UNIVERSIDADE ZAMBEZE

FACULDADE DE CIÊNCIAS E TECNOLOGIAS

ENGENHARIA INFORMÁTICA – 4º ANO - POS - LABORAL

CONCEITOS DE INVESTIGAÇÃO FORENSE

BEIRA

2022
 UNIVERSIDADE ZAMBEZE

FACULDADE DE CIÊNCIAS E TECNOLOGIAS

ENGENHARIA INFORMÁTICA – 4º ANO – POS-LABORAL

CONCEITOS DE INVESTIGAÇÃO FORENSE

Discentes:
Edgar Amad

Docente:
Eng.

BEIRA
2022
Índice
CAPÍTULO I: INTRODUÇÃO.......................................................................................................3

1.1. Introdução.........................................................................................................................3

1.2. Objetivos...........................................................................................................................4

1.3. Metodologia......................................................................................................................4

CAPÍTULO II: REVISÃO BIBLIOGRÁFICA...............................................................................5

2.1. Segurança computacional na rede de computadores.........................................................5

2.2. Investigação digital X Forense digital..............................................................................6

2.3. Análise Forense Computacional.......................................................................................7

2.3.1. Análise Física................................................................................................................9

2.3.2. Análise Lógica.............................................................................................................10

2.3.3. Ferramentas e Técnicas utilizadas na Etapa de Coleta................................................10

2.3.4. Ferramentas e técnicas utilizadas na etapa de extração...............................................13

2.3.5. Ferramentas e técnicas utilizadas na etapa de análise.................................................14

2.4. Tipos de forense computacional.....................................................................................15

2.5. Coleta de evidências........................................................................................................16

2.5.1. Live Analysis...............................................................................................................16

2.5.2. Network Analysis........................................................................................................19

2.5.3. Post Mortem Analysis.................................................................................................20

CAPÍTULO III: CONCLUSÃO E REFERENCIAS BIBLIOGRÁFICAS...................................23

3.1. Conclusão........................................................................................................................23

3.2. Referencias bibliográficas...............................................................................................25

CAPÍTULO I: INTRODUÇÃO

1.1. Introdução

A Ciência Forense é uma área interdisciplinar que, de acordo com Vallim (2019), reúne
estudos de conhecimentos técnicos e científicos de diversas áreas como criminologia,
computação, psicologia, medicina legal entre outras áreas, que apoiam na busca pela verdade em
investigações relativas à justiça civil e criminal. O profissional qualificado em qualquer dos
campos de atuação da Ciência Forense é responsável por examinar o local do crime em busca de
evidências que comprovem o que de fato ocorreu e quem são os indivíduos envolvidos no caso.
Segundo o Dicionário Priberam da Língua Portuguesa (2011), a palavra “forense”
significa “de foro judicial” ou “dos tribunais ou a ele relativos”, com esse conceito, entende-se
que todas as práticas forenses, de alguma forma, sempre estão ligadas ao cumprimento da lei, ou
à constituição, sendo em suma, uma prática policial e investigativa, independente da área de
atuação do perito forense.
Com a popularização da internet em todo o mundo, milhares de pessoas começaram a se
utilizar deste meio. Contemporaneamente se percebe que nem todos a utilizam de maneira
sensata, e acreditando que a internet é um espaço livre, acabam por exceder em suas condutas e
criando novas modalidades de delito: os crimes virtuais. (PINHEIRO, 2000, p.1).
A computação forense tem a alçada de provar que um delito foi cometido utilizando
recursos computacionais, de um modo onde os resultados obtidos com a perícia técnica não
despertem dúvidas em relação a sua integridade. A crescente leva de crimes cometidos por meios
informáticos é motivada, em grande parte das ocasiões, pelo fato das vítimas se tratarem de
pessoas leigas no que se refere à segurança de seus dados pessoais em sistemas computacionais.
Além disso, existe o fato de as pessoas acreditarem que possuem o anonimato garantido na
Internet, estando livres para fazer qualquer coisa, e que não haverá punição fora dela. (LISITA;
MOURA; PINTO, 2009).
No meio empresarial, ou no ambiente corporativo, como abordado neste trabalho, a
informação torna-se o centro das atenções, o bem mais importante da empresa, Campos (2007)
comprova esta afirmação dizendo que “a informação é um elemento essencial para a geração do
conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio,
dentro de cada um de seus processos.”
3
 Dito por Carvalho (2005) os crimes virtuais já são realidade, podendo atingir desde
pessoas simples que possuem uma conta bancária até grandes empresas que têm informações
confidenciais que possuem valor comercial (informações essas, que em caso de se tornarem
públicas, podem representar danos materiais enormes para a corporação).
Sendo assim, surge a necessidade de se identificar, mensurar e registrar esses tipos de
atividades, que em geral são chamados de incidentes de segurança. (CARVALHO, 2005, p.9).

1.2. Objetivos

O objetivo deste trabalho é conceituar a investigação Forense; descrever os processos

executados durante a investigação; traçar os tipos de crimes cometidos utilizando equipamentos
computacionais; exibir as técnicas envolvidas na coleta e no exame de vestígios digitais; relatar
as principais dificuldades que podem surgir na fase de análise dos dados como quantidade de
arquivos, existência de senhas, criptografia e esteganografia; e citar os principais aspectos
jurídicos envolvidos durante a perícia.
Também se pretende discutir os métodos usados na preservação de evidências para
garantir a integridade do material questionado, porém este texto não intende abordar os
procedimentos para a elaboração de um laudo pericial.

1.3. Metodologia

Primeiramente, foi feito um levantamento bibliográfico em busca de obras de qualidade e

produzidas por profissionais conceituados na área, não só na parte teórica, como também na
prática, como por exemplo, peritos computacionais com anos de experiência. Após a escolha e
estudo da literatura, foram feitas diversas buscas em sites da Internet por informações
complementares para que o enfoque deste trabalho pudesse ser atingido.

4
CAPÍTULO II: REVISÃO BIBLIOGRÁFICA

2.1. Segurança computacional na rede de computadores

Uma rede pode ser definida como um conjunto de dispositivos conectados por links de
comunicação, duas ou mais redes que se comunicam entre si são consideradas uma internet.
Forouzan (2008). Dado esses conceitos, destaca-se que a internet mais conhecida atualmente é a
Internet (note com I maiúsculo), ela garante a conexão de milhares de dispositivos
computacionais no mundo todo. Até a década de 1960 de acordo com Kurose (2010) a rede
telefônica era a rede de comunicação dominante no mundo inteiro, mas com o surgimento da
World Wide Web em 1990, a Internet foi levada para os lares e empresas de milhões de pessoas
revolucionando a forma de se comunicar garantindo rapidez e facilidade na troca de informações.
A Internet que utilizamos hoje evoluiu muito desde o seu surgimento, em consequência
do avanço da tecnologia além dos computadores de mesa, outros diversos dispositivos como
notebooks, celulares, tablets, televisores, câmeras e, até equipamentos domésticos como
geladeiras, cafeteiras e lavadoras passaram a utilizar da Internet para as mais diversas
funcionalidades.
Os criminosos exploram as vulnerabilidades dos sistemas para concretizarem os ataques em
busca de informações valiosas, em Stallings (2014) os ataques à segurança são classificados
como ataques passivos e ataques ativos, onde os passivos têm a característica de descobrir ou
utilizar informações do sistema sem que os recursos computacionais sejam afetados, já os ativos
tentam alterar recursos do sistema ou afetar sua operação.
Para contornar a ocorrência desses incidentes Stallings (2014) aponta que a área de
segurança de rede e de Internet visa desviar, prevenir, detectar e corrigir violações de segurança
que envolvam a transmissão de informações e ainda diz que a segurança computacional baseia-se
em três pilares, sendo eles a confidencialidade, integridade e disponibilidade. Conhecidos como
a tríade CIA (do inglês Confidentiality, Integrity and Availability), esses pilares apresentam os
objetivos fundamentais da segurança tanto para dados, quanto para serviços de informação e
computação. A confidencialidade está relacionada a privacidade dos dados, que busca garantir
que as informações sejam compartilhadas apenas com os que tiverem autorização de acesso,
aqui, muitas vezes, envolve que os dados sejam cifrados, a fim de impedir que uma mensagem
que caia em mãos erradas seja entendida. Já a integridade condiz com garantir que uma

5
mensagem enviada pelo transmissor chegue ao receptor sem que dados tenham sido alterados,
perdidos ou roubados.
Por sua vez, a disponibilidade consiste em dispor de acesso aos dados de forma rápida e
confiável.
A implementação efetiva das metas de segurança envolve a utilização de duas técnicas
predominantes atualmente, a criptografia e a esteganografia. A criptografia além de
confidencialidade provê autenticação, integridade de mensagem, não repudiação e controle de
acesso.
De origem grega, a palavra significa “escrita secreta” sendo definida como a ciência que
utiliza algoritmos matemáticos para codificar e decodificar dados, a fim de impedir que pessoas
não autorizadas tenham entendimento da mensagem transmitida em um meio de comunicação. Já
a esteganografia significa “escrita oculta” que diferentemente da criptografia que esconde o
conteúdo de uma mensagem por meio de cifração, oculta a mensagem em si, encobrindo-a com
alguma outra coisa, (Forouzan, 2013).

2.2. Investigação digital X Forense digital.

Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital
em inúmeros pontos do processo. Apesar de o objetivo central ser praticamente o mesmo.
A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois
em um processo de análise forense existe uma preocupação legal, não só uma preocupação
técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada
uma dessas operações. A análise forense procura chegar numa conclusão final, que permita
apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele
país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo
com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu
objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.
Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem
como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois
ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma
completamente diferente, com artefatos diferentes, objetivos e métodos diversos.

6
 Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas
utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu
trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se
preocupando em demasia com os apectos legais de todo o processo.
A origem da forense computacional, remonta à década de 80, quando os computadores
tornam-se mais populares, principalmente em países de primeiro mundo.
Em 1984, o CART surgiu, como resposta do FBI aos incidentes computacionais cada vez
mais frequentes com o surgimento da ARPANET.
O CART é o Computer Analysis and Response Team, o primeiro grupo de resposta a
incidentes, surgido com o objetivo de lidar com crimes computacionais.
Em 1991, ocorre o primeiro encontro de International Law Enforcement, organizado para
conduzir a discussão sobre forense computacional e a necessidade de padronizar uma
metodologia de atuação.
Logo depois, em 1997, o Scientific Working Group on Digital Evidence (SWGDE) foi
estabelecido, com o objetivo de desenvolver a padronização discutida no evente do 1994.
E em 2001, ocorreu o primeiro Digital Forensic Research Workshop, que atualmente
possui uma periodicidade anual, e conta com palestrantes de diversos lugares, assim como
desafios onde qualquer pessoa pode participar, para praticar e testar seus conhecimentos de
forense computacional.

2.3. Análise Forense Computacional

Segundo Eleutério e Machado (2011) Computação Forense é uma ciência que obtém,
preserva e documenta evidências de dispositivos de armazenamento digital, como computadores,
PDAs, câmeras digitais, telefones celulares e vários dispositivos de armazenamento de memória.
Esses autores organizam a Computação Forense em 4 etapas principais: Coleta, Exame, Análise
e Relatório.

7
  Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e
coletar os dados e evidências físicas relacionadas com o incidente que está sendo
investigado, enquanto estabelece e mantem a integridade das provas.
 Exame: identificar e extrair as informações relevantes a partir dos dados
coletados utilizando ferramentas e técnicas forenses adequadas.
 Análise: Analisar os resultados do exame para gerar respostas úteis para as
questões apresentadas nas fases anteriores.
 Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa
também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e
concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil
interpretação por uma pessoa comum, de conhecimento médio.
De acordo com J. Thorton [THORTON, 1997], a ciência forense é exercida em favor da
lei para uma justa resolução de um conflito. Em outras palavras, seria aquela que se baseia em
procedimentos científicos para obtenção de informações que possam ser úteis durante uma
disputa judicial. Este termo é muito comum no meio policial e até poucos anos atrás não se tinha
qualquer relação com o meio computacional.
De acordo com o Manual de Patologia Forense do Colégio de Patologistas Americanos
(1990), a ciência forense é “a aplicação de princípios das ciências físicas ao direito na busca da
verdade em questões cíveis, criminais e de comportamento social para que não se cometam
injustiças contra qualquer membro da sociedade”.
A forense computacional foi criada em função dessa nova vertente de crime para apoiar
as instituições legais, na aplicação da justiça. Sendo a ciência que compreende a aquisição,
preservação, identificação, restauração, análise e documentação de evidências computacionais
[NOBLETT, 2000], através da:
 Coletas de informações: na coleta evidências para análise existem dois perigos: perda e
alteração [Atílio, 2003]. Se cuidados necessários não forem tomados, dados relevantes a
análise podem ser sobrescritos e/ou apagados;
 Reconhecimento das evidências: caracterização da ameaça e seus efeitos nos sistemas
alvos;
 Coleta, restauração, documentação e preservação das evidências encontradas;

8
  Correlação das evidências: retomada das atividades em andamento antes do incidente
ocorrer. E restauração de dados se necessário;
 Reconstrução dos eventos: correlacionamento de logs, recuperação de arquivos apagados,
analise de artefatos encontrados no sistema;

O processo de análise, como em outras disciplinas forenses, deve ser metódico e seguir
procedimentos previamente testados e validados cientificamente, de forma que todos os
resultados obtidos na fase de análise sejam passíveis de reprodução. A análise forense pode ser
dividida em duas partes: a análise física e a lógica [Freitas, 2003].

2.3.1. Análise Física

A análise física é a pesquisa de sequências e a extração dos dados, onde são investigados
os dados brutos do equipamento de armazenamento. Em alguns casos, a análise forense inicia-se
a partir dessa investigação, quando o objeto de análise é o conteúdo de um disco rígido
desconhecido.
Para tal, deve-se manter o objeto de estudo intacto, utilizando-se para isso softwares de
criação de imagens que criam uma cópia idêntica ao do objeto de estudo, fixando as provas do
sistema. Os dados podem ser investigados e analisados através dos seguintes processos:
• Pesquisa de sequência: é feito uma pesquisa de sequências de byte em todo sistema,
retornando o conteúdo da pesquisa de sequências e o deslocamento de byte do início do
arquivo;
• Busca e Extração: é a pesquisa mais especializada de sequências, onde se analisa uma
evidência em busca de cabeçalhos dos tipos de arquivos, de acordo com o tipo que
estiver sendo analisado;
• Extração de Espaços Subaproveitados e Livre de Arquivos: é a extração do espaço
dos resíduos dos sistemas que são classificados de resíduos livre e resíduos
subaproveitados, através de uma ferramenta que distingue a estrutura particular desses
sistemas de arquivos.
Todos esses processos são realizados nas evidências ou copias restauradas.

9
As pesquisas de sequências produzem listas de dados, que serão úteis em fases posteriores,
algumas dessas informações são:
• As URL’s encontradas nas evidências;
• Endereços de e-mail encontrado no dispositivo de armazenamento;
• Entre outros;

2.3.2. Análise Lógica

Análise lógica consiste na investigação dos arquivos das partições. O sistema de

arquivos é analisado percorrendo-se a árvore de diretórios do objeto de estudo, de forma que no
decorrer da análise o conteúdo de cada arquivo lógico é pesquisado.
Neste estágio o perito responsável pela investigação lógica dos dados precisa estar ciente
de todos os procedimentos tomados na cópia restaurada, evitando erros de manipulação das
provas, bastante comuns nesta fase. Seguindo assim o objetivo primordial de preservação e
proteção das evidências encontradas contra alterações oriundas de um meio externo.
A restauração da imagem, normalmente, não é documentada, nem disponível ao público
e não pode ser verificada. Essa imagem deve ser preservada e protegida geralmente montada em
um sistema de arquivos somente leitura.

2.3.3. Ferramentas e Técnicas utilizadas na Etapa de Coleta

De acordo com Eleutério e Machado (2001), é fundamental que os dados contidos nos
dispositivos (mídias digitais e dispositivos de armazenamento) e os dados voláteis (aqueles que
constam na memória RAM ou trafegando em rede de computadores), possíveis fontes de
evidências digitais, permaneçam coletados e preservados corretamente, de maneira a garantir que
não seja alterado.
Nessa fase de preservação e coleta que será possível buscar elementos (dados, mídias de
armazenamento, entre outros) de maneira a consolidar uma base investigativa para as fases
seguintes da perícia.

10
  Técnicas de Imagem e Espelhamento
De maneira geral, os exames forenses devem ser efetuados em cima de duplicatas idênticas,
as quais são obtidas dos materiais questionados originalmente apreendidos e submetidas a
exames forenses. Dessa forma, deverão ser aplicadas ferramentas e técnicas que efetuem uma
cópia fidedigna dos dados e mantenham a integridade do material apreendido (ELEUTÉRIO;
MACHADO, 2011).
Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. Essas
técnicas, ao serem realizadas através de softwares e equipamentos forenses, garantem uma cópia
fiel dos dados e consequentemente a preservação correta do material que foi apreendido
(ELEUTÉRIO; MACHADO, 2011).

 Ferramentas usadas para bloqueio de escrita e na duplicação forense

Existem muitas ferramentas em hardware que ajudam na preservação dos dados no
momento da realização da Imagem ou do Espelhamento. Entre eles, os destaques são os
duplicadores forenses e os bloqueadores de escrita.
Segundo Eleutério e Machado (2001), Os equipamentos Espion Forensics e o Forensic
Bridge Tableau são os mais utilizados para bloqueio de escrita em discos, já o software ICS
Write Protect Card Reader é o mais utilizado para bloqueio de escrita em cartões de memória.
As principais vantagens na utilização de duplicadores forenses são: maior rapidez na
duplicação dos dados; suporta muitas interfaces de discos; não precisar de computador para
efetuar a interface entre os discos questionados. (ELEUTÉRIO; MACHADO, 2011).

 Sistemas operacionais e programas utilizados para duplicação forense

O uso de dispositivos de bloqueio de escrita ou duplicadores forenses não é obrigatório
na etapa de coleta de dados. No entanto, a utilização desses dispositivos facilita o processo de
duplicação de discos, como exemplo, segundo Eleutério e Machado (2011), a possibilidade do
utilização de alguns programas específicos ou de sistemas operacionais que não entrem/acessem
o equipamento de armazenamento questionado, garantindo a integridade.
O programa Norton Ghost da empresa Symantec é uma opção ao uso de duplicadores
forenses e bloqueadores.

11
 O software Forensic ToolKit (FTK) e o software Encase são soluções proprietárias
compatíveis com o Windows. Ambas possuem diversas funcionalidades que possibilitam a
realização de diversas técnicas para perícia forense computacional.
Já como opções para Linux, o autor destaca a utilidade de alguns softwares para a etapa
de preservação e coleta: DC3DD e Guymager, e destaca também os sistemas Linux CAINE e
FDTK-Ubuntu para mesma finalidade. (ELEUTÉRIO; MACHADO, 2011).

 Principais ferramentas/dispositivos utilizados para coleta de dados voláteis

Segundo LILLARD et al (2010), a fase de coleta de evidências digitais para realizar uma
perícia forense computacional é dividida em dois grupos, separados de acordo com a volatilidade
dos dados: Grupo post-mortem, a coleta é realizada sobre fontes não voláteis, (que independam
de energia para armazenar os dados) e grupo em vida (coleta live), nesse as informações digitais
são coletadas em fontes voláteis (armazenagem temporária).
Segundo Eleutério e Machado (2001), os principais dispositivos fontes da coleta post-
mortem são: CDs, DVDs, cartões de memória, Mídias de armazenamento, discos rígidos (HD).
Embora as atividades do tipo post-mortem sejam consideradas imensa maioria nos
exames periciais, todavia, em alguns casos, é fundamental a coleta Live, por exemplo, em
situação que a evidência está em uma memória RAM do computador ou trafegando em uma rede
de computadores.
A coleta do tipo live, quando realizada em redes de computadores, geralmente ocorre a
captura de dados que trafegam pela entrada ou pela saída de tráfego de um computador ou de um
ponto da rede.
Nesse sentido, segundo GALVÃO (2013), essa é a principal função dos softwares de
Network Forensic Analysis Tools (NFAT), ou seja, a captura e análise de tráfego de rede, neste
caso, voltado para parte forense.
Nessa categoria de software, segundo Galvão (2013), o programa TCPDUMP é o sniffer
de rede mais conhecido e utilizado hoje em dia. Esse programa possui uma interface amigável e
uma biblioteca libbcap, a qual possui infraestrutura flexível para captura de pacotes em redes de
computadores.
Outro exemplo dessa categoria de software, o Wireshark é um famoso analisador de
protocolo de rede e ainda possui a funcionalidade de captura de pacotes de redes. Ele coloca a

12
placa de rede em modo promíscuo, possibilitando a um maior alcance da captura de pacotes,
além das funcionalidades de exportar pacotes para uma posterior análise. O software Wireshark é
Open Source e disponível para diversas plataformas.

2.3.4. Ferramentas e técnicas utilizadas na etapa de extração

Depois de finalizada a etapa de coleta, a próxima etapa é extrair dados /informações

relevantes para uma posterior análise. Nessa etapa, é extraído e avaliado o quê pode ser
importante para a investigação. Nesse ponto, podem ser encontradas evidências inacessíveis,
devido à proteção por senha, criptografia, ou prévia exclusão do dado. A seguir, será revisto
importantes ferramentas e técnicas utilizadas na etapa de extração.

 Recuperação de arquivos (Data Carving)

De acordo com Eleutério e Machado (2001), Data Carving, que na computaçãorefere-se à
recuperação de arquivos apagados, é uma técnica realizada através da localização de assinaturas
conhecidas (por exemplo, cabeçalhos que contêm a identificação do tipo de arquivo). Alguns
softwares como Photorec e Ontrack Recovery podem realizar a recuperação de arquivos
apagados de forma automática.
O programa Photorec é compatível com várias assinaturas, suporta vários sistemas de
arquivos, além de ser software livre. Já o software Ontrack Recovery possui interface intuitiva e
realiza a recuperação de diversos tipos de arquivos, sejacom base na técnica de assinaturas, seja
com base na estrutura do arquivo (ELEUTÉRIO; MACHADO, 2011).
Outro problema comum durante a fase de extração é o surgimento de programas e
arquivos que precisam de senhas para serem extraídos. Dessa forma, segundo Eleutério e
Machado (2001), as principais técnicas para solucionar esse problema são: Engenharia reversa, a
engenharia social, ataques de força bruta.
De acordo com Pinheiro (2013), a engenharia reversa de um software é um processo de
desmontagem e análise cujo principal objetivo é construir e analisar um modelo representativo
em alto nível, para que assim o programa alvo possa ser estruturado e entendido.
Quando consegue entender a estrutura e o funcionamento de um programa, é possível
localizar a parte que faz o processo de Login (autenticação), podendo alterar o software

13
estaticamente ou dinamicamente, conseguindo assim ter acesso a parte protegida do software, e
consequentemente a informação deseja pela perícia.
Engenharia social é um método de ataque, no qual alguém faz uso da persuasão, diversas
vezes abusando da ingenuidade ou confiança do usuário, com a finalidade de obter informações
que possam ser utilizadas no acesso não autorizado a computadores ou informações. (SOCIAL-
ENGINEER, 2015).
Segundo Eleutério e Machado (2011), em um ambiente no qual os arquivos são
protegidos por senha e os seus usuários são acessíveis da equipe de investigação, a técnica de
engenharia social pode ajudar neste processo de acesso as senhas, facilitando o trabalho pericial.
Já o Ataque de força bruta consiste em utilizar um dicionário de senhas, testando cada
senha de forma automática, a fim de localizar uma possível senha dentro do dicionário utilizado.
Um dos softwares mais utilizado para força bruta é ElcomSoft Password Recovery.
(ELEUTÉRIO; MACHADO, 2011)

 Utilização da técnica de Indexação de dados

A indexação é uma técnica de organização/arrumação de dados. Essa técnica envolve a
criação de estruturas de dados associados aos documentos de uma determinada coleção, de forma
que possa ser acessado posteriormente com índices, gerando mais velocidade no acesso dessas
informações.
Muitos softwares de computação forense trabalham com indexação de dados, dentre
estes, destaca-se o FTK e o encase. (BATTULA, 2000).

2.3.5. Ferramentas e técnicas utilizadas na etapa de análise

De acordo com Almeida (2011), esta etapa consiste em examinar os dados/informações

extraídos da etapa de extração, e em seguida identificar evidências digitais, verificando a relação
com o fato apurado.
Após a identificação e avaliação das evidências encontradas no material questionado, é
possível responder as perguntas feitas pela autoridade solicitante.
Dessa forma, é importante que o a autoridade solicitante busque sempre detalhar o quê
procura, descrevendo no máximo de detalhes possível, ou seja, que mostre para a equipe pericial

14
exatamente o quê deve ser buscado, para dessa forma, evitar desperdício de trabalho dos peritos.
(ALMEIDA, 2011).

2.4. Tipos de forense computacional

A forense computacional apresenta-se por dois tipos principais, que possuem aplicações e
utilidades únicas para determinado objetivo, mas que podem ser utilizadas em conjunto para que
uma perícia seja bem efetuada, sendo elas forense estática, ou static forensic, e forense dinâmica,
ou live forensic. (MRDOVIC et al., 2011).
As aplicações da forense podem ser derivadas em vários casos, e como (Tavares, 2010)
exemplifica, a forense pode ser utilizada para:
 Fins legais, como casos de espionagem industrial, política, diplomática, etc. Casos como
este também podem ser considerados cyber terrorismo, onde por influência política
diplomática, são utilizadas técnicas de invasão para se obter vantagens ou influências
políticas, ou socioeconômicas.
 Em ações disciplinares internas, como uso indevido de recursos da
instituição/corporação/empresa. Comum de ocorrer em corporações grandes ou pequenas,
muitas vezes os funcionários fazem mal uso dos recursos disponíveis, acessando websites
indevidos, ou recorrendo a emails e softwares de mensagens instantâneas, podendo ser
vítimas de engenharia social, e partilhar segredos da corporação que podem levar a danos
muito maiores.
 Mais comumente em recorrência de uma ação ilegal intencionalmente ou não, em um
alvo potencial, para investigação, tratamento de evidências, produção de laudos periciais,
e validação de casos criminais.
No todo, Tavares (2010) esclarece que os tipos de forense são classificados pelo tipo de coleta de
dados executada em cada um deles. Por exemplo, para a forense estática, tem-se a característica
de análise e coleta de mídias de dados estáticos, como dispositivos de armazenamento, HDs,
Pendrives, cartões de memória etc.
Na forense dinâmica são analisadas mídias de armazenamento volátil, como memória RAM.

15
2.5. Coleta de evidências

No início de uma perícia em um sistema violado, o profissional de segurança procura

identificar como ocorreu e qual a extensão do prejuízo causado, ou seja, quais informações e
aspectos do sistema operacional foram afetados.
Após essa fase de reconhecimento inicial, o perito deve proceder à coleta e análise de
evidências, visando obter o máximo possível de dados periciais digitais. As informações são
obtidas nas áreas de atuação dos usuários e também no kernel do sistema operacional, e deve-se
fazer uma busca detalhada nos dados do sistema.
Consoante (Sandro Melo, 2009), evidências digitais possuem determinadas características
específicas, como, por exemplo: podem ser duplicadas com precisão, preservando-se o original
durante a perícia; é possível verificar caso tenham sido alteradas; são passíveis de modificação
durante a análise, devido à sua volatilidade.
Esta fase de busca de evidências pode ser dividida em três etapas: as análises Live,
Network e Post Mortem.

2.5.1. Live Analysis

Antes de iniciarmos o estudo da Live Analysis propriamente dita, é relevante uma

discussão sobre a volatilidade e o tempo de vida de um dado pericial digital. Segundo (Melo,
2009, p. 34), “o tempo de vida de uma evidência digital pode variar de acordo com o local em
que ela está armazenada.”
Isso significa que quanto mais volátil for um dado, mais difícil é a sua extração e menos
tempo há para obtê-lo. No entanto, algumas informações acabam sendo consideradas irrelevantes
para a perícia, tamanha a sua volatilidade. É o caso dos dispositivos de armazenagem na CPU,
como caches e registradores, tendo em vista que seu estado é alterado no momento da captura.
Apesar do alto nível de volatilidade de determinadas informações, como o estado do
sistema operacional e o conteúdo da memória principal, elas podem ser importantes na
identificação de ataques em curso.
(Melo, 2009) enumera algumas informações que podem ser obtidas durante a Live
Analysis, como, por exemplo: dispositivos de armazenagem da CPU; memória de periféricos;

16
memória principal do sistema; tráfego de rede; estado do sistema operacional; dispositivos de
armazenagem secundária; arquivos de registros; análises de malwares identificados.
De acordo com ele, esses dados serão posteriormente utilizados, durante a fase de Post
Mortem Analysis. A primeira etapa, Live Analysis, termina no momento em que o sistema é
desligado, após todas as informações serem coletadas do disco rígido. É, então, realizada uma
cópia bit a bit do mesmo, a qual será utilizada na procura de possíveis evidências para a perícia
forense.
O autor ainda aponta que pode haver dificuldades na geração da imagem do disco rígido,
como nos casos em que o desligamento da máquina influencia o funcionamento da organização,
ou quando o disco possui volume muito grande de dados. Embora existam riscos, a tomada
dessas medidas é necessária.
Vale lembrar também que, quando se trata de dispositivos periféricos, é importante que a
coleta de evidências seja feita durante a Live Analysis, tendo em vista que, após o desligamento
do sistema, certas informações podem não ser mais encontradas.
Para a busca de dados periciais na memória principal do sistema, investigadores
comumente utilizam dumps de memória através da geração de core files ou crash dumps, pois
nela se encontram informações voláteis, como processos em execução, dados manipulados, entre
outras informações ainda não salvas em disco.
Ao ser executado, o processo do dump é alocado na memória, alterando parte das
informações obtidas. Mas isso não impede a verificação dos processos que se encontravam ativos
na memória no momento da coleta.
Os crash dumps são fontes úteis de dados, pois possuem “uma imagem da memória do
sistema no momento em que uma falha inesperada acontece, funcionando como uma espécie de
caixa preta do sistema” (MELO, 2009, p. 39). Isso significa que, no momento da falha, os crash
dumps realizam a gravação de todas as informações que se encontravam na memória, permitindo
sua análise posterior.
Sandro (Melo, 2009) expõe a importância da análise do tráfego de rede. Esta atividade
pode ser realizada através de sniffers, programas que capturam datagramas na rede e fazem sua
decodificação. Através dessa atividade são obtidos vários tipos de informação, como, por
exemplo: portas e endereços IP duvidosos; tráfego incompatível com o padrão do protocolo;
requisições HTTP suspeitas etc.

17
 Dentro da análise do tráfego de rede, existem outras que, segundo (Melo, 2009), são de
grande relevância e também devem ser realizadas. Entre elas, podemos citar: atividades de redes
de roteamento; atividades de aplicações que utilizam Raw Socket; e processos inerentes aos
serviços de redes.
O autor discorre também sobre a importância das seguintes análises: estado do sistema
operacional; módulos de kernel; informações de logs; informações de horário do sistema;
informações do disco rígido; e a duplicação do disco. A seguir, passaremos a discutir cada uma
delas.
Ao analisar o sistema operacional, o perito se depara com informações valiosas referentes
à origem e tipo do ataque realizado. Dados como os de processos ativos em memória podem ser
perdidos com o desligamento da máquina, e são necessários para identificar instalações de
malwares ou conexões suspeitas ou não autorizadas.
Os módulos de kernel possuem diversas funções em um sistema; entre elas, a de
interceptar e reescrever as chamadas do sistema operacional. Além disso, um malware pode
assumir a forma um módulo de kernel, comprometendo o desempenho do sistema.
Consequentemente, a busca por dados nos módulos em memória é de extrema importância.
Outra questão importante, é a coleta de informações dos registros do sistema, também
conhecidos por logs. A partir dessa análise, pode-se verificar a ocorrência de fatos, como, por
exemplo, atividades de usuários e processos, e conexões e outras atividades da rede. No entanto,
a investigação pode ser prejudicada, caso a estrutura de registro seja alterada pelo invasor com o
propósito de eliminar vestígios (MELO, 2009).
A averiguação do horário do sistema é importante para que o investigador registre suas
atividades. Assim, suas ações não se confundem com as do próprio invasor. Além disso, é
importante que se faça uma coleta de informações do disco, bem como uma imagem bit a bit do
mesmo, a fim de se obter uma garantia dos dados mais voláteis.
Enfim, se essas análises forem feitas de forma adequada, é possível reconstruir a
comunicação entre o invasor e o sistema atacado, fundando-se uma sequência de eventos que
pode ser comparada com demais informações obtidas no sistema.

18
2.5.2. Network Analysis

Também conhecida como Forense de Rede, a Network Analysis é a técnica de obtenção

de “dados dos demais ativos de rede envolvidos em um incidente de segurança” (MELO, 2009).
Esses dados são posteriormente confrontados com aqueles coletados durante a Live Analysis, e,
dessa forma, auxiliam nas conclusões dos peritos sobre a invasão.
O uso da criptografia combinada com outros recursos, como backdoors, em uma invasão
dificulta o trabalho do perito forense computacional, pois o malware pode até mesmo passar
despercebido por um IDS. Ainda assim, ele deve coletar informações de ativos como, por
exemplo: IDS, IPS, servidores de logs e conexões capturadas por sniffers.
Durante a Network Analysis, alguns fatores devem ser observados. Dentre eles, Sandro
Melo (2009), cita: técnicas de levantamento de dados, como footprint, fingerprint e port scanner;
confirmação de invasão ou malwareautomatizado; serviço utilizado para realizar a invasão;
vulnerabilidades exploradas; origem da ameaça; tipo de usuário que realizou o ataque; possíveis
falhas de segurança; instalação de backdoors ou rootkits; e tentativas de eliminação de rastros
(cleanlogs).
Esses pontos acima mencionados são, comumente, seguidos em forma de questões, para
que o perito forense computacional possa tentar respondê-las ao entrar em ação na busca por
evidências. Conforme o contexto do incidente, as questões podem variar, proporcionando ao
investigador diferentes resultados.
(Melo, 2009) aponta que a Network Analysis ocorre em dois momentos diferentes. O
primeiro acontece com a busca por informações de comunicação de redes do servidor periciado,
enquanto o segundo se dá quando o investigador adquire dados sobre demais ativos de rede,
como servidores de logs, roteadores, IDS ou firewalls.
A primeira questão a ser verificada durante uma Network Analysis é o horário dos
registros de logs e sua concomitância. Em seguida, o perito deve observar os arquivos do tipo
PCAP, identificando o momento de início da atividade.
Segundo Melo (2009), recomenda-se que os arquivos de log sejam separados de acordo
com determinados intervalos de tempo, devido ao seu tamanho, possibilitando uma análise
pormenorizada e precisa. Cabe lembrar que também relevante é analisar conexões obtidas
através de ferramentas de detecção de intrusos, bem como a reprodução das sessões ocorridas à
época do ataque.

19
 Além disso, realizar análises estatísticas é uma forma de identificar atividades suspeitas
ou incomuns no sistema, pois elas se distinguem facilmente daquelas realizadas com
habitualidade, atraindo a atenção do investigador forense.

2.5.3. Post Mortem Analysis

A última etapa de análise da perícia forense computacional é também a mais longa, pois
nela deve ser realizado um confronto entre as informações obtidas nas duas primeiras etapas. Por
outro lado, sua complexidade proporciona evidências com ricas em detalhes, principalmente
durante a análise da imagem do disco rígido.
De acordo com Sandro Melo (2009), a primeira atividade a ser executada pelo perito, é a
extração de todas as cadeias de caracteres dos arquivos inerentes ao ataque. Assim, será possível
elencar nomes de arquivos e diretórios, resíduos de textos não sobrescritos nos slackspaces e de
arquivos alojados em áreas não alocadas.
Em seguida, esclarece o autor que a imagem do disco rígido deve ser dividida em 5
camadas, sendo elas: física, de dados, de sistema de arquivos, de metadados, e de arquivos.
A camada física contém informações básicas do disco, bem como de dispositivos de
armazenamento de dados, como, por exemplo, o próprio disco rígido e outras mídias. Ao serem
criadas, as imagens devem passar por exame de integridade.
Na camada de dados, o perito adquire informações a respeito do particionamento, bem
como do boot. Essa fase de análise se dá a partir da coleta bit a bit de mecanismos de
armazenamento. Nela, o perito deve verificar características básicas de uma imagem, como
tamanho e estrutura, além de montar imagens com múltiplas partições.
Já durante a análise da camada de sistema de arquivos, é necessário que o investigador
busque informações inerentes à própria estrutura de arquivos do sistema. Para isso, deve executar
sua pesquisa através de informações estatísticas sobre a organização da partição, bem como
sobre a estrutura de journaling.
Metadados é a camada que fornece informações sobre elementos manipulados ou
inseridos em áreas relacionadas ao incidente. Devem-se utilizar ferramentas capazes de mostrar
informações estruturais, bem como de criar timelines.

20
 Por fim, a análise da camada de arquivos é considerada a mais demorada. Durante a
execução dessa atividade, é importante que se obtenha informações sobre blocos de dados, áreas
alocadas, não alocadas e slackspace. Também se devem examinar dados de arquivos e diretórios
em imagens, ordená-los conforme o formato, buscar malwares, e recuperar arquivos a partir de
assinaturas e imagens.
Durante a Post Mortem Analysis, o disco rígido deve ser minuciosamente examinado,
tendo em vista que cada uma de suas partições contém informações relevantes para a perícia
forense. Para isso, o investigador deve conhecer a “geometria do disco, ou seja, o número de
cilindros, cabeças e setores para documentação” (MELO, 2009, p. 58), além dos espaços entre as
partições e da enumeração de setores, cujo intuito é a autenticação do disco original. Deste
modo, o perito poderá identificar com maior facilidade dados ocultos pelo invasor, ou mesmo
indícios de informações que foram apagadas.
Quando o perito conhece, detalhadamente, cada um desses aspectos do disco rígido, ele é
capaz de recuperar arquivos apagados ou que foram sobrescritos de forma parcial.
O exame de sistemas de arquivos é indispensável para a Post Mortem Analysis,
porquanto permite a reconstrução de eventos inerentes a um ataque.
Essa reconstrução se dá com a utilização de mactimes, isto é, marcas de tempo de
arquivos. Assim, é possível obter indícios de que dados foram acessados ou modificados, além
de programas que foram executados pelo atacante no sistema invadido.
Caso seja necessário, o perito também deve buscar identificar informações que foram
escondidas pelo atacante. De acordo com Sandro Melo (2009), isso é possível através de
combinações de nomes de diretórios com caracteres da tabela ASCII, ou, em outros casos, por
meio de inserção de dados em arquivos core.
Além disso, o autor fala sobre a importância de arquivos temporários e excluídos para a
Post Mortem Analysis. Os arquivos temporários funcionam como um esboço para os arquivos
finais com os controles da aplicação, sendo fontes valiosas de informação.
Identificar e recuperar arquivos excluídos é uma atividade de alta relevância para a
perícia forense computacional. E é possível realizá-la, visto que, através de comandos de
exclusão, um arquivo não é efetivamente extinto, conservando-se em uma área específica até que
outra informação seja gravada naquele mesmo espaço. Áreas não alocadas, conhecidas como
slackspace, também são fontes de informações significantes.

21
 Para concluir a Post Mortem Analysis, o investigador deve identificar arquivos
manipulados ou corrompidos, além da presença de arquivos maliciosos deixados pelo atacante
no sistema invadido. Para isso, são utilizadas ferramentas como: rastreadores de funções,
emuladores de máquinas, analisadores lógicos, ou até mesmo programas de monitoramento de
tráfego de rede.
Enfim, se for realizada uma análise dinâmica, em tempo real, o perito pode obter
resultados mais rápidos e precisos, sendo possível até mesmo observar o funcionamento
completo do malware em questão, com base no estudo das mudanças provocadas no sistema.
Esclarecidos os detalhes e a importância da perícia forense computacional, passemos
agora a estudar um cenário de segurança que contribui para o trabalho dos peritos.

22
CAPÍTULO III: CONCLUSÃO E REFERENCIAS BIBLIOGRÁFICAS

3.1. Conclusão

Com os avanços tecnológicos na troca de informações entre pessoas, corporações e

empresas, os crimes relacionados à informática se espalharam. Os distintos tipos de se realizar a
intrusão continuarão a aumentar nos próximos anos, muitas empresas oferecerão treinamentos na
aquisição, examinação e na utilização correta das evidências eletrônicas.
O campo de Análise Forense aplicada a sistemas computacionais continuará a crescer e
se desenvolver compreendendo as empresas com profissionais treinados para realizar todos os
procedimentos da perícia forense, com o afinco de combater ameaças internas e externas a suas
corporações, além de analisar e preparar procedimentos protetores para as empresas.
A busca por materiais para esse trabalho mostra a dificuldade que é o tratamento de
questões de segurança e a aquisição de fontes, principalmente quando falamos de crimes na
internet.
Diante do exposto neste trabalho, foi possível perceber crescente a importância da
computação forense para a segurança da informação. Atualmente, qualquer pessoa ou
organização pode ser alvo de ataques e invasões digitais.
Criminosos realizam esse tipo de atividade, seja para obter vantagens, seja para o furto de
informações, ou, em alguns casos, pela simples intenção de prejudicar terceiros.
Vimos que, através da perícia forense computacional, é possível obter todo tipo de
informações sobre os recursos utilizados, a forma como se deu, o horário e, até mesmo, a origem
da invasão. Isso possibilita às vítimas decidirem ou não dar seguimento judicial ao caso, ou, no
mínimo, procurarem adquirir formas atualizadas de segurança.
Pôde-se perceber também que a análise forense computacional, apesar de ser eficiente
para a maioria dos casos em que é utilizada, também é muito complexa e trabalhosa. Em
determinadas situações, todo o esforço não é recompensado pelos resultados, considerando que
as informações tratadas podem ser extremamente voláteis.
Assim, é importante que seja realizada a segurança de todos os sistemas e redes utilizados
por uma organização, ou mesmo por um usuário comum. Essa segurança deve ser planejada e

23
executada de forma concisa e eficiente, tendo em vista que uma simples ferramenta de detecção
de invasões instalada em uma máquina, não é suficiente para impedir a realização de danos.
Entretanto, percebemos que, mesmo com o auxílio dos dispositivos mais modernos
disponíveis no mercado, sejam softwares livres ou proprietários, criminosos ainda conseguem
driblar a segurança e invadir sistemas, praticando fraudes, ameaças, roubo de senhas e outras
informações restritas, espionagem industrial, crimes contra a honra, entre outros ilícitos.
Isso se dá, como visto anteriormente, devido ao desenvolvimento tecnológico, que torna
cada vez mais fácil o acesso e a utilização de computadores, aplicações e, até mesmo, linguagens
de programação.
Em outras palavras, conforme as tecnologias de segurança e investigação aumentam,
também cresce o número de ataques e outras atividades ilícitas, realizadas por criminosos cada
vez mais atualizados.
Portanto, podemos concluir que, mesmo que a computação forense não seja a forma mais
eficaz de prevenção a incidentes de segurança, ela ainda é indispensável para o bom
funcionamento das organizações modernas.
Finalmente, tendo em vista a novidade do tema em questão, também é muito escassa
literatura sobre o mesmo. Dessa forma, seria interessante a continuidade do presente trabalho, de
modo a aprofundar o estudo das técnicas de investigação da computação forense.

24
3.2. Referencias bibliográficas

 BASTA, Alfred, BASTA, Nadine, BROWN, Mary. (2015). Segurança de Computadores

e Testes de Invasão. Tradução: Lizandra Magnon de Almeida. Cengage Learning Edições
LTDA.
 BARROS; LEHFELD, BARROS, Aidil Jesus Paes; LEHFELD, Neide Aparecida de
Souza. (1986) “FUNDAMENTOS DE METODOLOGIA: UM GUIA PARA A
INICIACAO CIENTIíICA”. 2 º Edição. São Paulo: MCGRAW-HILL.
 DOS REIS, M. A. (2003). “Forense computacional e sua aplicação em segurança
imunológica”. Tese de Mestrado, Universidade Estadual de Campinas.
 ELEUTÉRIO, Pedro Monteiro da Silva, MACHADO, Marcio Pereira. (2011).
Desvendando a Computação Forense. 1ª ed. São Paulo: Novatec.
 GEUS, P. L., Reis, M. A. (2002). “Análise forense de intrusões em sistemas
computacionais: técnicas, procedimentos e ferramentas”. Anais do I Seminário Nacional
de Perícia em Crimes de Informática. Maceió. AL.
 KENT, K. et al. (2006) Guide to integrating forensic techniques into incident response:
recomendations of the National Institute of Standards and Technology. Special
publication. Gaithersburg: NIST
 KENNEALLY, Erin. (2002). Computer Forensics – Beyond the Buzzword. ;login:, v.27,
n. 4, agosto. p. 8-11.
 MELO, Sandro. (2009). Computação Forense com Software Livre. Rio de Janeiro: Alta
Books. 1ª edição.
 MERCURI, Rebecca T. (2005). Challenges in Forensic Computing. Communications of
the ACM. ACM.
 NOBLETT, Michel G., POLLITT, Mark M., PRESLEY, Lawrence A. (2000).
“Recovering and Examining Computer Forensic Evidence”. Forense Science
Communications, Federal Bureau of Investigation; Outubro, Vol. 2 N.4.
 QUEIROZ, Claudemir e VARGAS, Raffael; (2010). Investigação e Perícia Forense
Computacional. 1. ed. Rio de Janeiro: Brazport.

25
 RAMOS, Rodrigo. (2004). Cenário Proposto I. Evidência Digital, v. 3, julho, agosto e
setembr. p. 49-51.
 SILBERSCHATZ, A., GALVIN, P. (1998). “Operating System Concepts”. John Wiley
& Sons. New york. 5 Edição.
 TANENBAUM, Andrew S. (1997). “Redes de Computadores”. 5º edição. Rio de Janeiro:
Campus.
 VACCA, John R. (2005). “Computer forensics: computer crime cene investigation”. 2.
ed. Boston: Charles River Media.
 WARREN; KRUSE, 2002 “Computer Forensics: Incident Response Essentials”.
Addison-Wesley, Massachusetts.

26