TCC Renato de Matos

UNIVERSIDADE PAULISTA
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
Trabalho de Conclusão de Curso para

obtenção do título de Graduação em Ciências
da Computação, apesentado à Universidade
Paulista (UNIP), Câmpus Goiânia.
Orientador: Prof. Ricardo Vila Verde
GOIÂNIA
2018
(inserir ficha catalográfica)
Trabalho de Conclusão de Curso para

obtenção do título de Graduação em Ciências
da Computação, apesentado à Universidade
Paulista (UNIP), Câmpus Goiânia.
Aprovado em: _____/______/_________
BANCA EXAMINADORA
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Universidade Paulista – UNIP
_______________________/__/___
Universidade Paulista UNIP
DEDICATÓRIA
Dedico o presente estudo à minha família; em especial, à minha mãe,

Carmelita Alves da Silva, e à minha esposa, por terem me dado forças nesta
jornada.
AGRADECIMENTOS
Primeiramente, agradeço a DEUS, por ser a base das minhas conquistas.
À minha mãe Carmelita Alves e à minha família, por acreditarem e terem

interesse em minhas escolhas, apoiando-me e esforçando-se comigo, para que eu
suprisse todas elas.
Ao professor Ricardo Vila Verde, pela dedicação em suas orientações,

sempre me incentivando e colaborando no desenvolvimento de minhas ideias.
“O remédio para nossas preocupações
consiste em estar inteiramente ocupado,
realizando alguma coisa construtiva”.
(Maria Zownseand)
RESUMO
A recuperação de dados, sensíveis ou comuns, é imprescindível, em especial nos

dias de hoje, devido ao enorme uso de equipamentos de armazenamento de dados.
Esse procedimento é comum entre os usuários, sejam estes pessoas físicas ou
jurídicas, que têm os seus arquivos perdidos por acidentes, sejam investigadores
forenses1 em busca de evidências e/ou pistas de crimes, digitais ou não. Diante
disso, o presente estudo abordou o crescimento e a necessidade da Ciência
Forense e seus mentores, além da Computação Forense – surgimento e definições.
Ademais, foram discutidos os principais tipos de crimes, exames forenses,
equipamentos e meios computacionais utilizados como ferramentas de apoio aos
crimes digitais. Para tanto, analisou-se a ferramenta Open Source (Código aberto)
para mídias (discos rígidos, pen drivers, entre outros): como e em que cenário
podem ser usadas, e quais os resultados podem ser obtidos. Os principais conceitos
e definições foram extraídos de livros, revistas especializadas, sites e artigos
relacionados com o tema, bem como de outros trabalhos com conteúdos similares.
Procedeu-se, também, a um estudo de caso, com a aplicação prática de uma de
uma das técnicas Open Source e o seu impacto na perícia forense.
Palavras-chave: Estudo de Caso. Forense computacional. Forense digital. Técnicas

e ferramentas forenses. Vestígios digitais.
1
Encontrado no dicionário Michaelis da Língua Portuguesa (2010), a palavra “Forense” significa “Que
se direciona ao foro judicial/Relativo aos tribunais”.
ABSTRACT
Sensitive or common data recovery is very much needed nowadays due to the huge
use of data storage equipment. This procedure is widely used by ordinary users,
whether individuals or corporations, who have their files lost through accidents, as
well as forensic investigators in search of evidence and / or clues to crimes, whether
digital or not. In this paper we discuss the growth and the need for forensic science
and its mentors, also concepts of Forensic Computing, its birth and its definitions,
current and computational forensic science, topics of Antiforense activities, also the
main types of crimes are discussed and forensic examinations, computer equipment
and media used as tools to support digital crimes, we will deepen the analysis of
Open Source tools for forensics in media (hard drives, pen drivers, among others)
how and in what scenario they can be used, and what results the gains and losses
can have, also showing the great damage that data breach can bring to our lives.
This information was collected in books, specialized magazines, websites and
articles related to the theme and other works with similar contents. In addition to a
case study with the practical application of one of these Open Source techniques and
the impact of this on forensic expertise.
Keywords: Case study. Digital forensics. Computational forensics. Digital traces.

Forensic techniques and tools.
LISTA DE FIGURAS
Figura 1 – Plataforma digital: Marco Civil da Internet............................................ 21

Figura 2 – Plataforma digital: e-Democracia......................................................... 22
Figura 3 – COFEE................................................................................................. 27
Figura 4 – Esquema físico de um disco................................................................. 39
Figura 5 – Estrutura MTF....................................................................................... 43
Figura 6 – CAINE 9.0 - Computer Aided Investigative Environment..................... 46
Figura 7 – Interface Gráfica WinTaylor 2.5............................................................ 48
Figura 8 – Aquisição de uma imagem usando o DD............................................. 50
Figura 9 – Arquivos de imagem e Log criados com o DD..................................... 51
Figura 10 – Foremost recuperando arquivos de imagem...................................... 52
LISTA DE ABREVIATURAS E SIGLAS
CAINE - Computer Aided Investigative Environment

CDC - Código de Defesa do Consumidor
COFEE - Computer Online Forensic Evidence Exractor
CP - Código Penal
CPP - Código de Processo Penal
CPU - Central Process Unit
ECA - Estatuto da Criança e do Adolescente
EUA - Estados Unidos da América
FAT - File Allocation Table
HPFS - High Performance File System
IBGE - Instituto Brasileiro de Geografia e Estatísticas
IETF - Internet Engineering Task Force
MFT - Master File Table
MLAT - Mutual Legal Treaty
MLC - Multi Level Cell
NTFS - New Technology File System
PDA - Personal Digital Assistant
POP - Procedimento Operacional Padrão
POSIX - Portable Operating System Interface
RAM - Random Acces Memory
RFC - Request for Comments
SAL-MJ - Secretaria de Assuntos Legislativos do Ministério da Justiça
SLC - Single Level Cell
SO - Sistemas Operacionais
SSD - Solid Slate Drive
TI - Tecnologia da Informação
UCT -Universal Time Coordnated
URL - Uniform Resource Locator
www - World Wide Web
SUMÁRIO
1 INTRODUÇÃO.................................................................................................... 13
2 METODOLOGIA................................................................................................. 15
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL............................ 16
3.1 O Direito Digital no Brasil............................................................................. 18
3.2 Marco Civil da Internet.................................................................................. 19
3.2.1 Histórico do Marco Civil da Internet no Brasil............................................... 21
4 CIÊNCIA FORENSE........................................................................................... 24
5 FORENSE COMPUTACIONAL.......................................................................... 25
5.1 Identificação.................................................................................................. 28
5.2 Preservação.................................................................................................... 28
5.3 Análise............................................................................................................ 29
5.4 Formalização.................................................................................................. 30
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE
ARMAZENAMENTO............................................................................................. 31
6.1 Diretrizes para coleta de provas com a RFC 3227..................................... 31
6.2 Volatilidade dos dispositivos e sua ordem................................................ 33
6.2.1 Processos de execução armazenados pela CPU......................................... 34
6.2.2 Memória de periféricos................................................................................. 34
6.2.3 Memória principal do sistema....................................................................... 34
6.2.4 Tráfego e dados de rede.............................................................................. 35
6.2.5 Estado e conexões de rede.......................................................................... 35
6.2.6 Estado do sistema operacional................................................................... 36
6.2.7 Sistema de arquivos..................................................................................... 36
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS............................................. 38
7.1 As características do NTFS.......................................................................... 42
7.2 Estrutura do sistema NTFS........................................................................... 42
7.3 MAC Times Metadados do sistema de arquivos........................................ 44
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS........ 46
8.1 Coleta de evidências em máquinas Post Mortem Analisys....................... 48
8.1.1 Usando o DD: uma ferramenta de comando................................................ 49
8.1.2 Foremost....................................................................................................... 51
9 CONCLUSÃO..................................................................................................... 53
REFERÊNCIAS..................................................................................................... 54
13
1 INTRODUÇÃO
Na atualidade, podemos observar o grande aumento da tecnologia no nosso

dia a dia, e isso se da para qualquer pessoa em qualquer idade, o uso da internet
cada vez mais cedo vem chegando as residências e esta praticamente impossível
imaginar os dias atuais sem o uso da maior rede mundial (Internet), com a internet
veio grandes avanços como a facilidade na compra, na venda, a comunicação, a
facilidade em muitas áreas devido a ganha de tempo e recursos, aprimorou muito a
forma das empresas trabalharem, as redes sociais conseguiram fazer as pessoas
interagirem com mais facilidade, apesar da ausência, mais com todo esse avanço
tecnológico, também abriu portas para os criminosos, que conseguiram enxergar
grandes facilidades e vários meios de cometer crimes, e vários tipos de crimes;
Calúnia, difamação, injúria, ameaças, divulgação de segredos, furtos mediantes a
fraudes, dano, violação de direitos autorais, incitação a crimes, falsa identidade,
jogos de azar, invasão de dispositivos informáticos dentre outros vários tipos, é
grande a quantidade de crimes cometidos hoje na rede mundial devido a facilidade e
fragilidade que esses novos hábitos trouxeram (BARRETO; BRASIL, 2016).
Vendo essa escassez de defesa nessa área foram criadas formas e
ferramentas para se preservar desses crimes, mas mesmo assim os criminosos
cada vez mais especializados conseguem se sobre sair, por isso um novo campo da
área de TI (Tecnologia da Informação), vem sendo constantemente solicitado, pois
tem pessoas especialistas e capacitadas para esses serviços, conhecida como
Forense Computacional.
Devido a esses problemas, surge a necessidade de se identificar, mensurar e
registrar esses tipos de atividades, que em geral são chamadas de incidentes de
segurança, para que se possa tomar medidas de forma a evitar ou reduzir os seus
efeitos.
Portando, a Forense Computacional tem como responsabilidade determinar a
dinâmica, a materialidade e autoria de ilícitos ligados à área da tecnologia, fazendo
cumprir como função principal a identificação e o processamento de evidências e
dados digitais em evidências materiais de crime, por meio de métodos técnico-
científicos, trazendo a veracidade e a legitimidade para validar em juízo.
14
Já se encontra bastantes ferramentas no mercado para análise de incidentes,

mais devido o alto custo, faz com que a aquisição desses softwares seja complicada
para os profissionais da tecnologia da informação, complicando a aquisição das
licenças dessas ferramentas, o que torna o aperfeiçoamento na ciência da
computação uma área difícil e complicada.
Podemos encontrar também, além dos softwares pagos as ferramentas de
livre de códigos abertos, Softwares ou sistemas gratuitos que podemos encontrar na
internet. Podemos achar de todo tipo e para todos os SO (Sistemas Operacionais),
elas trabalham sozinhas ou agrupadas, podemos encontrar dezenas ou até
centenas de ferramentas para os mais diversos tipos de analises de incidentes, e
tudo isso com o custo zero para o profissional de TI (ELEUTÉRIO; MACHADO,
2011).
Pode se entender como software livre, toda ferramenta software livre gratuito
que possa ser usado independente do sistema operacional, onde pode ser usado,
reutilizado, distribuído armazenado sem qualquer restrição ou cobrança.
Algumas ferramentas usualmente têm anexadas com sua distribuição algum
tipo de licença especifica. Dependendo desse tipo de licença, pode ser
disponibilizado também o código fonte, sendo possível fazer qualquer modificação
ou comercialização, só que a maioria das vezes como é o caso de software livre,
geralmente eles estão disponíveis somente para uso.
Entende-se por Ciência Forense: “A aplicação de princípios das ciências
físicas ao direito na busca da verdade em questões cíveis, criminais e de
comportamento social para que não se comentam injustiças contra qualquer
membro da sociedade” (MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE
PATOLOGISTAS AMERICANOS, 1990 apud ROCHA, 2018, s. p.).
Já entende-se que Forense Computacional:
Tem como dever examinar vestígios e produzir laudos, através de um

profissional portador de diploma e legalmente habilitado, „destinada a
determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de
informática, tendo como questão principal a identificação e o processamento
de evidências digitais em provas materiais de crimes, por meio de métodos
técnico-científicos, conferindo-lhe validade probatória em juízo‟
(ELEUTÉRIO; MACHADO, 2011, p.16-17).
15
2 METODOLOGIA
Neste projeto iremos mostrar a funcionalidade desses softwares que tem

como objetivos a garantir a busca de informação armazenada, através de duplicação
através do espelhamento ou imagem, usando técnicas como bloqueadores de
escrita, ou realização da cópia, assinaturas, Data Carving, palavra-chave,
navegação de pastas, esteganografia entre outros.
Ou seja, esse trabalho aspira apresentar um novo enfoque da Perícia
Computacional, ao mostrar como é a atuação e os métodos usados pelos peritos na
fase de um processo de investigação de maneira cuidadosa e sistemática, mas para
uma atuação bem sucedida temos que seguir alguns passos, que são eles;
preservação, extração, analise e a formalização, dentro dos aspectos jurídicos
presentes.
16
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL
Iniciada no Brasil nos anos 90 a revolução tecnológica sempre em constante

aumento, observa-se a redefinição global, especialmente possibilitada pelo uso da
tecnologia da informação e do conhecimento, através do ambiente virtual ou
conhecido por ciberespaço, onde podemos quebrar barreiras e suprir fronteiras,
podendo assim atingir milhões de pessoas com um único click, em qualquer lugar do
mundo e ao mesmo tempo (BARRETO; BRASIL, 2016).
O uso da internet se faz muito importante no cotidiano das pessoas, sejam
para diversão, estudos ou trabalho, ela aperfeiçoa a distribuição de informações e
conhecimentos, uma ferramenta importantíssima para que se ganhe tempo em
atividades rotineiras, transações importantes, vendas e compras, aumentando os
benefícios e claro diminuindo os custos (BARRETO; BRASIL, 2016).
Porém nesse contexto surgiu diversos conceitos úteis, como o Protocolo que
tem o conjunto de regras padronizadas que especificam o formato, a sincronização e
a verificação de erros em comunicação de dados, permitindo formação de uma rede
mundial de computadores, temos o World Wide Web (www) que possui grandes
pacotes de dados, em formato de texto ou mídia (imagens e arquivos de áudio e
vídeo), compilados de modo que se possa navegar na rede, a partir de interligações
(links) entre blocos, vinculados por parâmetros de busca, os Sites que são páginas
na internet, os Browser programas de navegação na rede, como Mozila, Firefox,
Explorer, etc. Temos também o URL ou Uniform Resource Locator, que nada mais é
que o endereço do site que deve ser colocado no programa de navegação. Ambos
fora colocados sem almejar definições estritamente técnicas.
Com a extinção das fronteiras faz a multiplicidade de receptores no mundo
virtual aumentarem, já que a informação pode atingir milhões de pessoas; e a
instantaneidade, ou seja, tudo poder ser transmitido em tempo real – on-line
(BARRETO; BRASIL, 2016).
Mas para toda essa evolução da internet, também seria extremamente
importante à evolução contínua dos equipamentos, dos computadores, dos meios de
transmissão enfim, tudo relacionado a tecnologia, foi através dessa evolução de
hardwares e softwares que conseguimos cada dia mais, melhorar nosso cotidiano
através da TI.
17
Em 1965, Gordon Moore propôs uma lei audaciosa para a época dizendo que
o número de transistores que podiam ser impressos em uma pastilha (futuro
processador de um computador) dobrava a cada ano. E essa lei proposta por Moore,
vem acontecendo até os dias atuais, porém não duplicando a cada ano, como previu
Moore, e sim a cada aproximadamente 18 meses. E através dessa lei de Moore,
tivemos a consequência direta através de Willian Stallings onde destaca que os
computadores se tornem cada vez menores, mais rápidos e mais eficientes no
consumo de energia. E com tamanha divulgação, necessidade e lazer nos dias de
hoje, os computadores não estão presentes somente em empresas, mas sim na
casa, nas mãos nos veículos e no dia a dia de pessoas de todo o mundo
(ELEUTÉRIO; MACHADO, 2011).
A internet é uma grande praça pública, o maior espaço coletivo do planeta. A
internet é um conjunto de redes de comunicação em escala mundial e dispõe de
milhões de computadores interligados pelo protocolo de comunicação TCP/IP, que
permite o acesso a informações e todo tipo de dados no ambiente virtual. A internet
ou como é chama ciberespaço, carrega uma ampla variedade de recursos e
serviços, fazendo que como no mundo real, essa segurança digital seja tenha uma
ferrenha disputa entre defensores e agressores (CASSANTI, 2014).
A evolução histórica da internet vem ganhando cava vez mais adeptos e
melhorias para seu uso, em 1965 já havia a preocupação coma melhoria de
maquinas para um bom desempenho futuro já prevendo que seria de grande
utilidade nos dias de hoje.
Sabemos que a utilização de meios tecnológicos facilita muito nossa vida,
mas também o uso sem cuidados pode trazer muita dor de cabeça e prejuízos.
Qualquer pessoa, em qualquer lugar do mundo, desde que conectada à rede
mundial de computadores – Internet, o mais poderoso veículo de comunicação da
atualidade, tem o risco de acessar o conteúdo de páginas publicadas por um
criminoso.
De acordo com o Instituto Brasileiro de Geografia e Estatísticas (IBGE):
metades dos brasileiros usam internet, estão conectados, de uma forma ou de outra
tanto no trabalho como na rua, ou em casa, isso significa, mais de 139 milhões de
pessoas, levando o Brasil ao quinto lugar no numero de usuários de internet no
mundo todo (OLIVEIRA; MORGADO, 2016).
18
No ambiente virtual, as pessoas pode se relacionar com as outras, trabalhar,

comprar, divertir-se, mas com toda essa utilização também podem vir a ser vitimas
de diversos criminosos, cada vez mais especializados, sendo fundamental destacar
que, quanto maior a quantidade de informação o usuário tiver acerca do uso seguro
dos meios tecnológicos, com certeza menos vulnerável será na rede mundial de
computadores, lembrando que, na própria internet podemos aprender como se
defender de fraudes, furtos de identidade, invasões de contas bancárias, clonagens
de cartões, etc. (BARRETO; BRASIL, 2016).
3.1 O Direito Digital no Brasil
Segundo Barreto e Brasil (2016), temos uma problemática que se apresenta

da seguinte forma: são mais de 117 milhões de usuários de internet no território
Brasileiro, alcançando 57,6% de penetração na população, com um crescimento
equivalente a mais de 2.253,1% no período compreendido entre os anos de 2000 a
2015, havendo uma tentativa de fraude a cada 16,6 segundos no pais, sendo
141.008 tentativas, cerca de 4,7 mil por dia segundo levantamento feito pela Serasa
Experian em abril de 2015. A regulamentação legal no território Brasileiro a respeito
das relações no ambiente virtual, se da pela constituição da Republica Federativa do
Brasil.
A constituição da República Federativa do Brasil, de 1988, prevê, em diversos
de seus dispositivos, princípios e garantias do uso da tecnologia pelos cidadãos em
suas diversas relações e para o desenvolvimento do país (arts. 1º, 2º, 3º, 4º, 5º, 6º,
215, 218, 219, 220, etc.), visando assim garantir a liberdade e os direitos
fundamentais dos indivíduos no ciberespaço, permitindo-lhes participação
democrática nele e fora dele (BARRETO; BRASIL, 2016).
A ideia de vanguarda foi desenvolvida na Islândia, que contou com a
participação popular para a elaboração do texto constitucional, por meio de canais e
redes sociais na internet, no ano de 2012, o qual foi aprovado pela população, mas,
posteriormente rejeitado pelo parlamento (BARRETO; BRASIL, 2016).
Essa maneira democrática colaborativa, onde a voz a manifestação do povo
ganha força através da disseminação do uso gigantesco da internet, também reflete
em países como Irlanda, Bélgica, Holanda, Canadá e Brasil, onde os protestos,
manifestações de insatisfações políticas se intensificam no mundo virtual.
19
Também temos no panorama legal digital brasileiro a Lei nº 12.965/2014 –

Marco Civil da Internet, veremos mais detalhes a seguir neste trabalho; o Código de
Defesa dos Consumidores (CDC), com as alterações introduzidas pelo Decreto nº
7.962, de 15 de março de 2013, que trata do comércio eletrônico; o Estatuto da
Criança de do Adolescente (ECA), legislação avançada, que tipifica os crimes de
pornografia infanto-juvenil praticados em/com dispositivos eletrônicos; a Lei de
Interceptações Telefônicas e Telemáticas, nº 9.296/96; a Lei do Software, nº
9.608/98; o Código Penal (CP) com as alterações introduzidas pelas Leis nº
12.735/2012 e nº 12.737/2012; o Código de Processo Penal (CPP), entre outros.
Porém, no que se refere a cooperação internacional, destacam-se o Acordo
de Assistência Judiciária em Matéria Penal entre o Governo da República Federativa
do Brasil e o Governo dos Estados Unidos da América (MLAT – Mutual Legal Treaty)
e Decreto nº 3.810, de 02 de maio de 2001, tendo também a Convenção de
Budapeste2, da qual o Brasil não é signatário (BARRETO; BRASIL, 2016).
3.2 Marco Civil da Internet
Para se criar uns princípios, garantias, direitos e deveres de todos visando o

uso da internet no Brasil, foi aprovada a Lei nº 12.965, de 23 de abril de 2014,
também conhecida como Marco Civil da Internet, que nos adquiriu conceitos e
procedimentos, com métodos de acabar com a ausência de disciplina legal no
ciberespaço.
A Situação pré-Marco Civil era de completa ausência de regulamentação

civil da internet no país. Ao contrário do que alguns entusiastas libertários
poderiam achar a ausência de leis nesse âmbito não representa a vitória da
liberdade e do laissez-faire, Ao contrário, gera uma grande insegurança
jurídica. Uma das razões é que juízes e tribunais, sem um padrão legal para
a tomada de decisões sobre a rede, acabam decidindo de acordo com
regras muitas vezes criadas ad hoc, ou de acordo com as suas próprias
convicções, resultando em inúmeras decisões judiciais contraditórias
(LEMOS, 2014, p. 10).
Podemos encontrar na Lei nº 12.965 (Marco Civil da Internet), alguns

capítulos fundamentais para o uso da internet por todos (BRASIL, 2014).
2
Convenção do Conselho Europeu sobre o Cibercrime, firmada em Budapeste, Hungria em 23 de
novembro de 2001.
20
Temos no Capítulo I (Disposições Preliminares) da Lei nº 12.965/2014, tem-se

o Art. 2º, que traz os fundamentos da disciplina do uso da internet no Brasil; no Art.
3º, conceitos fundamentais à compreensão da norma legal. Encontramos tudo isso
no Capítulo I. E no Capítulo II podemos achar os direitos (Art. 7º) e garantias (Art. 8º)
dos usuários (BRASIL, 2014).
E no Capítulo III podemos achar também (Da Provisão de Conexão e de
Aplicações de Internet), e temos a Seção I, que trata da Neutralidade de Rede; a
Seção II, referente a Proteção e aos Registros, aos Dados Pessoais e às
Comunicações Privadas, englobando a Guarda de Registros de Conexão, a Guarda
de Registros de Acesso a Aplicações de Internet não Provisão de Conexão e a
Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações.
Encontramos na Seção III que prevê a Responsabilidade por Danos Decorrentes de
Conteúdo Gerado por Terceiros e a Seção IV, a Requisição Judicial de Registros
O Capítulo IV mostra as metas e diretrizes aplicáveis ao Poder Público quanto
ao desenvolvimento da internet no Brasil.
É muito importante lembrar que o Marco Civil, tem primordialmente visar a
tutela dos direitos civis na internet, podendo resguardar de danos cometidos a todos
mostrando seus direitos, mas também tem sua aplicação no Direito Penal e
Processual Penal, uma vez que estabelece conceitos fundamentais, bem como
disciplina forma de obtenção de provas quanto à materialidade e à identificação da
autoria delitiva (BARRETO; BRASIL, 2016).
Temos que destacar que os crimes ocorridos no ambiente virtual são muito
reais e preocupam cada vez mais os usuários dos meios tecnológicos, e, uma vez
cometido esse ciberdelito, vislumbra-se a necessidade de identificação da autoria e
coleta de provas da materialidade, sendo grandes as dificuldades nesse
procedimento, indo desde a pouca infraestrutura das unidades policiais à falta de
qualificação técnica específica dos servidores, não só das polícias, como do
Ministério Público e do Judiciário (BARRETO; BRASIL, 2016).
É muito importante e fundamental conhecer as inovações trazidas pelo Marco
Civil da Internet para, em conjunto com outros diplomas legais, elucidar a prática de
crimes no ciberespaço, com a consequente comprovação e responsabilização do
infrator (BARRETO; BRASIL, 2016).
21
3.2.1 Histórico do Marco Civil da Internet no Brasil
O projeto do Marco Civil da Internet foi iniciado com a parceria da Secretaria

de Assuntos Legislativos do Ministério da Justiça (SAL-MJ) e a Fundação Getúlio
Vargas, através do Centro de Tecnologia e Sociedade da Escola de Direito. No
começo a proposta visou garantia de direitos e não restrições de liberdades. Tinha
uma preocupação onde se achava que as primeiras iniciativas seria para criminalizar
os usuários da internet em razão de vários projetos de lei que estava em trâmite
Para debater iniciativas para a criação do Marco Civil, foi criada uma
plataforma que foi hospedada em <http://culturadigital.br/marcocivil/>, como mostra
a Figura 1 a seguir, onde foi promovido vários debates e acrescentadas várias
contribuições em duas fases: na primeira, foram debatidas ideias com fulcro em um
texto preliminar produzido pelo Ministério da Justiça; já na segunda, discutiu-se com
base na minuta de um projeto de lei (BARRETO; BRASIL, 2016).
Figura 1 – Plataforma digital: Marco Civil da Internet
Fonte: Cultura Digital, 2014.
Essa iniciativa brasileira de criar uma Plataforma Digital resultou em milhares

de comentários e contribuições que ajudaram a aperfeiçoar o texto do Marco Civil,
inclusive com as manifestações na rede em microblogs Twitter e Ident.ca.
22
Foi encaminhado à Câmara dos Deputados a proposta, através da mensagem

nº 326 de 2011, denominada como Projeto de Lei nº 126 de 2011, que teve como
seu relator o deputado Alessandro Molon. Podemos destacar que a participação
popular foi também prioridade e se fez possível nessa fase através do e-
Democracia, uma plataforma criada para a votação e comentários conforme mostra
a Figura 2 a seguir (BARRETO; BRASIL, 2016).
Figura 2 – Plataforma Digital: e-Democracia
Fonte: Câmara dos Deputados, 2018.
Ao chegar na Câmara, discutia-se o Projeto de Lei nº 84/99, sendo este

responsável pela tipificação dos crimes cibernéticos. As discussões dos projetos
foram feitas em paralelo, apesar de na época se ter suscitado a discussão do Marco
Civil primeiro, em razão deste traçar princípios, direitos e deveres do usuário. Alguns
pontos foram bem polêmicos na discussão do projeto, entre eles a neutralidade da
rede e a obrigação de empresas de sediarem os “data centers” (centros de
processamento de dados) no Brasil, afim de garantir que os dados fosses
armazenados no Pais de origem (BARRETO; BRASIL, 2016).
E em 12 de setembro de 2013, o Poder Executivo solicitou que o projeto de lei
fosse incluído no regime de urgência, através da Mensagem nº 391 de 2013,
conferindo o prazo de 45 dias para a apreciação na Câmara dos Deputados. Depois
ao ser enviado ao Senado, o projeto do Marco Civil foi aprovado por unanimidade.
23
Foi levantada a questão da necessidade de se discutir o projeto por mais

tempo, mas, na realidade havia pressa para a aprovação, uma vez que o governo
objetivava a sanção da nova lei durante a abertura do Encontro Global Multissetorial
sobre o Futuro da Governança da Internet – Net – Mundial, 23 de abril de 20143.
No dia 23 de junho de 2014, o Marco Civil da Internet entrou em vigor após
sessenta dias de vacatio legis (BARRETO; BRASIL, 2016).
3
Encontro realizado em São Paulo.
24
4 CIÊNCIA FORENSE
Ciência forense e uma área ampla e que abrange muitas disciplinas tais como
física, biologia, química, matemática e várias outras ciências de fronteiras que tem
como objetivo principal dar suporte as investigações relativas a justiça civil e
criminal. Recentemente as pessoas começaram a se dar conta do valor que se tem
a ciência forense no desvendamento de crimes, isso pode ser efeito da enorme
quantidade de informações que hoje recebemos diariamente, através de jornais,
televisão, documentários, internet e até mesmo ficção cientifica (CHEMELLO, 2006).
Os métodos usados para a identificação humana foram evoluindo com o
passar dos tempos. Os babilônicos, por exemplo, já em 2000 a.C., usavam padrões
de digitais em barro, tudo isso para acompanhar documentos, a fim de prevenir
qualquer tipo de falsificação. E sendo assim os métodos foram evoluindo em todos
os sentidos, lembrando que, em outras épocas, havia praticas de marcações com
ferro e brasa e mutilações, só para lembrar algumas, elas eram usadas para
identificar pessoas que praticavam crimes ou em escravos que fugiam de seus
donos. Um exemplo é nos Estados Unidos da América (EUA), o código de 1700
previa o emprego do ferrete e da mutilação em crimes de rapto ou roubo. Chegou
até a fazer uso, posteriormente, do sistema antropométrico (processo ou técnica de
mensuração do corpo humano ou de suas várias partes), introduzido em 1882 por
Alfonse Bertillon, Paris, até a consagração da datiloscopia em meados do século XX
(CHEMELLO, 2006).
Temos a dermatoglifia que é o nome dado aos estudos dos padrões das
cristas dérmicas, ou seja dos desenhos encontrados nas extremidades distais das
faces ventrais dos quirodáctilos (ponta dos dedos), na face ventral das mãos (palma
da mão) e nas face plantar das extremidades ventrais dos artelhos (sola e dedos do
pé). A datiloscopia, que se refere às digitais presentes nas pontas dos dedos, a qual
é usadas pelas autoridades em inquéritos ou acusadas em processos. Vale lembrar
também a datiloscopia civil, que tem por objetivo a identificação de pessoas como
nas cédulas de identidade, isso mostra um avanço enorme na ciência forense, que
não para de crescer (CHEMELLO, 2006).
25
5 FORENSE COMPUTACIONAL
A forense computacional prioriza estudar, desenvolver técnicas e ferramentas

capazes para efetuar investigações e análises de potenciais evidências digitais
(SCHWEITZER, 2003).
Venema (2007), explica que a Teoria de Locar é o principal fundamento para
a Computação Forense, conforme esse princípio qualquer um ou qualquer coisa que
entra no local do crime, leva consigo algo do local e deixa algum rastro quando sai.
No aumento tecnológico que vivemos hoje em dia, a teoria de Locard ainda é
válida e muito importante, sabemos que qualquer Sistema Operacional que sofra
qualquer alteração ou tenha sido violado deixa rastros. Os vestígios com maior ou
menor dificuldade poderão ser identificados e rastreados. Nesses casos uma análise
forense pode ser complexa, difícil ou às vezes até mais fácil, mas de qualquer forma
se torna um trabalho bastante detalhado e demorado, por isso necessita sempre de
tecnologias inovadoras para a identificação, coleta e uma perfeita procura de
evidências.
É fundamental a procura de provas para se examinar e encontrar vestígios,
que comprove a invasão, exclusão ou cópias de arquivos, e claro a alteração dos
mesmos ou nos sistemas de computadores, para isso usamos softwares específicos
como; ferramenta forense de dispositivos móveis ou discos, ferramenta forense de
pacotes, softwares de clonagem, ferramenta forense de logs, scanners, softwares de
quebra de senhas dentre outros.
A maioria dos profissionais, já tem esses softwares presentes em sistema
operacional exclusivo para o serviço de análise forense. Na posse de todas essas
ferramentas o perito é capaz de fazer vários procedimentos tais como; analise de
memórias que apresentam informações de endereços em hexadecimal e de
interrupções de processos conhecidos como (dumpers), podems analisar os códigos
de programas (debugers) ou logs de arquivos de sistemas, podendo expandir nas
várias partes que se encontra em um sistema operacional, podendo ser ele Unix,
Linux ou Windows.
O profissional da computação forense precisa ter um conhecimento específico
voltado para a utilização dos métodos e das técnicas, para que todos os resultados
procurados sejam o mais exato o mais próximo do que se procura ou sobre o que
realmente aconteceu (ELEUTÉRIO; MACHADO, 2011).
26
O local onde supostamente ocorreu a infração penal conhecido como local do

crime é um lugar muito importante, onde pode se encontrar muitas provas que talvez
possa até esclarecer a autoria (quem), a dinâmica (como) e a materialidade (o que
aconteceu) do delito. Por isso é extremamente importante preservar e guardar bem
o local. Temos também o mandado de busca e a preensão, que é uma ordem
judicial na qual deve ser cumprida, nela temos proposto a apreensão de pessoas ou
objetos que seja de importância e de interesse à justiça (ELEUTÉRIO; MACHADO,
2011).
Nos dois casos, cuidados muito especiais devem ser tomados durante a
coleta dos vestígios digitais, os vestígios digitais são extremamente sensíveis, e
pode ser perdido muito facilmente, um erro será fatal para a perda de dado ou até
mesmo a sua destruição. O impacto, a umidade, a imersão em água ou qualquer
outro líquido, o calor excessivo, o atrito e o eletromagnetismo são apenas alguns
exemplos que podem causar a perda de informações digitais. O perito ao chegar no
local de um eventual delito tem a função de realizar o reconhecimento do local,
identificando os equipamentos tecnológicos ali encontrados, incluindo
computadores, notebooks, pontos de acesso de redes e outros.
Imediatamente algumas providências devem ser tomadas para a preservação
dos dados digitais, entre elas temos:
 Impedir que pessoas estranhas à equipe utilizem os equipamentos de
informática ali encontrados, sem a autorização/supervisão do perito.
 Não ligar equipamentos computacionais que já se encontram desligados.
Dependendo da situação encontrada pode recomendar, ainda interromper as

conexões de rede eventualmente existentes, retirar a fonte de energia dos
equipamentos computacionais, exceto quando se tem a possibilidade de flagrante
delito, quando se percebe o envio de dados, fotos, vídeos ou a utilização da rede
para os mesmo, nesse caso sugere ao perito documentar com fotos, vídeos,
anotações e o que for possível para melhor documentação do flagrante
Podemos também em alguns casos quando se encontra o computador ligado,
ser necessário copiar os dados da memória RAM (Random Acces Memory) antes de
desligá-los. A memória RAM é volátil, e seus dados são perdidos ao desligar o
computador, por isso muitas vezes a necessidade de cópia. Caso o perito suspeite
27
de vestígios que estão contidos nesse tipo de memória, ele pode usar ferramentas
próprias para realizar a cópia. A ferramenta Computer Online Forensic Evidence
Exractor (COFEE), uma ferramenta desenvolvida pela Microsoft, ele permite capturar
evidências importantes do computador na cena de investigação sobre delitos
cibernéticos. Os dados voláteis tem uma grande importância para uma investigação
de crime digital e o COFEE faz exatamente a análise desses dados voláteis contidos
na memória RAM usando somente um pen drive (ELEUTÉRIO; MACHADO, 2011).
Para obter mais informações sobre o COFEE pode se conectar na página
disponibilizada gratuitamente, conforme Figura 3:
Figura 3 – COFEE
Fonte: National White Collar Crime Center, 2018.
Depois de realizar todas as providências, devem ser coletados os

equipamentos computacionais que possam conter as provas/evidências desejadas,
realizando o acondicionamento e o transporte de forma correta (ELEUTÉRIO;
MACHADO, 2011).
Como já sabemos os dispositivos de armazenamento computacional, são
bastante sensíveis e devem conter todo um cuidado para ser manuseado,
principalmente se tratando de uma prova de crime, o cuidado deve ser dobrado.
Sendo assim temos como principais características para as mídias de
28
armazenamento digitais, de interesse à Forense Computacional essas fases

principais que devem ser executadas, que começa desde o recebimento do material
até a conclusão do laudo. São elas: Identificação, Preservação, Extração, Análise e
Formalização (ELEUTÉRIO; MACHADO, 2011).
5.1 Identificação
Podemos encontrar vários pontos favoráveis envolvidos no caso, mas temos

que estabelecer algumas prioridades com clarezas sendo elas, quais as conexões
que batem com a data, nomes de usuários pessoas, órgãos públicos, autarquias,
instituições, redes sociais, etc, estabelecendo quais as conexões que foram
estabelecidas para criar a conexão eletrônica.
Após o trabalho de coleta de dados dos peritos nos HD‟s, discos rígidos dos
computadores podem encontrar sua origem.
Segundo Eleutério e Machado (2011), a etapa de identificação dos dados
consiste em, o que apreender, como apreender, como descrever o material
encontrado e apreendido, como acondicionar e transportar o material, dentre outros
cuidados, lembrando que quando não haver opções, evitar apreender o gabinete
completo de um computador pessoal, uma vez que os dados de maior importância
normalmente serão encontradas nos discos rígidos, tudo isso antes e depois do
desligamento da máquina.
5.2 Preservação
Tem como objetivo garantir que as informações armazenadas no material,

jamais sofram algum tipo de alteração, pois todas devem ser legítimas para terem
sua validade jurídica. Assim como em todo local de crime onde as provas e
evidências devem ser preservadas (ELEUTÉRIO; MACHADO, 2011).
Essa etapa exige muitos cuidados especiais dos peritos e de todos que se
encontram no local, pois qualquer operação por mais simples que seja ela pode
alterar os dados armazenados em mídia digital. Podemos dar como exemplo, ao
ligar uma máquina que contenha um sistema Microsoft Windows instalado no disco
rígido, os dados contidos são alterados mesmo que o usuário não execute nenhuma
operação. Sendo assim não se recomenda ligar dispositivos computacionais de
29
forma convencional, preservando assim as informações ali contidas, para que não
sofram nenhuma alteração, e que possa ser executada a extração por meio de
equipamentos e softwares específicos (ELEUTÉRIO; MACHADO, 2011).
Podendo assim ser realizada a duplicação do equipamento original seguindo
uma das seguintes técnicas computacionais: espelhamento onde se tem uma cópia
exata e fiel dos dados (bit a bit) contidos em um dispositivo de armazenamento
digital para outro, ou imagem onde se trata de um processo quase igual ao
espelhamento, mas em vez de copiar bit a bit, os dados são copiados para arquivos
onde os dispositivos de destino podem receber várias imagens de diversos
dispositivos. Através de equipamento e softwares forenses específicos
Por isso, um perito Forense Computacional terá que ter experiência para
saber lidar com a evidência obtida, deverá ser cuidadosamente manuseado e com
total segurança, não podendo ser invalidada, comprometida, danificada e até mesmo
destruída por maus procedimentos cometidos na investigação, e tem que ter o maior
cuidado para que nenhum vírus ou código malicioso seja introduzido em um
computador por uma falha do perito durante uma análise forense (ELEUTÉRIO;
MACHADO, 2011).
5.3 Análise
Na análise dos dados, será examinado as informações extraídas, a separação

dos dados que importa que interesse será feita após o perito estudar todos os tipos
de arquivos encontrados, afim de identificar evidências digitais presentes no
material, que tenham relação com o delito investigado, e também atrás de
programas suspeitos e maliciosos, registros de logs, fotos, etc. (ELEUTÉRIO;
MACHADO, 2011).
Essa fase é de extrema importância, não sendo menos que as outras mas
com um cuidado maior, pois é nela que iremos recolher as informações para serem
apresentadas a justiça, essa fase deve ser feita rigorosamente nos padrões e
métodos estabelecidos e estudados, para não haver comprometimento de nenhum
arquivo ou até mesmo a sua invalidação, prejudicando assim o processo judicial.
30
5.4 Formalização
Formalização, a fase final do exame forense, consiste na elaboração do laudo

pelo perito, onde ele irá adequar às provas obtidas na análise, mostrando suas
evidências encontradas, nos padrões da lei exigidos (ELEUTÉRIO; MACHADO,
2011).
No laudo pericial deve conter os principais procedimentos realizados,
incluindo as técnicas utilizadas em todos os procedimentos aqui citados como,
identifica, preservar e analisar o conteúdo contido das mídias digitais.
O resultado da formalização é a elaboração de um laudo pericial, onde o
perito deve se atentar que o laudo é um documento técnico-científico, que deve ser
objetivo e com clareza mostrando todos os métodos e exames realizados para sua
própria segurança e uma boa transparência do processo forense aplicado como um
todo. Pois qualquer indício que possa representar uma dúvida na veracidade, pode
tornar todo o trabalho e procedimento nulo (ELEUTÉRIO; MACHADO, 2011).
31
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE

ARMAZENAMENTO
Uma evidência digital refere se a qualquer informação digital capaz de

determinar se realmente ocorreu um incidente. A principal característica da
evidencia digital é que ela pode ser manuseada e armazenada em outros
dispositivos, os materiais questionados mais comuns envolvendo esse
armazenamento e coleta são os discos rígidos, seguidos dos CD‟s e DVDs, porem
tais procedimentos devem ser seguidos para qualquer tipo equipamento que possa
armazenar informação computacional, incluindo pen drivers, cartões de memórias,
Blu-Rays, entre outros existentes ou a serem inventados pelo homem (ELEUTÉRIO;
MACHADO, 2011).
A busca por evidências em um sistema operacional, se da pela varredura
minuciosa em busca por informações. E sabemos que essas informações nem
sempre estará visíveis ou de fáceis localizações, elas podem estar em arquivos,
pastas ocultas, na memória, podem ter sido excluídas, criptografadas,
esteganografia ou podem estar em partes de um arquivo ou em arquivos danificados
Sabemos que o tempo de vida de uma evidência digital varia de acordo com
vários fatores, e sabemos também que elas são muito sensíveis e devem ser
manuseadas com muito cuidado, porem quanto maior sua volatilidade mais difícil se
torna a sua extração e menos tempo se tem para sua captura.
Mesmo com o crescimento da Forense Computacional, ainda existe muita
carência de métodos para o manuseio dessas evidências. Mais essa carência pode
ser explicada devido a grande quantidade de sistemas operacionais, pela grande
quantidade de dispositivos de armazenamento, e por não haver um padrão definido
para a coleta de evidências.
6.1 Diretrizes para coleta de provas com a RFC 3227
A RFC ou Request for Comments, para quem não conhece, são documentos
que apresentam notas/normas técnicas, organizacionais e também parâmetros
sobre a internet. Essas notas/normas são discutidas por outra comunidade chama
de IETF – Internet Engineering Task Force, comunidade internacional composta por
32
técnicos, fabricantes, agências, pesquisadores e fornecedores, que tem a

preocupação total com a evolução da internet e seu perfeito funcionamento.
Para obter mais informações sobre a RFC e IETF pode se conectar na página
disponibilizada gratuitamente em <https://www. http://blog.ccna.com.br/>.
A RFC3227 (RFC, 2002) tem como principal objetivo mostrar aos
administradores de sistemas, peritos forenses, a maneira correta e mais segura para
se coletar e arquivar evidências e provas essenciais para um processo. Segundo ela
um “incidente de segurança” é quando a violação em um sistema de segurança
consegue alterar, desligar ou prejudicar o bom funcionamento do mesmo.
Ela tem como principal finalidade, fornecer aos administradores de sistemas e
claro aos peritos forenses, a maneira correta dentro dos padrões relevantes para tal
segurança na sua coleta e arquivamento das evidências, podendo assim apresentar
uma cópia fiel do documento solicitado, e apresenta-lo com total segurança as
autoridades da esfera judicial (RFC, 2002).
Os princípios usados neste documento tendo como finalidade a coleta de
provas seguem os seguintes parâmetros:
 Sempre trabalhar com as provas conforme as leis locais determinam, afim de
que não haja nenhuma suspeita, irregularidade ou contestação da sua
legalidade fiel.
 Procure sempre ter uma imagem/cópia fiel primeiro do sistema a ser
analisado.
 Criar relatórios precisos e detalhados de tudo, inclusive data e hora de cada
processo realizado, sempre assinado e datado, para que valorize ainda mais
o trabalho e a fiel validade do documento.
 Note sempre a diferença entre os horários, relógios dos sistemas a ser
copiados e a Universal Time Coordnated (UCT). E para cada timestamp
fornecido, mostrar se a UTC ou hora local é utilizada.
 Estude e acompanhe todos os processos, caso seja necessário testemunhar
em juízo em alguma etapa do processo. Pois será necessário descrever
todos os procedimentos realizados para se chegar aquele resultado, por isso
a importância de se detalhar todos os procedimentos realizados em cada
fase.
33
 Importante não alterar nenhum dado e se possível comunicar os órgãos

competentes afim de autorizações se resguardando de possíveis perdas de
evidências, evite atualizações de sistemas, programas, arquivos e diretórios.
 Desconecte de vias externas conexões externas quando houver a
necessidade de alterações.
 Para um melhor trabalho sempre faça a seguinte ordem colete os dados
primeiro copie e analise depois, jamais analise sem antes coletar e copiar,
pois pode haver alteração na evidência.
 Procure sempre proceder com métodos e nunca com incertezas, tenha
sempre a certeza de algo, e procure sempre testar os procedimentos e depois
seguidos para garantir a legalidade e a viabilidade em uma situação de crise.
Caso seja necessário ou possível os procedimentos devem ser
automatizados por razões de rapidez e precisão.
 Siga os métodos para cada situação de coleta, sempre com as diretrizes pré-
estabelecidas, em seu procedimento de coleta. A velocidade as vezes pode
ser crítica, então onde há vários equipamentos que exigem exames, pode ser
apropriado espalhar o trabalho entre eles para a coleta em paralelo, mas
sempre com cautela e com todo cuidado para que não se altere nenhum
dados. No entanto em uma única coleção de sistemas a coleta deve ser feita
passo a passo.
 Proceda sempre analisando a volatilidade de cada prova, buscando sempre
recuperar a de menor volatilidade primeiro depois para os com durabilidade
maior.
 Como os dados são muitos sensíveis proceda com cautela, nos casos
Forenses sempre faça primeiro uma cópia/imagem fiel do original sendo ela
através de espelhamento (bit a bit) ou imagem (arquivos). Evite fazer a
análise forense na cópia original da evidência, crie novas cópias/imagens.
6.2 Volatilidade dos dispositivos e sua ordem
A coleta de evidências, ou busca por elas é o que vai determinar o fator de

cada uma, se elas são mais duradouras ou se são voláteis, algumas tem o tempo de
vida muito curto por isso é muito importante saber coleta-las o mais rápido possível.
34
Por isso é necessário seguir alguns passos para que seja feita a correta aquisição
de provas para ajudar em caso de um incidente de segurança. Apresentarei alguns
procedimentos que seguem a ordem de volatilidade (RFC, 2002).
6.2.1 Processos de execução armazenados pela CPU
Os processos armazenados pela Central Process Unit (CPU) são de mínima

utilidade. Pois são processos que tem o tempo de vida muito curto fazendo assim
que a coleta tanto dos registradores quanto das memórias caches sejam
descartadas (RFC, 2002).
A cache é muito mais rápida que a memória principal e, ela se encontra em
cada processador. E sendo assim um processador pode referencias programas e
dados diretamente de sua cache. Sabemos que a memória cache é extremamente
mais cara que a memória principal, por esse fato usa-se caches relativamente
pequenas. Por esse fato não se localiza arquivos nelas (DEITEL; DEITEL;
CHOFFNES, 2005).
6.2.2 Memória de periféricos
Os periféricos podem ser denominados como aparelhos ou placas que

enviam e recebem informações. Nelas podem conter várias informações que não se
encontram mais no sistema analisado, podemos encontrar mensagens de texto,
números de telefones dentre outros. Periféricos podem ser julgados como qualquer
equipamento acessório que seja ligado a CPU, ou seja, ligado ao computador, como
modens, pagers, impressoras, aparelhos de fax (RFC, 2002).
Temos também a memória de vídeo que pode conter muita informação de
grande utilidade, caso o invasor acesse a um terminal gráfico, onde podemos
capturar a tela e reproduzir (RFC, 2002).
6.2.3 Memória principal do sistema
É fundamental uma análise da memória principal do sistema ativo, com essa

análise pode se achar muitas evidências de fatos ocorridos no sistema operacional.
Essa memória é conhecida como memória RAM, é uma memória do tipo volátil,
35
sendo assim quando se desliga o equipamento, todos os dados presentes são

perdidos, devido á vida muito curta (RFC, 2002).
Quando se solicita algum processo, os dados ficam guardados na memória
principal, até que sejam salvos em algum arquivo ou eliminados.
Se o sistema estiver ativo e acontecer alguma falha, essa memória ainda
pode armazenar as informações responsáveis pelo fato ocorrido. Essas informações
podem ser coletadas e analisadas posteriormente (RFC, 2002).
6.2.4 Tráfego e dados de rede
Os dados do tráfego de rede entre o invasor e a máquina alvo do ilícito,

podem ser reconstituídos através de datagramas capturados, analisando se teve
uma sequência ou ligações entre demais evidências encontradas (RFC, 2002).
Podemos capturar esses dados na rede com vários programas conhecidos,
networminer, sniffers, xplico, que além de efetuar a captura dos dados, podem
decodificar localizar e emitir resultados em uma linguagem popular normal (RFC,
2002).
6.2.5 Estado e conexões de rede
Conforme como é encontrado o estado da rede podemos recolher muitas

informações preciosas para anexar junto ao laudo sobre as conexões e acessos
feitos. Conseguimos analisar as portas usadas e ainda as que se encontrem ativas,
ou as portas que estão aguardando conexões (RFC, 2002).
Na posse dessas informações conseguimos efetuar uma varredura para
localizar a instalação, ou se foi ativada uma backdoor, que nada mais é que recurso
muito utilizado por malwares, a fim de se estabelecer conexões remotas ao sistema
ou a rede em questão, procurando falhas críticas com diversos objetivos maliciosos,
ou podemos também localizar se há alguma conexão em execução que não foi
autorizada (RFC, 2002).
Uma análise bem feita nas interfaces da rede, pode nos dar muitas
informações, como: se há algum sniffer instalado no sistema, bem como acessos
remotos com o objetivo de isolar a maquina ou mascarar seu IP, ou ainda se ela
encontra em modo de quarentena (RFC, 2002).
36
6.2.6 Estado do Sistema Operacional
Essa parte é como o sistema operacional foi encontrado, o seu estado no

momento do incidente, pode fornecer várias informações importantes sobre o ilícito.
Podemos encontrar informações como, se foi efetuado algum ataque naquele
momento, dia ou hora, se tem algum processo em execução, e quais os dados nele
contem, conseguimos dados sobre conexões ativas ou portas usadas, quais os
usuários que estão logados, instruções em tabelas e caches, ou dados perdidos ao
desligar a máquina (RFC, 2002).
O estado é fundamental para uma análise correta e um sucesso na execução.
6.2.7 Sistema de Arquivos
Conseguimos muitas informações através dos arquivos temporários ou dos

arquivos de logs, nelas podemos achar muita coisa sobre o sistema operacional, e
conseguir adiantar muito a análise (RFC, 2002).
Caso haja uma invasão ou a instalação de um executável, podemos encontrar
vestígios em seus arquivos temporários, como a cópia ou até mesmo a pasta do
malware, pois a maioria usa esse diretório para se hospedar (RFC, 2002).
Na análise dos arquivos de logs, podemos achar dados sobre o histórico de
processos executados no sistema operacional, pois eles podem registrar tudo que
aconteceu ou esta acontecendo. Essa análise pode mostrar o que aconteceu em um
processo executado mostrando determinado programa e em algum momento (RFC,
2002).
A análise desses arquivos tem que ser minuciosa, pois os executáveis ou os
arquivos com a intenção de prejudicar podem estar salvos com nomes muito
próximos dos originais, mais nunca serão iguais, por isso, devemos ter muita
atenção (RFC, 2002).
Podemos encontrar arquivos que contenham, dados bancários, dados
pessoais, dados industriais, conteúdos pornográficos, conteúdos implantados para
obter uma acusação falsa, até mesmo conteúdo de pedofilia, o que torna o trabalho
muito minucioso e delicado, pois a localização sempre será difícil, devido ao
acusado sempre querer camuflar as provas (RFC, 2002).
37
Por isso é muito importante o conhecimento sobre a função dos arquivos de

sistemas, sua localização onde se encontra seus diretórios, pois tudo isso são
fatores fundamentais e de grande validade na hora de analisar, sabendo sobre
esses passos o nível de segurança do sistema operacional será preservado (RFC,
2002).
38
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS
Segundo Marques et al. (2011), um sistema de arquivos é composto por um

conjunto de entidades fundamentais, um sistema de organização de nomes para
identificação dos arquivos e uma interface de programação para comunicação entre
os processos e o sistema de arquivos.
Arquivos é uma coleção de dados persistentes, geralmente relacionados,
identificados por um nome. Um arquivo na memória secundária é o correspondente
eletrônico dos arquivos usados nos escritórios, onde a informação usada é colocada
em uma pasta e etiquetada com um nome. A forma de guardar dados relacionados
entre si é utilizando um mesmo arquivo, pois a proximidade física facilita o seu
acesso e pesquisa. Além do nome, um arquivo possui ainda outro tipo de informação
que facilita a sua localização e gerenciamento, tal como a sua dimensão, datas de
criação, modificação e acesso, direitos de acesso e localização de informação em
memória secundária. O conjunto desses dados é conhecido comumente de
metainformação (MARQUES et al., 2011).
Os arquivos possuem vários tipos e esses tipos que determinam os atributos
de cada arquivo. Esses atributos que podem variar de sistema de arquivos para
sistema de arquivos, estão sempre armazenados na metainformação do arquivo.
Além do tipo, a metainformação do arquivo possui geralmente os seguintes
atributos:
 Proteção – Quem pode acessar o arquivo e quais operações podem ser
executadas.
 Identificação do dono do arquivo – A pessoa que o criou.
 Dimensão do arquivo – Informação geralmente atualizada automaticamente
quando o arquivo cresce ou diminui.
 Datas de criação – Datas da criação do arquivo, da última leitura, e da última
escrita (MARQUES et al., 2011).
Marques et al. (2011) alega que um sistema de armazenamento deve

assegurar o acesso e a manutenção de grandes volumes de informação de forma
eficiente e robusta (no sentido de não perder dados ou alterar as informações).
Os sistemas de arquivos são armazenados em dispositivos de memória
secundária. Na sua grande maioria esses dispositivos são dispositivos de memória
39
de massa persistente, ou seja, armazenam grande quantidade de dados que não se

perdem após desligar a energia, diferente da memória primária que é uma memória
volátil, ou seja, o seu conteúdo se perde quando se desliga a máquina, temos como
memória primária os seguintes itens; registros da CPU, cache e a memória principal
(RAM) (MARQUES et al., 2011).
Temos sistemas de arquivos criados que não é usado para gerenciar
dispositivos de memória de massa, porém ele não é uma memória volátil, e sim
dispositivo de memória secundária, conhecidos como dispositivos móveis eles são
responsáveis por esses dispositivos de armazenamento, tais como PDA (Personal
Digital Assistant) explica Marques et al. (2011).
Mesmo assim sabemos que os dispositivos para armazenamento em massa,
são os discos magnéticos. Marques et al. (2011), afirma que os discos magnéticos
tem características de acesso específicas que influenciam decisivamente o modelo
de gerenciamento de memória secundária adotado pelos sistemas operacionais.
Figura 4 – Esquema físico de um disco
Fonte: Marques et al., 2011.
A explicação de Marques et al. (2011), para um disco magnético é que o

mesmo pode ter um ou mais pratos de um material magnético (Figura 4). A escrita
neste material passa por magnetizar uma determinada área do disco através de uma
haste muito fina, que se encontra sobre as faces, denominadas como cabeças de
leitura e gravação. A leitura consiste na referida cabeça para ler o campo magnético
40
nessa posição. Cada prato tem duas faces e cada face esta dividida em blocos de
dimensão fixa, denominados setores. Um setor é a unidade mínima de leitura e
escrita em disco. A sua dimensão habitual é de 512 ou 1024 bytes. A leitura
acontece quando a cabeça do respectivo prato esta sobre o setor respectivo.
O gerenciamento de um disco é feito em blocos de dimensões múltiplas dos
setores. A dimensão depende das estruturas do sistema operacional, e é a unidade
mínima que pode ser indexada. Além do setor e do bloco, que dependem
respectivamente da organização física do disco e do sistema operacional, existe
ainda o segmento ou extend. O segmento, explica Marques et al. (2011), é a
unidade de reserva de espaço em disco composto por um conjunto de blocos.
Marques et al. (2011), ainda explica que os blocos e o segmento são
unidades de gerenciamento que tem por objetivo otimizar o acesso ao disco. Ele fala
que quanto maior for o bloco maior também será a taxa de transferência bruta, pois
o tempo de posicionamento e latência de setores consecutivos são quase nulos,
mais a taxa de transferência efetiva depende do numero de bytes dentro do bloco
com informação útil. Por tanto é necessário encontrar um equilíbrio que maximize a
taxa de transferência efetiva. Atualmente a dimensão de um bloco varia entre
4KBytes e 8KBytes.
O Windows como o Linux consegue suportar simultaneamente vários
sistemas de arquivos, o que não era possível nos sistemas mais antigos, como o
VMS ou o MS-DOS. Nestes sistemas antigos as partições de um disco eram
gerenciadas pelo mesmo sistema, razão pela qual os sistemas de arquivos se
confundiam com o sistema operacional (MARQUES et al., 2011).
O sistema operacional MS-DOS é uma evolução do sistema CP/M, motivo
pelo qual possui uma estrutura de sistema de arquivos semelhante. Por isso o
sistema MS-DOS ao invés de possuir um mapa de blocos por arquivo, ele tem uma
tabela de blocos global compartilhada por todos os arquivos. Desse modo cada
arquivo utiliza apenas o conjunto de entrada que necessita da tabela de blocos, os
arquivos grandes utilizam mais entradas da tabela de blocos enquanto os pequenos
menos. Essa tabela é tão única nesse sistema e tão representativa da estrutura do
sistema de arquivos que deu origem ao nome do sistema de arquivos mais popular
que o adota: o sistema de arquivos FAT (Tabela de Alocação de Arquivos – File
Allocation Table) (MARQUES et al., 2011).
41
Encontramos nos sistemas do tipo FAT uma tabela global com uma entrada
para cada um dos blocos de dados disponíveis na partição. A partição contém três
seções distintas: a Tabela de Alocação (Allocation Table), um diretório com os
nomes de todos os arquivos presentes no sistema de arquivos e o restante dividido
em blocos, de igual dimensão, para conter os dados dos arquivos. As entradas da
tabela de alocação com valor zero indicam que o bloco está livre e pode ser utilizado
por outro arquivo. As entradas diferentes de zero indicam que o respectivo bloco faz
parte de um arquivo (MARQUES et al., 2011).
O NTFS (New Technology File System) sistema de arquivos foi criado devido
aos grandes números de problemas de segurança e as limitações que o sistema
conhecido FAT apresentava principalmente para uso em servidores e sistemas de
segurança.
O sistema de arquivos NTFS foi criado para ser um sistema de arquivos
flexível, dinâmico, bastante seguro e com uma grande confiabilidade, sendo que
seus principais conceitos funcionais foram herdados do sistema HPFS (High
Performace File System) (MARQUES et al., 2011).
Segundo o artigo criado no site Suporte da Microsoft (MICROSOFT, 2017), o
HPFS sistema de arquivos, foi utilizado pela primeira vez no SO/2 1.2 da IBM para
permitir um maior acesso a disco rígido de capacidade maior do que os existentes
no mercado daquela época. Além disso, era necessário um sistema de arquivos que
estendesse o sistema de nomeação dos arquivos, organização e segurança para as
enormes demandas crescentes do mercado do servidor de rede. O HPFS mantem a
mesma organização de diretório do FAT, mas inclui uma classificação automática do
diretório baseado em nomes de arquivo. Os nomes de arquivo são estendidos para
até 254 caracteres de byte duplo. O HPFS permite também que um arquivo seja
composto de “metadados” e atributos especiais para permitir uma flexibilidade maior
em termos de suporte a outras convenções de nomeação e segurança. Além disso,
a unidade de alocação é alterada de cluster para setores físicos (512 bytes), o que
reduz muito o espaço em disco perdido. Esse sistema bastante eficiente, perdeu
grande uso juntamente com o OS/2, sendo suportado somente pelo Linux.
42
7.1 As características do NTFS
Do ponto de vista do usuário, o sistema NTFS continua organizar arquivos em

diretórios que, como o HPFS, são classificados. Mais no entanto, diferente do FAT
ou do HPFS, não há objetos “especiais” no disco e não há dependências do
hardware adjacente, como setores de 512 bytes. Além disso, não há localizações
especiais no disco, como tabelas FAT ou Super Blocos HPFS (MICROSOFT,2017).
O NTFS tem algumas características muito importantes como:
 Confiança: Ele consegue fazer com que o sistema operacional seja tolerante
a falhas, onde ele se recupera de erros sem perder informações.
 Segurança: Ele nos permite ter um acesso preciso, e disponibiliza serviços
que rodem em rede, deixando possível o gerenciamento de usuários,
podendo adicionar permissões de acesso e de escrita de dados.
 Armazenamento: Nos permite trabalhar inclusive com o uso de arrays RAID,
deixando possível trabalhar com bastante quantidade de dados.
 Rede: Libera o uso de dados em rede e faz com que o sistema seja funcional
para este tipo de trabalho.
Além disso, o NTFS tem como metas a confiabilidade que é muito importante
para sistemas de alta demanda e servidores de arquivos, uma plataforma para maior
funcionalidade, requisitos de suporte POSIX (Portable Operating System Interface)
ou seja Interface Portável entre Sistemas Operacionais, que nada mais é que um
conjunto de normas tipo nomeação com diferenciação maiúscula ou minúscula,
carimbo de data e hora adicional, mostrando a hora na qual o arquivo foi acessado
pela última vez, e também tem a remoção de limitações dos sistemas de arquivos
FAT e HPFS (MICROSOFT, 2017).
7.2 Estrutura do sistema NTFS
O NTFS, assim como no sistema FAT, tem em comum as estruturas lógicas

no HD. Porem além da ideia ser basicamente a mesma no sistema NTFS, essa
estrutura é totalmente diferente.
Esse sistema de arquivos foi criado com o propósito objetivo de amenizar e
suprir as necessidades do mercado empresarial, tendo com características maior
43
capacidade de endereçamento, podendo ter para cada arquivo um suporte de

segurança individual, e crifragem dos dados entre outros (MICROSOFT, 2017).
No artigo encontrado no site da NTFS (2010), explica que cada arquivo
encontrado em um volume no NTFS é representado por um registro em um arquivo
especial chamado de tabela de arquivo mestre MFT (Master File Table). E sendo
assim o NTFS reserva os primeiros 16 registros da tabela para obter as informações
especiais.
Seguida de uma gravação espelhada MFT, no primeiro registro desta tabela
descreve a própria tabela de arquivo mestre.
Quando a primeira gravação MFT esta corrompida, o NTFS vai lê o segundo
registro para encontrar o arquivo espelhado MFT, onde a primeira gravação sempre
é idêntica a primeira gravação feita pela MFT (NTFS, 2010).
A figura 5 mostra a seguinte estrutura MFT. Os arquivos estão mapeados nos
primeiros registros da MFT, inclusive a própria (NTFS, 2010).
Figura 5 – Estrutura MTF
Fonte: NTFS, 2010.
Sobre o NTFS (2010), o artigo diz que cada registro no MTF tem como
propriedade um cabeçalho onde se encontram as informações básicas descrevendo
o registro do MTF, essas informações estão descritas logo a seguir.
 Dados numéricos de sequência usados para verificação de integridade.
 Marcador para indicar o primeiro atributo do registro.
 Marcador para indicar o primeiro byte livre no registro.
44
 Número de registro em relação ao registro base da MFT, se o mesmo não for

o primeiro.
7.3 MAC Times Metadados do sistema de arquivos
MAC Times ou metadados do sistema de arquivos é conhecido como os

metadados responsáveis por toda informação quando se realiza uma operação em
um arquivo utilizando-se a hora local ajustada no computador que efetuou a
operação assim explica o artigo da Infocrime Computação Forense (2011). Uma vez
que já se sabe a estrutura do NTFS, pode se partir para uma analise ampla e mais
detalhada sobre o MAC Time do ambiente do sistema operacional, no caso
Windows.
A Infocrime Computação Forense (2011), ainda explica que todo evento feito
ou criado, relacionado a um arquivo digital possuirá um registro que o situará em
uma linha de tempo (timeline) em um determinado caso e sua localização nesta
timeline poderá indicar sua relação com o fato analisado.
O MAC Times stamps é os campos de registros onde são armazenados os
dados relativos a data e hora de modificação/modification (mtime), acesso/access
(atime) e mudança/changer (ctime) dos respectivos arquivos. Em sistemas da família
UNIX o ctime significa o determinado momento em que os metadados relativos a
permissão ou propriedade de um arquivo é alterado. Já nos sistemas Microsoft
Windows esse serviço de armazenamento do ctime corresponde ao momento em
que o arquivo é criado (INFOCRIME COMPUTAÇÃO FORENSE, 2011).
Já o mtime registra o momento em que um arquivo foi modificado, ou seja,
quando o mesmo foi submetido a função salvar. Mesmo que não haja nenhuma
alteração no conteúdo do mesmo, a função abrir e salvar já altera o seu registro na
mtime (INFOCRIME COMPUTAÇÃO FORENSE, 2011).
O atime tem como funcionalidade registrar o momento em que se abre o
arquivo. Caso o arquivo fique aberto por muito tempo esse serviço não consegue
precisar o tempo que o seu conteúdo foi lido (INFOCRIME COMPUTAÇÃO
FORENSE, 2011).
Um problema evidente que se encontra na grande maioria dos sistemas
operacionais é a ausência de um histórico de registro, sendo que os tempos de
registro somente dizem a respeito de sua ultima modificação, o que implica a
45
captura dos acessos anteriores, utilizando somente o sistema de arquivos

(INFOCRIME COMPUTAÇÃO FORENSE, 2011).
46
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS
Na elaboração deste trabalho, utilizamos a ferramenta LiveCD CAINE

(Computer Aided Investigative Environment). Que se trata de um Ambiente
Investigativo Feito por um Computador. O LiveCD CAINE é uma distro GNU/Linux
que oferece um vasto ambiente com várias ferramentas fundamentais para uma
analise Forense, contendo as ferramentas mais utilizadas Open Source, tanto para
sistemas Unix, Linux e claro Windows, tendo também algumas para a utilização em
sistemas Android, encontrado em Smartphones.
Esta LiveCD foi criada para facilitar o serviço e interagir ferramentas forense
em um só sistema, criando uma interface amigável e de fácil uso.
O CAINE visa como principal objetivo ter um ambiente interoperável
facilitando para o perito digital um ótimo serviço nas quatro fases de uma
investigação digital, tento assim uma interface gráfica amigável, junto com uma
compilação semi-automatizada do relatório final.
A Figura 6 mostra a interface gráfica do CAINE. A sua versão é a 9.0
QUANTUM de (64 bit), e está foi usada para a conclusão deste trabalho.
Ele foi baseado no Ubuntu 16.04 LTS e do Kernel Linux 4.4L apelidado de
“Blazar” onde podemos encontrar o código-fonte aberto Systemback e backup do
sistema.
Figura 6 – CAINE 9.0 - Computer Aided Investigative Environment
Fonte: Adaptada pelo autor, 2018.

47
CAINE possui em sua Distro, uma gama muito grande de softwares

conhecidos e que são utilizados para uma Analise Forense em sistemas Linux, e
que também podem ser utilizadas para uma análise em imagens adquiridas só
sistemas operacional Windows.
Uma ferramenta muito importante no CAINE 9.0 é a RBFStab e Mounter,
essas ferramentas ajudam ao perito digital, não possa cometer erros, durante a sua
inicialização ou quando é conectado um dispositivo o RBFStab é ativado, fazendo
com que seja feita a gravação de entrada somente em leitura /etc / fstab, dando
assim uma segurança a mais para que seja montada a imagem dos dispositivos
para um exame correto. E a ferramenta Mounter é um aplicativo de montagem de
disco que é encontrado na barra fixa do sistema. Ela é uma ferramenta de
montagem GUI, com ela o usuário pode escolher se deseja montar ou desmontar. E
no CAINE 9.0, o mounter pode bloquear e desbloquear dispositivos de bloco para o
modo somente leitura. Sendo assim os dispositivos montados não sofreram
alteração em seus dados blocos, apenas as operações de montagens feitas desde
dispositivo.
Devido a sua grande utilização o Sistema Operacional Windows também tem
seus softwares para análise forense sendo ela Post Mortem Analisys ou Live
Forensic Analisys. Para uma análise em um sistema ativo (Live Forensic Analisys),
tem uma interface simples contendo um conjunto de ferramentas, até aversão 1.5
ela se encontrava na LIVECD do CAINE já na versão 2.0 ela ficou fora, agora é
preciso fazer o download da mesma, essa interface é conhecida por Wintaylor 2.5.1,
a Figura 7 apresenta a interface do Wintaylor.
48
Figura 7 – Interface Gráfica WinTaylor 2.5
Para seu uso, foi criado uma maneira mais fácil, através de links de acesso o
que facilita o uso das ferramentas mais utilizadas encontradas nele, e um outro link
para o acesso as ferramentas (More Tools). A maioria das ferramentas podem ser
usadas para sistemas FATx quanto para sistemas NTFS.
8.1 Coleta de evidências em máquinas Post Mortem Analisys
Uma das situações em um local de um suposto crime é a maquina já estar

desligada seja por falta de energia, falha do sistema, ou até intencionalmente, neste
caso deve ser feita primeiramente a criação da imagem deste Sistema Operacional,
jamais ligando o mesmo.
Para este método existem algumas etapas, uma delas é retirando Hard Disk
HD, e transportar com cuidado ou então conectar imediatamente em uma estação
forense preparada para o serviço. Outro meio é através de um ou com uma LiveCD
com os devidos programas para a copia e logo em seguida salvar em um dispositivo,
e uma outra forma é salvar a imagem e criptografar ela e enviar pela rede para uma
estação forense.
49
Na fase de coleta de evidências é fundamenta trabalhar sempre com a cópia

da imagem do sistema, pois qualquer eventual problema que surgir consegue se
outra imagem do original ou até mesmo para reduzir as dúvidas.
E para este serviço existe várias ferramentas e que são usadas
frequentemente, no CAINE temos o guymager o AIR, Encase 6.19.1.5, o FTK
Imager 3.0.1.1.467, Tableau Imager 1.11, um bloqueador de escritas T35es, dentre
outros.
Mais vale lembrar que essas ferramentas que bloqueiam escritas são
comumente usadas em HDs para os SSD temos que analisar como outras
ferramentas pois os mesmos tem um trabalho a parte, os SSD são conhecidos como
mídias de armazenamentos de alta performance, quem tem a compatibilidade com
os tradicionais HDs convencionais.
Os SSD utilizam duas tecnologias diferentes dos HDs, a primeira é a MLC
(Multi Level Cell), ou seja Célula Multi Nível, em que uma única célula pode
armazenar dois bits. Onde tem o custo mais baixo e são mais compactos, por outro
lado tem baixo desempenho comparado coma a próxima tecnologia a SLC e tem a
vida útil de apenas 10.000 ciclos de escrita. A segunda tecnologia a SLC (Single
Level Cell), ou seja Célula de Nível Único, essa tecnologia armazena em uma célula
apenas um bit, porem são mais caras com um custo maior, contudo bem mais
eficazes e mais rápidas, tendo uma vida útil de 100.000 ciclos de escrita.
Porém, sobre qual ferramenta para produção de Imagens forense deve ser
usada, isso vai de cada pessoa, temos que levar em conta qual a ferramenta em
que o perito esta apto a trabalhar a que ele esteja mais familiarizado, e claro que
atenda todas as necessidades, e todos do laboratório devem entrar em um comum
acordo e aceitarem as ferramentas, tudo isso registrado e documentado criando um
Procedimento Operacional Padrão (POP), criando rotinas e caminhos para se seguir
corretamente.
8.1.1 Usando o DD: uma ferramenta de comando
O DD conhecido como uma ferramenta de aquisição de imagens através de

comandos via terminal, uma ferramenta muito simples para se usar porem muito
poderosas. Ela é bem simples e requer mínimos recursos para se usar, não
contendo alguns recursos que contem em ferramentas mais atuais como para coleta
50
de metadados funções para correções de erros. Na ferramenta DD os arquivos de

imagens são gerados do tipo RAW, que conseguem ser lidos por vários outros
programas. Na figura 8, conseguimos ver a aquisição de uma imagem usando o DD
e seus comandos.
Figura 8 – Aquisição de uma imagem usando o DD
A sua sintaxe é de fácil uso e básica, através dos comandos podemos

solicitar onde salvar e onde buscar assim que preciso, mais para tudo isso
precisamos criar os diretórios para armazenar os dados arquivos recuperados, para
isso podemos usar as seguintes sintaxe “mkdir (nome do diretório)” no caso da
imagem usamos o nome recuperação, então será da seguinte forma “root@linux:/#
mkdir recuperação”, “root@linux:/# cd recuperacao”, “root@linux:/recuperar#”, pronto
criado o diretório.
Podemos usar os seguintes comandos, “dd if=/dev/sdc of=image.img” uma
das sintaxes a usada na imagem foi a sintaxe, “ dd_rescue –r /dev/sdc imagem.img
–l log.txt” onde dd_rescue –r /dev/sdc é o disco a ser copiado e imagem.img é a
imagem do disco e o log.txt os arquivos, tudo isso sendo direcionado e criado no
destino /home/usuário/recuperação, tudo isso sendo criado com super usuário e
após criar o local de destino. Podemos ver na imagem a seguir, os dados salvos e
as imagens criadas pela ferramenta DD.
51
Figura 9 – Arquivos de imagem e Log criados com o DD
8.1.2 Foremost
O Foremost é uma excelente ferramenta para recuperação de dados, foi

desenvolvida por dois agentes do grupo especial da Força Aérea dos EUA, e logo
depois modificado por um pesquisador naval, que tornou a ferramenta mais eficaz e
com tempo de resposta melhor. Esse console trabalha com base em cabeçalhos,
rodapés também as estruturas de informações internas. Com ele podemos trabalhar
em arquivos de imagens criados por ferramentas como o DD, Encase, Safeback
entre outros, mas também podemos trabalhar direto na unidade. Na figura a seguir
podemos ver o comando sendo executado, para a busca de arquivos.
52
Figura 10 – Foremost recuperando arquivos de imagem

53
9 CONCLUSÃO
54
REFERÊNCIAS
BARRETO, A. G.; BRASIL, B. S. Manual de Investigação Cibernética: à luz do

Marco Civil da Internet. São Paulo: Brasport, 2016.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias,

direitos e deveres para o uso da Internet no Brasil. Diário Oficial [da] República
Federativa do Brasil, Poder Executivo, Brasília, DF, 23 abr. 2014.
CÂMARA DOS DEPUTADOS. E-Democracia. 2018. Disponível em:

<https://edemocracia.camara.leg.br/>. Acesso em: 02 mar. 2018.
CASSANTI, M. de O. Crimes Virtuais, Vítimas Reais. Rio de Janeiro: Brasport,

2014.
CHEMELLO, E. Ciência Forense: impressões digitais – química virtual. 2006.

Disponível em: <http://www.quimica.net/emiliano/artigos/2006dez_forense1.pdf>.
Acesso em: 21 maio 2017.
CULTURA DIGITAL. Marco Civil da Internet entra em vigor. 2014. Disponível em:
<http://culturadigital.br/marcocivil/>. Acesso em: 02 mar. 2018.
DEITEL, H. M.; DEITEL, P. J.; CHOFFNES, D. R. Sistemas Operacionais. 3. ed.

São Paulo: Pearson Prentice Hall, 2005.
ELEUTÉRIO, P. M. da S.; MACHADO, M. P. Desvendando a Computação

Forense. São Paulo: Novatec, 2011.
INFOCRIME COMPUTAÇÃO FORENSE. A Timeline e Metadados de Data e Hora.

2011. Disponível em: <https://www.infocrime.com.br/?s=METADADOS>. Acesso em:
28 fev. 2018.
LEMOS, R. O Marco Civil como símbolo do desejo por inovação do Brasil. In: LEITE,
G. S.; LEMOS, R. Marco Civil da Internet. São Paulo: Editora Atlas, 2014.
MARQUES, J. A. et al. Sistemas Operacionais: estudos de caso em Unix, Linux e

Windows. Adaptação e Revisão Técnica: Edgar Toshiro Yano. Rio de Janeiro: LTC,
2011.
MICHAELIS. Dicionário Escolar Língua Portuguesa. São Paulo: Melhoramentos,

2010.
MICROSOFT. Visão Geral dos Sistemas de Arquivos FAT, HPFS e NTFS. 2017.
Disponível em: <https://support.microsoft.com/pt-br/help/100108/overview-of-fat-
hpfs-and-ntfs-file-systems>. Acesso em: 26 fev. 2018.
NATIONAL WHITE COLLAR CRIME CENTER. About us. 2018. Disponível em:
<https://www.nw3c.org/>. Acesso em: 03 mar. 2018.
55
NTFS. Fonte de Informação completa: sistema de arquivos NTFS e FAT e

recuperação de dados. 2010. Disponível em: <http://www.ntfs.com/ntfs-mft.htm>.
Acesso em: 28 fev. 2018.
OLIVEIRA, N. M. C. C.; MORGADO, M. Crimes Cibernéticos. São Paulo: Livraria

do Advogado Editora, 2016.
RFC. Guidelines for Evidence Collection and Archiving – Network Working

Group D. Brezinski Category: Best Current Pratice neart.org. 2002. Disponível em:
<http://www.faqs.org/rfcs/rfc3227.html>. Acesso em: 13 jul. 2017.
ROCHA, C. G. de. Perícia Forense Computacional. 2018. Disponível em:

<http://diatinf.ifrn.edu.br/prof/lib/exe/fetch.php?media=user:1379492:pericia_forense_
computacional:1-introducao-definicoes.pdf>. Acesso em: 03 mar. 2018.
SCHWEITZER, D. Incident Response: Computer Forensics Toolkit. Indianapolis,

EUA: Wiley, 2003.
VENEMA, D. F. W. Perícia Forense Computacional: teoria e prática aplicada. São

Paulo: Pearson Prentice Hall, 2007.

TCC Renato de Matos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

TCC Renato de Matos

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE PAULISTA

RENATO ETERNO DE MATOS

Trabalho de Conclusão de Curso para

Orientador: Prof. Ricardo Vila Verde

Trabalho de Conclusão de Curso para

Aprovado em: _____/______/_________

Dedico o presente estudo à minha família; em especial, à minha mãe,

Primeiramente, agradeço a DEUS, por ser a base das minhas conquistas.

À minha mãe Carmelita Alves e à minha família, por acreditarem e terem

Ao professor Ricardo Vila Verde, pela dedicação em suas orientações,

A recuperação de dados, sensíveis ou comuns, é imprescindível, em especial nos

Palavras-chave: Estudo de Caso. Forense computacional. Forense digital. Técnicas

Keywords: Case study. Digital forensics. Computational forensics. Digital traces.

Figura 1 – Plataforma digital: Marco Civil da Internet............................................ 21

CAINE - Computer Aided Investigative Environment

Na atualidade, podemos observar o grande aumento da tecnologia no nosso

Já se encontra bastantes ferramentas no mercado para análise de incidentes,

Tem como dever examinar vestígios e produzir laudos, através de um

Neste projeto iremos mostrar a funcionalidade desses softwares que tem

3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL

Iniciada no Brasil nos anos 90 a revolução tecnológica sempre em constante

No ambiente virtual, as pessoas pode se relacionar com as outras, trabalhar,

3.1 O Direito Digital no Brasil

Segundo Barreto e Brasil (2016), temos uma problemática que se apresenta

Também temos no panorama legal digital brasileiro a Lei nº 12.965/2014 –

3.2 Marco Civil da Internet

Para se criar uns princípios, garantias, direitos e deveres de todos visando o

A Situação pré-Marco Civil era de completa ausência de regulamentação

Podemos encontrar na Lei nº 12.965 (Marco Civil da Internet), alguns

Temos no Capítulo I (Disposições Preliminares) da Lei nº 12.965/2014, tem-se

3.2.1 Histórico do Marco Civil da Internet no Brasil

O projeto do Marco Civil da Internet foi iniciado com a parceria da Secretaria

Figura 1 – Plataforma digital: Marco Civil da Internet

Fonte: Cultura Digital, 2014.

Essa iniciativa brasileira de criar uma Plataforma Digital resultou em milhares

Foi encaminhado à Câmara dos Deputados a proposta, através da mensagem

Figura 2 – Plataforma Digital: e-Democracia

Fonte: Câmara dos Deputados, 2018.

Ao chegar na Câmara, discutia-se o Projeto de Lei nº 84/99, sendo este

Foi levantada a questão da necessidade de se discutir o projeto por mais

A forense computacional prioriza estudar, desenvolver técnicas e ferramentas

O local onde supostamente ocorreu a infração penal conhecido como local do

Dependendo da situação encontrada pode recomendar, ainda interromper as

Fonte: National White Collar Crime Center, 2018.

Depois de realizar todas as providências, devem ser coletados os

armazenamento digitais, de interesse à Forense Computacional essas fases

Podemos encontrar vários pontos favoráveis envolvidos no caso, mas temos

Tem como objetivo garantir que as informações armazenadas no material,

Na análise dos dados, será examinado as informações extraídas, a separação

Formalização, a fase final do exame forense, consiste na elaboração do laudo

6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE

Uma evidência digital refere se a qualquer informação digital capaz de

6.1 Diretrizes para coleta de provas com a RFC 3227

técnicos, fabricantes, agências, pesquisadores e fornecedores, que tem a

 Importante não alterar nenhum dado e se possível comunicar os órgãos

6.2 Volatilidade dos dispositivos e sua ordem

A coleta de evidências, ou busca por elas é o que vai determinar o fator de

6.2.1 Processos de execução armazenados pela CPU

Os processos armazenados pela Central Process Unit (CPU) são de mínima

6.2.2 Memória de periféricos

Os periféricos podem ser denominados como aparelhos ou placas que

6.2.3 Memória principal do sistema

É fundamental uma análise da memória principal do sistema ativo, com essa

sendo assim quando se desliga o equipamento, todos os dados presentes são

Aprovado em: _//_______