1

Pericia Digital em Segurança

da Informação

Sergio Castilho
 2

Sumário
1 Conceitos Básicos ...................................................................................................5
1.1 Introdução.....................................................................................................................................5
1.2 Forense.........................................................................................................................................5
1.3 Ciência Forense ...........................................................................................................................6
1.4 Perícia...........................................................................................................................................6
1.5 Perícia Forese ..............................................................................................................................6
1.6 Perícia Digital (PD)...................................................................................................................6
1.7 Pericia Forense Digital (PFD)......................................................................................................6
1.8 História da Pericia Digital............................................................................................................7
1.9 Estabelecer Políticas da Empresa.................................................................................................8
1.10 Realização de investigações de segurança..................................................................................8
1.11 Conduta Profissional...................................................................................................................9
1.12 Perfil do Profissional .................................................................................................................9
1.13 Certificações em Computação Forense ...................................................................................10
1.13.1 Certificado Examinador de Computador ..............................................................................11
1.13.2 Certificado Examinador Forense de Computador ................................................................11
1.13.3 Certificado Examinador Forense Digital ..............................................................................11
1.13.4 Investigador Forense de Hackers de Computador ................................................................11
1.13.5 Analista Forense de Ciber Segurança ...................................................................................12
1.14 Ferramentas de Perícia Forense Computacional......................................................................12
1.14.1 Kit de Ferramenta Digital Forense (FDTK)..........................................................................12
1.14.2 Federal Computer Crime Unit (FCCU).................................................................................13
1.15 Aula Prática 1...........................................................................................................................13
2 Principais passos na Realização de Perícia Digital...............................................14
2.1 Introdução...................................................................................................................................14
2.2 Aula Prática 1.............................................................................................................................15
2.3 Modelo Guia de Pericia Digital..................................................................................................15
2.3.1 Fase de Preparação: ................................................................................................................15
2.3.2 Fase de investigação................................................................................................................16
2.3.3 Fase da Perícia Digital.............................................................................................................17
2.4 Aula Prática 2.............................................................................................................................19
3 Cadeia de Custódia................................................................................................20
3.1 Introdução...................................................................................................................................20
3.2 Requisitos Básicos da Cadeia de Custódia.................................................................................20
3.3 1a Etapa: Pré-Coleta Coleta .......................................................................................................21
3.4 2a Etapa: Coleta..........................................................................................................................22
4 Disco Rígido e Sistemas de Arquivo.....................................................................24
4.1 Componentes do Discos Rígidos ...............................................................................................24
4.2 O Funcionamento dos Discos Rígidos ......................................................................................24
4.3 Compreender sistemas de arquivos:...........................................................................................26
4.4 Modelo de Abstração do Sistema de Arquivo............................................................................26
4.4.1 Disco........................................................................................................................................26
4.4.2 Volume.....................................................................................................................................27
4.4.3 Sistema de Arquivos................................................................................................................27
4.4.4 Unidade de Dados....................................................................................................................27
4.5 FAT Conceitos e Análise.............................................................................................................27

Sergio Castilho
 3

4.6 Usando e entendendo o dd..........................................................................................................28

4.6.1 Fontes de entrada.....................................................................................................................29
4.7 O Master Boot Record (MBR)...................................................................................................30
4.8 Calculo da Capacidade de um Disco. ........................................................................................36
4.9 Aula Prática ...............................................................................................................................37
4.10 Aula Prática .............................................................................................................................37
5 Esteganografia.......................................................................................................39
5.1 O conceito de esteganografia em Imagem .................................................................................39
5.2 Classificação de esteganografia..................................................................................................39
5.2.1 Inserção....................................................................................................................................39
5.2.2 Substituição.............................................................................................................................39
5.2.3 Criação.....................................................................................................................................40
5.3 Aplicação de esteganografia.......................................................................................................40
5.3.1 Imagens estáticas: Fotos..........................................................................................................40
5.3.2 Imagens em Movimento: vídeo...............................................................................................41
5.3.3 Arquivos de áudio....................................................................................................................41
5.3.4 Arquivos de texto.....................................................................................................................41
5.3.5 Sistemas de Arquivos de Esteganografia.................................................................................41
5.4 Marca d'água...............................................................................................................................42
5.5 Detectar e atacar esteganografia.................................................................................................42
5.5.1 Testes estatísticos.....................................................................................................................43
5.5.2 Stegdetect................................................................................................................................43
5.5.3 Stegbreak.................................................................................................................................43
5.5.4 Espaços acrescentados e caracteres "invisíveis".....................................................................43
5.5.5 Paletas de cores........................................................................................................................44
5.6 Atacar esteganografia.................................................................................................................44
5.6.1 Desativar ou ataques ativos.....................................................................................................44
5.7 Aula Prática 3.............................................................................................................................44
5.8 Aula Prática 4.............................................................................................................................45
6 Recuperação de Arquivos......................................................................................46
6.1 O que é um arquivo....................................................................................................................46
6.2 Metadados...................................................................................................................................47
6.2.1 Nome do arquivo.....................................................................................................................47
6.3 Aula prática 7:.............................................................................................................................47

Sergio Castilho
 4

Índice de ilustrações
Figura 1: Fase de Preparação..............................................................................................................16
Figura 2: Embalagens plásticas para mídia diversas: CD\DVD, fitas cassete, VHS, de bolha
eantiestética para peças de computador..............................................................................................22
Figura 3: Embalagens especiais com proteção Faraday, evita que o equipamento receba
ligações e sofra alteração de informações..........................................................................................23
Figura 4: Modelo de Cadeia de Custódia...........................................................................................23
Figura 5: Disco Rígido.......................................................................................................................32
Figura 6: Setores e Trilhas..................................................................................................................33
Figura 7: Relação entre diretório e cluster na estrutura do sistema FAT ...........................................35
Figura 8: Conteúdo dos 512 bytes do MBR.......................................................................................38
Figura 9: GRUB MBR 0.92/0.93.......................................................................................................40
Figura 10: MBR MS-Windows 95B, 98, 98SE and ME....................................................................41
Figura 11: MBR Windows 7...............................................................................................................42
Figura 12: MBR em um disco com quatro partições..........................................................................43

Sergio Castilho
 5

1 Conceitos Básicos

1.1 Introdução

Pode-se dizer que Perícia Digital Computacional é uma nova disciplina, ou seja, um novo
método de investigação que surgiu para acompanhar e controlar o crescimento das novas
tecnologias que foram inseridas em nosso cotidiano nos últimos anos, com intuito de facilitar e
dar agilidade aos procedimentos de transmissão de informação, muitos aplicativos e softwares
são criados á todo momento e inseridos em nosso dia-a-dia para auxílio do trabalho, sendo eles
voltados para para os mais diversos tipos de uso.
Mas na mesma velocidade que cresce as tecnologias voltadas para auxiliar os usuários,
também crescem as possibilidades de falhas naturais ou intencionai e até mesmo delitos que se
utilizam destas novas tecnologias.
Pesquisadores estão experimentando um aumento tanto no número como na complexidade
dos casos de forense digital. Estima-se que 94% a 99% de todos os registros de negócios são criados
e mantidos em formato eletrônico.
O número de casos está aumentando por uma variedade de razões, incluindo melhor
conhecimento de técnicas digitais em todos os níveis de aplicação, das leis e da necessidade do
setor privado. A complexidade dos casos está crescendo porque as metas forenses com centenas de
gigabytes ou terabytes de armazenamento estão se tornando comuns e casos envolvem
rotineiramente mais do que um único computador.
Além disso, mais casos, maiores e mais complicado leva a necessidade de resposta rápida,
especialmente quando envolve potencial perda de vida ou propriedade. Isto leva a digital buscar
ferramentas significativamente melhores, tanto em riqueza de características como em velocidade.
Conhecer essas ferramentas vai exigir um olhar crítico sobre as ofertas atuais e níveis
significativos de inovação por parte dos usuários.

1.2 Forense
Forense é um termo relacionado aos tribunais ou ao direito, relacionado com o
desvendamento de crimes.
Vem do latim forense que se refere ao foro judicial, relativo aos tribunais

Sergio Castilho
 6

1.3 Ciência Forense

A Ciência Forense deve ser compreendida como um conjunto de componentes ou áreas entre
elas a Antropologia, Criminologia, Odontologia, Patologia, Psicologia, Matemática, Química,
Computação, entre outras que em conjunto, atuam de modo a resolver casos de carácter legal.
Portanto a Ciência Forense não é uma ciência única e deve ser compreendida como o
conjunto de todos os conhecimentos científicos e técnicas que são utilizados para responder a
questões relacionadas ao Direito.

1.4 Perícia
É a atividade concernente a exame realizado por profissional especialista, legalmente
habilitado, destinada a verificar ou esclarecer determinado fato, apurar as causas motivadoras do
mesmo, ou o estado, a alegação de direitos ou a estimação da coisa que é objeto de litígio ou
processo.

1.5 Perícia Forese

É o estudo da aplicação dos conhecimentos técnicos e científicos, que devem auxiliar as
autoridades judiciárias, através dos indícios materiais do delito, para a caracterização do crime e, se
possível, sua autoria. Um perito pode ser requisitado tanto no âmbito civil quanto no penal.
“A perícia forense é a lanterna que ilumina o caminho do juiz que, por não a ter quanto a um
determinado fato, está na escuridão” 1

1.6 Perícia Digital (PD)

A PD é a atividade de investigar um delito na área digital, por um perito, normalmente
realizado contra os computadores, seus periféricos, as redes de comunicação e os aplicativos.
Na PD são aplicados conhecimentos de informática e técnicas de investigação com a
finalidade de obtenção de evidências, além de ser uma área relativamente nova e em grande
ascensão, justamente por isso tornou-se uma prática importante nas corporações e polícias, que
utilizam resultados científicos e matemáticos estudados na ciência da computação.

1.7 Pericia Forense Digital (PFD)

Pericia Forense Digital (PFD) é considerado um termo apropriado e seu profissional ‚ o
“Perito Forense Digital”, “Perito Digital Forense” ou somente “Perito Digital” 2. Em se
considerando o argumentado, tem-se que o termo Digital no Brasil, deve ser interpretado como

1 Stumvoll Vitor, Quintela Vitor, Dorea Eduardo. Criminalística. Editora Sagra Luzzato. Porto Alegre, 1999
2 UMA PROPOSTA PARA PADRONIZAÇÃO DA TERMINOLOGIA, José Antonio Milagre

Sergio Castilho
 7

ciência, enquanto meio, e como objeto, enquanto ambiente em que a análise se desenvolverá.
A Perícia Forense Digital ilumina o caminho do juiz relativamente aos crimes digitais.

1.8 História da Pericia Digital

1970
Primeiros casos de crimes envolvendo computadores, principalmente fraude financeira
1980
Investigadores financeiros percebem que em alguns casos, todos os registros e evidências
estavam apenas em computadores.
Norton Utilities, ferramenta de "Un-erase"
Criada a Association of Certified Fraud Examiners, começou a formação que se tornou mais
tarde a computação forense
Aulas regulares começaram a ser dadas para os agentes federais na Califórnia
HTCIA - High Technology Crime Investigation Association formada no sul da Califórnia
1984
FBI cria o Programa de Mídia Magnética que mais tarde, tornar-se a Computer Analysis and
Response Team (CART)
1987
Acces Data a primeira empresa de Cyber Forense
1988
Criação de IACIS, International Association of Computer Investigative Specialists
Primeira apreensão de computadores para recuperação de evidências
1993
Primeira Conferência Internacional sobre Evidências em Computador
1995
Formada a International Organization on Computer Evidence (IOCE)
1997
Os países do G8 em Moscou declaram que: "pessoas devem ser treinadas e equipadas para
lidar com crimes de alta tecnologia".
1998
Em março G8 nomeado IICE para criar os princípios internacionais, diretrizes e
procedimentos relativos à prova digital
1998

Sergio Castilho
 8

INTERPOL Forensic Science Symposium

1999
FBI CART analisa 2.000 casos onde examina de 17 terabytes de dados
2000
Estabelecido o primeiro FBI Regional Computer Forensic Laboratory
2003
FBI CART analisa 6.500 casos onde examina 782 terabytes de dados

1.9 Estabelecer Políticas da Empresa

Uma forma das empresas reduzir o risco de litígio e investigação é publicar e manter as
políticas que os funcionários devem e ler e seguir. As políticas mais importantes são aquelas que
estabelecem regras para o uso de computadores e redes da empresa. As políticas da empresa
fornecem uma linha de autoridade para realizar investigações internas. A linha de autoridade afirma
que tem o direito legal para iniciar uma investigação, que pode tomar posse de provas e quem pode
ter acesso as provas.
Políticas bem definidas dão aos investigadores de informática e os médicos legistas a
autoridade para conduzir uma investigação. As políticas também demonstram que uma organização
pretende ser justa e objetiva sobre como ele trata os funcionários.
Sem políticas definidas, uma empresa corre o risco de expor-se ao litígio de funcionários
atuais ou antigos. A pessoa ou comissão encarregada da manutenção de políticas corporativas
também devem ficar atualizadas com as leis locais, que podem variar de acordo com a cidade,
estado e país.

1.10 Realização de investigações de segurança

Conduzir uma investigação computacional no setor privado não é muito diferente de realizar
uma no setor público. Durante as investigações públicas, procura-se provas para apoiar acusações
criminais. Durante as investigações privadas, procura-se evidências para apoiar as alegações de
abuso de bens de uma empresa e, em alguns casos, queixas-crime.
Três tipos de situações são comuns em ambientes corporativos:
• Abuso ou mau uso dos ativos de informática
• Abuso de E-mail
• Abuso da Internet
A maioria das investigações de informática no setor privado envolvem abuso de bens de
informática. Normalmente, este abuso é referido como "violação das regras pelos empregados da

Sergio Castilho
 9

empresa."
O papel de um perito digital é dar informações completas e precisas, para que possam
verificar e corrigir problemas de abuso em uma organização.

1.11 Conduta Profissional

A conduta profissional de um perito digital é fundamental porque determina a sua
credibilidade. Conduta profissional inclui a ética, a moral e os padrões de comportamento. Como
um profissional, é necessário apresentar o mais elevado nível de comportamento ético em todos os
momentos. Para fazer isso, o profissional deve manter a objetividade e confidencialidade durante
uma investigação, expandir o seu conhecimento técnico de forma contínua, e conduzir-se com
integridade.
Em qualquer jure criminal atual é possível atacar o caráter das testemunhas, desta forma a
reputação de honestidade deve ser irrepreensível. Manter a objetividade significa formar e sustentar
opiniões imparciais sobre os casos.
Evite fazer conclusões sobre as descobertas até que tenha esgotado todas as ligações
razoáveis e considerados os dados disponíveis. A responsabilidade principal do perito é encontrar
evidências digitais para apoiar ou refutar a acusação.
A credibilidade de uma investigação deve ser mantida, mantendo o caso em sigilo. Discutir
o caso apenas com as pessoas que precisam saber sobre ele, como outros investigadores envolvidos
no caso ou alguém na linha de autoridade. Todas as investigações devem ser mantida em sigilo, até
que o perito seja designado como testemunha ou exigido pelo advogado ou tribunal para liberar um
relatório.

1.12 Perfil do Profissional

Apresentar o perfil de um profissional independente da área em que atua sempre
requer conhecimento e pesquisas sobre suas atividades e ambiente de trabalho, para que de uma
forma objetiva e qualificadora exiba suas funções e obrigações junto á sociedade, com o Perito
Digital não é diferente, pois este profissional atua com dados de diferentes cenários de
investigação tendo ambientes físicos os computadores, celulares, tabletes, ambiente virtual, rede de
dados, entre outros
Requisitos básicos indispensáveis para o profissional de PD, acima de tudo é trabalhar com
ética, honestidade e possuir intuito investigativo, pois seu trabalho produzirá laudos técnicos que
podem envolver pessoas físicas, pessoas jurídicas, instituições públicas, informações sigilosas com
o intuito de identificar diretamente o autor ou a vítima do crime digital.

Sergio Castilho
 10

Queiroz e Vargas3 afirma que: “é bem difícil juntar competências das mais variadas áreas de
conhecimento para atuar especificamente em um único campo. Motivo suficiente para buscarmos
qualificação constante”.
Assim o perito trabalha para identificar o causador do incidente ou crime e a vítima, através
da coleta de evidências e materiais para análise e apresentação, no intuito de comprovar o ocorrido
e solucionar os casos cabíveis
Portanto para atuar como PD é são necessárias características profissionais e formações
compatíveis com o cargo, devido a importância do seu trabalho, pois em todo caso que o perito é
solicitado, exige-se capacidades técnicas e conhecimentos investigativos desde o início até o fim da
investigação.
Abaixo estão as características desejáveis que o profissional deve possuir:
• Ter formação superior em tecnologia.

• Se possível, possuir mestrado acadêmico ou profissional (dentro da área).

• Ter especialização.

• Ser proficiente em língua estrangeira (de preferência o inglês).

• Ter conhecimento das leis que envolvam crimes praticados com auxílio do computador
e da internet.

• Ter domínio tecnológico, larga experiência profissional (expertise).

• Ter interesse real pela área de perícia forense digital.

• Ser interessado em todos os assuntos que dizem respeito à área de perícia forense.

• Ter boa redação (estudar concordância e verbos é fundamental).

• Estudar técnicas de redação jurídicas.

• Ter conhecimento sobre os termos da linguagem de direito.

1.13 Certificações em Computação Forense

O mercado nesta área é extremamente concorrido, o profissional que egressa no âmbito da
segurança da informação ou da PD tem a necessidade de manter-se atualizado e capacitado para
que em uma eventual solicitação de trabalho o mesmo esteja apto a executar de forma legal e
principalmente ética, a produção de laudos técnicos, ou seja, apto a executar uma investigação que
3 Vargas,Rafael e Queiros, Claudemir. Investigação e Perícia Forense Computacional

Sergio Castilho
 11

produza provas verídicas que possa ser utilizadas no auxílio das empresas ou da justiça na solução
de incidentes ou crimes eletrônico.

1.13.1 Certificado Examinador de Computador

A Certificação de Examinador de Computador também conhecida como (CCE) tem o intuito
de analisar o conhecimento dos profissionais que atuam na área forense computacional, e o
profissional saiba como está seu nível de conhecimento em procedimentos investigativos. Esta
certificação é obtida através de um exame aplicado pela empresa International Society of
Forensic Computer Examiners (ISFCE)

1.13.2 Certificado Examinador Forense de Computador

O exame Certified Computer Forensics Examiner (CCFE) é fornecido pela Information
Assurance Certification Review Board (IACRB) e avalia o conhecimento do candidato sobre a
computação forense e análise de processo, focando na possibilidade de realizar uma prática de
investigação computacional forense, análise e relatório do processo. Candidatos à certificação
devem passar por um exame de múltipla escolha on-line, que abrange nove domínios de
conhecimento, incluindo ferramentas de informática forense, as investigações, os sistemas de
arquivos, análise de provas e redação do relatório. Depois de passar no exame escrito, um trabalho
prático deve ser preenchido, no qual o candidato terá 60 dias para realizar uma análise forense de
um computador qualquer e redigir um relatório sobre as falhas técnicas e informações relevantes
deste computador.

1.13.3 Certificado Examinador Forense Digital

A certificação Certified Digital Forensics Examiner (CDFE) é realizada pela Mile2, e destina-
se ao profissional de TI com conhecimento em de uma ampla gama de assuntos em computação
forense, provas digitais e tecnologias relacionadas. A CDFE é uma certificação obtida pela
realização de um exame com 100 perguntas em pouco mais de duas horas, onde é necessário um
score mínimo de 75%.

1.13.4 Investigador Forense de Hackers de Computador

Computer Hacking Forensic Investigator (CHFI) é uma certificação criada por pelo EC-Council. A
certificação CHFI é adquirida por um único exame online, que poderá ser realizado em qualquer
centro de testes Prometric. Este exame envolve técnicas de investigação em Windows, Mac, Linux
e telefones celulares. Além disso, temos diversos assuntos, como malwares, documentação de rede,
relatórios, leis internacionais e conformidade legal, um grande número de ferramentas de

Sergio Castilho
 12

computação forense. O CHFI exige uma re-certificação a cada três anos.

1.13.5 Analista Forense de Ciber Segurança

O CyberSecurity Forensic Analyst (CSFA) é uma certificação realizada pel0 CyberSecurity
Institute e destina-se para os candidatos que queiram confirmar se são realmente capazes de
conduzir uma análise forense completa e são capazes de comunicar os resultados de suas análises de
forma eficaz. O CSFA contém 50 questões de múltipla escolha e um laboratório prático no qual o
candidato tem três dias para completar uma série de trabalhos práticos. A prova escrita vale 30% na
sua pontuação final, enquanto as aulas práticas valem 70%. Uma pontuação final de 85% é
necessária para passar. Os pré-requisitos para fazer o exame CSFA incluem uma recomendação de
pelo menos dois anos de experiência na área de análises forenses. Também é altamente
recomendável que o candidato já possua uma ou mais certificações profissionais forenses. Um
documento comprovando seus antecedentes criminais também será exigido.

1.14 Ferramentas de Perícia Forense Computacional

Vários usuários ou uma empresas sofres várias tentativas de invasão a todo momento, através
de e-mails falsos, tentativas de fraudes, pirataria, acessos indevidos a informações sigilosas entre
outros.
Para acompanhar e combater os incidentes digitais, os PD utilizam ferramentas cada vez mais
sofisticadas para suas investigações, auxiliando na identificação, coleta de evidências,
armazenamento e apresentação dos fatos. Destas ferramentas, duas se destacam:

1.14.1 Kit de Ferramenta Digital Forense (FDTK)

A ferramenta FDTK-UBUNTUBR atualmente na versão 3, foi desenvolvida no Brasil para
auxiliar os peritos em investigações forenses, trata-se de uma ferramentas digital forenses acoplada
a uma versão livre do sistema operacional Linux .
O FDTK- UBUNTUBR tem um kit com mais de 100 ferramentas capaz de atender a todas
as etapas de uma perícia digital, abordando desde o inicio da investigação até seu final, onde
ocorre a apresentação das evidências coletadas ao meio jurídico de forma padronizada e seguindo
uma sequência válida que a própria sequência de ferramenta induz a realizar com os itens abaixo:
• Coleta dos dados.
• Exame dos dados.
• Análise das evidências.
• Toolkits (kit de ferramentas).

Sergio Castilho
 13

1.14.2 Federal Computer Crime Unit (FCCU)

OFCCU é de todas as ferramentas, a mais completo, a quantidade e a variedade de utilitários
presentes são de impressionar. Foi criada por Chirstophe Monniez, da Polícia Federal Belga e está
em sua versão 12.1. Esta ferramenta recebe em média 3 atualizações por ano e está baseada no
projeto Debian.
Possui uma documentação detalhada e atualizada de todos os utilitários do produto, bem
como algumas outras informações técnicas, O desktop é baseado no xfce e possui alguns poucos
ícones.
É uma da únicas a oferecer fuzzy hash (ssdeep) e o browser history viewer, um utilitário que
examina a histórico de ǘarios tipos tipos de navegadores. 14 utilitários tratam arquivos do Windows
bem como do MSOffice e quase 30 utilitários de rede, contando com o Wireshark e o nmap. Possui
16 utilitários de quebra de senha, incluindo john the ripper e OphCrack, além da recente inclusão do
Volatility.

1.15 Aula Prática 1

Tirar uma foto do grupo em uma máquina de alta resolução (maior ou igual a 8 mega pixel)
Instalar a plataforma Deft8 em uma máquina virtual
Verificar o arquivo Modelo de Relatório no apêndice A ou na Plataforma EAD

Sergio Castilho
 14

2 Principais passos na Realização de Perícia Digital

Methodological Frameworks of Digital Forensics

Computer Forensics Guidance Model with Cases Study

NIST Guide to Integrating Forensic Techniques into Incident Response

2.1 Introdução
Nos últimos anos a PD veio como um método cada vez mais importante de identificar e
processar os criminosos de computador. Antes do desenvolvimento das técnicas de análise
computacional, muitos casos de criminalidade informática ficaram sem solução. Existem muitas
razões pelas quais uma investigação não pode levar a uma acusação bem sucedida, mas a questão
predominante é uma falta de preparação: ferramentas e habilidades necessárias para se reunir com
sucesso evidência digital. Prova digital ou prova eletrônica é qualquer informação probatório
armazenados ou transmitidos digitalmente. Prova digital inclui provas de computador, áudio digital,
vídeo digital, telefones celulares, máquinas de fax digitais etc.
Uma investigação digitais para buscar evidências normalmente ocorre como resposta a um
sério incidente de segurança. Na verdade, há muitas situações em que uma organização pode se
beneficiar da capacidade de reunir e preservar evidências digitais antes que um incidente ocorra.
Ela normalmente ocorre quando o PC de um suspeito foi apreendido. Inicialmente é gerada
uma imagem do disco rígido e a investigação prossegue para procurar vestígios de provas. O exame
é realizado de forma sistemática, formal e legal para garantir a admissibilidade das provas. O
processo de uma investigação digital esta sujeito a integridade das provas e dos processo de
investigação.
O Departamento de Justiça dos EUA publicou um modelo de processo que consiste em quatro
fases4:
• Coleta (Collection) - envolve a pesquisa, reconhecimento, recolha e documentação da prova.
• Exame (Examination) - Esta fase é projetada para facilitar a visibilidade da prova, ao
explicar a sua origem e significado. Trata-se de revelar informações ocultas, bem como a
documentação pertinente.
• Análise (Analysis) – Esta fase olha para o produto do exame pelo seu significado e valor
probatório do caso.
4 National Institute of Justice: Electronic Crime Scene Investigation. A Guide for First Responders, 2001. Retrieved
June 14, 2011, from: http://www.ncjrs.org/pdffiles1/nij/187736.pdf

Sergio Castilho
 15

• Relatório (Reporting) - Isto implica escrever um relatório descrevendo o processo de análise

e dados pertinentes recuperados a partir da investigação em geral.

2.2 Aula Prática 1

Formar o grupo de sala, este grupo fará todos os trabalhos no decorrer do semestre bem
como as provas práticas.

Reunir o grupo e tirar uma fotografias em alta resolução (acima de 8 Mb), dos membros do
grupo.

2.3 Modelo Guia de Pericia Digital

Este modelo proposto por Noureldin e Hashem5, fornece detalhes de cada fase para que possa
ser usado como orientação para investigadores forenses. O processo de investigação está
estruturado em forma de fluxograma para que a sequência de investigação seja clara. Ele está
estruturado para incentivar uma solução completa, rigorosa de investigação, garantir o tratamento
da evidência adequadamente e reduzir a chance de erros criados por armadilhas potenciais.

2.3.1 Fase de Preparação:

Esta é a primeira fase dos processos de tratamento de incidentes. Devem ser aplicada antes de
manusear qualquer investigação, o objectivo desta fase é ter certeza de que a operação e infra-
estrutura pode apoiar a investigação. A fase de preparação podem ser subdivididos nas seguintes
procedimentos:
1) Pré-preparação
Esta sub-fase é necessário para assegurar que a organização é capaz de suportar a investigação
do ponto de vista operacional e infra-estrutura. A Pré-preparação é muito importante e deve ser
realizada antes que qualquer investigação começe. Ele inclui a detecção, notificação e identificação
do crime, define as tarefas e responsabilidades entre os membros da equipe, receber autorização
para investigar a fundo o incidente e a cena do crime. Além disso, a avaliação de risco, de
informação de gestão, decisões, políticas, procedimentos e coordenação legal são realizados nesta
sub-fase.
2) Avaliação do caso
Avaliação do caso é realizada antes do início da investigação da cena do crime físico, ela é
necessária para fornecer informações sobre o caso e tenta descobrir o motivo deste crime.

5 Computer Forensics Guidance Model with Cases Study, 2011 Third International Conference on Multimedia
Information Networking and Security

Sergio Castilho
 16

3) Elaboração do Projeto Detalhado para o caso

O esboço geral para investigar o caso, em que os passos detalhados são preparadas tendo em
conta o tempo estimado, recursos e dinheiro necessário para concluir cada etapa.
4) Elaboração do plano de investigação
A atividade de planejamento é fortemente influenciada por informações de dentro e fora da
organização investigada. Um bom planejamento é essencial para o sucesso de qualquer
investigação, deve ser dada uma importância prévia para o planejamento.
5) Determinação de recursos necessários
Determine o tipo de software e hardware para a investigação de acordo com a suspeita e
sistema operacional. Ferramentas que são aceitos pelos tribunais (testada) devem ser usadas.

Pré- Elaboração Elaboração Determinação

Avaliação do
Preparação do Projeto do plano de dos Recursos
Caso
Detalhado Investigação Necessários

Figura 1: Fase de Preparação

2.3.2 Fase de investigação

O objetivo desta fase é coletar e analisar as evidências físicas e reconstruir as ações que
aconteceram durante o incidente. Ele tenta identificar as pessoas que são responsáveis pelo
incidente. Esta fase compreende:
1) Preservação Física
Preservação é um processo contínuo ao longo de todo os procedimentos de investigação. Os
objetivos da preservação das provas são maximizar a disponibilidade, a qualidade e evidência
manter a integridade dos elementos durante todo o processo de investigação. O resultado dessa fase
deve manter todos os conteúdos mapeados e registrados, com acompanhamento de fotografias e
diagramas básicos para documentar áreas importantes e itens.
2) Levantamento preliminar da Cena Física
O objetivo desta sub fase é identificar as peças óbvias de evidências físicas e desenvolver uma
teoria inicial sobre o crime. Investigadores caminham ao redor da cena para reconhecer evidências
óbvias de modo que eles tentam obter um grande retrato do que aconteceu na cena do crime.
3) Avaliar a Cena Física
Antes da apreensão de evidências físicas e avaliação do incidente, os procedimentos e os

Sergio Castilho
 17

recursos necessários para realizar a de apreensão são necessários. Na conclusão desta parte, o
investigador deve ter uma ideia sobre como processar a cena do crime e que habilidades especiais
são necessários.
4) Documentação Inicial, Fotografias e Narração.
O objetivo é capturar o máximo de informações possível, para que os importantes detalhes do
layout da cena do crime sejam preservados e gravados. Toda a informação relevante que é gerado
durante toda a investigação deve ser registrado para apoiar a tomada de decisão, bem como o
processamento legal administrativo dessas decisões.
5) Pesquisa e Coleta de Evidências Físicas
De acordo com o caso e dependendo da avaliação inicial, estes passos podem mudar. Esta é a
última fase que normalmente ocorre na cena física do crime. Trata-se de uma pesquisa profunda e
coleta da cena para a evidência física adicional.
6) Levantamento Final e para a Reconstrução da Sena Física do Crime
A reconstrução desempenha um papel crítico na resolução de crimes físicos, explicando por
que uma evidência física tem certas características, é o mesmo no caso de crimes digitais. Esta sub
fase primeiro envolve a revisão da investigação física para identificar áreas de melhoria. Em
seguida, ela organiza os resultados da análise de provas físicas recolhidas, usando as fotos da cena
do crime para desenvolver uma teoria para o incidente. O método científico é utilizado com a
evidência para testar as teorias dos incidentes. Os resultados da investigação da cena do crime
digitais estão correlacionados com a evidência física de vincular uma pessoa para os eventos
digitais.

2.3.3 Fase da Perícia Digital

Esta fase trata o computador como uma cena do crime a procurá-la de provas. Os
investigadores com formação especializada, com ferramentas e técnicas de análise geralmente
executam nesta fase. O objetivo desta fase é identificar e recolher os eventos eletrônicos que
ocorreram no cenário, analisá-los e combiná-los com os resultados da investigação da cena do crime
físico, para obter respostas para quem, o quê, onde, quando, porquê e como o mesmo ocorreu. Ele
inclui os passos seguintes:
1) Analise e Avaliação
É preciso verificar as evidências físicas que foram apreendidas antes de iniciar os
procedimentos de investigação digital, isso pode ocorrer em um laboratório, nas sistema ou nas
evidências apreendidas.

Sergio Castilho
 18

2) Aquisição de Evidências Digitais

A maior parte do tempo é gasto na investigação desta parte. Recuperação de evidências
depende de como exatamente a cópia é realizada, então para atender a essa necessidade uma cópia
bit a bit também conhecido como foto ou imagem espelho é necessária. A coleta de dados pode ser
feita em um sistema em operação (ligado), ou em um sistema desligado, depende do caso.
3) Levantamento do Cenário Digital
A fase de levantamento é realizado em um sistema em operação (ligado), ou na imagem do
sistema. Esta fase ocorre principalmente num laboratório, usando uma das imagens obtidas na cena
do crime ou uma réplica digital, isso proporciona um ambiente controlado e os resultados podem ser
repetidos com uma outra cópia do sistema. São examinados os locais óbvios além de uma pesquisar
no sistema pro provas adicionais. A procura de evidências digitais para uma determinada classe de
crime depende da habilidade do perito e que técnicas de análise a investigação vai exigir, já a
dificuldade em encontra-las depende da habilidade do suspeito.
4) Exame da Evidência Digital
Antes de realizar uma análise completa das fontes de evidências digitais preservadas, é
necessário extrair os dados que foram apagados, escondido, camuflado, ou que estão de alguma
maneira indisponíveis para visualização, no sistema operacional nativo ou no sistema de arquivos
residente. O objetivo do processo de exame é localizar, extrair evidências digitais, identificar e se
possível, tornar visível, todos os dados que podem ser reconhecidos como pertencentes a um
determinado tipo de dados para analisar e reconstruir a cena do crime.
Diferentes tipos de casos e meios de comunicação podem exigir diferentes métodos de exame.
Os profissionais que realizam um exame de evidências digital deve ser treinado para este fim. Ao
realizar o exame de provas, considere o uso das seguintes etapas: preparação de diretórios de
trabalho, localização de evidências e extração de dados.
5) Reconstrução dos dados extraídos
Uma vez que a prova é recolhida e extraída, ela pode ser usada para reconstruir ou produzir
uma imagem clara do crime identificando os elos na imagem. Existem muitas técnicas de análise,
algumas das técnicas podem ser usadas em diferentes casos, mas não estão limitados a:
• Análise das datas,
• Análise dos dados escondidos,
• Análise das aplicação e dos arquivo,
• Propriedade e posse,
• Análise de arquivos de log,

Sergio Castilho
 19

• Análise de mensagens de e-mail e

• Análise de redes.
6) Conclusão
Os resultados obtidos a partir de qualquer um destes passos podem não ser suficientes para
tirar uma conclusão. Como um passo final na fase de análise, considere analisar os resultados
físicos e da perícia digital, organizar os resultados das evidências físicas com as coletadas digitais
pode vincular uma pessoa com os os eventos ocorridos.

2.4 Aula Prática 2

Com a foto do grupo gerar o Hach da imagem com pelo menos duas ferramentas diferente da
plataforma Deft8
Entregar o relatório do trabalho conforme modelo no item Descrição Geral da plataforma
EAD coloque uma definição rápida de hach.
Verificar o arquivo Modelo de Relatório na Plataforma EAD.

Sergio Castilho
 20

3 Cadeia de Custódia

3.1 Introdução
Todos os procedimentos relacionados com as evidências de uma investigação, desde a
coleta, o manuseio e finalmente a análise análise, quando realizado sem a necessária cautelas e
condições mínimas de segurança, podem acarretar na perda de integridade da prova, provocando
danos no material coletado e, comprometendo a idoneidade da prova e de um futura processo.

Deste modo é necessário estabelecimento um controle de forma documentada sobre todas as

fases deste processo, adotando-se assim a Cadeia de Custódia (CC), cujo objetivo é garantir a
integridade, identidade e idoneidade do objeto coletado. Manter a integridade relacionada à
identidade de procedimento, são de grande relevância no âmbito judicial. O art. 159 do Código de
Processo Penal (CPP) modificad0 pela Lei no. 11.690/2008, reflete a necessidade imperiosa da
implantação de um Centro de Custódia de Evidências Criminais. A referida Lei fortalece a Cadeia
de Custódia, de forma a garantir que a autenticidade e a integridade das amostras sejam mantidas,
englobando o local de coleta, o encaminhamento, o transporte, a entrega ao órgão de execução do
exame, durante a análise, até a conclusão e/ou devolução.

O modelo de Cadeia de Custódia utilizado na matéria PFSI, pode ser encontrado na

plataforma EAD, conforme Figura 4.

3.2 Requisitos Básicos da Cadeia de Custódia

Fazer o registro da amostra no exato local onde foi encontrada, descrevendo com
fotografias e medições –a chamada amarração –para, só depois, começar a manuseá-la.

Caso seja imprescindível, os peritos criminais devem estar preparados para realizar alguns
exames no próprio local, visando evitar eventuais perdas antes da sua movimentação e
recolhimento. Isso para evitar a possível perda de alguma informação ao manusear o objeto.

Antes do recolhimento do objeto, fazer a sua respectiva identificação, para constar do laudo
pericial e do auto de apreensão.

Colocar o objeto em embalagem adequada (malote, caixa, saco plástico, etc.) e lacrar a sua
abertura, apondo a assinatura do perito criminal ou da autoridade policial. Quando a embalagem
tiver lacre próprio, relacionar no laudo e no auto de apreensão o respectivo número do lacre.

Recomenda-se que o perito criminal ou o delegado de polícia acrescente um sinal/marca

Sergio Castilho
 21

próprio como garantia adicional, constando essa informação no laudo e no auto.

Quando se tratar de material sensível ao manuseio e transporte, tomar os devidos cuidados

para mantê-lo como foi encontrado.

Transportar o objeto para o Instituto de Criminalística se for necessário algum exame

pericial. Do contrário, levar diretamente para a respectiva Delegacia de Polícia onde estão sendo
coordenadas as investigações. Em se tratando de valores ou qualquer outro material peculiar (ex.
substância entorpecente), a autoridade policial deverá providenciar a guarda em local seguro ou dar
a destinação adequada.

Quando o objeto chegar ao Instituto de Criminalística, o lacre somente poderá ser rompido
pelo perito criminal que vá examinar o referido objeto, ficando sob a sua responsabilidade até o
final dos exames e entrega do laudo pericial.

Durante o período do exame, nos momentos em que não estiver sob a sua guarda visual
direta, é preciso que a Instituição tenha formas operacionais de garantir a integridade e segurança
desse objeto, a fim de manter a sua idoneidade. Todas essas informações deverão constar no laudo
pericial.

Quando o objeto retornar à Delegacia, procedente do Instituto de Criminalística, juntamente

com o laudo pericial, somente poderá ser aberto na estrita necessidade de algum exame. Não é
preciso abrir para conferir o conteúdo, já que estando lacrado; a responsabilidade é do perito
criminal até o momento que for aberto, mesmo que isso ocorra já no âmbito da Justiça.

É bom lembrar que o rompimento do lacre, sem motivo justificado, levanta suspeita à priori,
sobre a idoneidade do objeto, além de transferir a responsabilidade da guarda para quem o abriu.

Se o objeto foi diretamente para a Delegacia ou para lugar pré-determinado em função das
suas peculiaridades, a autoridade policial deverá tomar todas as providências para mantê-lo lacrado
e somente quando necessário poderá ser aberto, o que, para tanto, deve ser formalmente registrado.

Após aberto, deve ser novamente lacrado. Também neste caso, essas movimentações devem
constar de algum documento formal inserido no Inquérito, inclusive listando o nome de quem abriu
e quem manuseou tal objeto até o lacre seguinte.

3.3 1a Etapa: Pré-Coleta Coleta

Todas as informações pertinentes devem ser registradas, inclusive o(s) responsável(eis) pelo
preparo dos itens nessa etapa prévia (Quando e quem um equipamento que será utilizado no local).

Sergio Castilho
 22

Obs. Essas informações podem ser questionadas no futuro.

3.4 2a Etapa: Coleta

Momento em que as amostras são coletadas no local, para futura análise. Os vestígios devem
ser embalados e registrados; identificados e lacrados de forma apropriada. É importante que o lacre
permita a identificação de seu rompimento indevido. O registro da cadeia de Custódia pode ser feito
de modo eletrônico ou em papel. O código de identificação da amostra, referente ao caso ou
processo, deve ser transferido para o formulário de cadeia de custódia antes que esta seja
transportada para o laboratório.

A amostra é coletada no local de acordo com procedimentos operacionais e armazenada em

embalagem apropriada, inerte, e selada para prevenir abertura acidental ou por pessoa não
autorizada.

Cada embalagem deve ser identificada de forma inequívoca com caneta de tinta permanente,
referindo-se ao número do processo.

Deve-se utilizar formulário apropriado para registro das amostras coletadas no local e cadeia
de custódia.

Importância de utilizar embalagens adequadas para os diversos tipos de vestígios:

Manter a integridade da amostra desde a coleta até a destruição final (se for o caso).

Redução do risco para as pessoas que manipulam a amostra.

Figura 2: Embalagens plásticas para mídia diversas: CD\DVD, fitas cassete, VHS,
de bolha eantiestética para peças de computador

Sergio Castilho
 23

Figura 3: Embalagens especiais com proteção Faraday, evita que o

equipamento receba ligações e sofra alteração de informações

Figura 4: Modelo de Cadeia de Custódia

Sergio Castilho
 24

4 Disco Rígido e Sistemas de Arquivo

A unidade de disco ou disco rígido é um mecanismo que lê e grava os dados de um disco. O

disco na unidade de disco gira em velocidades muito altas.
Os dados são organizados no disco rígido em um método semelhante ao de um armário de
arquivo, onde podem acessar facilmente os dados e programas. Quando um computador usa um
programa ou dado, estes são copiados a partir de sua localização para um local temporário. Quando
um usuário faz alterações em um arquivo , o computador salva o arquivo , substituindo o arquivo
antigo com o novo arquivo . Os dados são gravados magneticamente em um disco rígido . Um prato
que gira rapidamente é usado como mídia de gravação.
Algumas características que as pessoas usam para diferenciar os diferentes tipos de discos
rígidos incluem:
Capacidade do disco rígid0
Interface utilizada
Velocidade em rotações por minuto
Tempo de busca
Tempo médio de acesso
Taxa de transferência

4.1 Componentes do Discos Rígidos

Os Disco ou Pratos giram em alta rotação enquanto o computador estiver ligado, mas para
economizar energia, após algum tempo sem uso o disco pode se desligar automaticamente para
economizar energia, aguardando o momento em que seus serviços seja solicitados.
Os pratos do disco podem alcançar mais de 8.000 rpm (rotações por minuto), nesta velocidade
uma pequena partícula de poeira ao chocar contra a cabeça de leitura e gravação, assemelha-se a um
veículo se chocando contra uma parede de concreto. Esse é um dos principais motivos que levam
um disco rígidos ser lacrado.
A velocidade muito elevada, gera uma camada de ar, permitindo um deslizamento preciso
auxiliando a impedir que a cabeça possa encostar na película magnetizável.

4.2 O Funcionamento dos Discos Rígidos

O disco rígido é uma memória não-volátil sendo considerado o principal meio de
armazenamento de dados, como mostra a Figura 2
Seu funcionamento feito através de dois movimentos distintos, o da cabeça de leitura e

Sergio Castilho
 25

gravação e o movimento do disco.

Girando o disco e a cabeça parada em algum ponto, denota uma trilha percorrida.
Cilindro é o nome usado para definir uma pilha de trilhas no conjunto de Discos. Sabe-se que
um disco possui duas faces e cada face possui um conjunto de trilhas, como mostra a Figura 2. Ao
analisar um disco horizontalmente, observa-se que a trilha superior está posicionada exatamente no
mesmo lugar em relação à trilha inferior, formando um cilindro.
O setor conforme Figura 3, é o menor grupo de bytes dentro de uma trilha que pode ser
endereçado em um disco rígido. O número de bytes varia, mas normalmente são de 512 bytes

Figura 5: Disco Rígido

Sergio Castilho
 26

Figura 6: Setores e Trilhas

4.3 Compreender sistemas de arquivos:

Paticamente em todas as perícias digitais depara-se com arquivo,s em arquivos apagados,
arquivos em pastas, arquivos em outros arquivos, todos armazenados de alguma forma. O objetivo
da análise de mídia é o de identificar, extrair e analisar esses arquivos e os sistemas de arquivos
onde estas se encontram. Identificação inclui determinar quais arquivos ativos e excluídos estão
disponíveis em um volume. Extração e a recuperação de dados de arquivos relevantes e metadados.
Análise é o processo em que utiliza-se de inteligência sobre um conjunto de dados e
idealmente, chega-se a resultados significativos. Note-se que estas não são necessariamente as
etapas procedais. Na verdade, alguns processos de exame podem facilmente ser descrito como de
identificação e de extração.

4.4 Modelo de Abstração do Sistema de Arquivo

Na Análise Forense do Sistema de Arquivo, visto através de um modelo de abstração pode ser
usado para descrever as funções dos sistemas de arquivos e os artefatos gerados por essas funções.
Para os leitores com formação de rede, este modelo não é muito diferente do modelo OSI.
A progressão lógica de qualquer sistema de arquivos, de baixo nível para alto nível, é:

4.4.1 Disco
Um disco refere-se a um dispositivo de armazenamento físico de um disco rígido SCSI ou
SATA, ou um cartão a partir de uma câmera digital, por exemplo. Análise de itens neste nível vai
geralmente além da capacidade da maioria dos meios de análise física de discos rígidos requer um

Sergio Castilho
 27

treinamento especializado e extenso conhecimento, acesso a uma sala limpa e equipamentos de

microscopia eletrônica caro.

4.4.2 Volume
Um volume é criado usando a totalidade ou parte de um ou mais discos. Um único disco pode
conter vários volumes, ou um volume pode abranger vários discos, dependendo da configuração. O
termo "partição" é muitas vezes usado como sinônimo para um volume; uma "partição" está
limitado a um único disco físico, e um volume é uma coleção de uma ou mais partições.
Simplificando, um volume descreve uma série de sectores de um disco em um determinado sistema.

4.4.3 Sistema de Arquivos

Um sistema de arquivos é previsto em um volume e descreve o layout dos arquivos e seus
metadados associados. Itens na camada de sistema de arquivos incluem metadados específicos
utilizados exclusivamente pelos sistemas operacionais.

4.4.4 Unidade de Dados

A unidade de dados é a menor unidade autônoma disponível de armazenamento de dados em
um determinado sistema de arquivos. Em sistemas de arquivos Unix e seus derivados, são
conhecidos como blocos. Estes são, em geral, 2 vezes o do tamanho do sector. Historicamente, o
tamanho do setor de todo o disco foi de 512 bytes, os sistemas de arquivos mais modernos usam
4.096 bytes (4K) ou maior como a menor unidade de dados endereçável. A informação disponível
na camada de unidade de dados é simples: o conteúdo dessa unidade de dados. Se esta unidade de
dados é atribuída a uma imagem JPEG, a unidade de dados irá incluir uma porção de dados do
JPEG. Se a unidade de dados foi alocado para um arquivo de texto, a unidade de dados irá conter
texto.

4.5 FAT Conceitos e Análise

• O sistema de arquivo (SA) File Allocation Table (FAT), é um dos sistemas de arquivos mais
simples encontrados em sistemas operacionais comuns. É o sistema da Microsoft DOS e
sistemas operacionais Windows 9x.
• O SA FAT é suportado por todos os sistemas operacionais Windows e Unix e ainda será
encontrado pelos investigadores nos próximos anos, mesmo não sendo o sistema de arquivos
padrão dos desktops com SO Windows. FAT é frequentemente encontrado em cartões flash
para câmeras digitais e USB "pen drives".
• Muitos usuários estão familiarizadas com os conceitos básicos do sistema de arquivos FAT,

Sergio Castilho
 28

mas pode não estar ciente de locais com dados escondidos e seus comportamentos mais
sutis. O objetivo deste capítulo é fornecer os conceitos gerais e técnicas de análise.
• Uma das razões para o sistema de arquivos FAT seja considerado simples, é porque ele tem
um pequeno número de tipos de estrutura de dados. Infelizmente, isso também significa que
houve algumas modificações ao longo dos anos para dar-lhe novas funcionalidades
• Existem duas estruturas de dados importantes na FAT (tabela de alocação de arquivos e
entradas de diretório). A Figura 5 mostra a relação entre as estruturas de diretório de
entrada, clusters e estrutura FAT.

Figura 7: Relação entre diretório e cluster na estrutura do sistema FAT

•
O conceito básico de um sistema de arquivos FAT é que para cada arquivo e diretório é
atribuída uma estrutura de dados, chamada uma entrada de diretório, que contém o nome do
arquivo, tamanho, endereço inicial do conteúdo do arquivo e outros metadados. Conteúdo
do diretório do arquivo e é armazenado em unidades de dados chamada clusters. Se um
arquivo ou pasta já destinou mais de um cluster, os outros clusters são encontrados por meio
de uma estrutura que é chamado o FAT. A estrutura FAT é usado para identificar o grupo
seguinte de um arquivo, e também é usado para identificar o estado de atribuição de grupos.
Por isso, é usado tanto no conteúdo e categorias de metadados. Existem três versões
diferentes de FAT: FAT12, FAT16 e FAT32. A grande diferença entre eles é a dimensão das
entradas na estrutura do FAT.

4.6 Usando e entendendo o dd

Para ilustrar o processo de aquisição, será analisada a ferramenta dd, umas das ferramentas de

Sergio Castilho
 29

aquisição mais simples e flexível, baseada em linha de comando, podendo ser mais complexa que
para aprender que outras ferramentas, pois cada característica e opção pode ser especificada.
O comando dd vem em muitas das versões do Linux (UNIX) e está disponível para Windows.
Na sua essência, dd copia um bloco de dados de um arquivo e escreve-o para outro. Ele não se
importa que tipo de dados ele está copiando e não sabe sobre sistemas de arquivos ou discos, apenas
arquivos.
O comando dd lê os dados da fonte de entrada, que é especificado com o if = flag, em pedaços
do tamanho de bloco, o tamanho do bloco padrão é 512 bytes.
Se o if = flag não é dado, será usada a entrada padrão como fonte de entrada, que
normalmente é o teclado, gravando os dados em um arquivo de saída, que é especificado com of =
flag. Se isso não for dado, os dados são escritos para a saída padrão, que geralmente é a exibição.
Um exemplo de como copiar os conteúdos da file1.dat, que é de 1024 bytes, a file2.dat em blocos
de 512 bytes,
# Dd if = file1.dat of = file2.dat bs = 5122
2+0 records in
2+0 records out
As duas últimas linhas mostram que dois blocos completos foram lidos file1.dat, e dois blocos
completos foram escritas para file2.dat.
Se não foi utilizado um bloco completo durante a última leitura e escrever, as duas últimas
linhas teria terminado com '+1' em vez de "0".
Por exemplo, se file1.dat possuise 1.500 bytes em vez de 1024 bytes, a seguinte teria sido
visto:
# dd if = file1.dat of = file2.dat bs = 5122
2+1 records in
2+1 records out
Note-se que o arquivo resultante terá os 1500 bytes.
O condo dd vai tentar escrever em pedaços do tamanho de bloco, mas se não houver dados
suficientes, ele só vai copiar o possui.

4.6.1 Fontes de entrada

No Linux, existe um dispositivo para cada dispositivo de armazenamento e partição, podendo
ser utilizado como entrada. Por exemplo, o primeiro disco mestre ATA é /dev/hda, esse nome do
dispositivo pode ser usado com entrada if = flag, informando ao dd para copiar os dados do disco

Sergio Castilho
 30

para um arquivo.
Microsoft Windows não tem um arquivo de dispositivo real para os discos rígidos, mas pode
usar o \ \ \. para referenciar um disco,
\ \ \. PhysicalDrive0, por exemplo.
O tamanho padrão do bloco é de 512 bytes, é possível especificar qualquer tamanho usando a
flag bs.
É possível copiar um byte de cada vez, ou 1GB de cada vez. Qualquer valor vai funcionar,
mas alguns valores darão melhor desempenho do que outros.
A maioria dos discos lê um mínimo de 512 bytes de cada vez. Usando um valor que é muito
pequeno é um desperdício, pois o disco terá de ser lido com frequência. Se escolher um valor que é
muito grande, vai perder tempo enchendo do buffer dd antes que a cópia é executada.
Os valores entre 2KB e 8KB dão bons resultados.
O Linux acessa o disco rígido diretamente e não usa a BIOS, por isso não arrisque na
obtenção de dados incorretos do BIOS sobre o tamanho do disco. Isso significa também que não
existem software que escrevem em bloqueadores para Linux.

4.7 O Master Boot Record (MBR)

Chapter 3 Computer forensics haad disk

Um setor de inicialização (master boot record), é um setor de memória de um disco rígido,

disquete, ou dispositivo de armazenamento de dados que contém o código para o sistemas de
inicializar. O setor de boot (partida), em um disco é sempre o primeiro setor na primeira faixa. Cada
setor de inicialização válido tem dois bytes (0x55AA), chamado de assinatura setor de inicialização,
no final do setor. Como mostra a Figura 5 nos endereços 01FE e 01FF
O "boot loader" ou gerenciador de partida é um programa que carrega o sistema operacional
na memória de um computador quando o sistema é inicializado. Em múltiplos estágios
gerenciadores de inicialização, onde uma série de pequenos programas chamam uns aos outros, e o
último programa carrega o sistema operacional,
Existem dois principais tipos de setores de inicialização :
1. Volume de registro inicialização: É o primeiro setor de um dispositivo de armazenamento de
dados que não tenha sido particionado, ou o primeiro setor de uma partição individual em
um dispositivo de armazenamento de dados , que foi particionado. Ele contém o código para
carregar e invocar o sistema operacional ou outro programa instalado nesse dispositivo ou
dentro dessa partição.

Sergio Castilho
 31

2. Registro mestre de inicialização : É o primeiro setor de um dispositivo de armazenamento de

dados que foi particionado . Ele contém o código para localizar a partição ativa e invocar o
seu volume de registro de inicialização . Um registro mestre de inicialização contém as
seguintes estruturas :
• Tabela mestre de partição: é um pequeno pedaço de código que contém uma descrição
completa das partições que estão contidos no dispositivo de armazenamento.
• Código mestre de inicialização : é um pequeno código de computador, carregado e
executado pela BIOS para iniciar o processo de inicialização. A BIOS é o programa de
microprocessador de um computador pessoal utilizado para iniciar o computador.
O MBR identifica como e onde está localizado o sistema operacional, de modo a que possa
ser carregado pelo computador. Adicionalmente, o MBR contém informações de particionamento
do disco rígido, conforme descrição a seguir.
Os primeiros 139 bytes (00h até 8Ah) do setor de 512 de bytes são código executável, os
próximos 80 bytes (8Bh até DAh) contêm mensagens de erro. Os últimos 66 bytes do setor contém
64 bytes da tabela de particionamento do disco (1BEh através 1FDh); os dados dependem do
tamanho, estrutura e do sistemas de arquivo em cada disco. O setor termina com a assinatura
AA55h. Em sistemas com CPU Intel, palavras hexadecimais são armazenadas com o byte menos
significativo primeiro. Os restantes 227 bytes (a partir do BDh até 1BDh) são todos preenchidos
com bytes de zeros.

Figura 8: Conteúdo dos 512 bytes do MBR

Um MBR está localizado no primeiro sector (Cilindro 0, cabeça 0, setor 1) de um disco e tem
a seguinte estrutura:

Sergio Castilho
 32

Deslocamento em Bytes Significado em hexadecimal.

hexadecimal
000 446 código Boot Loader
1BE 1 bootable flag (0x00 for flag off, 0x80 for on)
1BE – 1CD 16 primeira partição
1CE – 1DD 16 segunda partição
1DE – 1ED 16 terceira partiçãp
1EE – 1FD 16 Quarta partição
1FE - 1FF 2 Assinatura (55H AAH)
O comprimento da partição é igual ao deslocamento da LBA
A estrutura de uma entrada de partição é a seguinte:
Deslocamento Bytes Significado em hexadecimal.
00 1 80H = partição ativa / 00H = não ativa
01 1 inicio da partição (número de cabeças)
02 1 inicio da partição (número do setor)
03 1 inicio da partição (número de cilindros)
04 1 tipo de partição - 76 = 4CH para AosFS e NatFS
05 1 fim de partição (número de cabeças)
06 1 fim de partição (número do setor)
07 1 fim de partição (número de cilindros)
08 4 rel. setores (# de setores a partição início)
0C 4 número de setores na partição
Comando para leitura e gravação do MBR no sispositivo:
#dd if=/dev/sda of=/tmp/mbrsda.bak bs=512 count=1
Comando para regravação do MBR no sispositivo:
#dd if=/tmp/mbrsda.bak of=/dev/sdb bs=446 count=1
Causa da perda de Dados6 Frequência de Ocorrência
Hardware ou mau funcionamento do sistema 44%
Erro humano 32%
Mau funcionamento do programa de software 14%
Vírus 7%
Desastre natural 3%

6 Statistics about Leading Causes of Data Loss, http://www.protect-data.com/information/statistics.html

Sergio Castilho
 33

As Figuras 6, 7 e 8 mostram diferentes MBR

Figura 9: GRUB MBR 0.92/0.93

Sergio Castilho
 34

Figura 10: MBR MS-Windows 95B, 98, 98SE and ME

Sergio Castilho
 35

Figura 11: MBR Windows 7

Sergio Castilho
 36

Figura 12: MBR em um disco com quatro partições

4.8 Calculo da Capacidade de um Disco.

Considere-se uma unidade de disco rígido com os seguintes atributos:
• 16.384 cilindros
• 80 cabeças
• 63 setores por trilha
Suponha um setor tem 512 bytes. Qual é a capacidade de um tal disco?
Os fatores de conversão apropriados para este disco rígido são:
• 16.384 cilindros / disco
• 80 cabeças / cilindro
• 63 setores / trilha
• 512 bytes / setor
A capacidade total para este disco é :
1 disco * 16.384 (cilindros / disco) * 80( cabeças / cilindro) * 1( faixa / cabeça) *63 (setores / trilha)

Sergio Castilho
 37

* 512( bytes / setor) = 42278584320 bytes.

4.9 Aula Prática

Determinar o Hash da imagem USB_Image.dd fornecida

Determinar o número e nome de cada de cada partição contida na imagem (/dev/sdxx)

Para cada parição encontrada, determinar:

• Tipo de sistema de arquivo (FATx, NTFS, EXTx, ou outra qualquer)

• Nome do volume (Volume name or OEM name)

• Volume ID

• Source OS

O que o comando abaixo realmente realiza:

• dd if=mbrsdb.bak ibs=1 skip=494 count=16 of=part1.hex

Alguns comandos úteis:
• fdisk -lu /dev/sdb
• fdisk -lu USB_Image.dd
Device Boot Start End Blocks Id System
USB_Image.dd1 899640 1301264 200812+ 7 HPFS/NTFS
USB_Image.dd2 1301265 3903794 1301265 b W95 FAT32
USB_Image.dd3 XX 530144 265041 83 Linux
USB_Image.dd4 530145 899639 184747+ 83 Linux
• fsstat -o XX USB_Image.dd
• disktype /dev/sdb
• mmls -am /dev/sdb
• dd if=/dev/sdb of=mbrsdb.bak bs=512 count=1
• hexdump -C -s 512 mbrsdb.bak

4.10 Aula Prática

Pegar em sala de aula o arquivo mbr1.bak

Determine o tamanho original das partes do disco

Determine o primeiro setor e o último setor

• sfdisk -ls xxxx

• gdisk (deve ser instalado: apt-get install gdisk)

Sergio Castilho
 38

Faça uma cópia do MBR da sua máquina virtual e determine a distribuição dos alocamentos
no disco.

Sergio Castilho
 39

5 Esteganografia

A palavra esteganografia vem do nome grego "steganos" (oculto ou secreto) e "grafia" (escrita
ou desenho) e significa literalmente escrita escondida. Esteganografia utiliza técnicas para
transmitir informações de uma forma que oculto. Esteganografia esconde a existência de uma
mensagem através da transmissão de informações por meio de vários meios. O seu objectivo é
evitar a detecção de uma mensagem secreta.

5.1 O conceito de esteganografia em Imagem

É quando uma imagem como um bmp, jpg, tif ou gif é usada para esconder informações. A
informação escondida pode ser um arquivo ou uma mensagem real. O processo leva a mensagem ou
imagem fornecida do usuário escondida. Existem várias técnicas para fazer isso, as principais
técnicas são de inserção, substituição e criação, cada uma tem suas próprias vantagens e
desvantagens.

5.2 Classificação de esteganografia

Existem essencialmente três classificações de esteganografia hoje. A primeira é a técnica de
inserção de informações dentro de outro arquivo. A segunda é o processo que leva à composição do
novo arquivo, e informações substitutos. O terceiro é aquele que usa um modelo diferente, porque
cria uma arquivo com a intenção de esconder informações.

5.2.1 Inserção
Neste método de esteganografia, o objetivo é colocar a informação a ser escondido seu
interior do arquivo. Isso é feito sem qualquer alteração da informações do arquivo. O problema com
esta técnica é o aumenta no tamanho do arquivo original, tornando mais fácil a detecção da
presença do “steg”. Esta técnica pode ser utilizada se o arquivo original for apagado, caso contrário
é possível a identificação com um hach.

5.2.2 Substituição
Algumas bibliografias referem-se a esta técnica como baseado em transformação, mas neste
texto texto será referida como substituição. Uma maneira popular de esconder informação com esta
técnica é usar o menos bit menos significativa (LSB), trara-se de um método de manipulação de
ruído. Esta técnica funciona mudando os dados binários LSB de cada pixel, do hospedeiro ou
portador. Esta técnica gera pouco efeito sobre o tamanho original ou a imagem, portanto, pode-se
modificar todos os bits menos significativos do arquivo com pouca ou nenhuma alteração no

Sergio Castilho
 40

original. O processo funciona quebrando o arquivo a ser ocultado em pedaços de dados binários.
Uma vez quebrada, os pedaços resultantes de dados binários são escritos nos LSBs. O exemplo a
seguir mostra um número binário de 8 dígitos a ser codificado usando LSB.
Exemplo 1
Pixel 00 11 00 11
Insira 0010
Pixel 00 10 01 10
Trabalhar com cores de 8 bits pode ser um desafio, é por isso que as imagens que usam cores
de 24 bits são as preferidas e dão os melhores resultados. Com uma imagem de 24 bits, é possível
utilizar os três LSBs por pixel. A razão pela qual a técnica de inserção funciona tão bem é que o
olho humano é capaz de distinguir apenas seis bits de cor, as mudanças são praticamente
indetectáveis.

5.2.3 Criação
Um arquivo é gerado com o único propósito de esconder uma mensagem secreta. Nesta
técnica, a imagem é criada de algo inocente que pode ser passado para outra pessoa. A imagem
inocente é a capa que fornece um mecanismo para cobrir a mensagem. Uma excelente referência é o
livro Disappearing Cryptography: Being and Nothingness on the Net, Peter Wayne (AP
Professional, San Diego, 1996). O livro também inclui um código para criar esse tipo de
esteganografia.

5.3 Aplicação de esteganografia

Esteganografia digital é realmente apenas a manipulação digital de 1s e 0s. Este fato permite
várias opções de cobertura de mídia, quer se trate de um documento, imagem, vídeo ou até mesmo
um sistema de arquivos, no final, é tudo apenas binário. Assim a manipulação da “estego” pode ser
aplicada a uma ampla variedade de mídias digitais.

5.3.1 Imagens estáticas: Fotos

Os métodos de esteganografia são bastante variados. Com imagens fixas, as técnicas de
inserção LSB e de espalhamento espectral comumente são usados. Bloco de textura é outro método,
esta técnica utiliza baixa taxa de bits e é realizada copiando uma imagem em uma região aleatória
em uma área com textura semelhante, resultando em um par de idêntica regiões "textura" em uma
imagem.

Sergio Castilho
 41

5.3.2 Imagens em Movimento: vídeo

Esteganografia, quando aplicada a um vídeo, tal como um .avi ou.mpg, utiliza normalmente
transformada discreta de cosseno (DCT), a manipulação, o que significa que à medida que o vídeo é
comprimido ou descomprimido, dados secretos podem ser adicionados durante o processo de
transformação.

5.3.3 Arquivos de áudio

São vários os métodos utilizados em de arquivo de áudio:
• Inserção LSB. O bit com o menor impacto sobre os dados binários é substituído com um bit
da mensagem a ser incorporada.
• Variação de fase diferencial. O arquivo de som é dividido em blocos, e a fase inicial do
arquivo de som é modificada com a mensagem secreta, preservando as seguintes mudanças
de fase relativas. Este é um método eficaz tanto que gera uma baixa relação sinal-ruído.
• Espalhamento espectral. O método de esconder um sinal de banda estreita em uma
mensagem de banda larga.
• Adicionando eco ao sinal de áudio. Um ligeiro eco é adicionado ao sinal utilizando dois
atrasos diferentes para codificar os bits 0 e 1. O eco é muito pequena para ser percebida pelo
ouvido humano.

5.3.4 Arquivos de texto

Existem três métodos para texto:
• Abrir espaço. O uso de espaço em branco entre as palavras ou frases, para ocultar dados
• Sintática. Usa modificações da ordem das palavras ou pontuação para esconder uma
mensagem.
• Semântica. Usa sinônimos para codificar uma mensagem secreta.

5.3.5 Sistemas de Arquivos de Esteganografia

Esta é outra maneira particularmente interessante da aplicação de esteganografia. Um sistema
de arquivos de esteganografia é um método de armazenamento de arquivos, de tal forma que
criptografa dados e esconde tão bem que não pode ser provado que ele está lá. Um sistema de
arquivos de esteganografia pode:
• Ocultar documentos dos usuários em outros arquivos aparentemente aleatório
• Permitir que o proprietário de nomes e senhas de alguns arquivos, mantendo os outros em
segredo.

Sergio Castilho
 42

• Comporte-se como uma segunda camada de sigilo. Os arquivos criptografados estão a céu
aberto e visível, mas não compreensível. Stego arquivos não são visíveis e um estranho pode
olhar para o arquivo e não o ver.

5.4 Marca d'água

A definição de marca d'água é uma forma de marcação que incorpora as informações de
Marca Registra sobre a figura ou obra do artista ou proprietário. Na fabricação tradicional o papel
molhado é submetido a alta pressão para expulsar a umidade. Se o molde da imprensa tem um
ligeiro padrão, esse padrão deixa uma marca no papel uma marca d'água, o que é melhor
visualizado sob a luz. Hoje, a palavra "marca d'água" foi emprestado pela alta tecnologia. Marcas
d'água digitais são imperceptíveis transformações (ou quase imperceptível) de dados digitais.
Muitas vezes, o conjunto de dados digitais é um objeto de multimídia digital. Embora as imagens
digitais são frequentemente mencionada como marca d'água digital, ela pode ser aplicado a outras
formas de dados digitais, tais como imagens, vídeos e música.
A marca d'água frágil
É um dos métodos de marca d'água de autenticação que tem uma baixa robustez para
modificações, onde até mesmo uma pequena mudança do conteúdo irá destruir as informações
incorporadas.
A marca d'água robusta
É quase exatamente o oposto de uma marca d'água frágil. Uma marca de água robusto pode
ser visível ou invisível, dependendo da sua finalidade. Marcas d'água robustas são muito difícil de
remover ou danificar. O exemplo mais simples de uma marca d'água robusta pode ser visto a
qualquer momento que ligar a televisão. A maioria, se não todos os canais tem uma marca d'água no
canto inferior do lado direito, não só para que saiba em que canal está, mas também para que saiba
que este é seu conteúdo. Remover uma marca d'água visível, especialmente no exemplo da
televisão, seria muito difícil de fazer sem que alguém perceba após o fato.
Ferramenta do FDTK-UBUNTUBR: composite
composite -dissolve 50% -gravity center -quality 100 \( Watermark.png
-resize 50% \) Tux.jpg Tuxwm.jpg

5.5 Detectar e atacar esteganografia

Detecção de esteganografia é geralmente uma tarefa muito difícil, especialmente nos casos de
cargas baixas, uma vez que menos bits são substituídos, alterados, ou inseridos. No entanto, existem
algumas maneiras de fazer. Uma palavra final na detecção de esteganografia: há uma quantidade

Sergio Castilho
 43

significativa de falsos positivos ao tentar pesquisar um possível arquivo de esteganografia, portanto,

tenha cuidado com a detecção e validar e verificar todos os resultados que podem aparecer.

5.5.1 Testes estatísticos

Os testes estatísticos podem revelar que uma imagem foi modificada por meio da
determinação de suas propriedades estatísticas desvirem da norma. Alguns testes são independentes
do formato de dados e apenas mede a entropia dos dados redundantes. Espera-se que imagens com
dados ocultos tenham uma entropia maior do que aqueles sem.

5.5.2 Stegdetect
Stegdetect é uma ferramenta automatizada para a detecção de conteúdo esteganografia em
imagens. Ele é capaz de detectar vários métodos de esteganografia diferentes para incorporar
informações ocultas em imagens JPEG.
# stegdetect -s 3 Image.jpg -n
Quanto maior o número maior a sensibilidade

5.5.3 Stegbreak
Stegbreak é um programa que usa o dicionário para quebrar a senha de codificação. Ele é
usado para lançar ataques de dicionário contra JSteg-Shell, JPHide e OutGuess.
Visible Noise Ataques
A análises sobre a informação escondida pode assumir várias formas: detectar, extrair e
desativação ou destruição de informações ocultas. Imagens com uma carga muito grande pode
apresentar distorções de informação escondida. A combinação adequada de ferramentas de
esteganografia e operações é importante para o sucesso da ocultação de informações.

5.5.4 Espaços acrescentados e caracteres "invisíveis"

Espaços acrescentados e caracters "invisíveis" remetem para a técnica de esconder dados em
espaços dentro do texto. Esta forma de “estego” em texto usa o espaço em branco em um
documento para designar valores binários. O espaço em branco pode ser entre palavras individuais,
frases ou até mesmo entre os parágrafos. Quase qualquer combinação é possível, mas a um ponto,
se o texto parece ter demasiadamente espaço em branco, pode estar sujeita a escrutínio. Embora esta
forma de esteganografia pode trabalhar eficazmente, ele tem alguns grandes inconvenientes.
Primeiro, se o documento é digital, qualquer palavra processador seria capaz de mostrar as
irregularidades de espaçamento, ou pior, pode reformatar o documento.

Sergio Castilho
 44

5.5.5 Paletas de cores

Algumas ferramentas têm características que são únicas entre as ferramentas “estego”. Em
alguns programas de esteganografia as paletas de cores têm características únicas que não aparecem
em nenhum outro lugar. Por exemplo, o programa Hide and Seek cria entradas da paleta de cores
que são divisíveis por 4 para todos os valores de bits. A modificação da paleta cria uma assinatura
de esteganografia detectável.

5.6 Atacar esteganografia

Geralmente é mais fácil destruir do que criar e no caso de atacar arquivos com
esteganografia , esta afirmação é verdadeira. A esteganografia é, na maior parte relativamente frágil,
uma série de métodos existem para atacar arquivos que contem, ou são suspeitos de conter
esteganografia. É possível encontrar uma mensagem escondida depois de muito trabalho, mas a
maioria simplesmente destruir a mensagem, fazendo com que a sua recuperação por qualquer
pessoa seja impossível. Além disso, se as informações são criptografadas, então o melhor é destruir
o transportador, porque quebrar a criptografia leva tempo e recursos.

5.6.1 Desativar ou ataques ativos

Neste tipo de ataque, os atacantes mudam a transportadora ou host durante o processo de
comunicação. Existem várias técnicas para fazer isso:
Borrão: Suaviza as transições e diminui o contraste, a média dos pixels próximos às arestas
sólidas de linhas e áreas onde há transições de cores significativas.
Ruído Aleatório: Inserções aleatórias de pixels coloridos em uma imagem, inserindo pixels e
cores que se assemelham os pixels originais.
Redução de Ruído: Reduz o ruído na imagem, ajustando as cores e uma média de valores de
pixel.
Afinar: É o oposto do borrão. aumenta o contraste entre os pixels adjacentes, onde há cores
contrastantes significativas, geralmente na extremidade de objetos.
Rotação: Move uma imagem em torno do seu ponto central em um determinado plano.
Re-amostragem: envolve um processo de interpolação, para minimizar a irregularidade
normalmente associadas com a expansão de uma imagem.

5.7 Aula Prática 3

Com a foto do grupo verificar os metadados com as ferramentas identify e exiftool da
plataforma Deft8

Sergio Castilho
 45

Haja de modo investigativo, procure nos metadados informações sobra a imagem,

equipamento utilizado, resolução, data, hora, assinatura da foto, tamanho do arquivo entre outras.
Não serão levados em consideração relatórios com cópia de saída de comando (ctrl-c/ctrl-v)
Entregar o relatório do trabalho conforme apêndice A.
No item Descrição Geral coloque uma definição rápida de metadados.

5.8 Aula Prática 4

Ler o capítulo 3 Esteganografia
a) Com a foto do grupo, gerar uma esteganografia para esconder a imagem do Tux
disponibilizada com a ferramenta steghide. Gerar um hash da nova imagem com esteganografia.
b) Com a ferramenta stegdetect, identificar a esteganografia criada.
c) Gerar uma marca d´água centralizada na foto do grupo com as sigla PFSI.
O relatório deve conter uma breve descrição de esteganografia e marca d´áua, o novo hash da
imagem gerada no item "a", uma cópia da imagem gerada no item "c"
Caso alguma ferramenta não esteja instalada, utilizar o comando apt-get para istalar:
“apt-get install steghide”

Sergio Castilho
 46

6 Recuperação de Arquivos

6.1 O que é um arquivo

Arquivo é um termo usado no mundo digital para indicar um bloco de informações
armazenadas (dígitos binários), como um documento em um arquivo doc, uma imagem em um
arquivo jpg ou um programa em um arquivo exe .
.Os arquivos podem ser criados , movidos, modificados, copiados e apagados. Na maioria dos
casos, os programas executados no computador lidam com estas operações , mas o usuário de um
computador também pode manipular arquivos, se necessário.
Quase todos os sistemas de computador usam extensões em nomes de arquivos para ajudar a
identificar o que eles contêm (o tipo de arquivo). Por exemplo, a extensão é composto por um ponto
no final do nome do arquivo, seguido de três letras para identificar o tipo de arquivo (consulte em
http://file-extension.net e http://filext.org , daí ).
Na verdade, esta extensão foi introduzida para ajudar o Sistemas Operacional a tratar
corretamente os arquivos ou melhor, para identificar um programa a que o arquivo está associado.
Por várias razões, hoje em dia, programas que analisam a estrutura de um arquivo verificam esta
extensão que está associada a um Número Mágico.

Sabe-se que os arquivos apagados de um sistema não são necessariamente sobrescritos e ainda
podem ser recuperados usando ferramentas e procedimentos adequados.
A necessidade da recuperação de informação excluídas em um disco rígido, seja por descuido
ou formatação é essencial na perícia digital, desta forma tornou-se importante saber usar
ferramentas para este fins.
Para recuperar arquivos apagados, é necessária uma ferramenta que procure pelos mesmos
(Data Carving). O processo de extração de dados não depende da sua estruturação, pois a
ferramenta pode digitalizar uma imagem do disco a partir dos vestígios dos arquivos desejados.
Carvers de arquivos leem as bases de dados dos cabeçalhos e fim de arquivo, que são
sequências de bytes em deslocamentos previsíveis e procuram uma ou mais imagens alvo para as
ocorrências dos cabeçalhos e fim de arquivo.
O objetivo é identificar os locais de início e fim dos arquivos de imagens de disco e "esculpir"
(cópia) sequências de bytes em arquivos regulares. Regras específicas adicionais do tipo de arquivo
pode ser aplicada, por exemplo, para associar o fim de arquivo mais próximo de um cabeçalho

Sergio Castilho
 47

descoberto.
Foremost: Originalmente desenvolvido pela Força Aérea dos EUA, departamento de
Investigações Especiais e do Centro de Estudos de Segurança de Sistemas de Informação e
Pesquisa, esta ferramenta foi aberta ao público em geral.
Scalpel: é uma ferramenta forense livre desenvolvido pelos Agentes Especiais Kris Kendall e
Jesse Kornblum do Escritório da Força Aérea dos EUA. Um alista de assinaturas pode ser
encontrada em: https://github.com/int0x80/anti-forensics/blob/master/scalpel.conf

6.2 Metadados
Metadados refere-se aos dados sobre os dados. A unidade de camada de dados contém de um
sistema de arquivos, em seguida, a camada de metadados contém dados sobre as unidades de dados.
Em sistemas de arquivos Unix e seus derivados, metadados são chamados de inodes. O conteúdo
exato de unidades de metadados depende do sistema de arquivos real, mas geralmente esta camada,
pelo menos, consistem de carimbos de arquivos de tempo, informações a propriedade do arquivo e
unidades de dados atribuídos a esta unidade de metadados, como segue:
• Onde o conteúdo do arquivo é armazenado
• Tamanho do arquivo
• Data de criação
• Data de modificação
• Informações de controle de acesso
Principais comandos: exiftool, exiv2 e hachoir-metadata.

6.2.1 Nome do arquivo

A camada Nome do Arquivo existe para os seres humanos, o seu modo de funcionamento.
Esta camada é composta de arquivos e pastas com nomes de diretório. Mais uma vez, os artefatos
disponíveis nesta camada variam dependendo do sistema de arquivo. No mínimo, os nomes dos
arquivo tem um ponteiro para a estrutura de metadados correspondente.

6.3 Aula prática 7:

Using the file USB_Image.dd (2GB), do the exercices:

Rescue all files in the image

How much file the SO can find?

# mkdir /media/Disco1
# mkdir /media/Disco2 ..

Sergio Castilho
 48

# kpartx -v -a USB_Image.dd
add map loop0p1 (252:0): 0 401625 linear /dev/loop0 899640
add map loop0p2 (252:1): 0 2602530 linear /dev/loop0 1301265
add map loop0p3 (252:2): 0 530082 linear /dev/loop0 63
add map loop0p4 (252:3): 0 369495 linear /dev/loop0 530145

# mount /dev/mapper/loop0p1 /media/Disco1/ -o ro

# mount /dev/mapper/loop0p2 /media/Disco2/ -o ro ..

# umount /media/
# kpartx -d USB_Image.dd
loop deleted : /dev/loop0

How much file scalpel can find?

How much file foremost can find?
For all file.jpeg find the metadata informations
Commands:
foremost -i USB_Image.dd -o Recup
scalpel USB_Image.dd -o Recup

Sergio Castilho
 49

Anexo 1
Comando dd
/dev/zero pode ser substituido por /dev/urandom

$ dd if=/dev/zero of=test.file bs=10M count=1

10485760 bytes (10 MB) copied, 0.130214 s, 80.5 MB/s
#dd if=/dev/zero of=test.img bs=1024 count=0 seek=$[1024*10]
10485760 bytes (10 MB) copied, 0.130214 s, 80.5 MB/s
$ dd if=/dev/zero of=test.file bs=1M count=1
1048576 bytes (1.0 MB) copied, 0.00683995 s, 153 MB/s
#dd if=/dev/zero of=test.img bs=1024 count=0 seek=1024
1048576 bytes (1.0 MB) copied, 0.00683995 s, 153 MB/s
$ dd if=/dev/zero of=test.file bs=512k count=1
524288 bytes (524 kB) copied, 0.0029348 s, 179 MB/s
$ dd if=/dev/zero of=test.file bs=10k count=1
10240 bytes (10 kB) copied, 0.000199126 s, 51.4 MB/s
$ dd if=/dev/zero of=test.file bs=1k count=1
1024 bytes (1.0 kB) copied, 0.000133526 s, 7.7 MB/s
$ dd if=/dev/zero of=test.file bs=1 count=1
1 byte (1 B) copied, 0.000149828 s, 6.7 kB/s

Sergio Castilho