┌─ telador ───────────────────────────────┐
│ >_ TELADOR │
│ roblox screenshare │
│ análise forense local │
└──────────────────────────────────────────┘
Ferramenta forense local para SS em comunidades Roblox
50 scanners em paralelo · 542 assinaturas de detecção · execução local, sem envio de dados
- Baixe
telador.exeda última release - Clique direito → Executar como administrador (pra cobertura completa)
- Pronto. Relatório HTML abre no navegador automático
Pra distribuir pro usuário final: zipe telador.exe + INICIAR.bat, manda no Discord, instrui dois cliques.
Alguns antivírus podem marcar o telador.exe como "dropper" ou suspeito.
É um falso positivo conhecido, não malware. Acontece porque o executável
é gerado com PyInstaller, que empacota o Python e se descompacta numa pasta
temporária ao rodar — esse comportamento de "extrair e executar" dispara a
heurística de alguns antivírus. É um problema documentado de qualquer programa
Python distribuído como .exe.
Como conferir você mesmo:
-
VirusTotal: a maioria esmagadora dos antivírus (incluindo o Windows Defender) reporta o arquivo como limpo; só alguns motores heurísticos reclamam.
-
Código aberto: todo o código está neste repositório. O programa só lê informação do sistema — não modifica nada, não instala nada, não envia nada pela rede.
-
Rode direto do código-fonte (sem o
.exe), se preferir não confiar no binário:git clone https://github.com/highdevian/combatroblox cd combatroblox pip install -r requirements.txt python telador.py -
Confira o SHA256: o programa mostra o próprio hash no banner ao abrir; compare com o da release oficial.
| Categoria | Cobertura |
|---|---|
| Execução | Prefetch, UserAssist, MUICache, Amcache (SHA1), BAM (timestamp exato) |
| Persistência | Pasta Startup, Run/RunOnce, Scheduled Tasks, dumps do WER |
| Sistema de arquivos | Arquivos recentes, Lixeira (parser $I), JumpLists, Downloads, arquivos ocultos |
| Navegador | Chrome, Edge, Brave, Opera (URLs e downloads) |
| Roblox | Logs do client, Bloxstrap, dumps de script/autoexec, scripts .lua/.luau |
| Processo ao vivo | DLLs carregadas no RobloxPlayerBeta.exe (WinVerifyTrust), árvore de processo, overlay/ESP externo |
| Comportamento | Histórico do PowerShell, Win+R, barra do Explorer, macros de mouse (G HUB, Razer, X-Mouse) |
| Rede | Conexões TCP/UDP, cache de DNS, arquivo hosts, cache do Discord |
| Anti-evasão | VM (VMware/VBox/Hyper-V/QEMU), Sandboxie, relógio alterado, formatação recente |
| Forense | Amcache, BAM, JumpLists, ShimCache, SRUM, análise PE com comparação de hash, hash de scripts conhecidos |
| Anti-forense | Detecção de formatação recente e de fontes históricas zeradas em conjunto; limpeza do log de Security; USN Journal (exec criado/apagado no disco — sobrevive ao arquivo ser apagado); Prefetch/SysMain desativados; gap suspeito no log de eventos (limpeza furtiva sem evento 1102); deleção em lote de shadow copies do VSS; histórico do PowerShell (PSReadLine) apagado ou zerado; drivers do kernel suspeitos (anti-rootkit, BYOVD, cheat loader) |
- Detecta ambiente de desenvolvimento (Visual Studio, JetBrains, VS Code) e rebaixa ferramentas como Cheat Engine e IDA.
- Decaimento por tempo: itens com mais de 30 dias perdem severidade; acima de 90 dias viram baixa.
- Caminhos ignorados:
.git,node_modules, biblioteca Steam, pastas de sistema. - Contexto de navegador: visita a fórum não equivale a download.
- Veredito ponderado por severidade e confiança, não apenas contagem.
SHA256 e leitura nativa do cabeçalho PE de cada executável encontrado:
- Data de compilação (recente eleva a severidade).
- Detecção de empacotadores (UPX, Themida, VMProtect, Enigma, ASPack, PECompact, MPRESS).
- Comparação de hash com uma base de executores conhecidos.
- Arquitetura (x86/x64/ARM64).
- Barra lateral fixa com índice e contador por scanner.
- Gráficos em SVG (severidade e scanners com mais itens).
- Linha do tempo dos itens.
- Seções recolhíveis e busca/filtro em tempo real.
- Capturas de todos os monitores, com visualização ampliada.
- Estilos de impressão e layout responsivo.
--codigo: código informado pelo supervisor entra no relatório assinado, evitando reaproveitar relatórios antigos.--save-tsrsalva um instantâneo assinado por HMAC;--diffcompara com um anterior.- O programa exibe o próprio SHA256 no banner para conferência.
- Execução totalmente local, sem envio de dados pela rede.
- Mascara automaticamente tokens, senhas, e-mails e CPF no relatório.
- Não captura a tela se houver gerenciador de senhas aberto.
- Código aberto e auditável.
# Default — roda tudo
telador.exe
# Modo rápido (15 scanners base, ~1s)
telador.exe --quick
# Sem screenshot
telador.exe --no-screenshot
# Salva snapshot pra comparar depois
telador.exe --save-tsr fulano_2026-05-28.tsr
# Compara com SS anterior
telador.exe --save-tsr fulano_2026-06-28.tsr --diff fulano_2026-05-28.tsr
# Markdown export (colável no Discord)
telador.exe --md
# Modo paranoia (desliga FP-filter)
telador.exe --strict
# Skips opcionais
telador.exe --no-forensics --no-persistence --no-live --no-history --no-peripheralsbuild.batSaída: dist/telador.exe (~11MB, sem deps externas no runtime).
- Windows 10/11
- Python 3.10+ (apenas pra build/dev)
psutil(única dep runtime)
pip install -r requirements.txt- Detecção é heurística — pode ter falso negativo (cheat renomeado, versão nova). Conduza SS visual também.
- Use só em ambiente autorizado. Não é ferramenta de vigilância — é ferramenta de auditoria com consentimento. Respeite leis locais e políticas da sua comunidade.
- Antivírus pode flagar
.exe— PyInstaller é falso-positivo comum. Compare SHA256 do banner com a release oficial pra verificar autenticidade.
Vulnerabilidades: ver SECURITY.md.
Desenvolvido por Gabriel (@highdevian).
MIT. Ver LICENSE.