Como escrever relatorios/laudos de

Forense Computacional e Análise de

Malwares
Muitos analistas e peritos possuem todo o know-how e skill técnico para executar um trabalho de
Resposta a Incidentes e Forense Computacional, dominam as ferramentas, as técnicas, e até mesmo
os processos e procedimentos necessários para garantir a integridade do processo e a validade das
evidências e provas coletadas.

Porém, uma das partes mais importantes neste tipo de atividade é o relatório final, aquele que será
escrutinado e atacado por suas possíveis deficiências. São fatores importantes desde a adequação ao
público-alvo, organização e apresentação dos achados até a sustentação dos argumentos e hipóteses
que levaram às conclusões apresentadas.

Infelizmente não há muito material de qualidade disponível sobre este tema, apesar de alguns
livros tratarem deste assunto de forma adequada. A boa notícia é que nesta semana dois artigos
relevantes foram publicados sobre aspectos relacionados à escrita de relatórios:

O Brad Garnett publicou no blog do SANS Institute o post “Report Writing for Digital Forensics: Part
II”

1- http://computer-forensics.sans.org/blog/2013/02/26/report-writing-digital-forensics-part-ii

Este post é uma continuação de um excelente material que já havia sido publicado em 2010:
2- http://computer-forensics.sans.org/blog/2010/08/25/intro-report-writing-digital-forensics

Coincidentemente, o Lenny Zeltser publicou “What to include in a Malware Analysis Report”

3 – http://www.zeltser.com/reverse-malware/malware-analysis-report.html

Além das novas referências, aproveito para divulgar outros materiais online que são relevantes aos
interessados pelo o assunto:

4 – NIJ/DoJ – Forensic Examination of Digital Evidence: A Guide for Law Enforcement

https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

5 – NIST – SP800-86 – Guide to Integrating Forensic Techniques into Incident Response

http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf

6 – DoJ – Obtaining and Admitting Electronic Evidence

http://www.justice.gov/usao/eousa/foia_reading_room/usab5906.pdf

7 – Sans Institute – Becoming a Forensic Investigator

http://www.sans.org/reading_room/whitepapers/forensics/forensic-investigator_1453

SSegurança – blog.suffert.com: Como escrever relatorios/laudos de Forense Computacional e

Analise de Malwares.
Falando sobre Forense Computacional
A forense digital, é uma ciência ou técnica relativamente recente no campo da segurança digital,
pois poucas décadas no separam do surgimento do computador de demais dispositivos tecnológicos
que poderiam ser utilizados em crimes digitais.

Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a apresentação
de informação sobre a atividade maliciosa. E o processo de investigação é que nos provê as
informações necessárias para a análise forense, que vai nos levar à conclusão final que poderá servir
até mesmo como base para uma decisão judicial.

Investigação digital
“Uma série metódica de técnicas e procedimentos para coletar evidências de um sistema
computadorizado, de dispositivos de armazenamento ou de mídia digital, que podem ser
apresentadas em um foro de uma forma coerente e formato inteligível”. – Dr. H. B. Wolf

A investigação digital é um processo onde uma hipótese é desenvolvida e testada para responder
algumas questões à respeito de uma ocorrência digital.

As informações utilizadas durante a recriação do cenário são coletadas ao longo do processo de

investigação em uma de suas fases iniciais. Com tais informações, é possível compreender o que
ocorreu, como ocorreu e até mesmo o objetivo por detrás das ações do responsável pelo
comprometimento do artefato digital. E a investigação digital tem como objetivo suportar ou
desmentir uma hipótese apresentada por uma análise inicial, e muitas vezes superficial, do cenário
comprometido.

Investigação digital X Forense digital

Por mais que pareça incoerente e estranho, a investigação digital difere da forense digital em
inúmeros pontos do processo – apesar de o objetivo central ser praticamente o mesmo.

A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois em um
processo de análise forense existe uma preocupação legal, não só uma preocupação técnica, ao
longo de todo o processo. Essa preocupação legal deve-se ao objetivo final de cada uma dessas
operações. A análise forense procura chegar numa conclusão final, que permita apresentar um
relatório com provas bem fundamentadas e amparadas nas leis vigentes daquele país, pois o mesmo
será utilizado para embasar uma decisão judicial, que precisa estar de acordo com os aspectos legais
de um processo válido. Do contrário, a investigação não alcançará seu objetivo, que é fundamentar
ou desmentir uma hipótese apresentada durante a análise do caso.

Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, bem como a
reação às novas ameaças. O que acaba dificultando o processo de investigação, pois ainda se utiliza
leis de um paradigma antigo, para enquadrar crimes ocorridos em um paradigma completamente
diferente, com artefatos diferentes, objetivos e métodos diversos.

Já a investigação digital tem um foco diverso, mais voltado para as técnicas e ferramentas utilizadas
do que ao aspecto legal de um processo judicial. Isso permite ao perito focar seu trabalho em
descobrir e analisar as evidências de forma mais técnica e aprofundada, não se preocupando em
demasia com os aspectos legais de todo o processo.

Problemas concernentes à Forense computacional

Como a forense computacional é uma área relativamente nova, até mesmo por conta do pouco tempo
da popularização dos computadores, não há possibilidade de perfeição em seus métodos e formas de
atuação.
Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo certamente
serão melhorados:

■ Ainda, é mais uma arte do que ciência;

■ Ainda está em seus estados iniciais de desenvolvimento;

■ Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são baseadas;

■ Há falta de treinamento apropriado;

■ Não há padronização de ferramentas.

Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de pesquisas na
área, em pouco tempo, resolverão os mesmos.

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da

vítima ”. – James Borek

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e
daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação,
autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem
equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, todos os casos judiciais
envolverão a análise forense computacional.

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e
que tenha conhecimento suficiente para realizar a análise forense de um sistema comprometido, ou
que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos

relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento
de investigação estruturado. Esse procedimento de investigação estruturado está baseado em
metodologias que definem os passos básicos para o rumo de uma análise, permitindo que o
profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o
processo.
Crime cibernético
Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema
ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

■ Ferramentas do crime;
■ Alvo do crime;
■ Tangente do crime.

E o mesmo deve ser de duas categorias diferentes:

■ Ataque interno
■ Ataque externo

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:

■ Roubo de propriedade intelectual;

■ Avaria na rede de serviço das empresas;
■ Fraude financeira;
■ Invasão de crackers;
■ Distribuição e execução de vírus ou worm.

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior
incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

■ Testes, ou tentivas de aprender na prática, por script kiddies

■ Necessidade psicológica;
■ Vingança ou outras razões maliciosas;
■ Desejo de causar problemas para o alvo;
■ Espionagem – corporativa ou governamental.

Papel do investigador
O principal objetivo do investigador forense computacional é determinar a natureza e os eventos
relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento
de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um

conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar
como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional,
apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para
desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra
qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode
colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem
fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um
processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os

fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da
maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que
todo o processo também não seja invalidado.

Fonte: iMasters (Luiz Vieira)

Computação Forense com Software Livre

O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo
muito importantes para a tomada de decisões, por isso todo investimento em segurança é
necessário. As empresas precisam valorizar os profissionais de segurança da informação, pois eles
cuidam do bem mais importante que possuem. A área de segurança da informação é uma área
promissora, com a evolução da internet, com certeza teremos muitos problemas e incidentes, que
incluem: vírus, roubo de informações, ataques coordenados de crackers e muitos mais. As
estatísticas não são muito favoráveis, com relação a vírus e incidentes de segurança, segundo
cert.br.(Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). As
empresas precisam proteger sempre seus ativos de informação para evitar problemas e prejuízos. O
bem mais valioso que as empresas possuem são as informações que fazem ela funcionar, gerar
receita e lucratividade.

Neste ano ocorreram vários ataques cibernéticos a portais do governo, serviços prioritários e
empresas tradicionais, sendo os mais recentes, ataque e roubo de senhas de serviços, tais como
Linkedin, na qual foram decifradas 6 milhões de senhas dos usuários (dados não oficiais) e também
ocorreu roubos de informações da Rede Social Facebook. Quando um serviço nasce, ele pode ser
100% seguro, mas com a evolução das técnicas de invasão, logo trona-se vulnerável, por isso é muito
importante investir em proteção e segurança para suas informações e sistemas. Existem hoje,
diversos sistemas operacionais baseados em Linux e Software Livre, desenvolvidos exclusivamente
para profissionais e estudiosos de Segurança da Informação e Computação Forense. Os sistemas
possuem ferramentas e aplicativos exclusivos para realização de testes, análises e atividades da
área, tais como: recuperação de arquivos apagados, analisadores de logs do sistema e programas,
engenharia reversa, testes de invasão, vasculhador de tarefas executadas no sistema, analisador de
protocolos enviados e recebidos na rede, programas de força bruta para quebrar senhas, entre
outras coisas. Nesta era, em que estamos conectados em todos os lugares, os problemas e incidentes
tendem a aumentar, o mercado de segurança da informação é promissor, por isso busque
especialização nesta área, com certeza terá retorno rápido. Aproveite para conhecer alguns sistemas
operacionais baseados em Linux e Software Livre, que reúnem ferramentas e um conjunto de
aplicativos customizados para profissionais da área de segurança da informação, que trabalham com
Forense Computacional. São Eles:

FDTK – Forense Digital ToolKit

Distribuição Linux especializada em segurança da informação e computação forense, baseada em
Ubuntu, tendo como vantagem principal ser toda em português. O projeto possui um kit com mais de
100 ferramentas utilizada para realização de testes, coleta, análises em forense computacional.
Possui uma interface gráfica amigável, está em constante desenvolvimento, para que o usuário possa
contar com ferramentas forenses de qualidade, sem custo, tudo em português. O usuário pode
baixar a distribuição e instalar na sua máquina ou utilizar como LIVE CD, podendo rodar em
qualquer estação com drive de CD/DVD sem a necessidade de instalação no Disco Rígido.
Atualmente ela está na versão 3.0 sempre atualizada pela comunidade Linux e Software Livre.
Confira na Edição Nº 11 e 12 da Revista Espírito Livre, alguns artigos sobre essa distribuição.

Informações e download: http://fdtk.com.br/

BACKTRACK
Distribuição Linux com foco em segurança da informação e computação forense, o BackTrack possui
um arsenal de ferramentas para testes que auxiliam os profissionais na realização de avaliações de
segurança. O sistema é destinado a todos os públicos, dos profissionais de segurança mais
experientes aos novatos. Com ótimos recursos, o sistema pode ser utilizado para análises diversas,
avaliação de aplicação web e sistemas, aprender sobre segurança da informação, estudos de
engenharia social, realizar testes de penetração e vários outros aplicativos.

Informações e download: http://www.backtrack-linux.org/

CAINE
Distribuição Linux especializada em segurança da informação e computação forense, é baseada no
Ubuntu, a distribuição CAINE (Computer Aided Investigative Environment) é um projeto de forense
digital baseado em Linux e Software Livre. Com uma interface amigável e visual, o sistema possui
um pacote de aplicativos para realização de investigações forense que vão desde o básico ao
avançado. O sistema pode ser utilizado para diversas avaliações, confira a lista de aplicativos do
sistema. http://www.caine-live.net/page11/page11.html
Informações e download: http://www.caine-live.net/

SANTOKU
Distribuição Japonesa Linux especializada em segurança da informação e computação forense, com
foco em segurança mobile, engenharia reversa e análises de malwares, vírus em dispositivos móveis,
nas principais plataformas de smatphones e tablets. Atualmente as pragas virtuais para smartphones
e tablets crescem num ritmo acelerado, os recursos contidos nessa distribuição são muito úteis para
realização de testes e experiências em segurança móbile.
Informações e download: https://santoku-linux.com/

DEFT
Distribuição Italiana Linux, baseada em Ubuntu, especializada em segurança da informação e
computação forense, com kernel na versão atual 3. Um sistema profissional, estável com uma
excelente conjunto de ferramentas para realização de análises forenses, inteligência cibernética e
realização de testes. A distribuição possui cerca de 3 GB de tamanho, com um kit de ferramentas
chamado de DART (Digital Advanced Response Toolkit – Ferramenta de Resposta Digital Avançada).
O ambiente gráfico é o LXDE, porém no terminal é mais rápido a realização das tarefas. O usuário
pode usar o sistema através do CD – LIVE ou instalar na máquina. O DART possui diversas
ferramentas, citando as principais: descoberta de informações de rede, inclusive wireless, análise de
aplicações web, coleta de informações em redes sociais, proteção de identidade, clonagem de disco e
recuperação de arquivos. A equipe mantenedora do sistema disponibiliza um manual completo para
estudos.

Informações e download: http://www.deftlinux.net/

BACKBOX
Distribuição Linux, baseada em Ubuntu, especializada em segurança da informação e computação
forense. Foi desenvolvida para realização de testes de penetração e avaliações de segurança. O
projeto oferece ao usuário as melhores ferramentas para análises, testes e investigações forenses,
além de ser rápida, fácil de usar e fornecer um ambiente completo, a distribuição está sempre
atualizada para garantir qualidade e evolução constante.
Informações e download: http://www.backbox.org/

HELIX
Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e
computação forense, possui uma gama de ferramentas dedicada a investigações e estudos da ciência
da computação forense.
Informações e download: http://www.e-fense.com/

REMnux
Distribuição Linux, também baseada em Ubuntu, especializada em segurança da informação e
computação forense, utilizada por analistas de segurança na criação e administração de malwares
para engenharia reversa. Engenharia reversa, no caso, é utilizada para criar novas pragas para
combater as existentes. Os profissionais criam uma nova amostra de malware em laboratório para
infectar o sistema que possui o malware em questão e direciona as conexões potencialmente
maliciosas para o sistema REMnux, que estará escutando e analisando o software malicioso. O que
ocorre na verdade é a engenharia reversa, que estuda e entende como funciona o praga para
combatê-la. O kit de ferramentas do sistema inclui programas para análise de documentos
maliciosos e utilitários para a engenharia reversa de malware através de análise forense de
memória.
Informações e download: http://zeltser.com/remnux/

Não tive oportunidade de testar todos os sistemas, somente algumas distribuições. É necessário um
estudo prévio para analisar qual sistema é melhor para a atividade a ser exercida. Esses sistemas
são destinados a profissionais, é preciso ter ética para realização das atividades forenses, tanto com
os sistemas citados neste artigo, quanto em qualquer recurso existente, para a segurança e proteção
de todos. Não utilize os recursos para prática de crimes. Hacker não Cracker! Confira esse artigo
na Edição Nº 8 da Revista Segurança Digital. Bons estudos e sucesso!

Fonte: Analista TI

Como funciona a recuperação de dados

Todos nós podemos sofrer ou já sofremos a frustrante experiência de “perder” documentos
importantes, porque o computador bloqueou, o sistema ficou destruído num desastre natural ou
carregámos, sem querer, na tecla eliminar. O que muitos não sabem é que, quando um documento
se perde, geralmente só se perdeu de forma temporária. É uma questão de dispor das ferramentas
adequadas ou de trabalhar com especialistas para salvar a informação. Não é como o mistério da
meia perdida na máquina de secar roupa. A recuperação de ficheiros não é um mistério.

Quando um ficheiro aparece como perdido, para onde vai? Ao contrário do que a maioria das
pessoas pensa, eliminação não implica desaparecimento e o ficheiro não desaparece do disco rígido
para sempre. É melhor assumir o computador como uma página de um livro. Quando se elimina um
ficheiro, a página não se destrói como se se arrancasse e se passasse por uma trituradora. Em vez
disso, apaga-se a entrada do índice que indica a localização da referida página. A parte que se
apaga do computador é o bocadinho de informação que indica a localização do ficheiro no disco
rígido. Mais adiante, o disco rígido escreverá novos dados sobre a superfície onde se encontra o
antigo ficheiro.

O indicador, juntamente com os restantes indicadores de cada pasta e ficheiro do disco rígido, é
guardado numa secção na parte inicial do disco rígido e é usado pelo sistema operativo para criar a
estrutura de árvore do directório. Ao apagar o ficheiro indicador, o ficheiro real torna-se invisível
para o sistema operativo, apesar de continuar no mesmo local até que o sistema operativo reutilize o
espaço.

O desafio da recuperação de dados é encontrar o índice originário que indica onde se encontram
realmente os ficheiros. As empresas de recuperação de dados qualificadas dispõem de engenheiros
com experiência que podem reconstruir a estrutura de ficheiros do sistema e impedir que se escreva
em cima dos ficheiros perdidos. Dito isto, é uma questão de chegar aos lugares ocultos para
recuperar dados que parecem desaparecidos para sempre.

A recuperação de dados é a ciência que procura reconstruir o sistema de ficheiros para que se possa
aceder aos ficheiros de dados. Cada sistema operativo tem um sistema de ficheiros, que é um
método único de indexar e monitorizar os arquivos. Infelizmente para os que perdem dados, os
sistemas de ficheiros podem ser muito complexos, razão pela qual pode ser muito difícil localizar
ficheiros perdidos. Por exemplo, os sistemas de ficheiros utilizados em meios empresariais requerem
detalhes de segurança e dados de operações de acesso. Um bom exemplo disso é um sistema de
ficheiros baseado em operações, ou um livro-diário, cujo objectivo consiste em registar quando se
acede, modifica ou grava cada ficheiro, sendo assim um sistema mais complicado e mais difícil de
reconstruir.

As melhores empresas de recuperação de dados desenvolveram ferramentas próprias para os

principais sistemas utilizados actualmente. Forma-se internamente os engenheiros de recuperação
para que trabalhem na recuperação de dados, trabalhando uma série de anos com equipamento
informático e aprendendo os dados de nível inferior específicos a cada classe de sistema de
ficheiros. Em vez de empregar ferramentas de terceiros e usar um programa “Auto-fix” para todos
os erros de sistema de ficheiros, que arranje automaticamente o sistema, os engenheiros são
formados para descobrir a causa do erro do sistema e, posteriormente, organizá-lo em benefício dos
interesses do cliente e do cuidado dos dados. Muitos trabalhos exigem, de facto, que o sistema de
ficheiros seja reparado manualmente.

Após a reparação do sistema de ficheiros, muitas vezes é necessário reparar a estrutura interna dos
próprios ficheiros de dados. Tal como os sistemas de ficheiros, os ficheiros de dados de software
para empresas também são muito complexos actualmente. De facto, alguns dos ficheiros mais
comuns empregues todos os dias por utilizadores são mais complicados internamente que o sistema
de ficheiros que alberga o ficheiro. Por isso, é importante que as empresas de recuperação de dados
desenvolvam utilitários de reparação de ficheiros de software para Word, Excel, PowerPoint, Access,
Outlook, e recuperações de bases de dados nos servidores Microsoft Exchange e Microsoft SQL.
Existem duas fases após a entrada de um dispositivo de armazenamento para efectuar recuperação
de dados. A primeira fase é a de diagnóstico. O objectivo desta fase é mostrar todos os ficheiros
susceptíveis de serem recuperados. O método mais seguro de sempre é trabalhar sobre uma cópia
do disco do cliente, nunca sobre o disco original. Durante esta etapa, os engenheiros de recuperação
podem determinar se o disco requer atenção especial na câmara limpa, que é um meio ultra-limpo
empregue para trabalhar sobre falhas em aparelhos sensíveis a qualquer contaminação atmosférica,
como os discos rígidos. Os técnicos especializados em técnicas de recuperação electromecânica
trabalham para conseguir que o disco fique operativo para poder copiar os dados em bruto para um
servidor isolado. Tal pode incluir qualquer operação, desde uma limpeza física dos pratos de discos
para que possam girar correctamente, a substituir elementos eléctricos para iniciar o dispositivo e é
importante para não continuar a contar com um disco que falha e cujo estado pode deteriorar-se.

Após fazer uma cópia dos dados em bruto, os engenheiros especialistas em sistemas de ficheiros
trabalharão para reparar as estruturas, e criarão uma lista de ficheiros completa que apresenta
todos os ficheiros e directórios do disco. Esta lista de ficheiros informará também o cliente se
existem buracos (ou erros de Input/Output) no próprio ficheiro. A última fase é a fase de
recuperação. O objectivo desta fase consiste em copiar os dados recuperados para o suporte de
armazenamento solicitado pelo cliente. Durante esta fase o cliente pode também pedir que se
experimentem alguns ficheiros no laboratório. Por exemplo, em dispositivos que sofreram danos
sérios no suporte ou no sistema de ficheiros, o cliente poderia solicitar que se experimentassem
alguns dos ficheiros mais comuns. O engenheiro que trabalhou na recuperação tentará abrir alguns
dos ficheiros e verificar que os dados abrem correctamente.

A análise de como funciona realmente a recuperação de dados demonstra que a ciência da

recuperação não é um mistério. Não há fórmulas secretas nem poções mágicas. No entanto, é
importante compreender que a recuperação de dados é uma disciplina muito complexa que necessita
anos de prática para se adquirir perícia. A recuperação de dados é possível porque há investigação e
progresso constantes e pela capacidade de trabalhar sobre tecnologia de armazenamento de forma
paralela ao seu progresso. Por isso é tão importante trabalhar com empresas com experiência em
todas as plataformas, tipos de suporte e sistemas operativos.

Fonte: Computer World (Portugal)

Concurso da Polícia Federal - Perito em

Informática - Detalhes do Edital
Bom pessoal, finalmente saiu o concurso mais esperado entre os peritos, o da Polícia Federal.

Irei detalhar aqui as informações a respeito do cargo de Perito em Informática (Área 03), já que meu
blog tem o foco em Tecnologia, mas darei o link para o edital das outras vagas.
Este concurso terá além do cargo de Perito (100 vagas), o de Escrivão (350 vagas) e de Delegado
(150 vagas).

Inscrições: R$ 150,00 e será do dia 18/jun/2012 até 09/jul/2012.

Edital: http://www.cespe.unb.br/concursos/dpf_12_perito/

Requisitos da Área 03 – Informática: diploma, devidamente registrado, de conclusão de curso de

graduação de nível superior em Ciências da Computação, Informática, Análise de Sistemas,
Engenharia da Computação ou Engenharia de Redes de Comunicação, fornecido por instituição de
ensino superior reconhecida pelo Ministério da Educação.

Vagas: 18

Atribuições: realizar exames periciais em locais de infração penal, realizar exames em

instrumentos utilizados, ou presumivelmente utilizados, na prática de infrações penais, proceder
pesquisas de interesse do serviço, coletar dados e informações necessários à complementação dos
exames periciais, participar da execução das medidas de segurança orgânica e zelar pelo
cumprimento das mesmas, desempenhar outras atividades que visem apoiar técnica e
administrativamente as metas da Instituição Policial, bem como executar outras tarefas que lhe
forem atribuídas.

Jornada de Trabalho: 40 horas/semanais com regime integral e dedicação exclusiva.

Remuneração: R$ 13.368,68

Divulgação dos locais de prova: 09 de agosto.

Data da Prova: 19 de agosto no turno da manhã, com duração de 5 horas.

Primeira Etapa do Concurso

A primeira etapa do concurso público será composta de exame de habilidades e de conhecimentos
(prova objetiva e prova discursiva), de exame de aptidão física, de exame médico, de avaliação
psicológica e de avaliação de títulos conforme o seguinte quadro:

(1) Prova Objetiva e (2) Discursiva

A prova é classificatória e eliminatória, seguindo as informações abaixo:

Conhecimentos Básicos = 50 questões (Certo ou Errado)

Conhecimentos Específicos = 70 questões (Certo ou Errado)
Prova Discursiva com elaboração de texto narrativo, dissertativo e/ou descritivo, com, no máximo,
30 linhas, com base em tema formulado pela banca examinadora.

(3) Exame de aptidão física, (4) Exame médico, (5)

Avaliação Psicológica
Tem carater eliminatório.
Barra Fixa
Homem – Mínimo 03
Mulher – Mínimo 01

Impulsão Horizontal
Homem – Mínimo 2,14 m
Mulher - Mínimo 1,66 m

Corrida em 12 minutos
Homem – Mínimo 2.350 m
Mulher - Mínimo 2.020 m

Natação de 50 metros
Homem – Máximo 41 segundos
Mulher - Máximo de 51 segundos

Exame médico: 21 de outubro

Avaliação Psicológica: 02 de dezembro

(7) Avaliação de títulos

Tem carater classificatório.

Doutorado = 1,7 pontos

Mestrado = 1,1 pontos

Especialização = 0,7 ponto

Exercício do Cargo de Perito = 0,4 pontos/ano, máximo de 2,0 pontos.

Exercício de Cargo Público de natureza policial = 0,3 pontos/ano, máximo de 1,5 pontos.

Conhecimentos Básicos
Português
1. Compreensão e interpretação de textos de gêneros variados.
2. Reconhecimento de tipos e gêneros textuais.
3. Domínio da ortografia oficial.
1. Emprego das letras.
2. Emprego da acentuação gráfica.
4. Domínio dos mecanismos de coesão textual.
1. Emprego de elementos de referenciação, substituição e repetição, de conectores e outros
elementos de sequenciação textual.
2. Emprego/correlação de tempos e modos verbais.
5. Domínio da estrutura morfossintática do período.
1. Relações de coordenação entre orações e entre termos da oração.
 2. Relações de subordinação entre orações e entre termos da oração.
3. Emprego dos sinais de pontuação.
4. Concordância verbal e nominal.
5. Emprego do sinal indicativo de crase.
6. Colocação dos pronomes átonos.
6. Reescritura de frases e parágrafos do texto.
1. Substituição de palavras ou de trechos de texto.
2. Retextualização de diferentes gêneros e níveis de formalidade.
7. Correspondência oficial (conforme Manual da Presidência da República e respectivas
atualizações).
1. Adequação da linguagem ao tipo de documento.
2. Adequação do formato do texto ao gênero.

Noções de Informática
1. Noções de sistema operacional (ambientes Linux e Windows).
2. Edição de textos, planilhas e apresentações (ambientes Microsoft Office e BrOffice).
3. Redes de computadores.
1. Conceitos básicos, ferramentas, aplicativos e procedimentos de Internet e intranet.
2. Programas de navegação (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome e
similares).
3. Programas de correio eletrônico (Outlook Express, Mozilla Thunderbird e similares).
4. Sítios de busca e pesquisa na Internet.
5. Grupos de discussão.
6. Redes sociais.
7. Computação na nuvem (cloud computing).
4. Conceitos de organização e de gerenciamento de informações, arquivos, pastas e programas.
5. Segurança da informação.
1. Procedimentos de segurança.
2. Noções de vírus, worms e pragas virtuais.
3. Aplicativos para segurança (antivírus, firewall, anti-spyware etc.).
4. Procedimentos de backup.
5. Armazenamento de dados na nuvem (cloud storage).

Atualidades
Tópicos relevantes e atuais de diversas áreas, tais como segurança, transportes, política, economia,
sociedade, educação, saúde, cultura, tecnologia, energia, relações internacionais, desenvolvimento
sustentável e ecologia, suas inter-relações e suas vinculações históricas.

Raciocínio Lógico
1. Estruturas lógicas.
2. Lógica de argumentação: analogias, inferências, deduções e conclusões.
3. Lógica sentencial (ou proposicional).
1. Proposições simples e compostas.
 2. Tabelas-verdade.
3. Equivalências.
4. Leis de De Morgan.
5. Diagramas lógicos.
4. Lógica de primeira ordem.
5. Princípios de contagem e probabilidade.
6. Operações com conjuntos.
7. Raciocínio lógico envolvendo problemas aritméticos, geométricos e matriciais.

Noções de Direito Penal

1. Aplicação da lei penal.
1. Princípios da legalidade e da anterioridade.
2. A lei penal no tempo e no espaço.
3. Tempo e lugar do crime.
4. Lei penal excepcional, especial e temporária.
5. Territorialidade e extraterritorialidade da lei penal.
6. Pena cumprida no estrangeiro.
7. Eficácia da sentença estrangeira.
8. Contagem de prazo.
9. Frações não computáveis da pena.
10. Interpretação da lei penal.
11. Analogia.
12. Irretroatividade da lei penal.
13. Conflito aparente de normas penais.
2. Infração penal: elementos; espécies; sujeito ativo e sujeito passivo.
3. O fato típico e seus elementos.
1. Crime consumado e tentado.
2. Pena de tentativa.
3. Concurso de crimes.
4. Ilicitude e causas de exclusão.
5. Punibilidade.
6. Excesso punível.
7. Culpabilidade: elementos e causas de exclusão.
4. Imputabilidade penal.
5. Crimes.
1. Crimes contra a pessoa.
2. Crimes contra o patrimônio.
3. Crimes contra a fé pública.
4. Crimes contra a administração pública.
5. Concurso de pessoas.

Noções de Direito Processual Penal

1. Inquérito policial: histórico; natureza; conceito; finalidade; características; fundamento;
titularidade; grau de cognição; valor probatório; formas de instauração; notitia criminis; delatio
 criminis; procedimentos investigativos; indiciamento; garantias do investigado; conclusão; prazos.
2. Prova.
1. Exame do corpo de delito e perícias em geral.
2. Interrogatório do acusado.
3. Confissão.
4. Qualificação e oitiva do ofendido.
5. Testemunhas.
6. Reconhecimento de pessoas e coisas.
7. Acareação.
8. Documentos de prova.
9. Indícios.
10. Busca e apreensão.
3. Restrição de liberdade.
1. Prisão em flagrante.
2. Prisão preventiva.
3. Prisão temporária (Lei no 7.960/1989).

Noções de Direito Administrativo

1. Estado, governo e administração pública: conceitos; elementos; poderes; organização; natureza;
fins; princípios.
2. Organização administrativa da União: administração direta e indireta.
3. Agentes públicos.
1. Regime jurídico dos servidores públicos civis da União, das autarquias e das fundações
públicas federais (Lei no 8.112/1990).
2. Regime jurídico peculiar dos funcionários policiais civis da União e do Distrito Federal (Lei no
4.878/1965).
3. Sanções aplicáveis aos agentes públicos nos casos de enriquecimento ilícito no exercício de
mandato, cargo, emprego ou função da administração pública direta, indireta ou fundacional
(Lei no 8.429/1992).
4. Licitações: modalidades, dispensa e inexigibilidade (Lei no 8.666/1993).
5. Poderes administrativos: poderes hierárquico, disciplinar e regulamentar; poder de polícia; uso e
abuso do poder.
6. Controle e responsabilização da administração: controles administrativo, judicial e legislativo;
responsabilidade civil do Estado.

Noções de Direito Constitucional

1. Direitos e garantias fundamentais.
1. Direitos e deveres individuais e coletivos.
2. Direitos sociais.
3. Direitos de nacionalidade.
4. Direitos políticos.
5. Partidos políticos.
2. Poder Executivo: atribuições e responsabilidades do presidente da República.
3. Defesa do Estado e das instituições democráticas: segurança pública; organização da segurança
 pública.
4. Ordem social: base e objetivos da ordem social; seguridade social; meio ambiente; família;
criança, adolescente, idoso e índio.

Legislação Especial
1. Lei no 7.102/1983 (dispõe sobre segurança para estabelecimentos financeiros, estabelece
normas para constituição e funcionamento das empresas particulares que exploram serviços de
vigilância e de transporte de valores, e dá outras providências).
2. Lei no 10.357/2001 (estabelece normas de controle e fiscalização sobre produtos químicos que
direta ou indiretamente possam ser destinados à elaboração ilícita de substâncias
entorpecentes, psicotrópicas ou que determinem dependência física ou psíquica, e dá outras
providências).
3. Lei no 6.815/1980 (define a situação jurídica do estrangeiro no Brasil e cria o Conselho Nacional
de Imigração).
4. Lei no 11.343/2006 (institui o Sistema Nacional de Políticas Públicas sobre Drogas–SISNAD–,
prescreve medidas para prevenção do uso indevido, atenção e reinserção social de usuários e
dependentes de drogas, estabelece normas para repressão à produção não autorizada e ao
tráfico ilícito de drogas, define crimes e dá outras providências): apenas aspectos penais e
processuais penais.
5. Lei no 4.898/1965 (direito de representação e processo de responsabilidade administrativa civil
e penal, nos casos de abuso de autoridade): apenas aspectos penais e processuais penais.
6. Lei no 9.455/1997 (define os crimes de tortura e dá outras providências): apenas aspectos penais
e processuais penais.
7. Lei no 8.069/1990 (Estatuto da Criança e do Adolescente): apenas aspectos penais e processuais
penais.
8. Lei no 10.826/2003 (Estatuto do Desarmamento): apenas aspectos penais e processuais penais.
9. Lei no 9.605/1998 (Lei dos Crimes Ambientais): apenas aspectos penais e processuais penais.
10. Lei no 8.072/1990 (Lei dos Crimes Hediondos).
11. Lei no 10.446/2002 (infrações penais de repercussão interestadual ou internacional que exigem
repressão uniforme).

Conhecimentos Específicos
1. Fundamentos de computação.
1. Organização e arquitetura de computadores.
2. Componentes de um computador (hardware e software).
3. Sistemas de entrada, saída e armazenamento.
4. Princípios de sistemas operacionais.
5. Características dos principais processadores do mercado.
6. Processadores de múltiplos núcleos.
7. Tecnologias de virtualização de plataformas: emuladores, máquinas virtuais,
paravirtualização.
8. RAID: tipos, características e aplicações.
9. Sistemas de arquivos NTFS, FAT12, FAT16, FAT32, EXT2, EXT3: características, metadados e
organização física.
 10. Técnicas de recuperação de arquivos apagados.
2. Bancos de dados.
1. Arquitetura, modelos lógicos e representação física.
2. Implementação de SGBDs relacionais.
3. Linguagem de consulta estruturada (SQL).
4. Transações: características e análise de logs.
3. Engenharia reversa.
1. Técnicas e ferramentas de descompilação de programas.
2. Debuggers.
3. Análise de código malicioso: vírus, backdoors, keyloggers, worms e outros.
4. Ofuscação de código.
5. Compactadores de código executável.
4. Linguagens de programação.
1. Noções de linguagens procedurais: tipos de dados elementares e estruturados, funções e
procedimentos.
2. Noções de linguagens de programação orientadas a objetos: objetos, classes, herança,
polimorfismo, sobrecarga de métodos.
3. Estruturas de controle de fluxo de execução.
4. Montadores, compiladores, ligadores e interpretadores.
5. Desenvolvimento web: Servlets, JSP, Ajax, PHP, ASP.
5. Estruturas de dados e algoritmos.
1. Estruturas de dados: listas, filas, pilhas e árvores.
2. Métodos de acesso, busca, inserção e ordenação em estruturas de dados.
3. Complexidade de algoritmos.
4. Autômatos determinísticos e não-determinísticos.
6. Redes de computadores.
1. Técnicas básicas de comunicação.
2. Técnicas de comutação de circuitos, pacotes e células.
3. Topologias de redes de computadores.
4. Elementos de interconexão de redes de computadores (gateways, hubs, repetidores, bridges,
switches, roteadores).
5. Arquitetura e protocolos de redes de comunicação.
1. Arquitetura TCP/IP.
2. Arquitetura cliente-servidor.
3. Redes peer-to-peer (P2P).
4. Comunicação sem fio: padrões 802.11; protocolos 802.1x; bluetooth.
6. Computação em nuvem.
7. Segurança da informação.
1. Normas NBR ISO/IEC no 27001:2006 e no 27002:2005.
2. Biometria.
3. Engenharia social.
4. Esteganografia.
5. Desenvolvimento seguro de aplicações: SDL, CLASP.
8. Segurança de redes de computadores.
1. Firewall, sistemas de detecção de intrusão (IDS), antivírus, NAT, VPN.
 2. Monitoramento e análise de tráfego; uso de sniffers; traffic shaping.
3. Tráfego de dados de serviços e programas usados na Internet.
4. Segurança de redes sem fio: EAP, WEP, WPA, WPA2.
5. Ataques a redes de computadores.
9. Criptografia.
1. Noções de criptografia.
2. Sistemas criptográficos simétricos e de chave pública.
3. Certificação digital.
4. Modos de operação de cifras.
5. Algoritmos RSA, AES e RC4.
6. Hashes criptográficos: algoritmos MD-5 e SHA-1, colisões.
10. Sistema Operacional Windows.
1. Sistemas Windows: 2000, XP, 2003, Vista e Windows 7.
2. Gerenciamento de usuários em uma rede Microsoft.
3. Log de eventos do Windows.
4. Registro do Windows.
11. Sistema Operacional Linux.
1. Características do sistema operacional Linux.
2. Gerenciamento de usuários.
3. Configuração, administração e logs de serviços: proxy, correio eletrônico, HTTP.
12. Sistemas operacionais móveis.
1. Sistema iOS.
2. Sistema Android.
13. Governança de TI.
1. Modelo COBIT 4.1.
2. ITIL v3.
3. Gerenciamento de projetos com PMBOK.
4. Análise de pontos de função.
5. Atos normativos do MPOG/SLTI: Instrução Normativa no 2/2008 (alterada pela Instrução
Normativa no 3/2009); Instrução Normativa no 4/2010.

5 maneiras de perder uma ação de um

insider malicioso
Quando o cenário de um insider malicioso faz dano a uma organização, seja por roubo ou
sabotagem, o recurso legal deve estar em ordem. Não se preparar com antecedência para colaborar
com recursos humanos e ações legais, o processo civil ou criminal contra um mau funcionário antigo
pode ser condenado desde o início.

De acordo com especialistas de segurança e legalidade, deixar de cobrir suas bases legais antes de
apresentar seu caso para o juiz e o júri pode efetivamente dar ao réu um cartão proverbial “fora da
prisão” e deixar a sua organização sem muita influência.

Aqui estão algumas das maneiras mais comuns que as empresas tendem a fundir seus casos contra
insiders maliciosos.

1. Deixar de fazer com que os empregados assinem um contrato ou política de acesso

De acordo com Damon Petraglia da Chartstone, um dos casos civis mais comuns que ele ajuda a
investigar é quando os funcionários roubam informações de seus empregadores ou fazem algo
inadequado com a tecnologia. A fim de fazer um processo contra tal empregado, é importante não só
provar que ele roubou ou fez algo errado, mas que tinha a intenção.

“Se você quiser demitir ou processar alguém é preciso provar que essa pessoa tinha a intenção de
fazer algo malicioso”, diz Petraglia, diretor de serviços de segurança da informação da Chartstone.
“Muitas vezes, quando estou olhando para algo forense, uma empresa não terá qualquer apólice em
vigor que diz que você não pode fazer algo. Isso torna muito difícil processar ou demitir alguém.”

É aí que políticas de uso aceitável e acordos de confiabilidade são fundamentais. Embora a

assinatura desses documentos possa parecer uma mera formalidade, sua existência pode fazer ou
quebrar um caso quando as coisas dão errado.

“Se eu fosse aconselhar alguém que tem informações confidenciais, dados ou tecnologia, eu diria
que a coisa mais importante a fazer é ter acordos com seus funcionários que deixam claro que há
informações confidenciais que limitam a capacidade dos funcionários para usar essas informações”,
diz Jim Davis, parceiro do escritório de advocacia Klemchuck Kubasta, em Dallas.

2. Não tratar IP como um segredo

Obter assinatura de políticas de uso aceitável e acordos de confiabilidade incorporados ao

empregado na forma de abordagem não só ajuda a provar a intenção, mas é também um dos
métodos que várias organizações precisam estabelecer para provar que realmente tratam os seus
segredos comerciais como segredos.

Segundo Davis, os juízes tendem a não ser muito simpáticos em casos contra um insider para roubar
segredos comerciais quando a informação em questão foi deixada sem proteção no sistemas da
empresa.

“Se você não tomar as medidas razoáveis para protegê-lo e limitar o acesso, um tribunal muito
provavelmente pode achar que você não tratava os segredos como tais”, diz ele. “E se você não
tratá-lo como um segredo, muito provável o tribunal dirá: nós não vamos tratá-lo como um segredo,
tampouco, e não vamos dar-lhe qualquer remédio. Se você não se importa o suficiente sobre isso
para protegê-lo, então nós não vamos ajudá-lo a protegê-lo após o fato.”

Davis diz que a coisa mais importante é instituto de tecnologia e procedimentos que limitam o
acesso a dados sensíveis em uma base. O advogado John Hornick concorda, enfatizando que esses
procedimentos não só oferecem proteção legal, mas são também um acéfalo para limitar o risco de
incidentes privilegiados em primeiro lugar.
3. Limitar a retenção de Login ou não monitorar o tempo todo

Quando ele trabalhava na Scotland Yard, Steve Santorelli, diretor de alcance global na Internet da
Team Cymru, diz que uma das regras que ele e seus colegas policiais vivenciaram é: “Se não está
escrito, então nunca aconteceu. ”

O monitoramento de registros (logins) é o melhor caminho para uma organização provar que alguma
coisa aconteceu. Mas eles precisam existir para fazer a diferença.

De acordo com Petraglia, o primeiro sopro de impropriedade por um membro, ou presciência de

eventos como demissões, deve empurrá-lo para reforçar o controlo dos indivíduos afetados se a sua
atividade de computador não estiver sob um monte de escrutínio.

Mais importante, porém, as organizações precisam estar cientes de que suas políticas de retenção
de log não limitam o quão bem a organização pode voltar para as provas forenses.

“Certifique-se de que você não está substituindo os dados”, diz Petraglia. “Isso acontece o tempo
todo. Há uma política de retenção de 30 dias, eles não descobrem até sessenta dias de que algo ruim
aconteceu e agora eles não têm mais a evidência.”

4. Ver além da cena do crime

Você não necessariamente tem que ir a níveis ridiculamente complicados para manter a evidência
forense, diz Santorelli, mas você precisa tomar precauções ou o seu caso vai ser destruído antes
mesmo de começar.

“As pessoas vêm até nós, policiais, e no momento em que tomam a decisão de vir para a aplicação da
lei, a cena do crime já foi destruída”, ele diz.

De acordo com Santorelli, a regra número um de ouro nunca é trabalhar na mídia original como
prova – sempre faça uma cópia de bits para trabalhar e armazenar a mídia original como prova.

” Se você assumir que tudo vai eventualmente acabar em tribunal, então você não pode estar
errado.”

5. Esperar para responder legalmente

As organizações que levam a sua papelada em tempo legal contra um insider malicioso tendem a
achar que é difícil promover a simpatia dos juízes, uma vez que seus arquivamentos cruzam suas
mesas, diz Davis. Como ele coloca, quanto mais você esperar, menor a probabilidade de o tribunal
ajudá-lo.

“O tribunal vai dizer: ‘Se esta era uma emergência desse tipo, por que esperar duas semanas para
vir aqui e abrir um processo?’”, Diz ele. “Especialmente se for de dados sensíveis. Se você descobrir
que os dados foram tomados, é preciso reunir as provas imediatamente, contratar um advogado e
começar um processo em arquivo o mais rápido possível e tentar obter uma liminar de um juiz.”

Quanto mais rápido você agir, mais provável você vai obter o alívio que você precisa, diz Davis.

Fonte: Information Week

A aquisição e preservação dos dados na
forense computacional
Embora as técnicas de investigação da Computação Forense sejam usadas em contextos
relacionados às investigações criminais, os princípios e procedimentos são praticamente os mesmos
quando utilizados para desvendar qualquer tipo de ataque em uma empresa (ALTHEIDE; CARVEY;
DAVIDSON, 2011). Enquanto o tipo de investigação pode variar muito, as fontes dos vestígios
geralmente são as mesmas: dados gerados e manipulados por computador.

Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última instância, é essa
cadeia que as buscas realizam.

Por muito tempo, a investigação se concentrou em meios de armazenamento magnéticos e ópticos, o

que aumenta a preocupação em coletar dumps de memória em um sistema em execução e do tráfego
de dados em redes.

O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade sobre o
acontecimento. O examinador descobre a verdade sobre um acontecimento descobrindo e expondo
os vestígios que foram deixados no sistema. Esses vestígios podem ser transformados em provas.

Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações que, em
resultado último, não se converterão em provas para um processo judicial. Nesse trabalho,
utilizamos o termo “vestígio” livremente, porém, em uma redação, para uso legal essa distinção pode
ser necessária.

A sequência de passos e o que será analisado dependem do tipo de incidente. Após uma invasão de
um sistema, por exemplo, é necessário analisar uma relativa quantidade de fontes de dados,
incluindo conexões na rede, portas utilizadas nessas conexões, arquivos de log, instalação de
malwares e programas, arquivos criados, apagados e alterados.

No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo, um empregado
pode ter acessado sem autorização um diretório contendo arquivos de grande interesse para a
empresa em que trabalha. Nesse caso, uma avaliação da memória principal do computador não
parece ser necessária. A cópia de um arquivo de log que guarda os acessos ao computador pode
conter vestígios suficientes para estabelecer a autoria do delito.

Já em outros casos, o acesso pode vir acompanhado de substituição de programas do sistema por
outros maliciosos, instalação de bibliotecas espúrias e execução de processos viciados. Nesse caso,
uma análise de como o sistema foi manipulado e uma “foto” dos processos em execução podem ser
necessárias, o que envolve a análise do sistema ligado e ferramentas para dump de memória.

Em qualquer circunstância, o processo a seguir depende do estabelecimento de uma hipótese e da

realização um trabalho minucioso e cuidadoso para ver se a suspeita se confirma ou não.

Cada investigação deve começar com uma hipótese. Exemplos incluem “esse

computador foi invadido”, ou “a esposa de fulano está tendo um caso”, ou “este computador teve seu
arquivo de lixo roubado”. O papel do investigador

não é provar essas afirmações, mas levantar os vestígios que indicam que essas hipóteses são
verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011).

O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes na

computação forense: a aquisição e a preservação dos dados. As duas atividades são
interdependentes, principalmente pelo cuidado em tornar o processo auditável e reproduzível. De
nada adianta coletar os dados se estes se perderem total ou parcialmente ou sofrerem modificações,
perdendo seu valor como prova, ou, ainda, o trabalho ser questionado.

A Computação Forense trabalha com o fato de que qualquer ação em um sistema computacional
deixa vestígios. Ações muito simples causam mudança de estado nos registradores da unidade
central de processamento, bem como mudança de estado na memória principal. Ações mais
complexas têm uma grande possibilidade de deixar impressões mais duradouras, como informações
armazenadas em um disco rígido. Segundo Altheide, Carvey e Davidson (2011), podemos fazer
analogia com a investigação forense tradicional, quando tanto o arrombamento de uma porta como
sua abertura com chave mestra deixam vestígios – mais fortes e mais fracos. Mesmo o ato de limpar
os vestígios pode levar à criação de novos vestígios – como o cheiro de água sanitária em uma cena
de crime que foi lavada.

Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo digital é
relativamente muito frágil. É facílimo corromper dados gravados em discos e memórias
permanentes, bem como, mais ainda, eliminar vestígios presentes na memória principal de
computadores e outros meios voláteis. Sem um cuidado adequado, tanto o conteúdo pode se
perder como pode ser corrompido, causando imprecisão no resultado de uma análise.

Em recentes estudos, já existe capacidade técnica de usar a unidade de processamento e memória

das placas de vídeo mais modernas para uso em ataques, tornando o software malicioso muito difícil
de ser localizado.

Durante a investigação, também não podem ser negligenciados detalhes como a manutenção de
sigilo e invasão de privacidade. Numa investigação conduzida de forma ilegal, os vestígios
encontrados podem ser recusados como provas em um processo.

Numa investigação forense, a forma com que o trabalho de coleta é feito é tão importante quanto o
vestígio em si. Também podemos dizer que a qualidade do resultado da investigação é proporcional
ao rigor e à precisão com que o trabalho investigativo é conduzido. Todo o procedimento deve ser
documentado, com a descrição do ambiente onde se encontram os equipamentos, fotografias,
esquema de ligação das máquinas e inclusão de cada dispositivo coletado na cadeia de custódia.

Existe o mandamento maior na Computação Forense que é extrair os vestígios sem causar
qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu estado
preservado durante toda a investigação: desde o momento que o vestígio é encontrado até o
momento em que a investigação se encerra e, talvez ainda, para além, quando contestações podem
requerer novo exame de todo o material. O valor do vestígio depende do quanto ele foi preservado.
Em certas circunstâncias, a alteração de apenas alguns bits já destrói o vestígio e prejudica
drasticamente uma investigação (WRIGHT, 2010).

Como já mencionado, uma ferramenta importante usada pelo investigador é a de cadeia de custódia.
Nela, são anotadas todas as operações realizadas em um dispositivo ou uma mídia que contém o
vestígio, bem como quem o manuseou, quando isso foi feito e o que foi feito. Nem todos os trabalhos
realizados em um dispositivo são feitos por apenas uma pessoa. Imagine a necessidade de enviar um
disco rígido para ser analisado em um laboratório, seja por um problema de hardware seja por
conter um sistema operacional não familiar à equipe. Esse envio deve ser documentado na cadeia de
custódia, dando à equipe uma pronta informação de seu destino, datas, o que foi feito e por quem.

No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o nome do
coletor, de onde o item foi retirado e outros fatos relevantes ao caso, dependendo das políticas e dos
procedimentos do time de investigadores (OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser
transportado e bem guardado. Veja exemplo de uma embalagem específica para a coleta de um
dispositivo na Figura 1.

Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor do mundo, é
o guia de boas práticas para a pesquisa, apreensão e exame do vestígio eletrônico, o ACPO Good
Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE UK, 2011). Iniciado em 1997, no Reino
Unido, o trabalho contou com a participação de agências de investigação e unidades de ciência
forense envolvendo vestígio digital, incluindo a Associação de Chefes de Polícia – Computer Crime
Working Group.

O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento de apreensão e
coleta de dados:

■ Princípio 1 - Nenhuma ação de algum agente encarregado de trabalhar na investigação pode

modificar os dados contidos em um computador ou dispositivo a ser investigado.
■ Princípio 2 - No momento em que uma pessoa tem a necessidade de acessar o conteúdo original
mantido no dispositivo, computador ou mídia, essa pessoa deve ser competente para tal e ser
capaz de explicar a relevância e as implicações de suas ações.
■ Princípio 3 - Deve ser criado um registro de todos os passos da investigação. Um examinador
independente deve ser capaz de usar esses passos e chegar aos mesmos resultados.
■ Princípio 4 - A pessoa a cargo da investigação tem a responsabilidade geral de assegurar que
esses princípios sejam condizentes com os preceitos legais aplicáveis.

Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em direções que
implicam necessidade de rigor na coleta de dados e responsabilidades dos envolvidos.

Na internet, podemos consultar outras organizações que mantêm guias como o anteriormente
exemplificado.
Procedimento preparatório para a busca e
apreensão
O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para que coisas
ou pessoas sejam localizadas, analisados ou retirados do local para análise posterior. Mesmo que o
investigador forense trabalhe internamente em uma equipe de resposta a incidentes, é possível que
a empresa seja, em alguma época, alvo de uma ordem de busca e apreensão em seus computadores.
Casos como delitos causados por empregados, uma denúncia, mesmo que infundada, de uso de
software não licenciado, ou outros motivos fora de controle da empresa, não podem ser
totalmente descartados. É normal que pessoal técnico da empresa seja chamado a acompanhar o
procedimento e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de
informações.

Recorremos a uma simplificação, pois caracterizar o procedimento de análise posterior, no âmbito

judicial, pode ser bastante extenso.

No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar seus
comprovantes de compra de licenças. A busca e apreensão é feita e, posteriormente, a empresa tem
de se defender da acusação de compra de software não licenciado.

E
x
e
m
p
l
o
d
e
E
m
b
a
l
a
g
e
m
Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em uma investigação
em campo quanto em uma investigação interna, dando ênfase em alguns pontos e suprimindo outros
de acordo com o ambiente e caso analisado.

Podemos usar o termo perito como sinônimo de especialista, e não necessariamente como aquele
profissional nomeado por um juiz para trabalhar em um processo judicial.

Planejamento
Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é importante
juntar o máximo de informações sobre o local onde o equipamento está instalado, sobre seus
usuários e sobre as máquinas em si. Informações como número de computadores, seus modelos,
tipos de sistemas operacionais e conexões devem ser previamente conhecidas, para que o
investigador ou a equipe de investigadores tenha as ferramentas adequadas em mãos, inclusive, se
necessário, com peritos auxiliares contratados para casos em que os sistemas não sejam de domínio
da equipe.

Outro fator que pode pesar é a existência de um grande número de equipamentos. Pode ser que o
tempo disponível para o trabalho não permita analisar todos os computadores in loco. Se esse for o
caso, e o tipo de análise permitir, pode ser necessária a escolha de máquinas representativas ou
mais importantes, como servidores, a retirada de equipamentos ou de dispositivos, como discos
rígidos e unidades de backup para laboratório.

Em um caso de perícia sobre uso indevido de licenças, uma empresa de software alegou que uma
fábrica estaria usando seu produto em um número maior de máquinas do que o estabelecido no
contrato. Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que
deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os honorários dos
peritos deveriam ser custeados pelos denunciantes, incluindo despesas de transporte, acomodação,
alimentação etc. Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante
o período de trabalho, o que levou a operação para os fins de semana. Observe que dois peritos não
dariam conta de estar em cinco lugares ao mesmo tempo, o que daria tempo para a empresa
organizar algum tipo de maquiagem. Cada fábrica contava com mais de trinta computadores. Para
analisar cada um, a estimativa era de no mínimo trinta minutos, em que uma avaliação do registro
(eram máquinas Windows) e listagem de diretórios revelaria a presença da instalação das cópias do
software. Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo o
aplicativo fazia chamadas a um servidor que mantinha um banco de dados centralizado para as cinco
fábricas e que esse servidor continha um log de acesso com identificação de cada máquina. Isso
pôde reduzir a estimativa inicial para algo extremamente mais simples, incluindo apenas uma visita.
Esse tipo de detalhe técnico nem sempre consta dos laudos do processo. Com um procedimento
preparatório, a tarefa pode ser melhor estimada.

Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas para análise
sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de situação varia de caso para
caso, e o investigador forense deve estar preparado para agir de acordo com a situação, inclusive
contratando auxiliares.

No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares deve ser
comunicada oficialmente.

Em uma empresa, a manutenção de equipamentos de reserva como backups minimiza muito os

prejuízos causados por uma interrupção, além de fornecer maior tempo para a investigação forense.
Essa preocupação pode constar do Plano de Continuidade de Negócios da empresa.

Ferramentas para o trabalho em campo

Não é sempre que uma máquina invadida pode ser removida para um laboratório a fim de ser
examinada. Até porque, em muitas investigações, deve-se interromper minimamente as atividades
do ambiente sob análise, reduzindo os prejuízos causados. A equipe deve estar preparada para o
trabalho em campo.

Exemplos de ferramentas com as quais uma equipe deve contar:

■ Ferramentas comuns - um kit contendo chaves Philips, de fenda e Torx; um alicate universal; um
alicate de bico; um alicate de corte; e um pincel para limpar poeira são o mínimo necessário. É
também aconselhável a utilização de proteção antiestática, que é uma tira que liga a caixa do
equipamento ao braço do técnico, neutralizando qualquer diferença de potencial de eletricidade
estática entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de destruição
de circuitos eletrônicos. Também uma caixa de plástico para armazenar temporariamente
parafusos retirados dos equipamentos facilita bastante o trabalho. Canetas marcadoras de várias
cores podem ajudar no momento de marcar cabos para lembrar local e posição ao serem religados
posteriormente.
■ Ferramentas de identificação - sacos plásticos antiestáticos para armazenar discos rígidos,
adesivos, etiquetas, canetas marcadoras.
■ Documentação - formulários para anotação de todos os detalhes da operação, bem como para a
manutenção da cadeia de custódia. No anexo, apresentamos como exemplo a tradução de um
formulário disponível em <http://technoid.net/uni/fit/single-form.pdf>.
■ Câmera fotográfica com filmagem - pode auxiliar ao registrar programas rodando,
procedimentos de desligamento de máquinas, para provar o correto shutdown, uma fotografia da
máquina e de suas proximidades, configuração do equipamento, conexões elétricas etc.
■ Recipientes - sacos plásticos antiestáticos para embalar cada dispositivo a ser removido do local,
contendo etiquetas amarradas ou coladas com identificação do item. Existem empresas que
produzem embalagens específicas para uso em Criminalística. Na figura 1, apresentamos um
exemplo. No Brasil, temos fornecedores desse tipo de embalagens.
■ Armazenamento de dados - discos graváveis (CDWR e DVD) ou, mais importante, discos ou pen
drives USB para cópias de dados. Esses dispositivos devem vir totalmente vazios.

Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui muito. Há
pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu, mas nada impede que,
em uma busca, sejam encontrados tipos antigos de mídia que, dependendo da natureza da
investigação, devem ser coletados para análise.

O investigador tem de estar preparado para essa hipótese e deve se preparar para ter condições de
realizar a leitura e produzir cópias de trabalho. É possível que um dispositivo de gravação de
CDWR/DVD se torne obsoleto em pouco tempo. Já existem computadores que sequer possuem
unidades de disco, carregando seus softwares apenas pela rede.

O dilema do desligamento
Ao examinar um sistema computacional, o investigador forense está interessado em obter dados
para sua investigação que podem estar em dois tipos de memória:

Volátil – É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica. Em um
computador, temos a memória principal, os registradores da CPU e sua memória cache. Apenas a
memória principal é de interesse para o investigador forense.

Não volátil – Não perde seu conteúdo com a interrupção da alimentação. Os discos rígidos são
atualmente o mais comumente usados, mas os discos de memória flash começam a se tornar
comuns, tanto em dispositivos como pen drives, como também em substituição aos discos rígidos em
notebooks, tablets, telefones celulares e tocadores de música.

A experiência e conhecimento técnico do examinador são de fundamental importância, pois qualquer

ação descuidada pode levar à perda de informações importantes.

Atualmente, o investigador forense enfrenta a difícil tarefa de decidir se desligar um sistema é o

modo mais eficiente de coletar potenciais vestígios eletrônicos (WILES; CARDWELL; REYES, 2007).
Há poucos anos, o procedimento da Computação Forense se resumia a analisar um disco rígido, não
havendo preocupação com o conteúdo de memória, processos em execução e conexões de rede
estabelecidas com outras máquinas.

Tradicionalmente, os mais experientes investigadores forenses concordavam que a melhor prática

era desligar um computador para preservar vestígios e eliminar uma potencial mudança na
informação. No treinamento padrão, o “desligue tudo e não modifique nada” era a norma. Esse
procedimento é uma prática que vem do mandamento da forense física de não se mexer na cena do
crime, mas que não necessariamente se aplica à forense digital, uma vez que a tecnologia de
investigação da Computação Forense evolui muito mais rapidamente do que as técnicas tradicionais
da forense física.

A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais vantajoso fazer
uma análise com o sistema ligado do que uma análise “post mortem”. O problema é que a análise
com o sistema ligado muitas vezes modifica o vestígio, mudando o conteúdo de um disco rígido. Data
e hora da criação/modificação de arquivos, chaves de registro (Windows), arquivos de swap e
conteúdo de memória são modificados quando se faz uma análise de um sistema ligado.

A decisão de desligar ou não a máquina é baseada no conhecimento adquirido e na observação da

máquina em si, o que depende muito do objetivo da investigação. Caso não seja feita a análise com a
máquina ligada, é importante que os motivos da decisão façam parte do relatório ou laudo da
investigação.

Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são gravados em
disco, permitindo uma investigação posterior. Já encerrar um programa, tal como um cliente de
torrent, põe a perder todos os dados das conexões ativas com outros servidores. O conhecimento do
investigador é que vai permitir esse discernimento.
Torrent: Tecnologia de compartilhamento de arquivos P2P.

Além da máquina em si, temos o problema da rede. Como as redes são transportadoras, e não
elementos armazenadores, todos os dados devem ser capturados e gravados em tempo real ou serão
perdidos para sempre. Segundo Figg e Zhou (2007), isso apresenta uma oportunidade para múltiplos
tipos de investigações, que incluem análise de logs, análise de padrões de tráfego em servidores e na
própria rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela web,
incluindo e-mails, esteganografia e dispositivos móveis.

Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a ênfase do
investigador forense, nos dias de hoje, é capturar o máximo possível de dados na cena do crime,
enquanto os dispositivos ainda estão ligados. Quando lidando com vestígios digitais, os primeiros
investigadores a chegar ao local devem ainda observar princípios forenses e princípios gerais, que
incluem:

■ o vestígio não deve ser modificado quando está sendo coletado, protegido e transportado;
■ o vestígio digital só deve ser examinado por aqueles com treino específico;
■ tudo que é feito durante a busca, transporte e armazenamento do vestígio digital deve ser
totalmente documentado, preservado e tornado disponível para ser revisto.

Outro fator em jogo é o tempo. Em uma investigação realizada dentro da empresa, onde o tempo é
teoricamente maior, uma análise com a máquina ligada não é um problema. No entanto, em ações
efetuadas por peritos em instalações de terceiros, pode ocorrer que o número de máquinas e o efeito
“surpresa” não forneçam o tempo necessário para a análise, mesmo que certos detalhes da
investigação presentes na memória volátil da máquina possam ser muito relevantes para a
investigação. Nestes casos, um dump de memória é executado, copiando para um dispositivo não
volátil todos os dados presentes na memória naquele momento. O problema com esse procedimento
é a impossibilidade de certificar a fidelidade do conteúdo adquirido. O conteúdo da memória de um
computador, e aqui incluímos todos os aparelhos que possuem a mesma arquitetura de processador
+ memória, modifica-se o tempo todo. O resultado de uma aquisição no tempo t sempre será
diferente do resultado no tempo t + 1, o que torna uma comparação virtualmente impossível. Logo,
esse resultado pode ser classificado como um vestígio com menor validade como prova. Isto não
ocorre com uma mídia em que há técnicas de cópia que levam a um resultado reproduzível e passível
de verificação.

Logicamente que cada tipo de busca e apreensão influi no tipo de trabalho a ser realizado.
Estamos usando o termo de uma forma mais ampla, mas existem ações legais que objetivam a
apreensão dos equipamentos e há ações que buscam apenas os vestígios, coletados no local. O
planejamento da investigação depende desses fatores.

Fontes de vestígios
Em algumas circunstâncias, alguns aparelhos podem não parecer importantes para a investigação
forense, uma vez que cada vez mais a quantidade de armazenamento aumenta e torna-se mais
barato instalar grande quantidade de memória nos dispositivos.

■ Desktops, notebooks e tablets - esses são o alvo principal em um local sendo avaliado. Porém, os
 equipamentos ao seu redor também podem ser repositórios de dados importantes. É possível que a
um computador estejam ligadas unidades de armazenamento auxiliares, como discos USB,
gravadores de CD-ROM/DVD, hubs de USB com outros dispositivos nem sempre facilmente
visíveis. Dependendo do tipo de investigação, todos esses elementos podem requerer seu
armazenamento, etiquetagem e transporte.
■ Organizadores pessoais (PDA), celulares e smartphones - em um local de investigação, qualquer
dispositivo dessa natureza pode ser fonte de vestígios. Um cuidado especial deve ser tomado para
que suas baterias não se esgotem, o que pode fazer com que os dados se percam. Por este motivo,
a apreensão de fontes é importante em casos de busca e apreensão.
■ Unidades de armazenamentos de todos os tipos, como disquetes, CD- ROMs, DVDs, pen drives,
cartões de memória flash etc.
■ Routers, estação WI-FI, servidores de rede etc. – hoje em dia, é comum que dispositivos de redes
com conexão wireless possuem unidades de armazenamento de dados, incluindo discos para
backups ou compartilhamento de arquivos.tira o “ ou sem” Deixa so wireless
■ Consoles de jogos – os consoles de jogos atuais são máquinas muito avançadas, capazes de
trabalhar com muitos tipos de tarefas e possuem também uma grande capacidade de
armazenamento. Notícias recentes afirmam que os serviços de inteligência dos Estados Unidos
vêm tentando conseguir burlar as barreiras de proteção criptográficas de consoles com a intenção
de investigar possíveis armazenamentos de informações terroristas nessas máquinas, pois elas são
muito mais protegidas do que os computadores pessoais.
■ E-mail - um dos meios mais utilizados para comunicação, é fonte de vestígios importantes. No
momento de coletar um e-mail, é necessário incluir o cabeçalho, capturando, assim, a data de
envio, a fonte e todos os passos que ele tomou até chegar ao receptor. Existe muita discussão
sobre a invasão de privacidade causada pela leitura de um e-mail de um funcionário. Veja detalhes
em leitura posterior e em Paiva (2002).
■ Internet – a internet é mais um meio em que dados podem ser armazenados, transmitidos e
compartilhados. Embora complexa e imensa, ela nada mais é do que uma grande rede de
computadores. Em última instância, a informação está gravada fisicamente em um ou mais
computadores, o que permite que ela possa ser coletada ao serem examinados os dispositivos
utilizados para seu armazenamento. Parte dessa informação pode ser volátil, como as mensagens
instantâneas (MSN, Yahoo Messenger etc.). Em investigações especiais, um monitoramento pode
ser utilizado para capturar mensagens.
■ Redes sociais – contêm diversas informações sobre uma pessoa e seus relacionamentos. O phishing
mostra que a manutenção de informações pessoais e de trabalho serve de munição para crimes.
■ Páginas na internet – o ideal é utilizar uma ferramenta que “puxe” todo o conteúdo do site. A
captura deve ser datada, uma vez que as mudanças são muito rápidas. Outra possibilidade é a
captura de telas.
■ Tocadores de música – esses dispositivos têm em seu interior grande capacidade de
armazenamento, com potencial de serem utilizados para armazenar inclusive arquivos com
formatos diferentes daqueles previstos para o aparelho.
■ Qualquer dispositivo desconhecido.

Essa lista é apenas uma amostra. Novos aparelhos e novas formas de comunicação são inventados e
alguns saem de uso. O PDA, por exemplo, tem dado lugar aos celulares sofisticados e tablets, e uma
nova fonte de armazenamento pode se tornar importante para a lista em questão de meses.
Referências
SAFE E METROPOLITAN POLICE SERVICE UK. E-Crime: good practice and advice guide for
managers of e-crime investigations. 2011. Disponível em: <http://www.acpo.police.uk/
documents/crime/2011/201103CRIECI14.pdf>. Acesso em: 9 jan. 2012.

ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open
source platform tools for performing computer forensics on target systems: Windows, Mac, Linux,
Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponível
em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012.

BRASIL. Código de processo civil. L-005.869-1973. art. 839 a 843. 1973. Disponível em:
<http://www.dji.com.br/codigos/1973_lei_005869_cpc/cpc0839a0843.htm>. Acesso em: 9 jan. 2012.

EVIDENCE bag. Adventures in security [20 –]. Disponível em: <http://adventuresinsecurity.

com/images/Evidence_Bag.jpg>. Acesso em: 23 mar. 2012.

FIGG, W.; ZHOU, Z. A computer forensics minor curriculum proposal. J. Comput. Small Coll.,
Consortium for Computing Sciences in Colleges, USA, v. 22, p. 32–38, abr. 2007. Disponível em:
<http://dl.acm.org/citation.cfm?id=1229637.1229642>. Acesso em: 10 jan. 2012.

NATIONAL Institute of Justice. Digital evidence investigative tools. 2010. Disponível em:
<http://nij.gov/nij/topics/forensics/evidence/digital/investigative-tools/welcome.htm>. Acesso em: 10
jan. 2012.

OPPENHEIMER, P. Computer forensics: seizing a computer. [20–]. Disponível em: <http://

www.priscilla.com/forensics/ComputerSeizure.html>. Acesso em: 10 jan. 2012.

WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book
period. [S.l.]: Syngress, 2007.

WRIGHT, T. E. Field guide part one. 2010. Disponível em: <http://www.symantec.com/

connect/articles/field-guide-part-one>. Acesso em: 1o dez. 2011.

Autor: Prof. Dr. Mauro Notarnicola Madeira

A proatividade, a formação, a mão de obra

e a profissão
A Computação Forense funciona de maneira similar à forma clássica de levantamento de vestígios.

Na investigação forense física, peritos coletam resíduos que podem colaborar para desvendar os
acontecimentos, sendo usados então como provas para incriminar ou inocentar o acusado de um
crime. Exemplos comuns que podemos considerar como “vestígios físicos”são impressões digitais,
cabelos, gotas de sangue, bilhetes, documentos em papel, gravações de áudio e vídeo, pegadas,
armas etc.

Já na Computação Forense, os resíduos deixados são os digitais, ou seja, aqueles que podem ser
armazenados em forma eletrônica em computadores ou em outros dispositivos eletrônicos digitais.
Podemos então dizer que temos um “vestígio digital”.

Essa mudança na natureza da prova do crime implica procedimentos próprios e a caracterização da

atividade da computação forense.

Proatividade e a formação da mão de obra

A proatividade em termos da forense computacional significa a preparação e instalação de uma
equipe com a incumbência de reagir prontamente a um ataque.

Não é uma tarefa simples, pois, se a equipe não estiver bem preparada, o vestígio digital pode se
perder.

Como em toda atividade, a prática deve ser constante. Ensaios devem ser conduzidos para treinar a
equipe antes que um ataque real seja detectado.

Um dos conteúdos do treinamento é como adquirir e analisar vestígios nos tipos de máquinas
(incluindo dispositivos móveis, como celulares, tablets e smartphones, e também redes) e sistemas
operacionais em uso na empresa, bem como na infraestrutura digital da empresa.

Com certeza, um investigador forense tem de ter, associados, um bom conhecimento de computação
e dos processos e equipamentos para ser capaz de conduzir uma investigação digital. Porém, apenas
os conhecimentos na área computacional não são suficientes. Seja atuando como perito, seja
trabalhando internamente, uma hora ou outra o profissional forense tem de lidar com detalhes que
se ligam a dimensões éticas e legais.

Existe crítica em nosso país de não haver clareza entre a sociedade sobre a função de investigador
forense ligado à informática. Muitas vezes, pessoas com pouco conhecimento de computação são
chamadas a atuar como peritos forenses na presunção de que apenas a competência técnica
computacional, sem os conhecimentos legais e os detalhes do procedimento forense, seja suficiente.
Segundo Milagre (2010), “Ainda temos casos em que o dono da loja de informática da cidade é o
perito, economistas e contadores nomeados como peritos digitais, e isto é um risco para a
efetividade da tutela jurisdicional, considerando que é comum os juízes confiarem na palavra do
especialista.”

Em termos gerais, ainda há muito pouco formalismo de como deve ser conduzido o treinamento na
área em nosso país.

Alguns países já têm relativa tradição, como os Estados Unidos, contando com American Association
of Forensic Science (AAFA), que desenvolveu um padrão para reconhecimento de cursos de ciência
forense digital. Em abrangência internacional, a International Association of Computer Investigative
Specialists (IACIS) fornece programas de treinamento e certificação. Além desses, temos alguns
exemplos de certificação internacional, com Certified Computer Forensic Technical (CCFT),
Certified Ethical Hacker (CEH), Certified Hacker Forensic Investigator (CHFI) e American College of
Forensic Examiners Institute (ACFEI).

No Brasil, existem cursos destinados a formar mão de obra para a área, mas ainda não temos
nenhuma diretriz educacional relacionando quais conteúdos mínimos devem ser estudados.

Segundo o Computer Emergency Response Team (CERT), da Universidade Carnegie Mellon

(HAMMERSTEIN; MAY, 2010), a Computação Forense é um processo fortemente baseado na
capacidade da mão de obra, requerendo especialistas altamente treinados, com conhecimentos
específicos sobre sistemas operacionais e ferramentas de coleta e análise forense. Isso significa
muito gasto em recrutamento, treinamento inicial e retreinamento constante, pois os sistemas
operacionais, sistemas de arquivos e equipamentos são constantemente atualizados.

No processo de exame de um sistema, há alguns aspectos que se ligam a diferentes áreas da

tecnologia, incluindo um treinamento básico em eletrônica, pois a equipe deve contar com a
habilidade de realizar algumas intervenções no hardware, como remover discos rígidos, configurar
placas, instalar e entender dos padrões de interfaceamento, usar proteção antiestática etc.

O conhecimento das ferramentas que automatizam a coleta de dados e vários exames é essencial,
pois elas poupam muito tempo, já que as unidades de armazenamento compreendem gigabytes de
espaço.

As ferramentas aceleram os procedimentos, mas é necessário conhecimento para saber exatamente

o que procurar e como interpretar os resultados.

Além disso, o exame manual é muitas vezes necessário, ou seja, usar comandos do sistema
operacional, o que significa uma grande intimidade com a arquitetura de software e hardware de
cada máquina em uso – papel de administrador de sistemas.

Segundo o guia produzido pela 7Safe e Metropolitan Police Service UK, em 2011, considerado em
todo o mundo como referência na investigação do crime eletrônico, para a formação de um
profissional para a área de investigação forense digital deve ser considerado como padrão mínimo:

1. conhecimento intermediário de arquitetura de computadores;

2. conhecimento intermediário do uso e da metodologia de dispositivos relacionados;
3. conhecimento intermediário de uso e metodologia de software, particularmente aos utilizados na
internet, contas de e-mail, compartilhamento de dados, aplicações de bancos de dados e
processamento de texto;
4. conhecimento intermediário da legislação relevante;
5. boa capacidade de comunicação;
6. capacidade de gerenciar carga de trabalho e prioridade de tarefas;
7. capacidade de trabalhar efetivamente como parte de uma equipe.

Cooper, Finley e Kaskenpalo (2010) detalharam mais um pouco o tema, tendo levantado o grau de
pertinência para a área dos conteúdos estudados nos cursos de Ciência da Computação, Sistemas de
Informação, Engenharia da Computação, Engenharia de Software e Tecnologia da Informação.
Entre as disciplinas presentes nesses cursos e a necessidade para a formação de um investigador
forense digital, destacam-se:

• Redes: o investigador forense deve ter conhecimento teórico e prático de redes, sendo capaz de
realizar identificação, coleta e análise de vestígios.

• Segurança da Informação: é o tema de maior aprofundamento entre os comuns aos outros

cursos. É necessário um extenso conhecimento tanto da teoria como da prática da Segurança da
Informação, mas sem o aprofundamento teórico que é visto em Ciência da Computação.

• Administração de Sistemas: a capacidade de administrar sistemas é a base para coletar

vestígios e reconstruir a cena do crime na profissão de investigador forense na área da computação.
Enquanto se espera que o investigador tenha domínio sobre o uso de ferramentas forenses, ele
também precisa entender muito bem o sistema operacional investigado.

• Eletrônica: não requer conhecimento teórico de como projetar circuitos eletrônicos, mas um nível
de eletrônica aplicada que inclui a reconstrução de dispositivos danificados para extrair dados, a
capacidade de avaliar as limitações das leis da física sobre os vestígios e, mais particularmente, que
o investigador tenha conhecimento das próprias capacidades e limitações ao se deparar com um
problema de hardware.

Entre os temas não relacionados à computação, destacam-se:

• Matemática e estatística: a Forense Digital requer a aplicação de análise estatística e da

matemática discreta na análise de dados, esteganografia, criptologia, reconhecimento de padrões e
na detecção de malwares. É comparável ao nível de matemática básico (de apoio) esperado para as
outras disciplinas na ciência da computação.

• Ética: o investigador forense é confrontado com situações morais desafiadoras. Embora as outras
áreas também possam comportar situações de escolhas morais, elas não estão sujeitas a exame
público como estão na Computação Forense.

• Criminologia: entender as causas e motivações para o crime ajuda em uma análise de caso, bem
como na habilidade de prever o comportamento de um suspeito durante uma investigação.

• Ciência Forense: a Forense Digital faz parte da Ciência Forense ou Criminalística. Tópicos
comuns a todas as linhas da Ciência Forense devem ser incluídos na formação de um investigador
forense digital.

• Direito: o investigador forense deve ter conhecimento de regras e leis que governam seu trabalho,
o que logicamente, varia de nação para nação.

A abrangência dos sistemas tem extrapolado em muito o ambiente local de uma empresa. É comum
atualmente fazer parte do ambiente de trabalho também os dispositivos móveis e suas conexões via
rede aos servidores da empresa. Cada vez mais um conhecimento de redes e seus protocolos têm
feito parte da investigação. Há pouco tempo, não existiam iPhones, Android e tablets. Uma equipe
deve conter profissionais capazes de analisar esses dispositivos ou, no mínimo, entender como eles
podem ser relevantes para a investigação e, se necessário, solicitar um levantamento de vestígios
por peritos externos.
Ambiente computacional
A abrangência do treinamento também é influenciada pela quantidade de sistemas operacionais
existentes na empresa. Quanto mais diversificados os sistemas, mais treinamento é necessário.
Nesse aspecto, faria sentido manter um conjunto pequeno de fornecedores de software, mas essa
não é uma realidade possível para qualquer empresa, uma vez que há a necessidade de obter o
melhor custo/benefício e de tirar melhor proveito do que existe disponível. Logicamente que para um
perito conhecer vários sistemas operacionais facilita seu trabalho, mas o ideal é que uma equipe seja
formada e atue em conjunto.

Além do preparo técnico, o profissional forense tem de ter um mente talhada para a natureza do
serviço, o que inclui muita paciência. O vestígio pode estar armazenado em um disco, mas
simplesmente procurar por todo ele pode demorar muito. A experiência e habilidade é que vão
determinar como evitar partes e se concentrar onde há maior probabilidade de encontrar um
vestígio.

Pensar toda a infraestrutura da empresa pode ajudar a minimizar o impacto de uma análise, caso um
incidente ocorra. Isso significa que muitos componentes têm de ter redundância, como em
servidores de dados, redes etc., para que o sistema permaneça operacional enquanto uma incidência
é analisada.

Basicamente, o processo da Computação Forense é de um tipo reativo, que visa a encontrar um uso
não autorizado de um sistema. Ele se baseia em pistas, pois verificar constantemente os sistemas
utilizados por uma empresa é impossível.

Entre pistas comuns, podemos relacionar:

■ processos rodando na máquina que não são conhecidos ou não comuns: lembrando que um
processo ou programa pode ser criado e executado fazendo-se passar por algum legítimo, mas que
não deveria estar em execução em determinado momento;
■ sistema operando com carga acima do normal: um sistema que, por exemplo, carrega um
processador em 40% e que esteja operando em 80%;
■ alarmes e assinaturas configurados em sistema de detecção de intrusão pela rede, como o SNORT,
ou assinatura de vírus e outras ameaças detectadas por sistema anti-vírus. Ex.:
alert tcp any any -> 192.16.8.1.0/24 \
(content:”|00 01 86 a5|”: msg:”mountd access”;)
■ trânsito elevado na rede: é muito comum que sistemas sejam invadidos para armazenar scripts, e
estes passem a ser acessados exageradamente, aumentando o tráfego da rede;
■ usuários que relatam comportamento anormal de suas estações de trabalho.

O estabelecimento do que é normal em um sistema é uma arma valiosa para quem vai analisar se
e/ou como um sistema foi invadido.

Etapas da investigação forense

Existe muita literatura sobre quais são as etapas do processo da investigação forense, mas não
existe uma metodologia estabelecida. Sem contar que a evolução da tecnologia aponta
constantemente para novas necessidades.
De uma forma geral, a equipe deve estar preparada para conduzir as seguintes etapas:

Aquisição: refere-se à coleta de vestígios digitais. Dependendo do tipo de investigação, podem ser
discos rígidos, mídia óptica (CD, DVD), cartões de memória de câmeras digitais, pen drives,
celulares, smartphones, tablets, dumps de memória, e-mails, arquivos, gravação de uma troca de
dados etc. Em qualquer caso, quando envolve o exame de uma mídia, esta tem de ser tratada com
muito cuidado.

Preservação: essa etapa é de grande importância, pois os dados originais têm de ser mantidos
intactos. O processo de preservação tem de no mínimo criar uma duplicata do original – a cópia de
trabalho. O investigador sempre trabalha com a cópia, de tal forma que, havendo algum
procedimento que danifique os dados durante uma análise, o original está preservado e nova cópia
de trabalho pode ser feita. Lembrando que os vestígios são como os do mundo físico: guardados para
que, no futuro, em caso de contestação, possam ser novamente examinados.

Como veremos em outras leituras da disciplina, existem métodos para validar as cópias, de tal forma
que é possível verificar se a cópia representa fielmente o material original.

Certamente que algumas fontes, por sua natureza dinâmica, são difíceis de se manterem intactas por
muito tempo, como o estado da memória de um equipamento no momento de sua aquisição. Em
função disso, alguns dados são considerados mais relevantes do que outros.

É imperativo que o material original seja identificado e preservado integralmente. Para isso, é criada
a cadeia de custódia. A cadeia de custódia é a atividade da investigação forense que tem a função de
documentar o material coletado e relacionar todo o manuseio que sofreu durante sua retirada do
ambiente da investigação, transporte, manuseio e armazenamento. Deve constar quem recebeu o
material, datas e assinaturas dos envolvidos. Segundo Wiles, Cardwell e Reyes (2007), essa
documentação deve ser incluída no relatório final.Veja um exemplo no anexo.

Extração: os dados são extraídos, quando completos, num processo de cópia. Um exemplo é a cópia
de um disco rígido, bit a bit, para outro, preservando o original, ou um dump de memória.

Recuperação: quando são necessárias técnicas para extrair informações de dados pertencentes a
arquivos parcialmente apagados, mídias defeituosas, dados escondidos intencionalmente etc.

Análise: é a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a
informação pode estar “escondida” em gigabytes de dados. Aqui, a experiência do profissional é
fundamental, pois ele pode direcionar as ferramentas para alvos que sabe haver maior probabilidade
de acerto, interpretando os resultados baseado no seu treino e perícia.

Apresentação: uma parte importantíssima, pois o resultado de todo o procedimento deve ser
claramente exposto, evitando ao máximo imprecisões que possam invalidar o trabalho. É processo
pelo qual o examinador compartilha os resultados com as partes interessadas. Consiste em gerar um
relatório sobre as operações realizadas pelo perito, vestígios encontrados e o significado destes.
Pode também incluir uma defesa do trabalho em público. Segundo Altheide, Carvey e Davidson
(2011), os achados podem levar a novas aquisições, que podem, por sua vez, gerar análises
adicionais etc. Esse ciclo pode se repetir muitas vezes em função de uma cadeia de
comprometimento de um sistema ou de uma investigação criminal demorada.
Todo esse processo tem de ser passível de auditoria, ou seja, um segundo exame de um sistema ou
parte dele, ou, ainda, dispositivos, tem de ser capaz de replicar todos os resultados obtidos.

Se uma investigação não for cuidadosamente realizada, os resultados podem ser questionados,
podendo ser necessária uma segunda avaliação, ou mesmo descartados em um possível auxílio em
uma decisão judicial.

Vale ressaltar também que a computação forense é uma atividade relativamente nova. Assim como
novas formas de comprometimento dos sistemas são inventadas, novas formas de detectar e
trabalhar a investigação também evoluem.

Ambiente do trabalho forense

Para realizar a análise forense, na qual dispositivos de armazenamento de dados serão analisados, é
essencial contar com equipamento confiável, instalado em um ambiente seguro, o mais isolado
possível do mundo externo, tanto do ponto de vista do acesso físico como eletrônico.

O garimpo de dados é um processo minucioso e toma tempo peneirar discos cada vez maiores em
busca de cadeias de caracteres. Em uma investigação, devem ser utilizados bons equipamentos e
garantir que estes não estejam comprometidos. Deve-se garantir então que a máquina, ou máquinas
utilizadas para análises – aquelas em que serão ligados HD’s, pen drives, conectores a outros
dispositivos etc. – estejam conectadas em rede com um isolamento especial, acessando, se for o
caso, o mínimo de serviços externos que sejam essenciais ou, mesmo, nenhum. Ou seja, deve haver
um cuidado especial para que o ambiente não esteja e não possa ser comprometido. Ao fim do
trabalho, um relatório bem-feito pode inclusive descrever o ambiente utilizado para a investigação.

Uma boa parte da investigação será procurar cadeias de caracteres (strings) com palavras-chave e
arquivos com determinados formatos ou extensão. Analisar dispositivos com grande capacidade
toma tempo, portanto é importante que haja boa capacidade computacional para realizar o serviço,
além de ferramental de software específico para a investigação forense. Existe uma grande
variedade de equipamentos para auxiliar a análise.

O método científico
Como dito anteriormente, o trabalho forense deve ser capaz de ser auditável e reproduzível. O uso
do método científico é uma forma de chegar a esse resultado.

A produção científica tem por base a aplicação do método científico. Com ele, procura-se criar
uma interpretação precisa do mundo e de seus fenômenos, de tal forma que gostos pessoais,
culturais e religiosos não interfiram para distorcer os resultados de uma pesquisa.

Segundo Wolfs (2007), o método científico possui quatro etapas:

1. observação e descrição de um fenômeno ou grupo de fenômenos;

2. formulação de uma hipótese que explica o fenômeno;
3. experimentação ou teste da hipótese;
4. interpretação dos resultados.

Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve
ser levado em consideração é que a investigação deve ser conduzida com um método, e que os
resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e
parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância
da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a
resultados produtivos.

Aplicando o método científico à Computação Forense, o produto da investigação deve apresentar de

forma documentada e clara as relações de causa e efeito, eliminando dúvidas e descartando
conclusões que não podem ser demostradas.

Um dizer popular afirma que, na ciência, as teorias nunca podem ser realmente evidenciadas,
apenas desacreditadas. Existe sempre a possibilidade de que uma nova observação ou um novo
experimento entre em conflito com alguma teoria já longamente estabelecida (WOLFS, 2007).

Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o
trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um
relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação,
desacreditando todo um trabalho confiável.

A profissão de investigador forense

Há três atuações básicas para um investigador forense:

1. fazer parte da equipe do Sistema de Gerenciamento de Segurança da Informação de uma

empresa ou prestar serviço como consultor;
2. trabalhar em algum órgão de polícia ligado a criminalística;
3. trabalhar como perito judicial.

As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com
questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe,
como no caso de um agente criminalístico envolvido em uma investigação.

Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um
juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em
alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes
técnicos do caso.

Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve
ser levado em consideração é que a investigação deve ser conduzida com um método, e que os
resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e
parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância
da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a
resultados produtivos.

Aplicando o método científico à Computação Forense, o produto da investigação deve apresentar de

forma documentada e clara as relações de causa e efeito, eliminando dúvidas e descartando
conclusões que não podem ser demostradas.
Um dizer popular afirma que, na ciência, as teorias nunca podem ser realmente evidenciadas,
apenas desacreditadas. Existe sempre a possibilidade de que uma nova observação ou um novo
experimento entre em conflito com alguma teoria já longamente estabelecida (WOLFS, 2007).

Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o
trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um
relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação,
desacreditando todo um trabalho confiável.

A profissão de investigador forense

Há três atuações básicas para um investigador forense:

1. fazer parte da equipe do Sistema de Gerenciamento de Segurança da Informação de uma

empresa ou prestar serviço como consultor;
2. trabalhar em algum órgão de polícia ligado a criminalística;
3. trabalhar como perito judicial.

As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com
questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe,
como no caso de um agente criminalístico envolvido em uma investigação.

Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um
juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em
alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes
técnicos do caso.

Por lei, o perito não precisa de formação em Direito, mas é interessante que ele procure estudar o
tema, uma vez que a responsabilidade é grande, principalmente em relação às atividades que
envolvem o sigilo e a ética, a fidelidade no levantamento dos dados e a redação de laudos o mais
claro possível, evitando interpretações que levantem dúvidas sobre o trabalho realizado. Um laudo
pode ajudar na decisão de um juiz, portanto, sempre haverá a possibilidade de contestação.

Observa-se que um perito também pode indicar um ou mais assistentes técnicos, quando a perícia
envolver um assunto complexo e que abrange mais de uma área de conhecimento.

A documentação do levantamento técnico é um aspecto fundamental, uma vez que ela é a base do
processo, ou parte da base, e é utilizada pelas duas partes em litígio. Outro perito, ou corpo de
peritos, pode ser posteriormente indicado para trabalhar junto à defesa, que se utiliza dessa
documentação técnica anexada ao processo.

Vale por fim destacar que a Computação Forense é uma atividade relativamente recente, bem como
a velocidade com que as mudanças ocorrem também altera o que é considerado procedimento-
padrão, e, assim, evolui o que é possível de ser realizado pelos profissionais da área. Há pouco
tempo, as ferramentas utilizadas por um investigador forense eram editores hexadecimais capazes
de mostrar arquivos em seus bits, bytes e caracteres ASCII individuais e o investigador tinha de
conhecer profundamente como os sistemas de arquivos funcionavam. Hoje, as ferramentas são muito
mais poderosas, capazes de realizar operações como: file carving, que
se utiliza de várias técnicas avançadas para reconstruir arquivos apagados a partir de fragmentos
presentes na mídia sob análise; geradores de linha de tempo, que reúnem vários arquivos de log
para gerar uma visão no tempo do que foi modificado em um sistema; ferramentas para análise de
memória volátil e outras.

A evolução das ferramentas não indica que o investigador não mais precise de um grande
conhecimento dos sistemas, mas sim que sua abrangência aumentou. Com o auxílio de novas
ferramentas, ele consegue ser mais produtivo, mas precisa saber para onde apontar essas novas
armas.

E o fato de o computador não estar mais isolado também faz com que a tarefa se expanda para redes
e seus dispositivos e, mais recentemente, para a computação móvel.

Nos modernos ambientes de redes, os equipamentos em uma LAN (Local Area Network) fornecem
capacidade de auditoria, proteção e criptografia. Esses serviços são ajustados de acordo com regras
ditadas pelas políticas da empresa e devem ser habilitados de forma a serem capazes de registrar
suas atividades em um syslog, facilitando o trabalho da investigação forense.

A Computação Forense se beneficia de ambientes bem estruturados em termos de segurança, assim

como beneficia a segurança quando consegue interpretar um evento e produzir relatórios que levam
a mudanças de procedimentos visando a aumentar a segurança.

Portanto, montar uma equipe de Computação Forense pode ser uma forma de aumentar a segurança
em uma empresa, criando um ciclo virtuoso.

Referências
ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open
source platform tools for performing computer forensics on target systems: Windows, Mac, Linux,
Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponível
em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012.

COOPER, P.; FINLEY, G. T.; KASKENPALO, P. Towards standards in digital forensics education. In:
CLEAR, A.; DAG, L. R. (eds.). ITiCSE-WGR ’10: Proceedings of the 2010 ITiCSE working group
reports. New York, NY: ACM, 2010. p. 87-95. Disponível
em: <http://doi.acm.org/10.1145/1971681.1971688>. Acesso em: 12 jan. 2012.

HAMMERSTEIN, J.; MAY, C. The CERT approach to cybersecurity workforce development.

Estados Unidos: Carnegie Mellon University, 2010. Disponível em: <http://www.sei.cmu. edu>.
Acesso em: 3 jan. 2012.

MILAGRE, J. A. Perícia digital e computação forense: carreira amadurece no Brasil. 2010.

Disponível em: <http://revistavisaojuridica.uol.com.br/ advogados-leis-
jurisprudencia/47/imprime170142.asp>. Acesso em: 3 jan. 2012.

SNORT users manual. 2011. Disponível em: <http://manual.snort.org/snort_manual. html>. Acesso

em: 10 dez. 2011.
WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book
period. [S.l.]: Syngress, 2007.

WOLFS, F. L. H. APPENDIX E: Introduction to the scientific method. 2007. Disponível em

<http://teacher.pas.rochester.edu/phy_labs/appendixe/appendixe.html>. Acesso em: 3 jan. 2012.

Autor: Prof. Dr. Mauro Notarnicola Madeira