Material Didático

Análise de Local
na Rede Mundial
Gustavo Pinto Vilar
Perito Criminal Federal
 gustavopintovilar@gmail.com
About me...
• Perito Criminal Federal da Polícia Federal - MJSP.
• Formado em Processamento de Dados e Ciência da Computação pela Associação
Paraibana de Ensino Renovado.
• Pós-graduado em Docência do Ensino Superior pela Universidade Federal do Rio de
Janeiro.
• Atuou no Serviço Público como Papiloscopista Policial Federal e também como Policial
Rodoviário Federal.
• É Oficial da Reserva de 2ª classe do Exército Brasileiro no posto de Primeiro Tenente da
Arma de Cavalaria.
• Trabalhou como Analista de Sistemas na multinacional Xerox do Brasil,
• Foi coordenador de informática na TV Cabo Branco (afiliada da Rede Globo).
• Coautor e revisor dos livros Tratado de Computação Forense, Ciências Forenses - Uma
Introdução Às Principais Áreas Da Criminalística, Polícia científica transformando
vestígios em evidências à luz da cadeia de custódia.
OBJETIVO DA DISCIPLINA
Fornecer subsídios para que o aluno possa, após
uma compreensão inicial dos conceitos,
metodologias e técnicas, aprofundar-se nos
estudos relacionados ao local na Rede Mundial
(Internet).
METODOLOGIA DE ENSINO
➢ Apresentação de slides com os conceitos,

métodos e técnicas relacionados à área.
➢ Discussão dos conteúdos apresentados.
➢ Estudos em grupo.
➢ Exercícios práticos.
PLANO DE AULAS
➢ Apresentação dos principais termos técnicos relacionados a uma análise forense de um

local na Rede Mundial.
➢ Execução dos principais métodos para a realização dessa análise.

PLANO DE AULAS
➢ Exemplos de ferramentas e utilitários.
➢ Atividades práticas serão divididas naquelas em que o professor realizará a

demonstração e nas que serão realizadas pelos próprios alunos através de listas de
exercícios fornecidas.
PRINCIPAIS TÓPICOS
➢ HISTÓRICO DA INTERNET
➢ COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET
➢ PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS
➢ WEB, DEEP WEB E DARK WEB
➢ ANÁLISE DE SÍTIOS DE INTERNET
➢ ANÁLISE DE E-MAILS
➢ ANÁLISE DE NAVEGADORES DE INTERNET
➢ ANONIMIZADORES
AVALIAÇÃO
A avaliação será feita com base nos

exercícios aplicados em sala de aula.
História da Internet, Criminalidade e
Legislação Aplicável
Gustavo Pinto Vilar
PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
História da Internet
➢ A Internet começou a ser desenvolvida após a 2ª Guerra Mundial, em virtude da
Guerra Fria entre Estados Unidos e URSS.
➢ A 2ª Guerra Mundial
➢ Considerada o marco inicial para a chamada Sociedade da Informação.
➢ Acúmulo de conhecimento adquirido em função de estratégias de guerras e da
necessidade de comunicação segura fomentou o desenvolvimento de
ferramentas e códigos que viabilizassem a circulação de informações no meio
militar sem o risco de vazamento que pudesse colocar toda a estratégia em
perigo.
➢ A Guerra Fria
➢ Com o fim da 2ª Guerra, o estabelecimento da Guerra Fria e o mundo marcado
por guerras pontuais com dois polos de comando, a comunicação e a
transmissão de informação passam a ser fator estratégico na política mundial.
➢ O Departamento de Defesa dos EUA desenvolve uma ferramenta capaz de fazer e manter a
comunicação entre as bases militares americanas mesmo que sua sede, o Pentágono, fosse
atingido por um ataque nuclear.
➢ A ArpaNet
➢ Surge a ArpaNet em 1969. Durante a Guerra Fria surgiram
outros importantes inventos hoje por nós utilizados. Na
década de 70 surgem os primeiros computadores pessoais. A
Intel equipa os primeiros microcomputadores com 256 bytes
de memória. E também surgem os primeiros sistemas de
posicionamento global (GPS, em inglês), criados
originalmente para orientar mísseis e guiar tropas por
lugares ermos.
➢ Em 1969 a ArpaNet é apresentada pela empresa Advanced
Research and Projects Agency (ARPA). Seu desenvolvimento
teve por objetivo permitir que os departamentos de pesquisa
fossem conectados uns aos outros.
E-mail (1971)
➢ E-mail
➢ Ray Tomlinson era engenheiro na BBN (Bolt Beranek & Newman), empresa contratada pelo
Departamento de Defesa dos EUA em 1968 para implantar a ARPANet.
➢ Tudo começou em 1971 como uma brincadeira, quando Tomlinson começou a enviar
mensagens a si próprio e aos seus colegas. Tomlinson somou as funcionalidades dos
programas SNDMSG (send message) e do Readmail, para ler correio eletrônico.
➢ Tomlinson também trabalhava no projecto CPYNET, usado para transferência de arquivos
entre computadores ligados em rede. Decidiu juntar os dois programas
➢ Em Março de 1972, Ray Tomlinson escreveu um programa de e-mail adaptado à rede
Arpanet, com as funções send e read, motivado pela necessidade dos técnicos da
ARPANET de ter um fácil mecanismo de comunicação.
➢ Dois anos mais tarde, um estudo indicava que 75% de todo o tráfico de dados na ARPANET
eram e-mails
TCP/IP (1974)
➢ TCP/IP
➢ De 1973 a 1974, o grupo CERF de redes de pesquisas de Stanford trabalhou
os detalhes da ideia do protocolo TCP/IP, resultando em sua primeira
especificação
➢ O protocolo deveria ser capaz de identificar e encontrar a melhor rota
possível entre dois sites (locais), além de ser capaz de procurar rotas
alternativas para chegar ao destino, caso qualquer uma das rotas tivesse
sido destruída. O objetivo principal da elaboração de TCP/IP foi na época,
encontrar um protocolo que pudesse tentar de todas as formas uma
comunicação caso ocorresse uma guerra nuclear.
Modem para PC (1977)
Domain Name System – DNS (1984)
➢ DNS
➢ Domain Name System (Sistema de Nomes de Domínios), funciona como um
sistema de tradução de endereços IP para nomes de domínios
➢ Existem duas formas de acessar uma página na internet: pelo nome de
domínio ou pelo endereço IP dos servidores nos quais ela está hospedada.
Para que você não precise digitar a sequência de números no navegador
sempre que quiser visitar um site, o DNS faz o trabalho pesado de traduzir
as palavras que compõem o URL para o endereço IP do servidor.
➢ WWW
➢ No final da década de 1980, mais especificamente no ano de 1989, Tim
Berners-Lee, cientista do Conselho Europeu de Pesquisas Nucleares, cria
uma nova forma de ver a ARPANET que acabou revolucionando
completamente este meio
➢ A invenção de Berners-Lee nada mais foi do que o WWW, ou seja, World
Wide Web. Este sistema nasceu para ligar as universidades entre si para
que os trabalhos e pesquisas acadêmicos fossem utilizados mutuamente
em um ambiente de contribuição dos lados envolvidos. Este cientista
também é responsável pelo desenvolvimento de duas ferramentas
indispensáveis para a Internet: o código HTML e o protocolo HTTP.
➢ A Internet no Brasil e a RNP
➢ No Brasil, os primeiros embriões de rede surgiram em 1988 e ligavam
universidades do Brasil a instituições nos Estados Unidos
➢ Em 1989, o Ministério da Ciência e Tecnologia lança um projeto pioneiro, a Rede
Nacional de Ensino e Pesquisa (RNP). Existente ainda hoje, a RNP é uma
organização de interesse público cuja principal missão é operar uma rede
acadêmica de alcance nacional.
➢ Em 1995, o governo resolveu abrir o backbone e fornecer conectividade a
provedores de acesso comerciais. A partir dessa decisão, surgiu uma discussão
sobre o papel da RNP como uma rede estritamente acadêmica com acesso livre
para acadêmicos e taxada para todos dos outros consumidores. Com o
crescimento da Internet comercial, a RNP voltou novamente a atenção para a
comunidade científica.
➢ CGI.br
➢ Criado pela Portaria Interministerial nº 147 de 31 de maio de 1995, o Comitê Gestor
da Internet no Brasil (CGI.br) é a estrutura multissetorial responsável por
coordenar e integrar as iniciativas relacionadas ao uso e funcionamento da
Internet no Brasil. Desde a edição do Decreto Federal nº 4.829, de 3 de setembro
de 2003, suas atividades envolvem, entre outras questões, o estabelecimento de
diretrizes estratégicas e técnicas sobre o funcionamento da Internet, execução do
registro de Nomes de Domínio, alocação de Endereços IP e administração do
ccTLD .br. Desde 2005, a partir da Resolução nº 001, de 21 de outubro de 2005, seu
braço executivo é o Núcleo de Informação e Coordenação do Ponto BR (NIC.br).
PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
Crimes na Internet
A Internet é segura?
“Uma foto de Mark Zuckerberg,

comemorando os 500 milhões de usuários
do Instagram, está viralizando na
internet, mas não pelas razões que o
fundador do Facebook queria. Algum
internauta com olhos de águia percebeu
na imagem que o MacBook Pro do
empresário tem fitas adesivas
bloqueando a webcam e o microfone.
Uma clara precaução contra espionagem
hacker”
Crimes na Internet
Crimes na Internet
O doutrinador JESUS, Damásio, 2015, p. 22
diz que “A doutrina diverge acerca do
primeiro delito informático cometido. Para
alguns, o primeiro delito informático teria
ocorrido no âmbito do MIT (Massachusetts
Institute of Technology), no ano de 1964,
onde um aluno de 18 anos teria cometido
um ato classificado com cyber crimes, tendo
sido advertido pelos superiores”
Instantâneo
39/10
Instantâneo
40/10
Instantâneo
41/10
Em 1 minuto...
42/10
Transgressões pela Internet
➢ Fatores que estimulam a prática de crimes:

➢ Pseudoanonimato
➢ Eliminação virtual das distâncias e barreiras geográficas
➢ Distância segura das vítimas
➢ Falta de informação e ingenuidade da grande maioria dos usuários da internet
➢ Simultaneidade na comunicação e interatividade imediata
➢ Crença em uma natureza anárquico-extremista da internet
➢ Volatilidade das evidências eletrônicas
➢ Despreparo das autoridades públicas encarregadas da persecução penal
Transgressões pela Internet
TOP 25 senhas - 2018
1. 123456 (inalterado) 11.princess (nova) 21.charlie (nova)
2. password (inalterado) 12.admin (caiu 1 posição) 22.aa123456 (nova)
3. 123456789 (subiu 3 posições) 13.welcome (caiu 1 posição) 23.donald (nova)
4. 12345678 (caiu 1 posição) 14.666666 (nova) 24.password1 (nova)
5. 12345 (inalterado) 15.abc123 (inalterado) 25.qwerty123 (nova)
6. 111111 (nova) 16.football (caiu 7 posições)
7. 1234567 (subiu 1 posição) 17.123123 (inalterado)
8. sunshine (nova) 18.monkey (caiu 5 posições)
9. qwerty (caiu 5 posições) 19.654321 (nova)
10.iloveyou (inalterado) 20.!@#$%^&* (nova)
PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
Definição de Perícia
Segundo o dicionário Aurélio, perícia significa tanto
habilidade, destreza, conhecimento quanto vistoria ou
exame de caráter técnico especializado
Pode-se assim definer Perícia como sendo a expressão

genérica que abriga a realização de diversos tipos de
exames de natureza especializada, visando esclarecer
determinado fato sob a óptica científica.
Perícia Criminal
• Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou
indireto, não podendo supri-lo a confissão do acusado.
• Art. 159. O exame de corpo de delito e outras perícias serão realizados por perito oficial, portador de
diploma de curso superior.
• § 1º Na falta de perito oficial, o exame será realizado por 2 (duas) pessoas idôneas, portadoras de
diploma de curso superior preferencialmente na área específica, dentre as que tiverem habilitação
técnica relacionada com a natureza do exame.
• § 3º Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, ao querelante e ao
acusado a formulação de quesitos e indicação de assistente técnico.
• § 4º O assistente técnico atuará a partir de sua admissão pelo juiz e após a conclusão dos exames e
elaboração do laudo pelos peritos oficiais, sendo as partes intimadas desta decisão.
Perícia Civil
• Art. 156. O juiz será assistido por perito quando a prova do fato depender
de conhecimento técnico ou científico.
• § 1º Os peritos serão nomeados entre os profissionais legalmente

habilitados e os órgãos técnicos ou científicos devidamente inscritos em
cadastro mantido pelo tribunal ao qual o juiz está vinculado.
Importância da perícia
Embora o art. 155 do Código de Processo Penal (CPP) prescreva que o “O juiz formará sua
convicção pela livre apreciação da prova [...]”, e o art. 182 do mesmo diploma legal registre
que “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte”,
é certo que a prova material tem uma importância destacada tanto na elucidação dos
crimes quanto na decisão do juiz.
O juiz, embora não seja obrigado a se prender ao laudo, não é

comum decidir em sentido contrário à conclusão da Perícia.
Ademais, o art. 158 do CPP determina: “Quando a infração

deixar vestígios, será indispensável o exame de corpo de
delito, direto ou indireto, não podendo supri-lo a confissão
do acusado”.
Definição de Corpo de Delito
Corpo de delito é o conjunto de elementos materiais que

estabelecerão a materialidade e autoria do delito.
Exame de Corpo de Delito
Resultado do exame pericial elaborado em

vestígios materiais.
Principais perícias no CPP
1. Perícias em local de Infração Penal
Art. 169. Para o efeito de exame do local onde houver sido praticada a infração, a
autoridade providenciará imediatamente para que não se altere o estado das coisas até a
chegada dos peritos, que poderão instruir seus laudos com fotografias, desenhos ou
esquemas elucidativos.
Parágrafo único. Os peritos registrarão, no laudo, as alterações do estado das coisas e
discutirão, no relatório, as consequências dessas alterações na dinâmica dos fatos.
2. Perícias de Laboratório
Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente

para a eventualidade de nova perícia. Sempre que conveniente, os laudos
serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou
esquemas.
3. Perícias em Crimes Contra o Patrimônio
Art. 171. Nos crimes cometidos com destruição ou rompimento de

obstáculo a subtração da coisa, ou por meio de escalada, os peritos,
além de descrever os vestígios, indicarão com que instrumentos, por
que meios e em que época presumem ter sido o fato praticado.
4. Avaliação Econômica
Art. 172. Proceder-se-á, quando necessário, à avaliação de coisas destruídas,

deterioradas ou que constituam produto do crime.
Parágrafo único. Se impossível a avaliação direta, os peritos procederão à
avaliação por meio dos elementos existentes nos autos e dos que resultarem
de diligências.
5. Perícias de Incêndio
Art. 173. No caso de incêndio, os peritos verificarão a causa e o lugar em que

houver começado, o perigo que dele tiver resultado para a vida ou para o
patrimônio alheio, a extensão do dano e o seu valor e as demais circunstâncias
que interessarem à elucidação do fato.
6. Perícias Documentoscópicas
Art. 174. No exame para o reconhecimento de escritos, por comparação de letra, observar-
se-á o seguinte:
I - a pessoa a quem se atribua ou se possa atribuir o escrito será intimada para o ato, se for
encontrada;
II - para a comparação, poderão servir quaisquer documentos que a dita pessoa reconhecer
ou já tiverem sido judicialmente reconhecidos como de seu punho, ou sobre cuja
autenticidade não houver dúvida;
6. Perícias Documentoscópicas
III - a autoridade, quando necessário, requisitará, para o exame, os documentos que

existirem em arquivos ou estabelecimentos públicos, ou nestes realizará a diligência, se daí
não puderem ser retirados;
IV - quando não houver escritos para a comparação ou forem insuficientes os exibidos, a
autoridade mandará que a pessoa escreva o que Ihe for ditado. Se estiver ausente a
pessoa, mas em lugar certo, esta última diligência poderá ser feita por precatória, em que se
consignarão as palavras que a pessoa será intimada a escrever.
7. Perícias de Eficiência de Objeto
Art. 175. Serão sujeitos a exame os instrumentos empregados para

a prática da infração, a fim de Ihes verificar a natureza e a eficiência.
Outros dispositivos processuais
Necropsia: art. 162

Exumação: art. 163
Identificação de Cadáver: art. 166
Desaparecimento dos Vestígios: art. 167
Reprodução Simulada de Crimes: art. 7
E quanto aos crimes relacionados à Internet ?
Lei 12.735/12
(Lei Azeredo)
– Projeto de Lei nº 84/99

– Deveriam ser criadas delegacias especializadas nas Polícias Civil e Federal
– Publicações eletrônicas contendo discriminação ou preconceito de raça, cor, etnia, religião
ou procedência nacional, podem ser retiradas imediatamente
– Foi publicada em conjunto com a Lei nº 12.737/12
Lei 12.737/12
(Lei Carolina Dieckmann)
Tipifica:
– Invasão de dispositivo informático
– Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de
informação de utilidade pública
– Falsificação de cartão
Análise da Lei 12.737/12
(LEI CAROLINA DIECKMANN)
Elaborado por
Flúvio Cardinelle O. Garcia
Lei 12.965/14
(Marco Civil da Internet)
Principais pontos:
– Neutralidade da rede, garantindo tratamento isonômico aos pacotes de dados;
– Provedores de aplicativos deverão armazenar, por seis meses, os registros de acesso
de seus usuários;
– Provedores de conexão deverão manter a guarda dos registros de conexão pelo prazo
de um ano.
Lei 12.965/14
Principais definições:
Art. 5º Para os efeitos desta Lei, considera-se:
– I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e
irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
– II - terminal: o computador ou qualquer dispositivo que se conecte à internet;
– III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua
identificação, definido segundo parâmetros internacionais;
Lei 12.965/14
– IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e
o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e
distribuição de endereços IP geograficamente referentes ao País;
– V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet,
mediante a atribuição ou autenticação de um endereço IP;
Lei 12.965/14
– VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua
duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;
– VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e
– VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada
aplicação de internet a partir de um determinado endereço IP.
LGPD
(Lei Geral de Proteção de Dados)
Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou jurídica de direito público ou privado, para proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural
LGPD - Objetivos
Garantir a privacidade dos dados pessoais e permitir um maior controle sobre

eles. Além disso, a lei cria regras claras sobre os processos de coleta,
armazenamento e compartilhamento dessas informações
LGPD - Papéis
Controlador: a quem competem as decisões do tratamento de dados pessoais,

deverá ser capaz de demonstrar que o processamento é realizado de acordo
com a lei, de forma eficaz (prestação de contas)
Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais
em nome do controlador
LGPD – O que são dados pessoais
São os que podem ser rastreados até um indivíduo e que, se divulgados,

podem resultar em danos. Origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização religiosa; dados filosóficos ou
políticos; referentes à saúde ou à vida sexual, além de dados genéticos ou
biométricos
LGPD – Notificação Obrigatória de Incidente
A notificação sobre a ocorrência de incidentes de segurança para a ANPD

passa a ser mandatória, e deve ser feita em prazo razoável, que pode, com
base na gravidade do caso, determinar a notificação dos titulares envolvidos e
também a ampla publicização do incidente, o que pode ter um enorme impacto
na imagem da instituição com sua desvalorização e perda de confiança de
seus consumidores
LGPD – Tratamento de Dados
Considera-se “tratamento” toda a operação realizada com dados pessoais,

como coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração
LGPD – A quem se aplica
Organizações públicas ou privadas em território nacional, bem como as com

sede no exterior que ofereçam serviços ou operem no Brasil envolvendo
tratamento de dados pessoais.
Aprovação – agosto/2018
Adequação – agosto/2020 (MP 869/18)
LGPD – Anonimização
São dados anonimizados aqueles cujo titular não possa ser

identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
O objetivo da
anonimização é proteger dados privados ou confidenciais, excluindo ou criptografando informações de
identificação pessoal de um banco de dados sem perder a integridade dos dados coletados e compartilhados,
fornecendo oportunidades para que os controladores utilizem os dados de maneiras mais inovadoras. Esse tipo
de dado não será considerado pessoal, salvo quando o processo de anonimização puder ser revertido,
utilizando exclusivamente meios próprios ou mediante esforços razoáveis
LGPD – Penalidades
As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por
infração)
Responsabilidades e Penalidades
Os diferentes agentes envolvidos – controlador e operador – podem ser solidários por incidentes de segurança
e/ou o uso indevido e não autorizado dos dados, ou pela não obediência com a lei. A responsabilidade do
operador pode ser limitada às suas obrigações contratuais e de segurança da informação
Podem ser aplicadas advertências, multas, ou até a proibição total ou parcial de atividades relacionadas ao
tratamento de dados.
Conceito de Prova
Origina-se do latim probatio, podendo ser traduzida como experiência, verificação, exame,
confirmação, reconhecimento, confronto.
Num sentido comum, significa tudo aquilo que pode levar ao conhecimento de um fato, de uma
qualidade, da existência ou exatidão de uma coisa.
Como significado jurídico, representa os atos e os meios utilizados pelas partes e reconhecidas pelo
Juiz como sendo a verdade dos fatos alegados.
Conceito de Prova
“O conjunto de meios idôneos, visando à afirmação da existência positiva ou negativa de um fato,

destinado à fornecer ao Juiz o conhecimento da verdade, a fim de gerar sua convicção quanto à
existência ou inexistência dos fatos deduzidos em Juízo”.
Stumvoll, 2014.
Formas da Prova
Quanto à forma, podem ser classificadas em:

– Pessoal: testemunhas, vítima, confissão, acareações, etc;
– Documental: literal ou instrumental (escritos públicos ou particulares, cartas, livros comerciais,

fiscais, etc);
– Material: corpo de delito, exames, vistorias, instrumento do crime, etc.

A Prova
A fragilidade das provas de natureza pessoal reforça a necessidade da prova material e de

uma investigação eficiente.
O ex-ministro Carlos Mário da Silva Velloso, do Supremo Tribunal Federal, classificou a

perícia como sendo a “rainha das provas”
A Prova
Um levantamento realizado nos Estados Unidos com 300
casos de presos que foram inocentados através de exames
de DNA após anos na cadeia, revelou que em três quartos
dos casos as acusações foram baseadas em falsas memórias
dos envolvidos e falsas memórias das testemunhas oculares.
Outra pesquisa publicada na Revista Psychological Science,
feita com voluntários, comprovou que é possível convencer
uma pessoa, ao longo de algumas horas, de que ela cometeu
um crime na adolescência. Os cientistas foram capazes,
inclusive, de fazer o voluntário internalizar as falsas
memórias e contá-las novamente com descrições ricas de
eventos que nunca ocorreram.
Objeto da Prova
O objeto da prova é o FATO.
A prova pode ser direta ou indireta:

– Direta: se refere imediatamente ao fato que se deseja provar
– Indireta: caso afirme outro fato do qual, por via de raciocínio, se chega ao que se deseje
provar.
Meios de Prova no CPP
1. Perícia (arts. 158 a 184 do CPP)

2. Documentos (arts. 231 a 238 do CPP)
3. Interrogatório (arts. 185 a 196 do CPP)
4. Confissão (arts. 197 a 200 do CPP)
5. Declarações do ofendido (art. 201 do CPP)
6. Testemunhas (arts. 202 a 225 do CPP)
7. Reconhecimento de pessoas e coisas (arts. 226 a 228)
8. Acareação (arts. 229 e 230 do CPP)
9. Indícios (art. 239 do CPP)
Materialização da Prova
A principal forma utilizada, no âmbito cível, para materialização da prova eletrônica é a ATA NOTARIAL
Definição:
"uma das espécies do gênero instrumento público notarial, por cujo meio o tabelião de notas acolhe e
relata, na forma legal adequada, fato ou fatos jurídicos que ele vê e ouve com seus próprios sentidos,
quer sejam fatos naturais quer sejam fatos humanos, esses últimos desde que não constituam negócio
jurídico". (SILVA, João Teodoro da. Ata Notarial Sua utilidade no cenário atual Distinção das Escrituras Declaratórias. In:
SOUZA, Eduardo Pacheco Ribeiro de (coord.), Ideal Direito Notarial e Registral. São Paulo: Quinta Editorial, 2010, p. 33.)
https://prezi.com/8ivkvuundh3e/ata-notarial/
Situações comuns que merecem registro adequado
Exemplos de Potenciais Atividades Desenvolvidas Pela
Internet
MONTAGEM DA ESTAÇÃO PERICIAL VIRTUAL
Estação Pericial Virtual.vdi

Unidade Terciaria.vdi
APRESENTAÇÃO DA ESTAÇÃO PERICIAL VIRTUAL
RESPOSTA AOS QUESITOS 1 A 9 - (PREVISÃO 60 MIN)
Análise de Sítios de Internet
Gustavo Pinto Vilar

PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
WEB
WEB
Deep Web
Principais motivos para que um sítio não seja indexado:

– Conteúdo dinâmico (ex: formulário)
– Conteúdo protegido (ex: Captcha ou senha)
– Bases de dados
PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
Camadas, protocolos e
endereçamento na internet
CAMADA DE APLICAÇÃO
• É camada na qual é realizada a comunicação entre as aplicações de internet

• É a camada com a qual o usuário interage
• É onde, geralmente, se inicia a investigação
• Ex: DNS (TCP/53), HTTP (TCP/80), IMAP (TCP/143), SMTP (TCP/25), etc
• Portas no intervalo entre 0 e 1023 são reservadas (Well Know Protocols)
CAMADA DE TRANSPORTE
• Responsável por fornecer um canal de comunicação aos protocolos da camada de

Aplicação
• TCP e UDP
CAMADA DE INTERNET
• Também chamada de camada Inter redes
• Responsável pelo endereçamento, empacotamento e roteamento dos dados trafegados na rede
• Endereçamento
• IPv4
• Endereços possuem 32 bits
• Foi projetado sem grandes preocupações com segurança
• Problema do esgotamento de endereços
• IPv6
• Endereços possuem 128 bits
• Roteamento mais eficiente
• Cabeçalho simplificado
• Suporte a multicast
• Configuração simplificada
• Segurança
• Ex: IP, ARP, ICMP e IGMP
CAMADA DE ACESSO À REDE
• Também chamada de link ou conexão à rede

• Responsável pelo recebimento e envio de pacotes ao meio físico
• Estabelece os requisitos da rede física
Páginas WEB
• Independentemente da tecnologia utilizada como back end utilizado no

servidor (.aspx, php, jsp, etc.), o cliente recebe arquivos HTML
• Outros tipos de arquivos, como fotos, vídeos e documentos também
podem ser hospedados
Páginas WEB - Responsabilidades
• Responsável pelo serviço x responsável pelo conteúdo

• Identificando o responsável pelo domínio
• whois
• Registro.BR
• Internic
• Lacnic
• Network Solutions
• Identificando o provedor
• Identificando o usuário
Páginas WEB - Salas de conversação
• Via navegador
• Permitem a troca de mensagens e arquivos
• Quebra de sigilo
Páginas WEB
• Conteúdo hospedado em servidores web

• Apache
• Nginx
• MS IIS
Análise de sítios
Sub-roteiro
– Provedores de Internet
– A Internet como um local de crime
– Objetivos da análise de sítios de internet
– Preservação de sítios de internet
– Serviços de whois
– Geolocalização de endereço IP
Análise de sítios
Provedores de Serviços de Internet (Internet Service Provider – ISP)

É gênero, tendo como principais espécies:
– Provedor de Acesso ou Provedor de Conexão
– Provedor de Aplicação
Análise de sítios
Os crimes mais comuns em sítios de internet:

– Crimes de ódio, de discriminação racial, sexual, de gênero, de origem, etc
– Crimes contra a honra
– Estelionato
– Pornografia infantojuvenil
– Hospedagem de programas maliciosos para fins criminosos
Análise de sítios
Objetivos da análise de sítios de Internet:

– Verificação da materialidade do crime (houve ou não a ocorrência de crime no site?),
através da análise do conteúdo do site
– Verificação da autoria (quem cometeu o crime), através das informações dos servidores de
conexão, aplicação e hospedagem
Análise de sítios
Se comprovada a materialidade do crime, deve-se:

– Baixar o material com indícios do crime investigado, com registros para garantir a
autenticidade (logs);
– Armazená-lo em local adequado, com registros de integridade (hash);
– Obter os registros cadastrais do sítio;
– Identificar o responsável (autoria) pelo endereço IP;
Análise de sítios - materialidade
Após a comprovação da materialidade, é necessário baixar o conteúdo do sítio para registro da

prova.
Podem ser utilizados vários recursos, tais como:
– WebSpiders
• Wget
• Httrack
– Software de gravação de tela

– Impressão do sítio em PDF
Conteúdo ainda disponível

wget
Permite a cópia de páginas web por linha de comando
Possui opções que permitem a emular um navegador específico, fornecer credenciais de acesso,
ignorar cookies, etc.
HTTrack
Conteúdo indisponível ou histórico
• Cache dos serviços de busca (Bing, Google e Yahoo)
• WayBack Machine
Análise de sítios - wget
Wget é um aplicativo gratuito para recuperação de conteúdo através dos protocolos HTTP,
HTTPS, FTP e FTPS.
– Disponível em versões Linux e Windows
– Possui interface de linha de comando (CLI)
Análise de sítios - wget
Análise de sítios - Httrack
Httrack é um aplicativo gratuito para recuperação de conteúdo através dos protocolos

HTTP, HTTPS, FTP e FTPS.
– Disponível em versões Linux e Windows
– Possui interface gráfica
Análise de sítios - autoria
Para tentar identificar o autor do crime (autoria), pode ser utilizado o serviço de Whois.
– Whois é um protocolo de internet que serve para consultar informações sobre

domínios na web.
Análise de sítios - Whois
– Para domínios no Brasil (.br), está disponível em https://registro.br/2/whois
– Para domínios no exterior, podem ser utilizados os serviços disponíveis nos endereços
http://who.is ou http://whois.domaintools.com
Análise de sítios
Outros sítios de Whois:
– http://www.whois.sc
– http://www.dnsstuff.com
– http://www.arin.net
– http://www.ripe.net
– http://www.apnic.net
– http://www.mil.net
– http://www.netsol.com
– http://www.geektools.com/whois.php
Análise de sítios
Após a obtenção das informações de Whois, deve-se identificar o local em que o sítio
está hospedado.
Para isso, é necessário efetuar a resolução de endereços IP para um determinado
domínio (consulta DNS). Podem ser utilizados:
– Ping
– Nslookup
Análise de sítios
Com a identificação do local onde o sítio está hospedado, deve ser feita
nova consulta ao Whois, para identificar o responsável pelo local em que
o sítio está hospedado.
Análise de sítios – ping
Análise de sítios - nslookup
Análise de sítios - nslookup
Análise de sítios
Recuperação de versões anteriores de sítios

Alguns serviços permitem recuperar versões anteriores de sítios. Os principais são:
– http://archive.org/web/ (mais de 300 bilhões de páginas)
– Cache do Google
Análise de sítios
Análise de sítios
Análise de sítios
Análise de sítios - georreferenciamento
Georreferenciamento do endereço IP
– https://www.maxmind.com/pt/locate-my-ip-address
– https://www.maxmind.com/en/geoip-demo
Georreferenciamento de endereço IP em redes sem fio

– https://wigle.net/
Análises em mensagens eletrônicas
(e-mails)
Gustavo Pinto Vilar
PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
Roteiro
– E-mails como locais de crime

– Como identificar o autor de e-mail
– Como encontrar os cabeçalhos de internet
– Por onde passam os e-mails
– Preservação dos dados
– Análise de cabeçalhos de internet
– Localização e identificação de autor de email
Crimes com uso de e-mail
– Calúnia (art. 138 do Código Penal);
– Difamação (art. 139 do Código Penal);
– Injúria (art. 140 do Código Penal);
– Ameaça (art. 147 do Código Penal);
– Falsa Identidade (art.307 do Código Penal);
– Pornografia infantil (art. 241 do ECA);
– Tráfico de drogas;
– Formação de quadrilha;
– Estelionato;
– Organizações criminosas.
Componentes da estrutura
• MUA (Mail User Agent)

• Agente do usuário de correio
• Software cliente de correio eletrônico
• Encaminha as mensagens via MTA
• Recebe as mensagens via MDA
• MSA (Mail Submission Agent)

• Agente de sumissão de correio
• Responsável por receber as mensagens do MUA
• Na prática, esse papel é feito pelo MTA
• MTA (Message Transfer Agent)

• Agente de transferência de mensagem
• É o servidor que recebe a mensagem do MUA
• Também pode atuar como cliente de outro MTA
• É identificado por outro MTA por meio da entrada MX no DNS
• "Responsável pela transferência de e-mails entre computadores"
• MDA (Message Delivery Agent)

• Agente de entrega de mensagem
• Responsável pela entrega da mensagem ao usuário final
MUA > MTA > MTA > MDA > MUA
215
Como identificar o autor de um e-mail
– Os remetentes das mensagens criminosas fazem uso de ardis para permanecerem

incógnitos
– Muitas vezes se torna muito difícil a identificação dos remetentes
– O caminho é por meio dos cabeçalhos completos de internet das mensagens
eletrônicas.
Como encontrar os cabeçalhos de um e-mail
– Cada provedor de e-mail coloca os cabeçalhos das mensagens em locais diferentes

– No Microsoft Outlook:
• Clicar na mensagem com o botão direito
• Clicar no botão “opções de mensagem”
• No final da tela há a janela “cabeçalhos de internet”
• Copiar esses dados e colar em um arquivo.
– No Google:
• Abrir a mensagem
• Nas opções da mensagem, escolher “Mostrar Original”
– No Yahoo
• Clique no ícone “Mais” sobre a mensagem
• Selecione a opção “Visualizar mensagem raw” do menu.
– A identificação do remetente da mensagem pode ser facilmente adulterada

– Os cabeçalhos completos de internet contêm as informações mais confiáveis
• Lista de servidores por onde a mensagem trafegou
• Cabeçalho “Received:”
– Por todos os servidores que a mensagem de e-mail passa, ela recebe um carimbo com data e
hora (timestamp)
Por onde um e-mail passou
– No cabeçalho completo pode-se observar o caminho percorrido pelo e-mail pelos

servidores por onde passou
– O mais antigo registro é o mais próximo da origem do e-mail e é o mais provável de estar
forjado
– À medida que a mensagem se aproxima do destinatário, ela trafega por servidores
comerciais que possuem maior credibilidade.
Por onde um e-mail passou
– Com base nessas informações, deve-se consultar o serviço WHOIS para levantar os
dados cadastrais das empresas responsáveis pelos domínios e endereços IP envolvidos
– Quando um e-mail é encaminhado para outro endereço, os cabeçalhos se perdem,
criando-se outros novos
Preservação dos dados
– Não há lei que obrigue os provedores a preservarem os dados por tempo certo
– Necessidade de celeridade nas investigações, para se evitar a perda dos dados
– Necessidade de preservação dos dados, enquanto não se conseguem as Ordens Judiciais
Informações presentes nos e-mails
Quem
Endereço de e-
enviou o e- mail
Endereço IP Contexto
mail?
Quando foi Registros dos

Data e horário
servidores de
enviado? do cabeçalho
e-mail
De onde ele Endereço IP Geolocalização

Domínio do e- Identificação
foi enviado? mail da mensagem
Possui
Corpo da Lista de Registros no
conteúdo mensagem
Anexos
contatos calendário
relevante?
Estrutura dos e-mails
– Os e-mails possuem estrutura muito simples. São divididos em três partes:

• Cabeçalho
• Corpo da mensagem
• Anexos
Informações presentes nos e-mails
Cabeçalho
– Componente essencial pois fornece o envelope que uma mensagem utiliza para
chegar ao destino correto
– Funciona como um registro de viagem, pois informa:
• de onde saiu
• qual o momento
• as rotas por onde passou
• quando chegou
Cabeçalho
– Existe uma grande quantidade de campos, mas o perito deve se concentrar nos dados
que podem ligar uma mensagem a um computador
– Deve-se ter muito cuidado pois grande parte do cabeçalho pode ser forjado
Cabeçalho
– Além dos campos “De”, “Para”, “CC”, “CCO”, “Assunto” e “Data”, existem 4 cabeçalhos
adicionais que devem ser investigados:
• Message-ID
• Received
• X-Originatin-IP (ou X-IP)
• X-Mailer
Cabeçalho
– Message-ID – informado pelo servidor de e-mail de origem e consiste em um identificador único
adicionado no nome do servidor com um símbolo de “@”
– É semelhante a um número de rastreamento da mensagem e é registrado (logado) pelos
servidores que recebem a mensagem
– Pesquisas nos logs dos servidores por esse campo fornecem evidências da passagem da
mensagem
Cabeçalho
– Message-ID – são utilizados para agrupar mensagens formando uma “conversa”
– Existem dois outros campos opcionais (“References” e “In-Reply-To”) que ajudam no
agrupamento das mensagens através de seu ID
– Como o identificador é único, ele é um ótimo termo de pesquisa para auxiliar na identificação de
mensagens relevantes
Cabeçalho
– Received – você pode rastrear por onde a mensagem passou olhando os registros de
“Received” começando pelo registro mais próximo ao corpo da mensagem indo para o
mais distante (esse é o caminho da mensagem)
– Cada servidor no caminho adiciona uma entrada “Received” contendo o IP, nome do
servidor, data, horário e fuso
Cabeçalho
– É possível que sejam forjadas alguns desses registros, entretanto aqueles criados pelos
servidores devem ser confiáveis
– Exemplo:
Received: from NAM01-BY2-obe.outbound.protection.outlook.com (mail-by2nam01on0096.outbound.protection.outlook.com. [104.47.34.96])
by mx.google.com with ESMTPS id v74si12815843pfd.77.2017.11.06.12.25.15
for <rodrigolange@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Mon, 06 Nov 2017 12:25:18 -0800 (PST)
Cabeçalho
– X-Originating-IP (ou X-IP) – um campo opcional que identifica o computador utilizado

para o envio da mensagem. Pode ser forjado, mas necessita controle sobre o servidor de
e-mails de origem
– Recentemente está sendo retirado pelos servidores em virtude de problemas relacionados
à privacidade
Cabeçalho
– X-Originating-IP (ou X-IP) – exemplo

Accept-Language: pt-BR, en-US
Content-Language: pt-BR
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [186.248.103.118]
x-ms-publictraffictype: Email
x-microsoft-exchange-diagnostics: 1;RO1PR80MB0089;6:DH3V4lVADIvP+JB+/EBysEbpkWbUao/Xnc9SHiFvwIo8DnnAXyUAddFwFJhZ
Cabeçalho
– X-Mailer – identifica o cliente de e-mail utilizado para criação da mensagem

– Sua inclusão é opcional e pode ser um bom indicador se o aplicativo utilizado era local ou
baseado na web (ex: webmail)
– Deve ser incluído pelo servidor de e-mails de origem da mensagem
Cabeçalho
– X-Mailer – exemplo
X-Mailer: YahoomailWebService/0.8.116.338427
Cabeçalho
– Se a investigação estiver ocorrendo em ambientes Windows, uma funcionalidade que

possivelmente está sendo utilizada é a Microsoft Messaging Application Programming
Interface (MAPI)
– São cabeçalhos adicionais que podem fornecer informações muito importantes sobre a
mensagem
Cabeçalho
– Os principais campos de interesse são:

• Mapi-Client-Submit-Time – momento em que o cliente enviou a mensagem
• Mapi-Conversation-Index – registra cada mensagem que faz parte de uma conversa, inclusive
com informações sobre cada mensagem da conversa
Cabeçalho
– Os principais campos de interesse são:

• Mapi-EntryID – é um registro único que identifica o local onde a mensagem está armazenada (ex:
um arquivo PST). Isso auxilia identificar o local caso o criminoso utilize mais de um local de
armazenamento
• Mapi-Message-Flags e Pr_Last_Verb_Executed – possuem várias informações sobre o estado
da mensagem (ex: lida, não lida, não enviada, é resposta, foi reencaminhada, etc)
Cabeçalho - exemplos
Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com

with Microsoft SMTPSVC (6.0.3790.0);
Wed, 12 Dec 2016 13:39:22 -0800
Esta informação diz que a transferência da mensagem ocorreu na quarta-feira, 12 de

dezembro de 2016, às 13:39:22 (1:39:22 da tarde) Hora Oficial do Pacífico (8 horas atrás da
Hora de Greenwich); por isso o "–0800")
Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with

Microsoft SMTPSVC(6.0.3790.0);
Wed, 12 Dec 2016 13:38:49 -0800
Esta transferência de mensagem ocorreu na quarta-feira, 12 de dezembro de 2016, às

13:38:49 (1:38:49 da tarde) Hora Oficial do Pacífico (8 horas atrás da Hora de Greenwich);
por isso o "–0800")
From: "Kelly J. Weadock" <kelly@litware.com>
Essa mensagem foi enviada por Kelly J. Weadock a partir do endereço de email
kelly@litware.com.
To: <anton@proseware.com>
Esta é a pessoa para a qual a mensagem está endereçada.

Cc: <tim@cpandl.com>
Estas são as pessoas que recebem cópias da mensagem.

Observação Os destinatários que recebem cópias ocultas (Cco) não aparecem no cabeçalho.
Subject: Review of staff assignments
Este é o assunto do e-mail.

Date: Wed, 12 Dec 2015 13:38:31 -0800
Isto indica a data e a hora em que a mensagem de e-mail foi enviada, com base no relógio do
computador do remetente.
MIME-Version: 1.0
Este parâmetro especifica a versão do protocolo MIME que foi usada pelo remetente. Extensões Multi função para Mensagens de Internet
(sigla MIME do inglês Multipurpose Internet Mail Extensions) é uma norma da internet para o formato das mensagens de correio
eletrônico.
O protocolo básico de transmissão de e-mail pela Internet, SMTP, suporta apenas 7-bit de caracteres ASCII. Isto limita as mensagens de
e-mails, incluindo somente os caracteres usados na língua inglesa.
MIME-Version: 1.0
O MIME provê mecanismos para o envio de outros tipos de informações por e-mail, incluindo caracteres não utilizados no idioma inglês,
usando codificações diferentes do ASCII, assim como formatos binários contendo imagens, sons, filmes, e programas de computador.
MIME é também um componente fundamental de comunicação de protocolos como o HTTP, que requer que os dados sejam transmitidos
em contextos semelhantes a mensagens de email, mesmo que o dado a ser transmitido não seja realmente um e-mail.
Content-Type: multipart/mixed
Este é um cabeçalho MIME adicional. Ele informa aos programas de e-mail compatíveis com
MIME o tipo de conteúdo esperado na mensagem.
X-Mailer: Microsoft Office Outlook, Build 12.0.4210
Esta informação indica que a mensagem foi enviada pelo Microsoft Office Outlook com uma
versão de compilação 12.0.4210
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Esta entrada indica o software de e-mail (software MIME OLE) usado pelo remetente.
Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==
Este cabeçalho é usado para associar várias mensagens a um segmento semelhante. No

Outlook, por exemplo, o modo de exibição de conversação usa essas informações para
localizar mensagens em um segmento de conversação.
Return-Path: kelly@litware.com
Esta entrada especifica como chegar ao remetente da mensagem.

Message-ID: MAILbbnewS5TqCRL00000013@mail.litware.com
Este número foi atribuído à essa mensagem (pelo mail.litware.com) para fins de identificação.
Esta ID estará sempre associada à mensagem.
X-OriginalArrivalTime: 12 Dec 2016 21:38:50.0145 (UTC)
Este é um carimbo de data e hora colocado na mensagem quando ela passa pela primeira vez
por um servidor executando o Microsoft Exchange.
Estrutura do e-mail
• E quanto aos webmails?

Não incluem o IP do usuário no cabeçalho, mas sim o IP do servidor web
Vestígios de sua utilização nem sempre estão presentes no computador
E-mail - confirmações
• Serviços de confirmação de leitura
• Seu objetivo original era identificar se uma mensagem havia sido lida pelo destinatário
• Mas permitem identificar informações sobre o remetente da mensagem, como seu IP, através da
inclusão de uma figura na mensagem original, que será carregada a partir de um servidor web
• A figura deve ser a mais discreta possível
• Geralmente sua resolução é de apenas 1 pixel
• Ex: Get Notify (http://www.getnotify.com)
Serviços de e-mail anônimo
• Focam em pessoas preocupadas com sua privacidade

• Procuram ser hospedados em países onde a obtenção de dados sobre os usuários é mais difícil
• Quando fornecem clientes de e-mail próprios, o carregamento de images costuma ser desativado por padrão, para
não identificar a localização do usuário
• Não mantêm logs de acesso
• Método Trust No One: as mensagens são criptografadas, de modo o provedor não tem acesso ao conteúdo das
mesmas
Listas de Discussão
• Gerenciam a troca de e-mail para vários usuários diferentes
• Agrupam pessoas com interesse em comum
• Precedeu as redes sociais
• É um serviço oferecido pelos grandes provedores
• Possuem uma interface web, que permite ler as mensagens endereçadas ao grupo
• A identificação do remetente também é feita por meio do cabeçalho
MUA “EXEMPLO”- Windows Live 2012
• Formato de armazenamento padrão:
– Arquivos individuais com extensão .EML
• Local de armazenamento padrão:
– C:\Users\usuário\AppData\Local\Microsoft\Windows Live Mail.
– Local é configurável
– Informação precisa encontrada no Registro do Windows:
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\~
Navegadores de Internet
Gustavo Pinto Vilar

PRINCIPAIS TÓPICOS
➢ ANONIMIZADORES
“Navegar é preciso; viver não é preciso“ —
Pompeu
Que evidências podem ser encontradas?
Quais sítios Pastas de Sites
foram visitados?
Histórico Cache Cookies
recuperação sugeridos
Quantas vezes
um sítio foi Histórico Cookies
visitado?
Quando um
Pastas de
sítio foi Histórico Cookies Cache
visitado? recuperação
Quais sítios
foram salvos Favoritos
pelo Usuário
Foi feito
Pasta de
download de Cache
algum arquivo? Downloads
Podem ser
identificados Auto- Pastas de
nomes de
Cookies Cache
completar recuperação
usuários
Pelo que o
Auto-
usuário estava Cache
procurando? completar
Fonte: SANS
Navegadores de Internet
Embora exista uma grande quantidade de artefatos relacionados a navegadores de Internet,

as fontes de informação mais relevantes são:
– Histórico
– Cache de navegação
– Cookies
Navegadores mais usados
Internet Explorer (IE)
Utilizado como padrão, pois muitos conceitos utilizados pelo Internet Explorer aplicam-se
também ao Google Chrome e Mozilla Firefox.
8.1, Server 8, Server 7, Server Vista, Server
Ano 10, Server 2016 Server 2003 XP
2012 R2 2012 2008 R2 2008
Edge 2015 Incluído - - - - - -
Sim,
IE 11 2013 Incluído Incluído - - - -
com SP1
Sim, com
IE 10 2012 - - Incluído - - -
SP1
IE 9 2011 - - - Sim Sim, com SP2 - -
Sim, com
IE 8 2009 - - - Incluído Sim Sim, com SP2
SP2/SP3
Sim, com Sim, com
IE 7 2006 - - - - Incluído
SP1/SP2 SP2/SP3
IE 6 2001 - - - - - Incluído Incluído
Principais versões
– IE6 e IE7 – sistemas desatualizados (Windows XP)
– IE8 – lançada em 2009; padrão no Windows 7
– IE9 – lançada em 2011
– IE10 – lançada em 2012; padrão no Windows 8
– IE11 – lançada em 2013, com o Windows 8.1
– Edge – lançada em 2015, com o Windows 10
Perfis de Usuário (User Profiles)

Com o Windows Vista, foi modificada a estrutura de pastas relacionadas aos perfis de usuário
(user profiles), sendo deixado claro o que segue o usuário e o que não segue.
– Roaming profiles – cookies
– Local profiles – cache
Modo Protegido (Protected Mode)

Outra grande mudança implementada a partir do Windows 7 foi a utilização do modo
protegido. Esse modo separa a área de navegação em uma área com poucos privilégios
(Low) e outra área com privilégios médios/altos. Exemplo:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Low\History.IE5

Isso significa olhar em duas áreas distintas:
– Área padrão (privilégios médios/altos)
– Área com baixos privilégios (Low), utilizada por padrão

Exceções da utilização do modo protegido:
– Utilização/acesso de arquivos locais
– Se o modo protegido for desabilitado
– Se User Access Control (UAC) for desabilitado
– Se o IE for executado com permissões de administrador
Localização dos arquivos

Dois tipos de dados:
– Armazenamento (storage) – arquivos de cache ou cookies armazenados no computador
– Metadados (metadata) – armazenas os metadados dos registros (ex: o arquivo no cache ou cookie
está associado a qual URL; quando o acesso a uma URL ocorreu)

Até o Windows Vista, por 10 anos, a localização dos arquivos foi mantida a mesma (mantendo
inclusive a referência IE5).
– Histórico - %USERPROFILE%\Local Settings\History\History.IE5
– Cache - %USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5
– Cookies - %USERPROFILE%\Cookies
– Bookmarks - %USERPROFILE%\Favorites
Fonte: http://msdn.microsoft.com/en-us/library/bb250462.aspx
Localização dos arquivos no IE8 e IE9 (Windows Vista+)

Informação Localização
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5
Histórico
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Low\History.IE5
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

Cache
%USERFROFILE%\AppData\Local\Microsoft\windows\Temporary Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
Cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\Low
Histórico de Download %USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\

• Index.dat
– Localização:
• Windows XP
c:\documents and settings\user\local settings\temporary internet files\
• WebcacheV01.dat
• Windows 7 e superiores
c:\Users\user\AppData\Local\Microsoft\Windows\Webcache
CHAVES E VALORES RELACIONADOS AO
INTERNET EXPLORER (EXEMPLOS)
Do arquivo NTUSER.DAT ou USER.DAT de um usuário específico podemos

obter:
Software\Microsoft\Internet Explorer\Typed URLs

=> Barra de endereços do browser
CHAVES E VALORES RELACIONADOS AO INTERNET EXPLORER (EXEMPLOS)
\Software\Microsoft\Internet Explorer\Intelliforms
=> Senhas do autocompletar criptografadas.
\Software\Microsoft\Protected Storage System Provider

=> Páginas onde foi utilizada a função de autocompletar.
CHAVES E VALORES RELACIONADOS AO INTERNET EXPLORER (EXEMPLOS)
Da hive SOFTWARE podemos obter:
Software\Microsoft\Windows\CurrentVersion\Internet Settings\URL History
=> Informa por quantos dias o histórico é mantido e a pasta onde está
armazenado.
CHAVES E VALORES RELACIONADOS AO
INTERNET EXPLORER (EXEMPLOS)
COOKIES
C:\Users\[User Name]\AppData\ Roaming\Microsoft\Windows\Cookies
C:\Users\[User Name]\AppData\Roaming\Microsoft\Windows\Cookies\Low
Arquivos Index.dat
– Da versão 4 até a 9, a maioria das informações era armazenada em arquivos “Index.dat”, tais
histórico, cookies, cache, histórico de download, etc.
– Registros apagados podiam ser recuperados.
– Formato binário mantido o mesmo desde a versão 4
– Difíceis de serem apagados pelo usuário, pois sempre estavam em uso e bloqueados (IE permite
apagar)
Horários do histórico nos arquivos Index.dat

A estrutura do Index.dat apresenta dois campos de tempo para cada registro:
– Index.dat presente na pasta History.IE5: LastAccess (UTC); LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Diário: LastAccess (Local); LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Semanal: LastAccess (Local); Index.dat creation time (UTC)
Localização dos arquivos no IE10 (Windows Vista+)

Histórico, metadados
%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
de cache e de cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cache
Temporary Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies
Cookies
\Cookies\Low
Histórico de Download %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat

Com o IE10, ao invés de diversos arquivos “Index.dat” distribuídos em várias pastas, os
metadados foram consolidados em arquivos com o nome “WebCacheV*.dat”.
A pasta utilizada para armazenar esse banco de dados:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\
Internet Explorer (IE) / EDGE
Localização dos arquivos no IE11

Histórico, metadados
%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat
de cache e de cookies
INetCache\IE
Cache
INetCache\IE
\INetCookies
Cookies
\INetCookies\Low
Histórico de Download %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache\WebCacheV*.dat

Com o IE11, o armazenamento dos metadados foi mantida nos arquivos “WebCacheV*.dat”.
As pastas utilizadas para armazenar os arquivos de cache e cookies mudaram para INetCache
e INetCookies.
A localização da pasta INetCookies foi alterada para “Local” do perfil do usuário (estava
em “roaming”).
O arquivo mais importante, a partir do IE 10, é o “WebCacheV*.dat”, localizado em:

%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
Apresenta vários nomes:

– WebCacheV01.dat
– WebCacheV16.dat
– WebCacheV24.dat
Arquivos WebCacheV*.dat
– Consolida grande quantidade de dados armazenados anteriormente em vários arquivos Index.dat
– Utiliza o formato Extensible Storage Engine (ESE). Esse é o mesmo formato utilizado pelo Exchange e Windows
Search.
– Existem arquivos “container.dat" em pastas familiares tais como "History.IE5", "Temporary Internet Files", e
"Content.IE5“, mas todos metadados desses arquivos foram movidos para o arquivo WebCacheV*.dat.
– A base de dados pode estar em dois estados: “Dirty Shutdown” ou “Clean Shutdown”
– Como exemplo, para consultar o estado da base de dados “WebCacheV01.dat”, pode ser executado o comando:
esentutl /mh WebCacheV01.dat
– O estado “Dirty Shutdown” pode impedir que algumas ferramentas possam acessar os registros nessa base de dados.
– Para corrigir esse estado no arquivo “WebCacheV01.dat”, por exemplo, deve ser executado o comando:
esentutl /r V01 /d
– A opção “/d” utiliza apenas os arquivos de Log na pasta atual
Exercício
1) Copiar o arquivo WebCacheV01.dat, localizado na pasta %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache,
para a pasta c:\TEMP
2) Verificar o estado da base de dados
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente
Resolução
1) Copiar o arquivo WebCacheV01.dat, localizado na pasta %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache,
para a pasta c:\TEMP. Como o arquivo está bloqueado, pode ser utilizado o FTK Imager, por exemplo
2) Verificar o estado da base de dados. esentutl /mh WebCacheV01.dat
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente. esentutl /r V01 /d
Tabelas dos arquivos WebCacheV*.dat
– AppCache_n – MSysLocales
– AppCacheEntry_n – MSysObjects
– Container_n – MSysObjectsShadow
– DependencyEntry_n – MSysObjids
– HstsEntry_n – Partitions
– LeakFiles

– Os artefatos presentes nos arquivos WebCacheV*.dat são divididos em diferentes tabelas de containers (Container_n).
– Cada container pode ser identificado utilizando a tabela “Containers”, presente nesse banco de dados, e que funciona
como um índice das tabelas de artefatos.

Histórico
– Excelente para analisar o perfil do usuário
– Os registros dos sítios visitados são armazenados com data e horário
• Os detalhes são registrados para cada conta de usuário
• Registra o número de visitas
• Também armazena o acesso a arquivos locais
– Utilizado pelo navegador para autocompletar
Histórico
– Armazenado em diversos arquivos Index.dat (IE4-IE9) ou no arquivo WebCacheV*.dat (IE10+)
– A chave do registro do SO determina o tempo em que os registros são armazenados:
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\URL History
– Facilmente manipulado/limpo pelo usuário
Histórico
Pode fornecer as seguintes informações:
– Quais sítios o usuário visitou nos últimos X dias (X é o número de dias em que o histórico é armazenado)
– Quais arquivos foram acessados nos últimos X dias
– A conta do usuário utilizada para acessar o sítio
– A data e horário em que houve a última visita a um sítio
– Quantas vezes cada sítio foi visitado
Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico nos arquivos Index.dat, armazenadas em pastas
com o nome no seguinte formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre 23/09/2017 e 30/09/2017.

Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico nos arquivos Index.dat, armazenadas em pastas
com o nome no seguinte formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre 23/09/2017 e 30/09/2017.
Histórico
Os principais campos presentes nas tabelas Container_n:
– Data de modificação (ModifiedTime) – fornece a data e horário da primeira vez que um objeto foi criado.
– Data de acesso (AccessedTime) – fornece a data e horário em que o objeto foi acessado pela última vez.
– Quantidade de acessos (AccessCount) – registra o número de vezes em que um objeto URL foi acessado. Algumas
vezes é inconsistente.
– URL – é o recurso sendo rastreado.
Histórico
Uma informação importante é que o Histórico não registra apenas navegação da Internet. Ele registra também o acesso a
arquivos locais e remotos (mesmo que não tenham sido acessados pelo navegador).
RESPOSTA AOS QUESITOS 20 a 24 - (PREVISÃO 40 MIN)
Histórico de navegação
– A ferramenta NirSoft BrowsingHistoryView permite acessar informações de histórico de navegação dos
aplicativos Internet Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Ferramentas
– A ferramenta NirSoft
BrowsingHistoryView permite
selecionar qual navegador será
analisado bem como apresenta
diversas outras opções para
seleção dos dados (F9).
Conta Microsoft
Se um usuário logar em um computador com uma conta da Microsoft e utilizar o Edge, todos os dispositivos irão sincronizar
o histórico de navegação.
Assim, é difícil analisando apenas o banco de dados para saber qual computador foi utilizado para navegação. Assim, saber
o computador utilizado pelo usuário no momento em que o sítio foi acessado é muito importante.
Navegação InPrivate
Segundo a Microsoft (https://privacy.microsoft.com/pt-BR/windows-10-microsoft-edge-and-privacy):
“Quando você usa o Microsoft Edge no modo InPrivate, as informações de navegação, como cookies, histórico e arquivos
temporários, não são salvas no seu dispositivo após o encerramento da sua sessão de navegação.”
Navegação InPrivate
Pode ser recuperada a última sessão de navegação se ela foi InPrivate:
C:\Users\uuuuu\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\y
yyyyy.dat
Onde:
uuuuu – nome do usuário
xxxxx – código aleatório
yyyyy – identificador GUID da sessão (ex: {663CF6A7-74FB-4DC6-857D-DAA87D8637C1}
Cache
– É o local onde são armazenados os componentes de páginas de Internet gravados localmente para
agilizar as visitas subsequentes.
– Fornece provas do que o usuário estava acessando em um determinado momento
– O tamanho padrão do cache é de 250MB, limitado a aproximadamente 60.000 itens
Cache
Fornece provas do que o usuário estava acessando em um determinado momento:
– Sítios que estavam sendo acessados
– Arquivos que o usuário visualizou em determinado sítio
– O cache é vinculado a um determinado usuário
– São registrados quando o sítio foi salvo pela primeira vez e visualizado pela última vez
Cache
Pastas de cache: IE5-IE9
TemporaryIE10+
INetCache
Internet Files
Content.IE5 IE
• IEYFMNCP • 4KD85H0Q
• UIQWMVNT • MFAD2Q94
• H83J6CVT • LA74C03Y
• 7YTMADQP5 • 9U2K33B3
Cache
Os arquivos de cache são renomeados, sendo inserido um sufixo apresentando “[n]”, onde n é a
enésima cópia do arquivo com o referido nome, para evitar colisão de nomes.
Cache
Até o IE9, o arquivo Index.dat é fundamental para reconstrução do cache:
– registra a URL visitada
– identifica o path do arquivo salvo e a referência dele na URL
– armazena no campo Type o motivo da existência daquele registro:
• URL – indica que uma URL foi acessada em um pedido normal
• LEAK – falha em apagar o arquivo de cache em virtude do arquivo estar bloqueado
• REDR – página visitada, causando um redirecionamento (não salvo no cache)
• HASH – um índice de hash do conteúdo do cache
Cache
– Cabeçalhos HTTP (request e response)
– Informações de datas e horários
Cache
Principais campos na tabela de cache:
– FileName – nome do arquivo no disco (inclusive com [n])
– FileSize – tamanho do arquivo no disco
– SecureDirectory – índice da pasta onde o arquivo está salvo no disco (resultado do campo
SecureDirectories)
– AccessCount – número de vezes que o arquivo de cache foi utilizado pelo navegador
– URL – identifica a origem de cada arquivo de cache
Cache
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o conteúdo do cache foi visualizado pelo usuário
(UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo foi modificado no servidor de arquivos
(UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar entradas muito antigas no cache (UTC)
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar entradas muito antigas no cache (UTC)
– Last Checked (só existe no Index.dat) – quando um arquivo é requisitado, o navegador compara com a última versão no sítio
Ferramentas
Cache de navegação
– A empresa NirSoft desenvolveu várias ferramentas para acesso de informações presentes no cache de
navegação dos seguintes navegadores:
• IE – IECacheView
• Mozilla Firefox – MZCacheView
• Google Chrome – ChromeCacheView
• Ópera – OperaCacheView
• Safari – SafariCacheView
Ferramentas
Cache de navegação
Cookies
Existem dois tipos:
– Persistentes – ficam gravados no disco
– Sessão – ficam apenas em memória e são mantidos apenas durante a sessão de navegação
Cookies
– Pequenos arquivos de texto (<4KB) que registram informações selecionadas pelos desenvolvedores
do sítio
– Podem fornecer as seguintes informações:
• Sítio acessado
• Conta do usuário que acessou o sítio
• Datas e horários de criação, modificação e último acesso dos arquivos de cookies (mantidos no sistema de
arquivos)
• Outros dados presentes no cookie
Cookies
Várias atualizações no IE e no Windows modificaram o funcionamento dos cookies:
– Windows 7 criou as pastas “Low”
– IE 9.0.2 passou a utilizar nomes pseudo-aleatórios nos cookies
– Windows 8.1 passou a utilizar a pasta para armazenar os cookies:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
(era %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies )
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– FileName – nome do arquivo do cookie no disco
– URL – endereço do sítio que gerou o cookie. A conta local do usuário que gerou o cookie é armazenada como parte da URL (ex:
Maria@barbie.com)
– AccessCount (anteriormente chamada de Hits) – indica o número de vezes que o cookie foi utilizado pelo sítio
– CreationTime (apenas no WebCacheV*.dat) – a primeira vez que o cookie foi salvo no disco
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– ModifiedTime – última vez em que o sítio fez modificações no cookie ou quando ele foi criado. Registrado em UTC
– AccessedTime – indica a última vez em que o cookie foi enviado ao sítio que o originou
– ExpiryTime – indica o momento, registrado no cookie pelo sítio que o criou, em que o cookie não será mais considerado válido.
Registrado em UTC
– Last Checked (apenas no Index.dat) – indica a última vez em que o cookie foi checado se estava expirado (ExpiryTime)
Ferramentas
Cookies
– A empresa NirSoft desenvolveu várias ferramentas para acesso de informações presentes nos cookies de
navegação do IE, Mozilla Firefox e cookies criados por componentes Flash:
• IE – IECookiesView
• Mozilla Firefox – MZCookiesView
• Flash – FlashCookiesView
Ferramentas
Cookies
Aplicações Modernas (Modern Applications)

– A partir do Windows 8, a Microsoft criou a possibilidade de utilização das denominadas “Modern
Applications”.
– São locais, armazenados em subpastas da pasta “%USERPROFILE%\AppData\Local\Packages\”
(ex: Twitter -
“%USERPROFILE%\AppData\Local\Packages\9E2F88E3.Twitter_wgeqdkkx372wm\AC\INetCache”)
Download
– O local padrão para salvar um arquivo que é baixado (feito download) pelo navegador é o valor
“Download Directory”, localizado na chave “NTUSER\Software\Microsoft\Internet Explorer”
– Por padrão, o dado é “%USERPROFILE%\Downloads” (até o Windows XP, era
“%USERPROFILE%\Desktop”)
Download
– A partir da versão 9, o IE passou a utilizar um gerenciador de downloads completo.
– As informações de download passaram a ser armazenadas no registro, na chave
“%USERPROFILE%\AppData\Roaming \Microsoft\Windows\IEDownloadHistory\”
Download
São armazenadas as seguintes informações:
– Nome do arquivo
– Tamanho do arquivo
– URL de origem
– URL
– Destino do download
– Tempo de download
Download
Os registros podem ser apagados pelos usuários de diversas formas:
– Selecionados individualmente e removidos pelo botão “X”
– Toda lista pode ser limpa através do botão “Limpar lista”
– No menu “Opções de Internet” do IE, existe uma opção para apagar o histórico de downloads
Download
Como os cabeçalhos são salvos em formato Hexadecimal, podem ser convertidos para obtenção da URL. Para
isso podem ser utilizados:
– https://www.branah.com/ascii-converter
– Extensão para Firefox LeetKey
– Plugin Hex Conversion para Notepad++
O acesso ao cabeçalho e da URL pode permitir, por exemplo, a identificação de senhas utilizadas para abertura
de arquivos cifrados
Auto-completar
Na chave “NTUSER\Software\Microsoft\Internet Explorer\TypedURLs” do registro do Windows são armazenados
os últimos 25 endereços digitados pelo usuário no IE9 e, a partir do IE10, são registrados os últimos 50
endereços.
Esses registros indicam que o usuário ativamente quis acessar determinada URL, pois não são gravados os
cliques em endereços, mas apenas o que efetivamente o usuário digitou
Auto-completar
–
Auto-completar
O IE10 também registra a última vez em que a URL digitada foi utilizada, salvando essas informações na chave
do registro “NTUSER\Software\Microsoft\Internet Explorer\TypedURLsTime”
Auto-completar
Auto-completar
Favoritos
Fornece uma perspectiva dos interesses do usuário do computador
Informações que podem ser obtidas:
– Conta do usuário
– URL
– Título da página
– Data de criação e de último acesso
Cuidado: nem todo link registrado como Favorito foi criado pelo usuário
Favoritos
São criados arquivos de atalho de Internet (extensão .url) na pasta “%USERPROFILE%\Favorites”
Favoritos
Ferramentas
Favoritos
A ferramenta NirSoft FavoritesView permite a consulta aos favoritos do Internet Explorer e do Mozilla Firefox.
Pastas de Recuperação (Recovery Folders)

– A partir do IE8, são salvas a última sessão (e a atual, se um crash ocorreu) em uma pasta de Recuperação
– Essa pasta é habilitada por padrão e é apagada quando o Histórico é limpo
– Permite identificar
• Histórico de sítios abertos (em cada aba)
• Momento em que a sessão começou e terminou
• HTML, JavaScript e XML da página
• Informações de formulários

– As informações de início e fim são obtidas da seguinte forma:
• Data e horário de criação dos arquivos .dat na pasta “Active” indicam o início da sessão
• Data e horário de criação dos arquivos .dat na pasta “LastActive” indicam o fim da sessão
– Essa funcionalidade pode ser desabilitada via GPO ou alterando para “1” o valor “NoReopenLastSession”,
presente na chave “HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery”

A localização da pasta de recuperação, no Windows XP (apenas para o IE8, pois o IE9 não é
executado no XP):
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/Active
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/LastActive

A localização da pasta de recuperação, no Windows 7, 8 e 10:
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Active (Sessão atual)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Last Active (Última Sessão)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Immersive/Active (Sessão atual - Modern IE Application)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Immersive/Last Active (Última Sessão - Modern IE Application)
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/High/Active (Sessão atual – Alta Permissão)
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/High/Last Active (Última Sessão - Alta Permissão)
Pasta de Recuperação do IE (Recovery Folder)

– A ferramenta Mitec Structured Storage Viewer permite a análise dos arquivos .dat presentes na pasta de
Recuperação do IE.
– Esses arquivos estão em formato Structure Storage, que é uma forma de armazenar várias informações (ou
fluxos de dados) em um único arquivo.
– No exemplo no próximo slide, existia apenas
Ferramentas
Pasta de Recuperação do IE (Recovery Folder)
Senhas armazenadas no IE
– A partir do IE10, o Windows armazena, as credenciais (nome de usuário e senha) de acesso a sítios
de Internet em um sistema denominado “Windows Vault”, uma espécie de cofre dos dados.
Os dados armazenados são separadas em dois tipos:
– Usuário
• %USERPROFILE%\AppData\Local\Microsoft\Vault\{GUID}
• %USERPROFILE%\AppData\Roaming\Microsoft\Vault\{GUID}
– Sistema
• \Windows\System32\config\systemprofile\AppData\Local\Vault\{GUID}
• \Windows\System32\config\systemprofile\AppData\Roaming\Vault\{GUID}
– Essas informações estão cifradas com as credenciais de acesso do Windows (nome de usuário e
senha do SO)
– Se essas credenciais do SO são conhecidas, a forma mais fácil de recuperar esses dados é através
da execução de uma ferramenta, tal como a NirSoft WebBrowserPassView, em uma máquina
virtual.
– Se as credenciais não forem conhecidas, será necessária a utilização de aplicativos de quebra de
senha
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome

– A ferramenta NirSoft WebBrowserPassView permite acessar informações de usuários e senhas de diversos
navegadores de Internet.
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome

Internet Explorer (IE) / Edge
Revisão
Artefato Localização
Histórico WebCacheV*.dat ou Histórico no Index.dat
Cache WebCacheV*.dat ou Cache no Index.dat
Cookies WebCacheV*.dat ou Cookies no Index.dat
Favoritos Arquivos .url
Histórico de
WebCacheV*.dat ou IEDownloadHistory Index.dat
Download
URLs digitadas Registro
Auto-completar WebCacheV*.dat ou Histórico no Index.dat
Senhas de Internet Área protegida
Edge Browser
• Novo navegador da Microsoft

• Semelhante ao IE10, não grava mais dados no index.dat, grava principalmente em bancos de dados
EDB
• Configurações do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\User\Default\DataStore\Data\no
user1\xxxxx\DBStore\spartan.edb
• Cache do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\AC\#!001\MicrosoftEdge\Cache\
• Última sessão ativa do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\
Histórico EDGE
• Arquivo de histórico:
– \Users\user_name\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.
dat
• Na verdade trata-se de um banco de dados .EDB

• Pode ser analisado através das ferramentas EseDbViewer ou ESEDatabaseView
• Arquivo sujo (não desmontado corretamente): usar o esentutl.exe
• Nesse arquivo também são gravados os Cookies
Mozilla Firefox
Mozilla Firefox
Informações sobre o navegador

– O Firefox é um navegador de código aberto e presente em diversas plataformas (Windows, Linux e MacOS)
– Apresenta os mesmos artefatos do IE:
• Histórico
• Cache
• Cookies
• Favoritos
Mozilla Firefox
Informações sobre o navegador

– O Firefox facilita o trabalho do perito em alguns aspectos e dificulta em outros:
• Não existem entradas no registro
• Os arquivos estão localizados de forma centralizada
• As bases de dados são complexas e necessitam de aplicativos para serem interpretadas
Mozilla Firefox
Versões
– Versão 1.5 – lançado em 2005 e dificilmente é encontrado
– Versão 2 – lançado em 2006 e dificilmente é encontrado
– Versão 3 – lançado em 2008
– A partir da Versão 4 – passou a adotar um acelerado processo de novas versões (a versão atual é a 56)
Mozilla Firefox

Sistema
Artefato Localização
Operacional
Histórico, cookies,
%USERPROFILE%\Application Data\Mozilla\
Favoritos e
Firefox\Profiles\<número_aleatório>.default\
Windows XP Autocompletar
%USERPROFILE%\Local Settings\Application
Cache
Data\Mozilla\Firefox\Profiles\<número_aleatório>.default\Cache
Histórico, cookies,
%USERPROFILE%\AppData\Roaming\Mozilla\
Favoritos e
Firefox\Profiles\<número_aleatório>.default\
Windows Vista+ Autocompletar
%USERPROFILE%\AppData\Mozilla\Firefox\Profiles\<número_aleatório>.defa
Cache
ult\Cache
Mozilla Firefox
Formato dos arquivos de dados (SQLite)

– Base de dados baseado no SQL
– As bases de dados mais importantes são:
• Places.sqlite – histórico, favoritos, auto-completar e downloads
• Formhistory.sqlite – dados de auto-completar formulários
• Cookies.sqlite – cookies
• Signons.sqlite – nomes de usuários e senhas
• Webappsstore.sqlite – armazenamento HTML5
• Extensions.sqlite – extensões
– O cache é o único grande artefato não armazenado em SQLite

Mozilla Firefox
Histórico
– O Firefox mantém um maior registro de histórico de navegação que o IE. Os principais campos, gravados na
tabela “places.sqlite”, são:
• URL – endereço acessado
• Title – título da página
• Visit_count – quantidade de vezes que o sítio foi acessado
• Typed – se foi o usuário que digitou o endereço ou foi acessado por um link
• Last_visit_date – data e horário da última visita
• Hidden – a página foi acessada com alguma ação do usuário ou não
Ferramentas
– A ferramenta NirSoft BrowsingHistoryView permite acessar informações de histórico de navegação dos
aplicativos Internet Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Mozilla Firefox
Cache
– O Firefox utilizou a mesma estrutura de cache até a versão 32. Até a versão 31, a base de dados utilizada era
muito complicada, e é mais seguro utilizar alguma ferramenta especialmente criada para essa finalidade.
– A partir da versão 32, o Firefox passou a adotar uma implementação mais simples.
Mozilla Firefox
Cache
– Até a versão 31 no Windows XP, os dados eram encontrados na pasta “%USERPROFILE%\Local
Settings\Application Data\Mozilla\ Firefox\Profiles\<número_aleatório>.default\Cache”.
– Em computadores com Windows Vista ou superior, na pasta
“%USERPROFILE%\AppData\Mozilla\Firefox\Profiles\<número_aleatório>.default\Cache”.
Mozilla Firefox
Cache
– A partir da versão 32, os dados podem ser encontrados na pasta
“%USERPROFILE%\AppData\Local\Mozilla\Firefox\Profiles\<número_aleatório>.default\cache2”
Mozilla Firefox
Cache
– Os principais metadados armazenados, a partir da versão 32, são:
• URL – endereço de onde o conteúdo foi obtido
• Fetch count – quantas vezes o conteúdo foi acessado
• Filename – nome do arquivo
• Content Type – tipo do arquivo (jpg, gif, JavaScript, etc)
• File size – tamanho do arquivo
• Last Modified Time – última vez em que o conteúdo foi armazenado no cache
• Last Fetched Time – última vez em que o conteúdo foi utilizado do cache
Mozilla Firefox
Cookies
– Até a versão 2, o Firefox gravava as informações de cookies no arquivo “cookies.txt”
– A partir da versão 3, as informações relacionadas a cookies são armazenadas, pelo Firefox, no arquivo
“cookies.sqlite”.
– Não são mantidos, como no IE, arquivos individuais. O Firefox armazena todas as informações na referida
tabela.
Mozilla Firefox
Cookies
– Os principais metadados armazenados são:
• BaseDomain – domínio de onde originou-se o cookie
• Name – nome do atributo
• Value – valor do atributo
• lastAccessed – data e horário do último acesso ao cookie
• creationTime – data e horário de criação do cookie
• isSecure – o cookie foi gerado em um a conexão segura?
Mozilla Firefox
Downloads
– Da versão 3 até a versão 25, as informações de download eram armazenadas no arquivo SQLite denominado
“downloads.sqlite”.
– A partir da versão 26, o Firefox passou a armazenar os registros dos arquivos que foram baixados (download)
na base de dados SQLite com o nome “places.sqlite”, em uma tabela denominada “moz_annos”
Mozilla Firefox
Downloads
– A partir da versão 26, a tabela denominada “moz_annos” utiliza os campos “Anno_atribute_id” para várias
informações:
• 7 – localização onde o arquivo foi salvo
• 8 – nome do arquivo
• 9 – registra se o download teve sucesso (1) ou não (0)
– Para saber a origem do arquivo, deve ser cruzado o campo “place_id” da tabela “moz_annos” com o campo
“id” da tabela “moz_places”
Mozilla Firefox
Histórico de download
A ferramenta NirSoft FirefoxDownloadsView permite a consulta aos downloads realizados pelo Mozilla Firefox.
Ferramentas
Histórico de download
Mozilla Firefox
Favoritos
– Até a versão 2 do Firefox, os Favoritos eram armazenados em um arquivo, em formato HTML, com o nome
“bookmarks.html”. Algumas informações não eram apresentadas quando esse arquivo era visualizado em um
navegador de Internet.
– A partir da versão 3, o Firefox passou a armazenar os favoritos em um arquivo de base de dados SQLite com
o nome “places.sqlite”, em uma tabela denominada “moz_bookmarks”.
Mozilla Firefox
Auto-completar
– As informações de auto-completar estão armazenadas no arquivo em formato SQLite “formhistory.sqlite”.
Mozilla Firefox
Revisão
Artefato Firefox 1.5 e 2 Firefox 3+
Histórico history.dat places.sqlite
Cache _CACHE_ CACHE2
Cookies cookies.txt cookies.sqlite
Favoritos bookmarks.html places.sqlite
Histórico de
downloads.rdf places.sqlite
Download
formhistory.sqlite
Auto-completar formhistory.dat
places.sqlite
Google Chrome
Google Chrome
Informações
– Lançado em Dezembro de 2008
– Localização dos artefatos
• Windows XP: %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default
• Windows Vista: %USERPROFILE%\Appdata\Local\Google\Chrome\user Data\Default
Google Chrome
Informações
– A grande maioria dos artefatos são gravados em bancos de dados no formato SQLite.
– O Chrome grava as informações de datas e horários no formato WebKit
Google Chrome
Favoritos
O Chrome armazena os Favoritos em um arquivo no formato JSON com o nome “Bookmarks” (sem extensão).
Google Chrome
Histórico
– O Chrome armazena os registros de sítios acessados no arquivo de banco de dados SQLite com o nome
“History”.
– Após aproximadamente 3 meses, os dados são movidos para o arquivo “Archived History”. Essa tabela
registra uma quantidade menor de informações que a tabela “History”. Esse artefato foi removido a partir da
versão 37.
Google Chrome
Revisão
Artefato Nome do arquivo Formato
Histórico History, Top Sites, Archived History SQLite
Cache Data_#, f_##### -
Cookies Cookies SQLite
Favoritos Bookmarks, Bookmarks.bak JSON
Histórico de
History SQLite
Download
History, Web Data, Network Action

Auto-completar SQLite
Predictor
Ferramentas
Ferramentas
Acesso a banco de dados no formato SQLite
– A ferramenta SQLiteStudio permite acessar informações que estão gravadas em bancos de dados no
formato SQLite. Esse formato é utilizado pelo Mozilla Firefox para registro das informações
Ferramentas
Acesso a bancos de dados SQLite
Ferramentas
Informações do Chrome
– A ferramenta Woanware ChromeForensics permite acessar uma grande quantidade das principais
informações presentes nos arquivos do Chrome.
Ferramentas
Informações do Chrome
FireFox
• Armazena seus dados em bancos de dados SQLite 3
– Várias ferramentas abertas abrem esses bancos de dados
– SQLite Viewer
• Firefox armazena seus dados em uma pasta dentro do profile de cada usuário
• Pasta contém o profiles.ini
– Profiles.ini contém outras pastas onde são encontrados:
• Formhistory.sqlite
• Downloads.sqlite
• Cookies.sqlite
• Places.sqlite
FireFox
• Cache
– Diretório de cache do firefox contém vários arquivos binários
– Ferramentas que abrem esses arquivos:
– NirSoft
– Woanware (conjunto de ferramentas forenses free)
– http://www.woanware.co.uk/forensics/index.html
Chrome
• Armazena os dados em diretório do usuário
• Usa banco de dados SQLite
– Cookies
– History: tables downloads, urls, visits
• Datas armazenadas no formato Jan 1, 1601 UTC
– Dados de Login
– Web Data (autofill)
– Thumbnails (dos sítios WEB visitados)
• Chrome bookmarks
– Arquivos com objetos JSON
Anonimizadores
Gustavo Pinto Vilar

Anonimizadores
– Objetivos
• Cifrar o conteúdo transmitido
• Ocultar o endereço IP do usuário
Anonimizadores
– Servidores Proxy
• Manter cópias dos conteúdos previamento acessados para economizar banda em ambientes corporativos
• Geralmente, utilizam o protocolo HTTP (TCP/80)
• Ex: Squid, Nginx e MS Forefront Threat Management Gateway (antigo ISA Server)
– Provedores Proxy
• Contornar restrições geográficas de conteúdo (Ex: Netflix, YouTube, etc)
• Manter usuários anônimos
• Ex: https://www.hidemyass.com/proxy
Anonimizadores
– VPN
• Virtual Private Network
• Permitem o acesso a uma rede corporativa por meio de um "túnel virtual" acessível a partir de uma rede pública
compartilhada
• Geralmente, todo o tráfego é direcionado para o "túnel virtual"
• Recentemente, também passaram a ser utilizadas para contornar restrições geográficas e garantir a navegação anônima do
usuário
• Geralmente, um provedor oferece o serviço de Proxy gratuitamente, com limitação de largura de banda e oferece a VPN
com um serviço pago
Anonimizadores
– VPN
• Devem ser usados com muita cautela
– Todo o tráfego é direcionado para o provedor
• Recentemente, foi divulgado que vários provedores "gratuitos" injetavam propagandas nas
páginas web visitadas, além de monitorar o comportamento do usuário para melhorar essas
propagandas
Anonimizadores
– TOR - The Onion Router
• Oferecer acesso seguro aos usuários
• Oferecer liberdade de comunicação, dificultando a perseguição por regimes autoritários
• Atua na camada de aplicação, redirecionando e cifrando o tráfego para uma rede de servidores voluntários
• Como não existem requisitos mínimos de hardware e banda dos voluntários, o tráfego é lento
Anonimizadores
– TOR - Tipos de nós
• Entrada: Servidor que é acessado diretamente pelo cliente TOR
• Trânsito/Relay: Servidores intermediários que fazem o roteamento entre os nós de entrada
e de saída
• Saída: Servidor responsável entregar os pacotes ao destino final
•
Anonimizadores
– TOR - Mais informações
– O tráfego entre o nó de saída e o destino está em texto claro
– Navegador TOR
• Necessário para acessar a rede
• Versão modificada do Mozilla Firefox
• Não requer instalação
• Vem configurado com o modo privado por padrão
The Onion Router (TOR)
– Conjunto gratuito de aplicativos criados para garantir segurança e anonimato
– Também permite a disponibilização de serviços (ex: Blog) garantindo segurança e anonimato ao
servidor
– Principais usuários:
• Pessoas sob censura
• Pessoas que querem anonimato
• CRIMINOSOS
– Funciona criando vários caminhos (circuito) por onde a informação trafega cifrada,
impedindo a análise do tráfego
– Cada nó do circuito não sabe a origem ou o destino da conexão, apenas conhece o nó
anterior e o próximo nó
– Só funciona com TCP
– Por eficiência, o TOR troca o circuito para conexões a cada 10 minutos
Serviços Ocultos (TOR)
Ross Ulbricht
Dread Pirate Roberts
Preso em 2013
Caso da bomba em Harvard
E-mail (https://www.guerrillamail.com/)
http://torstatus.blutmagie.de/
shrapnel bombs placed in:
science center
sever hall
emerson hall
thayer hall
2/4. guess correctly. Eldo Kim

Preso em 2013
be quick for they will go off soon

Material Didático

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Material Didático

Enviado por

Direitos autorais:

Formatos disponíveis

Análise de Local

➢ Apresentação de slides com os conceitos,

➢ Apresentação dos principais termos técnicos relacionados a uma análise forense de um

➢ Execução dos principais métodos para a realização dessa análise.

➢ Exemplos de ferramentas e utilitários.

➢ Atividades práticas serão divididas naquelas em que o professor realizará a

➢ COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

➢ PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

➢ WEB, DEEP WEB E DARK WEB

➢ ANÁLISE DE SÍTIOS DE INTERNET

➢ ANÁLISE DE NAVEGADORES DE INTERNET

A avaliação será feita com base nos

➢ COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

➢ PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

➢ WEB, DEEP WEB E DARK WEB

➢ ANÁLISE DE SÍTIOS DE INTERNET

➢ ANÁLISE DE NAVEGADORES DE INTERNET

➢ COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

➢ PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

➢ WEB, DEEP WEB E DARK WEB

➢ ANÁLISE DE SÍTIOS DE INTERNET

➢ ANÁLISE DE NAVEGADORES DE INTERNET

“Uma foto de Mark Zuckerberg,

➢ Fatores que estimulam a prática de crimes:

➢ COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

➢ PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

➢ WEB, DEEP WEB E DARK WEB

➢ ANÁLISE DE SÍTIOS DE INTERNET

➢ ANÁLISE DE NAVEGADORES DE INTERNET

Pode-se assim definer Perícia como sendo a expressão

• § 1º Os peritos serão nomeados entre os profissionais legalmente

O juiz, embora não seja obrigado a se prender ao laudo, não é

Ademais, o art. 158 do CPP determina: “Quando a infração

Corpo de delito é o conjunto de elementos materiais que

Resultado do exame pericial elaborado em

1. Perícias em local de Infração Penal

Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente

3. Perícias em Crimes Contra o Patrimônio

Art. 171. Nos crimes cometidos com destruição ou rompimento de

Art. 172. Proceder-se-á, quando necessário, à avaliação de coisas destruídas,

Art. 173. No caso de incêndio, os peritos verificarão a causa e o lugar em que

III - a autoridade, quando necessário, requisitará, para o exame, os documentos que

7. Perícias de Eficiência de Objeto

Art. 175. Serão sujeitos a exame os instrumentos empregados para

Necropsia: art. 162

– Projeto de Lei nº 84/99

Garantir a privacidade dos dados pessoais e permitir um maior controle sobre

Controlador: a quem competem as decisões do tratamento de dados pessoais,

São os que podem ser rastreados até um indivíduo e que, se divulgados,

A notificação sobre a ocorrência de incidentes de segurança para a ANPD

Considera-se “tratamento” toda a operação realizada com dados pessoais,

Organizações públicas ou privadas em território nacional, bem como as com

São dados anonimizados aqueles cujo titular não possa ser

“O conjunto de meios idôneos, visando à afirmação da existência positiva ou negativa de um fato,

Quanto à forma, podem ser classificadas em:

– Documental: literal ou instrumental (escritos públicos ou particulares, cartas, livros comerciais,

– Material: corpo de delito, exames, vistorias, instrumento do crime, etc.

A fragilidade das provas de natureza pessoal reforça a necessidade da prova material e de

O ex-ministro Carlos Mário da Silva Velloso, do Supremo Tribunal Federal, classificou a

O objeto da prova é o FATO.

A prova pode ser direta ou indireta:

1. Perícia (arts. 158 a 184 do CPP)

Estação Pericial Virtual.vdi

Gustavo Pinto Vilar