Escolar Documentos
Profissional Documentos
Cultura Documentos
Conceitos de Investigação Forense
Conceitos de Investigação Forense
BEIRA
2022
UNIVERSIDADE ZAMBEZE
Discentes:
Edgar Amad
Docente:
Eng.
BEIRA
2022
Índice
CAPÍTULO I: INTRODUÇÃO.......................................................................................................3
1.1. Introdução.........................................................................................................................3
1.2. Objetivos...........................................................................................................................4
1.3. Metodologia......................................................................................................................4
3.1. Conclusão........................................................................................................................23
1.1. Introdução
A Ciência Forense é uma área interdisciplinar que, de acordo com Vallim (2019), reúne
estudos de conhecimentos técnicos e científicos de diversas áreas como criminologia,
computação, psicologia, medicina legal entre outras áreas, que apoiam na busca pela verdade em
investigações relativas à justiça civil e criminal. O profissional qualificado em qualquer dos
campos de atuação da Ciência Forense é responsável por examinar o local do crime em busca de
evidências que comprovem o que de fato ocorreu e quem são os indivíduos envolvidos no caso.
Segundo o Dicionário Priberam da Língua Portuguesa (2011), a palavra “forense”
significa “de foro judicial” ou “dos tribunais ou a ele relativos”, com esse conceito, entende-se
que todas as práticas forenses, de alguma forma, sempre estão ligadas ao cumprimento da lei, ou
à constituição, sendo em suma, uma prática policial e investigativa, independente da área de
atuação do perito forense.
Com a popularização da internet em todo o mundo, milhares de pessoas começaram a se
utilizar deste meio. Contemporaneamente se percebe que nem todos a utilizam de maneira
sensata, e acreditando que a internet é um espaço livre, acabam por exceder em suas condutas e
criando novas modalidades de delito: os crimes virtuais. (PINHEIRO, 2000, p.1).
A computação forense tem a alçada de provar que um delito foi cometido utilizando
recursos computacionais, de um modo onde os resultados obtidos com a perícia técnica não
despertem dúvidas em relação a sua integridade. A crescente leva de crimes cometidos por meios
informáticos é motivada, em grande parte das ocasiões, pelo fato das vítimas se tratarem de
pessoas leigas no que se refere à segurança de seus dados pessoais em sistemas computacionais.
Além disso, existe o fato de as pessoas acreditarem que possuem o anonimato garantido na
Internet, estando livres para fazer qualquer coisa, e que não haverá punição fora dela. (LISITA;
MOURA; PINTO, 2009).
No meio empresarial, ou no ambiente corporativo, como abordado neste trabalho, a
informação torna-se o centro das atenções, o bem mais importante da empresa, Campos (2007)
comprova esta afirmação dizendo que “a informação é um elemento essencial para a geração do
conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio,
dentro de cada um de seus processos.”
3
Dito por Carvalho (2005) os crimes virtuais já são realidade, podendo atingir desde
pessoas simples que possuem uma conta bancária até grandes empresas que têm informações
confidenciais que possuem valor comercial (informações essas, que em caso de se tornarem
públicas, podem representar danos materiais enormes para a corporação).
Sendo assim, surge a necessidade de se identificar, mensurar e registrar esses tipos de
atividades, que em geral são chamados de incidentes de segurança. (CARVALHO, 2005, p.9).
1.2. Objetivos
1.3. Metodologia
4
CAPÍTULO II: REVISÃO BIBLIOGRÁFICA
Uma rede pode ser definida como um conjunto de dispositivos conectados por links de
comunicação, duas ou mais redes que se comunicam entre si são consideradas uma internet.
Forouzan (2008). Dado esses conceitos, destaca-se que a internet mais conhecida atualmente é a
Internet (note com I maiúsculo), ela garante a conexão de milhares de dispositivos
computacionais no mundo todo. Até a década de 1960 de acordo com Kurose (2010) a rede
telefônica era a rede de comunicação dominante no mundo inteiro, mas com o surgimento da
World Wide Web em 1990, a Internet foi levada para os lares e empresas de milhões de pessoas
revolucionando a forma de se comunicar garantindo rapidez e facilidade na troca de informações.
A Internet que utilizamos hoje evoluiu muito desde o seu surgimento, em consequência
do avanço da tecnologia além dos computadores de mesa, outros diversos dispositivos como
notebooks, celulares, tablets, televisores, câmeras e, até equipamentos domésticos como
geladeiras, cafeteiras e lavadoras passaram a utilizar da Internet para as mais diversas
funcionalidades.
Os criminosos exploram as vulnerabilidades dos sistemas para concretizarem os ataques em
busca de informações valiosas, em Stallings (2014) os ataques à segurança são classificados
como ataques passivos e ataques ativos, onde os passivos têm a característica de descobrir ou
utilizar informações do sistema sem que os recursos computacionais sejam afetados, já os ativos
tentam alterar recursos do sistema ou afetar sua operação.
Para contornar a ocorrência desses incidentes Stallings (2014) aponta que a área de
segurança de rede e de Internet visa desviar, prevenir, detectar e corrigir violações de segurança
que envolvam a transmissão de informações e ainda diz que a segurança computacional baseia-se
em três pilares, sendo eles a confidencialidade, integridade e disponibilidade. Conhecidos como
a tríade CIA (do inglês Confidentiality, Integrity and Availability), esses pilares apresentam os
objetivos fundamentais da segurança tanto para dados, quanto para serviços de informação e
computação. A confidencialidade está relacionada a privacidade dos dados, que busca garantir
que as informações sejam compartilhadas apenas com os que tiverem autorização de acesso,
aqui, muitas vezes, envolve que os dados sejam cifrados, a fim de impedir que uma mensagem
que caia em mãos erradas seja entendida. Já a integridade condiz com garantir que uma
5
mensagem enviada pelo transmissor chegue ao receptor sem que dados tenham sido alterados,
perdidos ou roubados.
Por sua vez, a disponibilidade consiste em dispor de acesso aos dados de forma rápida e
confiável.
A implementação efetiva das metas de segurança envolve a utilização de duas técnicas
predominantes atualmente, a criptografia e a esteganografia. A criptografia além de
confidencialidade provê autenticação, integridade de mensagem, não repudiação e controle de
acesso.
De origem grega, a palavra significa “escrita secreta” sendo definida como a ciência que
utiliza algoritmos matemáticos para codificar e decodificar dados, a fim de impedir que pessoas
não autorizadas tenham entendimento da mensagem transmitida em um meio de comunicação. Já
a esteganografia significa “escrita oculta” que diferentemente da criptografia que esconde o
conteúdo de uma mensagem por meio de cifração, oculta a mensagem em si, encobrindo-a com
alguma outra coisa, (Forouzan, 2013).
Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital
em inúmeros pontos do processo. Apesar de o objetivo central ser praticamente o mesmo.
A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois
em um processo de análise forense existe uma preocupação legal, não só uma preocupação
técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada
uma dessas operações. A análise forense procura chegar numa conclusão final, que permita
apresentar um relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele
país, pois o mesmo será utilizado para embasar uma decisão judicial, que precisa estar de acordo
com os aspectos legais de um processo válido. Do contrário, a investigação não alcançará seu
objetivo, que é fundamentar ou desmentir uma hipótese apresentada durante a análise do caso.
Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem
como a reação às novas ameaças. O que acaba dificultando o processo de investigação, pois
ainda se utiliza leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma
completamente diferente, com artefatos diferentes, objetivos e métodos diversos.
6
Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas
utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu
trabalho em descobrir e analisar as evidências de forma mais técnica e aprofundada, não se
preocupando em demasia com os apectos legais de todo o processo.
A origem da forense computacional, remonta à década de 80, quando os computadores
tornam-se mais populares, principalmente em países de primeiro mundo.
Em 1984, o CART surgiu, como resposta do FBI aos incidentes computacionais cada vez
mais frequentes com o surgimento da ARPANET.
O CART é o Computer Analysis and Response Team, o primeiro grupo de resposta a
incidentes, surgido com o objetivo de lidar com crimes computacionais.
Em 1991, ocorre o primeiro encontro de International Law Enforcement, organizado para
conduzir a discussão sobre forense computacional e a necessidade de padronizar uma
metodologia de atuação.
Logo depois, em 1997, o Scientific Working Group on Digital Evidence (SWGDE) foi
estabelecido, com o objetivo de desenvolver a padronização discutida no evente do 1994.
E em 2001, ocorreu o primeiro Digital Forensic Research Workshop, que atualmente
possui uma periodicidade anual, e conta com palestrantes de diversos lugares, assim como
desafios onde qualquer pessoa pode participar, para praticar e testar seus conhecimentos de
forense computacional.
Segundo Eleutério e Machado (2011) Computação Forense é uma ciência que obtém,
preserva e documenta evidências de dispositivos de armazenamento digital, como computadores,
PDAs, câmeras digitais, telefones celulares e vários dispositivos de armazenamento de memória.
Esses autores organizam a Computação Forense em 4 etapas principais: Coleta, Exame, Análise
e Relatório.
7
Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e
coletar os dados e evidências físicas relacionadas com o incidente que está sendo
investigado, enquanto estabelece e mantem a integridade das provas.
Exame: identificar e extrair as informações relevantes a partir dos dados
coletados utilizando ferramentas e técnicas forenses adequadas.
Análise: Analisar os resultados do exame para gerar respostas úteis para as
questões apresentadas nas fases anteriores.
Relatório (Resultados): inclui encontrar relevância para o caso. Nessa etapa
também é redigido o laudo pericial, o qual deve ter conclusão imparcial, clara e
concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil
interpretação por uma pessoa comum, de conhecimento médio.
De acordo com J. Thorton [THORTON, 1997], a ciência forense é exercida em favor da
lei para uma justa resolução de um conflito. Em outras palavras, seria aquela que se baseia em
procedimentos científicos para obtenção de informações que possam ser úteis durante uma
disputa judicial. Este termo é muito comum no meio policial e até poucos anos atrás não se tinha
qualquer relação com o meio computacional.
De acordo com o Manual de Patologia Forense do Colégio de Patologistas Americanos
(1990), a ciência forense é “a aplicação de princípios das ciências físicas ao direito na busca da
verdade em questões cíveis, criminais e de comportamento social para que não se cometam
injustiças contra qualquer membro da sociedade”.
A forense computacional foi criada em função dessa nova vertente de crime para apoiar
as instituições legais, na aplicação da justiça. Sendo a ciência que compreende a aquisição,
preservação, identificação, restauração, análise e documentação de evidências computacionais
[NOBLETT, 2000], através da:
Coletas de informações: na coleta evidências para análise existem dois perigos: perda e
alteração [Atílio, 2003]. Se cuidados necessários não forem tomados, dados relevantes a
análise podem ser sobrescritos e/ou apagados;
Reconhecimento das evidências: caracterização da ameaça e seus efeitos nos sistemas
alvos;
Coleta, restauração, documentação e preservação das evidências encontradas;
8
Correlação das evidências: retomada das atividades em andamento antes do incidente
ocorrer. E restauração de dados se necessário;
Reconstrução dos eventos: correlacionamento de logs, recuperação de arquivos apagados,
analise de artefatos encontrados no sistema;
O processo de análise, como em outras disciplinas forenses, deve ser metódico e seguir
procedimentos previamente testados e validados cientificamente, de forma que todos os
resultados obtidos na fase de análise sejam passíveis de reprodução. A análise forense pode ser
dividida em duas partes: a análise física e a lógica [Freitas, 2003].
A análise física é a pesquisa de sequências e a extração dos dados, onde são investigados
os dados brutos do equipamento de armazenamento. Em alguns casos, a análise forense inicia-se
a partir dessa investigação, quando o objeto de análise é o conteúdo de um disco rígido
desconhecido.
Para tal, deve-se manter o objeto de estudo intacto, utilizando-se para isso softwares de
criação de imagens que criam uma cópia idêntica ao do objeto de estudo, fixando as provas do
sistema. Os dados podem ser investigados e analisados através dos seguintes processos:
• Pesquisa de sequência: é feito uma pesquisa de sequências de byte em todo sistema,
retornando o conteúdo da pesquisa de sequências e o deslocamento de byte do início do
arquivo;
• Busca e Extração: é a pesquisa mais especializada de sequências, onde se analisa uma
evidência em busca de cabeçalhos dos tipos de arquivos, de acordo com o tipo que
estiver sendo analisado;
• Extração de Espaços Subaproveitados e Livre de Arquivos: é a extração do espaço
dos resíduos dos sistemas que são classificados de resíduos livre e resíduos
subaproveitados, através de uma ferramenta que distingue a estrutura particular desses
sistemas de arquivos.
Todos esses processos são realizados nas evidências ou copias restauradas.
9
As pesquisas de sequências produzem listas de dados, que serão úteis em fases posteriores,
algumas dessas informações são:
• As URL’s encontradas nas evidências;
• Endereços de e-mail encontrado no dispositivo de armazenamento;
• Entre outros;
De acordo com Eleutério e Machado (2001), é fundamental que os dados contidos nos
dispositivos (mídias digitais e dispositivos de armazenamento) e os dados voláteis (aqueles que
constam na memória RAM ou trafegando em rede de computadores), possíveis fontes de
evidências digitais, permaneçam coletados e preservados corretamente, de maneira a garantir que
não seja alterado.
Nessa fase de preservação e coleta que será possível buscar elementos (dados, mídias de
armazenamento, entre outros) de maneira a consolidar uma base investigativa para as fases
seguintes da perícia.
10
Técnicas de Imagem e Espelhamento
De maneira geral, os exames forenses devem ser efetuados em cima de duplicatas idênticas,
as quais são obtidas dos materiais questionados originalmente apreendidos e submetidas a
exames forenses. Dessa forma, deverão ser aplicadas ferramentas e técnicas que efetuem uma
cópia fidedigna dos dados e mantenham a integridade do material apreendido (ELEUTÉRIO;
MACHADO, 2011).
Imagem e Espelhamento são técnicas de duplicação/cópia utilizadas na fase de coleta. Essas
técnicas, ao serem realizadas através de softwares e equipamentos forenses, garantem uma cópia
fiel dos dados e consequentemente a preservação correta do material que foi apreendido
(ELEUTÉRIO; MACHADO, 2011).
11
O software Forensic ToolKit (FTK) e o software Encase são soluções proprietárias
compatíveis com o Windows. Ambas possuem diversas funcionalidades que possibilitam a
realização de diversas técnicas para perícia forense computacional.
Já como opções para Linux, o autor destaca a utilidade de alguns softwares para a etapa
de preservação e coleta: DC3DD e Guymager, e destaca também os sistemas Linux CAINE e
FDTK-Ubuntu para mesma finalidade. (ELEUTÉRIO; MACHADO, 2011).
12
placa de rede em modo promíscuo, possibilitando a um maior alcance da captura de pacotes,
além das funcionalidades de exportar pacotes para uma posterior análise. O software Wireshark é
Open Source e disponível para diversas plataformas.
13
estaticamente ou dinamicamente, conseguindo assim ter acesso a parte protegida do software, e
consequentemente a informação deseja pela perícia.
Engenharia social é um método de ataque, no qual alguém faz uso da persuasão, diversas
vezes abusando da ingenuidade ou confiança do usuário, com a finalidade de obter informações
que possam ser utilizadas no acesso não autorizado a computadores ou informações. (SOCIAL-
ENGINEER, 2015).
Segundo Eleutério e Machado (2011), em um ambiente no qual os arquivos são
protegidos por senha e os seus usuários são acessíveis da equipe de investigação, a técnica de
engenharia social pode ajudar neste processo de acesso as senhas, facilitando o trabalho pericial.
Já o Ataque de força bruta consiste em utilizar um dicionário de senhas, testando cada
senha de forma automática, a fim de localizar uma possível senha dentro do dicionário utilizado.
Um dos softwares mais utilizado para força bruta é ElcomSoft Password Recovery.
(ELEUTÉRIO; MACHADO, 2011)
14
exatamente o quê deve ser buscado, para dessa forma, evitar desperdício de trabalho dos peritos.
(ALMEIDA, 2011).
A forense computacional apresenta-se por dois tipos principais, que possuem aplicações e
utilidades únicas para determinado objetivo, mas que podem ser utilizadas em conjunto para que
uma perícia seja bem efetuada, sendo elas forense estática, ou static forensic, e forense dinâmica,
ou live forensic. (MRDOVIC et al., 2011).
As aplicações da forense podem ser derivadas em vários casos, e como (Tavares, 2010)
exemplifica, a forense pode ser utilizada para:
Fins legais, como casos de espionagem industrial, política, diplomática, etc. Casos como
este também podem ser considerados cyber terrorismo, onde por influência política
diplomática, são utilizadas técnicas de invasão para se obter vantagens ou influências
políticas, ou socioeconômicas.
Em ações disciplinares internas, como uso indevido de recursos da
instituição/corporação/empresa. Comum de ocorrer em corporações grandes ou pequenas,
muitas vezes os funcionários fazem mal uso dos recursos disponíveis, acessando websites
indevidos, ou recorrendo a emails e softwares de mensagens instantâneas, podendo ser
vítimas de engenharia social, e partilhar segredos da corporação que podem levar a danos
muito maiores.
Mais comumente em recorrência de uma ação ilegal intencionalmente ou não, em um
alvo potencial, para investigação, tratamento de evidências, produção de laudos periciais,
e validação de casos criminais.
No todo, Tavares (2010) esclarece que os tipos de forense são classificados pelo tipo de coleta de
dados executada em cada um deles. Por exemplo, para a forense estática, tem-se a característica
de análise e coleta de mídias de dados estáticos, como dispositivos de armazenamento, HDs,
Pendrives, cartões de memória etc.
Na forense dinâmica são analisadas mídias de armazenamento volátil, como memória RAM.
15
2.5. Coleta de evidências
16
memória principal do sistema; tráfego de rede; estado do sistema operacional; dispositivos de
armazenagem secundária; arquivos de registros; análises de malwares identificados.
De acordo com ele, esses dados serão posteriormente utilizados, durante a fase de Post
Mortem Analysis. A primeira etapa, Live Analysis, termina no momento em que o sistema é
desligado, após todas as informações serem coletadas do disco rígido. É, então, realizada uma
cópia bit a bit do mesmo, a qual será utilizada na procura de possíveis evidências para a perícia
forense.
O autor ainda aponta que pode haver dificuldades na geração da imagem do disco rígido,
como nos casos em que o desligamento da máquina influencia o funcionamento da organização,
ou quando o disco possui volume muito grande de dados. Embora existam riscos, a tomada
dessas medidas é necessária.
Vale lembrar também que, quando se trata de dispositivos periféricos, é importante que a
coleta de evidências seja feita durante a Live Analysis, tendo em vista que, após o desligamento
do sistema, certas informações podem não ser mais encontradas.
Para a busca de dados periciais na memória principal do sistema, investigadores
comumente utilizam dumps de memória através da geração de core files ou crash dumps, pois
nela se encontram informações voláteis, como processos em execução, dados manipulados, entre
outras informações ainda não salvas em disco.
Ao ser executado, o processo do dump é alocado na memória, alterando parte das
informações obtidas. Mas isso não impede a verificação dos processos que se encontravam ativos
na memória no momento da coleta.
Os crash dumps são fontes úteis de dados, pois possuem “uma imagem da memória do
sistema no momento em que uma falha inesperada acontece, funcionando como uma espécie de
caixa preta do sistema” (MELO, 2009, p. 39). Isso significa que, no momento da falha, os crash
dumps realizam a gravação de todas as informações que se encontravam na memória, permitindo
sua análise posterior.
Sandro (Melo, 2009) expõe a importância da análise do tráfego de rede. Esta atividade
pode ser realizada através de sniffers, programas que capturam datagramas na rede e fazem sua
decodificação. Através dessa atividade são obtidos vários tipos de informação, como, por
exemplo: portas e endereços IP duvidosos; tráfego incompatível com o padrão do protocolo;
requisições HTTP suspeitas etc.
17
Dentro da análise do tráfego de rede, existem outras que, segundo (Melo, 2009), são de
grande relevância e também devem ser realizadas. Entre elas, podemos citar: atividades de redes
de roteamento; atividades de aplicações que utilizam Raw Socket; e processos inerentes aos
serviços de redes.
O autor discorre também sobre a importância das seguintes análises: estado do sistema
operacional; módulos de kernel; informações de logs; informações de horário do sistema;
informações do disco rígido; e a duplicação do disco. A seguir, passaremos a discutir cada uma
delas.
Ao analisar o sistema operacional, o perito se depara com informações valiosas referentes
à origem e tipo do ataque realizado. Dados como os de processos ativos em memória podem ser
perdidos com o desligamento da máquina, e são necessários para identificar instalações de
malwares ou conexões suspeitas ou não autorizadas.
Os módulos de kernel possuem diversas funções em um sistema; entre elas, a de
interceptar e reescrever as chamadas do sistema operacional. Além disso, um malware pode
assumir a forma um módulo de kernel, comprometendo o desempenho do sistema.
Consequentemente, a busca por dados nos módulos em memória é de extrema importância.
Outra questão importante, é a coleta de informações dos registros do sistema, também
conhecidos por logs. A partir dessa análise, pode-se verificar a ocorrência de fatos, como, por
exemplo, atividades de usuários e processos, e conexões e outras atividades da rede. No entanto,
a investigação pode ser prejudicada, caso a estrutura de registro seja alterada pelo invasor com o
propósito de eliminar vestígios (MELO, 2009).
A averiguação do horário do sistema é importante para que o investigador registre suas
atividades. Assim, suas ações não se confundem com as do próprio invasor. Além disso, é
importante que se faça uma coleta de informações do disco, bem como uma imagem bit a bit do
mesmo, a fim de se obter uma garantia dos dados mais voláteis.
Enfim, se essas análises forem feitas de forma adequada, é possível reconstruir a
comunicação entre o invasor e o sistema atacado, fundando-se uma sequência de eventos que
pode ser comparada com demais informações obtidas no sistema.
18
2.5.2. Network Analysis
19
Além disso, realizar análises estatísticas é uma forma de identificar atividades suspeitas
ou incomuns no sistema, pois elas se distinguem facilmente daquelas realizadas com
habitualidade, atraindo a atenção do investigador forense.
A última etapa de análise da perícia forense computacional é também a mais longa, pois
nela deve ser realizado um confronto entre as informações obtidas nas duas primeiras etapas. Por
outro lado, sua complexidade proporciona evidências com ricas em detalhes, principalmente
durante a análise da imagem do disco rígido.
De acordo com Sandro Melo (2009), a primeira atividade a ser executada pelo perito, é a
extração de todas as cadeias de caracteres dos arquivos inerentes ao ataque. Assim, será possível
elencar nomes de arquivos e diretórios, resíduos de textos não sobrescritos nos slackspaces e de
arquivos alojados em áreas não alocadas.
Em seguida, esclarece o autor que a imagem do disco rígido deve ser dividida em 5
camadas, sendo elas: física, de dados, de sistema de arquivos, de metadados, e de arquivos.
A camada física contém informações básicas do disco, bem como de dispositivos de
armazenamento de dados, como, por exemplo, o próprio disco rígido e outras mídias. Ao serem
criadas, as imagens devem passar por exame de integridade.
Na camada de dados, o perito adquire informações a respeito do particionamento, bem
como do boot. Essa fase de análise se dá a partir da coleta bit a bit de mecanismos de
armazenamento. Nela, o perito deve verificar características básicas de uma imagem, como
tamanho e estrutura, além de montar imagens com múltiplas partições.
Já durante a análise da camada de sistema de arquivos, é necessário que o investigador
busque informações inerentes à própria estrutura de arquivos do sistema. Para isso, deve executar
sua pesquisa através de informações estatísticas sobre a organização da partição, bem como
sobre a estrutura de journaling.
Metadados é a camada que fornece informações sobre elementos manipulados ou
inseridos em áreas relacionadas ao incidente. Devem-se utilizar ferramentas capazes de mostrar
informações estruturais, bem como de criar timelines.
20
Por fim, a análise da camada de arquivos é considerada a mais demorada. Durante a
execução dessa atividade, é importante que se obtenha informações sobre blocos de dados, áreas
alocadas, não alocadas e slackspace. Também se devem examinar dados de arquivos e diretórios
em imagens, ordená-los conforme o formato, buscar malwares, e recuperar arquivos a partir de
assinaturas e imagens.
Durante a Post Mortem Analysis, o disco rígido deve ser minuciosamente examinado,
tendo em vista que cada uma de suas partições contém informações relevantes para a perícia
forense. Para isso, o investigador deve conhecer a “geometria do disco, ou seja, o número de
cilindros, cabeças e setores para documentação” (MELO, 2009, p. 58), além dos espaços entre as
partições e da enumeração de setores, cujo intuito é a autenticação do disco original. Deste
modo, o perito poderá identificar com maior facilidade dados ocultos pelo invasor, ou mesmo
indícios de informações que foram apagadas.
Quando o perito conhece, detalhadamente, cada um desses aspectos do disco rígido, ele é
capaz de recuperar arquivos apagados ou que foram sobrescritos de forma parcial.
O exame de sistemas de arquivos é indispensável para a Post Mortem Analysis,
porquanto permite a reconstrução de eventos inerentes a um ataque.
Essa reconstrução se dá com a utilização de mactimes, isto é, marcas de tempo de
arquivos. Assim, é possível obter indícios de que dados foram acessados ou modificados, além
de programas que foram executados pelo atacante no sistema invadido.
Caso seja necessário, o perito também deve buscar identificar informações que foram
escondidas pelo atacante. De acordo com Sandro Melo (2009), isso é possível através de
combinações de nomes de diretórios com caracteres da tabela ASCII, ou, em outros casos, por
meio de inserção de dados em arquivos core.
Além disso, o autor fala sobre a importância de arquivos temporários e excluídos para a
Post Mortem Analysis. Os arquivos temporários funcionam como um esboço para os arquivos
finais com os controles da aplicação, sendo fontes valiosas de informação.
Identificar e recuperar arquivos excluídos é uma atividade de alta relevância para a
perícia forense computacional. E é possível realizá-la, visto que, através de comandos de
exclusão, um arquivo não é efetivamente extinto, conservando-se em uma área específica até que
outra informação seja gravada naquele mesmo espaço. Áreas não alocadas, conhecidas como
slackspace, também são fontes de informações significantes.
21
Para concluir a Post Mortem Analysis, o investigador deve identificar arquivos
manipulados ou corrompidos, além da presença de arquivos maliciosos deixados pelo atacante
no sistema invadido. Para isso, são utilizadas ferramentas como: rastreadores de funções,
emuladores de máquinas, analisadores lógicos, ou até mesmo programas de monitoramento de
tráfego de rede.
Enfim, se for realizada uma análise dinâmica, em tempo real, o perito pode obter
resultados mais rápidos e precisos, sendo possível até mesmo observar o funcionamento
completo do malware em questão, com base no estudo das mudanças provocadas no sistema.
Esclarecidos os detalhes e a importância da perícia forense computacional, passemos
agora a estudar um cenário de segurança que contribui para o trabalho dos peritos.
22
CAPÍTULO III: CONCLUSÃO E REFERENCIAS BIBLIOGRÁFICAS
3.1. Conclusão
23
executada de forma concisa e eficiente, tendo em vista que uma simples ferramenta de detecção
de invasões instalada em uma máquina, não é suficiente para impedir a realização de danos.
Entretanto, percebemos que, mesmo com o auxílio dos dispositivos mais modernos
disponíveis no mercado, sejam softwares livres ou proprietários, criminosos ainda conseguem
driblar a segurança e invadir sistemas, praticando fraudes, ameaças, roubo de senhas e outras
informações restritas, espionagem industrial, crimes contra a honra, entre outros ilícitos.
Isso se dá, como visto anteriormente, devido ao desenvolvimento tecnológico, que torna
cada vez mais fácil o acesso e a utilização de computadores, aplicações e, até mesmo, linguagens
de programação.
Em outras palavras, conforme as tecnologias de segurança e investigação aumentam,
também cresce o número de ataques e outras atividades ilícitas, realizadas por criminosos cada
vez mais atualizados.
Portanto, podemos concluir que, mesmo que a computação forense não seja a forma mais
eficaz de prevenção a incidentes de segurança, ela ainda é indispensável para o bom
funcionamento das organizações modernas.
Finalmente, tendo em vista a novidade do tema em questão, também é muito escassa
literatura sobre o mesmo. Dessa forma, seria interessante a continuidade do presente trabalho, de
modo a aprofundar o estudo das técnicas de investigação da computação forense.
24
3.2. Referencias bibliográficas
25
RAMOS, Rodrigo. (2004). Cenário Proposto I. Evidência Digital, v. 3, julho, agosto e
setembr. p. 49-51.
SILBERSCHATZ, A., GALVIN, P. (1998). “Operating System Concepts”. John Wiley
& Sons. New york. 5 Edição.
TANENBAUM, Andrew S. (1997). “Redes de Computadores”. 5º edição. Rio de Janeiro:
Campus.
VACCA, John R. (2005). “Computer forensics: computer crime cene investigation”. 2.
ed. Boston: Charles River Media.
WARREN; KRUSE, 2002 “Computer Forensics: Incident Response Essentials”.
Addison-Wesley, Massachusetts.
26