FACULDADE DE JUAZEIRO DO NORTE

CURSO DE SISTEMAS DE INFORMAO

MARCELO SANTANA SANTOS DE MELO

USO DE TCNICAS PARA TER EFICICIA NO PROCESSO DE

ANLISE EM COMPUTAO FORENSE COM MDIAS SSD
REMOVVEIS ULTILIZANDO FERRAMENTAS OPEN SOURCE

JUAZEIRO DO NORTE CE
2014

FACULDADE DE JUAZEIRO DO NORTE

CURSO DE SISTEMAS DE INFORMAO

MARCELO SANTANA SANTOS DE MELO

USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE

ANLISE EM COMPUTAO FORENSE COM MDIAS SSD
REMOVVEIS UTILIZANDO FERRAMENTAS OPEN SOURCE
Monografia apresentada ao curso de Sistema
de Informao para a obteno do Grau de
Bacharel em Sistemas de Informao.
Orientado por: Cicero Woshington S. Leite

JUAZEIRO DO NORTE
2014

FACULDADE DE JUAZEIR DO NORTE

SISTEMAS DE INFORMAO

MARCELO SANTANA SANTOS DE MELO

USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE

ANLISE EM COMPUTAO FORENSE COM MDIAS SSD
REMOVVEIS, UTILIZANDO FERRAMENTAS OPEN SOURCE
Esta Monografia foi julgada adequada para a obteno do Grau de bacharelado, e aprovada na
sua forma final pela Faculdade de Juazeiro do Norte
Data: ____/____/____
Nota: _____________

________________________________________________
Prof. Cicero Woshington S. Leite
Orientadoror FJN

__________________________________________________
Prof
Avaliador - FJN

__________________________________________________
Prof.
Avaliador - FJN

JUAZEIRO DO NORTE - CE
2014

Autorizao para Publicao Eletrnica de Trabalhos Acadmicos

Na qualidade de titular dos direitos autorais do trabalho citado, em consonncia com a

Lei n 9610/98, autorizo a Faculdade de Juazeiro do norte disponibilizar gratuitamente em sua
Biblioteca Digital, e por meios eletrnicos, em particular pela Internet, extrair cpia sem
ressarcimento dos direitos autorais, o referido documento de minha autoria, para leitura,
impresso e/ou download, conforme permisso concedida.

AGRADECIMENTOS

A Deus primeiramente, e a minha famlia que me deram apoio em todo o decorrer do

curso, deste o primeiro semestre at este momento.
Ao orientador professor Cicero Woshington S. Leite, que teve muita pacincia nas
correes dos erros de ortografia e concordncia, tambm ajudou a chegar no devido objetivo,
assim conseguindo atingir o termino do trabalho.
Quero agradecer a minha esposa Elaine Avelino Sato de Melo que teve muita
pacincia comigo, no decorrer do curso, me apoiando nos momentos difceis, ajudando no
desenvolvimento do trabalho lendo o mesmo e vendo os erros.
E por ltimo aos professores do curso de sistema de informao que me ajudaram a
adquirir o conhecimento necessrio para a elaborao do trabalho e vida profissional.

RESUMO
USO DE TCNICAS PARA TER EFICINCIA NO PROCESSO DE ANLISE EM
COMPUTAO FORENSE COM MDIAS SSD REMOVVEIS ULTILIZANDO
FERRAMENTAS OPEN SOURCE

Autor: Marcelo Santana Santos de Melo

Orientador: Prof. Cicero Woshington S. Leite
FJN Faculdade de Juazeiro do Norte - Cear

Nos ltimos anos foi grande o crescimento da populao brasileira que passou a ter acesso aos
sistemas de informao. Dados do IBGE (Instituto Brasileiro de Geografia e Estatstica) de
2011 expem um aumento significativo de pessoas que passaram a ter acesso a tecnologia
como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD (sigla em
ingls solid-state-drive) removveis ou no.
Assim com a demanda crescente, isto ir implicar no aumentar da quantidade de dispositivos
com forma de armazenamento SSD (SOLID-STATE DRIVE) para a anlise forense. Fica
indispensvel o uso de uma ou mais tcnicas na resoluo dos processos criminais na rea da
computao forense, motivando o perito a chegar em a um resultado mais abrangente e
preciso.
O escopo deste trabalho consistem em analisar um conjunto de ferramentas e sistemas
operacionais nos quais todos sejam open source, e que no fim me tragam um resultado final
eficiente, de acordo a cada diferente etapa exigida na computao forense.

Palavras-Chaves: Anlise; Forense; SSD; Ferramentas; Perito; Percia.

Formatado: Recuo: Primeira linha: 0 cm

ABSTRACT
USE TO HAVE TECHNICAL EFFICIENCY IN THE PROCESS OF ANALYSIS IN
FORENSIC COMPUTER WITH MEDIA REMOVABLE SSD USING TOOLS OPEN
SOURCE

Author: Marcelo Santana Santos de Melo

Supervisor: Cicero Woshington S. Leite
FJN Faculdade de Juazeiro do Norte Cear

In recent years has been large growth in the population who had access to information
systems. Data from the IBGE (Brazilian Institute of Geography and Statistics) 2011 expose a
significant increase in people who now have access to technology like smartphone, and tablet
devices that allow storage on SSD (abbreviation solid-state drive) removable or not.
So with the growing demand, this will result in increasing the amount of devices that
form storage SSD (SOLID-STATE DRIVE) for forensic analysis. It is necessary to use one or
more techniques in solving criminal cases in the area of computer forensics, prompting the
expert to arrive at a more comprehensive and accurate result.
The scope of this paper is to analyze a set of tools and operating systems on which all
are open source, and in the end bring me an effective end result, according to each different
step required in computer forensics.

Keywords: Analysis; Forensic; SSD; Tools; Expert; Expertise.

Formatado: Tabulaes: 3,15 cm, esquerda

SUMRIO
1. INTRODUO ................................................................................................. 5
1.1 ORGANIZAO DESTE DOCUMENTO............................................................... 7
2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS ..................................... 8
2.1 SISTEMAS OPERACIONAL ................................................................................... 8
2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX................................................ 8
2.3 SEGURANA DE INFORMAO. ..................................................................... 109
3. CONCEITOS BASICOS SOBRE FORENSE E TCNICAS .............................. 119
3.1 FORENSE............................................................................................................... 119
3.2 COMPUTAO FORENSE. ................................................................................ 119
3.3 O PERITO DE COMPUTAO FORENSE. .................................................... 1110
3.4 TERMINOLOGIA PERICIAL E CONCEITOS BSICOS. ............................. 1311
3.5 PROCESSOS E TIPOS ANLISES EM COMPUTAO FORENSE. ........... 1311
3.6 O QUE ANALISAR. ............................................................................................ 1412
3.7 FERRAMENTAS E TCNICAS DE APOIO AO PERITO. ............................. 1412
3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE ................... 1513
4. ESTUDO DE CASO ..................................................................................... 1714
4.1 OBTENO E COLETA DOS DADOS............................................................. 1714
4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE ....................... 1815
4.1.3 ANLISE DE FERRAMENTA GERAO DE IMAGEM .................... 2320
4.2 PRESERVAO E IDENTIFICAO ............................................................. 2723
4.3 ANLISE.............................................................................................................. 2824
4.3.1 TCNICAS UTILIZADAS. ................................................................ 2824
4.3.2 ESCOLHA DA FERRAMENTA PARA ANLISE................................ 2925
4.4 APRESENTAO DOS DADOS........................................................................ 3733
CONCLUSO................................................................................................. 3934
TRABALHOS FUTUROS. ............................................................................... 4035
REFERNCIAS BIBLIOGRFICAS ................................................................ 4137
APNDICE..................................................................................................... 4339
ANEXO .......................................................................................................... 4440

LISTA DE TABELAS.

Resultado sistemas operacionais (fonte: prprio autor). .................................................... 2219

Resultado ferramenta gerao de imagem (fonte: prprio autor). ...................................... 2522
Resultado fase anlise ...................................................................................................... 3632
Comentado [I1]: S deve vir quando houve pelo menos 5

LISTA DE FIGURAS
Caine Fonte (http://www.caine-live.net/) .......................................................................... 1816
DEFT (fonte: http://www.deftlinux.net/screenshot/). ........................................................ 2017
FDTK (fonte: http://fdtk.com.br/www/sobre/). ................................................................. 2118
resultado do DD (fonte: Proprio Autor) ............................................................................ 2320
Resultado DCFLDD (fonte: Prprio autor) ....................................................................... 2421
Uso do FLS para listar arquivos na mdia ......................................................................... 3127
FLS resultado na tela........................................................................................................ 3227
Usando a ferramenta Icat para recuperao de dados. ....................................................... 3228
Tela inicial do Autopsy. ................................................................................................... 3329
Pagina de analise Autopsy. ............................................................................................... 3430
DFF Tela inicial ............................................................................................................... 3531
Tela de dados DFF ........................................................................................................... 3632

LISTA DE SMBOLOS, ABREVEAES E NOMECLATURAS.

ASCII ------- AMERICAN STANDARD CODE FOR INFORMATION INTERCHANGE

CAINE -----

COMPUTER AIDED INVESTIGATIVE ENVIRONMENT

CPP ---------- CDIGO DE PROCESSO PENAL

DCFLDD --- DEFENSE COMPUTER FORENSICS LAB DATA DUPLICATION
DD ----------- DATA DUPLICATION
DART-------- DIGITAL ADVANCED RESPONSE TOOLKIT
DEFT---------- DIGITAL EVIDENCE & FORENSIC TOOLKIT
DFF ---------- DIGITAL FORENSICS FRAMEWORK
FAT ---------- FILE ALLOCATION TABLE
HDD --------- HARD DISK DRIVE
MB ----------- MEGABYTE
NTFS -------- NEW TECHNPLOGY FIRME SYSTEM
PC ------------

PERSONAL COMPUTER

SSD ----------

SOLID-STATE DRIVE

TCC ---------

TRABALHO DE COMCLUSO DE CURSO

UDF ---------- UNIVERSAL DISK FORMAT

1. INTRODUO

Nos ltimos anos foi grande o crescimento da populao brasileira que passou a ter
acesso aos sistemas de informao. Dados do IBGE (Instituto Brasileiro de Geografia e
Estatstica) de 2011 expem um aumento significativo de pessoas que passaram a ter acesso a
tecnologia como smartphone, tablet e dispositivos que possibilitam armazenamentos em SSD
(sigla em ingls solid-state-drive) removveis ou no.
Isto por conta da diminuio dos preos destes tipos de aparelhos. Informaes do

Comentado [I2]: Melhorar

site de um fabricante em equipamentos HDD (Hard Disk Driver) e SSD mostram

quantitativamente esta afirmao, em que a IDC (International Data Corporation) prev um
crescimento nas vendas dos dispositivos SSD (SOLID-STATE DRIVE) em 51% entre os
anos de 2010 a 2015. Isto acontecer por conta, do constante aumento da tecnologia e a
diminuio do preo como j foi dito.

Comentado [I3]: Melhorar

A informtica pode ser usada como ferramenta de trabalho, lazer ou tambm para
auxiliar crimes como pedofilia (ELEUTERIO, 2010). Ou seja, como vimos constantemente

Comentado [I4]: Evitar

em reportagens nos jornais, uma pessoa no precisa ter total conhecimento para usar esta

Comentado [I5]: Impessoalidade

tecnologia para o bem ou mal

Assim com a demanda crescente, isto ir implicar no aumentar da quantidade de
dispositivos com forma de armazenamento SSD (SOLID-STATE DRIVE) para a anlise
forense. Fica indispensvel o uso de uma ou mais tcnicas na resoluo dos processos

Comentado [I6]: Termo forte. Evite

criminais na rea da computao forense, motivando o perito a chegar em a um resultado mais

abrangente e preciso.
Para efetuarmos um processo de investigao em computao forense devemos seguir
uma srie de etapas nos quais segundo (MARTINELLI, VICTOR, 2013) so.

Obteno e coleta de dados;

Preservao;

Identificao;

Anlise;

Apresentao.

Comentado [I7]: Impessoalidade

Comentado [I8]: Idem

Comentado [I9]: Organizar dentro do pargrafo de forma

textual

Todas as fases obrigatoriamente so seguidas uma aps a outraem sequencia, e sero

documentados os resultados de cada umas das etapas, no qual as mesmas sero melhor
detalhada no decorrer do trabalho.

Cada etapa para um processo em anlise forense computacional h tipos de

ferramentas especficas que ao fim do um terminado resultado. As ferramentas existentes no
mercado so pouco flexveis, no tendo como fazer percias diferentes em vrias etapas, assim
temos que ter uma escolha certa nas ferramentas utilizadas em cada uma delas. No entanto
no havendo xito no resultado obtido, no ter tanta eficincia e se tornar um processo
falho.

O escopo objetivo deste trabalho consistem em analisar um conjunto de ferramentas e

sistemas operacionais nos quais todos sejam open source, e que no fim me tragam um
resultado final eficiente, de acordo a cada diferente etapa exigida na computao forense.

Os objetivos especficos consistem em obter ferramentas contidas nos sistemas

operacionais baseado na computao forense para suprir com cada uma das fases do exame
forense, tendo em foco a eficincia nos resultados. Ser feito comparaes entre as
ferramentas que melhor auxiliem na obteno e coleta, preservao, identificao, anlise dos
dados no fim tendo apresentao dos dados de forma quantitativa descritiva.

Com a obteno dos resultados ser feito um estudo de caso usando cada ferramenta.
Relacionando o tipo de crime e tcnica utilizada para o exposio dos dados. Com o
recolhimento de referncias bibliogrficas teremos o estudo de tcnicas diferentes para cada
um dos tipos de exames em computao forense. Tendo o estudo de cada ferramenta como
por exemplo: uma que faa a imagem de medias SSD (solid-state-drive) sendo ela DD (Data
Duplication) e comparando com a DCFLDD (Defense Computer Forensics LAB Data
Duplication). Dando como resultado, qual ferramenta melhor faz preservao dos dados e
menor tempo ou com resultados mais precisos.
Caracterizar melhor a metodologia.

Comentado [I10]: Melhorar

1.1 ORGANIZAO DESTE DOCUMENTO

A organizao deste trabalho consiste da seguinte forma:

No Segundo e terceiro captulos apresentam os referenciais tericos sobre o contedo

destacado, onde o segundo mostra os conceitos bsicos de sistemas computacionais e o
terceiro sobre os conceitos bsicos de computao forense.
O quarto captulo deste trabalho apresenta o desenvolvimento completo, juntamente
com os estudos de caso, fazendo os testes para resultar na soluo do problema.
Por fim vem a concluso do que foi feito em todo o trabalho, seguido dos trabalhos
futuros, referencias, apndice e anexo.

2. CONCEITOS SOBRE SISTEMAS COMPUTACIONAIS

Neste captulo veremos o referencial terico sobre sistemas computacionais e todos os

seus componentes deste a parte fsica hardware ou lgica software. Sua estrutura de arquivos,
abordar a estrutura dos sistemas operacionais Linux e Windows.

2.1 SISTEMAS OPERACIONAL

Segundo Tanenbaum (2003) Sistema operacional, so programas que mantm o
controle entre o hardware e o software, gerenciando os componentes de entrada e sada como,
memria e discos, fazendo o gerenciamento da comunicao entre mquina e usurio.
Para Oliveira, Carissimi e Toscani (2010) o sistemas operacionais tem como objetivo
fazer que o computador seja mais eficaz e eficiente em buscar melhores resultados obtidos
pelo hardware.
De acordo com Tanenbaum (2003) a memria RAM (random acess memory) o
segundo principal componente de qualquer computador, pois ela que responsvel por parte
da capacidade de processamento do dispositivo junto com o processador

2.2 SISTEMAS DE ARQUIVOS WINDOWS E LINUX

O Windows pode ler at quatro tipo de sistemas arquivos ele so, FAT, NTFS, UDF
CDFS para cada uns deles a organizao por diretrio em que esta os arquivos, para a
nomenclatura da partio do disco (Diviso unidade de Disco) a atribudo uma letra a partir
da consoante C (MACHADO, 2007).
Diretrio conjunto de referncias para encontrar arquivos que so um conjunto de
dados, nele existem informaes aonde algum usurio colocou por algum motivo
(OLIVEIRA, 2010).
No Linux os sistemas de arquivos formado por blocos, diretrios e sub diretrios,
no a atribuio de letras para unidade de disco, mais sim caminho de diretrios,
exemplificado para o Linux o caminho /dev/sda equivale a uma unidade de disco
(NEMENTH, 2007).
Segundo Tanenbaum (2003) o inode representa o apontador de um bloco em um setor
no disco, serve para dar acesso ao determinado arquivos sendo representado por nmeros.

Formatado: Justificado, Recuo: Primeira linha: 1,25 cm,

Espaamento entre linhas: 1,5 linhas, No hifenizar, No
permitir pontuao deslocada, No ajustar espao entre
o texto latino e asitico, Alinhamento da fonte: Linha de
base

10

2.3 SEGURANA DE INFORMAO.

A informao dever conter confiabilidade, integridade e disponibilidade, aonde
confiabilidade esta quando ele s acessvel por autorizao, integral quando no h erros e
disponvel para quem tenha acesso a mesma. (COSTA, 2010).
Conforme Marcacini (2010) Hash Code so sequncias de bits representados por um
algoritmo, no que retorna uma chave criptografada (Informao no legvel), trs exemplos de
Hash MD4, MD5, e SHA-1.
De acordo Eleutrio (2010) a funo do Hash garantir a legitimidade da informao,
pois ele responsvel para mostrar, a partir de algoritmos, se a imagem gerada de uma mdia
igual a outra ou no.

Formatado: Recuo: Primeira linha: 1,25 cm

11

3. CONCEITOS BASICOS SOBRE FORENSE E TCNICAS

Para compreender o trabalho proposto no projeto, e a sua contribuio, um estudo em

todos os pr-requisitos obrigatrio, e quais as ferramentas utilizadas no trabalho. Neste
captulo estaremos apresentando os conceitos bsicos de forense, e quais reas so utilizadas.
Dar uma abordagem em crime de informtica, qual legislao aplicada, sistemas
operacionais com ferramentas forense, tipos de anlises tcnicas relacionadas para cada caso
de investigao, e por fim os mtodos usados.

3.1 FORENSE.
Segundo Chamello (2006) a cincia forense atuante em vrias disciplinas como,
qumica, biologia, matemtica, computao, telefonia, entre algumas outras, para ter como
objetivo, a contribuio em anlise civil e criminal.
J Martinelli (apud SAFERTEIN 2001) em resumo, a forense est na aplicao das
reas da cincia de acordo com a lei.

3.2 COMPUTAO FORENSE.

A computao forense analisa o homem no uso de equipamentos eletrnicos
computacionais, nos quais envolvam dados relativos ao seu crime, estes dados podem ser
utilizados no meio ou fim como prova judicial, assim se tornando um laudo tcnico pericial
judicial (COSTA,2011).
Portanto, a computao forense tem como objetivo principal determinar a dinmica, a
materialidade e autoria dos fatos ilcitos ligados rea de informtica, tendo como questo
principal a identificao e o processamentos de evidncias digitais, em provas cientficas,
conferindo-lhe validade probatria em juzo (ELEUTRIO, 2010).

3.3 O PERITO DE COMPUTAO FORENSE.

Conforme Mota Filho (2014) para ser perito em forense deve ser paciente, detalhista,
ser especialista em sistemas operacionais e file systems (sistemas de arquivos), ser conhecedor

12

de vrias ferramentas para anlise pericial, estar em constante atualizao e o imprescindvel,

gostar de aprender.
J Vargas e Queiroz (2010) o perito em computao forense tem que ser uma pessoa
especializada na rea computacional, ter pacincia, pois uma anlise pode durar vrios dias ou
meses, ser perceptivo e ter interesse em vrios assuntos, ter boa escrita e estudar sobre a
legislao criminalista.
Para Martinelli, Victor (2013, p, 23):
Dentre as principais atribuies do perito computacional podemos citar: a
identificao de suspeitos e fontes que evidenciam os ilcitos, obteno e preservao
das evidncias digitais anlise de tais evidncias e a apresentao das mesmas em um
relatrio com todas concluses da anlise - sempre por meio da utilizao de
procedimentos padronizados e aceitos pela comunidade cientfica, com objetivo de
que todas as evidncias sejam aceitas pelos tribunais, servindo como prova legalmente
vlida

O perito no Brasil atuante em cargo pblico como especialista em tecnologia da

informao, nomeado pela polcia federal de acordo com artigo Lei N 7.270, 10 dezembro
1984 no cdigo civil. Tambm pode atuar como tcnico nos processos extra jurdicos.
(Martinelli, Victor, 2013).

13

3.4 TERMINOLOGIA PERICIAL E CONCEITOS BSICOS.

De acordo com Costa (2011), prova digital a informao apresentada em binrio
como prova do crime, mdia digital o dispositivo original obtido na coleta e duplicao
pericial a cpia precisa da mdia coletada para anlise.

3.5 PROCESSOS E TIPOS ANLISES EM COMPUTAO FORENSE.

Para Eleutrio (2010), os principais exames em informtica so: exame feito no local
do crime, em dispositivos de armazenamento com HD e SSD, exames em telefonia e exames
feitos em sites de internet ou acesso nos mesmos.
A anlise em dispositivo computacional deve ser feita por um perito especializado,
com certificao na rea indicada, o caso citado refere-se ao perito em computao forense.
Dentre as atribuies exigidas na legislao brasileira podemos citar as seguintes:
(MARTINELLI, 2013).
Em todas as fases de um processo na computao forense, obrigatoriamente a
documentao de todas, tambm deve ser includa nomes dos equipamentos recolhidos em
custdia pelo perito, forma de manuseio, conter as assinaturas das testemunhas e do perito
(QUEIROZ, CLAUDEMIR, 2010).
Para Freitas (2006, p, 2), a percia forense possui quatro procedimentos bsicos: todas
a evidncias devem ser identificadas, preservadas, analisadas e apresentadas.
J Eleutrio (2010) apresenta as fases desta forma: preservao, extrao anlise e
formalizao dos dados.
Martinelli (2013) cita a existncia de dois tipos de exames, que so os seguintes: live
forensics e post-mortem forensics, onde a primeira se trata da anlise ao vivo, ou seja, quando
o sistema se encontra ainda ligado no ato da apreenso, e a segunda sendo a coleta e anlise
posteriormente.
J Costa (2011), nomeia as anlises como a quente ou on line, onde feita a coleta dos
dados na memria RAM (Random Acess Memory), com o dispositivo ainda ligado, e a anlise
a frio ou off line, onde faz a apreenso dos equipamentos e feita a extrao dos dados em
laboratrio.

14

3.6 O QUE ANALISAR.

Segundo Rosa (2005), para todas as anlises de dados ou sistemas, deve ser seguido
uma ordem ou ciclo para o processamento das informaes, tendo o devido cuidado para que
no seja feito ou deixe algum registro nos dados originais, isto deve ser feito com o auxlio de
ferramentas de apoio.
De Acordo com Micheloni, Marelli e Eshghi (2012)
Uma unidade de estado slido (SSD) um dispositivo de armazenamento que
incorpora memria de estado slido e emula um disco rgido para armazenar dados.
Porque um SSD emula uma unidade de disco rgido HD, que normalmente utiliza
interfaces de disco rgido e protocolos, como Parallel ATA, Serial ATA, Serial
Attached SCSI e Fibre Channel e podem facilmente substitu-lo a maioria das
aplicaes da ONU.

3.7 FERRAMENTAS E TCNICAS DE APOIO AO PERITO.

Sleuth Kit um conjunto de ferramentas para anlise forense computacional, criado e

mantido por Brian Carrier. Dentre as ferramentas esto as seguintes, ILS, BLKLS, FLS,
FSSTAT, FFIND, MACTIME, DISK, STAT e Autopsy, que a interface grfica das
ferramentas anteriores. (CARRIER, 2014).
Para MELLO e Sandro (2009), DD uma ferramenta da distribuio Unix, que tem
como principal objetivo converter mdia em imagem.
DCFLDD (DEFENSE COMPUTER FORENSICS LAB) uma verso melhorada do
DD, esta ferramenta tem como principais utilidades a gerao de imagem em mdia e o
clculo de hash da imagem junto com a mdia no processo, tambm mostra o progresso da
tarefa. (HARBOUR, 2006).
MAC TIME a forma abreviada de trs atributos referente a tempo de acesso em uma
arquivo que so: modificao, acesso e alterao de estados, onde o primeiro a data de
modificao, o seguindo data de acesso e o terceiro data de alterao (MARTINELLI, 2013)
Metadados so dados de um arquivo aonde contem data e hora, sobre acesso e
modificao (COSTA, 2011).
Busca por palavra-chave um tipo de tcnica que utiliza cdigo binrio, fazendo
pesquisa por string com o padro ASCII, tendo como vantagens fazer a varredura em todos os
sistemas de arquivos (NG, REYNALDO, 2007).

15

Indicio de arquivo apagados.

Sistemas operacionais no apaga um arquivos, ele

apenas remove sua referncia em um bloco, passando de ocupado para livre, esta tcnica
consiste em localizar os arquivos deletados nessas referencias (QUEIROZ, 2010).
DFF (Digital Forensics Framework) um distribuio open source para analise em
computao forense em todas a fase de uma percia. (FRATEPIETRO e ROSSETTI, 2012)

3.7.1 SISTEMAS OPERACIONAIS FORENSE OPEN SOURCE

Caine (Computer Aided INvestigative Environment) uma distribuio italiana para

anlise ao vivo. Atualmente est na verso 5.0 juntamente com a verso 12.04 do Sistema
operacional Ubuntu Linux, ele gerenciado por Nanni Bassetti (LEHR, 2014).

DEFT (Digital Evidence & Forensic Toolkit) uma distribuio usada para anlise em
computao forense, baseado no GNU Linux. Atualmente est na verso 8.2, lanado em
agosto de 2014. (FRATEPIETRO e ROSSETTI, 2012)

FTDK O projeto FDTK-UbuntuBr

uma distribuio Linux criada a partir da j consagrada distribuio Ubuntu, e rene
mais de 100 ferramentas capazes de atender a todas as etapas de um investigao em
Forense Computacional, oferecendo a possiblidade de ser utilizada como Live CD e
tambm ser instalada em um equipamento transformando-o em uma estao Forense.
Essa distribuio est em constante desenvolvimento e caracteriza-se no apenas pela
quantidade de ferramentas, mas tambm por uma interface amigvel, estruturada
conforme as etapas do processo de percia e, ainda pela preocupao por ser
distribuda no idioma portugus. (Disponvel em (http://fdtk.com.br/www/sobre/
acesso 17 setembro 2014).

3.5 CRIMES DE INFORMTICA

Segundo Mello (2007), o crime de informtica todo aquele procedimento que atenta
contra os dados, que faz na forma em que estejam armazenados, compilados, transmissveis
ou em transmisso.

16

Para Eleutrio (apud CROCE 2010) pedofilia o desvio sexual caracterizado pela
atrao por crianas ou adolescentes sexualmente imaturos, com os quais os portadores do
vazo ao erotismo pela prtica de obscenidades ou de ato libidinosos.
Conforme NG (2007), no Brasil no existem normas especficas para crimes virtuais.
Os aspectos legislativos esto em discusso desde 1995.
Um fator desafiador que apresenta o prprio campo jurdico. No existem normas
especificas para enquadrar certos delitos que ocorrem neste grande mundo virtual,
sem contar as aes realizadas em jurisdies internacionais, que dependem de
acordos entre os pases envolvidos.
(NG, 2007, p60).

Segundo Eleutrio (2010, p.16), o cdigo de processo penal (CPP) determina em seu
artigo 158 que: Quando a infrao deixar vestgios, ser indispensvel o exame de corpo de
delito, direto ou indireto, no podendo supri-lo a confisso do acusado.
Os principais exames forenses em informticas so: Exames e procedimentos em de
crime de informtica, Exames em dispositivos de armazenamentos computacional CD,
DVD, PEN DRIVES E HD, exames em aparelhos de telefonia, exames em sites de
internet e exames em mensagens eletrnicas (e-mails) (ELEUTRIO, 2010, p19).

17

4. ESTUDO DE CASO
Tendo como objetivo a escolha de ferramentas na qual melhor se adequa a terem
eficincia nos processos de anlise em computao forense, cabe ser feita a diviso das
exposies dos dados para cada uma das fases. Este captulo ser divido de acordo com as
fases de uma percia forense, baseado com o modelo exposto por (MARTINELLI, 2013).
O estudo de caso que est sendo abordado, tem como material evidenciado a extrao
de dados em um dispositivo SSD, obtido a partir de um Tablet, e o crime relacionado para
esta percia enquadrar pedofilia, lembrando que a mdia e os resultados obtidos no tem
nenhuma ligao com um caso real, os mesmos apenas so referncias para fins acadmicos,
assim os dados exposto na ltima fase no ter valor jurdico.

4.1 OBTENO E COLETA DOS DADOS

Nesta fase d incio a percia digital, estando imprescindvel a escolha das ferramentas
certas, para cada uma das etapas. De acordo com Eleutrio (2010), o perito deve estar
acompanhado por duas testemunhas que at o fim da percia far parte de todas as etapas, e
tendo as assinaturas na documentao da evidncia.
O estudo de caso que ser proposto na percia, estar sendo feito de modo post-mortem
forensics ou seja os materiais so apreendidos e feito a percia em laboratrio.
Agora est sendo feita uma anlise na qual o sistema operacional forense open source,
contenha ferramentas bsicas, que melhor se adqua a anlise digital em casos de pedofilia e,
em relao as tcnicas utilizadas para a resoluo deste tipo de caso.
A escolha dos sistemas operacionais sero realizadas das seguintes formas:

Qual sistema operacional instalvel, live CD e contm ferramentas para

anlise live forensics e post-mortem forensics em todos os tipos de sistemas de
arquivos, e em cada fase da percia, assim no sendo preciso a instalao de
pacotes adicionais;

Qual sistema operacional tem ferramenta para anlise sobre linha do tempo e
recuperao de dados;

Qual sistema no faz montagem de unidade SDD de modo leitura e escrita

automaticamente, pois se for feito ser prejudicado a segunda fase na qual se
d a preservao dos dados;

18

Qual sistema est mais atualizado com o conjunto de ferramentas Sleuth Kit,
que so o conjunto de ferramentas bsicas para percia digital.

4.1.2 ESCOLHA DO SISTEMA OPERACIONAL FORENSE

Os sistemas operacionais foram escolhidos, a partir de matrias publicadas em fontes

da internet, onde so artigos publicados com amostras das utilidades de cada um dos sistemas.
Uma das fontes de pesquisa, foi de uma publicao no blog de Diego Macedo em 23 de
outubro de 2012, na qual faz um breve resumo dos sistemas operacionais Caine, DEFT e
FTDK. As outras fontes de pesquisa so os sites da distribuio dos sistemas operacionais
expostos. partir disto, ser feita uma relao do conjunto de ferramentas de cada sistema
operacional pr-instalado, juntamente com a comparao do requisitos expostos no captulo
4.1.
Caine (Computer Aided Investigative Environment) uma distribuio italiana mais
voltada para a anlise ao vivo, ou seja, em dispositivos ainda ligados. Baseado no Ubuntu
12.04, sua ltima verso atualizada foi a 5.0.

Figura 1Caine Fonte (http://www.caine-live.net/)

O Caine tem um ambiente agradvel e de fcil operabilidade, as principais

caractersticas deste sistema operacional forense so:

Ter ferramentas acessveis para todas as quatro fases de uma percia digital;

19

Montagem de mdia por padro em modo s de leitura;

Possuir pacotes adicionais para anlise on line como a ferramenta Win Ufo
utilizada para anlise em sistema operacional Windows.

Sendo feito um resumo sobre o sistema operacional Caine, ele bastante eficiente para
anlise on line, por conter ferramentas compatveis para vrios sistemas operacionais, sendo
eles em computador ou smartphone, exemplificando Windows, MAC e Linux para
computador e Android, IOS e Blackberry para smartphone. Mas no fator anlise off line, a
instalao do mesmo em alguns modelos de hardware entra em incompatibilidade.

20

DEFT (Digital Evidence & Forensic Toolkit)

Figura 2 DEFT (fonte: http://www.deftlinux.net/screenshot/).

um sistema operacional de origem italiana, ambiente grfico de fcil usabilidade,
possui todas a ferramentas bsicas para percia em computao forense online e off-line, em
sistemas operacionais Windows, Linux, Android, e IOS, dentre as ferramentas esto as
seguintes:

Para anlise em Windows o DART (Digital Advanced Response Toolkit), um

conjunto de ferramenta para anlise online, onde possui recursos como dump
de memria, aonde feita a imagem da mesma, recuperao de dados,
antivrus e anlise em rede;

No Linux dispe ferramentas para todas as fases da percia, entre as existentes,

o Autopsy responsvel por anlise de arquivos onde podem serem utilizadas
tcnicas como: Mac time; indcios de arquivos apagados, esta mesma
ferramenta tem suporte para utilizao em Windows;

Para percia em Smartphone o DEFT contm ferramentas que auxiliam no

dump de memria em Iphone, anlise de banco de dados em Android e trfico
de rede.

FDTK (Forense Digital ToolKit).

21

Figura 3 FDTK (fonte: http://fdtk.com.br/www/sobre/).

Sistema operacional criado por Paulo Neukamp para trabalhado de concluso, o FDTK
se torna diferenciado em dois pontos. O primeiro a relao das ferramentas instaladas no
sistema, elas so divididas de acordo com cada fase da percia e o segundo ponto, consiste
implementao de um manual em portugus com o passo a passo de cada uma, assim
ajudando na utilizao das tcnicas por usurios iniciantes.
No Sistemas Operacional FDTK disponibiliza para a fase inicial, um modelo de
formulrio cadeia e custdia em formato Excel. O ponto falho no sistema operacional no
conter ferramentas para anlise em Windows de modo online, e alm disto, a verso
UBUNTU 9.04 no atualizada, assim quando a instalao do sistema operacional em
computador mais atual, tende a ser incompatvel com o sistema.
Tabela Quadro com os resultados dos requisitos obtidos pelos sistemas operacionais

Live CD e
INSTALAVEL/FERRAMENTA
LIVE FORENSICS E POSTMORTEM FORENSICS
PACOTE SLEUTH KIT
Montagem SSD
Automtico/Leitura ou
Manual/Escrita
MAC TIME
Recupera dados

CAINE
Sim / Sim/para
Windows Win
Ufo

DEFT
SIM /SIM/ PARA
WINDOWS /DFF

FDTK
Sim/ Sim/No

Sim/Sim
Auto em leitura

Sim /Sim
No Automtico

SIM/SIM
Monta automtico

MAC TIME

Mac Time, FLS

PHOTO REC,

PROTO REC,

MAC TIMR,
MACROUBER
RECOVER

22

FORESMOST,
FLS
Data de atualizao
Sistema operacional

17 janeiro 2014
UBUNTU 12.04

RECOVER,
FORESMOST,
FLS
10 agosto 2014
UBUNTU 12.04

PROTO REC,
FORESMOST,
FLS
11 julho 2011
UBUNTU 9.04

Tabela Quadro 1 Resultado sistemas operacionais (fonte: prprio autor).

Comentado [I11]: Fechar

Na tabela Quadro 1 expe uma comparao entre os sistemas operacionais Caine,

DEFT e FDTK, aonde os resultados foram os seguinte:
Todos os sistemas operacionais analisados tem opo de instalao e, rodam

Comentado [I12]: Corrigir nos demais

por live cd. J na questo ferramenta de anlise em sistema operacional, sem

ser preciso ter da boot pelo live cd, o Caine contm o Win Ufo, que um
pacote de ferramentas para anlise em Windows, caso o PC est ligado no ato
da apreenso. O DEFT disponibiliza o DART que contm vrias ferramentas
voltada para iniciante em uma percia Windows com o mesmo propsito do
Win -Ufo.

O FDTK no disponibiliza nenhuma ferramenta para este tipo de anlise;

Caine, DEFT e FDTK contm instalado Autopsy juntamente Sleuth kit;

Montagem de modo automtico dos trs sistemas operacionais analisados, o

FDTK foi o nico que faz montagem de modo leitura e escrita automtico,
assim se for feita uma percia em um dispositivo a partir da porta USB
(Universal Serial Bus) ter que ser configurado, pois no feito isto, prejudicar
a fase seguinte;

Mac Time: todos os sistemas operacionais analisados vem com ferramenta para
anlise de linha do tempo, tcnica para resoluo de casos como pedofilia.

Recuperao de dados: todos tem vrias ferramentas para recuperao de

dados.

Atualizao do S.O.: o Caine e DEFT tem como Ubuntu distribuio GUI

12.04 e verses atualizadas deste ano da prpria distribuio Caine 5.0 e DEFT
8.2. J o FDTK est com Ubuntu 9.04 e sua ltima atualizao foi no ano de
2011, com a verso 3.0.

Partindo dos resultados expostos, chega concluso que o DEFT o sistema

operacional forense que ser utilizado para as exposies na anlise forense computacional,
pois ele o que mais se enquadra nos requisitos definidos. A prxima seo mostra a

23

comparao, que tem como objetivo definir a melhor ferramenta para obteno e coleta dos
dados.

4.1.3 ANLISE DE FERRAMENTA GERAO DE IMAGEM

Levando em conta a eficincia como objetivo, as ferramentas analisadas fazem parte

do sistema operacional DEFT, deste modo no perdendo tempo na instalao de ferramentas
adicionais. Feito o levantamento das ferramentas contidas no sistema operacional DEFT para
a gerao de imagem a partir do manual disponvel no site http://www.deftlinux.net/doc/ENdeft7.pdf. Foram extradas duas ferramentas para os testes, resultando em uma que far parte
do processo investigativo. As mesmas so DD e DCFLDD.
Seguindo o critrio abaixo, teremos a escolha de uma das duas ferramentas citadas:
1. Ferramenta que tenha sua linha de comandos, simples e objetiva;
2. Tenha preciso na cpia da imagem;
3. Ferramenta com melhor desempenho;
4. Seja prtica, ajudando em uma ou mais fases do processo.
Os testes feitos a seguir foram com um tablet, onde o armazenamento interno SSD.
As imagens geradas a partir dele, sero utilizadas no decorrer do processo, lembrando que os
resultados adquiridos na anlise do dispositivo, no tem nenhuma relao com caso real,
apenas esto sendo feito para fins acadmicos. As configuraes do dispositivo evidenciado e
tambm do computador usado para a extrao dos dados esto nos apndices A e B.

A figura abaixo mostra a linha de comando bsica, juntamente com o resultado usando
a ferramenta DD para extrao da imagem na mdia interna do dispositivo.

Figura 4 resultado do DD (fonte: Prprio Autor)

O comando time colocado antes do DD, apresenta o tempo utilizado na gerao da
imagem que foi de 9 minutos e 21 segundos. Seguido do comando dd if=/dev/sdb onde o dd
a ferramenta utilizada e if=/dev/sdb o caminho que aponta para a mdia SSD, logo aps

24

of=/dev/root/Desktop/evidence/caso01/ssd_imagem.img que ser aonde armazenar a

imagem coletada.
Em seguida foi feita o processo com o DCFLDD e chegaram no seguinte resultado:

Figura 5 Resultado DCFLDD (fonte: Prprio autor)

Foi utilizado o mesmo dispositivo para a comparao com o DCFLDD, modificando
s o nome da imagem e acrescentando o comando hash=md5,sha1,shal512, resultando no
hash da mdia e imagem ssd_interno.img coletado.

25

Com isto a tabela quadro de comparao expe os seguintes resultados:

Ttulo do Quadro

FERRAMENTA CRITRIO 1
SIM

DD

CRITRIO 2

CRITRIO 3

CRITRIO 4

SIM

BAIXO

S FAZ
IMAGEM

SIM

DCFLDD

SIM

RAPIDA

IMAGEM E
HASH

Tabela 2 Resultado ferramenta gerao de imagem (Ffonte: prprio autor).

Os dados expostos na tabela 02, descrevem os critrios definidos para a escolha da
ferramenta de gerao de imagem:

Critrio 1 tanto DD como DCFLDD a linha de comando simples e de fcil

aprendizagem;

Critrio 2. J neste caso a ferramenta DD no traz clareza para o perito na

gerao da imagem, pois o processo feito de modo oculto, no mostrando o
decorrer do mesmo, mais partindo do fato preciso o consta no DD pois o
mtodo de cpia bit a bit no entanto o DCFLDD faz uma gerao de processo
da imagem, mostrando a etapa de 8 a 8 mega bytes at o trmino;

Critrio 3. Nesta etapa foi medida a eficincia de cada ferramenta, fazendo

uma comparao de tempo levado para a gerao da imagem. O DCFLDD teve
um desempenho bem mais efetivo com o tempo de 8 minutos e 46 segundos,
aonde alm de coletar a imagem, fez o clculo do Hash da mdia em md5, sha1
e shal512. J na ferramenta DD o tempo foi de 9 minutos e 21 segundos para a
gerao da imagem e no foi feito o clculo do hash, pois o DD no d suporte
para ser feito isto na mesma linha de comando;

Critrio 4. Por tambm fazer o hash da mdia, o DCFLDD se sobressai nesta

fase, como j foi dito no critrio 3.

Com o dados obtidos nos quatro critrios, foi chegado a concluso entre as
ferramentas disponveis para gerao de imagem no DEFT, em que a mais eficiente a
DCFLDD, pois ela alm de fazer o bsico e ter melhor desempenho com tempo de gerao de

Comentado [I13]: Nomear critrios, facilita a leitura

26

imagem mais rpida, dar suporte para clculo de hash podendo ser utilizada em outras fases
do processo.

27

4.2 PRESERVAO E IDENTIFICAO

Segundo Costa (2011), nesta fase feita a identificao dos dados e cpia da mesma,
documentao de todos os processos, desde o hash gerado pela imagem, testemunha, perito,
os materiais apreendidos do suspeito e, por fim preenchimento do formulrio de cadeia e
custdia contendo todos os dados expostos.
De acordo com Martinelli (2013), o formulrio de cadeia e custdia no tem padro
definido, ele deve conter os dados relacionados ao tipo de processo analisado.
Seguindo este conceito, foi feita uma modificao no modelo defendido por Costa
(2013), na qual foi usada uma planilha e o preenchimento da mesma, j com os dados obtidos
na fase anterior com os seguintes campos:

Caso Nmero: 001.

Pagina N: 1

DETALHES DO DISPOSITIVO E MDIA.

Nmero do Item:001.

Descrio: Tablet.

Fabricante: CCE.

Modelo: Motion.tab

Nmero de srie:20080411413fc082

DETALHES SOBRE A IMAGEM DOS DADOS.

Data/ Hora: 16 de Setembro de 2014 s 22:41.

Criado por: Marcelo Santana S. de Melo.

Mtodo Usado: Ferramenta DCFLDD com Hash md5, sha1, shal512.

Nome da imagem: ssd_imagem1.img.

Parte: 3 copias.

Driver: SSD 5.1 GB / 5117050880 Setores.

Hash:(md5):d5cbc40e7d4c99900816982fe1fd2a7f.
(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676.
(sha512):fd61446c2cfd92e511f6bdbf8cf9a4626189e95b3c2a744f3289e8fc211
e57300cc36d107b46abe59b68e38a51b0dbd4c7133d1f547e7843fbe7e106205e
1a19.

28

No formulrio ainda existem os campos de cadeia e custdia, onde se colocam

detalhes como: destino do material apreendido, data e hora e os participantes do processo de
entrega das evidncias. Os mesmos no foram preenchidos por no se tratar de um processo
investigativo real. O formulrio completo est exposto no Anexo A.

4.3 ANLISE.
Na fase de anlise o perito deve ter conhecimento de todas as outras fases anteriores,
assim estando apto a escolher qual tcnica juntamente com a ferramenta adequada utilizar
para expor os dados, na fase seguinte apresentao de dados.

4.3.1 TCNICAS UTILIZADAS.

Segundo Martinelli (2013), em um caso de pedofilia deve analisar acesso de internet,
imagens gravadas do disco e conexes compartilhadas.
As tcnicas utilizadas nestas fases so definidas de acordo com cada percia especfica,
neste caso por se tratar de pedofilia e a anlise ser de modo post-mortem forensics, em
imagem coletada de mdia SSD, seguiremos as tcnicas expostas por NG (2007), o que cabe
ser analisado so: imagens e vdeos contido no dispositivo suspeito, utilizando as tcnicas de
MAC TIME, indcios de arquivos apagados e busca binria tipo de pesquisa por palavra chave.
MAC TIME tcnica feita por busca de arquivos mtadados de acordo com o sistema,
onde contm informaes contidas do arquivo como: data, hora em que foi criado, aberto,
modificado e acessado, os nomes dados para cada tempo de acesso a um arquivos mtadado
so respectivamente:
Mtime (modification time) hora em que o contedo sofre modificao, atime (access
time) ltima hora que arquivo foi aberto e ctime (Change time), mostra hora em que os
registos do arquivo foi modificado no caso permisses (COSTA, 2011). Este nomes so dados
para sistemas de arquivos Unix, no caso de Windows o ctime no e considerado como
alterao mais sim como uma criao de um arquivo.
Indcio de arquivos apagados, consiste na tcnica de busca em arquivos que foram
deletados, ao caso do suspeito j tenha deletados contedos que os considerem ilcitos.
Busca binria consiste em uma tcnica utilizada com tipo de expresses regulares
(GREP), onde o perito tem uma experincia sobre o caso especfico, para que saiba fazer a
escolha das palavras certas.

29

Por exemplo: em um caso de pedofilia, as palavras chaves tendem a serem extenses

de arquivos como imagem ou vdeos, s tendo uma problemtica, se esta busca for feita em
uma unidade de um sistema operacional, aonde tem vrios arquivos de sistemas com estas
extenses, o perito cabe a fazer duas listas de busca no por extenses e sim por nomes, uma
com palavras chaves com lista se adequando para o caso especfico abordado e outras com
nomes de arquivos de sistemas onde as a lista so palavras do caso periciado e a outra
consistem em arquivos de sistemas, com isto o perito obtm uma melhor preciso na busca.

4.3.2 ESCOLHA DA FERRAMENTA PARA ANLISE.

Seguindo as tcnicas expostas no sub captulo 4.3.1 na qual so utilizadas para percia
computacional em casos como pedofilia, sonegao fiscal entre outros, agora cabe ser feita a
anlise com a ferramenta que traga mais eficincia nesta etapa. Assim dados os requisitos
obrigatrios para a escolha da mesma, a partir das tcnicas abordadas em que os requisitos
so:

Requisito 1: Ferramenta que tenha suporte para anlise Mac Time;

Requisito 2: Ferramenta que possa fazer anlise por busca binaria;

Requisito 3: Ferramenta que faa recuperao de indcios em arquivos

apagados;

Requisito 4: Ferramenta que tenha suporte para anlise em vrios sistemas

operacionais;

Requisito 5: Ferramenta que traga melhor eficincia para o perito em seu

ambiente, tendo a diminuio do tempo de anlise para o mesmo.

Com base nestes requisitos e o manual do DEFT sistema operacional utilizado no

trabalho, foi escolhido ferramentas para as comparaes dos dados, correlacionando as
tcnicas utilizadas na percia forense computacional, assim para que no trmino do estudo
chegue escolha de uma ou mais ferramentas, e por fim trazendo um resultado eficiente. Os
resultados extrados pela ferramentas escolhida contar na prxima fase apresentao de
dados.

30

As ferramentas escolhidas para o estudo de caso foram o Autopsy interface grfica do

pacote sleuth kit e o DFF (DIGITAL FORENSICS FRAMEWORK). A escolha destas
ferramentas foi com base aos requisitos abordados, em que elas do suporte para anlise nos
sistemas operacionais Windows e Linux. A seguir se dar um resumo das funcionalidades de
cada ferramenta e suas utilidades, posteriormente caber os teste juntamente com a
comparao detalhada de cada funo correlacionando com os requisitos focados.
Autopsy - Mdulo com interface grfica do pacote digital forense sleuth kit, contm
todas as ferramentas do pacote para anlise, juntamente com a opo de exportar o laudo em
qualquer etapa da percia. A descrio de algumas ferramenta do sleuth kit junto com as
funes esto disponvel em http://www.sleuthkit.org/sleuthkit/man, as mesmas so
executadas pelo Autopsy ou separadamente em modo texto.

Blkcalc faz correo de dados binrios em unidades com problema, ou seja:

ele corrige erros de uma unidade j com problema a partir de outra em perfeito
estado;

Blkcat apresenta contedo em unidade;

Blkls faz a listagem dos arquivos de uma unidade em disco ou imagem;

Blkstat mostra detalhes como, setor e os sistemas de arquivos;

FCAT faz busca de contedo por nome;

Ffind faz uma verificao a partir do inode;

Fls lista arquivo de uma unidade ou imagem, apagados ou no;

Icat busca arquivo com base no inode, esta ferramenta pode de usada para
recuperao de dados;

Mactime ferramenta para anlise da linha do tempo.

DFF (Digital Forensics Framework), tem uma distribuio open source, em que
disponibiliza ferramentas para anlise em Windows e Linux para todas as etapas da percia, na
mesma constitui disponibilidade com verso grfica ou por linha de comando. O ponto falho
nesta distribuio est em que, nem todas as ferramentas esto disponvel na verso grtis,
pois o DFF, constitui de trs verses, DFF, DFF pro e DFF live.
A seguir a lista dividida por modulo de ferramentas disponvel na verso grtis do
DFF (Digital Forensics Framework).

Modulo builtins: cd, fg, link, find e history;

31

Modulo metacam: compoundfile, metaexif e time line;

Modulo hash: ferramenta Hash.

Na verso gratuita no disponibiliza o manual do produto, e no site a parte de suporte

com manuais consiste em manuteno na data pesquisada 20 de setembro 2014.
Para justificar a escolha do Autopsy e DFF como as ferramentas a serem utilizadas no
estudo de caso, estar a mostra um exemplo de recuperao de dados, utilizando parte do
pacote sleuth kit, est tcnica faz parte do requisito 3, recuperao de indcios de arquivos
apagados.

Figura 6 Uso do FLS para listar arquivos na mdia (fonte prprio autor).
Na figura 6 mostra um exemplo feito com a ferramenta FLS, para listar arquivos da
mdia utilizada no processo como evidncia, aonde os resultados obtidos esto gravados em
um arquivo com o nome evidencia_ssd_interno.txt. O comando time mostra o tempo real do
processo, que foi 1 minuto e 12 segundos, fls a ferramenta utilizada juntamente com o
argumento

no

qual

pede

para

mostrar

todos

os

ficheiros

existentes,

/root/Desktop/case01/ssd_interno.img determina o local da mdia armazenado seguido de >

/root/Desktop/case01/evidencia_ssd_interno.txt onde grava os dados obtidos do comando fls
r. Nota-se que os resultados obtidos ficam expostos em um arquivo aparte, assim cabe ao
perito analisar os documento evidencia_ssd_interno.txt. Outro modo ser feita a visualizao
na tela, sem ter que direcionar o resultado para um documento externo.

32

Figura 7FLS resultado na tela (fonte: Prprio autor)

A figura 7 mostra o resultado do comando fls r na tela, a seguir o resumo dos resultados
obtidos em uma linha da exposta.

+ r/r as permisses do arquivo;

* 263 descreve que o arquivo se encontra apagado e o inode do mesmo 263;

Smdl2tmp1.asec consiste no arquivo.

Agora a fase de recuperao dos dados:

Figura 8 Usando a ferramenta Icat para recuperao de dados (fonte: prprio autor).
Icat uma ferramenta em que faz busca por referncia a um dado, na figura 8 mostra
uma busca pelo arquivo referenciado no inode 1621, depois salvo com o nome de
IMG_20140815_1807719.jpg.
Os exemplos expostos nas figuras 6, 7 e 8 mostram uma forma para recuperao de
arquivos apagados sobre linha de comando, o que se nota nestes exemplos, a necessidade do
perito ter uma vasto conhecimento do caso especificado para se ter xito na extrao dos
dados. Neste caso por se tratar de uma busca cega no qual cabe uma anlise detalhada. Este
fato tende a fazer o processo de investigao ficar cada vez mais demorada. Por isto que
imprescindvel o uso de uma ferramenta em que tenha um ambiente flexvel com mais vrias
funes disponveis. Com este exemplo se justifica a escolha do Autosy e DFF para o estudo
de caso, pois as duas tem os requisitos citados.

33

A seguir um detalhamento do processo de anlise dos dados com a imagem gerada na

fase de obteno e coleta dos dados pelo DCFLDD usando o Autopsy e posteriormente com
DFF, consequentemente se dar a comparao da anlise por meio de tabela, e por fim o
resultado em forma descritiva chegado a escolha de uma das duas ferramentas.
A verso do Autopsy analisada a 2.24, baseada em web ou seja, todo procedimento
executado via navegador web. Na tela inicial o ambiente bastante simples e objetivo,
apresentado as opes bsicas para o incio da percia.

Figura 9 Tela inicial do Autopsy (fonte:http://www.sleuthkit.org.autopsy).

No caso abordado a opo desejada new case (novo caso), na tela seguinte mostra
um formulrio simples com enumerado em:
1. Nome do caso: onde se preenche com nome e nmero;
2. Descrio do caso
3. Os investigadores do caso, aqui pode colocar o investigador e testemunha,
neste item divide-se em forma alfabtica da vogal a at a consoante J
assim pode ser, relacionada 10 pessoas relacionadas a percia.
Na terceira tela mostra o caminho aonde est armazenado os dados da percia e te
induz a selecionar o investigador e cadastrar o objeto periciado, ao clicar em add Host temos
uma pgina com outro formulrio aonde a enumerao equivale da seguinte forma:

34

1. Nome do Host: preenchido com o objeto periciado;

2. Discriminao;
3. Time Zone: hora da localidade;
4. Timeskew adjustment: Fuso horrio preenchido de forma numrica;
5. Alert Hash Database: opo para arquivos mos no caso de pesquisa por
palavra chave
6. Ignore Hash Database: arquivos bons, caso de pesquisa por palavra chave.
Ao trmino desta etapa vem adicionar a imagem que em seguida colocado o caminho
onde foi gravado a imagem gerada pelo DCFLDD, nesta tela consiste uma opo, bastante,
acessvel, o clculo de hash da imagem analisada. Com isto pode garantir mais confiabilidade
nesta etapa, pois a comparao do hash gerado na fase inicial com o desta fase
extremamente importante. Ao trmino o software mostra um detalhadamente o resumo da
imagem juntamente com o Hash MD5 calculado.
Na fase de anlise o Autopsy contm as opes file analise, pesquisa por palavra
chave.
Tipos de arquivos detalhe da imagem, Meta dados, Data Unit. A figura 10 mostra a anlise da
imagem extrada do objeto periciado no caso, os campos que se apresentam na cor vermelha
consistem em arquivos j no alocados ou seja apagados, juntamente com o nome do arquivo
vem a descrio dos metadados, criao, modificao e ltimo acesso, depois o nmero do
inode em aponta para o dado.

Figura 10 Pagina de analise Autopsy (fonte: prprio autor).

35

Com a descrio passo a passo de uma anlise utilizando a ferramenta Autopsy,

percebe-se que esta ferramenta se enquadra em todos os requisitos determinados no estudo de
caso, por ser fcil a utilizao e contm todas os conjuntos de ferramentas necessria para a
anlise como pedofilia, com a utilizao de tcnicas como: pesquisa por palavra-chave;
indcios de arquivos apagados e Mac time.
DFF (Digital Forensics Framework), em sua verso analisada 1.3.0 para Linux, o
ambiente de trabalho similar do Explorer do Windows. Para a utilizao desta ferramenta
pelo perito em computao forense, deve-se contm um conhecimento da mesma a partir de
manuais, pois a ferramenta no passa usabilidade no seu ambiente. Ainda descrevendo o DFF
em seu ambiente inicial, h opes de anlise local por unidade de disco, anlise por imagem,
mdulo root e Bookmaks que seriam os favoritos.

Figura 11DFF Tela inicial (fonte: prprio autor).

Agora est sendo feita a anlise da imagem gerada pela unidade SSD do objeto de
pesquisa, para isto desse-se utilizar a opo open evidence localizar o arquivo de mdia e
selecionar a opo logical file, abrindo em forma de rvore os diretrios em que constam os
arquivos da unidade selecionada.

36

Figura 12 Tela de dados DFF (fonte: prprio autor).

A figura 12 mostra detalhadamente de como se aloca os dados no ambiente DFF, em
que os as colunas com arquivos marcados na cor vermelho, so arquivos apagados e a coluna
da direita os atributos dos dados metadados do mesmo, na parte superior, aparece um boto
para pesquisa por palavra-chave.
Com esta breve descrio observa-se que o DFF comparado com Autopsy contm as
mesma funcionalidade expostas para a escolha da ferramenta, mais existe uma simples
diferena nas duas, o fator em que o Autopsy ser indutivo assim trazendo melhor eficincia na
utilizao da mesma, pois o passo a passo do Autopsy se sobressai. Assim o resultado da
tabela quadro de comparao complementar fica desta forma:

Requisito 1

Requisito 2

Requisito 3

Requisito 4

Requisito 5

AUTOPSY

SIM

SIM

SIM

SIM

SIM

DFF

SIM

SIM

SIM

SIM

NO

Comentado [I14]: Idem

Tabela 3 Resultado fase anliseFonte: Dados da pesquisa

Formatado: esquerda

37

4.4 APRESENTAO DOS DADOS

Esta fase se constitui em expor os dados em uma percia computacional de forma

descritiva, cada perito tem um modelo de apresentao, ou seja um laudo pericial igual no
muito provvel de um perito a outro (MELLO, 2009).
Pr o objetivo deste trabalho ser: apresentar ferramenta em que tenha maior eficincia
nas etapas de uma percia em computao forense. Esta fase se expem o laudo da percia,
aonde se tornam meramente um exemplo para fins acadmicos neste caso, j que o objetos
anlise no tem valor jurdico. Mesmo tendo em conta este fator, ser apresentado os
resultados adquirido pelo objeto periciado de forma resumida, j com as ferramentas
escolhidas nos estudos de caso.

CASO 01 ANALISE DE UM TABLET SUSPEITO POR PEDOFILIA

Perito: Marcelo Santana S. de Melo;

Testemunha 1: No houve testemunhas;

Data de incio da percia:17 de Agosto de 2014.

Data de apresentao dados: 28 de setembro de 2014

Tipo de anlise: a frio feita em laboratrio

Tipos de tcnicas: Pesquisa por palavra-chave, indcios de arquivos apagados e

metadados;

Ferramenta utilizadas: DCFLDD para gerao da imagem e Autopsy;

Mdia analisada :SSD 5.1 GB / 5117050880 Setores;

Hash

da

mdia:

(md5):d5cbc40e7d4c99900816982fe1fd2a7f.

(sha1):6690ef413f4d998089fbb1a150fb6450a6dc0676(sha512):fd61446c2cfd92e511f
6bdbf8cf9a4626189e95b3c2a744f3289e8fc211e57300cc36d107b46abe59b68e38a51b
0dbd4c7133d1f547e7843fbe7e106205e1a19.

Na mdia foi extrada uma imagem para a preservao dos dados, aonde coube ser
feita duas cpias integral das mesma, com o nomeado de ssd_interno.img em diretrios
diferente, com a uma das trs imagens, foi feita uma anlise em toda a mdia, utilizando as
seguintes tcnicas: pesquisa por palavra, indcios de arquivos apagados e o mactime em
quem consiste na anlise das datas modificao, acesso e criao dos arquivos suspeitos.

38

Resultado: foi analisado todo o dispositivo sendo encontrado 2.1 Giga bytes em fotos e
1.2 Giga byte em vdeos o restante do contedo consta de arquivo de sistema, dentre este
3.3 Giga Bytes foi evidenciado a quantidade de 5 arquivos suspeitos com o contedo de
fotos, aonde o mesmas foram apagadas, sendo feita a recuperao delas com a ferramenta
Autopsy, no obteve nenhum indcio de fator ilcitos no contedo, assim tendo a seguinte
resultado nesta mdia: no contm nenhuma prova que comprove indcios ilcitos no
mesmo.
Este laudo foi apenas um breve exemplo do contedo exposto na fase apresentao de
dados no caso de um laudo para fins criminais. O que consta no trabalho o formulrio de
cadeia e custdia disponvel no Anexo A, os dados do dispositivo analisado disponvel no
Apndice A e B.

39

CONCLUSO
Este captulo tem o como objetivo a apresentao dos resultados do estudo de caso
dentre as quatro fases abordadas no trabalho. Onde foi obtido o objetivo esperado, em que se
constam na obteno de ferramentas que traga eficincia nos processos de uma percia em
computao forense. A exposio dos dados dividida por fases como tem sido feito no
trabalho em si, sendo comentados os resultados de cada ferramenta analisada, deste da
escolhida e a no utilizada.

Na fase de obteno e coleta dos dados, chegou concluso que: a ferramenta

mais eficiente DCFLDD, por ser fcil a utilizao simples e objetiva em sua
linha de comando e principalmente por calcular o Hash de uma s vez no
processo de coleta. A outra ferramenta testada foi o DD, em que se teve
resultado no to satisfatrio s por no ter funes extras alm de gerao de
imagem em mdia SSD ou HDD, mesmo assim no se pode descartar a mesma
em um percia computacional, pois o DD faz de forma objetiva o bsico no que
se pede na sua funo coleta de dados sem a perca de informao.

A segunda fase preservao, foi exposto um formulrio j com os dados da

fase anterior, assim trazendo mais rapidez e consequentemente eficincia.

Terceira fase anlise, coube ao analisador buscando em referncias

bibliogrficas a escolha das melhores tcnicas, juntamente com uma
ferramenta que se enquadre em todos os requisitos anexando com as tcnicas
utilizadas, com isto chega-se a Autopsy ferramenta de fcil utilizao de que
pode ser feita anlise em Windows e Linux, e o melhor desta ferramenta est
em poder exportar o resultado da anlise em formato de texto, html ou
planilha, assim ajudando o perito na elaborao na apresentao dos dados que
consiste na ltimas etapa. O DFF ferramenta no escolhida nesta fase os pontos
falhos se devem s modo da praticidade, em seu ambiente de trabalho, assim
obrigado ao perito ter maior familiaridade com o DFF.

Com os resultados obtidos no trabalho chegamos ao conjunto de 3 ferramenta para

uma anlise em computao forense, envolvendo caso de pedofilia, DCFLDD para gerao de
imagem, Autopsy como ferramenta para anlise e um editor de texto para a elaborao do
laudo final.
As ferramentas juntamente com o sistema operacional escolhido no trabalho tem,
como objetivo suprir com as fase de uma percia computacional, tendo como base a anlise de

Comentado [I15]: Impessoalidade

40

dados. Assim podem ser utilizada no s em caso de pedofilia, mais tambm em outros
como: pirataria; violao de direitos autorais e sonegao fiscal. Estas ferramentas s tendem
a ser falhas em que se tratamos no processo da anlise contendo contedo de internet online,
aonde se consta o computador ainda ligado. A mesma adequada para anlise em laboratrio,
assim caberia o perito utilizao de ferramentas apropriadas para obter resultados
satisfatrios.
Partindo deste resultado tende a perceber o seguinte fato: primordial o uso da tcnica
certa para a percia em computao forense, e isto cabe ao perito escolher cada uma a ser
utilizada para ter eficincia em uma percia.

Comentado [I16]: Melhorar. Use termos menos fortes.

Alm das ferramentas apropriadas vem o imprescindvel que consiste: o perito ser
qualificado e especializado no caso em que foi encarregado, pois no adianta estar com as
melhores ferramentas para uma percia, se o perito no obtm conhecimento bastante para
utiliz-las de forma mais eficiente.

TRABALHOS FUTUROS.

Na fase de desenvolvimento deste trabalho coube ser feita obteno de ferramenta que
traga eficincia em anlise de dados nas mdias SDD, com isto coube as possibilidades de
trabalhos futuros e oportunidades para aperfeioar na soluo de novas propostas.

Anlise em mdias MTP (MEDIA TRANSFER PROTOCOL). Consiste em formatos

de mdia utilizados por aparelhos como smartphones e mquinas digitais, aonde a
gerao de uma imagem exige tcnicas apropriadas e ferramentas especficas, pois o
DD, DFLDD, no do suporte.

Utilizao de ferramentas anti - forense para caso como pedofilia e sonegao fiscal
com o sistema operacional KALI, CAINE e DEFT, tendo como objetivo apagar
registros e dados, para que no ato de uma percia no se ache rastros.

Estruture sua concluso de forma diferente, em pargrafos sem tpicos. Senti falta tambm
das limitaes percebidas no trabalho.

Comentado [I17]: Isto mesmo? No seria possui?

41

REFERNCIAS BIBLIOGRFICAS

BURNETT, Steve; PAINE, Stephen. Criptografia e segurana: o guia oficial RSA. Rio de
Janeiro: Campus, 2002. 367 p. Traduo: Edson Fumankiewicz.
CARRIER, Brian Manual sleuthkit Disponvel em: <Sistema operacional DEFT 8.2>
Acesso em13 set de 2014.
COSTA, Marcelo Antnio Sampaio Lemos. Computao Forense. 3. ed. Campinas, SP:
Millennium, 2011. 159 p.
ELEUTRIO, Pedro Monteiro da Silva. Desvendando a Computao Forense. So Paulo:
Novatec, 2010. 200 p.
FACHIN, Odlia Fundamentos de Metodologia 5. Ed. So Paulo: Saraiva, 2006.
FRATEPIETRO, Stefano; ROSSETTI, Alessandro; CHECCO, Paolo dal. DEFT 7
MANUAL:

Digital

Evidence

&

Forensic

Toolkit.

2012.

Disponvel

em:

<http://www.deftlinux.net/doc/EN-deft7.pdf>. Acesso em: 28 ago. 2014.

FREITAS, Andrey Rodrigues de. Pericia Forense aplica Informtica: ambiente
Microsoft. Rio de Janeiro: Brasport, 2006. 216 p.
FDTK-UbuntuBr Forense Digital ToolKit Disponvel em < http://fdtk.com.br/www/sobre>
acesso 17 set 2014.
HARBOUR, Nicholas; RUBIN, Paul. Manual do DCFLDD. 2006. Disponvel em: <Sistema
Operacional DEFT 8.2>. Acesso em: 29 set. 2014.
IBGE, 2011 Acesso Internet e posse de telefone mvel celular para uso pessoal
Disponvel em: <http://www.ibge.gov.br/home/estatistica/populacao/acessoainternet2011>
acesso 18 de ago 2014.
LEHR,

John.

Computer

Aided

Investigative

Environment.

Disponvel

em:

<http://www.caine-live.net>. Acesso em: 21 set. 2014.

MARTINELLI, Victor. Introduo computao forense: Teoria e viso pratica. Rio de
Janeiro: Bookmaker, 2013. 109 p.
MACDO, Diego. Computao Forense com Software Livre. 2012. Disponvel em:
<http://www.diegomacedo.com.br/computacao-forense-com-software-livre/>. Acesso em: 15
ago. 2014.
MACHADO, Francis B. Arquitetura de sistemas operacionais. 4. ed, Rio de Janeiro: LTC,
2007. 308 p.
MELO, Sandro. Computao forense com software livre: Conceitos, Tcnicas, Ferramentas
e Estudos de Casos. So Paulo: Atlas, 2009. 168 p.

42

MICHELONI, Rino; MARELLI, Alessia; ESHGHI, Kam. . Inside Solid State Drives (SSDs):
Integrated divice tecnology Enterprise. Agrate Brianza, Italy: Springer, 2012. 399 p.
MOTA FILHO, Joo Eriberto. Percia forense computacional. 2014. Disponvel em:
<http://eriberto.pro.br/wiki/index.php?title=Percia_forense_computacional>. Acesso em: 8
ago. 2014.
NEMETH, Evi Manual Completo do Linux.

So Paulo: Pearson Prentice Hall, 2007.

Traduo Edson Furmankiewicz.

NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro: Brasport, 2007. 158 p.
OLIVEIRA, Rmulo Silva de; CARISSIMI, Alexandre da Silva; TOSCANI, Simo Sirineo.
Sistemas Operacionais. 4. ed. Porto Alegre: Bookman, 2010. 374 p. (11).
ROSA, Fabrcio. Crimes de Informtica. 2. ed. Frana, SP: Bookseller, 2005. 142 p.
SEAGATE, A demanda por dispositivos de armazenamento em um mundo de dados
conectado Disponvel em:<http://www.seagate.com/br/pt/tech-insights/demand-for-storagedevices-in-connected-world-master-ti/> acesso 20 de ago de 2014.
TANENBAUM, Andrew S. Sistemas operacionais modernos. 2. ed. So Paulo: Prentice
Hall, 2003. 672 p. Traduo: Ronaldo A. L. Gonalves.
VARGAS, Rafael; QUEIROZ, Claudemir. Investigao e pericia Forense Computacional:
certificaes, leis processuais e estudo de caso. Rio de Janeiro: Brasport, 2010. 156 p.

43

APNDICE
A EQUIPAMENTO ULTILIZADO NO PROCESSO
O equipamento utilizado foi um Netbook da marcada Asus, com as configuraes de
fbrica modifica para o experimento.

Tipo de computador porttil pessoal.

Fabricante Asus.
Sistema Operacional DEFT.
Processador Intel Aton N550 Dual Core.
Memria RAM 2GB DD3 10600.
Disco Rgido Toshiba MK7559GSXF = 750GB (LBA 1465149168 SETORES)
LINUX.
Monitor LED 10.1 Polegadas.

Foi utilizado um cabo USB 2.0 de marca Samsung para a conexo do dispositivo
periciado e o Netbook.

B EQUIPAMENTO ANALISADO.
O equipamento recolhido para anlise se encontra com as seguintes caractersticas:

Tipo de dispositivo: Tablet porttil.

Fabricante: CCE.
Sistema operacional: Android verso 4.0.
Processador: single-core Cortex A8 de 1,2 GHz
Memria RAM: 1GB
Armazenamento interno: SSD 5.1GB.

44

ANEXO
A FORMULARIO DE CADEIA E CUSTODIA
O formulrio usado para a apresentao dos dispositivos analisado foi baseado com o
modelo exposto por (COSTA,2011).

FOMULRIO DE CADEIA E CUSTODIA

CASO NUMERO.:

NUMERO DE PAGINAS:

DETALHE DE EQUIPAMENTO E MDIA

Numero do item:

Descrio

Fabricante

Modelo

numero de srie

IMAGEM DOS DADOS

Data

Hora

Nome da imagem

Criado por
partes

Metodo Usado
Hash

Driver

CADEIA E CUSTDIA
DESTINO

DATA/HO RA SAIDA

Data:
Hora:
Data:
Hora:
Data:
Hora:

DATA/HO RA C HEGADA

MO TIVO

Data:
Hora:
Data:
Hora:
Data:
Hora:

Assinatura perito

Assinatura Tetesmunha

Ass inatura Tetesmunha

Assinatura Tetesmunha

Formulrio cadeia e custodia 1 (fonte: COSTA, 2013).