Computação Forense Trabalho de Conclusão de Curso

UNIVERSIDADE PAULISTA
RENATO ETERNO DE MATOS
FORENSE COMPUTACIONAL:
Ferramentas Open Source e Análises de Mídias
GOIÂNIA
2018
Trabalho de Conclusão de Curso para

obtenção do título de Graduação em Ciências
da Computação, apesentado à Universidade
Paulista (UNIP), Câmpus Goiânia.
Orientador: Prof. Ricardo Vila Verde
GOIÂNIA
2018
(inserir ficha catalográfica)
Trabalho de Conclusão de Curso para

obtenção do título de Graduação em Ciências
da Computação, apesentado à Universidade
Paulista (UNIP), Câmpus Goiânia.
Aprovado em: _____/______/_________
BANCA EXAMINADORA
_______________________/__/___
Prof. Nome do Professor
Universidade Paulista – UNIP
_______________________/__/___
Universidade Paulista – UNIP
_______________________/__/___
Universidade Paulista UNIP
DEDICATÓRIA
Dedico o presente estudo à minha família; em especial, à minha mãe,

Carmelita Alves da Silva, e à minha esposa, por terem me dado forças nesta
jornada.
AGRADECIMENTOS
Primeiramente, agradeço a DEUS, por ser a base das minhas conquistas.
À minha mãe Carmelita Alves e à minha família, por acreditarem e terem

interesse em minhas escolhas, apoiando-me e esforçando-se comigo, para que eu
suprisse todas elas.
Ao professor Ricardo Vila Verde, pela dedicação em suas orientações,

sempre me incentivando e colaborando no desenvolvimento de minhas ideias.
“O remédio para nossas preocupações
consiste em estar inteiramente ocupado,
realizando alguma coisa construtiva”.
(Maria Zownseand)
RESUMO
A recuperação de dados, sensíveis ou comuns, é imprescindível, em especial nos

dias de hoje, devido ao enorme uso de equipamentos de armazenamento de dados.
Esse procedimento é comum entre os usuários, sejam estes pessoas físicas ou
jurídicas, que têm os seus arquivos perdidos por acidentes, sejam investigadores
forenses1 em busca de evidências e/ou pistas de crimes, digitais ou não. Diante
disso, o presente estudo abordou o crescimento e a necessidade da Ciência
Forense e seus mentores, além da Computação Forense – surgimento e definições.
Ademais, foram discutidos os principais tipos de crimes, exames forenses,
equipamentos e meios computacionais utilizados como ferramentas de apoio aos
crimes digitais. Para tanto, analisou-se a ferramenta Open Source (Código aberto)
para mídias (discos rígidos, pen drivers, entre outros): como e em que cenário
podem ser usadas, e quais os resultados podem ser obtidos. Os principais conceitos
e definições foram extraídos de livros, revistas especializadas, sites e artigos
relacionados com o tema, bem como de outros trabalhos com conteúdos similares.
Procedeu-se, também, a um estudo de caso, com a aplicação prática de uma de
uma das técnicas Open Source e o seu impacto na perícia forense.
Palavras-chave: Estudo de Caso. Forense computacional. Forense digital. Técnicas

e ferramentas forenses. Vestígios digitais.
1
Encontrado no dicionário Michaelis da Língua Portuguesa (2010), a palavra Forense significa: “Que
se direciona ao foro judicial/Relativo aos tribunais”.
ABSTRACT
Sensitive or common data recovery is very much needed nowadays due to the huge
use of data storage equipment. This procedure is widely used by ordinary users,
whether individuals or corporations, who have their files lost through accidents, as
well as forensic investigators in search of evidence and / or clues to crimes, whether
digital or not. In this paper we discuss the growth and the need for forensic science
and its mentors, also concepts of Forensic Computing, its birth and its definitions,
current and computational forensic science, topics of Antiforense activities, also the
main types of crimes are discussed and forensic examinations, computer equipment
and media used as tools to support digital crimes, we will deepen the analysis of
Open Source tools for forensics in media (hard drives, pen drivers, among others)
how and in what scenario they can be used, and what results the gains and losses
can have, also showing the great damage that data breach can bring to our lives.
This information was collected in books, specialized magazines, websites and
articles related to the theme and other works with similar contents. In addition to a
case study with the practical application of one of these Open Source techniques and
the impact of this on forensic expertise.
Keywords: Case study. Digital forensics. Computational forensics. Digital traces.

Forensic techniques and tools.
LISTA DE FIGURAS
Figura 1 – Plataforma digital: Marco Civil da Internet............................................ 21

Figura 2 – Plataforma digital: e-Democracia......................................................... 22
Figura 3 – COFEE................................................................................................. 26
Figura 4 – Esquema físico de um disco................................................................. 36
Figura 5 – Estrutura MTF....................................................................................... 40
Figura 6 – CAINE 9.0 - Computer Aided Investigative Environment..................... 42
Figura 7 – Interface Gráfica WinTaylor 2.5............................................................ 43
Figura 8 – Aquisição de uma imagem usando o DD............................................. 45
Figura 9 – Arquivos de imagem e Log criados com o DD..................................... 46
Figura 10 – DCFLDD: localização dos discos....................................................... 47
Figura 11 – DCFLDD: criação de imagem e registro Hash Sha 1......................... 48
Figura 12 – DCFLDD: imagem criada no diretório usuário.................................... 48
Figura 13 – GUYMAGER 0.8.4.............................................................................. 49
Figura 14 – GUYMAGER clonando imagem de disco........................................... 50
Figura 15 – GUYMAGER duplicando imagem....................................................... 50
Figura 16 – Autopsy: interface inicial..................................................................... 52
Figura 17 – Autopsy: análise de imagem............................................................... 52
Figura 18 – Autopsy: análise e localização de imagem......................................... 53
Figura 19 – Foremost recuperando arquivos de imagem...................................... 54
LISTA DE ABREVIATURAS E SIGLAS
CAINE - Computer Aided Investigative Environment

CDC - Código de Defesa do Consumidor
COFEE - Computer Online Forensic Evidence Exractor
CP - Código Penal
CPP - Código de Processo Penal
CPU - Central Process Unit
ECA - Estatuto da Criança e do Adolescente
EUA - Estados Unidos da América
FAT - File Allocation Table
HPFS - High Performance File System
IBGE - Instituto Brasileiro de Geografia e Estatísticas
IETF - Internet Engineering Task Force
MFT - Master File Table
MLAT - Mutual Legal Treaty
MLC - Multi Level Cell
NTFS - New Technology File System
PDA - Personal Digital Assistant
POP - Procedimento Operacional Padrão
POSIX - Portable Operating System Interface
RAM - Random Acces Memory
RFC - Request for Comments
SAL-MJ - Secretaria de Assuntos Legislativos do Ministério da Justiça
SLC - Single Level Cell
SO - Sistemas Operacionais
SSD - Solid Slate Drive
TI - Tecnologia da Informação
UCT -Universal Time Coordnated
URL - Uniform Resource Locator
www - World Wide Web
SUMÁRIO
1 INTRODUÇÃO.................................................................................................... 13
2 METODOLOGIA................................................................................................. 15
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL............................ 16
3.1 O Direito Digital no Brasil............................................................................. 17
3.2 Marco Civil da Internet.................................................................................. 19
3.2.1 Histórico do Marco Civil da Internet no Brasil............................................... 20
4 CIÊNCIA FORENSE........................................................................................... 23
5 FORENSE COMPUTACIONAL.......................................................................... 24
5.1 Identificação.................................................................................................. 27
5.2 Preservação.................................................................................................... 27
5.3 Análise............................................................................................................ 28
5.4 Formalização.................................................................................................. 28
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE
ARMAZENAMENTO............................................................................................. 29
6.1 Diretrizes para coleta de provas com a RFC 3227..................................... 29
6.2 Volatilidade dos dispositivos e sua ordem................................................ 31
6.2.1 Processos de execução armazenados pela CPU......................................... 31
6.2.2 Memória de periféricos................................................................................. 32
6.2.3 Memória principal do sistema....................................................................... 32
6.2.4 Tráfego e dados de rede.............................................................................. 33
6.2.5 Estado e conexões de rede.......................................................................... 33
6.2.6 Estado do sistema operacional................................................................... 33
6.2.7 Sistema de arquivos..................................................................................... 34
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS............................................. 35
7.1 As características do NTFS.......................................................................... 38
7.2 Estrutura do sistema NTFS........................................................................... 39
7.3 MAC Times ou metadados do sistema de arquivos................................... 40
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS........ 42
8.1 Coleta de evidências em máquinas Post Mortem Analisys............................ 44
8.1.1 Usando o DD: uma ferramenta de comando............................................... 45
8.1.2 GUYMAGER: captura de imagens............................................................... 48
8.1.3 Análise com The Sleuth Kit (TSK) e Autopsy.............................................. 51
8.1.4 Foremost...................................................................................................... 53
8.1.5 Aquisição de imagem de memória RAM...................................................... 54
9 CONCLUSÃO..................................................................................................... 56
REFERÊNCIAS..................................................................................................... 57
13
1 INTRODUÇÃO
Na atualidade, verifica-se o aumento do uso de tecnologia no dia a dia das

pessoas. O acesso à internet está cada vez mais facilitado, e atinge pessoas de
diversas faixas etárias. Por meio dessa rede é possível fazer compras, vender, se
comunicar etc.; economiza-se tempo e recursos. Importa mencionar que isso
aprimorou a forma de trabalho das empresas; as redes sociais possibilitaram às
pessoas interagirem com mais facilidade. Contudo, esse avanço tecnológico facilitou
também a atuação de criminosos, que conseguiram promover meios para
cometerem crimes virtuais. Nota-se que é expressivo o número de crimes praticado
na internet, devido à facilidade e à fragilidade encontrada na rede (BARRETO;
BRASIL, 2016).
Tendo em vista a escassez de proteção contra determinados tipos de crimes,
foram criadas formas e ferramentas para proteger os internautas. Mesmo assim, os
criminosos – cada vez mais especializados – conseguem praticar tais atos. Diante
disso, um novo campo da área da Tecnologia da Informação (TI) vem sendo
constantemente solicitado: a Forense Computacional, que conta com profissionais
especialistas e capacitados para esses serviços. Nota-se que há a necessidade de
identificar, mensurar e registrar esses tipos de atividades, que, em geral, são
chamadas de incidentes de segurança, para que se possa tomar medidas de forma
a evitar ou a reduzir os seus efeitos.
Portanto, a Forense Computacional tem como objetivo determinar a dinâmica,
a materialidade e a autoria de ilícitos ligados à tecnologia. A principal função dessa
área é a identificação e o processamento de evidências e dados digitais em
materiais de crime, por meio de métodos técnico-científicos, a fim de trazer à tona a
veracidade e garantir a legitimidade, para a validação em juízo.
No mercado, há várias ferramentas para análise de incidentes. Porém, devido
ao alto custo, a aquisição desses softwares fica restrita a alguns profissionais da
tecnologia da informação, dificultando a aquisição de licenças dessas ferramentas.
Ressalta-se que, além dos softwares pagos, há as ferramentas livres de códigos
abertos ou sistemas gratuitos. Os mais variados tipos de ferramentas são
encontrados para os Sistemas Operacionais (SO). Esses softwares trabalham
sozinhos ou agrupados. Além disso, são encontradas dezenas ou até centenas de
14
ferramentas para os mais diversos tipos de análises de incidentes, sem custo para o
profissional de TI (ELEUTÉRIO; MACHADO, 2011).
Entende-se como software livre, toda ferramenta livre e gratuita que possa ser
usada, independentemente do sistema operacional, podendo ser reutilizada,
distribuída e armazenada, sem qualquer restrição ou cobrança.
Algumas ferramentas são acompanhadas, em sua distribuição, de algum tipo
de licença específica. Dependendo do tipo de licença, disponibiliza-se também o
código fonte, sendo possível fazer qualquer modificação ou comercialização. No
caso dos softwares livres, em sua maioria, a disponibilidade é somente para o uso.
Esclarece-se aqui que, Ciência Forense, significa “a aplicação de princípios
das ciências físicas ao direito na busca da verdade em questões cíveis, criminais e
de comportamento social para que não se comentam injustiças contra qualquer
membro da sociedade” (MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE
PATOLOGISTAS AMERICANOS, 1990 apud ROCHA, 2018, s. p.).
Por sua vez, a Forense Computacional:
Tem como dever examinar vestígios e produzir laudos, através de um

profissional portador de diploma e legalmente habilitado, ‘destinada a
determinar a dinâmica, a materialidade e autoria de ilícitos ligados à área de
informática, tendo como questão principal a identificação e o processamento
de evidências digitais em provas materiais de crimes, por meio de métodos
técnico-científicos, conferindo-lhe validade probatória em juízo’
(ELEUTÉRIO; MACHADO, 2011, p. 16-17).
15
2 METODOLOGIA
Neste estudo será apresentada a funcionalidade dos softwares que objetivam

garantir a busca de informação armazenada, por meio de duplicação, do
espelhamento ou imagem, usando técnicas, como bloqueadores de escrita,
realização da cópia, assinaturas, Data Carving, palavra-chave, navegação de
pastas, esteganografia, entre outras.
Portanto, intenta-se com este estudo apresentar um novo enfoque da Perícia
Computacional, ao mostrar como é a atuação e os métodos usados pelos peritos na
fase de um processo de investigação cuidadoso e sistemático. Salienta-se que, para
uma atuação bem sucedida, alguns passos devem ser seguidos dentro dos aspectos
jurídicos presentes, a saber: preservação, extração, análise e formalização.
16
3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL
Iniciada no Brasil nos anos 1990, a revolução tecnológica possibilitou o uso

da tecnologia da informação e do conhecimento por meio do ambiente virtual ou
ciberespaço, o que permitiu quebrar barreiras e suprir fronteiras, atingindo milhões
de pessoas, com um único click, em qualquer lugar do mundo e ao mesmo tempo
(BARRETO; BRASIL, 2016).
A internet é importante no dia a dia das pessoas, seja para entretenimento,
seja para estudo ou trabalho, visto que aperfeiçoou a distribuição de informações e
conhecimentos. Portanto, é uma ferramenta imprescindível para economia de
tempo, atividades rotineiras, transações importantes, vendas e compras,
aumentando os benefícios e diminuindo os custos (BARRETO; BRASIL, 2016).
Nesse contexto virtual, diversos conceitos úteis foram surgindo, como o
Protocolo, que é um conjunto de regras padronizadas que especificam o formato, a
sincronização e a verificação de erros em comunicação de dados, permitindo
formação de uma rede mundial de computadores, a World Wide Web (www). Esta
possui grandes pacotes de dados, em formato de texto ou mídia (imagens e
arquivos de áudio e vídeo), compilados de modo que se possa navegar na rede a
partir de interligações (links) entre blocos, vinculados por parâmetros de busca: os
sites, que são páginas na internet; os browsers, que são programas de navegação
na rede, como Mozila, Firefox, Internet Explorer, etc. Há também o Uniform
Resource Locator (URL), que nada mais é que o endereço do site, devendo este ser
colocado no browser de navegação.
Nota-se que a extinção das fronteiras fez com que a multiplicidade de
receptores no mundo virtual aumentasse, visto que a informação pode atingir
milhões de pessoas instantaneamente, ou seja, tudo poder ser transmitido em tempo
real, on-line (BARRETO; BRASIL, 2016).
Toda essa revolução tecnológica exige que equipamentos, computadores,
meios de transmissão, enfim, tudo que se relaciona com a tecnologia, se aperfeiçoe
continuamente. Foi por meio da evolução de hardwares e softwares que a
comodidade oferecida pela tecnologia invadiu o cotidiano das pessoas.
Em 1965, Gordon Moore propôs uma lei audaciosa para a época, dizendo que
o número de transistores que podiam ser impressos em uma pastilha (futuro
processador de um computador) dobrava a cada ano. Essa lei proposta por Moore
17
vigora, praticamente, até os dias atuais; porém, os transistores não duplicam a cada
ano, e sim, aproximadamente, a cada 18 meses. Essa lei impacta diretamente a
evolução tecnológica, visto que os computadores vêm se tornando cada vez
menores, mais rápidos e eficientes no consumo de energia; e estão presentes em
empresas, escolas, casas etc. (ELEUTÉRIO; MACHADO, 2011).
A internet é como uma grande praça pública; o maior espaço coletivo do
planeta, sendo um conjunto de redes de comunicação em escala mundial, que
dispõe de milhões de computadores interligados pelo protocolo de comunicação
TCP/IP, permitindo o acesso a informações e a todo tipo de dados no ambiente
virtual. Esse ciberespaço apresenta uma variedade de recursos e serviços. Diante
disso, a segurança digital não está garantida (CASSANTI, 2014).
Sabe-se que a utilização de meios tecnológicos facilita a vida das pessoas.
Contudo, o uso indiscriminado e sem cuidados pode trazer prejuízos. Qualquer
pessoa, em qualquer lugar do mundo, a partir do momento em que se conecta à
internet, corre o risco de acessar a conteúdos em páginas publicadas por
criminosos.
De acordo com o Instituto Brasileiro de Geografia e Estatísticas (IBGE),
metade dos brasileiros usa a internet; está conectada, de uma forma ou de outra,
tanto no trabalho como na rua ou em casa. Isso significa que mais de 100 milhões
de pessoas usam a internet no país, sendo o Brasil o quinto país no mundo com o
maior número de usuários de internet (OLIVEIRA; MORGADO, 2016).
No ambiente virtual, as pessoas podem se relacionar com as outras,
trabalhar, comprar, divertir-se. Porém, muitas podem se tornar vítimas de diversos
criminosos, cada vez mais especialistas em crimes virtuais. Desse modo, ressalta-se
que quanto mais informações o usuário tiver acerca do uso seguro dos meios
tecnológicos, menos vulnerável será na rede. A própria internet ensina os usuários a
se defenderem de fraudes, furtos de identidade, invasões de contas bancárias,
clonagens de cartões etc. (BARRETO; BRASIL, 2016).
3.1 O Direito Digital no Brasil
Nesse contexto, segundo Barreto e Brasil (2016), uma problemática se

apresenta: são mais de 117 milhões de usuários de internet no território Brasileiro,
alcançando 57,6% de penetração na população, com um crescimento equivalente a
18
mais de 2.253,1% no período compreendido entre os anos 2000 e 2015, havendo

uma tentativa de fraude a cada 16,6 segundos no país, sendo 141.008 tentativas,
cerca de 4,7 mil por dia, segundo levantamento feito pela Serasa Experian, em abril
de 2015. Salienta-se que a regulamentação legal no território Brasileiro acerca das
relações no ambiente virtual é feita pela Constituição da Republica Federativa do
Brasil de 1988.
A Constituição prevê, em diversos dispositivos, princípios e garantias do uso
da tecnologia pelos cidadãos em suas diversas relações e para o desenvolvimento
do país (arts. 1º, 2º, 3º, 4º, 5º, 6º, 215, 218, 219, 220 e outros.), visando, assim,
garantir a liberdade e os direitos fundamentais dos indivíduos no ciberespaço,
permitindo-lhes participação democrática nele e fora dele (BARRETO; BRASIL,
2016).
A Islândia atuou como vanguarda em termos de democracia e colaboração. A
população do país participou da elaboração do texto constitucional, por meio de
canais e redes sociais na internet, no ano de 2012. O texto foi aprovado; porém,
posteriormente, o parlamento o rejeitou (BARRETO; BRASIL, 2016).
Essa maneira democrática colaborativa, em que a voz do povo ganha força
por meio da disseminação do uso da internet, reflete em países como Irlanda,
Bélgica, Holanda, Canadá e Brasil, onde os protestos e manifestações de
insatisfações políticas intensificam-se no mundo virtual.
No panorama legal digital brasileiro, tem-se o Marco Civil da Internet, Lei n.
12.965/2014, a qual será vista mais detalhadamente; o Código de Defesa do
Consumidor (CDC), com as alterações introduzidas pelo Decreto n. 7.962, de 15 de
março de 2013, que trata do comércio eletrônico; o Estatuto da Criança e do
Adolescente (ECA), legislação avançada que tipifica os crimes de pornografia
infanto-juvenil praticados em/com dispositivos eletrônicos; a Lei de Interceptações
Telefônicas e Telemáticas, n. 9.296/96; a Lei do Software, n. 9.608/98; o Código
Penal (CP), com as alterações introduzidas pelas Leis n. 12.735/2012 e n.
12.737/2012; o Código de Processo Penal (CPP); entre outros dispositivos.
No que se refere à cooperação internacional, destacam-se: o Acordo de
Assistência Judiciária em Matéria Penal entre o Governo da República Federativa do
Brasil e o Governo dos Estados Unidos da América (MLAT – Mutual Legal Treaty) e
19
o Decreto n. 3.810, de 02 de maio de 2001. Há também a Convenção de

Budapeste2, da qual o Brasil não é signatário (BARRETO; BRASIL, 2016).
3.2 Marco Civil da Internet
Tendo em vista a promoção de princípios, garantias, direitos e deveres de

todos, visando ao uso da internet no Brasil, foi aprovada a Lei n. 12.965, de 23 de
abril de 2014, também conhecida como Marco Civil da Internet, com o objetivo de
pôr um fim na ausência de disciplina legal no ciberespaço.
A Situação pré-Marco Civil era de completa ausência de regulamentação

civil da internet no país. Ao contrário do que alguns entusiastas libertários
poderiam achar, a ausência de leis nesse âmbito não representa a vitória da
liberdade e do laissez-faire. Ao contrário, gera uma grande insegurança
jurídica. Uma das razões é que juízes e tribunais, sem um padrão legal para
a tomada de decisões sobre a rede, acabam decidindo de acordo com
regras muitas vezes criadas ad hoc, ou de acordo com as suas próprias
convicções, resultando em inúmeras decisões judiciais contraditórias
(LEMOS, 2014, p. 10).
Encontra-se na Lei n. 12.965 alguns capítulos fundamentais para o uso da

internet. No Capítulo I (Disposições Preliminares), o art. 2º apresenta os
fundamentos da disciplina do uso da internet no Brasil; o art. 3º traz conceitos
fundamentais à compreensão da norma legal. No Capítulo II, são apresentados os
direitos (art. 7º) e garantias (art. 8º) dos usuários. No Capítulo III, a Seção I trata da
Neutralidade de Rede; a Seção II refere-se à Proteção e aos Registros, aos Dados
Pessoais e às Comunicações Privadas, englobando a Guarda de Registros de
Conexão, a Guarda de Registros de Acesso a Aplicações de Internet não Provisão
de Conexão e a Guarda de Registros de Acesso a Aplicações de Internet na
Provisão de Aplicações; a Seção III prevê a Responsabilidade por Danos
Decorrentes de Conteúdo Gerado por Terceiros; e a Seção IV, a Requisição Judicial
de Registros. Já o Capítulo IV mostra as metas e diretrizes aplicáveis ao Poder
Público quanto ao desenvolvimento da internet no Brasil (BRASIL, 2014; BARRETO;
BRASIL, 2016).
Importa mencionar que o Marco Civil visa à tutela dos direitos civis na
internet, tendo sua aplicação no Direito Penal e Processual Penal, uma vez que
2
Convenção do Conselho Europeu sobre o Cibercrime, firmada em Budapeste, Hungria, em 23 de
novembro de 2001.
20
estabelece conceitos fundamentais, bem como disciplina, como forma de obtenção

de provas quanto à materialidade e à identificação da autoria delitiva (BARRETO;
BRASIL, 2016).
Destaca-se que os crimes ocorridos no ambiente virtual são reais e
preocupam muitos usuários. Uma vez cometido o cibercrime, vislumbra-se a
necessidade de identificação da autoria e a coleta de provas da materialidade,
sendo grandes as dificuldades nesse procedimento, desde a pouca infraestrutura
das unidades policiais à falta de qualificação técnica específica dos servidores, não
somente das polícias, mas também do Ministério Público e do Judiciário (BARRETO;
BRASIL, 2016).
Neste sentido, é mister conhecer as inovações trazidas pelo Marco Civil da
Internet para elucidar, com outros diplomas legais, a prática de crimes no
ciberespaço, com a consequente comprovação e responsabilização do infrator
3.2.1 Histórico do Marco Civil da Internet no Brasil
O projeto do Marco Civil da Internet iniciou-se com a parceria entre a

Secretaria de Assuntos Legislativos do Ministério da Justiça (SAL-MJ) e a Fundação
Getúlio Vargas, por meio do Centro de Tecnologia e Sociedade da Escola de Direito.
No começo, a proposta visou à garantia de direitos, e não restrições de liberdades. A
preocupação era a de que as primeiras iniciativas fossem para criminalizar os
usuários da internet, em virtude de vários projetos de lei que estavam em trâmite
Para debater iniciativas acerca do Marco Civil, foi criada uma plataforma,
hospedada em <http://culturadigital.br/marcocivil/>, como mostra a Figura 1. Nesse
ambiente, foram promovidos vários debates e acrescentadas várias contribuições, e
ocorreu em duas fases, a saber: na primeira, foram debatidas ideias com fulcro em
um texto preliminar produzido pelo Ministério da Justiça; já na segunda, discutiu-se
com base na minuta de um projeto de lei (BARRETO; BRASIL, 2016).
21
Figura 1 – Plataforma digital: Marco Civil da Internet
Fonte: Cultura Digital, 2014.
Essa iniciativa de criar uma Plataforma Digital resultou em milhares de

comentários e contribuições, que ajudaram a aperfeiçoar o texto do Marco Civil,
inclusive com as manifestações na rede, em microblogs, no Twitter e Ident.ca.
Assim, encaminhou-se à Câmara dos Deputados a proposta, por meio da
mensagem n. 326, denominada como Projeto de Lei n. 126, de 2011, que teve como
relator o deputado Alessandro Molon. Destaca-se que a participação popular foi
prioridade e se fez possível nessa fase por meio do e-Democracia, uma plataforma
criada para votação e comentários, conforme mostra a Figura 2 (BARRETO;
BRASIL, 2016).
22
Figura 2 – Plataforma Digital: e-Democracia
Fonte: Câmara dos Deputados, 2018.
Ao chegar à Câmara, discutiu-se o Projeto de Lei n. 84/99, sendo esse

responsável pela tipificação dos crimes cibernéticos. As discussões dos projetos
foram feitas em paralelo, apesar de, na época, se ter suscitado a discussão do
Marco Civil primeiro, em razão deste último traçar princípios, direitos e deveres do
usuário. Alguns pontos foram bem polêmicos na discussão do projeto, dentre eles: a
neutralidade da rede e a obrigação de empresas sediarem os Data Centers (centros
de processamento de dados) no Brasil, a fim de garantir que os dados fossem
armazenados no país de origem (BARRETO; BRASIL, 2016).
Em 12 de setembro de 2013, o Poder Executivo solicitou que o projeto de lei
fosse incluído no regime de urgência, por meio da mensagem n. 391, de 2013,
conferindo o prazo de 45 dias para a apreciação na Câmara dos Deputados. Depois,
ao ser enviado ao Senado, o projeto do Marco Civil foi aprovado por unanimidade.
Levantou-se a questão da necessidade de se discutir o projeto por mais
tempo, mas, na realidade, havia pressa para a aprovação, uma vez que o governo
objetivava a sanção da nova lei durante a abertura do Encontro Global Multissetorial
sobre o Futuro da Governança da Internet (NETmundial), no dia 23 de abril de
20143. No dia 23 de junho de 2014, o Marco Civil da Internet entrou em vigor, após
sessenta dias de vacatio legis (BARRETO; BRASIL, 2016).
3
Encontro realizado em São Paulo.
23
4 CIÊNCIA FORENSE
Ciência forense é uma área que abrange muitas disciplinas, tais como física,
biologia, química, matemática e várias outras ciências de fronteiras, que têm como
objetivo principal dar suporte às investigações relativas à justiça civil e criminal.
Recentemente, as pessoas começaram a perceber o valor da ciência forense no
desvendamento de crimes. Possivelmente, isso seja efeito da enorme quantidade de
informações recebidas diariamente, por meio de jornais, televisão, documentários,
internet e, até mesmo, ficção científica (CHEMELLO, 2006).
Os métodos usados para a identificação humana foram evoluindo através dos
tempos. Os babilônicos, por exemplo, em 2000 a. C., já usavam padrões de digitais
em barro, a fim de acompanharem documentos e de se prevenirem contra qualquer
tipo de falsificação. E os métodos foram evoluindo em todos os sentidos. Em outras
épocas, práticas de marcações com ferro e brasa e mutilações eram usadas para
identificar pessoas que praticavam crimes ou em escravos que fugiam de seus
donos. Nos Estados Unidos da América (EUA), por exemplo, o código de 1700
previa o emprego do ferrete e da mutilação em crimes de rapto ou roubo.
Posteriormente, tem-se o uso do sistema antropométrico (processo ou técnica de
mensuração do corpo humano ou de suas várias partes), introduzido em 1882 por
Alfonse Bertillon, Paris (CHEMELLO, 2006).
Menciona-se, aqui, a dermatoglifia, que é o nome dado aos estudos dos
padrões das cristas dérmicas, ou seja, dos desenhos encontrados nas extremidades
distais das faces ventrais dos quirodáctilos (ponta dos dedos), na face ventral das
mãos (palma da mão) e na face plantar das extremidades ventrais dos artelhos (sola
e dedos do pé); e a datiloscopia, que se refere às digitais presentes nas pontas dos
dedos, a qual é usada pelas autoridades em inquéritos ou acusada em processos.
Ressalta-se que a datiloscopia civil tem por objetivo a identificação de pessoas,
como nas cédulas de identidade. Isso mostra um avanço enorme na ciência forense,
que não para de se desenvolver (CHEMELLO, 2006).
24
5 FORENSE COMPUTACIONAL
A forense computacional prioriza estudar, desenvolver técnicas e ferramentas

capazes de efetuar investigações e análises de potenciais evidências digitais
(SCHWEITZER, 2003). Venema (2007) explica que a Teoria de Locard é o principal
fundamento para a Computação Forense. Conforme esse princípio, qualquer um ou
qualquer coisa que entra no local do crime leva consigo algo do local e deixa algum
rastro quando sai.
A Teoria de Locard ainda é válida e muito importante nos dias atuais. No
contexto da computação, sabe-se que qualquer Sistema Operacional que sofra
alteração ou tenha sido violado deixa rastros, e os vestígios poderão ser
identificados e rastreados. Para isso, exige-se uma análise forense, que pode ser
complexa, difícil ou, às vezes, simples. De qualquer forma, esse é um trabalho
detalhado e demorado. Por isso, necessita de tecnologias inovadoras para a
identificação e a coleta de evidências.
Neste sentido, é fundamental a procura de vestígios que comprovem a
invasão, a exclusão ou cópias de arquivos, bem como a alteração destes nos
sistemas de computadores. Para tanto, são usados softwares específicos, como:
ferramenta forense de dispositivos móveis ou discos; ferramenta forense de pacotes;
softwares de clonagem; ferramenta forense de logs, scanners; softwares de quebra
de senhas, entre outros.
A maioria dos profissionais da área possui esses softwares. Na posse de
todas essas ferramentas, o perito é capaz de fazer vários procedimentos, como:
análise de memórias que apresentam informações de endereços em hexadecimal e
de interrupções de processos conhecidos como dumpers; análise de códigos de
programas (debugers) ou logs de arquivos de sistemas, podendo expandir nas
várias partes que se encontra em um sistema operacional (Unix, Linux ou Windows).
O profissional da computação forense precisa ter um conhecimento
específico, voltado para a utilização dos métodos e das técnicas, para que todos os
resultados obtidos sejam exatos ou mais próximos do real (ELEUTÉRIO;
MACHADO, 2011).
O local onde supostamente ocorreu a infração penal, conhecido como local do
crime, guarda as provas que permitem esclarecer a autoria (quem), a dinâmica
(como) e a materialidade (o que aconteceu) do delito. Por isso, é extremamente
25
importante preservar e guardar bem o local. Ressalta-se, também, em um contexto

de crime, o mandado de busca e apreensão, que é uma ordem judicial que deve ser
cumprida. Nela consta o proposto à apreensão de pessoas ou objetos que seja de
importância e de interesse da justiça (ELEUTÉRIO; MACHADO, 2011).
Tanto com relação ao local quanto ao mandado de busca e apreensão,
cuidados especiais devem ser tomados durante a coleta dos vestígios digitais, visto
que estes são extremamente sensíveis e podem ser perdidos facilmente. Um erro
será fatal para a perda de dados ou a sua destruição. O impacto, a umidade, a
imersão em água ou qualquer outro líquido, o calor excessivo, o atrito e o
eletromagnetismo são apenas alguns exemplos que podem causar a perda de
informações digitais. Assim sendo, o perito, ao chegar ao local de um eventual
delito, tem a função de realizar o reconhecimento do ambiente, identificando os
equipamentos tecnológicos, incluindo computadores, notebooks, pontos de acesso
de redes e outros. Com base nisso, algumas providências devem ser tomadas para
a preservação dos dados digitais, quais sejam:
 Impedir que pessoas estranhas à equipe utilizem os equipamentos de
informática ali encontrados sem a autorização/supervisão do perito.
 Não ligar equipamentos computacionais que já se encontram desligados.
Dependendo da situação encontrada, o perito pode interromper as conexões

de rede eventualmente existentes, retirar a fonte de energia dos equipamentos
computacionais – exceto quando se tem a possibilidade de flagrante delito –, quando
perceber o envio de dados, fotos, vídeos ou a utilização da rede para tal fim. Nesse
caso, sugere-se ao perito utilizar fotos, vídeos, anotações etc. para melhor
documentação do flagrante (ELEUTÉRIO; MACHADO, 2011).
Em alguns casos, quando o computador estiver ligado, o perito pode também
copiar os dados da memória RAM (Random Acces Memory) antes de desligá-lo. A
memória RAM é volátil, e seus dados são perdidos ao desligar o computador; por
isso, muitas vezes, a necessidade de cópia. Caso o perito suspeite de vestígios que
estão contidos nesse tipo de memória, ele pode usar ferramentas próprias para
realizar a cópia. A ferramenta Computer Online Forensic Evidence Exractor
(COFEE), uma ferramenta desenvolvida pela Microsoft, permite capturar evidências
importantes do computador na cena de investigação sobre delitos cibernéticos.
Sabe-se que os dados voláteis são importantes para uma investigação de crime
26
digital, e o COFEE faz exatamente a análise desses dados voláteis contidos na

memória RAM por meio de um pen drive (ELEUTÉRIO; MACHADO, 2011).
Para mais informações acerca do COFEE, pode-se conectar à página
disponibilizada gratuitamente, conforme Figura 3:
Figura 3 – COFEE
Fonte: National White Collar Crime Center, 2018.
Depois de tomadas as providências expostas, parte-se para a coleta dos

equipamentos computacionais que possam conter as provas/evidências desejadas,
realizando o acondicionamento e o transporte de forma correta (ELEUTÉRIO;
MACHADO, 2011).
Como mencionado anteriormente, os dispositivos de armazenamento
computacional são bastante sensíveis, o que requer, dessa forma, cuidados em seu
manuseio, principalmente quando se tratando de uma prova de crime. Desse modo,
algumas etapas devem ser cumpridas, desde o recebimento do material até a
conclusão do laudo. São elas: Identificação, Preservação, Extração, Análise e
Formalização (ELEUTÉRIO; MACHADO, 2011).
27
5.1 Identificação
Quais as conexões que correspondem com a data, os nomes de

usuários/pessoas, os órgãos públicos, as autarquias, as instituições, as redes
sociais etc.? Deve-se, aqui, verificar quais conexões estabelecidas para criar a
conexão eletrônica. Após a coleta de dados feita pelos peritos em HDs e discos
rígidos dos computadores, a origem dessas conexões pode ser encontrada.
Segundo Eleutério e Machado (2011), a etapa de identificação dos dados
consiste em o que apreender, como apreender, como descrever o material
encontrado e apreendido, como acondicionar e transportar o material, dentre outros
cuidados. Salienta-se que, quando não houver opções, se deve evitar apreender o
gabinete completo de um computador pessoal, uma vez que os dados de maior
importância normalmente serão encontrados nos discos rígidos.
5.2 Preservação
A preservação tem como objetivo garantir que as informações armazenadas

no material não sofram algum tipo de alteração, pois todas devem ser legítimas para
terem sua validade jurídica, assim como em todo local de crime, onde as provas e
evidências devem ser preservadas (ELEUTÉRIO; MACHADO, 2011).
Essa etapa exige cuidados especiais dos peritos e de todos que se encontram
no local, dado que qualquer operação, por mais simples que seja, pode alterar os
dados armazenados em mídia digital. Por exemplo: ao ligar uma máquina que
contenha o sistema Microsoft Windows instalado no disco rígido, os dados são
alterados, mesmo que o usuário não execute nenhuma operação. Sendo assim, não
se recomenda ligar dispositivos computacionais de forma convencional, a fim de
preservar as informações ali contidas, para que não sofram nenhuma alteração.
Desse modo, há a possibilidade de extração de dados por meio de equipamentos e
softwares específicos (ELEUTÉRIO; MACHADO, 2011).
Além disso, pode ser realizada a duplicação do equipamento original,
seguindo uma das técnicas computacionais apresentadas: espelhamento, em que se
tem uma cópia exata e fiel dos dados (bit a bit) contidos em um dispositivo de
armazenamento digital para outro; ou imagem, que consiste em um processo similar
ao espelhamento; porém, ao invés da cópia bit a bit, os dados são copiados para
28
arquivos em que os dispositivos de destino podem receber imagens de outros

dispositivos. Isso ocorre por meio de equipamento e softwares forenses específicos
(ELEUTÉRIO; MACHADO, 2011).
Para realizar esses procedimentos, um perito Forense Computacional deverá
ter experiência com evidência obtida, pois está exige um manuseio cuidadoso e
seguro, não podendo ser invalidada, comprometida, danificada ou destruída. Além
disso, deve-se atentar para que nenhum vírus ou código malicioso seja introduzido
em um computador durante a análise forense (ELEUTÉRIO; MACHADO, 2011).
5.3 Análise
Na análise dos dados, as informações extraídas são examinadas, e a

separação dos dados importantes é feita após o perito estudar todos os tipos de
arquivos encontrados, a fim de identificar evidências digitais no material que tenham
relação com o delito investigado, e verificar se há programas suspeitos e maliciosos,
registros de logs, fotos etc. (ELEUTÉRIO; MACHADO, 2011).
É nessa fase que se recolhe as informações importantes para a justiça.
Assim, para a sua realização, exige-se extremo rigor nos padrões e métodos
utilizados, com o objetivo de não comprometer nenhum arquivo.
5.4 Formalização
A fase final do exame forense é a formalização, que consiste na elaboração

do laudo pelo perito (ELEUTÉRIO; MACHADO, 2011). Assim, o laudo pericial deve
conter os principais procedimentos realizados, incluindo as técnicas utilizadas em
todas as fases citadas anteriormente.
Ressalta-se que o laudo é um documento técnico-científico, que deve ser
claro e objetivo, mostrando todos os métodos e exames utilizados. Além disso, deve
ser transparente, visto que qualquer indício que represente dúvida pode anular todo
o trabalho realizado (ELEUTÉRIO; MACHADO, 2011).
29
6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE

ARMAZENAMENTO
Uma evidência digital refere-se a qualquer informação digital capaz de

determinar se ocorreu um incidente; pode ser manuseada e armazenada em outros
dispositivos. Os materiais mais comuns que envolvem o armazenamento e a coleta
são: discos rígidos, CDs e DVDs. Todavia, outros equipamentos que armazenam
informação computacional também podem ser verificados, como pen drivers, cartões
de memória, Blu-rays, entre outros existentes (ELEUTÉRIO; MACHADO, 2011).
A busca por evidências em um sistema operacional ocorre por meio da
varredura minuciosa na busca por informações. Essas informações nem sempre são
visíveis ou de fácil localização; podem estar em arquivos, pastas ocultas, na
memória; podem ter sido excluídas, criptografadas, estenografadas; ou podem estar
em partes de um arquivo ou em arquivos danificados (ELEUTÉRIO; MACHADO,
2011).
Ademais, o tempo de vida de uma evidência digital varia, conforme alguns
fatores; são muito sensíveis e devem ser manuseadas cuidadosamente. Quanto
maior sua volatilidade, mais difícil é a sua extração e menos tempo se tem para sua
captura.
Mesmo com o crescimento da Forense Computacional, ainda existe carência
de métodos para o manuseio dessas evidências, o que pode ser explicado pelo fato
da grande quantidade de sistemas operacionais, pela grande quantidade de
dispositivos de armazenamento e por não haver um padrão definido para a coleta de
evidências.
6.1 Diretrizes para coleta de provas com a RFC 3227
A Request for Comments (RFC) é um documento que apresenta

notas/normas técnicas, organizacionais e, também, parâmetros sobre a internet.
Essas notas/normas são discutidas pela Internet Engineering Task Force (IETF), que
é uma comunidade internacional composta por técnicos, fabricantes, agências,
pesquisadores e fornecedores, que trabalham em prol da evolução da internet e de
seu perfeito funcionamento (RFC, 2002).
30
A RFC 3227 tem como principal objetivo mostrar aos administradores de

sistemas e peritos forenses a maneira mais adequada e segura para a coleta e o
arquivamento de evidências e provas essenciais para um processo. De acordo com
a RFC 3227, “incidente de segurança” é quando a violação em um sistema de
segurança altera, desliga ou prejudica o seu bom funcionamento (RFC, 2002).
A RFC 3227 permite com que administradores de sistemas e peritos forenses
tenham uma cópia fiel de um dado documento e o apresentem com segurança às
autoridades da esfera judicial (RFC, 2002).
Os princípios desse documento seguem estes parâmetros:
 Trabalhar com as provas, conforme as leis locais determinam, a fim de que
não haja nenhuma suspeita, irregularidade ou contestação de sua legalidade
fiel.
 Ter primeiro uma imagem/cópia fiel do sistema a ser analisado.
 Criar relatórios precisos e detalhados, com data e hora de cada processo
realizado, sempre assinado e datado, para que valorize ainda mais o
trabalho, garantindo a fiel validade do documento.
 Notar sempre a diferença entre os horários, os relógios dos sistemas a serem
copiados e a Universal Time Coordnated (UCT). Para cada timestamp,
mostrar se a UTC ou hora local é utilizada.
 Estudar e acompanhar todos os processos, caso seja necessário
testemunhar em juízo em alguma etapa. É necessário descrever todos os
procedimentos realizados para se obter algum resultado; por isso, a
importância de se detalhar todos os procedimentos realizados em cada fase.
 Não alterar nenhum dado e, se possível, comunicar aos órgãos competentes,
com o objetivo de obter autorizações, resguardando-se de possíveis perdas
de evidências; e evitar atualizações de sistemas, programas, arquivos e
diretórios.
 Desconectar de vias externas conexões externas, quando houver a
necessidade de alterações.
 Seguir esta ordem: primeiro, coletar os dados; depois, copiar e analisar
depois. Não analisar sem antes coletar e copiar, pois pode haver alteração na
evidência.
31
 Proceder com métodos, e não com incertezas; tenha sempre a certeza de

algo e procure testar os procedimentos, para garantir a legalidade e a
viabilidade em uma situação de crise. Caso seja necessário ou possível, os
procedimentos devem ser automatizados por razões de rapidez e precisão.
 Seguir os métodos para cada situação de coleta, sempre com as diretrizes
preestabelecidas em seu procedimento de coleta. Às vezes, a velocidade
pode ser crítica. Desse modo, onde houver equipamentos que exigem
exames, pode ser apropriado espalhar o trabalho entre eles para a coleta em
paralelo, mas sempre com cuidado, para não alterar nenhum dado. Ressalta-
se que, em uma única coleção de sistemas, a coleta deve ser feita passo a
passo.
 Proceder analisando a volatilidade de cada prova, buscando sempre
recuperar as de menor volatilidade primeiro, partindo, depois, para as de
durabilidade maior.
 Proceder com cautela. Nos casos forenses, faça, primeiro, uma cópia/imagem
fiel do original, por meio de espelhamento (bit a bit) ou imagem (arquivos).
Portanto, evite fazer a análise forense na cópia original da evidência; crie
novas cópias/imagens.
6.2 Volatilidade dos dispositivos e sua ordem
A coleta de evidências é o que vai determinar o fator de cada uma: se são

duradouras ou voláteis. Algumas têm o tempo de vida muito curto, por isso é
importante coletá-las o mais rápido possível. Faz-se necessário, dessa forma, seguir
alguns passos para que seja feita a correta aquisição de provas em caso de um
incidente de segurança. A seguir são apresentados alguns procedimentos que
seguem a ordem de volatilidade (RFC, 2002).
6.2.1 Processos de execução armazenados pela CPU
Os processos armazenados pela Central Process Unit (CPU) são de mínima

utilidade, uma vez que têm o tempo de vida muito curto, fazendo, assim, com que a
coleta, tanto dos registradores quanto das memórias cache, seja descartada (RFC,
2002).
32
A memória cache é mais rápida que a memória principal, encontrando-se em

cada processador. Um processador pode referenciar programas e dados
diretamente de sua cache. Por ser mais cara que a memória principal, usa-se
caches relativamente pequenas. Isso faz com que não se localize arquivos nelas
(DEITEL; DEITEL; CHOFFNES, 2005).
6.2.2 Memória de periféricos
Os periféricos consistem em aparelhos ou placas que enviam e recebem

informações; contêm várias informações que não se encontram mais no sistema
analisado – mensagens de texto, números de telefones etc. Em suma, periféricos
dizem respeito a qualquer equipamento acessório que seja ligado à CPU, ou seja,
ligado ao computador, como modens, pagers, impressoras, aparelhos de fax (RFC,
2002).
Além disso, tem-se a memória de vídeo, que pode conter informações úteis.
Caso o invasor acesse a um terminal gráfico, a tela pode ser capturada e
reproduzida (RFC, 2002).
6.2.3 Memória principal do sistema
Nesse contexto, é indispensável a análise da memória principal do sistema

ativo. Por meio dessa ação, evidências de fatos ocorridos no sistema operacional
podem ser encontradas. Essa memória é conhecida como memória RAM, do tipo
volátil. Ratifica-se que, quando se desliga o equipamento, todos os dados presentes
nessa memória são perdidos, devido a sua vida curta (RFC, 2002).
Quando se solicita algum processo, os dados ficam guardados na memória
principal, até que sejam salvos em algum arquivo ou eliminados. Se o sistema
estiver ativo e acontecer alguma falha, essa memória ainda pode armazenar as
informações responsáveis pelo fato ocorrido. Essas informações podem ser
coletadas e analisadas posteriormente (RFC, 2002).
33
6.2.4 Tráfego e dados de rede
Os dados do tráfego de rede entre o invasor e a máquina alvo do ilícito podem

ser reconstituídos por meio de datagramas capturados, a fim de verificar se houve
sequência ou ligações entre as demais evidências encontradas (RFC, 2002).
Esses dados podem ser capturados na rede por meio de vários programas
conhecidos (networkminer, sniffers, xplico), que, além de efetuarem a captura dos
dados, podem decodificar, localizar e emitir resultados em uma linguagem popular
(RFC, 2002).
6.2.5 Estado e conexões de rede
De acordo com o estado da rede, informações úteis sobre as conexões e

acessos realizados podem ser recolhidas e anexadas ao laudo. É possível também
analisar as portas usadas e, ainda, as que se encontram ativas ou as que estão
aguardando conexões (RFC, 2002).
Na posse dessas informações, é possível fazer uma varredura para localizar a
instalação ou verificar se o backdoor foi ativado (recurso muito utilizado por
malwares para estabelecer, com objetivo malicioso, conexões remotas ao sistema
ou a rede em questão, procurando falhas críticas). É possível localizar também se
há alguma conexão em execução que não foi autorizada (RFC, 2002).
Uma análise minuciosa nas interfaces da rede pode fornecer diversas
informações: se há algum sniffer instalado no sistema, bem como acessos remotos
com o objetivo de isolar a máquina ou mascarar seu IP ou, ainda, se ela encontra-se
em modo de quarentena (RFC, 2002).
6.2.6 Estado do Sistema Operacional
Trata-se, aqui, de como o sistema operacional foi encontrado. O seu estado,

no momento do incidente, pode fornecer informações importantes sobre o ilícito: se
foi efetuado algum ataque naquele momento, dia ou hora; se há algum processo em
execução; e os dados contidos nele: conexões ativas ou portas usadas, usuários
logados, instruções em tabelas e caches; ou dados perdidos ao desligar a máquina
34
(RFC, 2002). Nota-se, portanto, que o estado é fundamental para uma análise
correta e sucesso na execução.
6.2.7 Sistema de Arquivos
Muitas informações sobre o sistema operacional são obtidas por meio de

arquivos temporários ou arquivos de logs, o que contribui com a análise (RFC,
2002).
Caso haja invasão ou instalação de um executável, podem ser encontrados
vestígios em seus arquivos temporários, como a cópia ou até mesmo a pasta do
malware, pois a maioria usa esse diretório para se hospedar (RFC, 2002).
Na análise dos arquivos de logs, podem ser encontrados dados sobre o
histórico de processos executados no sistema operacional, pois este registra tudo o
que acontece e mostra determinado programa em dado momento (RFC, 2002).
Dessa forma, a análise dos arquivos deve ser minuciosa, uma vez que os
executáveis ou os arquivos com a intenção de prejudicar podem estar salvos com
nomes próximos dos originais (nunca são iguais). Assim sendo, deve-se ter bastante
atenção (RFC, 2002).
Podem ser encontrados arquivos com: dados bancários, dados pessoais,
dados industriais, conteúdos pornográficos, conteúdos implantados para obter uma
acusação falsa, até mesmo conteúdo de pedofilia, o que torna o trabalho minucioso
e delicado. Ressalta-se que a localização de dados como esses é sempre mais
complexa, visto que criminosos procuram camuflar provas (RFC, 2002).
Diante do exposto, é notória a importância do conhecimento sobre a função
dos arquivos de sistemas, sua localização e a de seus diretórios. Esses são fatores
importantes para ao processo de análise. Entende-se, portanto, que seguindo os
passos aqui apresentados o nível de segurança aumenta (RFC, 2002).
35
7 SISTEMAS DE ARQUIVOS E ARQUIVOS NTFS
Segundo Marques et al. (2011), um sistema de arquivos é composto por um

conjunto de entidades fundamentais: um sistema de organização de nomes para
identificação dos arquivos e uma interface de programação para comunicação entre
os processos e o sistema de arquivos.
Arquivos é uma coleção de dados persistentes, geralmente relacionados,
identificados por um nome. Um arquivo na memória secundária é o correspondente
eletrônico dos arquivos usados em escritórios, onde a informação usada é colocada
em uma pasta e etiquetada com um nome. Uma das formas de guardar dados
relacionados entre si é por meio do uso de um mesmo arquivo, pois a proximidade
física facilita o acesso e a pesquisa. Além do nome, um arquivo possui outras
informações que facilitam a sua localização e o seu gerenciamento: dimensão, datas
de criação, modificação e acesso, direitos de acesso e localização de informação em
memória secundária. O conjunto desses dados é chamado, comumentemente, de
metainformação (MARQUES et al., 2011).
São vários os tipos de arquivos, sendo esses que determinam os atributos de
cada um deles. Esses atributos, que podem variar dependendo do sistema de
arquivos, estão armazenados na metainformação do arquivo. Além do tipo, a
metainformação do arquivo possui, geralmente, os seguintes atributos:
 Proteção: quem pode acessar o arquivo e quais operações podem ser
executadas.
 Identificação do dono do arquivo: a pessoa que o criou.
 Dimensão do arquivo: a informação geralmente atualizada automaticamente
quando o arquivo cresce ou diminui.
 Datas de criação: datas da criação do arquivo, da última leitura e da última
escrita (MARQUES et al., 2011).
Marques et al. (2011) asseveram que um sistema de armazenamento deve

assegurar o acesso e a manutenção de grandes volumes de informação de forma
eficiente e robusta (no sentido de não perder dados ou alterar as informações).
Os sistemas de arquivos são armazenados em dispositivos de memória
secundária. Em sua maioria, são dispositivos de memória de massa persistente, ou
seja, armazenam grande quantidade de dados que não se perdem após desligar a
36
energia, diferentemente da memória primária, que é volátil; isto é, o seu conteúdo se

perde quando se desliga a máquina. Os seguintes itens possuem memória primária:
registros da CPU, cache e memória RAM (MARQUES et al., 2011).
Alguns sistemas de arquivos criados não são usados para gerenciar
dispositivos de memória de massa, não possuindo memória volátil, e sim dispositivo
de memória secundária. Conhecidos como dispositivos móveis, são responsáveis
por dispositivos de armazenamento, como o Personal Digital Assistant (PDA)
(MARQUES et al., 2011).
Os discos magnéticos são dispositivos para armazenamento em massa.
Marques et al. (2011) afirmam esses discos têm características de acesso
específicas que influenciam decisivamente o modelo de gerenciamento de memória
secundária adotado pelos sistemas operacionais.
Figura 4 – Esquema físico de um disco
Fonte: Marques et al., 2011.
De acordo com Marques et al. (2011), um disco magnético pode ter um ou

mais pratos de um material magnético (Figura 4). A escrita nesse material magnetiza
uma determinada área do disco por meio de uma haste muito fina, que se encontra
sobre as faces, estas denominadas de cabeças de leitura e gravação. A leitura
consiste na referida cabeça, para ler o campo magnético nessa posição. Cada prato
tem duas faces, e cada face esta dividida em blocos de dimensão fixa, denominados
setores. Um setor é a unidade mínima de leitura e escrita em disco. A sua dimensão
37
habitual é de 512 ou 1024 bytes. A leitura ocorre quando a cabeça do prato está
sobre o setor respectivo.
O gerenciamento de um disco é feito em blocos de dimensões múltiplas dos
setores. A dimensão depende das estruturas do sistema operacional, sendo a
unidade mínima indexada. Além do setor e do bloco, que dependem
respectivamente da organização física do disco e do sistema operacional, existe,
ainda, o segmento ou extend. O segmento é a unidade de reserva de espaço em
disco composto por um conjunto de blocos (MARQUES et al., 2011).
Marques et al. (2011) explicam ainda que os blocos e o segmento são
unidades de gerenciamento que têm por objetivo otimizar o acesso ao disco. Quanto
maior for o bloco, maior a taxa de transferência bruta, pois o tempo de
posicionamento e latência de setores consecutivos é quase nulo, porém a taxa de
transferência efetiva depende do número de bytes dentro do bloco com informação
útil. Portanto, é necessário encontrar um equilíbrio que maximize a taxa de
transferência efetiva. Atualmente, a dimensão de um bloco varia de 4K bytes a 8K
bytes.
O Windows, assim como o Linux, consegue suportar simultaneamente vários
sistemas de arquivos, o que não era possível nos sistemas mais antigos, como o
VMS ou o MS-DOS. Nesses sistemas antigos as partições de um disco eram
gerenciadas pelo mesmo sistema, razão pela qual os sistemas de arquivos se
confundiam com o sistema operacional (MARQUES et al., 2011).
O sistema operacional MS-DOS é uma evolução do sistema CP/M; por isso,
possuem uma estrutura de sistema de arquivos semelhantes. O sistema MS-DOS,
ao invés de possuir um mapa de blocos por arquivo, tem uma tabela de blocos
global compartilhada por todos os arquivos. Desse modo, cada arquivo utiliza
apenas o conjunto de entrada da tabela de blocos que necessita. Os arquivos
grandes utilizam mais entradas da tabela de blocos, enquanto os pequenos, menos.
Essa tabela é tão única nesse sistema e tão representativa da estrutura do sistema
de arquivos que deu origem ao nome do sistema de arquivos mais popular que o
adota: o File Allocation Table (FAT) ou Tabela de Alocação de Arquivos (MARQUES
et al., 2011).
Nos sistemas do tipo FAT, é possível encontrar uma tabela global com uma
entrada para cada um dos blocos de dados disponíveis na partição. A partição
contém três seções distintas, a saber: a Tabela de Alocação; um diretório com os
38
nomes de todos os arquivos presentes no sistema de arquivos; e o restante dividido

em blocos, de igual dimensão, para conter os dados dos arquivos. As entradas da
tabela de alocação com valor zero indicam que o bloco está livre e pode ser utilizado
por outro arquivo. As entradas diferentes de zero indicam que o respectivo bloco faz
parte de um arquivo (MARQUES et al., 2011).
O New Technology File System (NTFS) sistema de arquivos surgiu para
solucionar problemas de segurança e limitações que o sistema FAT apresentava,
principalmente para o uso em servidores e sistemas de segurança. Foi criado para
ser um sistema de arquivos flexível, dinâmico, bastante seguro e com uma grande
confiabilidade, sendo que seus principais conceitos funcionais foram herdados do
sistema High Performace File System (HPFS) (MARQUES et al., 2011).
De acordo com um o artigo publicado no site Suporte da Microsoft
(MICROSOFT, 2017), o HPFS sistema de arquivos foi utilizado pela primeira vez no
SO/2 1.2, da IBM, para permitir acesso mais amplo a disco rígido de capacidade
maior do que os existentes no mercado à época. Além disso, era necessário um
sistema de arquivos que estendesse o sistema de nomeação dos arquivos, a
organização e a segurança, devido às demandas crescentes do mercado do servidor
de rede. O HPFS mantém a mesma organização de diretório do FAT, mas inclui uma
classificação automática do diretório baseada em nomes de arquivos. Os nomes de
arquivos são estendidos para até 254 caracteres de byte duplo. O HPFS permite
também que um arquivo seja composto de metadados e atributos especiais,
possibilitando, assim, maior flexibilidade em termos de suporte a outras convenções
de nomeação e segurança. Além disso, a unidade de alocação é alterada de cluster
para setores físicos (512 bytes), o que reduz muito o espaço em disco perdido. Esse
sistema eficiente perdeu espaço de uso com o OS/2, sendo suportado somente pelo
Linux.
7.1 As características do NTFS
Do ponto de vista do usuário, o sistema NTFS continua a organizar arquivos

em diretórios, que, como o HPFS, são classificados. Contudo, diferentemente do
FAT ou do HPFS, não há objetos “especiais” no disco e não há dependências do
hardware adjacente, como setores de 512 bytes. Além disso, não há localizações
especiais no disco, como tabelas FAT ou Super Blocos HPFS (MICROSOFT,2017).
39
O NTFS tem algumas características importantes, quais sejam:

 Confiança: consegue fazer com que o sistema operacional seja tolerante a
falhas, recuperando-se de erros sem perder informações.
 Segurança: permite o acesso preciso e disponibiliza serviços que rodem em
rede, possibilitando o gerenciamento de usuários e adicionando permissões
de acesso e de escrita de dados.
 Armazenamento: permite trabalhar, inclusive, com o uso de arrays RAID,
permitindo o trabalho com grande quantidade de dados.
 Rede: libera o uso de dados em rede e faz com que o sistema seja funcional
para esse tipo de trabalho.
Ademais, o NTFS apresenta: confiabilidade, importante para sistemas de alta

demanda e servidores de arquivos; plataforma para maior funcionalidade; requisitos
de suporte Portable Operating System Interface (POSIX), ou seja, Interface Portável
entre Sistemas Operacionais, que nada mais é que um conjunto de normas, como
nomeação com diferenciação maiúscula ou minúscula; carimbo de data e hora
adicional, mostrando a hora na qual o arquivo foi acessado pela última vez; e
remoção de limitações dos sistemas de arquivos FAT e HPFS (MICROSOFT, 2017).
7.2 Estrutura do sistema NTFS
O NTFS e o sistema FAT têm em comum as estruturas lógicas no HD. Porém,

além da ideia ser basicamente a mesma no sistema NTFS, essa estrutura é
totalmente diferente.
Esse sistema de arquivos foi criado com o propósito de amenizar e suprir as
necessidades do mercado empresarial, tendo com característica maior capacidade
de endereçamento, podendo ter, para cada arquivo, um suporte de segurança
individual, cifragem dos dados, entre outros (MICROSOFT, 2017).
Em um artigo publicado no site da NTFS (2010), observa-se que cada arquivo
encontrado em um volume, no NTFS, é representado por um registro em um arquivo
especial, chamado de tabela de arquivo mestre – Master File Table (MFT). Assim, o
NTFS reserva os primeiros 16 registros da tabela para obter as informações
especiais.
40
Seguido de uma gravação espelhada MFT, o primeiro registro dessa tabela

descreve a própria tabela de arquivo mestre. Quando a primeira gravação MFT
encontra-se corrompida, o NTFS lê o segundo registro, para encontrar o arquivo
espelhado MFT. A primeira gravação é sempre idêntica à primeira gravação feita
pela MFT (NTFS, 2010).
A Figura 5 representa a estrutura MFT. Os arquivos estão mapeados nos
primeiros registros da MFT (NTFS, 2010):
Figura 5 – Estrutura MTF
Fonte: NTFS, 2010.
Cada registro MTF possui um cabeçalho. Neste constam as informações

básicas que descrevem o registro MTF. Seguem as informações descritas (NTFS,
2010):
 Dados numéricos de sequência usados para verificação de integridade.
 Marcador para indicar o primeiro atributo do registro.
 Marcador para indicar o primeiro byte livre no registro.
 Número de registro em relação ao registro base da MFT, se o mesmo não for
o primeiro.
7.3 MAC Times ou metadados do sistema de arquivos
MAC Times ou metadados do sistema de arquivos são responsáveis pelas

informações, quando da realização de uma operação em um arquivo, utilizando a
41
hora local ajustada no computador que efetuou a operação (INFOCRIME

COMPUTAÇÃO FORENSE, 2011). Uma vez conhecida a estrutura do NTFS, parte-
se para a análise mais ampla e detalhada do MAC Time do ambiente do sistema
operacional; no caso, Windows.
Conforme artigo publicado no site Infocrime Computação Forense (2011),
todo evento feito ou criado, relacionado a um arquivo digital possuirá um registro,
que o situará em uma linha de tempo (timeline), em um determinado caso, e sua
localização nessa timeline poderá indicar sua relação com o fato analisado.
Os MAC Times stamps referem-se aos campos de registros em que são
armazenados os dados relativos à data e à hora de modificação/modification
(mtime), acesso/access (atime) e mudança/changer (ctime) dos respectivos
arquivos. Em sistemas da família UNIX, a ctime significa o momento em que os
metadados relativos à permissão ou à propriedade de um arquivo são alterados. Já
nos sistemas Microsoft Windows, esse serviço de armazenamento da ctime
corresponde ao momento em que o arquivo é criado (INFOCRIME COMPUTAÇÃO
FORENSE, 2011).
Por sua vez, a mtime registra o momento em que um arquivo foi modificado,
ou seja, quando foi submetido à função salvar. Mesmo que não haja nenhuma
alteração no conteúdo do arquivo, a função abrir e salvar altera o seu registro na
mtime (INFOCRIME COMPUTAÇÃO FORENSE, 2011).
O atime tem como função registrar o momento em que se abre o arquivo.
Caso o arquivo fique aberto por muito tempo, esse serviço não consegue precisar o
tempo que o seu conteúdo foi lido (INFOCRIME COMPUTAÇÃO FORENSE, 2011).
Um problema evidente, que é encontrado na maioria dos sistemas
operacionais, é a ausência de um histórico de registro, sendo que os tempos de
registro referem-se somente a sua última modificação, o que implica capturar os
acessos anteriores utilizando apenas o sistema de arquivos (INFOCRIME
COMPUTAÇÃO FORENSE, 2011).
42
8 FORENSE EM AMBIENTES NTFS E AS PRINCIPAIS FERRAMENTAS
Para a elaboração deste estudo, utilizou-se a ferramenta Live CD CAINE

(Computer Aided Investigative Environment). Trata-se de um Ambiente Investigativo
feito por um Computador. O Live CD CAINE é uma distro GNU/Linux, que oferece
um ambiente com várias ferramentas para análise forense, como o Open Source,
para sistemas Unix, Linux e Windows, tendo, também, algumas para a utilização em
sistema Android, encontrado em smartphones.
A Live CD foi criada para facilitar o serviço e interagir ferramentas forense em
um só sistema, criando uma interface amigável e de fácil uso. O CAINE tem como
principal objetivo promover um ambiente interoperável, oferecendo, para o perito
digital, um ótimo serviço nas quatro fases de uma investigação digital. Sua interface
gráfica é amigável, e há a compilação semiautomatizada do relatório final.
A Figura 6 mostra a interface gráfica do CAINE. A sua versão é a 9.0
QUANTUM (64 bits) e foi usada neste estudo. Baseou-se no Ubuntu 16.04 LTS e no
Kernel Linux 4.4L, apelidado de QUANTUM, em que se encontra o código-fonte
aberto Systemback e o backup do sistema.
Figura 6 – CAINE 9.0 - Computer Aided Investigative Environment
Fonte: Adaptada pelo autor, 2018.
O CAINE possui em sua Distro uma gama de softwares conhecidos e que são
utilizados para a análise forense no Linux, podendo ser utilizados também para uma
análise em imagens adquiridas no Sistema Operacional Windows.
43
RBFStab e Mounter são ferramentas importantes do CAINE 9.0, e auxiliam o

perito digital. Durante a sua inicialização ou quando conectado um dispositivo, o
RBFStab é ativado, fazendo com que seja feita a gravação de entrada somente em
leitura /etc/fstab, conferindo, assim, segurança para que seja montada a imagem dos
dispositivos para um exame correto. A ferramenta Mounter é um aplicativo de
montagem de disco encontrada na barra fixa do sistema; é uma ferramenta de
montagem GUI, que permite ao usuário escolher se deseja montar ou desmontar.
Pode bloquear e desbloquear dispositivos de bloco para o modo somente leitura.
Assim, os dispositivos montados não sofrem alteração em seus dados blocos,
apenas as operações de montagens feitas nesse dispositivo.
O Sistema Operacional Windows também tem seus softwares de análise
forense: Post Mortem Analisys e Live Forensic Analisys. A Live Forensic Analisys
tem uma interface simples, com um conjunto de ferramentas. Até a versão 1.5, esse
software encontrava-se na Live CD do CAINE; na versão 2.0, não apareceu; Agora,
é preciso fazer o download. Essa interface é conhecida como Wintaylor 2.5.1,
conforme Figura 7:
Figura 7 – Interface Gráfica WinTaylor 2.5

44
Criou-se um modo fácil de manuseá-la, por meio de links de acesso, o que

facilita o uso das ferramentas mais utilizadas, além de outro link para acesso às
ferramentas (More Tools). A maioria das ferramentas pode ser usada em sistemas
FATx e NTFS.
8.1 Coleta de evidências em máquinas Post Mortem Analisys
Um perito pode se deparar, em um local de um suposto crime, com uma

máquina desligada – por falta de energia, falha do sistema etc. Quando dessa
situação, ele deve, primeiramente, proceder à criação da imagem desse Sistema
Operacional, sem ligá-lo.
Para esse método existem algumas ações. Uma delas é retirar o HD,
transportando-o com cuidado, ou então conectá-lo imediatamente a uma estação
forense preparada para o serviço. Outra ação é por meio de uma Live CD, com os
devidos programas para a cópia; logo em seguida, salvá-los em um dispositivo ou
salvar a imagem, criptografá-la e enviá-la pela rede para uma estação forense.
Ressalta-se que, na fase de coleta de evidências, é fundamental trabalhar
com a cópia da imagem do sistema, evitando aborrecimentos com eventuais
problemas. Para esse serviço, existem várias ferramentas. No CAINE, podem ser
encontradas: Guymager o AIR, Encase 6.19.1.5, FTK Imager 3.0.1.1.467, Tableau
Imager 1.11, bloqueador de escritas T35es, entre outras.
Menciona-se que essas ferramentas que bloqueiam escritas são
comumentemente utilizadas em HDs para os SSD. Os SSD são conhecidos como
mídias de armazenamentos de alta performance e têm compatibilidade com os
tradicionais HDs convencionais. Utilizam duas tecnologias diferentes dos HDs: a
primeira é a Multi Level Cell (MLC), isto é, Célula Multinível, em que uma única
célula pode armazenar dois bits. O custo é mais baixo, sendo também mais
compacta. Por outro lado, apresenta baixo desempenho se comparada com a
próxima tecnologia, a Single Level Cell (SLC), e tem a vida útil de apenas 10.000
ciclos de escrita. A SLC ou Célula de Nível Único armazena, em uma célula, apenas
um bit. Porém, tem um custo mais alto. Ressalta-se que é mais eficaz e rápida,
tendo uma vida útil de 100.000 ciclos de escrita.
A utilização de uma ferramenta ou outra para produção de imagens forenses
depende de cada perito. Deve-se considerar, portanto: a ferramenta com a qual o
45
perito esteja mais familiarizado e que atenda as suas necessidades. Salienta-se que
há um Procedimento Operacional Padrão (POP), com rotinas e caminhos a serem
seguidos corretamente.
8.1.1 Usando o DD: uma ferramenta de comando
O DD consiste em uma ferramenta de aquisição de imagens por meio de

comandos via terminal. É simples, mas poderosa. Seu uso requer o mínimo de
recursos. Não contém alguns dos recursos presentes em ferramentas mais atuais,
como coleta de metadados e funções para correções de erros. No DD, os arquivos
de imagens gerados são do tipo RAW. Vários outros programas conseguem ler
esses arquivos. A figura 8 mostra a aquisição de uma imagem usando o DD e seus
comandos.
Figura 8 – Aquisição de uma imagem usando o DD
A sua sintaxe é fácil e básica. Por meio dos comandos, solicita-se o local para
salvar e buscar, assim que preciso. Para tanto, é necessária a criação dos diretórios,
a fim de armazenar os arquivos recuperados. Para esse procedimento, deve-se
utilizar as seguintes sintaxes: “mkdir (nome do diretório)”; no caso da imagem, usa-
se o nome recuperação, ficando da seguinte forma: “root@linux:/# mkdir
recuperação”, “root@linux:/# cd recuperacao”, “root@linux:/recuperar#”.
46
Outros comandos utilizados são: “dd if=/dev/sdc of=image.img”; “ dd_rescue

–r /dev/sdc imagem.img –l log.txt”, onde dd_rescue –r /dev/sdc é o disco a ser
copiado, imagem.img é a imagem do disco, e log.txt, os arquivos. O destino é:
/home/usuário/recuperação. A criação se dá por meio do superusuário e após a
criação do local de destino.
A Figura 9 mostra os dados salvos e as imagens criadas por meio da
ferramenta DD:
Figura 9 – Arquivos de imagem e Log criados com o DD
A ferramenta DD é muito utilizada. Além dessa, outras ferramentas

aprimoradas do DD são utilizadas: DCFLDD, SDD, DD_RESCUE, DDRESCUE,
DCCIDD e o novíssimo DC3DD.
Dentre essas, destaca-se a ferramenta DCFLDD, um aprimoramento do DD,
que trabalha em Linux, sendo desenvolvida por um dos funcionários do U.S
Department of Defense Computer Forensics Lab (Laboratório Forense de
Informática do Departamento de Defesa do EUA), o Sr. Nicholas Harbour. Algumas
características dessa ferramenta são úteis para os investigadores forenses, pois
facilitam o trabalho e confere segurança na coleta de dados. É o caso do hashing
On-The-Fly, um comando que calcula hash dos dados de entrada no momento em
que estão sendo copiados, protegendo a sua integridade; mostra o processo de
envio de dados e o tempo restante para o término; pode ser utilizado também para
47
zerar (wipe)4 os dispositivos de armazenamento; analisa se a imagem a ser copiada

é idêntica à do disco por bit a bit. Menciona-se, aqui, a função de saída, que pode
ser para mais de um arquivo/disco, além de outras funções.
Nas Figuras a seguir, verifica-se: localização dos discos (Figura 10); função
DCFLDD sendo executada, criando uma imagem e registrando o hash (Figura 11); e
imagem criada na pasta usuário (Figura 12).
Figura 10 – DCFLDD: localização dos discos
4
Wipe significa a função de regravar todo o disco rígido ou qualquer outro dispositivo de
armazenamento com apenas zeros, deletando, assim, todos os dados existentes. Essa função pode
ser usada no DCFLDD, por meio do seguinte comando: dcfldd if=/dev/zero
of=/dev/nome_do_dispositivo.
48
Figura 11 – DCFLDD: criação de imagem e registro Hash Sha 1
Figura 12 – DCFLDD: imagem criada no diretório usuário
8.1.2 GUYMAGER: captura de imagens
A ferramenta GUYMAGER para captura de imagens é excelente; utiliza

multithreading, fazendo com que se destaque em relação às outras em matéria de
velocidade de operação. Por meio dela é possível obter mais informações sobre os
dispositivos conectados em uma máquina. Essa ferramenta trabalha com a
duplicação tanto em formato EWF (EnCase) quanto AFF e raw.
A Figura 13 fornece um panorama genérico sobre a plataforma GUYMAGER:
49
Figura 13 – GUYMAGER 0.8.4
A plataforma do GUYMAGER é de fácil interpretação. Mediante a Figura 13, é

possível observar a lista de todos os dispositivos existentes; e novos dispositivos
podem ser conectados a qualquer momento, sendo usado o rescan logo após.
Observa-se, ainda, que não há nenhum disco na cor vermelha. Isso ocorre porque a
máquina utilizada é VM. Quando é utilizado direto em uma máquina, os discos
originais desta ficam marcados na cor vermelha, impedindo que seja feita alguma
alteração neles. Os discos em cor azul são aqueles por meio dos quais se adquire
as imagens.
A Figura 14 mostra um disco sendo selecionado para a criação de imagem:
50
Figura 14 – GUYMAGER clonando imagem de disco
Quando da clonagem do disco, pode-se informar ao diretório o local onde a

imagem criada deve ser salva; pode-se, também, especificar número de série e
capacidade do disco em Info Filename. Além disso, os Hash das imagens são
verificados, conferindo maior credibilidade à captura. Ademais, são calculados os
Hash MD5, SHA-1 SHA-256.
Figura 15 – GUYMAGER duplicando imagem

51
8.1.3 Análise com The Sleuth Kit (TSK) e Autopsy
Conhecidos por vários peritos, o The Sleuth Kit (TSK) e o Autopsy consistem
em ferramentas livres para investigação de crimes digitais. Podem ser executadas
em vários sistemas, como Windows, Unix, Linux, OS X, FreeBSD, OpenBSD,
Solaris, entre outros. Essas ferramentas são usadas em sistemas de arquivos NTFS,
FAT, HFS+, Ext2, Ext3 etc. Brian Carrier foi quem as desenvolveu.
O TSK é uma ferramenta usada em linha de comandos; já o Autopsy trabalha
com uma interface gráfica para as ferramentas TSK. O Autopsy executa a análise de
um sistema de forma não intrusiva, integrando, com o TSK, vários Live CDs usados
na computação forense, por exemplo: Helix, BacTrack, FCCU,FIRE, CAINE.
A interface do Autopsy é organizada por camadas. Cada uma dessas
camadas tem função independente para a análise de cada setor da imagem
adquirida. Por sua vez, o TSK é usado em uma interface gráfica em HTML, chamada
Autopsy Forensic Browser. O Autopsy cria um servidor web e, logo após, seus
scripts criam a sua interface por meio de páginas HTML.
A análise realizada nas imagens apresenta dados relativos ao trabalho, tipo,
volume e à funcionalidade do sistema de arquivos; trazem dados acerca da estrutura
dos arquivos, dos nomes de arquivos, dos dados metadados, das unidades de
dados e dos volumes de imagens jpg, gifs etc.
As Figuras 16, 17 e 18 mostram a interface inicial do TSK Autopsy e os
processos de análise forense em uma imagem.
52
Figura 16 – Autopsy: interface inicial
Figura 17 – Autopsy: análise de imagem

53
Figura 18 – Autopsy: análise e localização de imagem
8.1.4 Foremost
O Foremost é uma excelente ferramenta de recuperação de dados. Foi

desenvolvida por dois agentes do grupo especial da Força Aérea dos EUA, e,
posteriormente, modificada por um pesquisador naval, que tornou a ferramenta mais
eficaz e com tempo de resposta melhor.
Esse console trabalha com base em cabeçalhos, rodapés e nas estruturas de
informações internas. Permite trabalhar em arquivos de imagens criados por
ferramentas, como o DD, Encase, Safeback, entre outras, bem como direto na
unidade.
A Figura 19 a seguir mostra o comando sendo executado durante a busca de
arquivos.
54
Figura 19 – Foremost recuperando arquivos de imagem
O Foremost é usado na recuperação de dados presente em uma imagem;

salva as imagens na extensão dos arquivos. A sintaxe utilizada no foremost é:
“#foremost –i arquivo_de_entrada –o diretóro_de_saida”.
8.1.5 Aquisição de imagem de memória RAM
Há vários programas para aquisição de imagem de uma memória RAM. As

ferramentas MDD, win32dd e winen trabalham por meio de linha de comando e são
utilizadas para aquisição de imagens da memória volátil. Há também a FTKimager,
que contém uma interface gráfica. Essas quatro ferramentas estão incluídas no Live
CD CAINE, e podem ser acessadas por meio da interface gráfica WinTaylor.
Podem usadas para análises em sistemas NTFS, bem como para análises em
sistemas de arquivos em que esteja instalado o sistema FAT32. A única restrição
encontrada no uso dessas ferramentas diz respeito à necessidade da permissão de
administrador para sua execução.
O MDD é uma ferramenta que gera uma imagem RAW e pode ser executada
por meio de um drive USB ou um Live CD; possui a licença GPL e é mantida
gratuitamente por Mantech Security. O MDD é capaz de adquirir imagens da
memória no Win2000, XP, Vista, Windows Server 2003 e Windows Server 2008.
Verifica-se que existe uma grande quantidade de ferramentas forenses para a
coleta e a análise de provas de um determinado caso. Além de ferramentas Open
55
Source, freeware, há ferramentas proprietárias. Ressalta-se que todas são de boa

qualidade, dependendo somente da escolha do perito, que precisa conhecer,
estudar e saber utilizá-las.
56
9 CONCLUSÃO
Mediante este estudo, procurou-se mostrar que existem muitas ferramentas

gratuitas para auxiliar na análise forense de sistemas operacionais supostamente
invadidos ou que apresentem anomalias. O foco dado ao uso dessas ferramentas
priorizou os sistemas operacionais com sistema de arquivos NTFS.
Intentou-se mostrar também como é fácil obter e utilizar essas ferramentas.
Além de serem utilizadas em investigações forenses, podem servir para a análise de
uma suposta anomalia de uma ou várias máquinas, a fim de evitar aborrecimentos.
Verifica-se que há um grande número de projetos disponibilizados em Live
CDs, que podem ser obtidos sem custo algum. Desse modo, pode-se ter em mãos
ferramentas gratuitas e de qualidade para análise de qualquer sistema operacional,
nas mais diversas circunstâncias. Se a análise realizada estiver de acordo com
padrões estabelecidos e reconhecidos internacionalmente, o resultado será de alta
qualidade.
Compreende-se que o presente estudo não esgota o tema abordado. Assim,
sugere-se, para estudos futuros, a análise dos procedimentos para o uso dessas
ferramentas e a disponibilização dos resultados aos interessados, sejam estes
estudantes da área ou peritos. Entende-se que isso facilitaria e aumentaria a procura
por essas ferramentas, visto que a compreensão do uso delas contribuiria para
tornar a administração ou gerência de uma rede mais segura.
57
REFERÊNCIAS
BARRETO, A. G.; BRASIL, B. S. Manual de Investigação Cibernética: à luz do

Marco Civil da Internet. São Paulo: Brasport, 2016.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias,

direitos e deveres para o uso da Internet no Brasil. Diário Oficial [da] República
Federativa do Brasil, Poder Executivo, Brasília, DF, 23 abr. 2014.
CÂMARA DOS DEPUTADOS. E-Democracia. 2018. Disponível em:

<https://edemocracia.camara.leg.br/>. Acesso em: 02 mar. 2018.
CASSANTI, M. de O. Crimes Virtuais, Vítimas Reais. Rio de Janeiro: Brasport,

2014.
CHEMELLO, E. Ciência Forense: impressões digitais – química virtual. 2006.

Disponível em: <http://www.quimica.net/emiliano/artigos/2006dez_forense1.pdf>.
Acesso em: 21 maio 2017.
CULTURA DIGITAL. Marco Civil da Internet entra em vigor. 2014. Disponível em:
<http://culturadigital.br/marcocivil/>. Acesso em: 02 mar. 2018.
DEITEL, H. M.; DEITEL, P. J.; CHOFFNES, D. R. Sistemas Operacionais. 3. ed.

São Paulo: Pearson Prentice Hall, 2005.
ELEUTÉRIO, P. M. da S.; MACHADO, M. P. Desvendando a Computação

Forense. São Paulo: Novatec, 2011.
INFOCRIME COMPUTAÇÃO FORENSE. A Timeline e Metadados de Data e Hora.

2011. Disponível em: <https://www.infocrime.com.br/?s=METADADOS>. Acesso em:
28 fev. 2018.
LEMOS, R. O Marco Civil como símbolo do desejo por inovação do Brasil. In: LEITE,
G. S.; LEMOS, R. Marco Civil da Internet. São Paulo: Editora Atlas, 2014.
MARQUES, J. A. et al. Sistemas Operacionais: estudos de caso em Unix, Linux e

Windows. Adaptação e Revisão Técnica: Edgar Toshiro Yano. Rio de Janeiro: LTC,
2011.
MICHAELIS. Dicionário Escolar Língua Portuguesa. São Paulo: Melhoramentos,

2010.
MICROSOFT. Visão Geral dos Sistemas de Arquivos FAT, HPFS e NTFS. 2017.
Disponível em: <https://support.microsoft.com/pt-br/help/100108/overview-of-fat-
hpfs-and-ntfs-file-systems>. Acesso em: 26 fev. 2018.
NATIONAL WHITE COLLAR CRIME CENTER. About us. 2018. Disponível em:
<https://www.nw3c.org/>. Acesso em: 03 mar. 2018.
58
NTFS. Fonte de Informação completa: sistema de arquivos NTFS e FAT e

recuperação de dados. 2010. Disponível em: <http://www.ntfs.com/ntfs-mft.htm>.
Acesso em: 28 fev. 2018.
OLIVEIRA, N. M. C. C.; MORGADO, M. Crimes Cibernéticos. São Paulo: Livraria

do Advogado Editora, 2016.
RFC. Guidelines for Evidence Collection and Archiving – Network Working

Group D. Brezinski Category: Best Current Pratice neart.org. 2002. Disponível em:
<http://www.faqs.org/rfcs/rfc3227.html>. Acesso em: 13 jul. 2017.
ROCHA, C. G. de. Perícia Forense Computacional. 2018. Disponível em:

<http://diatinf.ifrn.edu.br/prof/lib/exe/fetch.php?media=user:1379492:pericia_forense_
computacional:1-introducao-definicoes.pdf>. Acesso em: 03 mar. 2018.
SCHWEITZER, D. Incident Response: Computer Forensics Toolkit. Indianapolis,

EUA: Wiley, 2003.
VENEMA, D. F. W. Perícia Forense Computacional: teoria e prática aplicada. São

Paulo: Pearson Prentice Hall, 2007.

Computação Forense Trabalho de Conclusão de Curso

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Computação Forense Trabalho de Conclusão de Curso

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE PAULISTA

RENATO ETERNO DE MATOS

Trabalho de Conclusão de Curso para

Orientador: Prof. Ricardo Vila Verde

Trabalho de Conclusão de Curso para

Aprovado em: _____/______/_________

Dedico o presente estudo à minha família; em especial, à minha mãe,

Primeiramente, agradeço a DEUS, por ser a base das minhas conquistas.

À minha mãe Carmelita Alves e à minha família, por acreditarem e terem

Ao professor Ricardo Vila Verde, pela dedicação em suas orientações,

A recuperação de dados, sensíveis ou comuns, é imprescindível, em especial nos

Palavras-chave: Estudo de Caso. Forense computacional. Forense digital. Técnicas

Keywords: Case study. Digital forensics. Computational forensics. Digital traces.

Figura 1 – Plataforma digital: Marco Civil da Internet............................................ 21

CAINE - Computer Aided Investigative Environment

Na atualidade, verifica-se o aumento do uso de tecnologia no dia a dia das

Tem como dever examinar vestígios e produzir laudos, através de um

Neste estudo será apresentada a funcionalidade dos softwares que objetivam

3 TECNOLOGIA DA INFORMAÇÃO E AMBIENTE VIRTUAL

Iniciada no Brasil nos anos 1990, a revolução tecnológica possibilitou o uso

3.1 O Direito Digital no Brasil

Nesse contexto, segundo Barreto e Brasil (2016), uma problemática se

mais de 2.253,1% no período compreendido entre os anos 2000 e 2015, havendo

o Decreto n. 3.810, de 02 de maio de 2001. Há também a Convenção de

3.2 Marco Civil da Internet

Tendo em vista a promoção de princípios, garantias, direitos e deveres de

A Situação pré-Marco Civil era de completa ausência de regulamentação

Encontra-se na Lei n. 12.965 alguns capítulos fundamentais para o uso da

estabelece conceitos fundamentais, bem como disciplina, como forma de obtenção

3.2.1 Histórico do Marco Civil da Internet no Brasil

O projeto do Marco Civil da Internet iniciou-se com a parceria entre a

Figura 1 – Plataforma digital: Marco Civil da Internet

Fonte: Cultura Digital, 2014.

Essa iniciativa de criar uma Plataforma Digital resultou em milhares de

Figura 2 – Plataforma Digital: e-Democracia

Fonte: Câmara dos Deputados, 2018.

Ao chegar à Câmara, discutiu-se o Projeto de Lei n. 84/99, sendo esse

A forense computacional prioriza estudar, desenvolver técnicas e ferramentas

importante preservar e guardar bem o local. Ressalta-se, também, em um contexto

Dependendo da situação encontrada, o perito pode interromper as conexões

digital, e o COFEE faz exatamente a análise desses dados voláteis contidos na

Fonte: National White Collar Crime Center, 2018.

Depois de tomadas as providências expostas, parte-se para a coleta dos

Quais as conexões que correspondem com a data, os nomes de

A preservação tem como objetivo garantir que as informações armazenadas

arquivos em que os dispositivos de destino podem receber imagens de outros

Na análise dos dados, as informações extraídas são examinadas, e a

A fase final do exame forense é a formalização, que consiste na elaboração

6 COLETA DE EVIDÊNCIAS DIGITAIS EM DISPOSITIVOS DE

Uma evidência digital refere-se a qualquer informação digital capaz de

6.1 Diretrizes para coleta de provas com a RFC 3227

A Request for Comments (RFC) é um documento que apresenta

A RFC 3227 tem como principal objetivo mostrar aos administradores de

 Proceder com métodos, e não com incertezas; tenha sempre a certeza de

6.2 Volatilidade dos dispositivos e sua ordem

A coleta de evidências é o que vai determinar o fator de cada uma: se são

6.2.1 Processos de execução armazenados pela CPU

Os processos armazenados pela Central Process Unit (CPU) são de mínima

A memória cache é mais rápida que a memória principal, encontrando-se em

6.2.2 Memória de periféricos

Os periféricos consistem em aparelhos ou placas que enviam e recebem

6.2.3 Memória principal do sistema

Nesse contexto, é indispensável a análise da memória principal do sistema

Aprovado em: _//_______