FACULDADE DE TECNOLOGIA SENAI MATO GROSSO

SUPERVISÃO DE CURSO SUPERIOR - EIXO INFORMAÇÃO E

COMUNICAÇÃO
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES

MARCOS HENRIQUE OLIVEIRA SILVA

TÉCNICAS DE COLETA E MANIPULAÇÃO DE EVIDÊNCIAS

DIGITAIS EM SISTEMA OPERACIONAL MICROSOFT WINDOWS

CUIABÁ
2019
 FACULDADE DE TECNOLOGIA SENAI MATO GROSSO
MARCOS HENRIQUE OLIVEIRA SILVA

TÉCNICAS DE COLETA E MANIPULAÇÃO DE EVIDÊNCIAS

DIGITAIS EM SISTEMA OPERACIONAL MICROSOFT WINDOWS

Monografia apresentada ao Curso Superior de

Tecnologia em Redes de Computadores da
Faculdade de Tecnologia SENAI Cuiabá, como
requisito parcial para obtenção do título de
Tecnólogo em Redes de Computadores.

Orientador: Prof. Esp. Alessandro Jesus

de Oliveira

CUIABÁ
2019
 MARCOS HENRIQUE OLIVEIRA SILVA

TÉCNICAS DE COLETA E MANIPULAÇÃO DE EVIDÊNCIAS

DIGITAIS EM SISTEMA OPERACIONAL MICROSOFT WINDOWS

Monografia apresentada ao Curso

Superior de Tecnologia em Redes de
Computadores da Faculdade de
Tecnologia SENAI Cuiabá, como requisito
parcial para obtenção do título de
Tecnólogo em Redes de Computadores.

Cuiabá, 12 de março de 2019 Nota: ______

BANCA EXAMINADORA

_____________________________________________
Prof. Esp. Alessandro Jesus de Oliveira
FATEC

_____________________________________________
Profa. Me. (NOME do prof. AVALIADOR 1)
FATEC

_____________________________________________
Profa. Esp. (NOME do prof. AVALIADOR 2)
FATEC
Dedico este trabalho a minha família,
amigos, meu orientador e todas as
pessoas que me auxiliaram nessa
jornada.
 AGRADECIMENTOS

Agradeço à minha família, por todo apoio recebido durante a faculdade e a

realização deste trabalho, a todos professores, mestres e doutores que somaram de
alguma forma durante todo o curso. E ao meu orientador Prof. Alessandro Jesus
que me auxiliou durante todo o processo de elaboração deste trabalho.
 RESUMO

A Internet vem crescendo exponencialmente nos últimos anos e estima-se que

milhares de novas máquinas (ou hosts) sejam conectadas a ela todos os dias. Isso
vem causando sérios problemas, devido ao fato dos protocolos e infraestrutura
terem sido projetados décadas atrás, quando era imprevisível que algum dia ela
viesse a chegar às proporções atuais. O acesso à informação também foi favorecido
possibilitando que pessoas possam encontrar de tudo ou quase tudo que procuram,
essas facilidades possibilitaram o aumento de crimes virtuais. Para combater esses
crimes as instituições policiais tiveram que aperfeiçoar suas técnicas de
investigação, surgindo assim o Perito Forense Computacional, um profissional com
conhecimento avançado em informática, direito e com a capacidade de buscar e
analisar vestígios digitais para produzir provas técnicas fundamentais para
resoluções de crimes. Este trabalho visa descrever a Perícia Forense
Computacional e demonstrar as técnicas utilizadas durante o processo de obtenção
e analise de evidências digitais utilizando softwares livres.

Palavras-chaves: Coleta, Manipulação, Evidencias, Digitais, Windows.

 ABSTRACT

The internet has been growing exponentially in recent years and new incoming
machines are connected every day. This has been causing serious problems,
because protocols and strings have been organized in ancient settings, when it was
unpredictable that it was one hour of current proportions. Access to information was
also favored so that students could find everything or almost everything they wanted,
others could be facilitated or augmented by virtual crimes. Research-based
companies that refine their investigative techniques have thus emerged in the
Computer Forensic Expert with advanced knowledge in computer science, law and
the ability to search and analyze digital data to produce important technical evidence
for the resolution of crimes. This work aims to describe Computational Forensic
Expertise and demonstration during the process of searching and analyzing digital
data in free software.

Keywords: Collection, Manipulation, Evidence, Digital, Windows.

 LISTA DE ILUSTRAÇÕES

Figura 1. Ilustração do volume NTFS. .............................................................................. 20

Figura 2. Hash do arquivo utilizando algoritmo MD5. .................................................... 22
Figura 3. Hash do arquivo utilizando algoritmo SHA-1. ................................................. 22
Figura 4. Análise de várias cópias de arquivos............................................................... 23
Figura 5. Comparação de código hash de dois arquivos diferentes ou alterados no
QuickHash. ............................................................................................................................ 24
Figura 6. Comparação de arquivos iguais no QuickHash. ............................................ 24
Figura 7. Inicialização do WinDirStat. ............................................................................... 25
Figura 8. Interface do WinDirStat. ..................................................................................... 26
Figura 9. Busca da extensão .mkv no WinDirStat. ......................................................... 26
Figura 10. Interface do AccessData FTK Imager............................................................ 27
Figura 11. Opção de criação de imagem. ........................................................................ 28
Figura 12. Tipos de evidência suportadas pelo AccessData FTK Imager.................. 28
Figura 13. Seleção da unidade que será feita a imagem. ............................................. 29
Figura 14. Adicionando o tipo de imagem........................................................................ 29
Figura 15. Seleção do tipo de imagem. ............................................................................ 30
Figura 16. Informações sobre a evidência. ...................................................................... 30
Figura 17. Seleção da pasta de destino e nome da imagem........................................ 31
Figura 18. Informações básicas da imagem. ................................................................... 31
Figura 19. Processo de criação e verificação da imagem............................................. 32
Figura 20. Arquivos criados pelo AccessData FTK Imager. ......................................... 32
Figura 21. Arquivo de texto gerado pelo AccessData FTK Imager.............................. 33
Figura 22. Interface do OSFMount. ................................................................................... 33
Figura 23. Montando a imagem no OSFMount. .............................................................. 34
Figura 24. Pendrive e sua imagem. .................................................................................. 34
Figura 25. Interface de Hex Workshop. ............................................................................ 35
Figura 26. Seleção do arquivo. .......................................................................................... 36
Figura 27. Código hexadecimal do arquivo de texto (.docx)......................................... 36
Figura 28. Assinatura do arquivo....................................................................................... 37
Figura 29. Interface do site https://www.filesignatures.net/........................................... 37
Figura 30. Interface de Autopsy......................................................................................... 38
Figura 31. Nome do caso e a pasta de destino. ............................................................. 39
Figura 32. Informações sobre o caso. .............................................................................. 39
Figura 33. Escolha do tipo do dispositivo de armazenamento. .................................... 40
Figura 34. Escolher a imagem. .......................................................................................... 40
Figura 35. Processos que o software executará............................................................. 41
Figura 36. Processo de adicionamento de fonte de dados concluído......................... 41
Figura 37. Arquivos possivelmente recuperáveis. .......................................................... 42
 LISTA DE ABREVIATURA E SIGLAS

CD Compact Disk
CRC Cyclic Redundancy Check
DVD Digital Video Disc
FAT File Allocation Table
GB Gigabytes
HD Hard Disk
MB Megabytes
MD5 Message-Digest algorithm 5
MFT Master File Table
MKV Matroska Video
NTFS New Technology File System
SHA1 Secure Hash Algorithm
SHA256 Secure Hash Algorithm
TB Terabytes
 SUMÁRIO
1. INTRODUÇÃO .............................................................................................................. 12
1.1. Objetivo Geral ............................................................................................................ 12
1.2. Objetivos Específicos ............................................................................................... 12
1.3. Metodologia ................................................................................................................ 13
2. Referencial Teórico .................................................................................................... 14
2.1. Perícia Forense Computacional.............................................................................. 14
2.2. Coleta de Evidências ................................................................................................ 15
2.2.1. Extração de Dados ................................................................................................ 16
2.3. Preservação de Evidências ..................................................................................... 16
2.4. Análise das Evidências ............................................................................................ 17
2.5. Apresentação da Análise ......................................................................................... 17
2.5.1. Documentação ....................................................................................................... 18
2.6. Análise Forense em Windows................................................................................. 19
2.6.1. Sistema de Arquivos ............................................................................................. 19
3. Manipulação de Evidências ..................................................................................... 21
3.1. Hashing de Arquivos................................................................................................. 21
3.2. Busca de Diretórios................................................................................................... 24
3.3. Criação de Imagem para Investigação .................................................................. 27
3.3.1. Montagem da Imagem .......................................................................................... 33
3.4. Análise de Arquivos .................................................................................................. 35
3.5. Recuperação de Arquivos........................................................................................ 38
4. Principais Dificuldades que Podem Surgir Durante a Investigação ............. 42
4.1. Quantidade de Arquivos........................................................................................... 42
4.2. Existência de Senhas ............................................................................................... 43
4.3. Criptografia ................................................................................................................. 44
4.4. Esteganografia........................................................................................................... 45
5. CONSIDERAÇÕES FINAIS ........................................................................................ 45
5.1. TRABALHOS FUTUROS ......................................................................................... 46
6. REFERÊNCIAS............................................................................................................. 47
 12

1. INTRODUÇÃO

Com o avanço tecnológico dos computadores desde a sua invenção, não

demorou muito para esses dispositivos estarem presentes em várias atividades
desempenhadas pelo ser humano. Os computadores se tornaram cada vez
menores, mais rápidos e mais eficientes no consumo de energia. Com tamanha
divulgação e popularização, nos dias de hoje, os computadores estão presentes não
apenas nas empresas, mas nas casas, nas mãos (telefone celular) e no dia a dia de
pessoas de todo o mundo.
Com o crescente número de usuários web há cada vez mais pessoas
tentando tirar proveito da situação para roubar alguma informação ou cometer
algum tipo de crime virtual. Os meios mais comuns para isso é através do phishing
(conversas ou mensagens falsas com links fraudulentos), spam (mensagens
enviadas sem o consentimento do usuário) e malwares (softwares maliciosos
instalados sem permissão do usuário).
Para solucionar esses crimes é necessária a habilidade de um Perito Forense
Computacional, através da preservação, identificação, extração e documentação de
evidências de um computador ou outro dispositivo de armazenamento, tornando
possível a resolução de uma investigação criminal.

1.1. Objetivo Geral

Relatar a importância da perícia forense computacional e demonstrar

técnicas de coleta e manipulação de evidências digitais em sistema operacional
Microsoft Windows utilizando softwares livres.

1.2. Objetivos Específicos

• Apresentar softwares que apontam vestígios para investigação forense;

• Identificar conceitos, procedimentos e técnicas envolvidas com a perícia
forense computacional;
 13

• Demonstrar a aplicabilidade dos procedimentos apontados;

• Utilizar de softwares livres para demonstrar testes periciais em dispositivos
de armazenamento de dados.

1.3. Metodologia

A metodologia utilizada tem por base uma pesquisa teórica de cunho descritivo
tendo por finalidade, através da utilização de máquinas virtuais apresentar as etapas
de coleta, extração e análise do processo forense.
 14

2. Referencial Teórico

2.1. Perícia Forense Computacional

Incidentes de segurança podem acontecer a qualquer momento, são

causados por ataques direcionados a infra-estrutura de informação de uma
organização. Os ataques são divididos em físicos e lógicos sendo o lógico o mais
utilizado, os ataques lógicos ocorrem normalmente por invasões aos servidores,
ataques de negação de serviços, comprometimento ou perda de dados e infecção
por vírus (VENERE, 2009).
A computação forense tornou-se imprescindível após o aumento exponencial
de número de crimes cibernéticos principalmente envolvendo grandes organizações,
crimes que muitas vezes causam grandes prejuízos financeiros. Tornando
necessário a utilização de serviços de agências especializadas em computação
forense ou a contratação de um perito forense computacional, a fim de proteger e
solucionar incidentes ocorridos a computadores e tecnologias relacionadas
(BELLEGARDE, 2010).
A ciência forense utiliza das ciências físicas para buscar a verdade em caso
de violações de direitos civis, criminais ou em questões de comportamento social
para que não ocorra injustiça a nenhum membro da sociedade. O principal objetivo
de qualquer investigação é coletar e apresentar evidências que tenham valor judicial
(BELLEGARDE, 2010).
De acordo com Nolan et al (2005, p.4):

Computação forense pode ser definida como a coleta e análise de dados de

sistemas de computadores, redes, fluxos de comunicação (sem fio) e mídia
de armazenamento de uma forma que é admissível em um tribunal de
direito. É uma fusão das disciplinas da ciência da computação e da
legislação. Essa definição se aplica à coleta de informações em tempo real,
bem como ao exame de dados latentes.

A perícia forense computacional é responsável por determinar a causa,

comprovação dos fatos e o responsável por praticar ações ilícitas ligadas a área de
informática (ELEUTÉRIO / MACHADO, 2011).
 15

2.2. Coleta de Evidências

O termo evidência vem do Latim evidenti, que significa certeza manifesta,

qualidade ou condição do que é evidente, provas ou demonstrações. No âmbito
tecnológico as evidências coletadas através de computadores entre outros
dispositivos eletrônicos recebem o nome de evidência digital. Essas evidências
podem ser por exemplo registro de logs, conexões, compartilhamentos suspeitos,
arquivos, histórico de sites visitados, entre outros, variando de acordo com o tipo de
crime (FREITAS, 2006).
Conforme cita Casey (2000, p.7) a “Evidência digital foi previamente definida
como qualquer dado que possa estabelecer que um crime foi cometido ou pode
fornecer uma ligação entre um crime e sua vítima ou um crime e seu perpetrador”.
Em uma coleta de evidências real o investigador desenvolve um plano de
investigação, seguido da obtenção de um mandado judicial expedido por um juiz.
Nesse mandado será especificado as informações que deverão ser coletadas e a
estratégia de busca que será utilizada na investigação, para facilitar o foco do
investigador e a melhor resolução da análise. Computadores entre outros
dispositivos eletrônicos como smartphones, tablets, etc, são excelentes fontes de
informações que podem ser de grande importância para uma investigação. As
informações obtidas através desses aparelhos podem determinar a ordem dos
eventos de um crime e fornecer as provas requeridas para uma condenação
(BELLEGARDE, 2010).
De acordo com Bellegarde (2010), ao chegar no local de crime o investigador
deve primeiramente realizar a execução das seguintes etapas:
● Tirar uma foto da cena de crime antes de qualquer alteração;
● Recolher e apreender equipamentos utilizados no crime;
● Documentar os itens coletados, como computadores, laptops, smartphones,
pen drives, etc.
Após essas etapas, o investigador deve documentar os procedimentos
utilizados durante a coleta de evidências e iniciar de fato a investigação
(BELLEGARDE, 2010).
É válido ressaltar que nem sempre a intenção da análise forense é
comprovar a culpabilidade de um indivíduo, por isso o investigador deve ser neutro
 16

em seu julgamento e na coleta de evidências. Ou seja, em alguns casos será

necessário comprovar a inocência de um indivíduo (VENERE, 2009).

2.2.1. Extração de Dados

A extração de dados durante o processo de análise de evidências é dividida

em dois tipos, física e lógica. A física acontece independentemente do sistema de
arquivos presentes no disco rígido, ocorre através dos seguintes métodos: pesquisa
de palavras-chave, extração da tabela de partição e através do espaço não utilizado
do disco físico. A pesquisa de palavras-chave e a extração da tabela de partição
busca extrair dados que podem não ter sido identificados pelo sistema operacional.
Ao examinar o espaço de disco não utilizado é possível identificar se o tamanho
físico do disco foi contabilizado (ASHCROFT, 2004).
Enquanto a extração lógica é baseada no sistema de arquivos presente no
disco rígido, ela busca por dados como arquivos ativos, arquivos excluídos, arquivos
modificados e espaço de disco não alocados. Ela busca extrair informações para
revelar características como diretórios, informações de arquivos, localização de
arquivos, etc. Além da recuperação de arquivos, extração de dados protegidos por
senha, criptografados ou compactados (ASHCROFT, 2004).

2.3. Preservação de Evidências

Sem evidência não há crime, a conduta do investigador na cena do crime

desempenha um papel crítico na resolução de um caso. Durante uma investigação é
importante garantir que nenhuma potencial evidência seja contaminada ou destruída
(SCHWEITZER, 2003).
Durante a análise de evidências o processo deve ser feito em cópias e jamais
na evidência original. Para facilitar a preservação de evidências é importante utilizar
uma cadeia de custódia adequada em todo o processo de investigação. Em todas
as fases da investigação (coleta, análise e apresentação) deve ficar claro quem é o
responsável pelas evidências e em nenhum momento a evidência deve permanecer
sem supervisão ou livre acesso (CLARKE, 2010).
A evidência digital é mais frágil e suscetível a alterações ou perdas, para
diminuir as chances de possíveis problemas é interessante utilizar de backup de
 17

fluxo de bits para garantir a preservação de todos os níveis de armazenamento que

a evidência possa conter (VACCA, 2005).

2.4. Análise das Evidências

A análise de evidências é uma etapa muito importante pois é nela que os

dados adquiridos se transformam de fato em evidências. Durante o processo de
análise de evidências o investigador deve utilizar de cópias bit-a-bit, jamais utilizar a
evidência original. Durante a elaboração da documentação é de extrema
importância utilizar de horas e datas precisas, pois informações imprecisas podem
alterar e até mesmo contribuir para a perda do caso. O investigador deve utilizar de
métodos para garantir a autenticidade das cópias, seja por meio de verificação
cíclica de redundância [CRC] ou comparação de funções hash. (BELLEGARDE,
2010).

Uma função hash é usada para construir uma pequena "impressão digital"
de alguns dados. Se os dados forem alterados, a impressão digital não será
mais válida. Mesmo que os dados sejam armazenados em um local
inseguro, sua integridade pode ser verificada periodicamente analisando a
impressão digital e verificando se a mesma não foi alterada. (STINSON,
2006, p.119).

Durante o processo de análise de evidências o objetivo do investigador é

pesquisar e analisar os fatos na íntegra, interpretar o que eles significam e
apresentar as descobertas sem julgar o que foi encontrado (VOLONINO /
ANZALDUA, 2008).

2.5. Apresentação da Análise

A maneira como uma análise deve ser apresentada é importante e deve ser
compreensível até mesmo por leigos no assunto para ser eficaz. Deve ser
tecnicamente correto e confiável, um bom apresentador pode ser útil durante o
processo (VACCA, 2005).
 18

O fator facilidade na compreensão da análise é tão importante que Philipp,

Cowen e Davis (2010, p.42) exemplificam da seguinte maneira:

Para testar o quão bem você articula seu caso, encontre o membro
tecnicamente mais competente de sua família e explique sua descobertas
para ele ou ela. Se você atingir esse objetivo com sucesso, estará pronto
para apresentar os dados para o advogado. Para investigadores altamente
técnicos, isso pode ser a fase mais difícil do processo.

2.5.1. Documentação

O investigador é responsável por relatar de forma clara e precisa seus

resultados e os resultados da análise das evidências digitais. Durante toda a
investigação é necessário documentar os fatos, a documentação deve ser completa,
precisa e abrangente. O relatório resultante da investigação deve ser escrito visando
a compreensão do público-alvo (ASHCROFT, 2004).
Todas as conclusões da análise das evidências devem entrar em um relatório
investigativo que será enviado para um oficial do caso. Este relatório deve conter as
seguintes informações (BELLEGARDE, 2010):
● Formulários;
● Anotações de análise;
● Itens que são obtidos como resultado de análises, por exemplo, impressões e
CDs;
● Cópias de mandados de busca;
● Lista de evidências;
● Planilha de análise de mídia;
● Listas de palavras-chave;
● Pedidos de suporte.
A documentação das metodologias e descobertas de todo o processo da análise
forense computacional é importante. A documentação adequada é necessária para
apresentar os resultados, ainda mais se esses resultados forem utilizados em uma
ação judicial ou investigação criminal (VACCA, 2005).
 19

2.6. Análise Forense em Windows

O presente trabalho tem como foco o sistema operacional Microsoft

Windows, devido ao grande público que utiliza do mesmo desde usuários caseiros a
grandes empresas. Os incidentes que geralmente ocorrem em máquinas com esse
sistema são diferentes do que acontece em máquinas com sistema Linux.
Um diferencial do sistema operacional Microsoft Windows se dá pelo fato de
que as principais informações são voláteis e somente podem ser obtidas no sistema
em funcionamento, ou seja, os procedimentos de coleta de dados acontecem ao
vivo. Diversos incidentes podem acontecer a uma máquina comprometida, por
exemplo em caso de uma infecção por vírus, o procedimento padrão é a
formatação. Mas em casos de utilização maliciosa do sistema ou fraude, é
necessário manter a máquina do suspeito sob custódia e apelar para a intervenção
de autoridades policiais para tomar as devidas providências. Em casos de
pornografia infantil a atenção do investigador deve ser ainda maior, pois a lei não
permite transmissão ou copia de material pornografico mesmo que para foco
investigativo, por isso é recomendável entrar em contato com autoridades policiais o
mais rápido possível e discutir com os mesmos as melhores ações a serem
tomadas (VENERE, 2009).

2.6.1. Sistema de Arquivos

O sistema operacional Microsoft Windows possui duas gerações de sistemas

de arquivos disponíveis. O FAT (File Allocation Table) utilizado em versões
anteriores do sistema Windows, começou como um sistema de arquivos de 12 bits
chamado FAT12 e evoluiu para o sistema de arquivos de 32 bits que conhecemos
hoje como FAT32. O segundo sistema de arquivos foi o NTFS (New Technology File
System) introduzido no Windows NT, se trata de um sistema de arquivos mais
robusto pois ele permite um ambiente com muito mais segurança. O NTFS usa uma
tabela de arquivos mestre (MFT) para acompanhar o conteúdo da partição
(PHILIPP; COWEN; DAVIS, 2010).
A tabela de arquivos mestre (MFT) é composta de 16 registros, sendo que
somente 12 são utilizados atualmente. Estas estruturas são importantes quando se
tenta recuperar informações sobre o sistema de arquivos (VENERE, 2009):
 20

● $MFT – Master File Table;

● $MftMirr – Cópia de Master File Table;
● $LogFile – Arquivo de registro de eventos do NTFS;
● $Volume – Informações sobre o volume;
● $AttrDef – Definições de atributos;
● $. – Diretório raiz do sistema;
● $Bitmap – Mapa de utilização de clusters;
● $Boot – Setor de boot da partição partição;
● $BadClus – Lista de bad cluster;
● $Secure – Informações sobre segurança;
● $Upcase – Tabela de conversão de caracteres;
● $Extend – Arquivo de extensões do NTFS.

Figura 1. Ilustração do volume NTFS.

Fonte: Venere (2009)

O volume NTFS oferece informações como o registro de inicialização de

volume (VBR) e o primeiro arquivo de volume NTFS a tabela de arquivos mestre
(MFT). O sistema operacional reserva sempre 12% de tamanho de disco para
armazenar a tabela de arquivos mestre (MFT), espaço sempre contínuo a partir do
início do disco (VENERE, 2009).
O NTFS cria automaticamente um arquivo de backup de seus registros de
arquivos em uma MFT de backup chamada $MFTMirr. Se por acaso a MFT for
sobrescrita ou danificada, o backup pode ser lido e a unidade poderá ser recriada,
no entanto não será tão fácil recuperar diretórios (PHILIPP; COWEN; DAVIS, 2010).
 21

3. Manipulação de Evidências

Neste capitulo será demonstrado através de maquinas virtuais as técnicas e

softwares utilizados durante uma investigação forense computacional.

3.1. Hashing de Arquivos

Hashing de arquivos é o processo de utilizar de um algoritmo matemático

para produzir um valor numérico com o intuito de representar um determinado dado,
criando uma espécie de “impressão digital” para o dado (ASHCROFT, 2004).
A autenticação dos dados utilizam um algoritmo hash, são eles MD5, SHA1,
SHA256 ou qualquer outro algoritmo de hash equivalente. Até pouco tempo, o
algoritmo MD5 era utilizado como padrão, porém com o passar do tempo tanto ele
como o SHA1 foram ficando vulneráveis contra ataques de segurança, para
resolver o problema a comunidade internacional desenvolveu novos algoritmos para
substituí-los. Outro motivo para utilização de novos algoritmos seria a chance
mínima de colisão de códigos hash, que acontece quando um algoritmo gera o
mesmo hash a partir de dados diferentes (VENERE, 2009).
De acordo com Venere:

A utilização de hashes MD5/SHA1 garante que as evidências coletadas

durante uma investigação possam ser comparadas posteriormente, caso
seja necessário refazer os passos da análise forense. Duas evidências
coletadas com a mesma técnica e que tenham os mesmos hashes são
garantidamente iguais. (2009, p.20).

Para fazer os testes no presente trabalho foi utilizado o software de código

aberto (do inglês open source software ou OSS) QuickHash o mesmo permite ver o
código hash dos dados, comparar arquivos, pastas, discos e volumes entre outras
funções, tudo para garantir a autenticidade e integridade dos dados.
Foi utilizado um arquivo com o nome “LAUDO INVESTIGAÇÃO FORENSE”
para simular uma análise de hash, com o intuito de averiguar a veracidade de um
Laudo Pericial durante uma possível investigação, a análise foi feita utilizando o
algoritmo MD5 (Figura 2).
 22

Figura 2. Hash do arquivo utilizando algoritmo MD5.

Fonte: Autor

A mesma análise foi feita novamente no arquivo “LAUDO INVESTIGAÇÃO

FORENSE”, porém agora utilizando o algoritmo SHA-1, o código hash gerado é
totalmente diferente (Figura 3).

Figura 3. Hash do arquivo utilizando algoritmo SHA-1.

Fonte: Autor

Foi apresentada uma análise em diversos arquivos utilizando a barra “FileS”

do Quickhash, como pode ser visto apenas a Cópia(5) possui uma hash diferente.
No teste foi utilizado de várias cópias e somente uma delas sofreu uma leve
alteração na cor do texto, o que já foi suficiente para mudar todo o código hash da
 23

cópia. Essa função pouparia muito tempo em uma investigação real, pois não seria
necessário a análise de um arquivo por vez por exemplo (Figura 4).

Figura 4. Análise de várias cópias de arquivos.

Fonte: Autor

Um algoritmo hash sempre produz o mesmo código para um determinado

dado. Portanto, uma cópia exata terá o mesmo código hash que o arquivo original,
mas se qualquer informação for alterada, mesmo que ligeiramente, será gerado um
código hash diferente do original (CASEY, 2000).
Outra função interessante é a de comparação de dois arquivos, utilizando a
aba “Compare Two Files” basta selecionar o Arquivo A e o Arquivo B e então clicar
em “Compare Now” logo o software entregará o resultado da análise. Na Figura 5 a
análise foi feita utilizando de arquivos diferentes, logo o resultado foi “MIS-MATCH!”,
ou seja, houve incompatibilidade entre os dois arquivos. Caso não tenha nenhuma
alteração entre os dois arquivos o resultado será “MATCH”, ou seja, os arquivos são
iguais e não sofreram nenhuma alteração, como pode ser visto na Figura 6.
 24

Figura 5. Comparação de código hash de dois arquivos diferentes ou alterados no QuickHash.

Fonte: Autor

Figura 6. Comparação de arquivos iguais no QuickHash.

Fonte: Autor

3.2. Busca de Diretórios

Durante uma investigação será necessário encontrar arquivos e diretórios em

computadores e outros dispositivos, para facilitar essa tarefa existem ferramentas
próprias para esta função. Foi utilizado neste trabalho o software de código aberto
(do inglês open source software ou OSS) WinDirStat, o mesmo possibilita a
visualização de estatísticas de uso de disco e ferramenta de limpeza para várias
versões do sistema operacional Microsoft Windows.
 25

Primeiramente será necessário escolher o disco e a partição que será

analisada, na demonstração deste trabalho será utilizado a partição (C) do disco
(Figura 7).

Figura 7. Inicialização do WinDirStat.

Fonte: Autor

Após um breve carregamento dos dados do computador, o WinDirStat

apresenta uma interface que a primeira vista pode parecer confusa (Figura 8). Mas
pode ser facilmente entendível após uma breve explicação. No lado superior
esquerdo vemos os diretórios do disco, enquanto no canto superior direito os mais
diversos tipos de extensões de arquivos e por último um diagrama que representa a
extensão e o tamanho dos arquivos que estão presentes no disco ou partição
previamente escolhidos.
 26

Figura 8. Interface do WinDirStat.

Fonte: Autor

Basta clicar na extensão desejada no canto superior direito para que os

arquivos correspondentes fiquem selecionados no diagrama, após clicar em um dos
arquivos selecionados será mostrado o nome e o diretório que esse arquivo se
encontra. Foi utilizada a extensão .mkv para demonstração, essa extensão é
responsável por arquivos de vídeos digitais de alta definição (Figura 9).

Figura 9. Busca da extensão .mkv no WinDirStat.

Fonte: Autor
 27

Ferramentas como esta são de extrema importância durante uma

investigação, para encontrar arquivos específicos que possam solucionar um
determinado caso. Por exemplo na coleta de evidências em um computador
suspeito de conter pornografia infantil, ver todas as extensões e arquivos de vídeos
presentes no disco facilita muito o trabalho do investigador.

3.3. Criação de Imagem para Investigação

Para criar uma cópia dos discos, existem diversos métodos e ferramentas
disponíveis, o método mais comum é a criação de uma imagem de disco bit-a-bit.
Existe diversos formatos de imagem, alguns utilizados por ferramentas específicas,
outros mais difundidos, como o formato DD.
“Uma imagem bit-a-bit é uma cópia fiel do conteúdo do dispositivo de
armazenagem, garantindo que todos os dados presentes no dispositivo estejam
presentes na imagem”. (VENERE, 2009, p.35).
No presente trabalho foi utilizado o método de criação de imagem de disco
bit-a-bit e o formato de imagem “RAW [dd]”. O software de código aberto (do inglês
open source software ou OSS) AccessData FTK Imager foi utilizado para criar a
imagem de exemplo.

Figura 10. Interface do AccessData FTK Imager.

Fonte: Autor
 28

Para demonstração foi criada uma imagem bit-a-bit utilizando um Pendrive ao

invés de um HD ou qualquer outro dispositivo de armazenamento. Após clicar na
aba “File” a opção utilizada é a “Create Disk Image” (Figura 11).

Figura 11. Opção de criação de imagem.

Fonte: Autor

O segundo passo é escolher o tipo de evidência que está sendo manipulada,

seja ela uma unidade física, lógica, CD/DVD entre outros tipos. No caso foi utilizado
a opção de unidade física (Figura 12).

Figura 12. Tipos de evidência suportadas pelo AccessData FTK Imager.

 29

Fonte: Autor

O terceiro passo é escolher a unidade de armazenamento que dará origem a

imagem, no caso o pendrive “Kingston” (Figura 13).

Figura 13. Seleção da unidade que será feita a imagem.

Fonte: Autor

O quarto passo é selecionar o tipo de imagem. Foi utilizado o “RAW [dd]”

como previamente citado (Figura 15).

Figura 14. Adicionando o tipo de imagem.

Fonte: Autor
 30

Figura 15. Seleção do tipo de imagem.

Fonte: Autor

No caso de uma investigação real seria necessário preencher as informações

requeridas (número de caso, número da evidência, nome do examinador, etc) na
Figura 16. Como o intuito do trabalho é apenas fazer uma demonstração as
informações não foram preenchidas.

Figura 16. Informações sobre a evidência.

Fonte: Autor
 31

No sexto passo é escolhido a pasta de destino e o nome da imagem. E então

basta clicar em “Finish” (Figura 17).

Figura 17. Seleção da pasta de destino e nome da imagem.

Fonte: Autor

Após clicar no botão “Start” será iniciado a criação da imagem. Podendo levar
de alguns minutos a horas ou dias, dependendo do tamanho da unidade de
armazenamento que esta dando origem a imagem (Figura 18 e 19).

Figura 18. Informações básicas da imagem.

Fonte: Autor
 32

Figura 19. Processo de criação e verificação da imagem.

Fonte: Autor

O resultado é a imagem juntamente com um arquivo de texto (Log de dados)

contendo informações importantes sobre a imagem (Figura 20 e 21).

Figura 20. Arquivos criados pelo AccessData FTK Imager.

Fonte: Autor
 33

Figura 21. Arquivo de texto gerado pelo AccessData FTK Imager.

Fonte: Autor

3.3.1. Montagem da Imagem

Para utilizar a imagem que foi criada, foi utilizado o software de código aberto
(do inglês open source software ou OSS) OSFMount. Esse software permite montar
arquivos de imagem de disco local (cópias bit-a-bit de uma partição de disco) no
Windows com a atribuição de uma letra de unidade. Por padrão, os arquivos de
imagem são montados como somente leitura para que os arquivos de imagem
originais não sejam alterados.
Figura 22. Interface do OSFMount.
 34

Fonte: Autor

Para montar a imagem foi utilizado a opção “Mount new” no canto inferior
esquerdo, então uma janela será aberta para selecionar a imagem que será
montada e suas configurações (Figura 23). Após clicar em “OK” a imagem será
montada e poderá ser utilizada (Figura 24).

Figura 23. Montando a imagem no OSFMount.

Fonte: Autor

Figura 24. Pendrive e sua imagem.

Fonte: Autor
 35

3.4. Análise de Arquivos

A técnica de análise de arquivo utilizada neste trabalho é a de estudar a

assinatura do arquivo, essa assinatura determina qual software foi utilizado para
criar um arquivo sem levar em consideração sua extensão. Consiste na análise do
código hexadecimal em busca de informações úteis e incompatibilidades. Existem
vários editores hexadecimais no mercado, o editor escolhido foi o Hex Workshop
software de código aberto (do inglês open source software ou OSS) que se baseia
em um conjunto de ferramentas de desenvolvimento hexadecimal para sistema
operacional Microsoft Windows.
A assinatura do arquivo permite determinar qual software foi usado para criar
um arquivo sem levar em conta a extensão ou o nome de arquivo. A assinatura do
arquivo busca comparar alguns aspectos geralmente como o cabeçalho e o rodapé
do arquivo (PHILIPP; COWEN; DAVIS, 2010).
“Identificar incompatibilidades no cabeçalho do arquivo ou em sua estrutura
pode indicar uma ação mal-intencionada de ocultação dados”. (Bellegarde, 2010,
p.77).

Figura 25. Interface de Hex Workshop.

Fonte: Autor

Primeiramente é necessário escolher o arquivo que será utilizado para a

análise do código hexadecimal (Figura 26). Após selecionar o arquivo será
 36

informado o código hexadecimal do mesmo, como exemplo foi utilizado o arquivo de

texto (.docx) “LAUDO INVESTIGAÇÃO FORENSE” (Figura 27).

Figura 26. Seleção do arquivo.

Fonte: Autor

Figura 27. Código hexadecimal do arquivo de texto (.docx).

Fonte: Autor

A assinatura do arquivo consiste nos sete primeiros dígitos do código

hexadecimal do arquivo (Figura 28).
 37

Figura 28. Assinatura do arquivo.

Fonte: Autor

Ao buscar essa assinatura em sites como o “https://www.filesignatures.net/” é

possível verificar o software que foi utilizado para criar esse arquivo, independente
do tipo da extensão de mesmo (Figura 29).

Figura 29. Interface do site https://www.filesignatures.net/.

Fonte: Autor

No caso do arquivo .docx utilizado para a demonstração, foi apresentado que

ele pertence a três tipos de extensões DOCX, PPTX e XLSX. Essas extensões são
utilizadas pelo programa de aplicativos para escritório Microsoft Office.
 38

Cada tipo de extensão possui uma assinatura de arquivo, no caso da .docx é

a “50 4B 03 04 14 00 06 00”, ao analisar o código hexadecimal de outros arquivos e
procurar por essa ou outras assinaturas será possível verificar se não há nenhum
tipo de ocultação de dados. Existem ferramentas no mercado que podem fazer essa
função de maneira mais simples e eficaz, mas o intuito de trabalho é de demonstrar
e utilizar softwares de código aberto (do inglês open source software ou OSS)
nenhum desses softwares serão utilizados.

3.5. Recuperação de Arquivos

Para a demonstração de recuperação de dados foi utilizado o software de

código aberto (do inglês open source software ou OSS) Autopsy. Autopsy é uma
software de computação forense usado por policiais, militares e examinadores
corporativos. É uma ferramenta intuitiva e de fácil utilização.

Figura 30. Interface de Autopsy.

Fonte: Autor

Primeiramente é necessário informar o nome de caso e a pasta de destino

(Figura 31).
 39

Figura 31. Nome do caso e a pasta de destino.

Fonte: Autor

O segundo passo é preencher informações sobre o caso, como isso é

apenas uma demonstração foi deixado em branco (Figura 32).

Figura 32. Informações sobre o caso.

Fonte: Autor

O terceiro passo é escolher o tipo do dispositivo de armazenamento em que

será feito a recuperação dos dados (Figura 33).
 40

Figura 33. Escolha do tipo do dispositivo de armazenamento.

Fonte: Autor

No caso foi utilizado a imagem que foi criada anteriormente no processo de

“criação de imagem para investigação”. Clicando em “Browse” é possível selecionar
a imagem (Figura 34).

Figura 34. Escolher a imagem.

Fonte: Autor

Além da recuperação de dados propriamente dita, diversos outros fatores

serão analisados pelo software como análise de android, senhas, e-mails, etc
(Figura 35).
 41

Figura 35. Processos que o software executará.

Fonte: Autor

Antes de trazer as informações requeridas um breve carregamento para

adicionamento de fonte de dados será necessário (Figura 36).

Figura 36. Processo de adicionamento de fonte de dados concluído.

Fonte: Autor

Por fim basta selecionar a opção de “Deleted Files” para visualizar todos os
arquivos que podem ou não serem recuperados. Para recuperar um arquivo basta
clicar em “Extract File(s)” e escolher a pasta de destino (Figura 37).
 42

Figura 37. Arquivos possivelmente recuperáveis.

Fonte: Autor

4. Principais Dificuldades que Podem Surgir Durante a Investigação

Durante todo o processo investigatório, desde a etapa de recolhimento dos

equipamentos para exames até a fase de análise dos dados encontrados, o perito
depara-se com diversos desafios que podem atrapalhar ou impossibilitar a apuração
dos fatos como por exemplo, a quantidade de arquivos presentes nos dispositivos
investigados. Essas dificuldades, quando impostas explicitamente pelos usuários,
são conhecidas comumente na área da tecnologia pelo termo Anti-Forense e
consistem em métodos de remoção, ocultação ou subversão de evidências com o
objetivo de mitigar os resultados de uma análise forense computacional. Podemos
citar como exemplo desse tipo de prática, a criptografia, a existência de senhas e a
esteganografia.

4.1. Quantidade de Arquivos

Ao longo da história da sociedade, as experiencias e conhecimentos foram

registrados e repassados por varias gerações pelos mais variados métodos. Com o
decorrer da evolução tecnológica os métodos foram se tornando cada vez mais
rápidos e dinâmicos, porém mais vulneráveis e dependentes de energia para seu
funcionamento. A capacidade de armazenamento de dados tomou proporções
 43

gigantescas. A evolução dos discos rígidos é um exemplo disso, há poucos anos

atrás a capacidade de um disco era medida em Megabytes (MB). Atualmente é
comum utilizar discos com capacidades de Gigabytes (GB) e até mesmo em
Terabytes (TB). Isso proporciona uma capacidade de armazenamento de milhões
de dados, para manipular e encontrar evidências digitais desejadas em meio a essa
quantidade de dados é necessário muito conhecimento do perito. A utilização de
softwares que desempenhem a função de analisar os dispositivos de
armazenamento é crucial para uma investigação eficaz, com eles será possível por
exemplo buscar por palavras-chave, visualizar as informações de forma detalhada,
entre outras possibilidades. Durante uma investigação não será possível investigar
todas as informações contidas em um dispositivo de armazenamento, por esse
motivo é fundamental que o perito responsável saiba exatamente o que está
procurando. Ou seja, o laudo pericial deverá especificar as informações que devem
ser encontradas pelo perito (ELEUTÉRIO / MACHADO, 2011).

4.2. Existência de Senhas

Outro problema comum durante a fase de coleta de evidências digitais é o

surgimento de programas e arquivos que necessitam de senhas para serem
analisados. As principais técnicas para solucionar esse problema são Engenharia
reversa, engenharia social e ataques de força bruta. A engenharia reversa consiste
na utilização de um software especializado para o processo de desmontagem e
analise com o intuito de construir e analisar um modelo representativo em alto nível,
para que assim o programa alvo possa ser estruturado e entendido. Com a técnica
de engenharia reversa é possível entender a estrutura e o funcionamento de um
programa, podendo por exemplo, localizar o processo responsável pelo login
(autenticação) e alterar o software de forma a conseguir assim ter acesso à
informação desejada. A engenharia social é o método de ataque no qual alguém faz
uso da persuasão, consiste no ato de obter informações através da ingenuidade ou
confiança do usuário, para enfim conseguir acesso a computadores ou informações.
Já o ataque de força bruta consiste em descobrir a senha através de um arquivo
e/ou sistema por meio do processo de tentativa e erro, utilizando dicionários de
senhas com o auxílio de softwares que fazem isso de forma automática. Um dos
 44

problemas desse método é que necessita de um hardware potente e pode levar

muito tempo, podendo se tornar inviável (SOUSA, 2016).

4.3. Criptografia

Desde a antiguidade, a necessidade de técnicas para disfarçar uma

mensagem de forma que somente o destinatário possa compreendê-la tem sido
muito importante. Por exemplo, generais precisam dar ordens a seus comandantes
sem que essas informações caiam nas mãos do inimigo, o que poderia alerta-lo a
ponto de acabar com um possível ataque, atrapalhar na movimentação das tropas,
etc (COSTA, 2010).
A criptografia é tão antiga que já era utilizada desde o sistema de escrita
hieroglífica dos egípcios. Os romanos utilizavam códigos secretos para comunicar
planos de batalha. Com as guerras mundiais e a invenção do computador, a
criptografia continuou a evoluir através de algoritmos matemáticos (MORENO;
PEREIRA; CHIARAMONTE, 2005).

“A criptografia pode ser entendida como um conjunto de métodos e

técnicas para cifrar ou codificar informações legíveis por meio de um
algoritmo, convertendo um texto original em um texto ilegível, sendo
possível mediante o processo inverso recuperar as informações originais”.
(SIMON, 1999 apud MORENO; PEREIRA; CHIARAMONTE, 2005, p.21).

“O objetivo da criptografia não é esconder uma mensagem, mas ocultar seu

conteúdo e torná-lo ininteligível para qualquer indivíduo que não conheça o
procedimento, impedindo que este inverta o processo”. (COSTA, 2010, p.13).
Durante uma investigação é sempre importante buscar por programas
instalados no equipamento analisado que desempenhem a função de criptografar
dados, dessa maneira é possível determinar o algoritmo e ate mesmo manipular o
software utilizado para decodificar o conteúdo que está sendo buscado. Para um
melhor resultado é importante que o perito responsável pelo caso possua
conhecimentos avançados sobre este assunto, dessa forma será mais fácil
descobrir possíveis códigos criptografados no dispositivo examinado e encontrar
ferramentas capazes de recuperar a informação original.
 45

4.4. Esteganografia

A esteganografia deriva da criptografia. Na área da tecnologia, a

esteganografia consiste na arte de esconder informações dentro de arquivos.
Comumente usada em arquivos multimidias (fotos, músicas, vídeos, etc.), pois estes
possuem áreas de armazenamento de dados não aproveitadas ou insignificantes.
Busca ocultar informações importantes e técnicas para comprovação da
propriedade intelectual de uma obra. Podem ser ocultadas informações em
imagens, textos, e até mesmo em áudios (BARRETO, 2009).
Stallings (2015, p.39) diferencia a esteganografia da criptografia da seguinte
maneira: “Os métodos de esteganografia escondem a existência da mensagem,
enquanto os métodos de criptografia a tornam ininteligível a estranhos por meio de
várias transformações do texto”.
A esteganografia possui diversas desvantagens se comparada a criptografia.
Ela exige muito mais recursos para esconder relativamente poucos bits de
informação. E quando o sistema é descoberto, ela se torna praticamente inútil. Para
que isso não ocorra é interessante primeiramente criptografar a mensagem e depois
esconde-la utilizando a esteganografia (STALLINGS, 2015).
Existe hoje diversas técnicas de esteganografia, desde as mais simples a
outras muito complexas, o que acaba dificultando o trabalho do perito. Caso não
seja encontrada o arquivo ou a técnica utilizada, é recomendável verificar a
existência de softwares específicos instalados no dispositivo examinado, pois
através do software é possível determinar a técnica utilizada ou ate mesmo utilizar o
próprio software para descobrir o conteúdo do arquivo.

5. CONSIDERAÇÕES FINAIS

Os dispositivos de armazenamento de dados computacionais, principalmente

os discos rígidos, têm evoluído de forma significativa, e as técnicas forenses devem
ser cada vez mais aperfeiçoadas, a fim de realizar uma investigação de maior
qualidade com tanta informação envolvida. Inúmeros são os crimes cometidos com
o uso de equipamentos computacionais. Fazendo com que a Perícia Forense
Computacional esteja cada vez mais qualificada para identificar e apontar as
 46

possíveis evidências digitais deixadas na cena do crime, transpondo desafios e

relatando a materialidade, a dinâmica e a autoria dos delitos.
Ao decorrer do presente trabalho, foi possível identificar a função e
fundamentação da computação forense em dispositivos computacionais. Com a
computação forense, através de seus métodos e técnicas detalhadas nessa obra, é
possível identificar diversas informações que foram transmitidas em um dispositivo,
tudo o que é feito em qualquer um desses dispositivos, deixa algum vestígio ou
rastro, possibilitando identificar e rastrear informações importantes para uma
investigação.
Para finalizar este trabalho, conclui-se que a computação forense está em
constante crescimento, pois com o grande número de informações valiosas sendo
transmitidas e armazenadas o tempo todo, sempre haverá quebras de segurança e
roubo de informações. Com objetivo de auxiliar usuários e tentar inibir a atuação de
criminosos, vem se tornando um tema bastante importante, fazendo com que
grandes e pequenas organizações coloquem a segurança sempre em primeiro
lugar.

5.1. TRABALHOS FUTUROS

Devido à pouca quantidade de conteúdo sobre computação forense, um

assunto de tamanha importância, pretende-se aprofundar os estudos sore o tema,
focando ainda mais a segurança de dados, buscando evidenciar também a
legislação brasileira sobre o assunto e apresentar mais informações sobre as
principais dificuldades durante uma investigação.
 47

6. REFERÊNCIAS

ASHCROFT, John. Forensic Examination of Digital Evidence: A Guide for Law

Enforcement. Washington, D.C.: U.S. Dept. of Justice, Office of Justice Programs,
2004.

BELLEGARDE, Marah. Computer Forensics Evidence Collection &

Preservation. Nova York: Course Technology/Cengage Learning, 2010.

CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic Science,

Computers, and the Internet, Academic Press, Inc., Orlando, FL, 2000.

CLARKE, Nathan. Computer forensics: A Pocket Guide. Cambridgeshire: IT

Governance Publishing, 2010.

COSTA, Celso. Introdução à criptografia. v. 1 / Celso Costa. – Rio de Janeiro:

UFF / CEP – EB, 2010.

ELEUTÉRIO, Pedro Monteiro da Silva / MACHADO, Marcio Pereira. Desvendando

a Computação Forense. 1ª ed. São Paulo: Novatec, 2011.

FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada à Informática:

ambiente Microsoft / Andrey Rodrigues de Freitas. Rio de Janeiro: Brasport, 2006.

MORENO, E. D.; PEREIRA, F. D.; CHIARAMONTE, R. B. Criptografia em

software e hardware. São Paulo: Novatec Editora, 2005.

NOLAN, Richard; O’SULLIVAN, Colin; BRANSON, Jake; WAITS, Cal. First

Responders Guide to Computer Forensics. Pittsburgh: Software Engineering
Institute, 2005.

PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics:

Secrets & Solutions. 2. ed. New York: McGrawHill, 2010.
 48

SCHWEITZER, Douglas. Incident Response: Computer Forensics Toolkit.

Indianapolis: Wiley, 2003.

SOUSA, Adriano G. Etapas do Processo de Computação Forense: Uma

Revisão. 2016. Centro Universitário da Bahia (FIB). Disponível em:
<http://www2.ls.edu.br/actacs/index.php/ACTA/article/view/138> Acesso em: 08 de
março de 2019.

STALLINGS, William. Criptografia e segurança de redes: princípios e práticas.

6. ed. São Paulo: Pearson Education do Brasil, 2015.

STINSON, Douglas R. Cryptography: Theory and Practice. 3. ed. Boca Raton:

Taylor & Francis, 2006.

VACCA, John R. Computer forensics: Computer Crime Scene Investigation. 2.

ed. Hingham: Cengage Learning, 2005.

VENERE, Guilherme. Segurança Análise Forense. São Paulo: Escola Superior de

Redes/Rede Nacional de Pesquisa, 2009.

VOLONINO, Linda; ANZALDUA, Reynaldo. Computer Forensics for Dummies.

New Jersey, USA: Wiley Publishing, 2008.
 49

Curso Superior de Tecnologia em Rede de

Computadores

NO

MARCOS HENRIQUE OLIVEIRA SILVA

CONTATO

marcosmhs100@gmail.com
Tel.: (65) 99278-5995