Forense Digital e Documentos

Forense Digital e Documentoscopia
Brasília-DF.
Elaboração
Roberta K. Morais Ferreira
Produção
Equipe Técnica de Avaliação, Revisão Linguística e Editoração

Sumário
APRESENTAÇÃO.................................................................................................................................. 4
ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 5
INTRODUÇÃO.................................................................................................................................... 7
UNIDADE I
ASPECTOS DA COMPUTAÇÃO FORENSE................................................................................................. 9
CAPÍTULO 1
COMPUTAÇÃO FORENSE.......................................................................................................... 9
UNIDADE II
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL........................................................................ 23
CAPÍTULO 1
COMO SE DESENVOLVE O PROCESSO INVESTIGATIVO............................................................. 23
CAPÍTULO 2
ETAPAS DA PERÍCIA DIGITAL .................................................................................................... 27
CAPÍTULO 3
PERÍCIA EM DISPOSITIVOS MÓVEIS........................................................................................... 72
UNIDADE III
DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA ....................................................................................... 79
CAPÍTULO 1
LAUDO PERICIAL..................................................................................................................... 79
PARA (NÃO) FINALIZAR...................................................................................................................... 92
REFERÊNCIAS ................................................................................................................................. 93
Apresentação
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

entendem necessários para o desenvolvimento do estudo com segurança e qualidade.
Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas à metodologia da
Educação a Distância – EaD.
Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos
específicos da área e atuar de forma competente e conscienciosa, como convém
ao profissional que busca a formação continuada para vencer os desafios que a
evolução científico-tecnológica impõe ao mundo contemporâneo.
Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
4
Organização do Caderno
de Estudos e Pesquisa
Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos
básicos, com questões para reflexão, entre outros recursos editoriais que visam tornar
sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta para
aprofundar seus estudos com leituras e pesquisas complementares.
A seguir, apresentamos uma breve descrição dos ícones utilizados na organização dos
Cadernos de Estudos e Pesquisa.
Provocação
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor
conteudista.
Para refletir
Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita
sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante
que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As
reflexões são o ponto de partida para a construção de suas conclusões.
Sugestão de estudo complementar
Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

discussões em fóruns ou encontros presenciais quando for o caso.
Atenção
Chamadas para alertar detalhes/tópicos importantes que contribuam para a

síntese/conclusão do assunto abordado.
5
Saiba mais
Informações complementares para elucidar a construção das sínteses/conclusões

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informações relevantes do conteúdo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Para (não) finalizar
Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

ou estimula ponderações complementares sobre o módulo estudado.
6
Introdução
Na disciplina “Forense Digital e Documentoscopia” estudaremos a origem e os
aspectos legais da computação forense, bem como as particularidades existentes em
todo o processo de análise forense em computadores e dispositivos móveis. Além
disso, veremos as implicações legais e técnico-científicas da atividade pericial e da
elaboração de laudos e pareceres técnicos, para que o profissional desta área tenha
conhecimento dos procedimentos imprescindíveis não somente para uma boa análise
forense, mas também para a elaboração de um documento oficial que contemple todas
as necessidades jurídicas e esclarecedoras dos diferentes crimes possíveis realizados
por meio do uso de computadores e telefones celulares.
Objetivos
»» Promover uma visão holística a respeito da legislação e da área da
computação forense.
»» Compreender os procedimentos periciais para computadores e

dispositivos móveis.
»» Proporcionar aos alunos subsídios para elaboração de laudos periciais e

pareceres técnicos relacionados às atividades periciais.
7
8
ASPECTOS DA
COMPUTAÇÃO UNIDADE I
FORENSE
CAPÍTULO 1
Computação forense
Figura 1. Computação forense.
Fonte: <https://www.portaleducacao.com.br/curso-online-direito-computacao-forense/p>.
Fundamentos e legislação da computação

forense
As civilizações da Idade Antiga evoluíram determinados conceitos orientando a área
forense primitiva por meio de diferentes modos de pensar e agir. Assim, cada uma
destas civilizações conseguiu gerar cógidos de leis distintos para orientar seus cidadãos.
A ciência forense teve seu primeiro registro na China onde Ti Yen Chieh se tornou
conhecido por fazer uso de vestígios do crime para solucioná-lo vinculado à lógica, por
meio de diferentes métodos e ferramentas (SILVA, 2015).
No século XIII, o juíz Song TsÉu redigiu o primeiro compêndio da medicina legal
justificando como reconhecer sinais de estrangulamento, afogamento e ferimentos
para alcançar a determinação do tipo, tamanho e arma empregada no crime. Nesse
9
UNIDADE I │ ASPECTOS DA COMPUTAÇÃO FORENSE
mesmo século, os decretos do papa Gregório IX estabeleciam perícias médicas em

casos de morte violenta e lesões corporais que pudessem apresentar interesse jurídico.
Na década de 1980, o campo de pesquisa sobre investigação digital teve sua origem, e
em 1984, houve a criação de um programa dentro do Federal Bureau of Investigation
(FBI, o Departamento de Justiça dos Estados Unidos) que realizava análises a respeito
de mídias magnéticas (SILVA, 2015).
Anos depois, o agente Michael Anderson, considerado o “pai da forense computacional”

iniciou trabalhos nesse departamento. Em 1988 o termo Forense Computacional
foi utilizado pela primeira vez, num treinamento da Associação Internacional de
Especialistas em Investigação Computacional (IACIS) em Portland, Oregon. Essa área
forense tem apresentado cada vez mais importância devido à evolução tecnológica e
ao surgimento de novos equipamentos, conceitos e informações (SILVA, 2015).
O desenvolvimento tecnológico traz inúmeros benefícios para a sociedade, no entanto,

também traz os problemas provenientes de práticas ilegais e criminosas, o que,
consequentemente, gera a necessidade da realização de novas práticas para controle
de tais impasses. Para punir aqueles que praticam esses atos é preciso de investigação,
que é feita por autoridades competentes e se inicia de acordo com o Código de Processo
Penal (CPP), pela apuração e análise dos vestígios deixados (ALMEIDA, 2011).
De acordo com a Lei no 12.737 de novembro de 2012:
Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos

informáticos e dá outras providências.
Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código

Penal, fica acrescido dos seguintes arts. 154-A e 154-B:
“Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não

à rede de computadores, mediante violação indevida de mecanismo
de segurança e com o fim de obter, adulterar ou destruir dados ou
informações sem autorização expressa ou tácita do titular do dispositivo
ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende

ou difunde dispositivo ou programa de computador com o intuito de
permitir a prática da conduta definida no caput.
10
ASPECTOS DA COMPUTAÇÃO FORENSE │ UNIDADE I
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta

prejuízo econômico.
§ 3 o Se da invasão resultar a obtenção de conteúdo de comunicações

eletrônicas privadas, segredos comerciais ou industriais, informações
sigilosas, assim definidas em lei, ou o controle remoto não autorizado
do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta

não constitui crime mais grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se

houver divulgação, comercialização ou transmissão à terceiro, a
qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado

contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de

Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito
Federal ou de Câmara Municipal; ou
IV - Dirigente máximo da administração direta e indireta federal,

estadual, municipal ou do Distrito Federal.”
“Ação penal
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede

mediante representação, salvo se o crime é cometido contra a
administração pública direta ou indireta de qualquer dos Poderes da
União, Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos.”
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de

1940 - Código Penal, passam a vigorar com a seguinte redação:
“Interrupção ou perturbação de serviço telegráfico, telefônico,

informático, telemático ou de informação de utilidade pública.
Art. 266.
11
§ 1o Incorre na mesma pena quem interrompe serviço telemático

ou de informação de utilidade pública, ou impede ou dificulta-lhe o
restabelecimento.
§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião

de calamidade pública.” (NR).
A Lei no 12.737 foi apelidada de “Lei Carolina Dieckman” em virtude do incidente

de invasão de privacidade ocorrido com a atriz. A lei entrou em vigor em abril de
2013 alterando o Código Penal para a tipificação de crimes cibernéticos, isto é,
aqueles voltados contra dispositivos ou sistemas de informação (não é voltada
para crimes comuns realizados por meio de computadores) (SILVA, 2015).
O uso de computadores para a prática criminal não é uma atividade muito recente,
todavia, a legislação brasileira referente a esses aspectos ainda não é totalmente
consolidada e preparada para a tipificação de todas as modalidades de crimes
cibernéticos. Estima-se, por exemplo, que 90% dos exames forenses realizados na área
da informática sejam relacionados a investigações dessa modalidade de crime, sendo
que o computador, nesse caso, é uma ferramenta que auxilia criminosos na prática de
delitos que incluem falsificação de documentos, violação de direito autoral, sonegação
fiscal, tráfico de entorpecentes, entre outros (ALMEIDA, 2011).
Isso significa que o computador tem relação com o modus operandi do crime
(modo ilegal de execução da ação), assim como um carro que é utilizado na fuga de
bandidos. Por essa razão, em diversos casos, os exames forenses em tais objetos são
formidáveis provas técnicas e, por conseguinte, os laudos produzidos neles tornam-
se peças imprescindíveis para o convencimento do juiz na definição da sentença. A
definição do que é a computação forense centra-se na área da ciência da computação
que se desenvolve de forma gradual com o objetivo de atender à demanda oriunda
da criminalística, e que também é uma parte da criminalística que se apropria de
fundamentos da ciência da computação (BEGOSSO, 2010). Esta relação pode ser
visualizada na Figura 2.
12
Figura 2. Relações da Computação Forense.
Ciência da
Computação
Computação Forense
Criminalística
Fonte: Begosso (2010).
Para que o magistrado consiga chegar a alguma conclusão sobre um determinado fato,
a perícia forense computacional em suas atribuições vinculadas ao mundo jurídico,
utiliza o conhecimento de profissionais especializados para fazer a busca de provas.
No que tange a tais provas, existem aspectos a se considerar quanto à sua licitude ou
ilicitude. Uma prova ilícita é obtida de forma inidônea, ou seja, uma prova adquirida
violando a restrição constitucional.
Num conflito entre bens jurídicos relevantes a verdade é buscada a todo tempo, assim
como é necessário verificar a existência de violação à intimidade, pois os direitos
fundamentais não são absolutos, mas autoprotetivos. A legalidade da prova, portanto,
é também uma forma de defesa em nome da tutela dos direitos do acusado. Existem,
no entanto, correntes doutrinárias que defendem o uso total de provas ilícitas e outras
que defendem o veto absoluto. São exemplos dessas vertentes (MARINO et al., 2013):
»» admissibilidade processual da prova ilícita, considerando a persecução

da verdade real (exceto se a prova é ilícita e ilegítima);
»» inadimissibilidade processual da prova ilícita mesmo se esta tem respaldo

processual contrário;
»» teoria da proporcionalidade ou razoabilidade, que considera a

possibilidade de admitir uma prova ilícita se houver interesse público
relevante e merecimento de proteção;
»» teoria da proporcionalidade e prova ilícita pró réu dependendo de como

a prova foi produzida.
Ocorre que, ao fazer uma análise forense em uma máquina, sobretudo se é um

servidor de serviços como e-mails ou arquivos, é preciso tomar grandes cuidados para
13
evitar a invasão de privacidade do usuário. Por essa razão, é ideal definir um escopo
contendo as restrições necessárias para não haver interferências na ação de análise.
São raras as ocasiões em que acontece uma busca em todos os arquivos, quer seja por
motivos de os arquivos não terem relação com o que se procura, quer por limitações
de processamento.
A computação forense tem como objeto os crimes eletrônicos e uma vez que grande
parte dos negócios atuais se desenvolve na internet, sua importância é notória para
desvendar crimes e levar à punição necessária. Nesse cenário, é comum encontrar
agentes criminosos, isto é, indivíduos ou quadrilhas organizadas que agem, por
exemplo, falsificando websites de bancos visando obter credenciais ou manipular
contas correntes de clientes.
De acordo com Begosso (2010), a computação forense atua nos seguintes tipos de
situações:
»» validação de provas em ações trabalhistas;

»» validação de provas em ações cíveis;
»» crimes de calúnia;
»» crimes de injúria;
»» crimes de difamação;
»» crimes de pedofilia.
Os profissionais da área podem usar suas competências em diversas situações. Além
de evidências criminais, seus conhecimentos também podem ser empregados em
situações que necessitam da comprovação de fraude, casos de assédio e discriminação
no trabalho, ou ainda, em provas de adultério em casos de divórcio. Isso porque, quando
tais delitos são cometidos, obviamente deixam pistas, e essas, devem ser investigadas
por um profissional ou autoridade policial competente. Dado que um investigador
normalmente não tem o conhecimento necessário para analisar informações contidas
em computadores para identificar sua relevância na elucidação dos fatos, o profissional
da área da computação forense entra em ação (BEGOSSO, 2010).
Um programador é um profissional que tem vantagens nessa área de atuação,

principalmente porque as habilidades necessárias para a busca de um erro em um
código fonte são também necessárias para uma análise forense. Podemos elencar como
habilidades necessárias (GUIMARÃES et al., 2001):
»» raciocínio lógico;
»» compreensão das relações de causa e efeito em sistemas computacionais;
14
»» capacidade de utilizar as ferramentas adequadas para as análises;
»» conhecimento detalhado sobre sistemas operacionais.
É preciso que o profissional tenha conhecimentos específicos sobre as ferramentas

de análise devido à necessidade de não perturbar o sistema que está sendo analisado.
Essas perturbações podem ser interpretadas/traduzidas como alterações nos tempos
de acesso aos arquivos e anulam as formas de reconstituição do que aconteceu na
máquina num passado próximo (GUIMARÃES et al., 2001). Além disso, um perito
digital, em sua rotina de trabalho, lida, diariamente, com códigos binários que
compõem os arquivos e, portanto, é imprescindível que tenham amplo conhecimento
no assunto para fazer as análises. Dada a variedade de assuntos envolvendo as
atividades periciais em sistemas computacionais, a Figura 3 traz uma representação
esquemática do mapa de atividades do perito digital.
Figura 3. Habilidades de um perito digital.
Legislação
Expressões regulares Hardware
Sistemas operacionais
Smartphones
Modus Operandi
Linguagem de programação
Redes computacionais
Procedimento
Ferramentas de investigação
Definições
MAC times
Segurança da informação
Fonte: Própria autora (2018).
As áreas apresentadas na Figura 3 têm aspectos específicos que serão apresentados

a seguir para melhor compreensão das atribuições de um perito desta modalidade,
tais como os tipos de sistemas operacionais, quais ferramentas são utilizadas e os
procedimentos de atuação.
Relacionado às definições, tem-se como atributos:
»» compreensão do que é a computação forense;
»» compreensão do que é um perito e suas áreas de atuação.
15
Sobre a legislação, o perito digital avalia parâmetros como:
»» licitude das provas;
»» respaldo legal para ser perito.
A respeito da segurança da informação, segue-se:
»» gestão (Normas – ISO 27001);
»» técnico (hardening).
Entre as ferramentas de investigação utilizadas, incluem-se:
»» distribuições GNU/Linux: backtrack, FTDK, Helix, CAINE, DEFT;
»» comerciais: EnCase, FTK.
A linguagem de programação da perícia digital é: C/C++ e Assembly. Quanto aos

sistemas operacionais, o perito digital trabalha com:
»» Windows;
»» Linux;
»» Unix;
»» OS X;
»» Novell;
»» DOS;
»» artefatos de investigação (log, registro, acesso de usuário, swap);
»» processos em execução.
Os sistemas de arquivos de conhecimento do perito são:
»» NTFS;
»» FAT;
»» EXT3;
»» EXT4;
16
»» HSF+;
»» RaiseFS;
»» FHS (FileSystem Heirarchy Standard).
Referente a MAC times, o perito digital avalia:
»» data e hora de acesso;
»» data e hora de criação e;
»» data e hora de modificação de arquivo.
Das redes computacionais são avaliados:
»» funcionamento;
»» topologia;
»» protocolos;
»» Wi-fi.
Do Modus Operandi de um crime, o perito investiga aspectos das áreas forenses e a

pessoa que possa ter cometido algum crime:
»» forense enterprise, em rede, colaborativa;
»» Extração de dados, preservação (cópia de disco), coleta de evidências,

cadeia de custódia, análise, documentação (laudo/parecer técnico);
»» Fatores motivacionais do investigado para ter cometido o crime.
As investigações em geral incluem:
»» Análise de malware;
»» Análise de log;
»» Data Carving;
»» Dump de memória.
Os hardwares que o perito deve conhecer são:
»» HDs (cluster, seção);
17
»» RAM;
»» mídias removíveis (CD, DVD, Pen drives);
»» roteadores;
»» impressoras;
»» cartões de memória (SM, CF, MMC, SD, MS, xD).
Os smartphones periciados são:
»» Android;
»» Windows Phone;
»» IOS;
»» RIM;
»» Symbian.
E os procedimentos nos quais um perito atua são:
»» fraudes: o que procurar, quais provas devem ser levantadas;
»» pornografia infantil;
»» pirataria;
»» violação de direitos autorais;
»» recuperação de disco;
»» venda de segredo (base de dados de cliente);
»» auditoria;
»» descarte de dados (wipe).
Os softwares que causam ameaças digitais são definidos como Malware: malicious
software ou software malicioso, que são programas desenvolvidos para a execução de
ações maliciosas de vários tipos e com diferentes propósitos em computadores.
São exemplos de malware:
»» vírus;
»» worm;
18
»» bots e botnet;
»» backdoors;
»» Trojan;
»» keyloggers;
»» programas spyware;
»» rootkits.
Vírus podem se alocar em programas executáveis e infectá-los, no entanto, eles

dependem da execução desses programas hospedeiros para que possam se propagar.
Quanto a isso, o sistema operacional Linux é vantajoso, pois impede que um binário
possa ser executado automaticamente, ou seja, dificulta a ação e propagação dos vírus.
Já worms são softwares capazes de autopropagação, que enviam cópias de si mesmos
para computadores com qualquer sistema operacional. Bots são similares aos worms,
contudo, são capazes de comunicar com o invasor possibilitando o controle remoto.
Por essa razão, crackers podem infectar diversos computadores, gerando às chamadas
botnets (BEGOSSO, 2010).
Quanto ao roubo de informações, os invasores usam trojans e keyloggers. Os trojans

conseguem controlar a máquina infectada, e os keyloggers capturam tudo o que for
digitado naquele computador. Por fim, os rootkits que são instalados automaticamente,
usam técnicas para esconder processos e dados inerentes ao mecanismo, e, por
conseguinte, dificultam sua identificação (BEGOSSO, 2010).
Existem várias ferramentas para softwares e hardwares das quais os peritos podem
fazer uso em sua atuação profissional. O uso de ferramentas multiplataforma é comum
e funciona de forma eficiente em ambientes como Windows ou Linux. Algumas delas
têm uso fechado e exclusivo para a polícia e instituições de perícias (CONSTANTINO,
2012).
Ferramentas de Hardware
Uma vez que estas ferramentas evitam que dados sejam apagados, alterados ou
comprimidos de um determinado dispositivo, elas são necessárias para análises
forenses. Os hardwares são bloqueadores de escrita e permitem que o perito
possa fazer uma cópia exata de um dispositivo em outros, como por exemplo, o
espelhamento de um Hard Disk (HD) para outro. A partir desta ação o perito pode
19
analisar determinados materiais sem a preocupação com uma possível alteração no

equipamento original. Não somente isso, tais bloqueadores transferem dados com
velocidade maior e permitem a conexão de vários HDs sem a necessidade de haver
um computador para executar as cópias. Existem diferentes hardwares disponíveis
no mercado, dentre os quais o Logicube Forensic Quest e o Intelligent Computer
Solutions Solo ão apresentados na Figura 4 e Figura 5, respectivamente.
Figura 4. Logicube Forensic Quest.
Fonte: Constantino (2012).
Figura 5. Solo III contendo HDs conectados.
20
Ferramentas de software
Os softwares possibilitam a cópia de dispositivos de modo seguro, não havendo riscos
de alterações no equipamento analisado. No entanto, ressalta-se que o uso destes
softwares requer atenção maior do perito, pois é importante que não se confunda
a operação de espelhamento, ou seja, a operação na qual se seleciona o HD a ser
copiado e o que receberá a cópia. Isso deve ser feito por softwares que não acessem o
HD na inicialização ou ao longo do processo de cópia. Na Figura 6 está um dos mais
conhecidos softwares, o Symantec Norton Ghost.
Figura 6. Interface do software Symantec Norton Ghost.
Nesse caso, o computador é ligado e o programa é carregado através de um pen

drive, CD ou DVD, ou ainda, por um disquete, sem haver necessidade de carga no
sistema operacional. A partir daí, o espelhamento pode ser feito para outro disco. É
possível também realizar a duplicação de HDs usando softwares através de sistemas
operacionais de forma read-only, tal como o KNOPPIX. Este software é um sistema
operacional GNU/Linus baseado no kernel do Debian. Sua principal característica é a
inicialização live, para a qual não é necessário instalar o sistema no computador, sendo
possível inicializá-lo por CD, DVD e dispositivos flash, como pen drives. Sua interface
padrão é o LXDE e com o comando dd (duplicate disc) faz-se o espelhamento de discos.
A sintaxe do comando dd é dd <hd_origem> <hd_destino> (Figura 7).
21
Figura 7. Exemplo de execução do comando dd em sistema Debian.
A origem é o HD que está sendo espelhado e o destino é o que receberá a cópia. Após
realizar o espelhamento e a cópia dos discos investigados, os peritos precisam partir
para a análise específica de cada arquivo existente. Para esta análise, existem programas
próprios para determinados sistemas como:
»» para o Windows: OSForensics;
»» para o Linux: Foremost;
»» para o Linux Ubuntu: Back Track e Delf.
As forças policiais podem utilizar soluções computacionais ainda mais específicas

que sejam de uso exclusivo, como por exemplo, a Encase que foi desenvolvida pela
empresa Guidance. A Encase é a ferramenta mais usada por peritos criminais e é
disponibilizada em ambientes contendo o sistema Windows. Entre suas vantagens
podemos citar a liberdade de desenvolver e implementar novas funções para o
software original, para facilitar ou melhorar sua forma de operar, conforme as
necessidades do caso analisado. Alguns peritos desenvolveram outra ferramenta,
chamada NuDetective, que é capaz de fazer uma triagem na memória da máquina
periciada, para fazer a busca de conteúdos que possam indicar a presença de material
pornográfico. Seu funcionamento ocorre através do reconhecimento automatizado de
assinaturas de arquivos digitais (CONSTANTINO, 2012).
22
PROCEDIMENTOS
DE INVESTIGAÇÃO UNIDADE II
E PERÍCIA DIGITAL
CAPÍTULO 1
Como se desenvolve o processo
investigativo
Figura 8. Procedimento investigativo.
Fonte: <http://idgnow.com.br/blog/privacidade-digital/2014/04/01/a-pericia-digital-em-redes-sociais-e-a-privacidade/>.
A respeito dos procedimentos para a realização de investigações e perícias digitais é

importante que se conheçam alguns aspectos relevantes do ponto de vista jurídico,
como por exemplo:
»» coletar provas em um inquérito devem ser preservadas para o

aproveitamento no processo judicial;
»» proteger o sistema investigado de qualquer tipo de manipulação durante

a operação, e, portanto, se possível deve ser feita uma cópia do disco
rígido, identificação e recuperação dos arquivos e aplicativos, inclusive
dos excluídos;
23
UNIDADE II │ PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL
»» avaliar o sistema todo (isso inclui sua estrutura);
»» identificar acessos ou cópias ocultas/protegidas e arquivos temporários;
»» monitorar fatores gerais relativos à atividade do usuário;
»» elaborar relatório detalhado e registro completo das atividades feitas ao

longo do inquérito policial.
Ações policiais para a preservação da cena

de crime antes da chegada dos peritos
digitais
A apuração de um delito, tendo este sido realizado num computador ou não, deve
seguir as normas estabelecidas na legislação, assim como protocolos de investigação.
Esta última se inicia posteriormente a uma denúncia ou suspeita de ocorrência de um
crime. Seu objetivo é verificar e esclarecer a materialidade, dinâmica e autoria dos atos
ilícitos. De modo geral, são as autoridades policiais que executam os procedimentos ao
longo da inquirição. Esses procedimentos seguem a seguinte ordem (ALMEIDA, 2011):
»» dirigir-se ao local e preservar tanto o estado quanto a conservação das

coisas até a chegada dos peritos criminais;
»» realizar a apreensão de objetos que tenham relação com os fatos;
»» coletar as provas que possam auxiliar o esclarecimento dos fatos e suas

circunstâncias;
»» realizar o reconhecimento de pessoas, coisas e fazer acareações;
»» determinar, caso se faça necessário, a realização do exame de corpo de

delito e quaisquer outras perícias.
Isso significa que as autoridades policiais devem se dirigir ao local onde tenha
ocorrido um crime computacional e isolar o local, sem ligar ou desligar os materiais
questionados para evitar que ocorram alterações ou perdas de possíveis provas e
arquivos importantes. Para realizar tais ações, é preciso que as autoridades tenham um
mandado de busca e apreensão, conforme o Direito Processual Civil para que o perito
possa realizar seu trabalho. Quando há um crime, seja ele de natureza computacional
ou não, o procedimento inicial é realizado por policiais civis e/ou militares etc, por
razões de delegação estatal, na condição de representantes do Estado. Portanto, é
imprescindível que esses garantam que o local em questão obedeça aos parâmetros
24
PROCEDIMENTOS DE INVESTIGAÇÃO E PERÍCIA DIGITAL │ UNIDADE II
legais, o que somente é conseguido por meio da preservação e do isolamento do local

do crime. Nesse caso, o primeiro profissional a chegar no local deve, de acordo com os
artigos 6o e 169 do CPP (TRUFINI, 2017):
1. Penetrar no local do crime e se dirigir ao corpo de delito percorrendo o

menor caminho em linha reta possível;
2. Ao constatar o delito, deve retornar à origem percorrendo o mesmo

caminho da ida, para consignar o trajeto ao perito que realizará os
procedimentos periciais posteriormente;
3. Realizar a identificação dos vestígios do delito, ao longo do trajeto

percorrido, para delimitar o local imediato;
4. Isolar o local imediato e parte do local mediato, visando preservar o

corpo de delito e vestígios visíveis pelo policial, e claro, os não captados
por ele também. O isolamento deve ser efetuado pelo uso de fitas
zebradas e/ou cones para evitar a circulação de populares;
5. Acionar a equipe de peritos;
6. Aguardar os especialistas mantendo a segurança do local, impedindo

quaisquer alterações ou invasões no local.
A partir da chegada dos peritos, inicia-se a investigação forense. Em investigações que

envolvam análises de dispositivos computacionais, identificam-se quatro etapas:
»» Coleta: Etapa em que o perito isola a área; identifica equipamentos;

coleta, embala, etiqueta e garante a integridade das evidências coletadas,
de modo que seja garantida a cadeia de custódia.
»» Exame: Etapa de identificar, extrair, filtrar e documentar dados

importantes para a apuração.
»» Análise: Etapa de usar os dados para coletar informações, ou seja, nesse

caso o perito computacional identifica e correlaciona pessoas, locais e
eventos, reconstrói as cenas e documenta os fatos.
»» Resultado: Etapa de redigir o laudo e anexar as evidências e documentos.
Para melhor entendimento do processo pericial, há uma representação a seguir na

Figura 9.
25
Figura 9. Processo de investigação digital.
Mídias Dados Informações Evidências
Coleta Exame Análise Resultado
 Isolar área  Iden�ficação

 Iden�ficação de pessoas,  Redação de laudo
 Coletar evidências  Extração
locais e eventos  Anexação de
 Garan�r integridade  Filtragem
 Correlação de pessoas, evidências e outros
 Iden�ficar  Documentação
locais e eventos documentos
equipamentos  Reconstrução de cena
 Embalar e e�quetar  Documentação
evidências
 Cadeia de custódia
Fonte: Adaptado de Martins (2016).
26
CAPÍTULO 2
Etapas da perícia digital
Isolamento
O isolamento da cena de crime é importante e imprescindível para a documentação
minuciosa dos vestígios existentes no local e posterior coleta. Estas são tarefas
fundamentais para a apuração dos fatos. Um local de crime de informática funciona
da mesma forma que uma cena de crime convencional, com a ressalva de haver
equipamentos computacionais que podem ter ou tem relação com o delito que está sendo
investigado, independente do computador ter sido usado apenas como ferramenta de
apoio ou como meio de realização da contravenção (ALMEIDA, 2011).
Para realizar uma busca é preciso que a autoridade judiciária faça a expedição de um
mandado de busca e apreensão, e assim, é possível fazer uma diligência para buscar e
apreender pessoas ou objetos que sejam de interesse judicial (ALMEIDA, 2011). Nesta
fase o perito identifica as evidências do material investigado ou do local de crime, e,
se for o caso, faz a documentação de cada evidência identificada. Esse processo deve
contemplar a seguinte ordem apresentada na Tabela 1, de acordo com Ramos (2014):
Tabela 1. Procedimento de identificação de material a ser periciado.
Etapas de identificação
1. Verificar se o computador está desligado, e caso não esteja, é necessário

desconectar o cabo de força;
2. Se posicionar em frente à parte posterior do gabinete;
3. Remover os parafusos da lateral direita, e se tratando de computadores que
possuam tampa inteiriça, deve-se remover todos os demais parafusos;
4. Remover a tampa puxando-a para trás e para fora;
27
1. Localizar o disco rígido (HD) (se houver mais de um HD, o computador deverá ser
arrecadado integralmente sem retirada dos HDs);
2. Remover parafusos ou presilhas de fixação;
3. Soltar os conectores do HD e removê-los;
4. Verificar se há mais mídias de armazenamento computacional no gabinete (cartões
de memória, CDs, DVDs);
1. Preencher o formulário de remessa de mídia de armazenamento e enviá-lo junto

ao HD;
2. Identificar o HD por meio de etiqueta contendo os dados da origem (proprietário, IP,
processo, alvo, desktop);
3. Guardar de imediato o OH na caixa de proteção, inserindo-o entre camadas de
plástico bolha;
4. Identificar a caixa por meio de etiqueta contendo os dados da origem e destino;
5. Lacrar a caixa.
Fonte: Adaptado de Ramos (2014)
Além disso, é importante tomar determinados cuidados tanto durante a coleta,

quanto no transporte e armazenamento do material que está sendo apreendido, já
que os vestígios digitais obtidos são sensíveis e podem ser perdidos ou destruídos
por eletromagnetismo, impacto, calor excessivo, atrito, umidade, e diferentes fatores
(ALMEIDA, 2011).
Preservação de Provas
Durante a investigação forense digital, diversas partes de diferentes dados são
preservadas para uma investigação; Imagens bitcopy de discos rígidos são a forma
mais comum de realização do processo (ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Os cuidados para preservar um material que possa conter provas valiosas é a primeira
etapa de trabalho do perito digital.
28
Nesta etapa o perito visa conservar as informações contidas em um determinado

dispositivo apreendido ou questionado. Para isso, o procedimento parte do espelhamento
do disco ou dispositivo, de modo que seja feita uma cópia fiel, ou seja, bit a bit. É
importante considerar que o dispositivo que receberá a cópia do material questionado
deve ter tamanho maior ou igual ao do material que será periciado, para que os dados
sejam copiados fielmente.
Se tratando de HDs, o tamanho dos discos precisa ser analisado pela Logic Block
Addressing (LBA) para assegurar se o tamanho citado na etiqueta está correto ou não,
já que pode acontecer de estar mencionado um valor, mas não ser o tamanho real
disponível. Logic Block Addressing é uma organização lógica dos setores, empregada
nos discos rígidos atuais, que fica na etiqueta do fabricante. Ela faz o computador
endereçar cada setor do disco de forma sequencial, ao invés de fazer uso da localização
física (ALMEIDA, 2011).
No processo de espelhamento, caso o dispositivo questionado esteja sendo copiado

para um de maior capacidade, requer-se que os espaços não preenchidos durante a
cópia sejam “zerados” para assegurar que não haverá interferência de nenhum bit no
processo de análise. Esse procedimento é feito utilizando a técnica wipe e aplicações
como o Zero Fill podem auxiliar esse processo (CONSTANTINO, 2012).
A técnica wipe é uma metodologia de limpeza que consiste na exclusão de um arquivo

ou de toda uma partição, ao passo que grava bytes na mesma área do disco. Havendo
algum software capaz de realizar a leitura binária do disco, este conseguirá visualizar
os dados recém-gravados e não originais. O wipe possui vários métodos que executam
algoritmos avançados, cada um com vantagens e desvantagens, e todos se diferenciam
entre si principalmente quanto ao nível de segurança e tempo de processamento.
Durante um espelhamento, jamais se deve usar como destino discos rígidos

com setores defeituosos, pois o dado original daquele setor não será copiado,
e assim, acontecerão perdas de evidências e duplicação incompleta (ALMEIDA,
2011).
Algumas opções fazem a sobrescrição de toda a área desejada apenas com um caractere
específico (0x00), enquanto outras fazem este processo sete vezes, modificando as
seis primeiras entre 0x00 e 0xff, e a última com caractere randômico. Contudo, de
acordo com o documento SP 800-88 publicado pela NIST (National Institute of
Standards and Technology), existem estudos apresentando informações de que a
maioria das mídias atuais podem ser sanitizadas utilizando somente uma sobrescrita.
Uma questão de destaque sobre o wipe é que se pode utilizá-lo para evitar enganos
29
por meio da limpeza do espaço excedente, como também pode ser utilizado por
criminosos para apagar vestígios de suas ações ilícitas (ALMEIDA, 2011).
Quanto ao Zero Fill, é um método para limpar do HD (ZILION, 2017). Quando um

HD é formatado, alguns dados podem ainda ser recuperados, porque a formatação
normalmente não apaga os arquivos de forma definitiva. Caso durante a gravação do
novo sistema nada seja gravado em cima dos dados antigos, torna-se possível recuperar
estes arquivos, senhas e códigos de segurança. Por essa razão, vender um HD usado,
mesmo que após formatá-lo, pode trazer riscos à privacidade e segurança de quem o
está vendendo (MARTINS, 2009).
Em geral as empresas fabricantes de HDs têm seus próprios softwares de Zero Fill
(ZILION, 2017). Este método consiste em inserir em cada bit do HD, o valor binário
zero, da mesma forma como quando o disco sai de fábrica. Para executar esta tarefa, é
necessário ter conhecimento das seguintes informações:
»» como os fabricantes disponibilizam softwares para a execução do Zero

Fill, o usuário deve saber a marca de seu HD e acessar o site do fabricante
para garantir que irá utilizar o programa correto;
»» se o HD tem mais de uma partição, salvar tudo de todas as partições, já

que o Zero Fill apagará completamente todo o disco rígido. Após executar
a limpeza, é quase impossível recuperar os dados;
»» executar o Zero Fill somente quando for estritamente necessário.
Além dos aplicativos disponibilizados pelos fabricantes, há programas que auxiliam

na limpeza de arquivos de um HD, conforme apresentado na Tabela 2.
Tabela 2. Softwares para execução Zero Fill.
Softwares e suas funções
Apaga arquivos sem permitir recuperação (inclusive arquivos temporários da

Simple File Shredder
internet).
AbsoluteShield File Shredder Mantém a privacidade de dados excluindo arquivos de modo definitivo.
HDShredder Faz limpeza de arquivos de um computador de forma definitiva.
30
12Ghosts Shredder Apaga arquivos sem possibilidade de recuperação.
Software que possibilita a remoção permanente de arquivos de um

File Shredder
computador.
AceErase File Shredder Utilitário prático para remoção de arquivos sem possibilidade de recuperação.
AnalogX SuperShredder Apaga arquivos de modo definitivo.
Fonte: Adaptado de Martins (2009).
Existe também a possibilidade de gerar uma imagem do dispositivo questionado e, a

partir dela, o perito consegue fazer análises sem a necessidade de copiá-lo para outro
HD (CONSTANTINO, 2012). Esse procedimento é semelhante ao espelhamento, que
faz a cópia do sistema operacional, programas, drivers, configurações e arquivos,
gerando uma reprodução exata e fiel do disco. No entanto, ao invés de ser feita uma
cópia bit a bit dos dados de um dispositivo para outro, faz-se cópia para arquivos de
imagem. As vantagens dessa técnica em comparação com a anterior são (ALMEIDA,
2011):
»» a possibilidade de fazer uma cópia do disco inteiro ou somente de partes

dele;
»» o dispositivo que irá receber as imagens, isto é, o dispositivo de destino,

pode receber imagens de diferentes dispositivos, se tiver capacidade
suficiente para tal;
»» os dados são mais facilmente manipulados, pois nesse caso os arquivos

podem ser replicados de forma simples por qualquer sistema operacional;
»» os arquivos de imagens podem ser compactados, de modo que se

consegue uma economia de uso do disco de destino.
Esse processo é eficiente em casos de dispositivos muito grandes, pois, gerando imagens
de partes do disco e em tamanhos menores, consegue-se uma análise mais veloz. Há
softwares específicos para a criação de imagens de discos, tais como o Clonezilla que
gera imagens pelo comando “dd” em sistemas GNU/Linux. Cabe ao perito, decidir qual
31
técnica usar dependendo do tamanho do disco, para conseguir realizar uma análise
mais eficiente (CONSTANTINO, 2012).
Atualmente, há disponíveis no mercado diferentes equipamentos e softwares

forenses para auxiliar a realização desta tarefa, como, por exemplo, produtos para
acesso somente das leituras das informações dos discos rígidos e para duplicação.
Os dispositivos mais comumente utilizados são os bloqueadores de escrita em disco
rígido, em virtude de serem mais simples de utilizar. Esses dispositivos têm garantia
certificada pelo hardware de que os dados não serão gravados quando conectado
ao material questionado e o computador, e, desse modo, somente é preciso usar o
programa específico para a cópia do disco (ALMEIDA, 2011). Os dispositivos Espion
Forensics Fastblock 3 FE e Forensic Bridge Tableau, para discos, e ICS Write Protect
Card Reader para cartões de memória, são exemplos de bloqueadores de escrita
amplamente empregados em processos de duplicação forense. Na Figura 10 há um
exemplo do uso do Forensic Bridge Tableau para realizar tal ação (SOUSA, 2015).
Figura 10. Bloqueador de escrita Forensic Bridge Tableau.
Fonte: Sousa (2015).
Quanto aos duplicadores forenses, esses são equipamentos muito avançados

que bloqueiam a escrita e permitem fazer cópias para outros discos rígidos via
espelhamento ou imagem. Seu uso para o procedimento de duplicação de dados tem
como vantagem a capacidade de suportar múltiplas interfaces de conectores (IDE,
SATA), além de uma velocidade muito maior na cópia de informações e não requer
o uso de um computador dedicado (ALMEIDA, 2011). Eles são reconhecidos por
fazer cópias de um ou mais discos de origem para outros discos de destino (um ou
mais discos), e como exemplo destes equipamentos, pode-se mencionar o Intelligent
Computer Solutions Solo III e Tableau TD2u (Figura 11).
32
Figura 11. Organização física dos dispositivos de armazenamento em um processo de duplicação forense por
meio do duplicador Tableau TD2u.
Fonte: Souza (2015).
Não havendo esses equipamentos, a duplicação pode ser feita com softwares específicos
que não causam alterações nas evidências existentes no material questionado. Esses
softwares podem ser os sistemas operacionais forenses Knoppix e Helix, acessam os
dados de leitura e têm o comando dd (duplicar disco). Um computador que contém
discos rígidos questionados e que estão desprotegidos de gravações não deve ser
inicializado por sistemas operacionais convencionais, já que, mesmo se o usuário
não fizer operações, ainda ocorrerão alterações nos dados. Pode haver não somente
riscos de alterações das informações armazenadas, mas os dados contidos nos
equipamentos computacionais podem ser perdidos com o passar do tempo, em virtude
do fim da vida útil dos materiais de fabricação, quebra dos dispositivos mecânicos ou
desmagnetização. Em razão desta fragilidade, é comum no meio computacional fazer
cópias de segurança dos dados (CONSTANTINO, 2012).
Outro fator de influência a se considerar é a sensibilidade ao tempo de uso. Quando

um computador é usado para realizar um crime, seja ele o meio ou a ferramenta
de realização, os rastros deixados nos dispositivos de armazenamento podem ser
apagados pelo usuário. As chances de recuperação de tais informações nesse caso
diminuem à medida que os equipamentos são utilizados. Nesse sentido, o tempo
é crucial para as investigações que envolvam esses vestígios digitais e os exames
forenses devem ser feitos tão rapidamente quanto possível, a partir do momento em
que o material é apreendido, para minimizar a perda de evidências, seja pelo excesso
de tempo de vida ou de tempo de uso do dispositivo (CONSTANTINO, 2012).
Esses procedimentos são importantes porque, além de preservar a prova, se o perito

cometer algum erro que provoque alterações ou perda de informações, a investigação
não será comprometida, pois a fonte estará intacta e somente a cópia terá sido perdida
ou danificada. A importância dos cuidados com as amostras a serem investigadas se
33
estende até o tribunal: os juízes podem considerar as evidências inválidas dependendo

de como elas estiverem e os advogados de defesa podem contestar a legitimidade da
prova, o que consequentemente prejudica o caso (CONSTANTINO, 2012). Portanto, é
de responsabilidade do perito a garantia da cadeia de custódia, pois ele deve garantir a
proteção e a idoneidade da prova para evitar questionamentos referentes à origem ou
ao estado final de uma evidência, já que qualquer suspeita pode tornar a prova nula e
colocar em risco toda a investigação.
Existem ainda os cuidados ao manipular os equipamentos que serão periciados, tendo

em vista que até mesmo uma operação simples pode causar alterações nas evidências
armazenadas. O simples ato de ligar o computador altera determinados arquivos, datas
de último acesso, e cria arquivos temporários (mesmo sem o usuário executar qualquer
ação). Uma conexão de pen drive na porta USB também pode gerar a gravação de dados
no dispositivo.
Nesse sentido, podemos concluir que toda e qualquer atividade deve ser executada
buscando a garantia de que as informações armazenadas não irão sofrer alterações.
Assim, os exames forenses devem, sempre que possível, ser feitos em cópias fiéis do
material original (ALMEIDA, 2011). Ao finalizar a etapa de preservação, o material
questionado ou original que tenha sido copiado deve ser lacrado e guardado como
evidência em local específico (CONSTANTINO, 2012).
Coleta e recuperação de evidências

Após todos os cuidados para a preservação das provas, o perito parte para a etapa
seguinte que é a busca e coleta de evidências. A atuação pericial em um sistema violado
se inicia a partir do momento em que o profissional de segurança tenta identificar como
aconteceu o delito e qual a extensão do prejuízo causado, isto é, ele busca informações
e aspectos do sistema operacional que foram afetados. Posteriormente à etapa de
reconhecimento inicial, o perito procede à coleta e análise de evidências para obter o
máximo de dados periciais digitais possíveis (BEGOSSO, 2010).
As imagens bitcopy (cópia bit a bit) de discos rígidos com dados alocados e não
alocados podem conter informações importantes para a investigação, sendo que os
últimos (dados não alocados) podem ser intencionalmente excluídos, como podem
ser excluídos automaticamente gerando uma exclusão temporária de arquivos.
Infelizmente, muitas vezes esses dados não são facilmente acessados. Porém, uma
pesquisa nos dados brutos pode recuperar documentos de texto importantes, ainda
que esses não auxiliem na obtenção de informações presentes em imagens ou
arquivos compactados. Além disso, também acontece de não se ter conhecimento de
34
antemão das sequências exatas que devem ser procuradas (ALHERBAWI, SHUKUR,
SULAIMAN, 2013).
Identificação e recuperação
Uma investigação deve ser conduzida primeiramente pela revisão das evidências
disponíveis e pela identificação de evidências perdidas/apagadas. Esta etapa é
indispensável, principalmente porque leva o perito a informações não vistas e evita
conclusões incorretas ou incompletas sobre um determinado caso (CASEY, KATZ,
LEWTHWAITE, 2013).
Quando se tem informações a respeito dos arquivos que podem ter sido perdidos, é
preciso que esses sejam recuperados. Existem diversas formas de recuperar arquivos
do espaço não alocado, dentre as quais a maioria das técnicas faz uso de informações
do sistema de arquivos para localizar e recuperar aqueles excluídos. As vantagens
dessa abordagem são principalmente sua rapidez e a obtenção de metainformação
(como data de último acesso, resolução, ISO) que frequentemente pode ser recuperada.
Em contrapartida, existe a desvantagem de estas técnicas serem menos eficazes
quando as informações do sistema de arquivos estão corrompidas ou sobrescritas
(ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Nesse sentido, o conhecimento do funcionamento de um HD é um fator crucial.

Quando um arquivo é excluído do disco, o sistema operacional não sobrescreve o
conteúdo com zero ou um, ou seja, com o processo feito no wipe para limpar ou zerar
bits de um dispositivo. Ele apenas marca como livre o espaço que estava ocupado
por aquele conteúdo. Esse processo é conhecido como exclusão lógica, e com ele, os
arquivos existentes no HD são tratados pelo sistema operacional como um espaço
ocupado no disco. Quando esses arquivos são excluídos, o sistema os trata como
espaço livre (CONSTANTINO, 2012).
Com isso, esses trechos se tornam inacessíveis para o usuário comum, mas peritos
conseguem recuperá-los e acessá-los a partir de técnicas e procedimentos específicos.
Se o processo de recuperação demora a ser realizado, o profissional se deparará
com grande dificuldade de recuperação das informações do dispositivo, tendo
em vista que o espaço no disco nesse momento já é marcado como livre. Assim, o
sistema operacional pode ocupá-lo com outras informações e, consequentemente,
comprometer a possibilidade de recuperação e leitura completa das informações
(CONSTANTINO, 2012).
Essa recuperação é realizada por meio de cabeçalhos ou assinaturas presentes nos

arquivos. Todos os arquivos, como JPEG, BMP, GIF, AVI, DOC, TXT, MP3 etc.
35
possuem uma assinatura que os identificam e diferenciam. A busca por um arquivo

removido é inicialmente feita por sua assinatura e, assim que esta é identificada, se
torna possível buscar seu conteúdo, seja de forma integral, quando se consegue uma
recuperação completa, ou parcial, caso somente parte do arquivo tenha sido sobrescrito.
A recuperação por meio de assinaturas é também chamada de Data Carving. Em
sistemas GNU/Linux pode ser feita a recuperação por programas como o Foremost,
Scalpel, entre outros. A execução do Foremost deve ser feita pela instalação do terminal
do sistema,conforme comando exemplificado a seguir:
“Foremost –i arquivo_de_entrada –o diretório_de_saída”
Nesse caso, o “arquivo_de_entrada” é a partição ou arquivo a ser analisado, enquanto

o “diretório_de_saída” indica o local onde os resultados da busca serão salvos. A busca
pode ainda ser filtrada de acordo com o tipo de arquivo, e para tanto, o comando
utilizado é:
“foremost –t gif, pdf –i image.dd”
Dessa forma, o programa consegue procurar por arquivos GIF e PDF especificamente,
e a “image.dd” pode ser uma partição específica do sistema. Esse programa apresenta
diversos parâmetros e pode ser utilizado de diferentes formas, como, acessando a
documentação do programa digitando “man foremost” no terminal do sistema. A partir
disso, pode-se identificar parâmetros disponíveis, bem como sua forma correta de uso.
Para o uso do programa Scalpel, é preciso configurar conforme o tipo de busca que será
feita. Assim, o procedimento segue com a edição do arquivo de configuração (scalpel.
conf):
“scalpel arquivo –o Diretório”
Aqui, o “arquivo” é a imagem, partição ou dispositivo a ser analisado e o “diretório”

indica onde serão salvas as respostas da execução.
Sabe-se ainda que cada computador tem suas particularidades, e por essa razão, é
necessário conhecer os diferentes sistemas operacionais e suas características, para
que a busca de informações e provas seja realizada de forma correta. A seguir serão
apresentadas algumas especificidades dos sistemas operacionais Windows e Linux/
Unix, respectivamente:
Windows:
1. Arquivos e sistema de arquivos: Utilizar ferramentas de linha de

comando pode auxiliar o investigador a verificar e examinar a hora,
36
data de instalação do sistema operacional, service packs, patches e

subdiretórios como drivers que atualizam automaticamente.
2. Arquivos ocultos: Ferramentas que buscam no registro, localizam

dados em extensões de arquivos ocultos ou mascarados, como fluxos de
dados alternativos NTFS podem ser empregados.
3. Detecção de arquivos incomuns ou ocultos alterando as janelas

para exibição de determinados tipos de arquivos ocultos:
a. arquivos compactados;
b. arquivos mal nominados;
c. arquivos criptografados;
d. arquivos protegidos por senha;
e. atributos de arquivos;
f. clusters marcados como ruins;
g. ID de segurança: ID de segurança da Microsoft são localizados no

registro na lista de perfis que possui dados do computador.
4. Slack space: Espaço existente no fim do arquivo do último cluster que

contém dados do computador;
5. Registro do Windows: É um banco de dados que contém todas as

informações sobre o computador onde são armazenadas, como por
exemplo:
a. configuração do sistema operacional;
b. informações de configuração do aplicativo;
c. informações de configuração de hardware;
d. informações de segurança do usuário;
e. informações atuais do usuário.
6. Localizar evidências do spooler de impressão do Windows e meta-

arquivos avançados (EMF), ainda que um usuário nunca tenha salvo
um documento de processamento de texto, as versões temporárias de
37
documentos de processamento de texto algumas vezes permanecem no

disco rígido.
Linux/Unix:
1. A cópia de trabalho restaurada deve ser montada e posteriormente deve-

se iniciar a análise do conteúdo.
2. O comando Is deve ser usado para visualizar o conteúdo do disco. [Is –

aIR para listar todos os arquivos, inclusive os ocultos e listar os diretórios
de forma recursiva].
3. Deve-se listar todos os arquivos, tempos de acesso e fazer a busca de

evidências prováveis utilizando o comando grep.
4. Listar extensões de arquivos desconhecidos e aparência de arquivo

alterado.
5. Pesquisar nas áreas:
a. Syslog: Coração do logging do Linux.
b. tempo de acesso de arquivo.
c. detecção de arquivos incomuns ou ocultos, compactados e com nomes

incorretos, arquivos criptografados e protegidos por senha.
Data carving
O Data Carving é um método de identificação e extração de arquivos também conhecido

como File Carving, em que a identificação independe do sistema operacional ou de
arquivos existentes. Seu funcionamento é como uma assinatura de um tipo específico
de arquivo, além de ser baseado nas informações existentes nos cabeçalhos, rodapés e
setores de um disco (CONSTANTINO, 2012). Este método é principalmente usado em
casos que necessitam de uma técnica independente que não requer as informações do
sistema de arquivos. Essa ação pode ser também realizada identificando as partes e
arquivos excluídos, acessando diretamente os dados brutos e extraindo-os de forma
verificável (ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Carving é um termo geral para a extração de arquivos de dados brutos, de acordo

com características específicas do formato de arquivo existente nesses dados,
além de utilizar somente as informações existentes neles, e não as informações
do sistema de arquivos. Nicholas Mikus escreveu que Disc carving é um aspecto
38
essencial da computação forense, embora seja uma área um pouco negligenciada no

desenvolvimento de novas ferramentas forenses. Após a tese de Mikus, esse campo
de análises evoluiu consideravelmente, no entanto, existem poucas técnicas carving
diferentes e não há um padrão de classificação ou comparação entre as existentes
(ALHERBAWI, SHUKUR, SULAIMAN, 2013).
Os softwares mais conhecidos para a realização da recuperação de arquivos apagados,

de modo automático são o Photorec e Ontrack Recovery. O Photorec é um software
compatível com diversas assinaturas, além de ser capaz de suportar vários sistemas de
arquivos e ser um software livre. O Ontrack Recovery, por outro lado, tem interface
intuitiva e faz recuperação de diferentes tipos de arquivos, com base seja na técnica de
assinaturas, seja na estrutura do arquivo (SOUSA, 2016).
Em geral, os dispositivos de armazenamento têm uma organização de dados que

guarda mais informações que as acessadas por usuários comuns. Nesse sentido, é
possível dividir os discos rígidos em camadas. As camadas superficiais contêm arquivos
visíveis para qualquer usuário comum. Já nas camadas mais internas existem:
»» arquivos ocultos;
»» arquivos criptografados;
»» arquivos temporários;
»» arquivos apagados;
»» fragmentos de arquivos;
»» sistemas computacionais;
»» bancos de dados;
»» registros de impressão;
»» swap de memória etc.
Os arquivos de um disco rígido podem também ser divididos em camadas de maneira

semelhante à divisão planetária, conforme exposto na Figura 12.
39
Figura 12 - Disco rígido dividido em camadas.
Arquivos ocultos
Arquivos temporários
Fragmentos
Maior complexidade
Outros
Fonte: Souza (2015).
Para extrair dados de forma completa e correta, é essencial conhecer o sistema

operacional existente no disco, bem como o sistema de arquivos utilizado. Um sistema
de arquivos é um conjunto de estruturas lógicas e rotinas que define a forma como os
arquivos são estruturados, nomeados, acessados, usados, protegidos e manipulados
pelo sistema operacional. Este sistema armazena os arquivos como uma sequência
de bytes, além de organizá-los dentro de uma hierarquia de diretórios, gerenciando
seus nomes e conteúdos, seus atributos, tais como posse, permissões de acesso, data
e hora de última modificação, entre outros. Sistemas de arquivos alocam espaço por
meio de um arranjo linear de blocos de disco de mesmo tamanho e destinam parte
da capacidade de armazenamento para seus próprios propósitos (ALMEIDA, 2011).
À medida que desmontamos camada após camada, as informações vão se tornando

mais precisas em virtude de sofrer menor processamento. Por outro lado, quanto
mais próximo dos bits brutos, menos significativas serão as informações, já que se tem
cada vez menos conhecimento de sua finalidade. Assim, para haver uma recuperação
correta de dados do disco, é imprescindível conhecer o sistema de arquivos.
Atualmente, existem diversos sistemas, como por exemplo:
»» FAT16;
»» FAT32;
»» NTFS;
»» EXT2;
»» EXT3;
»» UFS;
40
»» JFS;
»» HPFS;
»» REISER etc.
Cada um desses sistemas tem uma forma de estruturação e organização de bits. Além
do mais, o conhecimento a esse respeito já é sistematizado, de modo que é possível
criar ferramentas forenses que examinem toda a superfície do disco buscando
bytes significativos conforme o sistema de arquivo subsistente. Tal automatização
proporciona uma redução de tempo na extração dos dados e permite que o perito se
dedique mais na etapa de análise e produção de evidências. Um impasse enfrentado
na etapa de extração é o aparecimento de programas e arquivos que necessitam de
senhas para serem extraídos, e assim, se torna necessário fazer uso de metodologias
que possam solucioná-lo, tais como (SOUSA, 2016):
»» engenharia reversa;
»» engenharia social;
»» ataques de força bruta.
A engenharia reversa de um software é um procedimento de desmontagem

seguida da análise, com o objetivo de construir e analisar um modelo representativo
de alto nível, de modo que, o programa alvo possa ser estruturado e compreendido. No
momento em que se consegue entender a estrutura e o funcionamento de um programa,
é possível localizar a parte que realiza o processo de login, ou seja, autenticação, e com
isso, se torna possível modificar o software estética ou dinamicamente, o que, por
conseguinte, permite o acesso à parte protegida do software e à informação desejada
pelos peritos (SOUSA, 2016).
A engenharia social é uma forma de ataque por meio de persuasão, de modo que,
diversas vezes acontece abuso da ingenuidade ou confiança do usuário, objetivando
obter informações para acesso não autorizado em computadores. Por outro lado, a
técnica pode ser utilizada para auxiliar em um processo investigativo em casos em que
um ambiente onde os arquivos são protegidos por senha e os investigadores têm contato
com os usuários, possibilitando chegar às senhas por persuasão e, consequentemente,
facilitar o trabalho pericial. Já o ataque por força bruta, é realizado pelo uso de um
dicionário de senhas, de modo que cada senha é testada de forma automática, visando
localizar uma possível senha dentro do dicionário utilizado. Um software bastante
empregado para realizar esse trabalho é o ElcomSoft Password Recovery (SOUSA,
2016).
41
Como já mencionado anteriormente, quando dados são apagados o sistema de arquivos

modifica seu status de “espaço ocupado” para “espaço livre”, assim, os dados referentes
aos arquivos apagados continuam armazenados no disco rígido, e a exclusão definitiva
acaba sendo uma tarefa complexa. Embora os discos magnéticos sejam projetados
para o armazenamento de informações digitais, a tecnologia adjacente é analógica, o
que significa que o valor de um bit é uma combinação complexa de valores gravados
no passado. Usando circuitos eletrônicos modificados, sinais dos cabeçotes de leitura
de disco podem revelar dados mais antigos com modulações no sinal analógico. Além
desta, outra forma de analisar os discos é pelo exame da superfície, em que, por meio
de técnicas de microscopia eletrônica os padrões magnéticos antigos persistentes em
uma trilha de disco são revelados. Dessa maneira, os dados dos discos magnéticos
podem ser restaurados ainda que já tenham sido sobrescritos múltiplas vezes
(MOSCATO; VON ZUBEN, 2019).
Contudo, a recuperação, nesses casos, só é possível em circunstâncias especiais, ou

seja, os processos para leitura de vestígios de dados anteriores demandam tempo,
equipamentos, instalações e procedimentos sofisticados, que não são viáveis numa
prática forense convencional. As informações apagadas podem ficar intactas por
meses ou anos, conforme o desempenho do sistema de arquivos, que por sua vez, evita
movimentos do cabeçote de disco e, por conseguinte, mantém os dados relacionados
juntos. Essa ação reduz a fragmentação do conteúdo de um arquivo individual, ao passo
que reduz retardos ao percorrer diretórios para o acesso de um arquivo (MOSCATO;
VON ZUBEN, 2019).
Um sistema de arquivos típico que contém tais propriedades divide o espaço de

armazenamento em múltiplas zonas, e cada uma delas possui sua própria tabela/
bitmap de alocação dos bytes, blocos de dados e blocos de atributo de arquivo.
Geralmente, as informações acerca de um arquivo pequeno são depositadas dentro
de uma zona, enquanto os novos arquivos são criados preferencialmente na mesma
zona do seu diretório-pai, e os novos diretórios são criados nas zonas que apresentam
poucos diretórios e muito espaço livre. Esse processo de agrupamento de arquivos
em usuários ou aplicativos distintos, de acordo com as zonas do sistema e mantendo
as informações relacionadas dentro da mesma zona é chamado de clusterização
Clusterização
A clusterização pode ser compreendida como uma classificação não supervisionada

de dados, gerando agrupamentos ou clusters. Esta análise envolve a organização
de conjunto de padrões que são comumente representados na forma de vetores de
42
atributos ou espaço multidimensional em clusters, conforme alguma medida de

similaridade. Os padrões de um cluster devem ser mais semelhantes entre si do que
com os padrões pertencentes a outros clusters. Nesse caso, o problema que recebe
atenção é o agrupamento de um conjunto de padrões ainda não rotulados em clusters,
de modo que possuam algum significado, isto é, que possuam propriedades em comum
Assim, uma vez que um cluster é definido, os padrões também o são, e esses últimos,
são ditados pelos próprios padrões componentes de cada cluster. Ressalta-se que
os problemas enfrentados em uma clusterização podem ser encontrados em várias
áreas de atuação e em diferentes contextos, como, por exemplo, na segmentação
de imagens, classificação de padrão, recuperação de informação etc. Além disso, a
clusterização é normalmente associada com a análise exploratória, já que envolve
problemas dos quais se tem pouco conhecimento e pouca informação a priori.
É justamente a clusterização que possibilita a criação de novas hipóteses acerca
dos inter-relacionamentos dos dados e sua estrutura intrínseca (MOSCATO; VON
ZUBEN, 2019).
Nesse processo, as seguintes ações estão envolvidas:
»» representação de padrões, que podem incluir extração ou seleção de

características;
»» definição de uma medida de similaridade adequada ao domínio da

aplicação;
»» clusterização ou agrupamento;
»» apresentação de resultado.
A Figura 13 traz uma representação das etapas do processo de clusterização.
Figura 13. Etapas do processo de clusterização.
Inter-
Padrões Nova representação relacionamento dos
dos Padrões Padrões
Extração ou
Medida de
seleção de Agrupamento
similaridade
características
Clusters
Apresentação
Fonte: Moscato, Zuben (2019).
43
Deste processo cada etapa compreende uma tarefa específica, e estas serão esclarecidas
a seguir:
»» Representação de padrões: etapa em que se define o número, o tipo e

o modo de apresentação dos atributos que descrevem cada padrão.
»» Seleção de características: é o processo de identificação do

subconjunto mais efetivo dos atributos disponíveis para a descrição de
cada padrão.
»» Extração de características: é o uso de transformações junto aos

atributos de entrada para salientar uma ou mais características dentre as
que estão presentes nos dados;
»» Medida de similaridade: dada por uma função de distância

determinada entre pares de dados ou padrões. É possível incluir na
medida de distância os aspectos conceituais ou numéricos, ou seja,
aspectos qualitativos ou quantitativos.
»» Agrupamento: os grupos podem ser determinados como conjuntos

crisp (padrão pertencente ou não pertencente a um dado grupo) ou fuzzy
(um padrão que pode apresentar graus de pertinência aos grupos). O
agrupamento pode ser hierárquico apresentando um processo recursivo
de junções ou separações de grupos, como também pode ser não
hierárquico e empregar de forma direta as técnicas de discriminação de
clusters.
»» Apresentação: deve permitir que um computador utilize o resultado

de forma direta ou orientar o usuário, concedendo a visualização gráfica
dos clusters, bem como, a compreensão de suas inter-relações, por
meio da proposição de protótipos ou outras descrições compactadas
para clusters.
A clusterização pode ser empregada em situações que o objetivo é diminuir o número

de objetos, para um número de subgrupos característicos. Para isso, levam-se as
observações que devem ser consideradas como membros de um grupo, perfiladas
de acordo com características gerais, que, por sua vez, rotulam este grupo de forma
distinta ou quando o perito almeja formular hipóteses a respeito da natureza dos
dados e examinar hipóteses já estabelecidas. Se uma estrutura pode ser previamente
determinada para um grupo de objetos, o resultado da análise de clusters pode ser
aplicado para fins comparativos e de validação da estrutura inicial. Além disso,
44
outra utilidade dessa técnica é na identificação de relações entre as observações não

identificadas em outras técnicas (PUC RIO, 2010).
Indexação de dados
De acordo com Viana et al. (2013), indexação é um processo que visa recuperar
informações e permite elaborar índices. Em sistemas informatizados de recuperação
da informação, uma indexação de qualidade garante uma recuperação mais precisa.
Conforme a NBR 12676 sobre os métodos para analisar documentos, determinar seus
assuntos e selecionar termos de indexação, o processo ocorre em três estágios:
1. exame do documento e estabelecimento do assunto de seu conteúdo;
2. identificação de conceitos existentes no assunto;
3. tradução dos conceitos nos termos de uma linguagem de indexação.
Nesse caso, o responsável pela indexação deve atentar para três perguntas:
1. Do que trata o documento?
2. Por que foi agregado ao acervo?
3. Quais aspectos serão interessantes para os usuários?
Ocorre que o indexador tem a função inicial de compreender a leitura quando realiza
uma análise conceitual que representa, de modo adequado, o conteúdo de um dado
documento, para que haja correspondência com o assunto pesquisado pelo usuário.
Contudo, para essa correspondência acontecer, é preciso adotar uma política de
indexação, tendo em vista que ela será norteadora de princípios e critérios que guiarão
a tomada de decisões para aperfeiçoar o serviço e racionalizar os processos (VIANA et
al., 2013). Essa política, por sua vez, deve considerar três fatores:
1. características e objetivos da organização, que são determinantes do

serviço;
2. identificação de usuários para atender às suas necessidades;
3. recursos humanos, materiais e financeiros disponíveis na instituição,

que guiam o funcionamento do sistema de informações, especificidades
e limitações.
45
O termo de indexação representa um ponto de acesso, da mesma forma como as

informações sobre o suporte, forma de escrita, espécie e gênero. Isso significa que
um elemento de informação, termo ou código existente em unidades de descrição
serve à pesquisa, identificação ou localização de documentos (VIANA et al., 2013). A
indexação de dados pode ser também compreendida como a varredura de todos os
dados ou bits do dispositivo, localizando ocorrências alfanuméricas, além de organizá-
las de modo que possam ser acessadas e recuperadas facilmente. Uma ferramenta
de triagem ou extração forense de dados pode tanto alimentar dados em diferentes
operações de extração quanto preservar a evidência digital, criando uma duplicata
forense de acordo com o exposto na Figura 14 (CASEY, KATZ, LEWTHWAITE, 2013).
Figura 14. Processo de execução de várias operações após adquirir e extrair dados.
Cópia Duplicação forense

Dados de
Memória Interna
Fila de mídia Imagens Informações
Carve extraídas que são
Vídeos
armazenadas em
formato
Não alocados padronizado
Exportar Lista de arquivos
Arquivos lógicos
Fonte: Adaptado de Casey, Katz, Lewthwaite (2013).
Essa ação é vantajosa não somente por ser capaz de adquirir e extrair dados
simultaneamente, mas também por elevar significativamente a eficiência do processo
por meio da execução de várias operações em dados extraídos paralelamente (CASEY,
KATZ, LEWTHWAITE, 2013).
Ao ser finalizado o processo de extração, é possível saber quais e quantas são as

ocorrências de cada cadeia alfanumérica. Assim, cria-se uma espécie de catálogo com
cada cadeia encontrada. Essa técnica é principalmente utilizada pelos peritos na fase
de análise dos dados, uma vez que possibilita realizar buscas rápidas por palavras-
chave no conteúdo que está sendo questionado. Além disso, o procedimento de Data
Carving pode ser feito de forma mais rápida e eficiente, já que todo o conteúdo
foi percorrido e as assinaturas dos arquivos estão organizadas e identificadas. As
principais ferramentas usadas para realizar o processo são (BARIKI, HASHMI,
BAGGILI, 2011; CONSTANTINO, 2012):
»» Forensic Toolkit (FTK).

»» Encase.
»» ProDiscover.
46
A ferramenta FTK é capaz de gerar relatórios em diferentes formatos, tais como:

.xml, .rtf, .wml, .docx, além de incluir arquivos exportados, logotipos personalizados
e informações externas, como por exemplo, listas hash, resultados de buscas e listas
de senhas. O FTK produz um relatório XML contendo detalhes de itens de evidências
digitais que tenham sido marcadas em uma investigação. Já a ferramenta ProDiscover
fornece aos peritos um aplicativo integrado do Windows para coletar, analisar, gerenciar
e relatar evidências de disco de computadores. Além disso, o ProDiscover permite
localizar dados em um disco de computador ao passo que protege as evidências e cria
relatórios de evidências com boa qualidade para uso em procedimentos legais.
A Encase é um dos softwares mais empregados na computação forense, que tem

uma interface de uso organizada que simplifica a visualização de conteúdos de mídias
utilizando visualizações distintas, das quais podemos citar galeria de fotografias,
evidências de imagem, hexadecimal e árvore de arquivos. Essa ferramenta pode
ser também utilizada para adquirir evidências, fornecendo aos investigadores a
possibilidade de conduzir investigações em larga escala do início ao fim, sendo
capaz de gerar diversos relatórios automaticamente, conforme apresentado a seguir
(BARIKI, HASHMI, BAGGILI, 2011):
»» listas de todos os arquivos e pastas;
»» lista detalhada de todos os URLs, além de dados de datas e horários de

visita ao site;
»» relatório de incidente que auxilia a criar a documentação requerida ao

longo do processo de resposta a incidentes;
»» informações detalhadas acerca do disco rígido quanto às partições

físicas e lógicas.
De modo geral, esta fase inicial de análise é onde são feitos os exames nos arquivos
recuperados de um material questionado, ou seja, exames nos arquivos extraídos.
Essa fase pericial tem por objetivo a identificação de evidências digitais vinculadas
a um crime que está sendo investigado. Uma vez que na fase de extração diversos
arquivos podem ser recuperados, há técnicas auxiliares para a busca pela informação
ou arquivo desejado, ou seja, técnicas de filtragem da informação, como, por
exemplo, o Know File Filter (KFF), que restringe a busca tanto quanto possível
para um conteúdo específico. Todavia, esta técnica só é eficaz quando se tem
conhecimento do tipo de arquivo que deve ser examinado (CONSTANTINO, 2012).
47
Além desta, outra técnica de filtragem é a busca por palavras-chave (realizada

posteriormente à indexação de dados). Nesse caso, os arquivos ficam organizados,
permitindo ao perito realizar a busca por palavras específicas, e assim, quando esta
mesma palavra for buscada, todos os arquivos que a contenham serão listados. O perito
pode ainda realizar busca de arquivos navegando em pastas do sistema, apesar deste
processo ser mais demorado que os anteriores. De acordo com a complexidade do caso,
pode ser necessário o trabalho de vários peritos. Crimes diferentes geram evidências
diferentes e cada caso deve ser tratado conforme sua especificidade (CONSTANTINO,
2012).
Em um caso de acesso não autorizado, por exemplo, o perito terá que buscar por
arquivos log, conexões e compartilhamentos suspeitos. Já em um caso de pornografia,
o perito buscará por imagens armazenadas no computador, histórico recente de sites
acessados, arquivos temporários etc. Esse momento de análise visa identificar o autor
do crime, a forma e a ocasião de sua ocorrência bem como os danos causados. Nessa
etapa, é comum que peritos façam uso de uma técnica denominada Live Analysis ou
Forense in vivo (CONSTANTINO, 2012).
As informações são alcançadas em dois locais: nas áreas de atuação dos usuários
e no kernel do sistema operacional. Portanto, se torna necessário fazer uma busca
detalhada nos dados do sistema. Evidências digitais, em geral, têm características
específicas, como a possibilidade de serem duplicadas precisamente, mantendo
preservado o original ao longo da perícia. Pode-se verificar se foram alteradas, assim
como se pode modificá-las durante a análise, devido à sua volatilidade. Os dados mais
voláteis são priorizados nessa fase, pois são facilmente perdidos (CONSTANTINO,
2012).
A fase de busca de evidências pode ser dividida em três etapas: Live, Network e Post
mortem (BEGOSSO, 2010).
Análise inicial
Forense in vivo
Antes de compreendermos a forense in vivo ou Live Analysis precisamos entender os

aspectos da volatilidade e o tempo de vida de um dado pericial digital. O tempo de vida
de uma evidência digital varia conforme o local no qual está armazenada. Quanto mais
volátil for um dado, mais complexa será sua extração e menos tempo haverá para obtê-
lo. Assim, dependendo da volatilidade de uma informação, ela passa a ser considerada
48
irrelevante para a perícia. Esse tipo de situação costuma acontecer com dispositivos de
armazenagem na CPU (caches e registradores), pois seu estado é alterado no momento
em que se faz a captura (BEGOSSO, 2010).
A título de conhecimento, na Tabela 3 é apresentada a ordem de volatilidade de alguns

tipos de elementos computacionais.
Tabela 3 - Ordem de volatilidade dos principais elementos computacionais.
Tipos de dados Tempo de vida

Registradores, memória periférica, caches Nanossegundos
Memória principal Dez nanossegundos
Estado da rede Milissegundos
Processos em execução Segundos
Disco Minutos
Disquetes, mídia de backup Anos
CD-ROMs, impressões Dezenas de anos
Fonte: <https://monografias.brasilescola.uol.com.br/computacao/forense-computacional-tecnicas-para-preservacao-
evidencias-coleta-analise-artefatos.htm>.
Por outro lado, apesar da alta volatilidade de algumas informações, como o estado do
sistema operacional e o conteúdo da memória principal, eles são importantes para a
identificação de ataques em curso. Durante a forense in vivo existem informações que
podem ser obtidas, tais como (BEGOSSO, 2010):
»» dispositivos de armazenagem da CPU;
»» memória de periféricos;
»» memória principal do sistema;
»» tráfego de rede;
»» estado do sistema operacional;
»» dispositivos de armazenagem secundária;
»» arquivos de registros;
»» análises de malwares identificados.
Estes dados podem, posteriormente, ser utilizados na fase de análise post mortem. A
etapa de forense in vivo termina assim que o sistema é desligado, após a coleta de
todas as informações do disco rígido. Na sequência, faz-se a cópia bit a bit, que será
usada na busca de possíveis evidências para a perícia. Contudo, é importante ressaltar
49
que existe a possibilidade de haver dificuldades quanto à geração da imagem do disco

rígido, como, por exemplo, em casos onde o desligamento da máquina gera influência
no funcionamento da organização, ou em casos em que o disco tem grande volume de
dados. Apesar dos riscos, é necessário tomar essas medidas (BEGOSSO, 2010).
Tratando-se de dispositivos periféricos, é importante coletar as evidências durante a

forense in vivo, uma vez que após o desligamento do sistema, algumas informações não
são mais encontradas (BEGOSSO, 2010). Essa situação é tratada no momento chamado
de Análise Post Mortem e tem relação com a ordem de volatilidade dos dados, ou seja,
nesse momento somente existirá a memória não volátil para análise (HD, DVDs etc)
que é mais complexa em relação ao tempo, em virtude da quantidade de informação a
ser analisada (CONSTANTINO, 2012).
No que diz respeito à busca de dados periciais na memória principal do sistema, os

peritos normalmente empregam dumps de memória pela geração de core files ou crash
dumps. Isso porque nela se encontram informações voláteis, tais como processos
em execução, dados manipulados e outras informações não salvas em disco até o
momento. Um processo dump, quando executado, é alocado na memória e altera parte
das informações obtidas. No entanto, isso não impede que se faça a verificação dos
processos ativos na memória na ocasião da coleta (BEGOSSO, 2010).
Já os crash dumps são fontes úteis de dados, tendo em vista que possuem uma
imagem da memória do sistema quando acontece alguma falha inesperada, ou seja,
funcionam como uma espécie de caixa preta do sistema. Crash dumps fazem gravações
das informações contidas na memória e, por conseguinte, permitem uma análise
posterior. De acordo com Melo (2009), a análise do tráfego de rede é importante e
realizada por meio de sniffers, programas que capturam datagramas na rede e fazem
sua decodificação. Por meio dessa ação, vários tipos de informações são obtidas, das
quais podemos destacar:
»» portas e endereços de IP questionáveis;
»» tráfego incompatível com o padrão do protocolo;
»» requisições HTTP suspeitas etc.
Das análises de tráfego de rede, as principais são as atividades de roteamento e de

aplicações que usam Raw Socket e processos inerentes aos serviços de redes. Além
dessas, outras análises igualmente importantes são:
»» estado do sistema operacional;
50
»» módulos de kernel;
»» informações de logs;
»» informações de horário do sistema;
»» informações do disco rígido;
»» duplicação do disco.
Em uma análise do sistema operacional, o perito se depara com informações valiosas

no que tange à origem e tipo de ataque realizado. Os dados de processos ativos em
memória podem ser perdidos quando a máquina é desligada e eles são importantes
para a identificação de instalações de malwares ou conexões suspeitas/não autorizadas.
Os módulos de kernel apresentam diferentes funções em um sistema, como, por
exemplo, a interceptação e a função de reescrever as chamadas do sistema operacional.
Um malware consegue assumir a forma de um módulo de kernel e compromete o
desempenho do sistema. Como consequência, é imprescindível fazer a busca de dados
nos módulos em memória. Outro fator de grande importância é a coleta de informações
dos registros do sistema (os logs) (BEGOSSO, 2010).
A partir da análise de logs, consegue-se verificar a ocorrência de fatos como atividades

de usuários e processos, conexões, entre outras atividades da rede. Em contrapartida, a
investigação pode ser comprometida se a estrutura de registro for alterada pelo invasor,
quando este tem o propósito de eliminar vestígios. O investigador deve averiguar o
horário do sistema para registrar suas atividades, principalmente para não haver
confusão de suas ações com as do invasor. Além disso, a coleta de informações do disco
e a imagem bit a bit são importantes para alcançar a garantia de dados mais voláteis. Se
estas análises são feitas adequadamente, o perito consegue reconstruir a comunicação
entre invasor e sistema atacado, bem como uma sequência de eventos que pode ser
comparada com outras informações obtidas no sistema (BEGOSSO, 2010).
Para melhor compreender a diferença dos exames de dados, o perito deve saber
quais são os dados voláteis e os não voláteis, e nesse sentido, também deve
saber qual a diferença da análise de dados voláteis e não voláteis. A resposta
para isso é apresentada a seguir (FELIPE, RAMA, STUHL, 2019):A análise de dados
voláteis significa que os dados armazenados na memória RAM ou no cache do
sistema serão analisados, enquanto a análise de dados não voláteis é realizada
em dados armazenados em HDs, pen drives, CDs etc.
51
Após finalizar a etapa de coleta, extração e indexação dos dados de dispositivos de

armazenamento computacional, o perito pode analisar os vestígios encontrados
(ALMEIDA, 2011).
Análise de Evidências
Forense em Rede e Banco de Dados
A Forense em Rede ou Network Analysis é uma técnica de obtenção de dados dos

ativos de rede que estejam envolvidos num incidente de segurança. Tais dados são
confrontados com os coletados na forense in vivo e cooperam com as conclusões dos
peritos a respeito da invasão. Recursos como backdoors vinculados à criptografia
dificultam a atividade pericial em casos de invasões, pois o malware pode não ser
percebido por um IDS. Mesmo com esse impasse, deve-se coletar as informações
ativas, como, por exemplo, IDS, IPS, servidores de logs e conexões capturadas por
sniffers (BEGOSSO, 2010).
Ao longo da forense de rede, o perito deve observar alguns fatores, tais como, técnicas
de levantamento:
»» footprint;
»» fingerprint;
»» port scanner;
»» confirmação de invasão;
»» malware automatizado;
»» serviço usado para realizar a invasão;
»» vulnerabilidades exploradas;
»» origem da ameaça;
»» instalação de backdoors ou rootkits;
»» tentativas de eliminação de rastros (cleanlogs).
Todos esses pontos costumam ser seguidos na forma de questões, para que o
perito possa tentar respondê-las quando está em ação no seu trabalho de busca por
evidências. De acordo com o contexto do incidente, essas questões podem variar, e, por
52
consequência, gerar resultados diferentes para o investigador. Existem dois momentos

em que ocorre a forense em rede. O primeiro acontece com a busca por informações
de comunicação de redes do servidor que está sendo periciado, e o segundo, quando o
investigador consegue dados referentes aos demais ativos de rede, como servidores de
logs, roteadores, IDS ou firewalls (BEGOSSO, 2010).
A primeira questão a ser verificada nesse procedimento é o horário dos registros

de logs e sua concomitância. Sequencialmente, o perito tem o dever de observar os
arquivos do tipo PCAP, bem como, identificar o momento de início da atividade. É
recomendado que os arquivos de log sejam separados conforme os intervalos de
tempo, em virtude de seu tamanho, para possibilitar uma análise pormenorizada e
precisa. Além disso, é relevante analisar conexões obtidas por meio de ferramentas
de detecção de intrusos e da reprodução das sessões que ocorreram na ocasião do
ataque. Outro fator importante é a realização de análises estatísticas para identificar
no sistema ações suspeitas ou incomuns, uma vez que essas se distinguem facilmente
das ações habituais, e assim, atrairão a atenção do investigador (BEGOSSO, 2010).
De acordo com Abdalla, Hazem, Hazem (2007) a forense de rede contempla as seguintes
questões:
1. análise de qualquer processo anormal do sistema, arquivos de porta e

serviços que utilizam comandos preexistentes no sistema ou ferramentas
de terceiros;
2. análise de arquivos de inicialização para poder analisar qualquer

alteração não autorizada do sistema e verificação da existência de portas
incomuns ouvindo as conexões de outros hosts;
3. inspeciona as configurações de rede para entradas não autorizadas;
4. identifica o endereço IP inicial, porta de origem, serviço, data e hora;
5. identifica relações de confiança de redes não autorizadas.
A análise forense em rede é indispensável e valiosa principalmente quando se trata

de incidentes de invasão de sistemas (TEIXEIRA, 2009). Numa perícia digital é
imprescindível ter conhecimento acerca dos tipos de invasores e suas formas de
atuação. Conhecer a técnica de ação destes agentes possibilita a obtenção de uma visão
dos principais pontos do processo de invasão a um sistema e a chance de antecipar
onde haverá a geração de dados para uma perícia forense computacional. O objetivo
deste trabalho é reconstruir os passos dos invasores, obtendo informações dos ativos
de rede, tais como, IDS (do inglês Intrusion Detection System (Sistema de Detecção
53
de Intrusos)), firewalls e servidores de registro (BEGOSSO, 2010). Em geral, a invasão

acontece como esquematizado na Figura 15.
Figura 15. Modo de invasão.
Identificação do alvo
Busca de vulnerabilidades
e meios de exploração
A partir de uma ótica forense,
essas etapas são passíveis de
Comprometimento inicial geração de logs nos servidores e
nos IDS, e se a segurança de
perímetro for bem planejada,
Aumento de privilégio haverá réplica de logs em um
servidor de logs remoto.
Reconhecimento do
sistema e invisibilidade
Fonte: Silva (2012).
A invasão pode acontecer de forma clássica, a partir do levantamento de informações

básicas (técnica nomeada footprinting). Nesse caso, o invasor busca informações de
contato e DNS disponíveis em registros do protocolo WHOIS, chegando à captura
de pacotes montados pela pilha TCP/IP e análise por scanner de fingerprint.
Sequencialmente, o invasor usa port scanners para o teste de portas lógicas e
identificação das que estão abertas.
Se existir algum meio de detecção de varreduras é possível que sejam disparadas

alertas em IDS ou no servidor alvo, contudo, às vezes é quase impossível conseguir
detectá-los porque o invasor consegue evitar as varreduras. Se a invasão acontece
apenas na porta 80 de um servidor (e apenas uma vez), é pouco provável que ela seja
identificada, caso a comunicação seja cancelada. Isso só não acontece se a porta não
estiver ativa no servidor e se houver um sistema que detecta intrusos com capacidade
de registrar a solicitação de conexão indevida.
Depois da invasão, infratores instalam ferramentas que auxiliam a controlar o sistema,

ocultam atividades ilícitas e também apagam seus rastros (BEGOSSO, 2010), como
pode ser observado na representação esquemática apresentada na Tabela 4.
54
Tabela 4. Como acontece
Aspectos da forense digital referentes à uma invasão

Reconhecimento dos recursos do sistema
A ótica forense nesse momento se volta para o sistema, buscando Instalação de backdoors, trojans, rootkits, etc
artefatos (binários instalados, fontes deixadas pelo invasor), bem
Limpeza de rastros
como, modificações e arquivos de configuração e binários do
sistema.
Retorno por uma backdoor
Fonte: Adaptado de Begosso (2010).
Na Figura 16 há um exemplo de um incidente de segurança em um servidor, no qual

o administrador responsável pela rede mantinha um Firewall Bridge que possuía um
sniffer gravando todos os pacotes que passavam pelo Firewall. Essa ação foi realizada
para permitir uma análise forense em rede posteriormente, por meio de um arquivo
padrão PCAP que é analisado por diversas ferramentas de software livre. Quanto mais
se consegue reconstruir as informações do incidente, mais válido é o uso da análise
forense em rede (TEIXEIRA, 2009).
Figura 16. Cenário de ocorrência de um incidente de segurança.
Topologia Dual Home
Firewall
Bridge
Servidor
invadido
Fonte: Teixeira (2009).
Na Figura 16 há uma representação da topologia dual home que fornece a configuração

dos servidores com um Firewall Bridge. Cada um desses servidores tem características
específicas que serão apresentadas a seguir (TEIXEIRA, 2009):
»» Servidor Firewall:
›› sistema operacional FreeBSD 6.0;
55
›› servidor Pentium III com duas interfaces de redes operando em modo

bridge;
›› Tcpdump capturando todos os pacotes.
»» Servidor Alvo:
›› sistema operacional Linus – Distribuição Debian Woody 3.0;
›› Kernel 2.4.18;
›› instalação padrão sem executar um procedimento de Hardening;
›› Apache 1.3.16 com suporte a PHP 4.1.2 com Safe Mode desabilitado;
›› site PHP com problema de segurança em virtude do uso incorreto da

função include.
No exemplo dado, foi preciso empregar diferentes ferramentas de análise de protocolo

para conseguir realizar a reconstrução exata dos passos executados pelo invasor, além
de alcançar a identificação das técnicas empregadas por ele. Estima-se que, nesse
caso, o invasor tenha utilizado técnicas de levantamento de dados, tais como PING
e portscan, além de falsificar o IP aplicando o ip spoofing. A ferramenta utilizada foi
o NMAP, instalada pelo comando apt-get install nmap (para distribuições debian) e
posteriormente foi empregado o Nikto para descobrir vulnerabilidades na porta 80.
O invasor conseguiu detectar a existência de vulnerabilidades no PHP e então, passou
a injetar códigos PHP por meio da função inc, iniciando a execução da travessia de
diretórios e execução generalizada de comandos do sistema (TEIXEIRA, 2009).
Essa vulnerabilidade permitiu que o invasor ativasse um backdoor já existente,

instalado no servidor da vítima (programa NETCAT) fazendo-o escutar na porta 65321.
Após a execução da transferência de arquivos, incluindo html e imagens, que foram
utilizados para a desconfiguração do site, foi feita a instalação de um backdoor na
porta 6666 nomeado Skull, além de ter sido deixado ativado no /etc/init.d/ para que,
sempre que o servidor fosse ligados esse fosse ativado deixando aberto o canal para
invasões futuras. O invasor não teve a preocupação de eliminar os rastros deixados
no servidor invadido nem de usar qualquer técnica antiforense (TEIXEIRA, 2009).
O trabalho de análise forense e identificação da invasão para esse caso foi realizado na
ordem apresentada a seguir:
1. análise do arquivo PCAP do Firewall Bridge;
56
2. verificação da primeira e última sessão;
3. identificação de técnicas de varredura de portas no servidor alvo;
4. identificação de técnicas de varredura de vulnerabilidades;
5. reprocessamento de Payload dos pacotes;
6. investigação de falhas de programação PHP.
Como já mencionado, a atividade pericial deve seguir os passos do invasor para

identificar suas ações. Nesse sentido, após seguir todas as etapas apresentadas, a
análise técnica do perito seguiu o ponto de vista cronológico fundamentado nas ações
do invasor. Esse método visa determinar as principais ações do invasor identificadas
no arquivo de log e relacionadas ao número de pacotes em que se iniciam, bem como,
a ordem cronológica em que acontecem. Essa ação busca ter ciência da duração de
cada atividade envolvida no processo que resultou na invasão do sistema. Os pacotes
envolvidos nesse processo estão apresentados de forma cronológica na Tabela 5.
Tabela 5. Ordem na qual os pacotes foram executados.
Ação executada Pacote Inicial HH:MM:SS

Varredura de portas 24 03:34:09
Busca por vulnerabilidade no servidor web utilizando o Nikto 9928 03:34:19
Navegação com Mozilla Firefox 1.0.7 à procura de falhas de PHP 38.305 03:34:43
Exploração de falha PHP para acessar o conteúdo do /etc/passwd 38.497 03:34:55
Exploração falha PHP, mas não conseguiu acessar o conteúdo do /etc/shadow 38.588 03:35:01
03:35:22
Exploração falha PHP para acessar detalhes da configuração de rede 38.697
Exploração de falha PHP para acessar informações sobre versão do sistema 38.807 03:35:33
03:35:49
Explora falha PHP para instalar uma backdoor temporária utilizando NETCAT 38.928
Abertura de conexão com backdoor instalada, por meio do segmento SYN 39040 03:36:18
Conexão aceita 39042 03:36:18
Download da figura skull.jpg na pasta /tmp, usando o comando wget 39129 03:38:11
Download da página skull.html na pasta /tmp, usando o comando wget 39215 03:39:01
03:42:33
Download do código fonte do exploit “km3.c” na pasta /tmp, usando o comando wget 39342
Compila o código fonte da exploit “km3.c” para o executável owner_skull, usando o comando
39384 03:42:49
gcc
Execução do exploit owner_skull -d 39396 03:43:11
Comprovação que se tornou o root por meio do comando id 39805 03:43:40
Retomada de tentativas de deface, com o comando cp 39818 03:44:06
Instalação de backdoor definitiva com privilégios de root, dentro do inetd.conf 40300 03:50:12
Término da conexão com a máquina invadida 40377 03:52:28
Fonte: Teixeira (2009).
57
Além dos aspectos da forense em rede, existe a vertente da forense em banco

de dados (database forensics), que tem foco nos bancos de dados, bem como,
em seu conteúdo e metadados vinculados. Bancos de dados são arquivos de dados
estruturados, administrados e acessados a partir de um sistema de gerenciamento
de banco de dados. O SQL (Structured Query Language) controla a maior parte dos
bancos de dados, no entanto, existem diversas variações e extensões que são sujeitas
a recursos suportados. Nesse campo de análise, as perguntas podem ser a respeito
da interpretação de dados ou da determinação do momento em que determinadas
informações foram inseridas ou alteradas no banco de dados. Esse tipo de informação
depende do fornecedor do banco de dados e necessita de experiência e pesquisa para
que uma interpretação correta seja conseguida (HENSELER, LOENHOUT, 2018).
Com relação à estrutura de armazenamento de um banco de dados, este tem a camada

onde se armazenam dados relacionados às estruturas físicas em páginas uniformes que
têm tamanho típico de 4KB ou 8KB. O uso de uma página com tamanho fixo simplifica
de forma significativa o armazenamento e o gerenciamento de cache. Esse tamanho de
página pode ser alterado pelo administrador, no entanto, é necessária uma reconstrução
estrutural dos dados para que seja realizada. O armazenamento em banco de dados tem
duas camadas de metadados distintas. As informações gerais descrevem onde e como
as tabelas irão ficar armazenadas e os metadados são especificados por página para o
conteúdo de cada página individual (WAGNER, RASIN, GRIER, 2015).
O desafio forense para a análise em banco de dados está na reconstrução de todo

o conteúdo sobrevivente da imagem do disco ou da memória, empregando apenas
os metadados incluídos em cada página. Ocorre que todas as páginas de bancos
de dados relacionais compartilham a mesma estrutura geral e se dividem em três
componentes de interesse: cabeçalho, diretório de linha e dados da linha. Conforme as
especificidades de cada banco de dados, o cabeçalho da página armazena informações
gerais desta página. O diretório de linha tem a responsabilidade de manter o controle
dos locais das linhas de acordo com a inserção ou exclusão de linhas novas e antigas,
respectivamente. Tal diretório pode ser posicionado entre cabeçalho da página e
dados da linha ou no final da página depois dos dados das linhas. Tratando-se do
último componente (dados das linhas), esse tem o conteúdo real da página e alguma
sobrecarga adicional (WAGNER, RASIN, GRIER, 2015).
Na Figura 17 há uma representação geral da arquitetura de um sistema banco de

dados.
58
Figura 17 - Visão geral da detecção de parâmetros e análise de dados.
Carregar iterativamente
dados sintéticos
Banco de dados
Detector de
Parâmetros Gestão
Captura do
armazenamento do BD
Sistema
Geração de
arquivo de
configuração
de BD
BDMS BDMS RAM
imagem de disco instantâneo
Página de dados
(tabelas e indexados)
Analisador de conteúdo Dados deletados

etc
Artefatos de
usuários voláteis
Fonte: Wagner, Rasin, Grier (2015).
A importância de realizar análises forenses nesse tipo de material está principalmente

ligada ao fato deles possuírem, em muitos casos, informações relacionadas a diversas
investigações. Ainda que um banco de dados não seja o foco de um crime, é comum que
ele contenha informações que ajudam a solucioná-lo. Este tipo de análise forense digital
atua na identificação, preservação, análise e apresentação de evidências de bancos
de dados. Outro aspecto de relevância acerca das análises forenses é a capacidade
de reconstrução de informações armazenadas em bancos de dados em um momento
anterior. Diferentes abordagens exploram a utilização de arquivos de log em bancos de
dados distintos, como fonte de informações para análise.
A maior parte dos bancos de dados é capaz de registrar operações executadas neles,
entretanto, o conteúdo de qualquer arquivo de log é definido pelas referências de
registro ativas pelo usuário ou pelas configurações padrão no sistema de gerenciamento
de banco de dados (Database management system – DBMS). Devido à grande
variedade de configurações padrão, em alguns casos elas não são apropriadas para
realizar uma reconstrução ou análise em geral. Portanto, é importante que o perito
conheça as configurações de registro ideais, além das combinações de preferências de
registro, que permitam uma análise forense eficiente que torne possível reconstruir
dados armazenados anteriormente às exclusões ou alterações. Uma vez que os bancos
de dados permitem o armazenamento de informações, bem como o uso de consultas
para recuperar ou atualizar registros específicos, diferentes técnicas são fornecidas
para manter a integridade dos dados armazenados, de modo que também seja
garantida a sua segurança e recuperação em casos de falhas (ADEDAYO, OLIVIER,
2015).
59
Tais técnicas fazem uso de logs mantidos pelo SGBD. Os logs são utilizados para manter
um registro das operações que afetam o valor dos itens do banco de dados e são liberados
para arquivos de log no disco (comumente antes das modificações associadas nos
arquivos de dados). Havendo uma falha, o procedimento de recuperação faz a leitura
dos arquivos de log e utiliza os registros para recuperar uma versão consistente. A
sobrecarga envolvida no processo de gravação de registros de log pode ser considerada
uma das principais razões da existência de vários níveis de registro em um banco de
dados, pois permite que o administrador decida quanta informação deverá estar logada.
Em contrapartida, haverá sempre um padrão de preferências de registro ativado se
essas não forem especificadas. Nos diferentes DBMS existem diferentes preferências de
padrões registradas (MySQL, Microsoft SQL Server, Postgres, Oracle, DB2 e Sybase)
(ADEDAYO, OLIVIER, 2015).
A reconstrução pode ser feita de duas diferentes formas: a reconstrução experimental,

que tem foco no teste de hipóteses acerca de uma investigação para confirmar, refutar
ou revelar mais detalhes sobre as hipóteses, ou a reconstrução retrospectiva que
envolve uma tentativa de retroceder no tempo para fazer a determinação das entradas
e estados anteriores que eventualmente possam ter gerado os dados disponíveis.
Em ambos os casos, os dados costumam ter três tipos de informações passíveis de
exploração para a reconstrução (ADEDAYO, OLIVIER, 2015):
1. informações relacionais: informações sobre localização de um dado e

relação que ele tem com outros dados;
2. informação funcional: descreve a operação, seu propósito e a capacidade

dos dados quanto à investigação;
3. informação temporal: gera pistas sobre a interação tempo e meio ambiente

no fragmento de dados (inclusive carimbos de data/hora em arquivos de
log ou registros de último acesso ou alteração em arquivo).
As três dimensões de dados a serem avaliadas na forense em banco de dado são:
»» banco de dados comprometido;
»» banco de dados danificado ou destruído;
»» banco de dados alterado.
Eles apresentam divergências entre si, mas são relacionados à medida que formam as
dimensões do mesmo problema. O banco de dados comprometido dispõe de alguns
dos metadados ou softwares do DBMS alterados por um invasor, mas ainda apresenta
60
capacidade de operação. No caso desses dados, a preocupação da análise forense se

concentra no fato de não se poder confiar nas informações fornecidas pelo banco de
dados investigado. Nesse sentido, deve-se utilizar os metadados de acordo com a forma
como eles ocorrem no banco de dados ou realizar tentativas de obtenção de uma cópia
limpa do SGBD (ADEDAYO, OLIVIER, 2015).
No que concerne ao banco de dados danificado ou destruído, isto é, de arquivos de

dados ou de log que possam ter sofrido alterações, exclusões ou terem sido copiados
dos locais originais para outros, é possível que não estejam acontecendo operações
(dependendo da extensão dos danos). Para realizar perícias em bancos de dados
danificados é necessário aplicar técnicas de arquivamento de arquivos na regeneração
de arquivos destruídos ou subjacentes que possam ter utilidade na recuperação dos
dados de interesse. E quanto à última dimensão (banco de dados alterado), não se trata
de um banco de dados comprometido ou danificado, mas de um que sofreu alterações
devido a processos de negócios normais desde a ocorrência de um evento de interesse.
Geralmente, essa dimensão é interessante em casos em que um banco de dados não tem
envolvimento direto com um incidente investigado, mas é utilizado para armazenar
informações que possam cooperar com a solução do caso. Num banco de dados
modificado é possível realizar a reconstrução ainda que várias modificações dos dados
possam ter acontecido (ADEDAYO, OLIVIER, 2015).
Para que o perito possa realizar tais ações é preciso que tenha conhecimento dos
principais bancos de dados utilizados, nesse sentido, o MySQL, Microsoft SQL Server e
Oracle serão brevemente descritos a seguir.
Servidor MySQL
O MySQL é um sistema relacional de gerenciamento de dados aberto. O software
funciona como um sistema cliente-servidor ou um sistema embarcado que utiliza a
linguagem SQL como interface, que suporta diversas saídas, tarefas administrativas
etc. Este é o principal programa no SGBD que gerencia o acesso ao diretório de dados
que contém o banco de dados, tabelas e outras informações, tais como, os arquivos
de log. Além disso, ele tem cinco arquivos de log distintos, isto é, log de erros, de
consulta geral, binário, de consultas lentas e de retransmissão. Esses logs armazenam
informações a respeito das atividades que acontecem no banco de dados (ADEDAYO,
OLIVIER, 2015).
O log de erros armazena informações sobre problemas existentes ao iniciar, executar

ou parar um servidor MySQL, e o registro de erros é ativado por meio de um padrão
em um banco de dados MySQL. O log de consulta geral é empregado para armazenar
61
informações a respeito das conexões estabelecidas, bem como instruções SQL, sendo
que as consultas registradas nesse log são mantidas na ordem de recebimento podendo
se diferir da ordem de execução. O log de consultas lentas é voltado para aquelas que
demoram mais que o tempo especificado para sua execução, e nesse caso, as instruções
também são gravadas no arquivo de log após a execução e antes de serem lançados
bloqueios no banco de dados. Desse modo, a ordem das entradas de logs pode também
ser distinta da ordem de consultas executadas (ADEDAYO, OLIVIER, 2015).
O log binário é utilizado para o armazenamento de instruções que modificam os dados

em um banco de dados MySQL, o armazenamento de operações de criação de tabelas
e de alteração de dados das tabelas. Quanto ao log binário, esse tem informações
acerca da duração das consultas que atualizam os dados, no entanto, nesse caso, não
acontece o armazenamento das consultas que não alteram os dados. As instruções são
registradas posteriormente à conclusão e antes da ocorrência de bloqueios do banco
de dados, sendo a ordem das declarações nos logs a mesma dos acontecimentos. A
ativação do log binário torna o desempenho do banco de dados mais lento, contudo, é
necessário fazê-lo por duas razões: replicação de modificações de dados e recuperação
da instância atual de um determinado banco de dados a partir do ponto de backup
anterior (ADEDAYO, OLIVIER, 2015).
E finalmente, o log de retransmissão é aquele empregado para o armazenamento

de instruções que descrevem as modificações de dados recebidas de um servidor de
replicação mestre. Nesse caso, também são armazenadas as instruções que descrevem
modificações nos bancos de dados e há o mesmo formato do arquivo de log binário.
Os registros liberados são automaticamente apagados após todos os eventos no
arquivo já terem sido executados. Conforme as descrições expostas, pode-se concluir
que existe um grande volume de informações que podem ser coletadas dos logs do
servidor MySQL para uma investigação, se eles estiverem ativados. A desvantagem
é que infelizmente a preferência de log padrão nesse servidor desabilita todos os
logs, deixando apenas o log de erros habilitado (no sistema operacional Windows).
Quando é necessário realizar uma análise forense no MySQL, o log de erros não tem
informações virtuais úteis para a reconstrução ou investigação do banco de dados em
geral, e portanto, torna-se necessário que uma preferência de registro adequada para
a análise forense seja ativada pelo usuário ou administrador (ADEDAYO, OLIVIER,
2015).
Servidor Microsoft SQL
O Microsoft SQL é outro sistema relacional de gerenciamento de banco de dados que

contém o servidor SQL instalado e um conjunto de banco de dados do sistema e dos
62
usuários, que é criado conforme a necessidade. Quanto aos bancos de dados de usuários,
esses são produzidos para o armazenamento e manipulação de dados pelo usuário.
Neste caso, assim como num banco de dados do sistema, há dois tipos de arquivos do
sistema operacional, os arquivos de dados e de log. Arquivos de dados são utilizados
para armazenar objetos de banco de dados, tais como tabelas e procedimentos. Já os
arquivos de log mantêm os registros de eventos que acontecem no banco de dados.
Os quatro principais tipos de logs nesse servidor são: log de eventos do Windows,
log do agente servidor SQL, log de erro do servidor e log de transações (ADEDAYO,
OLIVIER, 2015).
O log de eventos do Windows tem três logs úteis que podem ser utilizados para a solução
de erros do servidor; o log do aplicativo que armazena eventos ocorridos no agente do
servidor, o log de segurança que armazena as informações de autenticação e o log do
sistema que faz o armazenamento de informações de inicialização e desligamento do
serviço. O log do agente do servidor registra qualquer informação, aviso e mensagens
de erro relacionados ao agente do servidor SQL, bem como suas operações. A criação
de um novo log de agente do servidor é feita com um registro de data e hora sempre que
o servidor é iniciado. O log de erros atua da mesma forma e é utilizado para armazenar
informações de erros ocorridos ao longo das operações do banco de dados. Quando
um procedimento não se inicia, o log de transações é o mais importante, além de ser
um componente crítico, já que ele mantém um registro das consultas de modificação
de dados realizadas (na ordem em que ocorreram). O banco de dados garante que os
dados serão gravados nos arquivos de log de transações antes deles serem afetados, e,
portanto, os logs de transações cooperam com a recuperação de transações com falha e
de versões consistentes do banco de dados em caso de falha do sistema. A vantagem do
servidor SQL é que cada banco de dados tem um log de transações e este é habilitado por
padrão. O tamanho deste log é definido dinamicamente pelo servidor e o truncamento
de log acontece automaticamente após determinados eventos. A partir do volume
de informações armazenadas nos diversos arquivos de log e nos bancos de dados do
sistema, é possível reconstruir tais dados durante uma investigação forense, desde que
a estrutura dos logs seja compreendida (ADEDAYO, OLIVIER, 2015).
Oracle
O Oracle é um sistema gerenciador de banco de dados relacional (SGBD). Nesse

sistema as informações podem ser coletadas de diferentes fontes de banco de dados,
como de logs de ouvinte, de alerta, sqlnet, de agente inteligente e de acesso, no entanto,
os principais logs no Oracle são os de redo, de redo arquivados e de alerta. O log de
redo (ou redo log) é a parte mais importante no Oracle se tratando da recuperação
63
ou análise forense. Cada instância de um banco de dados Oracle apresenta um redo

log que atua como proteção contra falhas. O log consiste em dois ou mais arquivos
de log utilizados para o armazenamento de todas as modificações feitas no banco de
dados conforme elas vão acontecendo. Registros nos arquivos de log fazem descrições
das alterações feitas em blocos únicos no banco de dados. Os dados armazenados nos
arquivos podem auxiliar a identificação de todas as alterações feitas, assim como, os
segmentos para desfazê-las (ADEDAYO, OLIVIER, 2015).
O redo log é ativado por um padrão e seus arquivos podem ser salvos em locais off-line
pelo uso dos redo logs arquivados. Esses últimos, por sua vez, permitem a recuperação
de um determinado banco de dados caso aconteça alguma falha de disco, bem como
a atualização de um banco de dados em espera e fornecem informações acerca do
histórico de um banco de dados quando o utilitário LogMiner é empregado no Oracle.
Há dois modos possíveis de ativação para informar ao banco de dados que se deseja ou
não arquivar os redo logs. Quando tal ação não é desejada, a função de arquivamento
ou o redo log é desabilitada (NoArchiveLog). Este modo protege o banco de dados de
falhas de instâncias, porém não permite a recuperação em caso de falha no sistema.
Já quando se quer arquivar os redo logs, utiliza-se o modo ArchiveLog que permite o
arquivamento dos logs tanto manual quanto automaticamente (ADEDAYO, OLIVIER,
2015).
Em geral, a escolha do modo de arquivar é feita no momento da criação do banco de

dados e é padrão. Os logs de alerta registram cronologicamente as mensagens de erros
que envolvem consultas de definição de dados, instruções de operação administrativa,
erros vinculados a funções de servidores e processos compartilhados, além de erros
com valores de parâmetros de inicialização distintos dos valores padrão. Os processos
que acontecem em segundo plano fazem gravação em um arquivo de rastreio quando
um erro interno é detectado pelo processo. As informações gravadas podem então ser
utilizadas por um administrador para ajustar aplicativos e instâncias do banco de dados.
A configuração padrão para este tipo de arquivo é o nível de rastreio 0 que desabilita o
rastreio de log de arquivo (ADEDAYO, OLIVIER, 2015).
Post Mortem Analysis

Esta é a ultima etapa de análise numa perícia forense computacional, além de ser a
etapa mais longa, pois nela se realiza um confronto entre as informações obtidas nas
duas etapas anteriores. Em contrapartida, a complexidade da análise post mortem
proporciona a obtenção de evidências ricas em detalhes, especialmente ao longo da
análise da imagem do disco rígido. A primeira ação que o perito deve executar é a
64
extração de todas as cadeias de caracteres dos arquivos inerentes ao ataque, desse

modo, torna-se possível elencar nomes de arquivos e diretórios, resíduos de textos
não sobrescritos nos slackspaces, além de arquivos alojados em áreas não alocadas
(BEGOSSO, 2010).
Na sequência, o perito deve dividir a imagem do disco rígido em cinco camadas:
»» camada física;
»» camada de dados;
»» camada de sistema de arquivos;
»» camada de metadados;
»» camada de arquivos.
A camada física possui informações básicas do disco e de dispositivos de armazenamento

de dados. Como exemplo, podemos citar o próprio disco rígido e outras mídias.
Quando criadas as imagens, elas devem ser examinadas quanto à sua integridade.
Na camada de dados, o perito consegue informações sobre o particionamento, assim
como do boot. Nessa etapa de análise, se faz a coleta bit a bit de mecanismos de
armazenamento. O perito deve verificar as características básicas de uma imagem,
tais como, tamanho e estrutura. Além disso, deve também montar imagens com
múltiplas partições (BEGOSSO, 2010).
No que diz respeito à analise da camada de sistema e arquivos, é preciso que o perito
busque informações acerca da própria estrutura de arquivos do sistema. Para isso,
executa-se a pesquisa por meio de informações estatísticas a respeito da organização
da partição e estrutura de journaling. Quanto aos metadados, que é a camada que
fornece informações dos elementos manipulados ou inseridos em áreas relacionadas
ao incidente, é preciso usar ferramentas capazes de mostrar informações estruturais e
criar timelines (BEGOSSO, 2010).
E, finalmente, temos a análise da camada de arquivos, considerada a mais demorada.

Para a execução dessa atividade é importante obter informações sobre blocos de dados,
áreas alocadas, não alocadas e slackspace. Além disso, é preciso examinar dados de
arquivos e diretórios em imagens, ordená-los de acordo com o formato, fazer busca
de malwares e recuperar arquivos a partir de assinaturas e imagens. Na análise
post-mortem, o disco rígido deve ser examinado minuciosamente, considerando que
cada partição contém informações relevantes para a perícia forense. Nesse sentido, o
65
investigador deve ter conhecimento sobre a geometria do disco, isto é, o número de

cilindros, cabeças e setores para documentação, espaços entre as partições e enumeração
de setores, com o intuito de autenticar o disco original (BEGOSSO, 2010), conforme a
Figura 18.
Figura 18. Partes de um disco rígido.
Trilha
Cabeça
Braço
Vista superior
Cabeça
Cilindro Superfícies
Fonte: Adaptado de <https://www.institutomais.org.br/ckfinder/userfiles/files/202.pdf>.
Assim, o perito poderá identificar mais facilmente os dados ocultos pelo invasor, ou
ainda, indícios de informações que tenham sido apagadas. Quando o perito conhece
os mínimos detalhes de cada aspecto do disco rígido, ele se torna capaz de recuperar
arquivos apagados ou aqueles que tenham passado por sobrescrição parcial. Examinar
os sistemas de arquivos é uma ação indispensável para a análise post-mortem, uma
vez que permite a reconstrução de eventos inerentes a um ataque. Essa reconstrução
acontece por meio do uso de mactimes, ou seja, marcas de tempo de arquivos, e dessa
forma, consegue-se obter indícios de quais dados foram acessados ou alterados e
programas executados pelo atacante no sistema invadido (BEGOSSO, 2010).
Sendo necessário, o perito deve tentar identificar informações que tenham sido
escondidas, o que pode ser feito por combinações de nomes de diretórios com
caracteres da tabela ASCII ou por inserção de dados em arquivos core. Além disso,
existem os arquivos temporários, que funcionam como esboço para arquivos finais com
controles da aplicação, e que são importantes para a análise post-mortem por serem
fontes valiosas de informação. A identificação e recuperação de arquivos excluídos é
uma atividade altamente relevante para a perícia forense computacional. Isso pode
ser feito por meio de comandos de exclusão, tendo em vista que um arquivo não é
efetivamente extinto, sendo conservado em uma área específica até que uma nova
informação seja gravada naquele espaço. As slackspaces que são áreas não alocadas,
também são fontes de informações significativas (BEGOSSO, 2010).
66
Na finalização da análise, o investigador precisa identificar arquivos manipulados ou

corrompidos, a presença de arquivos maliciosos deixados no sistema invadido. Para
esta atividade, pode-se utilizar ferramentas como (BEGOSSO, 2010):
»» rastreadores de funções;
»» emuladores de máquinas;
»» analisadores lógicos;
»» programas de monitoramento de tráfego de rede.
Caso seja realizada uma análise dinâmica, em tempo real, o perito pode conseguir
resultados mais rápidos e precisos, de modo que, se torna possível, por exemplo,
observar o funcionamento completo do malware questionado, de acordo com o estudo
das modificações provocadas no sistema (BEGOSSO, 2010).
Padronização de Dados
Uma vez que é necessário haver um trabalho pericial, existem instituições

responsabilizadas pela padronização dos termos e métodos comuns de tratamento
de evidências eletrônicas para facilitar o entendimento de outros profissionais que
não têm conhecimento de termos técnicos da área do perito. Um bom exemplo dessas
instituições é a International Organization on Computer Evidence (IOCE). No Brasil
a principal agência é a Seção de Apuração de Crimes por Computador (SACC), que
atua com o Instituto Nacional de Criminalística da Polícia Federal disponibilizando
suporte técnico para as investigações conduzidas na presença de materiais de
informática. Contudo, ressalta-se que, no Brasil, ainda não há uma padronização
definida, somente trabalhos feitos a pedido da Polícia Federal, que são voltados para
o público leigo composto por promotores e juízes federais. As análises forenses são
feitas externamente em instituições fora da Polícia Federal, visando a realização
de esforços de padronização nacional. Podemos mencionar como exemplos dessas
instituições:
»» NBSO (Network Information Center (NIC) – Brazilian Security

Office): atua na coordenação de ações e promove informações para sites
envolvidos em incidentes de segurança.
»» CAIS (Centro de Atendimento a Incidentes de Segurança): têm a missão

de registrar e acompanhar os problemas de segurança no backbone e
PoPs da RNP, inclusive auxiliar na identificação de invasões e reparos
de danos causados por invasores. Além disso, o CAIS dissemina
informações sobre ações preventivas relacionadas à segurança de redes.
67
»» GT-S: Grupo de trabalho da segurança do comitê gestor da internet

brasileira.
É claro que cada país tem sua metodologia e legislação. No que diz respeito à troca
de evidências entre países, existem padrões definidos pelo SWGDE, apresentados
na International Hi-Tech Crime and Forensics Conference (IHCFC) que seguem o
princípio de que todas as organizações que trabalham com investigação forense têm
o dever de manter um alto nível de qualidade para garantir a confiança e a exatidão
das evidências. Quanto ao nível de qualidade, esse pode ser alcançado por meio
da elaboração de SOPs (Standard Operating Procedures), que precisam conter os
procedimentos para todas as modalidades de análises conhecidas, além de prever
o uso de técnicas, equipamentos e materiais aceitos e empregados na comunidade
científica (GUIMARÃES et al., 2011).
Antiforense
Como mencionado ao longo dos capítulos anteriores a respeito dos diversos
procedimentos que podem provocar alterações em um computador, é importante
mencionarmos as técnicas antiforenses, utilizadas com a finalidade de obter dados para
fins ilícitos ou causar alguma perturbação para interferir em uma investigação forense
(CONLAN, BAGGILI, BREITINGER, 2016). Uma das principais técnicas antiforense
utilizada é a criptografia, e esta será discutida a seguir.
Criptografia
O termo criptografia tem como significado ‘escrita escondida’ e consiste na ocultação
ou codificação de uma informação específica, de modo que apenas emissor e receptor
possam acessá-la. Essa técnica é bastante empregada em cadastros via web, como em
sites bancários (Internet Bankings), onde informações de clientes são criptografadas
com o objetivo de impedir que pessoas não autorizadas tenham acesso às informações
correspondentes. Os métodos de criptografia mais conhecidos são o uso de chaves
criptográficas. Nesse caso, o processo criptográfico é feito a partir da criação da chave.
Apenas o detentor desta chave conseguirá acessar o conteúdo completo do arquivo
criptografado. Diversos algoritmos são usados para realizar esse processo, ainda que
esses sejam conhecidos por outras pessoas, isso porque elas só conseguirão acessar as
informações se tiverem a respectiva chave criptográfica (CONSTANTINO, 2012).
Há chaves de 8 bits, 64 bits, 128 bits, 256 bits etc. Esses valores se referem ao tamanho
da chave gerada. Para fazer o cálculo do número de combinações possíveis conforme
68
o algoritmo usado, basta fazer uma potência de dois elevado ao número de bits do
algoritmo.
Exemplos:
1. Utilizando um algoritmo de 8 bits, o número de combinações para a

chave é (28) = 256.
2. Utilizando um algoritmo de 128 bits, o número de combinações para a

chave é (2128) = 3.4028236692094E+38.
No caso do exemplo 1, o algoritmo de 8 bits não é seguro, uma vez que 256
combinações é um número rapidamente acessível e um computador é capaz de
calcular as combinações em questão de minutos. Já no exemplo 2, o algoritmo de
128 bit gera uma possibilidade de combinações muito maior, e mesmo utilizando um
computador que tem alto poder computacional, necessitaria de bastante tempo para
“quebrar” a criptografia. Em termos de segurança, chaves geradas por algoritmos de
256 bits são ainda mais difíceis de decodificar e na maioria dos casos é impossível, em
virtude dos milhares de combinações possíveis geradas a partir desse algoritmo, pois
levaria meses para conseguir obter um único caractere dessa chave por computadores
(CONSTANTINO, 2012).
Num processo de análise, se os peritos encontrarem arquivos criptografados, existem

alguns programas que podem ser empregados na análise, como o FTK. Esses programas
apresentam algumas possibilidades de encontrar a chave, mas em alguns casos não
são eficazes, não sendo possível realizar o processo de decriptografia. Nesse caso,
o perito deve buscar pelo software responsável pela geração da criptografia, para
identificar o tipo de algoritmo usado e tentar trabalhar por meio de procedimentos
reversos. Se ainda assim não for possível encontrar a chave de acesso do arquivo, cabe
ao perito entrar em contato com o fabricante do software para que ele quebre a chave
e viabilize o acesso necessário para a análise pericial (CONSTANTINO, 2012).
Um casal inglês encontrou em sua chaminé restos de um pombo-correio (Figura

19) contendo mensagens secretas da segunda guerra mundial. A cápsula
vermelha acoplada ao osso era o local onde as mensagens eram inseridas para
o transporte.
69
Figura 19. Restos de pombo correio encontrado em uma chaminé.
Fonte: <https://www.bbc.com/portuguese/noticias/2012/11/121102_pombo_espiao_dg.shtml>.
Durante a segunda guerra mundial, por volta de 1944, os ingleses utilizavam

pombos-correios para transportar informações criptografadas e o SOE
(departamento de espionagem do governo britânico) utilizou mais de 250 mil
pombos para esta finalidade. De acordo com informações publicadas pela BBC,
cada pombo tinha um número de registro (apesar de não ter sido encontrado
nos restos do pombo encontrado pelo inglês David Martin). Especialistas que
analisaram o caso acreditam que este pombo estava a caminho de Bletchley
Park, local que tinha uma base especial de operações da SOE e seu ponto de
partida teria sido a França. A seguir é possível visualizar a mensagem encontrada
com os restos do pombo (Figura 20).
Figura 20. Mensagem criptografada.
Fonte: Cardoso (2013).
70
No papel encontrado com o pombo havia somente 27 sequências de cinco letras

escritas à mão contendo a seguinte mensagem:
AOAKN HVPKD FNFJW YIDDC
RQXSR DJHFP GOVFN MIAPX
PABUZ WYYNP CMPNW HJRZH
NLXKG MEMKK ONOIB AKEEQ
WAOTA RBQRH DJOFM TPZEH
LKXGH RGGHT JRZCQ FNKTQ
KLDTS FQIRW AOAKN 27 1525/6
71
CAPÍTULO 3
Perícia em Dispositivos Móveis
De acordo com Silva (2015), o sucesso das análises forenses em dispositivos móveis é
o entendimento das características de harwares e softwares dos telefones celulares.
Os dados de assinantes e atividades realizadas nos celulares em muitos casos são fonte
de provas valiosas para investigações. Para produzir provas é preciso contar com um
conjunto básico de características, que são obtidas a partir da maioria dos celulares e
que podem ser comparadas entre aparelhos distintos. Podemos elencar como exemplos
de características:
»» Microprocessador;
»» memória ROM;
»» memória RAM;
»» módulo de rádio;
»» processador de sinal digital;
»» alto falante;
»» tela;
»» sistema operacional;
»» bateria;
»» PDAs;
»» GPS;
»» câmera.
A aquisição de dados em um dispositivo pode ser física ou lógica. A primeira tem

a vantagem de permitir que arquivos apagados e alguns dados restantes possam
ser examinados (SILVA, 2015). A segunda tem por característica o fato de ser um
método de aquisição intuitivo com limitações em virtude do privilégio do processo de
acesso do usuário e pela configuração de aplicativos (FENG et al., 2018). Em geral, é
recomendado que a aquisição física seja realizada primeiro.
72
Ferramentas forenses são capazes de adquirir informações dos dispositivos sem causar
alterações no conteúdo, isto é, realizam somente leitura, por meio de equipamentos
bloqueadores de escrita (Write Blocker). Além disso, geram hash garantindo a
integridade dos dados coletados. Essa característica é fundamental perante um
juiz, uma vez que cabe ao perito garantir a integridade das provas digitais coletadas
e analisadas por ele. São consideradas as melhores práticas de análise forense em
telefones aquelas que definem procedimentos para (SILVA, 2015):
»» apreensão;
»» aquisição;
»» exame;
»» documentação (relatórios/laudos).
Tais etapas são importantes, mas vale ressaltar que foram definidas a partir de
procedimentos empregados em análises forenses computacionais. O importante
em uma situação que requer extração de informações direta do dispositivo, é que o
examinador tenha competências e expertise suficiente para alcançar tais objetivos sem
causar danos ao equipamento ou às evidências, bem comocapacidade de explicar a
relevância e implicações dos procedimentos realizados. Como telefones celulares têm
distintos softwares, hardwares e funcionalidades, é preciso escrever procedimentos
específicos para as diversas categorias de aparelhos. Nesse sentido, a seguir serão
apresentados os procedimentos necessários para a realização da perícia em dispositivos
móveis (SILVA, 2015).
Procedimentos de busca, apreensão e

preservação
Da mesma maneira que ocorre em perícias computacionais, perícias em celulares
também precisam da correta preservação do dispositivo para preservar as evidências e
evitar perdas ou alterações das provas. Nesse procedimento também são feitas buscas
por mídias eletrônicas que possam ser úteis e conter informações acerca dos aspectos
que estão sendo investigados. Por esse motivo, na etapa de apreensão, a equipe deve
avaliar e preservar a cena, documentando-a e coletando as evidências, além de realizar o
acondicionamento, transporte e armazenamento da evidência de modo confiável e sem
riscos de danos. Essa ação de isolar o dispositivo é importante principalmente porque
em alguns modelos de celulares mensagens SMS sobrescrevem automaticamente as
mais antigas quando uma nova mensagem é recebida (SILVA, 2015).
73
Por essa razão, o uso de um invólucro que bloqueia o recebimento de dados para o
acondicionamento ou o desligamento do aparelho pode ser feito para evitar tais
impasses. Além destas opções, pode-se ativar o modo avião (off-line) naqueles
dispositivos que tenham esta função. As três opções têm vantagens e desvantagens
que devem ser levadas em consideração em uma investigação. O desligamento pode
dificultar o acesso durante os exames periciais, pois códigos de autenticação podem
ser requisitados quando o telefone for reiniciado. O isolamento por bloqueio de sinal
pode elevar significativamente o consumo da bateria devido ao aumento da potência de
sua antena para buscar uma torre mais distante, e o uso do modo avião irá exigir uma
interação de um agente da lei com o dispositivo, mas nem sempre haverá uma pessoa
habilitada para fazê-lo (SILVA, 2015).
Aquisição de Dados
A aquisição de provas trata da extração de informações para uma análise posterior,
sendo que tal extração é feita em ambiente isolado da rede de comunicação do
dispositivo por meio de hardwares e softwares apropriados para a obtenção dos
dados. Antes de se iniciar a extração, o perito tem o dever de evitar que o dispositivo
possa se comunicar com a rede de telefonia ou realize conexões com a rede Wi-Fi,
bluetooth e IrDA, e para isso, é necessário utilizar equipamentos específicos para o
isolamento da comunicação ou intervir diretamente no dispositivo, desabilitando-o
para tais serviços. É importante que a extração seja iniciada com a bateria do
dispositivo totalmente carregada, para evitar corrupção ou perda de dados ao longo
do processo (SILVA, 2015).
Um dispositivo atual possui:
»» memória interna;
»» cartão de memória;
»» dados de armazenamento na internet (computação em nuvem).
Assim, o perito deve considerar os objetivos dos exames para saber o que avaliar e
até onde será possível realizar a extração de informações. A interação dos telefones
com os softwares forenses deve ser a menor possível e, portanto, deve-se inicialmente
estabelecer uma conexão via cabo USB, portas seriais ou paralelas, seguida do
infravermelho, bluetooth e por fim Wi-Fi. Em casos em que é possível realizar a extração
com tais softwares, é necessário utilizar aplicativos proprietários dos fabricantes do
dispositivo móvel ou mesmo uma extração manual, que deve ser realizada por um
74
analista pericial com conhecimentos específicos acerca da plataforma do telefone em

questão (SILVA, 2015).
Exame
Na etapa de examinar o aparelho o perito extrai informações importantes dos dados
adquiridos. Nesse caso é preciso que o profissional tenha conhecimento para lidar com
as evidências, e a autoridade solicitante deve deixar claro o que se deve esclarecer com
a atividade pericial. O exame depende essencialmente do tipo de evidência que será
procurada, por exemplo, se a perícia tiver relação com crime de abuso infantil, o perito
inicia a operação buscando imagens e vídeos que eventualmente tenham relação com o
objeto da solicitação, por outro lado, em um caso de tráfico de drogas, as mensagens e
relação de contatos são as primeiras informações averiguadas (SILVA, 2015).
Em dispositivos móveis deve-se atentar para as configurações como:
»» data e hora;
»» linguagem;
»» configurações regionais;
»» contatos;
»» agendas;
»» mensagens textuais;
»» chamadas realizadas, recebidas e não atendidas;
»» imagens, vídeos, áudios e;
»» mensagens multimídia.
Com os avanços tecnológicos, atualmente os peritos também devem considerar

(MUTAWA, BAGGILI, MARRINGTON, 2012):
»» e-mails;
»» históricos de navegação web;
»» documentos;
»» informações de GPS;
75
»» aplicativos específicos;
»» informações de computação em nuvem e;
»» exames de mídias removíveis, que são frequentemente utilizados em

telefones.
Em virtude da grande variedade de celulares e sistemas operacionais, existem métodos

forenses específicos, que devem ser selecionados e usados dependendo da marca,
modelo e sistema operacional do dispositivo. Como na perícia computacional, em
dispositivos móveis também é preciso fazer cópias íntegras e idênticas às informações
originais, que, por sua vez, devem ser verificadas e certificadas (SILVA, 2015).
Assim, por questões de segurança, a perícia é feita na cópia e o original é mantido

em cadeia de custódia. Nesse caso, também cria-se uma imagem forense pela cópia
dos arquivos em um processo semelhante ao bitcopy ou espelhamento, que permite
compactar os arquivos de imagem e, por consequência, gerar economia do disco
de destino, bem como maior facilidade de replicação dos dados, já que se torna
mais fácil fazer cópias para outros dispositivos e sistemas operacionais. Para isso,
é imprescindível que o perito tenha um plano de atuação estipulado, que deverá
alcançar respostas às perguntas norteadoras da atividade pericial (SILVA, 2015).
Os principais procedimentos vinculados a essa fase são a recuperação de arquivos

apagados e a indexação de dados, localizando todas as ocorrências alfanuméricas e
organizando-as de modo que posteriormente seja possível acessá-las e recuperá-las
de forma fácil e rápida. Finalizada essa ação, deve-se efetuar cálculos dos hashes de
todos os arquivos encontrados, seguido pela categorização dos arquivos conforme a
assinatura e geração de índices de palavras para uso em buscas automatizadas. Com os
dados processados é possível realizar procedimentos de filtragem para separar dados
relevantes dos irrelevantes, reduzindo a quantidade de informações a serem analisadas
(SILVA, 2015).
A última etapa do processo é a elaboração de relatórios/laudos e esta será apresentada

no próximo capítulo juntamente aos exemplos de laudos de perícias computacionais. A
seguir serão apresentados alguns aspectos gerais de análises forenses em dispositivos
móveis.
Smartphones
Numa descrição geral, podemos mencionar que dados de iPhones e Androids podem
ser conseguidos por métodos lógicos e físicos. Os métodos físicos, no caso de
76
iPhones, requerem a quebra do sistema (jailbreaking) que provoca poucas alterações

nos sistemas de dados, e no caso de Androids, necessitam da obtenção de imagens
dd da memória do telefone e acesso root ao dispositivo. Já a aquisição lógica, por
exemplo, de dados de contatos na rede social Facebook, difere de um sistema para
o outro quanto ao local de armazenamento. No caso do iPhone, as informações são
armazenadas na memória do telefone, enquanto no Android o armazenamento ocorre
na lista de contatos como se os dados estivessem sincronizados com os do telefone.
Assim como em computadores, os telefones celulares armazenam dados que podem
ajudar na determinação de como o dispositivo é utilizado (MUTAWA, BAGGILI,
MARRINGTON, 2012).
Conforme as informações expostas, pode-se observar que existem várias distinções

de um determinado tipo de aparelho celular para outro. Uma vez que existem
diversos tipos de telefones, atualmente não há um modo de desenvolver uma única
estrutura que opere bem nas diferentes plataformas móveis (BARMPATSALOU et
al., 2013). Contudo, a ferramenta comercial UFED Touch Ultimate (Figura 21) pode
ser mencionada por possibilitar a extração, decodificação, análise e elaboração de
relatórios tecnologicamente mais desenvolvidos, em se tratando de dados móveis. Essa
ferramenta faz a extração física e lógica dos sistemas de arquivos e senhas de todos os
dados, incluindo aqueles que tenham sido excluídos. Destaca-se que existe uma ampla
gama de dispositivos nos quais a UFED Touch Ultimate consegue realizar tais ações, o
que consequentemente, torna mais rápido o processo de investigação além de atender
às necessidades do setor forense móvel (SILVA, 2015).
Figura 21. UFED Touch Ultimate.
Fonte: Silva (2015).
Em geral, iOS e Androids constituem o maior percentual de mercado

(BARMPATSALOU et al., 2013). Em Androids os aplicativos instalados podem
armazenar informações por meio de preferências de compartilhamento, quais
77
sejam, arquivos XML (Extensible Markup Language), armazenamento interno

e externo, e por meio do banco de dados SQLite. Nesses dispositivos, a extração
lógica não oferece acesso direto ao sistema de arquivos, e opera em nível abstrato
e menos eficaz se comparado às técnicas tradicionais em outros dispositivos,
contudo, apresenta bons resultados, pois retorna dados importantes. Em se
tratando do iOS, que é um OS baseado no UNIX e segue a arquitetura equivalente
à do MacOS X, o armazenamento do dispositivo é dividido em duas partições,
uma contendo a estrutura fundamental e as aplicações e outra contendo os dados
manipulados pelo usuário (SILVA, 2015).
78
DOCUMENTAÇÃO
DA ATIVIDADE DE UNIDADE III
PERÍCIA
CAPÍTULO 1
Laudo Pericial
Os dois principais aspectos relacionados à perícia criminal são os técnicos e os legais.

Os aspectos técnicos compreendem os procedimentos técnicos de identificação,
preservação, análise, formalização, apresentação de dados da perícia computacional,
além de questões de infraestrutura de laboratórios, materiais de perícia e qualificação
de pessoal. Os aspectos legais envolvem os parâmetros de legislação, tais como, código
penal, código de processo penal, código de processo civil etc. Uma perícia bem realizada
deve não somente contemplar corretamente todas as etapas e resultados, como também
respeitar a legislação (RAMOS, 2014).
O laudo pericial é um documento técnico-científico no qual o perito faz descrições

objetivas e claras, dispondo da metodologia e exames periciais realizados durante a
fase de análise. Esse documento é uma forma de segurança para o perito enquanto
profissional que está apresentado seus serviços, e também para a transparência do
processo judicial. Nessa perspectiva, algumas seções básicas devem estar presentes no
laudo, que segue modelos e normas de elaboração. A seguir serão apresentados alguns
critérios necessários para a elaboração de um laudo forense computacional (RAMOS,
2014).
Modelo 1 de laudo de perícia digital

a. Preâmbulo: é a identificação do laudo, e pode conter informações que
identifiquem o laudo em um processo judicial ao qual este documento
esteja vinculado. Nesta seção é necessário conter informações dos
seguintes dados:
›› título do laudo;
79
UNIDADE III │ DOCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA
›› subtítulo (opcional);
›› número do laudo e unidade de criminalística emissora;
›› data de emissão do documento e identificação dos envolvidos no exame

e no processo;
›› critérios formulados, se esses forem informados pela autoridade

solicitante do documento.
b. Histórico: é uma seção opcional na qual relatam-se fatos anteriores e de

interesse para o documento, como, por exemplo, quando um laudo tem
relação com um material questionado que já tenha sido examinado em
outro laudo. Nesse caso, é importante que os interessados no processo
tomem conhecimento do fato.
c. Material: seção que descreve de forma detalhada o material

questionado, concedendo informações necessárias para que este não
seja confundido com outro. Tais detalhes podem incluir:
›› marca;
›› modelo;
›› número de série;
›› capacidade de armazenamento;
›› país de fabricação;
›› número do item ao qual o material pertence (nesse caso, no auto da

apreensão);
›› número do lacre do material (exatamente quando este for recebido

pelo perito);
›› estado de conservação do material;
›› possíveis divergências com a descrição do auto de busca e apreensão;
›› outras informações que o perito julgar úteis para a identificação

inequívoca do material questionado, como o valor do cálculo hash.
d. Objetivo: deve conter um ou dois parágrafos breves que contemplem

os objetivos principais da realização da perícia. Podem ser resumidos
80
OCUMENTAÇÃO DA ATIVIDADE DE PERÍCIA │ UNIDADE III
os quesitos formulados, em casos em que a autoridade solicitante os

informar.
e. Considerações técnico-periciais: seção opcional em que o perito

pode fazer descrição conceitual e informar aspectos técnicos para um
melhor entendimento do laudo.
f. Exames: é a principal seção do laudo, e o perito, neste momento,

descreve os métodos e as técnicas empregados para localizar as
evidências e provas ligadas às evidências. Ressalta-se que, nesta seção,
devem ser apontados e descritos os passos realizados pelo perito na
tentativa de alcançar respostas para os quesitos formulados. Além disso,
as técnicas de preservação aplicadas devem ser descritas. Esta seção é
a única na qual os termos técnicos de informática podem ser utilizados.
Contudo, esses devem ser claros o suficiente para que pessoas de fora
da área consigam compreender as informações.
g. Respostas aos quesitos ou conclusões: é a última seção do laudo.

Caso tenham sido utilizados quesitos formulados, a seção será nomeada
“Resposta aos Quesitos” e caso não tenham sido utilizados, a seção será
tratada como conclusões. É necessário que esta seção seja clara e objetiva,
uma vez que é a mais lida ao longo de um processo judicial, onde juízes,
advogados, delegados, promotores e demais envolvidos no processo vão
recorrer para conseguir respostas ou resultados periciais.
É recomendável não utilizar siglas e nomes de tecnologias complexas na seção

de respostas aos quesitos ou conclusões, para que as informações concedidas
sejam compreendidas pelas pessoas envolvidas.
Depois de finalizado o laudo pericial, o perito deve informar: a devolução do(s)

material(is) questionado(s), bem como o(s) número(s) do(s) lacre(s) usado(s) na
devolução. Caso haja mídias ópticas de anexos digitais, anexos ou apêndices, estes
deverão ser informados após o fim da última seção do laudo, e finalmente, os peritos
devem ser identificados por suas respectivas assinaturas (RAMOS, 2014).
Modelo 2 de laudo de perícia digital

De acordo com Marques, Mota e Mota (2015), um laudo pericial pode seguir ainda o
modelo apresentado:
81
CAPA
»» número do laudo;
»» data: __/__/___;
»» tipo de documento: laudo pericial ou parecer técnico;
»» nome do perito;
»» formação;
»» telefone de contato;
»» e-mail.
CONTRATANTES
Esse tópico deve conter informações acerca do contratante ou requerente dos serviços
periciais, assim como, informações dos requeridos.
»» nomes;
»» documentos de identificação;
»» endereços residenciais;
»» endereço do local investigado ou dispositivo.
Se o laudo for requerido por um juiz, as informações necessárias nesse tópico são:
»» dados do foro;
»» nome do requisitante.
Se o laudo deverá ser apresentado em formato de segredo judicial, é recomendado que

seja informado apenas o foro responsável pela solicitação.
Localização
Necessário apresentar relato sobre o(s) local(is) que possui(em) envolvimento com
os elementos componentes do laudo. Havendo mais de um local, é recomendado
acrescentar um mapa ilustrativo das distâncias dos locais, tempo de locomoção (por
veículo ou a pé).
Exemplo:
82
Na Figura 22 é possível visualizar um local onde foi realizada uma análise pericial.
Nota-se a existência de um retângulo preto por cima do nome do residencial, que foi
inserido na imagem por motivos de sigilo.
Figura 22. Local da análise pericial.
Fonte: Marques, Mota, Mota (2015).
Na Figura 23 há uma fotografia exemplificando a forma de ilustração da imagem

interna onde a mídia digital foi encontrada e sua situação de uso no início da perícia.
Figura 23. Mídia periciada.
Fonte: Marques, Mota, Mota (2015).
Preliminares ou histórico
Nesta seção é preciso entender o que levou ao pedido da perícia ou laudo para que seja
possível elucidar histórico ou preliminares do trabalho. É importante também que esta
seção contenha registros das informações sobre a aquisição dos produtos que foram
periciados, isso inclui:
83
»» notas fiscais;
»» garantias;
»» estado de conservação dos produtos;
»» atividades realizadas pelos donos do produto antes do incidente.
Metodologia utilizada, normas, referências, leis e

decretos
Requer-se descrição de como foram executados os métodos da perícia, bem como das
ferramentas empregadas.
»» Tipo de análise: normalmente descrita como forense post-mortem

que aborda a forense nos equipamentos ou ambiente posteriormente ao
acontecimento de algo que necessite de pericia.
»» Tipo de cópia: preferencialmente bit a bit.
»» Tipos de filtros empregados: tipificação da busca por documentos

eletrônicos tipificados por extensões (*.doc, *.docx, *.pdf) e de arquivos
de armazenamento de e-mails em lote do tipo (*.pst, *ost).
»» Ferramentas de softwares utilizadas: descrição das ferramentas e

suas funções na investigação.
Exemplo:
“Utilizou-se a ferramenta DEFT LINUX, que é uma ferramenta de software adquirida

pelo perito...” (MARQUES, MOTA, MOTA (2015)).
»» Garantias de integridade: descrição da integridade das ferramentas.
Exemplo:
“Antes de dar início ao procedimento de cópia, garantiu-se por meio das

ferramentas utilizadas que não houvesse modificações nos dispositivos de
armazenamento, de modo que não fossem geradas alterações nas mídias. Para
isso, foi gerado um hash de assinatura digital, conforme segue: 1aabac6d068e
ef6a7bad3fdf50a05cc8”(MARQUES, MOTA, MOTA (2015)).
84
»» Mídias analisadas:
Exemplo:
“Foram analisadas as mídias indicadas na Figura 23, onde se encontram

a mídia do computador e de armazenamento externo, quais são
denominadas discos rígidos...”(MARQUES, MOTA, MOTA (2015)).
»» Conversão de formato: Necessário descrever as ações tomadas.
Exemplo:
“Formatos de arquivos sem descrição nos tipos de filtros usados

neste item não foram identificados e/ou convertidos para
análise...”(MARQUES, MOTA, MOTA (2015)).
Objeto do laudo pericial ou Parecer Técnico

Nesta seção consideram-se questões que se almeja provar, ou seja, os fatos motivadores
da investigação e elaboração do laudo ou parecer técnico. Do mesmo modo, as
observações feitas devem ser apresentadas resumidamente. Se tiver ocorrido alguma
visita ao local deve-se informar:
»» Horário e testemunhas que presenciaram o fato ou cena do crime junto

ao perito.
Exemplo:
Registro do laudo pericial de um caso de perícia de danos causados por deleção e

subtração de dados eletrônicos (Figura 24).
Figura 24. Exemplo de registro de laudo pericial.
Elaboração e execução de serviços de pericia em dispositivos de armazenamento de dados (PenDrive). Localizados no momento da
perícia no endereço: Av. Estados Unidos 1301, apartamento 22, Campinas – SP, CEP 13099-000. Destacado por meio desta PERÍCIA
DE DANOS CAUSADOS POR DELEÇÃO E SUBTRAÇÃO DE DADOS ELETRONICOS. Foi observado que o dispositivo possuía intactos
os lacres elaborados pelo fabricante, constatou-se que o mesmo dispositivo estava armazenado no veículo Volkswagen GOL, de placa
DDD-0000, no endereço supracitado. Eu, Ricardo Oliveira Marques, especialista em redes de computadores, designado pelo contratante
para executar o laudo pericial, com objetivo de antecipar provas, “Ad Perpeturam Rei Memorian” em observância a fase de subtração de
dados, estou procedendo aos estudos e diligências que se fizeram necessárias, transcrevo o respectivo trabalho.
Fonte: Adaptado de Marques, Mota e Mota (2015).
Neste procedimento, foram elencados cinco passos para elaborar e coletar evidências,
as quais são uma cadeia sequencial para obter provas digitais e preservam a cadeia de
custodia, conforme Figura 25.
85
Figura 25. Passos para elaboração e coleta de evidências.
Identificação:
Equipamentos e mídias digitais
Coleta:
Equipamentos e mídias digitais
Exame:
Dados armazenados
Análise:
Informações
Resultados:
Laudo pericial
Fonte: Adaptado de Marques, Mota, Mota (2015).
Identificação ou tipologia
A tipologia diz respeito à descrição detalhada do que será ou foi analisado. Nesta etapa
deve-se incluir:
»» data de aquisição;
»» fornecedor ou onde o item foi adquirido;
»» número da nota fiscal;
»» descritivo do material;
»» situação do equipamento no momento da perícia: importante mencionar

existência ou não de embalagens e lacres do fabricante.
Exemplo:
Análise de dois itens no ambiente de perícia. No caso apresentado foram descritas

as informações e tipificações de cada equipamento, conforme apresentado na Tabela
6. Esta exposição das características é importante principalmente para casos em
que muitos equipamentos precisam ser analisados. Outro aspecto importante é a
informação da localização do equipamento e o relatório fotográfico da situação que
o item se encontra no momento da perícia. Recomenda-se também que cada passo
representado no escopo da coleta seja tipificado com uma imagem representativa
do início da execução e resultado da ação de um comando submetido ao sistema
(MARQUES, MOTA, MOTA, 2015).
86
Tabela 6. Características dos itens periciados.
Data de Nota Situação do

Fornecedor Descritivo
aquisição fiscal equipamento
HD externo,
01.01.2015 Submarino.com 10090 Seagate freagent goflex, Sem embalagem
capacidade 1TB
HD externo, Lacrado pelo fabricante,
01.02.2015 Submarino.com 10091
Seagate freagent goflex, capacidade 3TB sem uso.
Fonte: Marques, Mota e Mota (2015).
Coleta
Na etapa de descrição da coleta, é necessário informar como ocorreu a coleta das
mídias digitais e computadores etc. O perito deve definir qual a melhor estratégia para
não corromper as provas digitais, bem como preservar o ambiente e garantir que as
informações não sofram modificações. Esta ação é semelhante à praticada em locais
de crimes convencionais, nos quais as evidências e provas devem ser preservadas. Nos
meios digitais o procedimento deve ser realizado seguindo as mesmas etapas. O exame
tem relação com a coleta física e lógica dos dados, que é realizada no local do crime,
como no exemplo apresentado na Figura 22. Todavia, o processo de trabalho técnico
para a coleta lógica de dados deve ser realizado seguindo passos descritivos conforme
apresentado a seguir na Tabela 7:
Tabela 7. Sequência de procedimentos realizados na perícia.
Horário Ação
9:40 Monitor e CPU foram ligados em ato contínuo sobre a mesa.
9:42 Mídia digital CD foi inserida no drive do equipamento.
9:43 A CPU foi ligada a um HD externo por conexão de um cabo.
9:45 O sistema DEFT LINUX foi iniciado.
Busca de um “LX Terminal” por escrita dos seguintes comandos:
df –kh, enter (objetivo: mostrar dispositivos conectados no equipamento);
fdisk /dev/sdb, enter (objetivo: mostrar configurações do dispositivo /dev/sda);
fdisk /dev/sdb, enter (objetivo: mostrar configurações do dispositivo /dev/sdb);
mkdir –p /mnt/sda /mnt/sdb, enter (objetivo: criar diretórios para cópia da imagem dos discos);
mount –o ro /dev/sda2 /mnt/sda2, enter (objetivo: acessar o disco que necessita de imagem pericial);
9:47
cyclone, enter (objetivo: acionar a aplicação do sistema que efetua a imagem pericial);
/dev/sda2, enter (objetivo: indicar qual disco rígido necessita da imagem pericial);
/mnt/sdb1/caso-joao-modelo-silva.img, enter (objetivo: indicar
onde será copiada a imagem do disco rígido);
1, enter (objetivo: indicar o tipo de cópia que será feita);
Y, enter (objetivo: confirmar as opções escolhidas e iniciar cópia forense).
Fim da cópia forense com assinatura digital com numeral:
12:45
MD5: ede1cf2904a163f7df28c27358d113d6SHA1: fb3b51278f3be658ec5a8d822b5c40285750a450.
87
Exame
Nesse momento, as informações coletadas são examinadas garantindo que o material

esteja preservado para aplicar as técnicas de busca e descoberta de dados ocultos. O
foco nesta etapa é manter a integridade da cópia da imagem digital gerada, para que
seja possível iniciar o processo de análise. A validação da integridade da imagem segue
as seguintes etapas exemplificadas na Tabela 8 (MARQUES, MOTA, MOTA, 2015):
Tabela 8. Etapas para validação da integridade da cópia da imagem digital.
Horário Ação
- Uso de um novo computador com mesmo sistema identificado por DEFT LINUX;
16:40 O computador foi ligado;
Busca do “LX terminal” para validar as assinaturas. Continuamente foram escritos os seguintes comandos:
md5sum/mnt/sdb1/caso-joao-modelo-silva.img (Objetivo: validar a assinatura digital, conforme padrão de algoritmo de
16:45
md5sum);
sha1sum/mnt/sdb1/caso-joao-modelo-silva.img (Objetivo: validar a assinatura digital, conforme padrão de algoritmo de sha1).
Os resultados dos comandos das assinaturas digitais devem coincidir com os apresentados na etapa de coleta (5, k), para
-
poder afirmar que a cópia forense foi realizada com sucesso.
Após examinar os insumos e validar sua integridade, a perícia deve seguir com a análise
e busca dos insumos dentro da imagem forense estudada.
Análise
Nesta etapa o perito tem o dever de informar como foi feita a análise e especificar
o que foi buscado na imagem forense, já que existe um número grande de arquivos
utilizados pelos sistemas operacionais, mas não cabe ao objeto da análise identificar
estas informações para o laudo pericial.
Entretanto, se no caso avaliado houver infecção ou propagação de vírus, a análise deve

percorrer todos os arquivos do sistema operacional. A análise é realizada aplicando
filtros de busca por documentos eletrônicos tipificados por extensões (*.doc, *.docx,
*.pdf) e por arquivos de armazenamento de e-mails em lote do tipo *.pst, *ost.
A proposta de procedimento e método de registro de ações correspondentes à citada

análise estão apresentados no exemplo de atividade pericial da Tabela 9.
88
Tabela 9. Procedimento pericial e metodologia de registro.
Horário Ação
»» O mesmo recurso de computador e sistema operacional identificados na etapa de coleta foi empregado para aplicar os
comandos:
1. mkdir/discopericia (Objetivo: criar área para tornar a imagem forenseacessívelpara análise);
2. mount –o loop /mnt/sdb1/caso-joao-modelo-silva.img /discopericia (Objetivo: tornar a imagem forense acessível para análise);
3. mkdir /pendrive-recuperacao (Objetivo: criar uma área temporária para cópia dos arquivos recuperados);
18:35
4. mount /dev/sdc1 /pendrive-recuperacao (Objetivo: inserir pen drive para colocar os arquivos para recuperação);
5. find /discopericia -iname ‘*.doc’ -o -name ‘*.docx’ -o -name ‘*.pdf’ -o -name ‘*.pst’ -o -name
‘*.ost’ -execcp ‘{}’ /pendrive-recuperacao \; (Objetivo: buscar todos os arquivos existentes na imagem periciada, sem diferenciar
maiúsculas e minúsculas, considerando os dados excluídos do sistema, lixeiras e copiá-los para o diretório de um pen drive
externo montado sob o nome de /pendrive-recuperação);
6. ls -la /pendrive-recuperacao (Objetivo: listar o que foi copiado para o pen drive).
Resultados
Aqui as evidências devem ser exploradas e informadas, ou seja, o perito deve

informar o que foi encontrado e apresentar os indícios de dados para casos em
que as informações estiverem visíveis, mas corrompidas, bem como para casos
íntegros. Caso arquivos tipificados por extensões (*.doc, *.docx, *.pdf, *.pst, *.ost)
sejam encontrados, esses devem ser listados por assinaturas digitais, empregando o
mecanismo de examinação. Todos os arquivos devem ser íntegros e acessíveis para
garantia e validação das evidências.
Garantias envolvidas
Nessa seção, as garantias que permeiam a integridade dos arquivos e dados encontrados
nas buscas devem ser descritas. Tais garantias devem permitir a checagem dos
arquivos encontrados para verificar se são os mesmos e que em nenhuma hipótese
sofreram qualquer alteração, seja por parte do perito seja das pessoas que tiveram
ou terão acesso às mídias digitais. Por essa razão, justifica-se o uso da atribuição de
assinaturas digitais para os arquivos relevantes, pois elas protegem a integridade dos
dados periciados. Nesse sentido, caso aconteça algum tipo de alteração ou violação,
a assinatura digital é modificada, como uma espécie de marca, única para cada tipo e
características de arquivo.
89
Conclusão ou resposta aos quesitos e

apontamentos
Este capítulo conclui as ações descritas no laudo em pauta, tratando as manifestações

requeridas. Caso algum arquivo tenha sido apagado de forma sumária e recuperado
no procedimento de perícia, o perito deve informar tal ação. Além disso, é preciso
informar se existe ou não a possibilidade de confirmar a autoria de uma eventual
remoção, verificando se o equipamento em questão faz uso ou não de padrões
de usuários e senha para identificação. Outra informação importante é sobre a
possibilidade de existência de patologias advindas de intrusos, tais como vírus,
ressaltando que as cópias da imagem digital são submetidas a um processo de busca
por vírus e analisadas por ferramentas que identificam o comprometimento da
integridade dos arquivos, concluindo de forma explícita se algo foi encontrado ou
não. Por fim, devem ser identificadas as formas de deleção de arquivos.
Bibliografia
Nesta seção são apresentadas as referências que especificam as fontes consultadas para
a elaboração do laudo, conforme as normas em vigência.
Anexos
Apresentação de elementos necessários para o completo entendimento do conteúdo

do laudo, que não tenham sido necessários no corpo do documento principal, como:
imagens adicionais, listagens, assinaturas digitais, lista de equipamentos, domínios
e usuários, entre outros.
Laudo de perícias em dispositivos móveis

Como nos casos anteriores, neste também o laudo possui a finalidade de dar valor ao
trabalho forense realizado. Finalizadas todas as possibilidades de interpretação dos
dados extraídos do telefone e havendo conclusões acerca do que já fora examinado,
o perito deve então elaborar o documento de forma clara, objetiva e conclusiva. A
estrutura de um laudo de perícia em dispositivos móveis segue a estrutura apresentada
a seguir (DA SILVA, 2015):
»» preâmbulo: identificação do laudo;
»» histórico/material: descrição do material periciado;
90
»» objetivo: descrição clara do que é pretendido alcançar com a perícia no

dispositivo;
»» considerações técnico-periciais: conceitos e informações importantes;
»» exame: descrição das ações realizadas ao longo da perícia;
»» respostas aos quesitos/conclusões: apresentação direta e objetiva dos

resultados obtidos.
Como em dispositivos móveis as chances de se causar algum impacto no aparelho são

grandes, é recomendado que o perito tenha cautela e inclua a documentação adequada
e registre as ações feitas em todas as etapas.
91
Para (não) finalizar
A perícia computacional ou em dispositivos móveis inclui, diferentes métodos anti-

forenses para garantir a privacidade do usuário ou mesmo para evitar uma ação
pericial. Em 2016 aconteceu uma situação envolvendo privacidade e cumprimento da
lei entre a Apple e o FBI. O caso tratava de uma suspeita de realização de um ataque
em San Bernardino, na Califórnia, que provocou a morte de quatorze pessoas.
O FBI necessitava do acesso às informações dos celulares dos suspeitos para investigar
a autoria do crime, e a Apple, por outro lado, defendia a privacidade dos usuários
que caso fosse violada, daria lugar para posteriores utilizações da chave-mestra
ou “supersenha” solicitada pelo FBI para acesso ao sistema de segurança iOS, que
poderia ser feita em qualquer dispositivo. Após semanas, e diversas ordens judiciais e
recursos, o FBI conseguiu desbloquear o telefone de um dos responsáveis pelo ataque.
De acordo com noticiários, foi feita uma desencriptação e encriptação do sistema

operativo ou ataque de software a partir de uma falha do sistema de informações
explorando as vulnerabilidades no gestor do iOS, o iBoot que é responsável por
carregar o modo de recuperação. Ou seja, estima-se que um trabalho pericial tenha
sido realizado para alcançar as respostas para o caso, contudo, o FBI não deu detalhes
sobre como tal ação foi realizada (BBC, 2016).
Figura 26. Caso investigativo envolvendo Apple e FBI.
Fonte: <https://www.bbc.com/portuguese/noticias/2016/03/160330_fbi_apple_lab>.
92
Referências
ABDALLA, S.; HAZEM, S.; HASHEM, S. Guideline model for digital forensic
investigation. Annual ADFSL Conference on Digital Forensics, Security and Law,
2007.
ADEDAYO, O. M.; OLIVIER, M. S. Ideal log setting for database forensics

reconstruction. Digital Investigation, v.12, p.27-40, 2015.
ALHERBAWI, N.; SHUKUR, Z.; SULAIMAN, R. Systematic literature review on data

carving in digital forensic. Procedia Technology, v.11, p.86-92, 2013.
BARIKI, H.; HASHMI, M.; BAGGILI, I. Defining a standard for reporting digital
evidence items in computer forensic tools. Institute of Computer Sciences, Social
Informatics and Telecommunications Engineering, p.78-95, 2011.
BARMPATSALOU, K.; DAMOPOULOS, D.; KAMBOURAKIS, G.; KATOS, V. A critical

review of 7 years of Mobile Dive Forensics. Digital Investigation,v.10, p.323-349,
2013.
BBC BRASIL, 2012. Casal acha restos de pombo espião e mensagem

cifrada da 2ª Guerra. Disponível em: < https://www.bbc.com/portuguese/
noticias/2012/11/121102_pombo_espiao_dg.shtml>. Acesso em: 28 de dezembro de
2018.
BBC BRASIL, 2016. Como o FBI conseguiu desbloquear o iPhone de suspito

de ataque à revelia da Apple? Disponível em: <https://www.bbc.com/portuguese/
noticias/2016/03/160330_fbi_apple_lab>. Acesso em: 15 de janeiro de 2019.
BEGOSSO, R. H. Computação forense. Monografia em Ciência da Computação,

Instituto Municipal de Ensino Superior de Assis – IMESA, Assis, 2010.
BRASIL ESCOLA. Forense computacional: técnicas para preservação de evidências

em coleta e análise de artefatos. Disponível em: < https://monografias.brasilescola.uol.
com.br/computacao/forense-computacional-tecnicas-para-preservacao-evidencias-
coleta-analise-artefatos.htm>. Acesso em: 10 de janeiro de 2019.
CAMARA MUNICIPAL DE SUMARÉ. Concurso público edital no 01/2018.

Disponível em: <https://www.institutomais.org.br/ckfinder/userfiles/files/202.pdf>.
Acesso em: 30 de dezembro de 2018.
93
REFERÊNCIAS
CARSOSO, C. Conseguiram pegar o pombo, mas não comemore

ainda, Dick Vigarista. Disponível em: < https://www.bbc.com/portuguese/
noticias/2012/11/121102_pombo_espiao_dg.shtml>. Acesso em: 28 de dezembro de
2018.
CASEY, E.; KATZ, G.; LEWTHWAITE, J. Honing digital forensic processes. Digital
Investigation, v.10, p.138-147, 2013.
CONLAN, K.; BAGGILI, I.; BREITINGER, F. Anti-forensics: furthering digital forensic

science through a new extended, granular taxonomy. Digital Investigation, v.18,
p.S66-S75, 2016.
CONSTANTINO, D. Z. Técnicas da computação forense. Monografia em Ciência

da Computação. Assis, 2012. Monografia em Ciência da Computação, Fundação
Educacional do Município de Assis - FEMA, Assis, 2010.
SILVA, H. B. Perícia forense computacional em dispositivos móveis.

Monografia de Curso superior de tecnologia em análise e desenvolvimento de sistemas.
Fundação Educacional do Município de Assis – FEMA, Assis, 2015.
ALMEIDA, R. N. Perícia forense computacional: Estudo das técnicas utilizadas

para coleta e análise de vestígios digitais. Monografia de tecnólogo em processamento
de dados. Faculdade de Tecnologia de São Paulo, São Paulo, 2011.
FELIPE, A.; RAMA, J.; STUHL, R. Análise Forense. Disponível em: <https://www.
gta.ufrj.br/grad/15_1/_apresentacao/forense.pdf>. Acesso em: 05 de janeiro de 2019.
FENG, P.; LI, Q.; ZHANG, P.; CHEN, Z. Logical acquisition method based on data
migration for Android mobile devices. Digital Investigation, v.26, p.55-62, 2018.
GUIMARÃES, C. C.; OLIVEIRA, F. de S.; DOS REIS, M. A.; DE GEUS, P. L. Forense

computacional: Aspectos legais e padronização, 2001.
HENSELER, H.; LOENHOUT, S. V. Educating judges, prosecutors and lawyers in the

use of digital forensic experts. Digital Investigation, v. 24, p.S76-S82, 2018.
IDGNOW! A perícia digital em redes sociais e a privacidade, 2009. Disponível

em: <http://idgnow.com.br/blog/privacidade-digital/2014/04/01/a-pericia-digital-
em-redes-sociais-e-a-privacidade/>. Acesso em: 30 de dezembro de 2018.
KARAM, N. M. Laudo pericial digital. Monografia de especialização em Tecnologia

da informação e comunicação. Universidade Federal de Santa Catarina, 2015.
94
REFERÊNCIAS
BRASIL. Lei 12.737 de novembro de 2012. Disponível em: <http://www.planalto.gov.

br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm>. Acesso em: 20 de dezembro de
2018.
MARINO, A. M.; GUIDA, I.; PASSOS, J. F.; NOGUEIRA, R. F. Perícia forense

computacional: Um diálogo interdisciplinar entre a informática e o direito. Janus,
Lorena, no 17, p.95-101, 2013.
MARQUES, R. O.; MOTA, A. A.; MOTA, L. T. M. Modelo de laudo forense digital

considerando dispositivos de redes de computadores. X Workshop de pós-
graduação e pesquisa do centro Paula Souza, São Paulo, 2015.
MARTINS, E. Apague definitivamente os dados do seu disco rígido.

Disponível em: <https://www.tecmundo.com.br/aumentar-desempenho/1304-apague-
definitivamente-os-dados-do-seu-disco-rigido-.htm>. Acesso em: 03 de janeiro de 2019.
MARTINS, R. Laudo técnico forense computacional, 2016. Disponível em:

<https://atitudereflexiva.wordpress.com/2016/03/01/laudo-tecnico-forense-
computacional/>. Acesso em: 3 de janeiro de 2019.
MOSCATO & VON ZUBEN. Uma visão geral de clusterização de dados. Disponível
em: <ftp://ftp.dca.fee.unicamp.br/pub/docs/vonzuben/ia368_02/topico5_02.pdf>.
Acesso em: 4 de janeiro de 2019.
MUTAWA, N. A.; BAGGILI, I.; MARRINGTON, A. Forensic analysis of social

networking applications on mobile devices. Digital Investigation, v.9, p.S24-S33,
2012.
PORTAL EDUCAÇÃO. Computação Forense. Disponível em: <https://www.

portaleducacao.com.br/curso-online-direito-computacao-forense/p>. Acesso em: 28
de dezembro de 2018.
PUC RIO. Clusterização de dados, 2010. Disponível em: < https://www.maxwell.

vrac.puc-rio.br/24787/24787_5.PDF>. Acesso em: 4 de janeiro de 2019.
RAMOS, R. Sistema de laudos forense computacional: uso no contexto da perícia

criminalística. Monografia de especialização em Engenharia de Software. Universidade
Federal do Paraná, 2014.
SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de

Ciências e Saúde, v.2, no 5, p.99-111, 2016.
95
REFERÊNCIAS
TEIXEIRA, A. R. Perícia forense de rede: Teoria e prática. Monografia de pós-

graduação em administração em redes Linux, Minas Gerais, 2009.
TRUFINI, T. V. Preservando o local de crime, 2017. Disponível em: < https://jus.

com.br/artigos/56384/preservando-o-local-de-crime>. Acesso em: 21 de janeiro de
2019.
VIANA, A. W.; SILVA, D. B.; FONTES, L. A. S.; PINTO, M. C. Manual básico para
indexação de documentos arquivísticos: A experiência no arquivo nacional, 2013.
Disponível em: <http://www.grupoidoc.com.br/ged/tratamento-textual/>. Acesso
em: 3 de janeiro de 2019.
WAGNER, J.; RASIN, A.; GRIER, J. Database forensic analysis through internal
structure carving. Digital Investigation, v.14, p.S106-S115, 2015.
ZILION WEB. Zero Fill: O que é?, 2017. Disponível em: <https://zilionweb.wordpress.
com/2017/09/08/zero-fill-o-que-e/>. Acesso em: 03 de janeiro de 2019.
96

Forense Digital e Documentos

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Forense Digital e Documentos

Enviado por

Direitos autorais:

Formatos disponíveis

Forense Digital e Documentoscopia

Roberta K. Morais Ferreira

Equipe Técnica de Avaliação, Revisão Linguística e Editoração

ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 5

PARA (NÃO) FINALIZAR...................................................................................................................... 92

A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se

Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade

Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo

Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em

Sugestão de estudo complementar

Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,

Chamadas para alertar detalhes/tópicos importantes que contribuam para a

Informações complementares para elucidar a construção das sínteses/conclusões

Trecho que busca resumir informações relevantes do conteúdo, facilitando o

Para (não) finalizar

Texto integrador, ao final do módulo, que motiva o aluno a continuar a aprendizagem

»» Compreender os procedimentos periciais para computadores e

»» Proporcionar aos alunos subsídios para elaboração de laudos periciais e

Figura 1. Computação forense.

Fundamentos e legislação da computação

mesmo século, os decretos do papa Gregório IX estabeleciam perícias médicas em

Anos depois, o agente Michael Anderson, considerado o “pai da forense computacional”

O desenvolvimento tecnológico traz inúmeros benefícios para a sociedade, no entanto,

De acordo com a Lei no 12.737 de novembro de 2012:

Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos

Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código

“Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende

§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta

§ 3 o Se da invasão resultar a obtenção de conteúdo de comunicações

Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta

§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se

§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado

I - Presidente da República, governadores e prefeitos;

II - Presidente do Supremo Tribunal Federal;

III - Presidente da Câmara dos Deputados, do Senado Federal, de

IV - Dirigente máximo da administração direta e indireta federal,

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede

Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de

“Interrupção ou perturbação de serviço telegráfico, telefônico,

§ 1o Incorre na mesma pena quem interrompe serviço telemático

§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião

A Lei no 12.737 foi apelidada de “Lei Carolina Dieckman” em virtude do incidente

Figura 2. Relações da Computação Forense.

Fonte: Begosso (2010).

»» admissibilidade processual da prova ilícita, considerando a persecução

»» inadimissibilidade processual da prova ilícita mesmo se esta tem respaldo

»» teoria da proporcionalidade ou razoabilidade, que considera a

»» teoria da proporcionalidade e prova ilícita pró réu dependendo de como

Ocorre que, ao fazer uma análise forense em uma máquina, sobretudo se é um

»» validação de provas em ações trabalhistas;

Um programador é um profissional que tem vantagens nessa área de atuação,

»» compreensão das relações de causa e efeito em sistemas computacionais;

»» capacidade de utilizar as ferramentas adequadas para as análises;

»» conhecimento detalhado sobre sistemas operacionais.

É preciso que o profissional tenha conhecimentos específicos sobre as ferramentas

Figura 3. Habilidades de um perito digital.

Fonte: Própria autora (2018).

As áreas apresentadas na Figura 3 têm aspectos específicos que serão apresentados

Relacionado às definições, tem-se como atributos: