario_alvo filter:media

# Menções e respostas
to:usuario_alvo OR @usuario_alvo

# Excluir retweets
fraude pix -filter:retweets

Coletar com Twint (Python)

PYTHON

pip install twint

# Coleta de tweets de usuário
twint -u nome_usuario --csv -o usuario.csv

# Por keyword e data
twint -s "pix golpe" --since "2024-01-01" \
      --until "2024-12-31" --csv -o busca.csv

# Seguidores de uma conta
twint -u alvo --followers -o seguidores.csv

📘 Facebook — OSINT

Técnicas com dados públicos

FACEBOOK SEARCH

# Busca avançada por localização
# URL: facebook.com/search/posts/
# ?q=TERMO&filters=cidade

# Graph Search (via URL)
# Pessoas em determinada cidade:
facebook.com/search/people/?q=NOME&filters="cidade_id"

# Grupos públicos sobre tema
facebook.com/search/groups/?q=TEMA

# Posts públicos com foto e localização
facebook.com/search/posts/?q=TERMO

Ferramentas especializadas

✓ Intelligence X: busca por nome/email em vazamentos e redes sociais
✓ Sherlock (Python): verifica username em 300+ redes sociais
✓ Maltego FB Transform: mapa de conexões de perfis públicos
✓ Wayback Machine: histórico de perfis/páginas deletadas
✓ Who.is / Hunter.io: emails e domínios vinculados à página
✓ Pipl.com: busca por nome real — agrega múltiplas redes

Sherlock — busca de username

PYTHON

pip install sherlock-project

# Buscar username em todas as redes
sherlock nome_de_usuario

# Exportar resultado
sherlock nome_de_usuario --csv

# Verificar múltiplos usernames
sherlock usuario1 usuario2 usuario3

🌐 Técnicas OSINT Gerais para Redes Sociais

Técnica	Objetivo	Ferramenta
Busca reversa de imagem	Encontrar outras contas usando a mesma foto	Google Images, TinEye, Yandex Images
EXIF de fotos públicas	GPS, dispositivo, data real da foto	Jeffrey's Exif Viewer, ExifTool
Geolocalização por foto	Identificar local por fundo da imagem	GeoGuessr, análise manual de pontos de referência
Cache do Google	Conteúdo deletado recentemente	cache:facebook.com/perfil no Google
Wayback Machine	Histórico de perfil/página	web.archive.org
Email → redes sociais	Encontrar contas por email	Forgot password de cada rede
Número de telefone	Contas vinculadas ao número	Truecaller, TelegramSearch, Sync.me

COLETA DE IP VIA LINK / IMAGEM

Canarytokens · IP Logging investigativo · Evidência de localização

⚠️

Uso exclusivamente investigativo: A coleta de IP sem consentimento é restrita a investigações conduzidas por autoridades. Para uso em investigações formais, documente o procedimento no inquérito. O IP coletado é evidência que pode embasar requerimento de quebra de sigilo.

🪤 Canarytokens — Rastreio de IP (Uso Investigativo)

Canarytokens é um serviço legítimo de segurança (canarytokens.org) amplamente usado por equipes de Blue Team e investigadores. Gera tokens que alertam quando abertos — ideal para monitorar se um suspeito acessa material enviado.

Acesse canarytokens.org

Serviço gratuito. Selecione o tipo de token: Web Bug (URL), DNS Token, Microsoft Word, PDF, Custom Image

Configure o token

Insira seu email para receber alertas. Adicione memo descritivo ("Investigação caso XYZ — token enviado para suspeito em DD/MM/AAAA"). Clique em Create Token.

Envie o token ao alvo

Copie a URL gerada. Envie via Telegram, email ou incorpore em documento. Quando o suspeito abrir, o sistema registra IP, user-agent, hora e geolocalização aproximada.

Receba e documente o alerta

Você recebe email com: IP de origem, timestamp UTC, user-agent do dispositivo, geolocalização aproximada via GeoIP. Tire print e gere hash (Módulo 4).

Use como embasamento para quebra de sigilo

O IP coletado fundamenta requerimento ao juiz para identificação do usuário junto ao ISP (Lei 12.965/14, art. 10). Documente: data de envio, data de acesso, IP registrado, hash do screenshot.

Tipos de tokens disponíveis

Token	Como funciona	Melhor para
Web Bug URL	Link simples — registra IP ao acessar	Envio via mensagem
Custom Image	Imagem que pinga servidor ao carregar	Embeds em emails/HTML
Word Document	.docx que ativa ao abrir no Word	Arquivos compartilhados
PDF Token	PDF com pixel rastreador	Documentos enviados
DNS Token	Qualquer lookup DNS do domínio	Monitorar acesso a domínio
Clonado (fast-flux)	Copia visual de site legítimo	Uso avançado — cuidado legal

🖥️ Script: Servidor de Rastreio Local (Python)

Para investigadores com infraestrutura própria — gera log de IP com hash automático:

PYTHON 3

#!/usr/bin/env python3
# Servidor de log de IP — uso investigativo
# Requer: pip install flask

from flask import Flask, request, send_file
import hashlib, datetime, json, os

app = Flask(__name__)
LOG = "ip_log.jsonl"

@app.route("/pixel.png")
def pixel():
    ip      = request.headers.get("X-Forwarded-For", request.remote_addr)
    ua      = request.headers.get("User-Agent", "")
    ts      = datetime.datetime.utcnow().isoformat()
    entrada = {"ip": ip, "ua": ua, "ts": ts}
    entrada["hash"] = hashlib.sha256(
        json.dumps(entrada).encode()).hexdigest()

    with open(LOG, "a") as f:
        f.write(json.dumps(entrada) + "\n")

    # Retorna pixel 1x1 transparente
    return (b'\x89PNG\r\n\x1a\n\x00\x00\x00\rIHDR\x00\x00'
            b'\x00\x01\x00\x00\x00\x01\x08\x06\x00\x00\x00\x1f'
            b'\x15\xc4\x89\x00\x00\x00\nIDATx\x9cc\x00\x01\x00'
            b'\x00\x05\x00\x01\r\n-\xb4\x00\x00\x00\x00IEND\xaeB`\x82'
            ), 200, {'Content-Type': 'image/png'}

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=8080)

ℹ️

Hospede em servidor com IP fixo ou use ngrok para expor localmente. A imagem pode ser embutida em email HTML: <img src="http://SEU_IP:8080/pixel.png">

🔗 Correlação do IP coletado com identidade

Identificar o ISP/operadora

Use ipinfo.io, shodan.io ou whois: identifique a operadora dona do IP (Vivo, Claro, NET, etc.)

Verificar se é VPN/proxy

Serviços como ipqualityscore.com indicam se o IP é VPN, Tor exit node ou proxy — importante para embasar a investigação

Emitir ofício à operadora

Com o IP e timestamp exatos, a operadora identifica o usuário da linha. Requer ordem judicial (Marco Civil, Art. 10)

Cruzar com outros dados

IP + timestamp + user-agent + comportamento na rede social = conjunto probatório robusto para o inquérito

TÓPICOS RELACIONADOS — SEO

Avila ForensicsIPED Polícia Federali2 Analyst NotebookTails OS pendriveFIDO2 YubiKeyVeraCrypt USBBadUSB defesaRubber Ducky awarenessUSB Thief análise malwareforense AndroidWhatsApp deletado recuperarmsgstore.db análisehistórico navegação Chrome forensehistórico Firefox LinuxOSINT Twitter X investigaçãoOSINT Facebook mapeamentoSherlock usernameCanarytokens IP investigaçãorastreio IP link imagemanálise de vínculos i2Maltego OSINTevidência digital hash SHA-256perícia forense digital BrasilPCBA PMSC treinamentointeligência cibernéticaLucene query IPEDsocial network analysis

Compartilhe