FORENSE DIGITAL E DOCUMENTOSCOPIA

Aula 3 - COMPUTAÇÃO FORENSE – Parte 3

Softwares

Atualmente, há disponíveis no mercado diferentes equipamentos e softwares

forenses para auxiliar a realização desta tarefa, como, por exemplo, produtos para
acesso somente das leituras das informações dos discos rígidos e para duplicação.

Os dispositivos mais comumente utilizados são os bloqueadores de escrita em

disco rígido, em virtude de serem mais simples de utilizar. Esses dispositivos têm
garantia certificada pelo hardware de que os dados não serão gravados quando
conectado ao material questionado e o computador, e, desse modo, somente é preciso
usar o programa específico para a cópia do disco (ALMEIDA, 2011).

Os dispositivos Espion Forensics Fastblock 3 FE e Forensic Bridge Tableau,

para discos, e ICS Write Protect Card Readerpara cartões de memória, são exemplos
de bloqueadores de escrita amplamente empregados em processos de duplicação
forense. Quanto aos duplicadores forenses, esses são equipamentos muito avançados
que bloqueiam a escrita e permitem fazer cópias para outros discos rígidos via
espelhamento ou imagem. Seu uso para o procedimento de duplicação de dados tem
como vantagem a capacidade de suportar múltiplas interfaces de conectores (IDE,
SATA), além de uma velocidade muito maior na cópia de informações e não requer o
uso de um computador dedicado (ALMEIDA, 2011). Eles são reconhecidos por fazer
1
 FORENSE DIGITAL E DOCUMENTOSCOPIA

cópias de um ou mais discos de origem para outros discos de destino (um ou mais
discos), não havendo esses equipamentos, a duplicação pode ser feita com softwares
específicos que não causam alterações nas evidências existentes no material
questionado.

Esses softwares podem ser os sistemas operacionais forenses Knoppix e Helix,

acessam os dados de leitura e têm o comando dd (duplicar disco). Um computador que
contém discos rígidos questionados e que estão desprotegidos de gravações não deve
ser inicializado em sistemas operacionais convencionais, já que, mesmo se o usuário
não fizer operações, ainda ocorrerão alterações nos dados.

Pode haver não somente riscos de alterações das informações armazenadas, mas
os dados contidos nos equipamentos computacionais podem ser perdidos com o passar
do tempo, em virtude do fim da vida útil dos materiais de fabricação, quebra dos
dispositivos mecânicos ou desmagnetização. Em razão desta fragilidade, é comum no
meio computacional fazer cópias de segurança dos dados (CONSTANTINO, 2012).

Outro fator de influência a se considerar é a sensibilidade ao tempo de uso.

Quando um computador é usado para realizar um crime, seja ele o meio ou a ferramenta
de realização, os rastros deixados nos dispositivos de armazenamento podem ser
apagados pelo usuário. As chances de recuperação de tais informações nesse caso
diminuem à medida que os equipamentos são utilizados. Nesse sentido, o tempo é
crucial para as investigações que envolvam esses vestígios digitais e os exames
forenses devem ser feitos tão rapidamente quanto possível, a partir do momento em
que o material é apreendido, para minimizar a perda de evidências, seja pelo excesso
de tempo de vida ou de tempo de uso do dispositivo (CONSTANTINO, 2012).

Esses procedimentos são importantes porque, além de preservar a prova, se o

perito cometer algum erro que provoque alterações ou perda de informações, a
investigação não será comprometida, pois a fonte estará intacta e somente a cópia terá
sido perdida ou danificada. A importância dos cuidados com as amostras a serem
investigadas se estende até o tribunal: os juízes podem considerar as evidências
inválidas dependendo de como elas estiverem e os advogados de defesa podem
contestar a legitimidade da prova, o que consequentemente prejudica o caso
(CONSTANTINO, 2012).

Portanto, é de responsabilidade do perito a garantia da cadeia de custódia, pois

ele deve garantir a proteção e a idoneidade da prova para evitar questionamentos
referentes à origem ou ao estado final de uma evidência, já que qualquer suspeita pode
tornar a prova nula e colocar em risco toda a investigação. Existem ainda os cuidados
ao manipular os equipamentos que serão periciados, tendo em vista que até mesmo
uma operação simples pode causar alterações nas evidências armazenadas. O simples
ato de ligar o computador altera determinados arquivos, datas de último acesso, e cria
2
 FORENSE DIGITAL E DOCUMENTOSCOPIA

arquivos temporários (mesmo sem o usuário executar qualquer ação). Uma conexão de
pen drive na porta USB também pode gerar a gravação de dados no dispositivo.

Nesse sentido, podemos concluir que toda e qualquer atividade deve ser
executada buscando a garantia de que as informações armazenadas não irão sofrer
alterações. Assim, os exames forenses devem, sempre que possível, ser feitos em
cópias fiéis do material original (ALMEIDA, 2011). Ao finalizar a etapa de
preservação, o material questionado ou original que tenha sido copiado deve ser
lacrado e guardado como evidência em local específico (CONSTANTINO, 2012).

Coleta e recuperação de evidências

Após todos os cuidados para a preservação das provas, a perito parte para a etapa
seguinte que é a busca e coleta de evidências. A atuação pericial em um sistema violado
se inicia a partir do momento em que o profissional de segurança tenta identificar como
aconteceu o delito e qual a extensão do prejuízo causado, isto é, ele busca informações
e aspectos do sistema operacional que foram afetados. Posteriormente à etapa de
reconhecimento inicial, o perito procede à coleta e análise de evidências para obter o
máximo de dados periciais digitais possíveis (BEGOSSO, 2010).

As imagens Bit copy (cópia bit a bit) de discos rígidos com dados alocados e não
alocados podem conter informações importantes para a investigação, sendo que os
últimos (dados não alocados) podem ser intencionalmente excluídos, como podem ser
excluídos automaticamente gerando uma exclusão temporária de arquivos.

Infelizmente, muitas vezes esses dados não são facilmente acessados. Porém,
uma pesquisa nos dados brutos pode recuperar documentos de texto importantes, ainda
que esses não auxiliem na obtenção de informações presentes em imagens ou arquivos
compactados. Além disso, também acontece de não se ter conhecimento de antemão
das sequências exatas que devem ser procuradas (ALHERBAWI, SHUKUR,
SULAIMAN, 2013).

3
 FORENSE DIGITAL E DOCUMENTOSCOPIA

Identificação e recuperação

Uma investigação deve ser conduzida primeiramente pela revisão das evidências
disponíveis e pela identificação de evidências perdidas ou apagadas. Esta etapa é
indispensável, principalmente porque leva o perito a informações não vistas e evita
conclusões incorretas ou incompletas sobre um determinado caso (CASEY, KATZ,
LEWTHWAITE, 2013).

Quando se tem informações a respeito dos arquivos que podem ter sido perdidos,
é preciso que esses sejam recuperados. Existem diversas formas de recuperar arquivos
do espaço não alocado, dentre as quais a maioria das técnicas faz uso de informações
do sistema de arquivos para localizar e recuperar aqueles excluídos. As vantagens dessa
abordagem são principalmente sua rapidez e a obtenção de metainformação (como data
de último acesso, resolução, ISO) que frequentemente pode ser recuperada.

Em contrapartida, existe a desvantagem de estas técnicas serem menos eficazes

quando as informações do sistema de arquivos estão corrompidas ou sobrescritas
(ALHERBAWI, SHUKUR, SULAIMAN, 2013).

Nesse sentido, o conhecimento do funcionamento de um HD é um fator crucial.

Quando um arquivo é excluído do disco, o sistema operacional não sobrescreve o
conteúdo com zero ou um, ou seja, com o processo feito no wipe para limpar ou zerar
Bits de um dispositivo. Ele apenas marca como livre o espaço que estava ocupado por
aquele conteúdo. Esse processo é conhecido como exclusão lógica, e com ele, os
arquivos existentes no HD são tratados pelo sistema operacional como um espaço
ocupado no disco. Quando esses arquivos são excluídos, o sistema os trata como espaço
livre (CONSTANTINO, 2012).

Com isso, esses trechos se tornam inacessíveis para o usuário comum, mas os
peritos conseguem recuperá-los e acessá-los a partir de técnicas e procedimentos
específicos. Se o processo de recuperação demora a ser realizado, o profissional se
deparará com grande dificuldade de recuperação das informações do dispositivo, tendo
em vista que o espaço no disco nesse momento já é marcado como livre. Assim, o
4
 FORENSE DIGITAL E DOCUMENTOSCOPIA

sistema operacional pode ocupá-lo com outras informações e, consequentemente,

comprometer a possibilidade de recuperação e leitura completa das informações
(CONSTANTINO, 2012).

Essa recuperação é realizada por meio de cabeçalhos ou assinaturas presentes

nos arquivos. Todos os arquivos, como JPEG, BMP, GIF, AVI, DOC, TXT, MP3 etc.
possuem uma assinatura que os identificam e diferenciam. A busca por um arquivo
removido é inicialmente feita por sua assinatura e, assim que esta é identificada, se
torna possível buscar seu conteúdo, seja de forma integral, quando se consegue uma
recuperação completa, ou parcial, caso somente parte do arquivo tenha sido sobrescrito.

A recuperação por meio de assinaturas é também chamada de Data Carving. Em

sistemas GNU/Linux pode ser feita a recuperação por programas como o Foremost,
Scalpel, entre outros. A execução do Foremost deve ser feita pela instalação do
terminal do sistema. A busca pode ainda ser filtrada de acordo com o tipo de arquivo.
Dessa forma, o programa consegue procurar por arquivos GIF e PDF especificamente.

Esse programa apresenta diversos parâmetros e pode ser utilizado de diferentes

formas, como, acessando a documentação do programa digitando “man foremost” no
terminal do sistema. A partir disso, pode-se identificar parâmetros disponíveis, bem
como sua forma correta de uso. Para o uso do programa Scalpel, é preciso configurar
conforme o tipo de busca que será feita.

Assim, o procedimento segue com a edição do arquivo de configuração, aqui, o

“arquivo” é a imagem, partição ou dispositivo a ser analisado e o “diretório” indica
onde serão salvas as respostas da execução. Sabe-se ainda que cada computador tem
suas particularidades, e por essa razão, é necessário conhecer os diferentes sistemas
operacionais e suas características, para que a busca de informações e provas seja
realizada de forma correta.

A seguir serão apresentadas algumas especificidades dos sistemas operacionais

Windows e Linux/Unix, respectivamente:

Windows:

5
 FORENSE DIGITAL E DOCUMENTOSCOPIA

1. Arquivos e sistema de arquivos: Utilizar ferramentas de linha de comando pode

auxiliar o investigador a verificar e examinar a hora, data de instalação do
sistema operacional, service packs, patches e subdiretórios como drivers que
atualizam automaticamente.

2. Arquivos ocultos: Ferramentas que buscam no registro, localizam dados em

extensões de arquivos ocultos ou mascarados, como fluxos de dados alternativos
NTFS podem ser empregados.

3. Detecção de arquivos incomuns ou ocultos alterando as janelas para exibição de

determinados tipos de arquivos ocultos:

A. arquivos compactados;
B. arquivos mal nominados;
C. arquivos criptografados;
D. arquivos protegidos por senha;
E. Atributos de arquivos;
F. clusters marcados como ruins;
G. ID de segurança: ID de segurança da Microsoft é localizado no registro na lista
de perfis que possui dados do computador.

4. Slack space: Espaço existente no fim do arquivo do último Cluster que contém
dados do computador;

5. Registro do Windows: É um banco de dados que contém todas as informações

sobre o computador onde são armazenadas, como por exemplo:

A. Configuração do sistema operacional;

B. Informações de configuração do aplicativo;
C. Informações de configuração de hardware;
D. Informações de segurança do usuário;
E. Informações atuais do usuário.

6. Localizar evidências do spooler de impressão do Windows e meta-arquivos

avançados (EMF), ainda que um usuário nunca tenha salvado um documento de
processamento de texto, as versões temporárias de documentos de
processamento de texto algumas vezes permanecem no disco rígido.
6
 FORENSE DIGITAL E DOCUMENTOSCOPIA

Linux/Unix:

1. A cópia de trabalho restaurada deve ser montada e posteriormente deve-se iniciar

a análise do conteúdo.

2. O comando Is deve ser usado para visualizar o conteúdo do disco, para listar
todos os arquivos, inclusive os ocultos e listar os diretórios de forma recursiva.

3. Deve-se listar todos os arquivos, tempos de acesso e fazer a busca de evidências

prováveis utilizando o comando grep.

4. Listar extensões de arquivos desconhecidos e aparência de arquivo alterado.

5. Pesquisar nas áreas:

A. Syslog: Coração do logging do Linux.

B. tempo de acesso de arquivo.

C. detecção de arquivos incomuns ou ocultos, compactados e com nomes

incorretos, arquivos criptografados e protegidos por senha.

D. Data carving: O Data Carving é um método de identificação e extração de

arquivos também conhecido como File Carving, em que a identificação independe do
sistema operacional ou de arquivos existentes. Seu funcionamento é como uma
assinatura de um tipo específico de arquivo, além de ser baseado nas informações
existentes nos cabeçalhos, rodapés e setores de um disco (CONSTANTINO, 2012).

Este método é principalmente usado em casos que necessitam de uma técnica

independente que não requer as informações do sistema de arquivos. Essa ação pode
ser também realizada identificando as partes e arquivos excluídos, acessando
diretamente os dados brutos e extraindo-os de forma verificável (ALHERBAWI,
SHUKUR, SULAIMAN, 2013).