Perícia Título

Inserir ForenseAqui
Inserir Título Aqui
Computacional
Coleta de Evidências em Investigação de Crimes Digitais

Responsável pelo Conteúdo:

Prof. Me. Marcelo Carvalho

Revisão Textual:
Prof.ª Me. Sandra Regina Fonseca Moreira
 Coleta de Evidências em
Investigação de Crimes Digitais

Fonte: Getty Images

Nesta unidade, trabalharemos os seguintes tópicos:
• Coleta de Evidência Forense e Análises dos Achados;
• Coleta de Evidências em Memória;
• Coleta de Evidências em Disco;
• Conclusão.

Objetivo
• Apresentar e discutir técnicas de coleta de evidência digital (memória e disco), assim
como o ordenamento dessas coletas com base na volatilidade dos elementos computa-
cionais envolvidos no incidente em investigação.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Contextualização
O trabalho de um perito forense computacional envolve atividades de coleta e aná-
lise de dados. Partindo de um caso estabelecido, em que o profissional é chamado
para comprovar ou refutar uma tese, há a necessidade de especular como ocorreu a
participação de um ativo de rede (computador, access-point, roteador etc.) no contexto
da investigação. Exercitando os conceitos que vimos nas unidades anteriores, discutire-
mos o processo de coleta de evidências comparando o método que será exemplificado
com outros possíveis. Também, quando fizermos o processo de análise das evidências,
tanto aquelas recolhidas provenientes de disco quanto de memória. Neste sentido, você
experimentará o uso de ferramentas que possibilitam a visualização de informações
existentes nas coletas, mesmo aquelas não visíveis superficialmente, quando se usam
leitores de arquivos ou organizadores de arquivos convencionais. Nessas ferramentas,
observaremos dados e meta-dados que possibilitarão ao perito a reconstrução do evento
e, caso possível, a evidência comprovando o ilícito em investigação. Neste cenário, o
papel do perito é de um especialista que colabora com o processo de resposta à investi-
gação, fornecendo provas materiais a serem anexadas ao caso.

6
Coleta de Evidência Forense
e Análises dos Achados
O processo de investigação, dado que o perito forense é convocado a participar
para a geração de prova material, em um caso envolvendo ilícito, por exemplo, se inicia
definindo atores participantes do incidente. Esta é uma etapa importante, que ocorre
em momentos iniciais de sua atuação, quando o perito “entende” o processo, os locais
(ambientes físicos), a infraestrutura tecnológica (computadores, redes locais, servidores,
nuvem etc.). A identificação de como ocorreu a participação dos atores, neste contexto,
tem papel importante no desenrolar da investigação, na medida em que ditará a ênfase
ou o foco do perito no caso. Um exemplo típico, para auxiliar no entendimento dessa
definição de atores, pode ser vista em um caso exemplo que, aliás, usaremos para ilus-
trar os passos práticos de uso de ferramentas abordado nesta unidade.

Caso exemplo:

Imagine que um perito foi chamado para investigar um caso em que se alega espio-
nagem industrial. Note que, inicialmente, quando vista desconectada do objeto da ação e
da forma com a qual o ato ocorreu, a obtenção do dado secreto não é necessariamente
criminosa. Neste cenário, é importante não só a definição do(s) participantes(s) para
fins de responsabilização, mas para ilustrar tecnicamente o ocorrido, definindo-se o ob-
jeto sigiloso supostamente apropriado indevidamente, além dos métodos da subtração,
envio e/ou divulgação do mesmo. De maneira mais importante, a forma como foi feita
a obtenção das informações será a que melhor definirá o caráter criminoso na ação.
A imputação de crime fica normalmente atrelada à condição de prova material (a cargo
do perito) de evidência de concorrência desleal e/ou uso desautorizado da informação.
Do ponto de vista da área jurídica envolvida nesta investigação, a depender do teor do
caso, não só a esfera criminal poderá ser invocada, como a cível, de acordo com a evi-
dência de atos que forem sendo encontrados pelo perito e associados na investigação.
Por isso, a importância do perito imbuir-se dessas informações de contextualização e
definição de atores participantes, já no momento inicial da investigação.

No Brasil, a Lei 9.279/1996 de propriedade industrial que ilustra o caso, tem o artigo
Art. 201 que fala da diligência de busca e apreensão, na qual o oficial do juízo será acom-
panhado por perito que verificará, preliminarmente, a existência do ilícito. Em casos de
concorrência desleal, vê-se um espelhamento dos artigos relevantes da lei no documen-
to da Organização Mundial do Comércio (OMC), intitulado “Acordo Sobre Aspectos
dos Direitos de Propriedade Intelectual Relacionados” (TRIPS). Ilustrações comuns para
uma investigação na qual esta lei é mencionada, nos altos do inquérito, podem envolver
cenas que vemos em filmes de espiões, como o uso de câmeras escondidas, escutas e
aparatos gravadores e copiadores em miniatura, mas, mais recentemente, com objetos
comumente vistos na bolsa ou maleta de qualquer funcionário. Exemplos típicos incluem
pendrives, cartões SSD, aparelhos celulares (como vemos em artigos discutindo aspec-
tos de segurança afetados pelo risco oferecido pelo “Bring Your Own Device” – BYOD,
onde aparelhos celulares que podem se conectar a redes internas, ou ser usados como

7
7
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

dispositivos de armazenamento quando conectados a interfaces USB de servidores ou

computadores). Também, equipamentos adulterados, como dispositivo mouse, que ao se
conectarem com a interface USB, geram uma interrupção como se fosse um periférico
comum, mas, na verdade, atuam como um aplicativo de backup, copiando o conteúdo
de um diretório específico ou mesmo um drive inteiro da máquina vítima.

De uma maneira geral, a tarefa de participação dos atores pode ser executada dife-
renciando-os da seguinte forma:
• Vítima(s): Indícios computacionais apontam que dados foram subtraídos, detur-
pados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque
e foi alvo cibernético de ação deliberada de atacante(s).
• Gateway(s): Indícios computacionais apontam que o ativo foi comprometido, mas
não se caracteriza como alvo. O ativo computacional serviu de ponte para que a
vítima fosse atingida pelo(s) atacante(s).
• Atacante(s): Indícios computacionais apontam que o ativo encaminhou ou contro-
lou remotamente artefatos digitais capazes de realizar ações de subtração, deturpa-
ção ou inserção de dados em ativo computacional de terceiro (vítima).

Note que, inicialmente, ao obter a evidência computacional original ou duplicada

para análise, normalmente não se tem ao certo qual papel será atribuído pelo perito
àquele ator. De acordo com o teor da documentação fornecida ao perito, como parte dos
altos do inquérito, a tese inicial pode ser de que a participação da evidência computa-
cional seja classificada como atacante, mas nada impede que, ao longo da investigação,
esta possa ser classificada como gateway, ou mesmo vítima.

De volta ao nosso exemplo, vamos continuar a contextualização, de forma que pos-

samos imaginar as outras atividades iniciais. Neste momento inicial, é importante tam-
bém o estabelecimento do perímetro e da infraestrutura que será escopo da análise.
Neste nosso exemplo, imagine que o caso ocorreu em uma sala do Data Center, pois
há indícios de atividade suspeita capturada por câmeras de vigilância (CFTV) no local.
As imagens apontam para a pessoa sob investigação acessando um dos terminais de
acesso KVM (keyboard, video and mouse) no rack de servidores (em data centers, é co-
mum verificarmos um único terminal de acesso prover interface com vários elementos
de rede, incluindo servidores, roteadores, switches etc., naquele rack, ou até mesmo em
outros racks na sala) em que se pode observar, apesar do ângulo indireto de observa-
ção, dado o posicionamento da câmera, que o suspeito abre inicialmente uma tela clara,
evidenciada pelo brilho e reflexo em seus óculos e, em seguida, uma tela preta, durante
os 3 minutos em que figura à frente do terminal. Também, neste tempo, é possível visu-
alizar que o suspeito leva a mão ao bolso e retira um objeto preto, que depois também
fica brilhante por alguns segundos.

Perceba que esta estória poderia levar ao perito pressupor várias teses para as linhas
de investigação. Por exemplo, a julgar pela sequência de ações capturadas em vídeo, o
perito poderia solicitar acesso aos logs de uso do KVM (caso possível), para identificar
os últimos acessos e/ou comandos realizados. Considerando que o objeto preto também

8
foi apreendido (possivelmente um celular do suspeito), verificar se ele participou da ação
com registros de uso de rede Wi-Fi e/ou 4G, solicitando relatório de uso à operadora de
telecomunicações em uso pelo telefone. A julgar pelas telas claras exibidas inicialmente,
o perito pode imaginar o uso de um gerenciador de arquivos ou mesmo uma tela de
navegador que possibilitaria o envio de informações na forma de e-mail ou outro comu-
nicador Web. Logs destes serviços podem ser solicitados para comprovar ou afastar essa
hipótese. Também, a tela mais escura possivelmente é resultado da execução de coman-
dos (command line interface – CLI) e que, portanto, a compactação ou transformação
(codificação ou criptografia) da informação subtraída pode ter sido feita para “mascarar”
o delito.

A definição do perímetro e infraestrutura vão ajudar o perito na definição de quais

evidências, inicialmente, serão solicitadas para a investigação do caso. Há uma série
de complicadores, como você pode imaginar, conforme vimos nas unidades anteriores.
Imagine, por exemplo, que fique comprovado o uso de proxy anônimo, sinais de Wi-Fi
privados dificultando o rastreio da comunicação, ou se o Data Center em questão usa
conceitos contemporâneos de nuvem, em que não há local específico definido para o
armazenamento, que ocorre sob demanda, a depender do servidor que esteja menos
carregado. Obviamente, o perito não poderá solicitar acesso ao Data Center, então,
como especificar o escopo da investigação?

Você pode imaginar outras linhas de investigação e exercitar um cenário hipotético

de ação do perito com esse exemplo. O que deve ter ficado claro para você até o mo-
mento é certamente a complexidade envolvida na ação do perito. Note que a investi-
gação dos artefatos computacionais ainda nem começou, diretamente, mas uma série
de habilidades já foram requeridas deste profissional para a montagem das hipóteses e
linhas de investigação a seguir.

O caso de propriedade industrial, ilustrado em nosso exemplo, não foi escolhido ao acaso.
Este tipo de incidente representa uma fatia considerável de investigações envolvendo um
perito forense computacional e tem como âmbito de atuação não só ambientes fabris, mas
também aqueles “oficiais”, nas distintas esferas de governos. Saiba mais sobre essa lei e os
artigos mais relevantes para a tarefa e atribuição do perito em: http://bit.ly/2whitP9

Coleta de Evidências em Memória

Para as ilustrações deste e do próximo capítulo, utilizaremos uma máquina vítima
com sistema operacional Windows 7 (Computador investigado) e um Kali Linux repre-
sentando a máquina do investigador (Computador B). Ambos os computadores foram
criados de forma virtual, usando VirtualBox da Oracle. A distribuição Kali, utilizada para
os testes e demonstrações citados neste material e vídeos, é distribuída pela Offensive
Security, que documenta e distribui o software. A ferramenta de extração (dump) da
memória que estudaremos foi a FTK Imager.

9
9
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Caso você deseje reproduzir a investigação usando o mesmo cenário, obtenha a máquina
virtual Kali para seu laboratório em: http://bit.ly/2whoICz. O programa para realização do
dump é distribuído pela Access Data, podendo ser obtido em: http://bit.ly/2wjYsro

Obedecendo à ordem de volatilidade (OOV) que vimos nas unidades anteriores, ire-
mos primeiro tratar de obter os dados de memória e, em seguida (próximo tópico), dos
dados em disco. Observando que a primeira atividade foi a de definição de atores, local
(perímetro) e infraestrutura envolvidos, citada no capítulo anterior, neste capítulo, desen-
volveremos, a título de exemplo, as atividades 2, 3 e 4 que são: 2) Extrair a memória;
3) Realizar uma cópia da evidência extraída; 4) Analisar a memória contida na cópia.

Na atividade dois, iremos introduzir um equipamento de análise (programa FTK

Imager, no nosso caso) causando o mínimo de perturbação e interferência possível no
objeto sob análise. Em seguida, iremos simular o preenchimento de dados de coleta, indi-
cando a identificação do local, perito, ferramenta utilizada, informações de procedimento
de guarda da mídia gerada e data. Na atividade três, realizaremos uma cópia da memória
e geraremos uma comprovação de integridade desse arquivo gerado. Na atividade quatro,
mais técnica, realizaremos a exploração do conteúdo, usando ferramenta específica que
analisará padrões e parâmetros específicos, de acordo com o interesse do perito.

Você deve ter reparado que estas duas atividades estão alinhadas com os temas de
classificação de evidências digitais, cadeia de custódia e requisitos para apresentação
em juízo, que vimos na unidade anterior. Caso tenha ficado com dúvidas, ou não tenha
compreendido a razão dessa sequência, volte e releia o material.

Continuando a investigação, considerando o cenário exemplificado anteriormente,

imagine que foram escolhidos ativos computacionais para exame, e que o perito irá
extrair as informações contidas em disco (HD ou SSD). Nesta tarefa, para evidenciar o
ato ilícito e confirmar a hipótese e linha de investigação adotada, o perito fará a procura
por uma palavra-chave (“Top secret”). Essa palavra, caso encontrada em arquivo de um
determinado tipo (.pdf) na evidência computacional que será extraída do computador
sob análise, será suficiente ligação material, já que o trecho é pertinente ao segredo
industrial que se busca provar autoria criminal. Para fins de exemplificação, também
trataremos de ilustrar a procura por programas específicos no dump de memória em
análise. Esta tarefa serve para que você visualize que o perito procuraria, por exemplo,
por resquícios de uso de programas de codificação, compactação ou criptografia de ar-
quivos que facilitariam seu envio despercebido, como contextualizamos na estória.

Dump de Memória
Para a realização do dump de memória (extração do “estado da memória”) que ire-
mos analisar, você deve criar um arquivo do tipo PDF (imaginando que este seria a
extensão do arquivo que foi subtraído, segundo a queixa contida na investigação). O
conteúdo deste arquivo deve ter palavras conhecidas, para que você faça a busca em
um segundo momento. Como nesta fase estamos analisando a memória, é importante
que você abra o arquivo, simulando sua visualização pelo investigado e posterior envio.

10
Lembre-se de que, quando estamos falando de memória RAM, é importante recordar
que há duas partes principais, o heap e o stack. Nestes trechos, encontraremos, respec-
tivamente, resquícios do arquivo que foi posto em memória pelo leitor (PDF reader, por
exemplo) e resquícios dos programas usados antes do envio (codificação, compactação
ou criptografia). Note que usei a palavra resquícios repetidamente. Isso foi para enfatizar
que o processo de extração dos dados em memória, aqui exemplificado, será realizado
por meio de um programa. Considerando que a máquina vítima dificilmente estará lo-
gada, e mesmo que estivesse, precisaria reconhecer o pendrive que vamos inserir con-
tendo o FTK Imager e executá-lo, todos esses processos mudam o estado da memória.
No mundo real da investigação forense, equipamentos especiais seriam inseridos como
periféricos ou acoplados à motherboard (placa mãe) do computador, para realizar a
extração com interferência mínima.

Ilustração do Procedimento
Em sua máquina virtual, representando a vítima sob investigação, insira um pendrive
contendo o programa FTK Imager. Em seguida, execute o programa. Note que, con-
forme visualização da imagem abaixo (Figura 1), o perito irá nomear o arquivo e terá a
opção de extrair de forma conjunta o conteúdo de paginação (include pagefile). Como
não se sabe qual a configuração e desempenho do computador em análise ainda, é
prudente imaginar que parte do conteúdo de memória foi depositada em disco pelo SO,
para administrar melhor as demandas de programas com recurso limitado de RAM. Esta
informação será complementada em um segundo momento, quando a cópia do disco for
realizada (próximo tópico).

Figura 1 – Representação do uso do programa FTK Imager,

para extração de conteúdo em memória RAM, na máquina investigada

Na sequência da atividade dois, um perito realizaria a identificação da mídia que re-

ceberia a evidência (Destination path). Normalmente, vê-se o uso de HD/SSD externo
para esta tarefa, mas aqui exemplificaremos com o caminho do próprio pendrive que
foi inserido com o programa FTK Imager. Para fins de cadeia de custódia, não só o
pendrive deverá ser identificado, mas o perito, local de extração, identificação de meto-
dologia e equipamentos usados e data-hora.

11
11
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Em seguida, como parte da atividade três, o perito realiza o procedimento que irá
gerar prova de garantia de integridade do arquivo contendo o dump de memória e uma
cópia da evidência digital duplicada como garantia (salvo em outra mídia), vistos nas
imagens abaixo (Figura 2 e Figura 3). Note que aqui, estamos exemplificando um caso
em que não é possível a obtenção dos itens físicos e, portanto, o perito não terá acesso
à evidência digital original.

Figura 2 – Representação do uso do programa FTK Imager, para extração

de conteúdo em memória RAM, na máquina investigada

Figura 3 – Representação do uso do programa FTK Imager,

para cópia de conteúdo em memória RAM, na máquina investigada

Neste exemplo, usa-se um utilitário do próprio SO da máquina vítima para o cálculo

de HASH e geração de arquivo de comprovação de integridade, o certutil (certutil
-hashfile [file] MD5). Variações do comando podem usar um HASH mais robusto
(SHA 1 ou SHA 2) como pode ser visto na imagem abaixo (Figura 5).

12
 Figura 4 – Representação do uso do programa FTK Imager,
para cópia de conteúdo em memória RAM, na máquina investigada

Como o perito normalmente possui diversas mídias para guarda de evidência do

caso, uma boa prática é numerar e identificar a unidade o mais detalhadamente possível.
No exemplo acima, no campo Unique Description, usam-se qualidades de cor e identifi-
cação numérica contidas na mídia onde está sendo feita a guarda da evidência extraída.

Figura 5 – Representação da cópia da evidência digital duplicada e verificação de integridade

Na figura acima, é possível verificar que, ao final do processo de cópia, o FTK

Imager exibe um controle de HASH que compara o arquivo que estava sendo copiado
e o arquivo de cópia resultante. Uma boa prática para comprovar que a totalidade da
memória foi extraída é consultar a capacidade deste recurso por meio da visualização no
SO investigado (Figura 6).

13
13
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Figura 6 – Representação da visualização da capacidade

de memória no computador sob investigação

Este processo de verificação de integridade, comparando o HASH informado no

momento inicial pelo perito com os obtidos a cada vez que aquela evidência for sendo
processada, em novas análises no futuro, é repetido para garantia de que o objeto é o
mesmo. A cada nova análise, o perito repete o processo, calculando novo HASH do es-
tado atual do objeto (dump de memória, neste caso) comparando com aquele reportado
inicialmente. Como requisitos de autenticidade e confiabilidade, todas as provas devem
ser demonstradas comprovadamente íntegras e imutáveis desde o momento de sua co-
leta, para que sejam aceitas em juízo.

Na atividade 4, o perito fará uso de programas para efetuar a análise da memória

extraída. Utilizando-se da cópia da memória extraída para análise na atividade 3, nes-
te exemplo, demonstraremos o uso da ferramenta volatility, presente na máquina Kali
Linux. Como parte da demonstração, iniciaremos com a exploração da ferramenta
e de informações iniciais que serão apresentadas assim que executarmos o carrega-
mento do arquivo que contém o dump de memória no programa. Na imagem a seguir
(Figura 7), cabe destacar, além da versão do programa volatility em uso e informações
básicas extraídas do arquivo (caminho para o arquivo, data e hora etc.), a informação
de Sugested Profile. Essa informação é crucial no que diz respeito à interpretação dos
dados de memória pelo volatility. Isso implica desde a capacidade de reconhecer assi-
naturas (padrões conhecidos de malwares para diferenciá-los de processos legítimos),
até a possibilidade de execução de determinados parâmetros específicos em comandos
de investigação. Esse processo é realizado, automaticamente, quando carregamos um
arquivo de memória para análise, mas podemos executá-lo, separadamente, por meio
do comando “kdbgscan”. Note que, neste aspecto, diversos profiles seriam compatí-
veis com a memória em análise. Uma boa prática, no entanto, é sempre usarmos a
primeira sugestão oferecida pelo programa. Neste caso, o parâmetro Win8SP0x64
será usado, mesmo sabendo que, para esta atividade exemplo, usamos Windows 7.

14
 Figura 7 – Representação da resposta inicial da ferramenta volatility, para análise de memória

No passo seguinte da análise (note o parâmetro -profile passado, conforme dito

acima), uma verificação comum seria a listagem de processos ainda ativos no compu-
tador investigado quando da extração do dump. Essa operação ajuda no entendimento
do estado do computador à época, e permite visualizar usos particulares de programas.
Para nosso caso exemplo, a execução do passo, por meio do comando “pslist”, nos
possibilitará a visualização de uso de um leitor de PDF, como parte da evidência que
nos interessa sustentar como prova material no caso. Note que a execução do coman-
do ilustrado abaixo (Figura 8) foi acrescida de comando para exportar os resultados
no arquivo “processfrommemory.txt”, a fim de facilitar o trabalho de filtragem, poste-
riormente executado pelo perito. Os comandos “pslist”, “psscan” e “pstree” (Kleiman,
2011) são úteis também para identificar o process ID (PID) existente no computador
no momento passado, como também a posição de memória a qual ocupou. A ligação
entre PIDs é estabelecida por meio da verificação do doubly-linked e ponteiros de cada
instrução na memória.

Figura 8 – Representação da execução do comando pslist na ferramenta volatility

A resposta do comando, possibilitando a visualização do programa de interesse (nesse

caso, AcroRd32.exe), pode ser vista na imagem abaixo (Figura 9). As informações de
identificação de processo mostram que ela recebeu o número 2868 e foi inicializada
pelo processo 1904.

15
15
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Figura 9 – Representação da resposta do comando pslist na ferramenta volatility

Um passo comumente executado na sequência da descoberta de um executável de in-

teresse identificado no comando “pslist” é a execução do comando “psxview” (Figura 10),
para possibilitar a visualização do horário em que o programa foi encerrado (Kleiman,
2011). Isso porque sabendo que está incorrendo em ilícito, dificilmente o suspeito dei-
xará “abertos” os programas que utilizou. No entanto, é trabalho do perito estabelecer
uma ordem de eventos, contemplando esses horários de ocorrências registradas no uso
da memória, que seja compatível com as hipóteses levantadas na linha de investigação.

Figura 10 – Representação da resposta do comando psxview na ferramenta volatility

A continuidade da investigação, neste momento, focada na obtenção de mais infor-

mações relacionadas ao PDF que buscamos relacionar à ação do suspeito, pode seguir
analisando textos específicos ou por meio da procura de arquivos deste tipo. Para a
primeira abordagem, um recurso importante disponível no framework volatility, é a
possibilidade de realizar o parsing da memória para o formato texto, utilizando o co-
mando “strings”. Na sequência de comandos exemplificada abaixo, cat – string – grep
(Figura 11) auxiliam o perito a localizar um termo específico no dump em análise. Deve
ser informado o termo de procura (representado pelas aspas na imagem) logo após o
grep. Note que com esse comando, seria possível procurar nomes de programas ou de
arquivos e até mesmo comando de copiar e colar (CTRL+V) e seu conteúdo caso ainda
estivesse em memória à época, mas não é possível pesquisar o conteúdo do PDF que
nos interessa.

16
 Figura 11 – Representação da execução dos comandos cat – string –
grep para pesquisa de termos de interesse na memória em análise

Considerando essa limitação, vamos então lançar mão de outra ferramenta, também
disponível no Kali Linux, chamada photorec. Originalmente desenvolvida para recuperar
arquivos de imagens acidentalmente removidas do disco, mas que ainda estivessem dispo-
níveis em memória em razão de terem sido acessadas e exibidas ao usuário recentemen-
te, podemos utilizar esse mesmo princípio para o nosso arquivo PDF, na verdade, para
qualquer tipo de arquivo que tivesse sido “carregado“ em memória antes de nosso dump.

A execução do comando é bastante simples, como pode ser vista na ilustração abaixo
(Figura 12). Inicializamos o programa inserindo o nome do arquivo de memória que
desejamos analisar e, em seguida, informamos o tipo de sistema de arquivos em vigor
na máquina investigada.

Figura 12 – Representação da execução da ferramenta photorec

Fica evidente, neste caso, que o perito obteve sucesso em ligar o objeto em análise,
com a hipótese de investigação, por meio da evidência de que a palavra-chave estava
contida no arquivo acessado pelo suspeito no computador investigado, na hora do evento
descrito pelo caso. Para facilitar a compreensão, executamos a atividade exemplo de for-
ma que apenas um arquivo “.pdf” estivesse disponível em memória, mas frequentemente
na atividade do perito, esta fase demanda a verificação de dezenas de arquivos.

17
17
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

A ferramenta volatility, disponibilizada na distribuição Kali Linux utilizada para estas de-
monstrações, possui uma série de outros recursos e análises de memória não exploradas na
breve introdução dada neste capítulo. Saiba mais sobre seu uso em: http://bit.ly/2wjOaHE

Coleta de Evidências em Disco

O processo de coleta de evidências em disco, quando comparado com o processo
envolvendo a memória, é bem mais simples. Tanto em razão de sua menor sensibilidade
em relação às interferências e contaminações da evidência por parte do perito, como
pela sua menor prioridade em relação ao OOV.

Ainda que existam softwares e equipamentos específicos que garantirão um cenário

ideal com baixíssima interferência e contaminação, verdade, esta tarefa não difere muito
dos processos de backup que realizamos como administradores de sistemas ou redes.

Como vimos nas primeiras unidades desta disciplina, comandos simples como fdisk-l
e dd if= <entrada> of= <saída> (normalmente executados com padrão de intervalo de
leitura de 512 bytes) (Tanenbaum, 2014) podem ser usados, inclusive para enviar a cópia
diretamente para outra máquina (do perito, por exemplo) por meio da rede. Contudo, o
uso de formatos de saída conhecidos ajudam o trabalho do perito tanto para possibilitar
o uso de múltiplas ferramentas em análises da cópia do disco posteriormente quanto
para o compartilhamento com outros profissionais em casos que haja necessidade de
análise pericial multidisciplinar (TOLEDO; RODRIGUES, 2017) ou mesmo multicêntri-
ca (vários países envolvidos, por exemplo). Neste sentido, é importante que esta etapa,
quando possível, seja executada resultando em um dos três formatos mais utilizados pela
área, o Advance Forensics Format (AFF), Expert Witness Compression Format (EWF)
ou dc3dd (BROOKS, 2014).

Ilustrando o Processo
Neste exemplo, usaremos uma ferramenta “opensource” que pode ser utilizada tam-
bém por meio de pendrive e que possibilita o boot por meio dela própria, caso o SO
não esteja operacional. Lembrando-se do nosso cenário inicial e processo de dump de
memória já realizado, esta atividade ajudará a complementar a investigação não só for-
necendo os dados de paginação, caso o sistema estivesse utilizando-se de memória vir-
tual, mas na obtenção do próprio arquivo confidencial, escopo central da investigação.

Capaz de clonar discos com sistemas de arquivos FAT e NTFS, o OSFClone (que
encapsula o comando “dd” citado) é um candidato compatível com o cenário do
Windows 7, o qual descrevemos para ilustrar o caso. Uma vantagem importante deste
programa e que deve ser considerada pelo perito forense computacional ao escolher o
seu kit de programas, é a capacidade de geração de hashes (HASH) para comprovação
de integridade individualmente para os arquivos, à medida que os copia.

18
 Figura 13 – Representação da execução da ferramenta OSFClone

Conheça os detalhes de instalação e uso dessa ferramenta usada para a cópia dos dados de
disco que usamos, e exercite reconstruindo o cenário exemplo proposto para esta unidade.
Atenção para o fato de que em alguns computadores o uso dessa ferramenta como boot
será restrito. Nas configurações de boot do computador, verifique se o Unified Extensible
Firmware Interface (UEFI) encontra-se habilitado e, caso afirmativo, desligue-o antes de
realizar o boot com o OSFClone. Disponível em: http://bit.ly/2whlPBJ

Conclusão
Nesta unidade, falamos sobre exemplos de atividades do perito forense, no contexto
de investigação de campo.

Nesta abordagem, ilustramos processos de extração e cópia de evidências digitais

para análise, tanto contidas em memória quanto em disco, no computador investigado.
Para isso, usamos um cenário fictício de incidente e contextualizamos com uma estória
que espero ter ajudado a compreender essas tarefas de forma mais facilitada.

Observamos que vários dos passos realizados remeteram àquilo que estudamos con-
ceitualmente nas unidades anteriores, principalmente as características de tipos de evi-
dências, cadeia de custódia e condições para que estas sejam aceitas em tribunal como
prova material.

Concluímos com essa unidade uma visão do papel do perito forense computacional,
no planejamento e execução de extração de evidências computacionais, alinhadas às
hipóteses e linhas de investigação adotadas.

Esperamos que tenha gostado e adquirido esses novos conhecimentos.

Bons estudos!
Abraços.

19
19
UNIDADE
Coleta de Evidências em Investigação de Crimes Digitais

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Vídeos
Comando dd – Clonar HDs, partições e criar imagens de disco e CDs – Linux
Entenda o uso do comando dd ilustrado aqui (em Português).
https://youtu.be/yYKE17YuO1Q
SecIC January 2018: “Memory Forensics with Vol(a|u)tility”
Uso geral do framework volatility (em Inglês).
https://youtu.be/dB5852eAgpc
Virtual Memory: 3 What is Virtual Memory?
Memória virtual (em Inglês).
https://youtu.be/qlH4-oHnBb8

Leitura
Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional
Leitura bastante abrangente e genérica sobre investigação de evidências computacionais:
SILVA, T.B.F. Perícia digital: estratégias para analisar e manter evidências íntegras em
forense computacional. TCC – Unisul Digital, 2017.
http://bit.ly/2wfnxng
A hardware-based memory acquisition procedure for digital investigations
Leitura interessante sobre o processo de extração de memória para análise pericial:
CARRIERA, B.D.; GRAND, J. A hardware-based memory acquisition procedure
for digital investigations, Digital Investigation. v.1, n.1 pp 50-60, 2004.
http://bit.ly/2woMCMl

20
Referências
BROOKS, C. L. CHFI – Computer Hacking Forensic Investigator Certification
All-in-One Exam Guide, 1. ed. McGraw-Hill Education, EUA, 2014.

KLEIMAN, D. The Official CHFI Study Guide (Exam 312-49): for Computer
Hacking Forensic Investigator. 1. ed. Syngress, EUA, 2011.

TANENBAUM, A. S.; BOS, H. Modern Operating Systems. 4. ed. Englewood Cliffs,

NJ, USA: Prentice Hall Press, 2014.

TOLEDO, J. C.; RODRIGUES, C. V. A value-based method for measuring

performance on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3,
p. 538-556, 2017.

21
21