ISSN 2316-2872

T.I.S. So Carlos, v. 3, n. 1, p. 11-23, jan-abr 2014

Tecnologias, Infraestrutura e Software

Roteiro Investigativo em Percia Forense

Computacional de Redes: Estudo de Caso
Celso Carlos Navarro Modesto Junior, Jander Moreira
Resumo: Percia Forense Computacional a cincia que estuda as caractersticas intrnsecas ao processamento de dados realizado por
computador, a fim de descobrir informaes que evidenciem aes fraudulentas e crimes virtuais. Os resultados, obtidos atravs de tcnicas e
ferramentas de anlise em sistemas de informaes envolvidos, podem ser aplicados em processos legais. A percia forense computacional de
redes uma extenso desta cincia e tem como premissas capturar, gravar e analisar eventos ocorridos em uma rede de computadores,
servindo como fonte de prova em investigaes e auditorias. Este trabalho apresenta a conceituao dos principais termos, tcnicas e tipos de
ferramentas utilizados em percias forenses de redes, bem como prope um roteiro de investigao que permita orientar, de forma modular, a
realizao de percias em redes. Por fim, aplica-se ao roteiro proposto um estudo de caso que exemplifica sua utilizao prtica.

Palavras-Chave: segurana da informao, percia forense computacional, percia de redes, ataques em redes, intruso.

Investigative route in network computer forensics: Case study

Abstract: Computer Forensics is the science that studies the intrinsic characteristics of data processing performed by computer in order to
discover information evidencing fraudulent actions and virtual crimes. The results, obtained through analysis techniques and tools in involved
information systems, can be applied in legal proceedings. The network forensics is an extension of this science and its assumptions capture,
record and analyze events in a computer network, serving as a source ofevidence in investigations and auditing. This paper presents the main
concepts, techniques and types oftools used in network forensics, and it offers a route ofinvestigation that allows guiding, in a modular way,
the fulfillment ofdigital forensics. Finally, a case study illustrating its practical use is applied to the proposed script.

Keywords: information security, computer forensics, network forensics, network attacks, intrusion.

I. INTRODUO car as ameaas de cunho interno ou externo ao permetro da

Dada a importncia das comunicaes em rede para a
sociedade, bem como de toda a infraestrutura que as
suportam, a segurana em redes tornou-se um grande ponto
de ateno. Diversas tcnicas tm sido desenvolvidas e
melhoradas, visando identificar a ocorrncia de atividades
maliciosas e possveis ataques em uma rede. Geralmente,
aps a ocorrncia de um evento de segurana qualquer, os
analistas buscam determinar o que de fato ocorreu, mediante
anlise de registros (logs), dados de trfego de rede e
estatsticas do sistema, entre outras fontes. O intuito
evidenciar e corrigir as possveis falhas de segurana que
proporcionaram s ameaas a efetivao das aes nocivas
rede (ERBACHER; CHRISTIANSEN; SUNDBERG, 2006).
Segundo Erbacher, Christiansen e Sundberg (2006), a per-
cia computacional forense aplicada a redes tem como foco
examinar eventuais dados, informaes e vestgios, visando
formar uma trilha de auditoria, capaz de elucidar e averiguar
possveis atividades criminosas e/ou fraudulentas ligadas ao
incidente. Ao utilizar as devidas fontes de dados, o perito tem
a possibilidade de investigar e apontar as falhas e vulnerabili-
dades que comprometem determinada rede, alm de identifi-
mesma (ERBACHER; CHRISTIANSEN; SUNDBERG,
2006). O nvel de detalhamento aplicado pode determinar em
que nvel ocorreu tais danos e quais foram os sistemas
atingidos.
Erbacher, Christiansen e Sundberg (2006) apontam para al-
guns questionamentos que devem ser respondidos pelo perito
durante a anlise de um incidente. Pode-se afirmar que estas
so perguntas-chave, que permitem estruturar o contexto de
atuao da percia. So elas:
O que aconteceu?
Por que aconteceu?
Quando aconteceu?
Como aconteceu?
Estas questes so tipicamente relacionadas percia
forense computacional, de forma geral, ou seja, aplicam-se
aos diversos ramos deste campo de estudo. Ao adapt-las
realidade da comunicao em rede, bem como aos conceitos
de segurana envolvidos, temos a derivao de novos
questionamentos (ERBACHER; CHRISTIANSEN;

Departamento de Computao - Universidade Federal de So Carlos (UFSCar)

Caixa Postal 676 13.565-905 So Carlos SP Brasil
Autor para correspondncia: celso@celso.net.br, jander@ufscar.br

SUNDBERG, 2006), intrnsecos a este contexto, a saber:
Quem o autor do ataque?
Qual a extenso dos danos?
Qual a lgica de ao do ataque?
Qual o nvel de acesso obtido pelo atacante?
H plano de gerenciamento de riscos?
H plano de continuidade do negcio?
A correta identificao do atacante nem sempre possvel,
uma vez que pode ser limitada por eventuais falsificaes
(spoofing, por exemplo). Ainda assim, a investigao em
busca da autoria e fonte do incidente auxilia a identificao de
falhas, as quais podem ser reutilizadas em novos ataques
(ERBACHER; CHRISTIANSEN; SUNDBERG, 2006).
Assim como importante identificar qual o foco do ataque,
o que permite determinar as aes de contingncia a serem
executadas, com intuito de recuperar os sistemas e dar
continuidade s atividades do negcio.
So aes vlidas, ainda, a identificao e qualificao dos A) Percia Forense Computacional
dados comprometidos, em nveis de sensibilidade, apurao
de responsabilidades iniciais e verificao de possveis
medidas (administrativas e/ou judiciais) cabveis, que podem
ser tomadas a partir desta anlise inicial.
Em suma, cabe ao analista determinar as aes e reaes
envolvidas neste processo, em nvel de detalhamento tal que
seja possvel evitar ocorrncias futuras. Todo o trabalho reali-
zado deve possibilitar, aps o encerramento da percia, que as
devidas providncias administrativas e legais sejam tomadas
(ERBACHER; CHRISTIANSEN; SUNDBERG, 2006).
O processo de anlise objetiva, ainda, a mitigao de even-
tuais riscos e vulnerabilidades. Sem a devida ateno, eventu-
ais falhas remanescentes podem continuar comprometendo o
sistema, bem como os dados e informaes. Caso isto ocorra,
novos incidentes (ataques, escutas de dados, difuso de cdi-
gos maliciosos e negao de servios, entre outros) podem
acometer toda a rede (ERBACHER; CHRISTIANSEN;
SUNDBERG, 2006).
Qualquer falha no rastreamento dos mecanismos utilizados
pelo atacante pode resultar em novos ataques, provavelmente
melhor executados. Assim, os detalhes que envolvem estas
aes precisam ser identificados, a fim de proteger a
propriedade intelectual das empresas, alm de permitir a
eventual tomada de medidas cunho jurdico e/ou
administrativo, corretamente fundamentadas (ERBACHER;
CHRISTIANSEN; SUNDBERG, 2006). A rastreabilidade das
ocorrncias permite, ainda, foco em aes de contingncia,
execuo de planos de continuidade e retorno normalidade
dos sistemas atingidos.
Todas as caractersticas citadas, envolvendo a criticidade do
processo de anlise, demonstram a necessidade de melhorias
dos recursos, mtodos e tcnicas utilizados na investigao
dos fatos envolvidos, visto o crescente volume de ataques em
redes e recursos de comunicao, cada vez mais sofisticados.
A percia forense aplicada a redes busca justamente alinhar as
questes legais e administrativas capacidade do analista de
segurana em buscar vestgios de incidentes, atravs de
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
tcnicas, mtodos e anlises intrnsecas ao processo e com
nveis de preciso cada vez maiores.
Este trabalho trata da conceituao bsica de percia forense
computacional aplicada a redes de computadores, tais como
sua definio, fatores de motivao, principais tipos, processos
e fases periciais. Ainda, so apresentadas as ferramentas e
tcnicas mais utilizadas.
Aps o desenvolvimento do referencial terico, prope-se
um roteiro de investigao, baseado em modelo genrico
aplicado percia forense computacional. Com intuito de
validar este roteiro, realiza-se estudo de caso, baseado em um
desafio elaborado pelo grupo Forensic Contest (LMG SECU-
RITY, 2010), apresentando-se os principais resultados.
Por fim, so propostas linhas de pesquisa para futuros tra-
balhos envolvendo o tema abordado neste artigo e eventuais
melhorias do roteiro investigativo.
II. REFERENCIAL TERICO
Vacca (2005) define percia forense computacional como a
coleta, preservao, anlise e apresentao de evidncias
relacionadas a ambientes computacionais. Estas evidncias
podem ser teis em investigaes de crimes cibernticos ou
mesmo no relacionados diretamente ao campo da
computao. Podem, ainda, servir como instrumento de
anlise de vulnerabilidades em sistemas, bem como verificar o
nvel de utilizao dos recursos computacionais pelos
usurios. Em outras palavras, o processo de anlise metdica
de dados, equipamentos e mdias, em busca de evidncias que
possam melhor detalhar atividades realizadas em determinado
meio computacional.
Segundo Ferreira (1999), o termo percia significa sabe-
doria, prtica, experincia, habilidade em alguma cincia ou
arte; segundo o mesmo autor, o termo forense refere-se ao
que vem do foro judicial; dos tribunais ou a eles relativo.
Sob essa perspectiva, pode-se afirmar que percia forense
refere-se utilizao de conhecimentos e habilidades em
determinada cincia aplicados em carter judicial.
Com base nestas definies, pode-se caracterizar percia
computacional forense como um ramo que combina elementos
jurdicos e da cincia da computao. Esta combinao visa
coletar e analisar dados em sistemas, redes, bancos de dados e
dispositivos de armazenamento, e possibilita a apresentao de
evidncias em ambientes jurdicos, sindicncias e processos de
elucidao de prticas lesivas ao ambiente computacional, de
forma geral.
B) Processo Forense
Kent et al. (2006) sugere que o processo pericial seja reali-
zado baseando-se em quatro fases: coleta, extrao, anlise e
documentao. Este processo bsico aplica-se percia
forense computacional de maneira geral, assim cabe sua
utilizao em percia aplicada a redes.
A Figura 1 mostra o ciclo de vida deste processo. A seguir,
uma descrio sucinta das fases citadas.
12
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
Figura 1. Ciclo de vida do processo forense Adaptado de
(KENT et al., 2006)
Coleta
Diz respeito identificao e coleta de dados que podem,
potencialmente, conter evidncias digitais, seguindo procedi-
mentos que visem preservar a integridade dos dados e disposi-
tivos. Este passo deve ocorrer imediatamente aps o conheci-
mento do incidente, visando reduzir eventuais perdas de in-
formao. Esta fase subdivide-se em outras duas: identifica-
o de possveis fontes de dados e aquisio ou coleta dos
dados (KENT et al., 2006).
Na primeira, o analista deve ser capaz de identificar e reco-
lher todas as possveis fontes de dados, tais como
computadores, laptops, servidores, dispositivos de
armazenamento e celulares entre outros. Com os avanos da
tecnologia, novas fontes de dados surgem diariamente, o que
demanda do analista um ndice elevado de atualizao
tecnolgica (KENT et al., 2006).
importante, tambm, verificar a presena de informa-es
teis localizadas em outros locais, tais como provedores de
acesso, a fim de detectar, por exemplo, possveis conexes de
rede suspeitas.
A aquisio ou coleta de dados, por sua vez, subdivide-se
em trs passos: desenvolvimento de plano para aquisio de
dados, aquisio propriamente dita e verificao da integrida-
de dos dados. O desenvolvimento do plano de aquisio visa
elaborao do mesmo tendo em vista a combinao dos
seguintes fatores: valor da fonte, volatilidade e quantidade de
esforo requerido.
A aquisio de dados pode ser realizada localmente, agindo
diretamente sobre os sistemas que esto sendo analisados, ou
remotamente. Entretanto, ter a capacidade de realizar este
trabalho localmente permite maior controle do perito sobre as
operaes.
A verificao de integridade dos dados pode ser realizada
utilizando-se funes matemticas de comparao de resumos
(digests) da fonte de evidncia em relao aos dados
coletados, determinando a correspondncia dos dados.
Extrao
A segunda fase envolve a extrao de contedo da
informao de interesse particular, utilizando-se mtodos
forenses, visando preservar a integridade do material. Isto
significa que a extrao de dados e sua posterior anlise so
realizadas na cpia forense, de modo a manter inalteradas as
evidncias digitais presentes na fonte (KENT et al., 2006).
Anlise
A terceira fase refere-se anlise dos dados extrados, utili-
zando-se ferramentas e metodologias apropriadas. O intuito
desta fase , com base na anlise realizada, determinar ade-
quadamente as razes do incidente ou a impossibilidade de
quaisquer concluses face aos dados obtidos (KENT et al.,
2006).
Apresentao
A tarefa do perito forense, nesta fase, elaborar relatrio
tcnico, com a finalidade de documentar e apresentar os
resultados obtidos na fase anterior. Em particular, a atividade
de documentao e comunicao foca sobre os seguintes
aspectos das fases anteriores: mtodo de coleta/aquisio,
anlise dos fatos e o valor tcnico do contedo analisado
(KENT et al., 2006).
C) Tipos de Percia Forense Computacional
A anlise realizada em percia forense computacional divi-
de-se em dois tipos ou metodologias, que esto diretamente
ligadas volatilidade dos dados periciais (LILLARD et al.,
2010). A seguir, temos a definio bsica destas metodologias.
Anlise Post-Mortem
Anlise realizada sobre dados no volteis, localizados nas
diferentes fontes. Esta anlise prev a cpia dos dados em
mdia distinta, preservando-se as evidncias originais, como
forma de manter a integridade das provas, bem como permitir
a eventual repetio da anlise (LILLARD et al., 2010)
(MACEDO, 2010).
Anlise em Tempo Real (Live)
Este tipo de anlise consiste na coleta e anlise de dados
com alto ndice de volatilidade, tais que o eventual desliga-
mento da fonte de dados ocasione a perda destas informaes.
Como exemplos, pode-se citar a captura de estado da
memria, lista de processos ativos, usurios conectados e
conexes de rede, entre outros (LILLARD et al., 2010)
(MACEDO, 2010).
D) Percia Forense Computacional Aplicada a Redes
Kim, Kim e Noh (2004, p. 176) definem percia computa-
cional forense aplicada a redes como sendo a ao de captu-
rar, gravar e analisar trilhas de auditoria de redes, visando
descobrir a fonte de brechas de segurana e outras
informaes relacionadas a problemas de segurana de redes.
Percia forense de redes assim definida por Palmer (2001,
p.17): utilizao de tcnicas cientificamente comprovadas
para coletar, unir, identificar, examinar, correlacionar, analisar
e evidenciar provas digitais de mltiplas fontes de processa-
mento e transmisso, com a finalidade de revelar fatos rela-
cionados inteno do atacante ou medio do sucesso
obtido em atividades no autorizadas, as quais tenham como
objetivo interromper, corromper ou comprometer componen-
tes do sistema, bem como fornecer informaes que contribu-
am para a resposta ou recuperao destas atividades.
O conceito bsico de percia forense em redes de computa-
dores trabalhar com dados encontrados em uma conexo de
13 TI.S. 2014; 3 (1): 11-23

rede, analisando entradas e sadas de trfego entre hosts e
redes distintas. Mediante utilizao de equipamentos de
proteo, tais como firewalls e sistemas de deteco de
intruso (IDS), bem como dispositivos de rede, como
roteadores, so gerados registros de dados trafegados (logs),
que so utilizados em anlises e procedimentos de percia
forense em redes.
Os objetivos destes procedimentos periciais so encontrar
fontes de eventuais ataques e indcios de atos ilcitos na rede
de dados, em carter interno ou externo a esta, possibilitando
envidar os devidos esforos necessrios em mbito jurdico
e/ou administrativo. Isto validado atravs da definio
disponvel em Searchsecurity (2012), ao afirmar que a percia
forense em redes consiste na captura, gravao e anlise de
eventos de rede, com objetivo de descobrir a fonte de ataques
de segurana.
Assim, pode-se afirmar que a percia forense em redes de
computadores envolve o monitoramento de trfego da rede e
determinao da existncia de qualquer anomalia neste
trfego que indique a ocorrncia de um ataque. Caso as
suspeitas se confirmem, ento deve ser determinada, em
seguida, a natureza do ataque. Ento, o trfego capturado,
preservado, analisado e uma resposta ao incidente deve ser
obtida da maneira mais eficiente possvel, dadas as condies.
O nmero cada vez maior de incidentes de segurana,
assim como o incremento no nvel de sofisticao dos ataques
e exploits, so as principais motivaes para a melhoria e o
estudo continuado de tcnicas de percia forense em redes de
computadores. Somado a isso, o maior nmero de transaes
comerciais realizadas em rede requer condies de segurana
favorveis por parte de organizaes e clientes, bem como o
atendimento a rgos reguladores, em determinados ramos de
atuao, no que tange o cumprimento de normas que
garantam um nvel mnimo de segurana. Assim, a percia
forense em redes visa atender as necessidades de todos os
envolvidos.
III. TCNICAS E F ERRAMENTAS
Dando continuidade conceituao de percia forense em
redes, nesta seo so acentuadas algumas caractersticas
tcnicas, que indicam como so classificados os sistemas
periciais e como estas tcnicas influenciam na realizao da
percia. O conhecimento destes sistemas fundamental para
decidir sobre quais ferramentas e mtodos de anlise sero
utilizados durante a percia. Em seguida, conceituam-se as
ferramentas de anlise forense de redes (NFAT), que so utili-
zadas na aplicao das tcnicas indicadas nesta seo e
constituem fundamentais instrumentos de auxlio ao perito e
sua equipe.
A) Sistemas de Percia Forense de Redes
Garfinkel (2012) classifica os sistemas de percia de redes
em dois tipos: catch-it-as-you-can e stop-look-and-listen.
Os sistemas Catch-It-As-You-Can so aqueles onde todos
os pacotes passam por um ponto de trfego comum, sendo
capturados e armazenados. Sua anlise realizada em
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
sequncia, em modo de lote. Esta forma de tratamento requer
maior espao de armazenamento. Estes sistemas so baseados
em anlises post-mortem (GARFINKEL, 2012).
Os sistemas Stop-Look-and-Listen so sistemas onde os pa-
cotes sofrem uma espcie de triagem ou anlise prvia, e
somente algumas informaes so salvas para anlise futura.
Este mtodo requer maior poder de processamento para
alcanar melhores resultados, vez que sua anlise prvia
ocorre em tempo real, conforme prev o tipo de anlise em
tempo real (live), citado anteriormente (GARFINKEL, 2012).
B) Ferramentas de Anlise Forense de Redes (NFAT)
As ferramentas de anlise forense de redes (Network
Forensic Analysis Tools - NFAT) permitem o monitoramento
de redes, visando reunir informaes sobre trfego, auxiliar na
investigao e colaborar para a elaborao de respostas aos
incidentes de segurana, de forma adequada. Auxiliam, ainda,
na anlise de intruses e m utilizao de recursos de rede,
preveno a possveis ataques, avaliao de riscos, avaliao
de desempenho da rede e proteo de propriedade intelectual
(SIRA, 2003).
Segundo Singh (2009), trs so as funes bsicas que as
NFAT devem desempenhar: captura de trfego, anlise do
trfego capturado, conforme necessidades do perito, e intera-
o apropriada entre o analista e a ferramenta.
Estas ferramentas, em conjunto com firewalls e IDS, viabi-
lizam a preservao de registros de trfego, o que determi-
nante para o levantamento de evidncias, bem como para
caracterizar eventuais repeties e similaridades em movi-
mentos de ataque (COREY et al., 2002). Facilitam, assim, a
organizao das informaes capturadas e a descoberta de
padres de trfego na rede.
Algumas destas solues so agrupadas e disponibilizadas
em distribuies Linux, especialmente construdas para fins
de percia forense. So exemplos desse tipo de distribuio
Caine, INSERT e Protech (LJUBUNCIC, 2012) (MALWARE
HELP.ORG, 2012).
Existem, atualmente, vrias ferramentas com estes
propsitos, sejam elas solues livres ou comerciais. As
ferramentas Kismet (KERSHAW, 2012), tcpdump (TCP-
DUMP/LIBPCAP, 2012) e Xplico (COSTA; FRANCESCHI,
2012) esto disponveis para plataformas Unix-like, enquanto
a ferramenta NetworkMiner (NETRESEC, 2012) est
disponvel somente para a plataforma Windows. Algumas
delas, como Netflow (FORENSICS WIKI, 2012),
desenvolvida para o ambiente Cisco, so especficas de
plataformas proprietrias e com propsitos estritamente
definidos. Outras, tais como NetDetector (NIKSUN, 2012),
nmap (LYON, 2012), Snort (SNORT BRASIL, 2012) e
Wireshark (COMBS et al., 2012), possuem verses para
diversas plataformas, embora sejam desenvolvidas por
comunidades ligadas filosofia open-source, exceo da
primeira, que tem foco e desenvolvimento comerciais.
A Tabela 1 apresenta, de maneira sucinta, as solues cita-
das, com destaque para suas principais suas principais funcio-
nalidades, alm das plataformas e tipos de licena disponveis
para cada uma delas.
14
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso

Tabela 1. Exemplos de ferramentas utilizadas em percia forense de redes.

Alm das solues citadas, os sistemas operacionais tam- dentro de situaes especficas, permitindo que incrementos
bm possuem, em suas instalaes padres, aplicaes em sejam realizados em face s necessidades intrnsecas ao
linha de comando, as quais podem ser utilizadas como ferra- contexto de investigao.
mentas de apoio s NFAT. So exemplos destes utilitrios: O modelo de investigao genrico proposto por Yusoff,
traceroute, netstat, ping, whois, nslookup, wget, arp, iperf, lft, Ismail e Hassan (2011) contm as fases descritas a seguir,
tcpreplay, entre muitos outros (FORENSICWIKI, 2012). conforme ilustra a Figura 2, que ainda mostra o
relacionamento entre as fases. A Figura 3 mostra, de maneira
IV. PROPOSTA DE ROTEIRO DE INVESTIGAO PERICIAL EM sucinta, as fases do roteiro de investigao pericial em redes
REDES (INTRUSO) proposto neste trabalho, as quais so mais bem definidas
Conforme Yusoff, Ismail e Hassan (2011), muitas so as adiante.
propostas de modelos investigativos utilizados em percia
forense de redes, o que pode ocasionar certa confuso a
iniciantes nesta rea, quanto sua utilizao. Assim, estes
autores propem um modelo genrico de investigao, tendo
como referencial de pesquisa as principais propostas
desenvolvidas at o momento, a partir da realizao de
estudos comparativos entre estas.
A proposta que motiva este trabalho, baseando-se na
pesquisa citada no pargrafo anterior, formular um roteiro
de base para a realizao de anlises periciais em redes,
especificamente de atividades de intruso ou invaso. Sendo
assim, um dos objetivos a descrio de procedimentos
necessrios para realizao de uma investigao especfica,
assim formalizando os requisitos mnimos para alcanar
resultados satisfatrios. Em paralelo, focar a utilizao, em
cada passo do roteiro proposto, de ferramentas baseadas em
software livre e ambiente Linux.
Entretanto, importante enfatizar que, por tratar-se de
proposta de construo de um roteiro bsico, este no
extingue a possibilidade de alteraes no fluxo, a critrio do
analista. Visa, sim, oferecer uma linha mestra de atuao Figura 2. Modelo Genrico de Investigao Forense
Adaptado de (YUSOFF; ISMAIL; HASSAN, 2011)

15 TI.S. 2014; 3 (1): 11-23


Figura 3. Proposta de Roteiro de Investigao Pericial em Redes - Etapas
Pr-processamento
Visa apreciar as demandas e necessidades da investigao a
ser iniciada. Neste ponto, so obtidas as aprovaes
administrativas necessrias para o incio dos trabalhos, bem
como so realizados os primeiros passos na preparao da
infraestrutura e do ambiente de investigao. Pode ser
entendida, em aspectos gerenciais, como o ponto de abertura
do processo.
Aquisio e preservao
Nesta fase, as atividades de manipulao dos dados brutos,
especificamente sua identificao, aquisio, coleta,
transporte, armazenamento e preservao, so efetivamente
realizados. Neste ponto, ocorre o que se pode denominar
triagem do material coletado, envidando esforos para que
os dados estritamente relevantes sejam capturados,
armazenados e disponibilizados etapa de anlise do
processo.
Anlise
Embora todo o processo investigativo seja relevante, esta
fase pode ser considerada como o corao do modelo pericial
proposto. Neste ponto, os dados coletados so apreciados
mediante utilizao de mtodos de anlise os mais diversos,
tendo em vista identificar e averiguar os principais pontos de
interesse na investigao, tais como o alvo e a fonte do
ataque, quais mtodos foram utilizados, autoria da fraude,
entre outros aspectos fundamentais.
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
Apresentao
Nesta fase, todos os resultados obtidos pela anlise de
dados so devidamente documentados e apresentados s
autoridades competentes. A principal preocupao, neste
momento, o de apresentar adequadamente os dados obtidos,
de modo a tornar estes resultados os mais claros possveis; por
consequncia deste trabalho, tem-se a possibilidade de provar
a ocorrncia ou no dos atos cujos fatos foram inicialmente
levantados.
Ps-Processamento
A ltima fase compreende a finalizao dos trabalhos,
mediante reviso de processos empregados, visando avaliar e
corrigir eventuais falhas, evitando que tais ocorram em
investigaes futuras. Ainda, importante que todo material
de anlise, principalmente aquele de maior relevncia do
processo, seja devolvido aos responsveis, zelando por seu
armazenamento em local seguro.
Em primeira anlise, verifica-se que o modelo apresentado
pelos pesquisadores guarda similaridades com o processo
forense genrico proposto por Kent et al. (2006). Como
principais diferenciais em relao quele, tm-se a existncia
de fases de pr e ps-processamento e a condensao das
etapas de Coleta e Extrao em apenas um passo (Aquisio e
Preservao).
Roteiro de Investigao de Intruso em Redes
O roteiro definido nesta seo aplica os conceitos de
Yusoff, Ismail e Hassan (2011), adaptando-os para o contexto
16
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
de investigao de intruso de redes. Na descrio de cada
etapa do roteiro, h a indicao das principais ferramentas
utilizadas. Faz-se importante ressaltar que possvel utilizar a
mesmo recurso em mais de uma etapa, com finalidades
distintas. Tambm essencial esclarecer que a relao de
aplicaes indicada no possui carter definitivo, sendo que
quaisquer itens podem ser alterados, desde que por ferramenta
correlata. Assim, a proposta de roteiro deve ser observada sob
o ponto de vista de um guia, estritamente como forma de
orientao. As etapas do roteiro so descritas a seguir.
Deteco de Intruso Incio dos Trabalhos
Assim como descrito no modelo apresentado por Yusoff,
Ismail e Hassan (2011), na etapa de pr-processamento, a
primeira etapa deste roteiro visa iniciar os trabalhos de
investigao. A solicitao de investigao pode ocorrer a
partir, por exemplo, da demanda de usurio ou rea de uma
empresa, ou da suspeita, por parte do administrador de rede de
que a mesma est sendo invadida. Pode, ainda, ocorrer fatos
que determinem uma eventual invaso, tal como a alterao
indevida da pgina institucional da empresa.
Uma vez que a investigao tenha sido solicitada,
importante que esta, antes de se iniciar, seja avalizada pelos
nveis hierrquicos mais elevados, para que tenha validade e
reconhecimento administrativos.
Nesta fase, o perito deve realizar tambm a preparao do
ambiente a ser analisado. Para tanto, essencial mapear as
informaes iniciais obtidas junto aos responsveis e planejar
os objetivos da percia e a infraestrutura necessria para a
mesma, entre outras questes.
Evidenciao - Entradas
Seguindo com o andamento dos trabalhos, esta etapa visa
obteno e manipulao de evidncias junto s principais
fontes de dados. So atividades intrnsecas a esta etapa:
Aquisio de dados juntos s principais fontes, tais
co-mo: trfego de pacotes na rede, arquivos de registros (logs)
de equipamentos e servios de rede, firewalls e sistemas de
deteco de intruso (IDS), registros de a-cesso de usurios,
registros de auditoria das aplicaes e computadores
eventualmente afetados, entre outros. O Quadro 1 apresenta as
principais ferramentas utilizadas na aquisio de dados, de
acordo com sua principal fun-cionalidade dentro desta
modalidade (FORENSICS WI-KI, 2012).
Quadro 1. Ferramentas para aquisio de dados
Cpia bit-a-bit dos dados obtidos, de modo a garantir
a integridade e segurana dos dados brutos. So utilizadas,
nesta atividade, tcnicas tais como cpia da imagem dos
discos, alm de clculo, comparao e validao da
integridade mediante algoritmos de hash (MD5, SHA). As
principais ferramentas utilizadas para estas atividades so
indicadas no Quadro 2 (FORENSICS WIKI, 2012).
Quadro 2. Ferramentas sugeridas para cpia de dados
Transferncia segura dos dados, caso a anlise seja
realizada em equipamento distinto. A preocupao com a
segurana nesta etapa abrange aspectos de manuteno da
privacidade, confiabilidade e integridade do material.
Tcnicas como a utilizao de redes virtuais privadas (VPN),
protocolos de segurana e criptografia so teis nesse aspecto.
No Quadro 3 so indicadas as principais ferramentas
utilizadas, com intuito de garantir as principais caractersticas
de segurana da informao, necessrias para a transferncia
segura dos dados obtidos (FORENSICS WIKI).
Quadro 3. Ferramentas para transferncia de dados
Preservao e armazenamento dos dados brutos, em
lo-cal e mdia seguros, tendo como objetivo a manuteno da
disponibilidade das evidncias originais. Eventuais medidas
judiciais e administrativas, que sejam necess-rias em
consequncia aos resultados da investigao, podem exigir a
utilizao deste material. Ainda, durante a etapa de anlise,
novas cpias podem ser necessrias. Uma soluo livre que
atende s demandas citadas o aplicativo Amanda Network
Backup (AMANDA, 2012)
Embora a etapa descrita a seguir (Averiguao) seja
considerada como ponto principal deste roteiro de
investigao, a execuo eficaz da fase de Evidenciao
imprescindvel para o sucesso da mesma. Qualquer falha na
execuo dos passos citados pode ser determinante para o
fracasso de toda a percia.
Averiguao Processamento de Dados
A investigao, propriamente dita, das causas e demais
caractersticas da intruso realizada nesta etapa. Uma vez
dispondo o analista de um conjunto satisfatrio de evidncias,
parte-se para o processamento destas, desenvolvendo-se as
seguintes atividades:
Anlise dos dados obtidos, utilizando-se de mtodos
e tcnicas tais como anlise de pacotes, minerao, recu-
perao de dados, descriptografia, engenharia reversa, anlise
de protocolos e descoberta de dados ocultos, en-tre outros. O
Quadro 4 concatena as principais ferramen-tas utilizadas em
anlise de dados, de acordo com sua principal funcionalidade
17 TI.S. 2014; 3 (1): 11-23

(FORENSICS WIKI, 2012).
Quadro 4. Ferramentas para anlise de dados
Investigao de autoria e fonte dos ataques, podendo
utilizar tcnicas como descoberta de localizao atravs do
endereo lgico (IP) do atacante, pesquisa em rede, percia
forense computacional remota, entre outras. O Quadro 5 traz
um resumo das principais ferramentas disponveis para
investigao de autoria e fonte, de acordo com suas principais
funcionalidades e aplicaes (FORENSICS WIKI, 2012).
Quadro 5. Utilitrios para investigao de autoria e fonte
As atividades incorridas nesta fase permitem que os
principais aspectos que envolvem a intruso sejam
amplamente detalhados. Dessa maneira, deve possibilitar a
reconstruo do ataque e sua anlise temporal, assim como
determinar a fonte e, se possvel, a autoria do mesmo.
Apresentao de Resultados - Sada
Efetuada a averiguao dos dados, cabe ao perito relatar e
apresentar suas concluses aos responsveis. Este processo
envolve a elaborao de laudo pericial e documentao das
atividades realizadas, bem como dos resultados obtidos, tais
como: cenrio do ataque, autoria, cronograma das aes,
impactos nos sistemas envolvidos, entre outros.
Neste momento, o analista pode se utilizar de ferramentas
de apresentao e documentao, as quais permitam a correta
visualizao dos eventos apurados pelos envolvidos.
O laudo pericial deve apresentar informaes como: autor
do laudo, dados dos participantes, descrio das ocorrncias
com avaliao do impacto de cada uma, descrio do
processo de obteno e anlise das evidncias, tcnicas e
ferramentas utilizadas, resultados obtidos, concluso do
perito acerca das investigaes, documentao comprobatria
das informaes apresentadas e demais informaes que se
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
faam necessrias (PIMENTA, 2007).
O nvel de detalhamento deve ser o suficiente para que o
laudo seja claro, conciso e de leitura facilitada por pblico
no ligado rea-fim (PIMENTA, 2007). No Quadro 6,
prope-se um modelo bsico de laudo pericial, a ser aplicado
proposta de roteiro investigativo abordada neste trabalho.
Quadro 6. Modelo de Laudo Pericial
Avaliao da Percia Finalizao dos Trabalhos
A etapa de Avaliao da Percia permite revisar todo
processo de investigao, tendo como objetivo viabilizar a
melhoria contnua das atividades periciais. Para alcanar os
resultados almejados, o perito pode lanar mo de tcnicas
que permitam uma avaliao completa de suas atividades.
Ferramentas como formulrios de auto avaliao,
questionrios preenchidos pelos solicitantes e demais
envolvidos na percia, benchmarking, entre outras.
Todo material coletado durante a realizao da percia deve
ser devolvido aos responsveis, garantindo a privacidade e
sigilo das informaes de terceiros.
Como ltimo passo, ainda, importante encerrar todos os
processos e demais documentos que porventura estejam
pendentes, com aval dos responsveis, finalizando
oficialmente os trabalhos.
V. ESTUDO DE CASO
Estudo de Caso O Invasor Curioso
O caso utilizado neste trabalho baseado no desafio
formulado pelo grupo de estudos forenses Forensic Contest,
denominado The Curious Mr. X (LMG SECURITY, 2010).
Diversos grupos de pesquisa, tais como o citado, divulgam
informaes relacionadas rea de percia forense, alm de
desafios e situaes-problema para resoluo. Esse tipo de
prtica estimula a busca pelo conhecimento, por parte dos
analistas de segurana e demais interessados, preparando-os
para eventuais situaes reais.
Cenrio
A situao proposta trata de uma invaso ocorrida na rede
18
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
de um laboratrio de pesquisas nucleares, com sede no rtico.
No entanto, o intruso no consegue passar despercebido, ao
realizar o escaneamento da rede em busca de eventuais
brechas de segurana, j que a mesma totalmente
monitorada. Tal monitoramento emite um alerta, em virtude
da queda de desempenho causada pelo aumento no trfego, o
que supe a necessidade de anlise mais detalhada do
problema (LMG SECURITY, 2010).
Aplicao do Roteiro Proposto
Os itens a seguir demonstram a aplicao de cada etapa do
roteiro proposto ao caso apresentado. Nestas etapas, so
utilizadas as devidas ferramentas (NFAT), conforme
necessrio. importante ressaltar que no h a
obrigatoriedade na utilizao das ferramentas indicadas neste
estudo de caso, ou seja, podem ser aplicadas outras que
cumpram com os mesmos objetivos, em substituio.
As NFAT utilizadas neste estudo de caso so: tcpdump
(captura de pacotes), dd (cpia de dados bit-a-bit), md5sum
(gerao de resumo ou hash dos arquivos gerados, para
verificao de integridade dos dados), Wireshark (anlise de
pacotes, verificao de falhas na rede com base no trfego)
(FORENSICS WIKI, 2012) (TCPDUMP/LIBPCAP, 2012)
(COMBS et al., 2012). A escolha de cada uma delas justifica-
se por serem ferramentas open source, disponveis para a
plataforma Linux, sendo que as trs primeiras so
normalmente encontradas nativamente em distribuies desta
plataforma (FERREIRA, 2008). A opo por Wireshark deu-
se, ainda, por emisso de resultados grficos que facilitam as
aes e tomada de decises.
Incio dos Trabalhos
Diante do cenrio apresentado, os responsveis pelo
laboratrio solicitam a realizao de uma percia, que
determine os principais aspectos da situao apresentada,
possibilitando corrigir as eventuais falhas e tomar as devidas
medidas administrativas e judiciais.
O ponto de incio justamente a autorizao formal pelos
responsveis. A partir deste momento, o perito inicia suas
atividades, mapeando o cenrio do incidente, com vistas a
definir o escopo de suas aes e a demanda de infraestrutura
necessria s atividades.
Entradas
O primeiro passo, nesta etapa, realizado pelo perito a
aquisio de dados nas fontes. Pela avaliao do cenrio,
opta-se pela captura total do trfego da rede periciada, na
interface de entrada, utilizando-se a ferramenta tcpdump, em
linha de comando:
tcpdump -nn -i eth0 -w original. pcap
O comando acima especifica a interface onde ser realizada
a captura de pacotes, pela opo i eth0. A opo nn
indica ao aplicativo para no realizar a resoluo de nomes de
protocolos ou portas. Por fim, a opo -w original.pcap
19
indica o nome do arquivo para o qual o trfego capturado ser
direcionado (PEREIRA, 2012).
A captura realizada at que se tenha material suficiente
para anlise e evidenciao. Uma vez gerado o arquivo pela
ferramenta citada (original.pcap), o perito deve fazer a cpia
do mesmo, para utilizao na etapa seguinte, mantendo o
arquivo original em local seguro.
Para tal, utiliza-se a ferramenta dd, em linha de comando,
conforme segue:
dd if=original. pcap of=copia. pcap
O comando acima l o arquivo de entrada, denominado
original.pcap, com a opo if e grava seu contedo, bit-a-
bit, no arquivo de sada copia.pcap, indicado com a opo
of. Em seguida, o arquivo gerado utilizando-se o comando
anterior validado em relao ao original, com a gerao do
resumo ou hash MD5 dos mesmos e efetuando sua
comparao. A ferramenta md5sum, em linha de comando,
aplicada a cada um dos arquivos e o resultado obtido deve o
mesmo para ambos, conforme segue:
md5sum original. pcap
804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 original. pcap
md5sum trafego. pcap
804 64 84 97 4 10b18d9a7 cb1d4 b2 2 52 ef7 copia. pcap
Como a percia est sendo realizada localmente, a
utilizao de VPN ou protocolos de segurana para
transferncia segura dos dados dispensada. O
armazenamento do arquivo original realizado em mdia
destinada exclusivamente para este fim.
Averiguao
De posse do trfego capturado durante a ao do intruso,
inicia-se a anlise do evento. Tendo em vista a suspeita de que
o mesmo realizava o escaneamento da rede, o primeiro passo
da averiguao determinar qual o provvel endereo da rede
que estava sendo utilizado pelo escner do invasor.
Utilizando-se a ferramenta Wireshark, possvel filtrar o
ndice de ocorrncias de trfego dos endereos lgicos desta
rede, conforme ilustrado pela Figura 4.
Figura 4. ndices de ocorrncias de trfego por IP
TI.S. 2014; 3 (1): 11-23

Verifica-se na Figura 4 que, no intervalo de captura, o
endereo 10.42.42.253 participa de 99,15% das
comunicaes. Na Figura 5, a seguir, tem-se a distribuio do
Figura 5. Distribuio do trfego entre hosts
Por esta avaliao, pode-se afirmar que o escaneamento da
rede era realizado a partir do endereo IP 10.42.42.253.
Prosseguindo com a anlise, possvel determinar que o
Figura 6. Determinao do endereo fsico (MAC) do invasor
Assim como o endereo fsico do host intruso, possvel
determinar o MAC e fabricante da interface dos demais hosts
nesta rede e sua relao com os endereos lgicos. A Tabela
2, a seguir, mostra a relao de hosts completa para o trfego
capturado.
Tabela 2. Relao de hosts conforme trfego capturado
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
trfego entre os endereos. Interessante notar que o ndice de
comunicao entre o IP citado e os demais superior aos
demais e segue uma escala aproximada de trfego.
endereo fsico (MAC) do invasor, pela observao de um
simples pacote, conforme Figura 6 abaixo:
Em continuidade aos trabalhos, efetua-se a anlise de
portas abertas na rede, as quais podem ser eventualmente
exploradas pelo invasor, aps o escaneamento. O intuito deste
passo justamente indicar aos administradores quais as falhas
de segurana no sistema, para que os mesmos possam corrigi-
las posteriormente.
Ainda utilizando-se o Wireshark, verificam-se, nas
evidncias, quais comunicaes foram realizadas com xito
pelo escner. A Figura 7 mostra o resultado da anlise, onde
se visualizam quais conexes TCP foram estabelecidas com
sucesso entre invasor e demais hosts. Interessante notar que a
varredura realizada pelo escner ocorre em outras portas, sem
sucesso.
20
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso

Figura 7. Conexes estabelecidas pelo invasor (portas abertas)

As portas que permitiram o estabelecimento de conexo
so 135 (epmap) e 139 (netbios-ssn - NETBIOS session
service) (SPEEDGUIDE.NET, 2012). Estas portas so
largamente utilizadas por aplicaes em ambiente Windows,
especialmente para compartilhamento de arquivos e
impressoras, porm so muito exploradas por vrus, cavalos
de troia e outras pragas virtuais (SPEEDGUIDE.NET, 2012).
O trfego capturado no possibilitou ao perito desvendar
detalhes externos rede, tais como dados de autoria e fonte
da invaso. No entanto, foi possvel verificar as principais
falhas de segurana desta rede, entre as quais as j citadas e a
ausncia de firewall, que dificultaria a entrada do invasor.
Quadro 7. Laudo elaborado para estudo de caso
Tais resultados so apresentados formalmente na etapa
seguinte.
Sadas
Finalizada a etapa de anlise, o analista responsvel pela
percia tem como principais objetivos documentar e
apresentar os resultados obtidos. Nesta etapa, o perito elabora
o laudo pericial, que formaliza a investigao realizada, e
pode, ainda, apresentar administrao um resumo,
utilizando-se de recursos audiovisuais e ferramentas de
apresentao. O laudo elaborado neste estudo de caso segue
conforme Quadro 7, a seguir:

21 TI.S. 2014; 3 (1): 11-23


Finalizao dos Trabalhos
Aps a elaborao e entrega do laudo, bem como
apresentados os resultados alta administrao e demais
interessados, nesta etapa o perito finaliza os trabalhos da
percia. Para tanto, gera as mdias, conforme observaes
indicadas no laudo, com intuito de devolver aos responsveis
do processo todo material utilizado. Tendo em vista manter a
integridade das evidncias, entre outras caractersticas, alguns
detalhes so observados: arquivo de registro de trfego
original armazenado em mdia distinta da cpia;
armazenamento em mdias de tipos diferentes; gerao de
cpia da documentao elaborada pelo perito durante a
investigao.
O perito responsvel solicita, a seu critrio, que os
solicitantes avaliem o trabalho realizado, alm de poder
sugerir a realizao de auto avaliao da equipe, conforme
sugerido no roteiro deste trabalho. Depois de realizadas as
devidas avaliaes, a alta administrao efetiva o
encerramento oficial da percia.
VI. CONCLUSES E TRABALHOS F UTUROS
Este trabalho no tem a pretenso de esgotar as possveis
situaes de investigao forense em redes, mas sim colaborar
com a proposta de um modelo genrico de roteiro pericial.
Com esse propsito, em que pese o cenrio de estudo aplicado
nesta pesquisa, sugere-se ainda a realizao de novos casos de
estudo, que possibilitem maior gama de situaes-problema.
Com isso, pode-se validar o roteiro proposto com maior
propriedade e confiabilidade.
Estudos adicionais e futuros podem contemplar situaes
envolvendo ambientes virtualizados, redes complexas, redes
de automao, redes de telefonia celular (3G e 4G), redes
formadas por dispositivos mveis, em plataformas Android
(Google), iOS (Apple) e Windows Phone. Outro aspecto
importante, que demanda aprofundamento, relaciona-se s
questes legais, sobretudo abordagem das leis brasileiras
sobre o objeto de estudo deste trabalho.
O roteiro prtico do processo apresentado neste trabalho
estabelece, primeiramente, um ponto de apoio a percias em
redes, sem, no entanto, torn-las algo esttico. Ao contrrio, a
linha de investigao proposta visa guiar o perito em uma
linha-mestra, porm concedendo a este a liberdade na tomada
de decises, seja utilizando-se ferramentas diferentes das
sugeridas, ou at mesmo por solues que envolvam
caminhos distintos aos apresentados.
O desenvolvimento deste trabalho possibilita, ainda, a
criao de uma base de conhecimento comum, mesmo que de
maneira simplista. Sabe-se que o estudo de caso aplicado ao
roteiro no determina sua validao, visto no haver
suficiente material estatstico que sustente tal possibilidade,
alm de no contemplar todos os passos propostos.
Entretanto, seu estudo atinge o resultado previsto
inicialmente, atravs da elaborao de laudo pericial vlido e
consistente, demonstrando que perfeitamente factvel sua
utilizao em ambiente de produo.
T.I.S. 2014; 3 (1): 11-23
Celso Carlos Navarro Modesto Junior, Jander Moreira
REFERNCIAS
ALMULHEM, A.; TRAORE, I.. Experience with Engineering
a Network Forensics System. In: THE INTERNATIONAL
CONFERENCE ON INFORMATION NETWORKING.,
2005, Jeju. Lecture Notes in Computer Science. Berlim:
Springer-Verlag, 2005. Disponvel em:
<http://www.ccse.kfupm.edu.sa/~ahmadsm/papers/almulh
em05a.pdf>. Acesso em: 11 ago. 2012.
AMANDA. Amanda Network Backup: Open Source Backup
for Linux, Windows, UNIX and OS X. Disponvel em: <
http://www.amanda.org/>. Acesso em: 22 ago. 2012.
COMBS, G. et al. Wireshark: Go deep. Disponvel em:
<http://www.wireshark.org/>. Acesso em: 22 ago. 2012.
COREY, V. et al. Network Forensics Analysis. IEEE Internet
Computing Magazine, Piscataway, v. 6, n. 6, p.60-66, 01
nov. 2002.
COSTA, G.; FRANCESCHI, A. Xplico: Network Forensic
Analysis Tool (NFAT). Disponvel em:
<http://www.xplico .org/>. Acesso em: 22 ago. 2012.
ERBACHER, R. F.; CHRISTIANSEN, K.; SUNDBERG, A.
Visual Network Forensic Techniques and Processes. In:
ANNUAL SYMPOSIUM ON INFORMATION
ASSURANCE, 1., 2006, Albany. Proceedings of the 1st.
Annual Symposium on Information Assurance. Albany:
University at Albany, 2006. p. 72 - 80.
FERREIRA, A. B. H. Novo Aurlio Sculo XXI: o dicionrio
da lngua portuguesa. 3 ed. Rio de Janeiro: Nova
Fronteira, 1999.
FERREIRA, R. E. Linux: Guia do Administrador do Sistema.
2 ed. So Paulo: Novatec, 2008.
FORENSICS WIKI (Comp.). Tools: Network Forensics.
Disponvel em: <http://www.forensicswiki.org/wiki/Tools:
Network_Forensics>. Acesso em: 22 ago. 2012.
GARFINKEL, S. Network Forensics: Tapping the Internet.
O'Reilly Media, 2002. Disponvel em: <http://
www.oreillynet.com/pub/a/network/2002/04/26/nettap.htm
l>. Acesso em: 13 ago. 2012.
KENT, K. et al. Guide to Integrating Forensic Techniques into
Incident Response: Recommendations of the National
Institute of Standards and Technology. Gaithersburg:
NIST, 2006. Special Publication.
KERSHAW, M. Kismet. Disponvel em: <http://www.kismet
wireless.net/documentation.shtml>. Acesso em: 22 ago.
2012.
KIM, J.; KIM, M.; NOH, B. A Fuzzy Expert System for
Network Forensics. In: ICCSA (Comp.). Computational
Science and Its Applications ICCSA 2004: Lecture
Notes in Computer Science. 3043. ed. Berlim: Springer-
Verlag, 2004. p. 175-182.
LILLARD, T. et al. Digital Forensics for Network, Internet,
and Cloud Computing: A Forensic Evidence Guide for
Moving Targets and Data. Burlington: Syngress, 2010.
LJUBUNCIC, I. Protech: A Linux forensics distro you want.
Disponvel em: <http://www.dedoimedo.com/computers
/protech.html>. Acesso em: 22 ago. 2012.
LMG SECURITY. Puzzle #4: The Curious Mr. X. Network
Forensics Puzzle Contest. Disponvel em: <http://forensics
22
Roteiro Investigativo em Percia Forense Computacional de Redes: Estudo de Caso
contest.com/2010/02/03/puzzle-4-the-curious-mr-x>.
Acesso em: 22 ago. 2012.
LYON, G.. Guia de Referncia do Nmap: Pgina do Manual.
Disponvel em: <http://nmap.org/man/pt_BR/>. Acesso
em: 22 ago. 2012.
MACEDO, G. M. Investigao Forense Digital de Rootkits
em Sistemas Unix. 2010. 72 f. Monografia (Bacharelado)
- Curso de Cincia da Computao, Instituto de
Informtica, Universidade Federal do Rio Grande do Sul,
Porto Alegre, 2010. Disponvel em:
<http://www.lume.ufrgs.br/bitstream/
handle/10183/26345/000757798.pdf?sequence=1>.
Acesso em: 12 ago. 2012.
MALWARE HELP.ORG. Free Forensic Software Tools.
Disponvel em:
<http://www.malwarehelp.org/forensic_tools .html>.
Acesso em: 22 ago. 2012.
NETRESEC. NETRESEC NetworkMiner: The Network
Forensics Analysis Tool. Disponvel em: <http://www.net
resec.com/?page=NetworkMiner>. Acesso em: 22 ago.
2012.
NIKSUN. NIKSUN: NetDetector Alpine. Disponvel em:
<http://www.niksun.com/product.php?id=4>. Acesso em:
22 ago. 2012.
OPENMANIAK. Wireshark - The Easy Tutorial: Statistics.
Disponvel em:
<http://openmaniak.com/wireshark_stat.php>. Acesso em:
30 ago. 2012.
PALMER, G.. A Road Map for Digital Forensic Research.
Utica: DFRWS, 2001. 48 p. DFRWS Technical Report.
Disponvel em: <http://www.dfrws.org/2001/dfrws-rm-
final.pdf>. Acesso em: 13 ago. 2012.
PEREIRA, Pedro. Tutorial de TCPDump. Disponvel em:
<http://www.pedropereira.net/como-usar-o-tcpdump/>.
Acesso em: 22 ago. 2012.
PIMENTA, F. A. Percia forense computacional baseada em
sistema operacional Windows XP Professional. Sorocaba,
23
2007. Disponvel em: <http://www.datasecurity.
com.br/index.php/biblioteca/file/12-pericia-forense-
computaci onal-baseada-em-sistema-operacional-
windows-xpprofessiona l>. Acesso em: 23 ago. 2012.
QUEIROZ, C.; VARGAS, R. Investigao e Percia Forense
Computacional: Certificaes, Leis Processuais e Estudos
de Caso. Rio de Janeiro: Brasport, 2010.
SEARCHSECURITY. What is network forensics? Disponvel
em: <http://searchsecurity.techtarget.com/defini tion
/network-forensics>. Acesso em: 11 ago. 2012.
SINGH, O. Network Forensics. ISEA Workshop on Network
Traffic Capturing & Analysis, 2009. Disponvel em:
<http://www.iitg.ernet.in/cse/ISEA/isea_PPT/ISEA_02_09
/NForensics-IIT%20Guwahati-21Feb2009OVS.pdf>.
Acesso em: 15 ago. 2012.
SIRA, R. Network Forensics Analysis Tools: An Overview of
an Emerging Technology. Maryland: Sans Institute, 2003.
12 p. Global Information Assurance Certification (GIAC)
Paper. Disponvel em:
<http://www.giac.org/paper/gsec/2478/ network-forensics-
analysis-tools-overview-emerging-technolo gy /104303>.
Acesso em: 14 ago. 2012.
SNORT BRASIL. SNORT Brasil: O Snort. Disponvel em:
<http://www.snort.com.br/>. Acesso em: 22 ago. 2012.
SPEEDGUIDE.NET. SpeedGuide.net: Broadband Tweaks,
Tools and Info. Disponvel em:
<http://www.speedguide.net/>. Acesso em: 30 ago. 2012.
TCPDUMP/LIBPCAP. TCPDUMP/LIBPCAP: public
repository. Disponvel em: <http://www.tcpdump.org/>.
Acesso em: 22 ago. 2012.
VACCA, J. R. Computer Forensics: Computer Crime Scene
Investigation. 2. ed. Hingham: Charles River Media, 2005.
YUSOFF, Y.; ISMAIL, R.; HASSAN, Z. Common Phases
of Computer Forensics Investigation Models. International
Journal Of Computer Science & Information Technology,
ndia, p. 17-31. 01 jun. 2011.
TI.S. 2014; 3 (1): 11-23