Curso 27106 Aula 00 Prof Matteus 0418 Completo

Livro Eletrônico
Aula 00 (Prof Matteus)
Antiforense e Imagens Digitais p/ Polícia Científica-PR (Perito Criminal - Área 1 - TI)
Professor: Leon Sólon da Silva, Matteus Barreto Oliveira

Antiforense e Imagens Digitais
Polícia Científica-PR (Perito Criminal - Área 1 - TI)
Prof. Matteus Barreto - Aula 01
AULA 01: Identificação, isolamento, coleta e preservação do

vestígio cibernético. Vestígios cibernéticos. Identificação
Isolamento físico e lógico. Coleta, registro e preservação
Coleta de dados voláteis.
Sumário
SOBRE O PROFESSOR E A AULA .............................................................................. 3
INTRODUÇÃO ................................................................................................................ 3
VESTÍGIO CIBERNÉTICO ............................................................................................ 5
IDENTIFICAÇÃO ........................................................................................................... 7
ISOLAMENTO .............................................................................................................. 10
REGISTRO ..................................................................................................................... 15
COLETA ........................................................................................................................ 17
PRESERVAÇÃO ........................................................................................................... 17
DADOS VOLÁTEIS ...................................................................................................... 19
GLOSSÁRIO .................................................................................................................. 21
BIBLIOGRAFIA ............................................................................................................ 22
Lista de Questões ............................................................................................................ 23
Questões Comentadas ..................................................................................................... 36
Gabarito .......................................................................................................................... 62
SOBRE O PROFESSOR E A AULA
Meu nome é Matteus Barreto, sou Bacharel em Ciência da

Computação pela UFBa, atualmente Analista de Infraestrutura de
TI no Banco Central do Brasil (concurso 2013, aprovado 1º lugar
nas provas objetivas), em 2014 também exerci o cargo de Analista
de Finanças e Controle da STN / Infraestrutura de TI (concurso
2012, aprovado em 1º lugar). Em 2012 prestei também o concurso
de perito da Polícia Civil do DF, ficando em 1º lugar na prova
objetiva (BANCA UNIVERSA).
Com mais de 10 anos de experiência na área de concursos

públicos espero contribuir para a aprovação de vocês no concurso
da Polícia Científica do Paraná.
Como questões de certames passados sobre o assunto

abordado na presente aula (identificação, isolamento, coleta,
registro e preservação do vestígio digital) são bastante escassas,
eu acabei lançando mão de algumas questões presentes na
bibliografia utilizada (livro Desvendando a Computação
Forense [DCF] do professor e perito da PF Pedro Eleutério) e de
algumas questões de minha própria autoria (indicadas pela sigla
IMBO).
INTRODUÇÃO
Na presente aula serão abordados os temas relacionados à

identificação
Com a evolução da tecnologia, muitos dos crimes que antes

eram praticados da maneira convencional hoje contam com o
auxílio da tecnologia. A evolução tecnológica também ensejou o
aparecimento de crimes que sem ela não existiriam. Um bom
exemplo desses últimos são os crimes tipificados pelo ECA nos
artigos 241-A e 241-B. Citando os respectivos artigos:
Art. 241-A. Oferecer, trocar, disponibilizar,

transmitir, distribuir, publicar ou divulgar por qualquer
meio, inclusive por meio de sistema de informática ou
telemático, fotografia, vídeo ou outro registro que

contenha cena de sexo explícito ou pornográfica
envolvendo criança ou adolescente: (Incluído
pela Lei nº 11.829, de 2008)
Pena – reclusão, de 3 (três) a 6 (seis) anos, e

multa.
Art. 241-B. Adquirir, possuir ou armazenar, por

qualquer meio, fotografia, vídeo ou outra forma de
registro que contenha cena de sexo explícito ou
pornográfica envolvendo criança ou adolescente:
(Incluído pela Lei nº 11.829, de 2008)
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e

multa.
São dois, então, os tipos de crime que podem ser cometidos

com equipamentos computacionais:
O primeiro tipo é aquele que ocorreria mesmo que não

existissem computadores, o computador é um meio utilizado
para a prática do crime. Um roubo a banco que teria sido planejado
com o uso de planilhas eletrônica e mapas digitais. Poderia ser
muito bem praticado mesmo sem o auxílio da tecnologia.
Já uma fraude bancária cometida por um hacker BLACKHAT

que invadisse o sistema da instituição e desviasse uma quantia
vultosa para uma outra conta só aconteceria com o uso da
tecnologia: computadores, redes de comunicação, etc. Esse é o
segundo tipo de crime.
Considerando a evolução da prática criminosa junto com a

tecnologia, e também que essa prática utiliza de diversos
conhecimentos relacionados a uma área específica da tecnologia,
no nosso caso da informática, é natural que as forças da lei
deveriam também evoluir para fazer frente a tal quadro e nesse
contexto surge a figura do especialista/expert/perito em
informática/computação forense.
Indo ao encontro dessas considerações, temos o Código de

Processo Penal (CPP) que assevera nos seus artigos 158 e 159 do
Capítulo II (DO EXAME DO CORPO DE DELITO, E DAS PERÍCIAS

EM GERAL):
Art. 158. Quando a infração deixar vestígios, será

indispensável o exame de corpo de delito, direto ou
indireto, não podendo supri-lo a confissão do acusado.
Art. 159. O exame de corpo de delito e outras perícias

serão realizados por perito oficial, portador de diploma de
curso superior.
O perito irá através de uma atuação embasada na ciência

garantir o valor probatório das provas recolhidas nos locais de
crime. Esses locais de crime não são mais locais de crime
convencionais, mas sim locais de crime de informática. O perito
em informática deverá ter conhecimentos especializados em
computação, segurança da informação e até mesmo de direito
digital para que seja plenamente capaz de recolher vestígios
digitais (cibernéticos), em última análise cadeias de zeros e uns.
VESTÍGIO CIBERNÉTICO
Vestígio Cibernético ou Vestígio Digital, segundo o Tratado

de Computação Forense 1a Edição (TCF1ED), é "[...] qualquer
informação de valor probatório que tenha sido armazenada
ou transmitida em meio digital e que PODE ser utilizada
para comprovação de um crime." Quando se chega à
conclusão, através de uma análise detida, de que o vestígio em
apreço tem ligação com a prática criminosa esse vestígio digital
passa a ser considerado uma evidencia digital.
E segundo a ISO/IEC 27037:2012 essa evidência digital é,

por natureza, frágil, demandando uma metodologia para sua
identificação, isolamento, coleta e preservação, garantindo
assim sua autenticidade e integridade.
ISO/IEC 27037:2012 INTRO
“Due to the fragility of digital evidence, it is

necessary to carry out an acceptable methodology to
ensure the integrity and authenticity of the potential

digital evidence.”
O vestígio cibernético é o vestígio produzido por um crime

cibernético. O que é crime cibernético? Segundo a SYMANTEC:
"[...] qualquer delito em que tenha sido utilizado

um computador, uma rede ou um dispositivo de
hardware. O computador ou dispositivo pode ser o
agente, o facilitador ou a vítima do crime. O delito pode
ocorrer apenas no computador, bem como em outras
localizações. [...]".
Como vimos na seção anterior, os crimes podem ser

cometidos usando o equipamento computacional como
ferramenta (o crime poderia ser praticado mesmo sem o
equipamento) ou como meio (o crime é impossível sem o uso do
equipamento computacional.)
Além disso, os crimes cibernéticos diferem dos crimes

convencionais na medida em que os vestígios deixados por esse
tipo de crime se espalham por diversos ambientes o que exige
capacidade analítica do perito para um correto isolamento desses
vestígios.
De acordo com o Tratado de Computação Forense 1a Edição,

o tipo de vestígio deixado pelos crimes cibernéticos pode ser
definido como:
"[...] o conjunto de informações extraídas de um

sistema computacional que permita esclarecer os fatos
por trás de um crime ou fato em apuração, bem como
os elementos físicos relacionados, que sirvam de
suporte para o armazenamento, produção ou o trânsito
da informação."
É na interação do criminoso com os equipamentos

computacionais, que lhe serviram para o cometimento desses
delitos, que os vestígios serão produzidos. Esses vestígios,
segundo máxima utilizada na forense, serão testemunhas
silenciosas contra o criminoso.
O tratamento dos vestígios cibernéticos segue um passo-a-

passo, mas que nem sempre será executado estritamente em
sequência, e que será tema das próximas seções dessa aula, a
saber:
A) IDENTIFICAÇÃO
B) ISOLAMENTO
C) REGISTRO
D) COLETA
E) PRESERVAÇÃO
Essas atividades deverão seguir uma metodologia aderente

ao guia estabelecido pela norma ISO/IEC 27037:2012, sempre se
respeitando a autonomia jurisdicional de cada país, a fim de que
a integridade e a autenticidade da das evidências digitais
sejam asseguradas, dado a fragilidade característica desse tipo
de evidência.
IDENTIFICAÇÃO
No processo de identificação é necessário que se diferencie

aqueles elementos do contexto lógico daqueles do contexto físico.
Isso porque uma outra peculiaridade dos crimes cibernéticos é que
esse tipo de crime possui dois contextos forenses diferentes.
Contexto físico: formado pelos dispositivos de entrada,

saída e processamento da informação, isto é, a parte
palpável do sistema sendo periciado. Provê suporte ao
contexto lógico.
Contexto lógico: composto pelos zeros e uns, isto é,

pela parte binária/lógica do sistema periciado. Seria o que
não é tangível nesse sistema.
Um disco de DVD recolhido na cena do crime faria parte do

contexto físico, ao passo que os dados contidos nesse disco fariam
parte do contexto lógico.
Um item do contexto lógico pode se relacionar a 1 ou vários

itens do contexto físico e vice-versa. Se pensarmos em um
computador com vários sistemas operacionais teríamos um item
do contexto físico se relacionando com vários do contexto lógico,
por exemplo. Um arranjo de discos configurados em RAID é o
exemplo inverso: vários itens físicos se relacionando a 1 item
lógico. O perito deve ter em mente essas possíveis relações
quando estiver executando o processo de identificação.
Uma vez que se saiba o que se está apurando fica mais

fácil fazer a identificação dos equipamentos
computacionais envolvidos na prática delitiva.
A identificação das evidências irá definir o escopo da

análise forense que será feita posteriormente no laboratório. Por
isso é recomendável que se identifique e classifique como
evidência apenas aquilo que tenha relação com o delito uma vez
que identificar e classificar como evidência, erroneamente, muitos
vestígios podem levar a um aumento exagerado no escopo de
análise laboratorial, o que irá consumir tempo da equipe de perícia.
Em matéria de direito o desperdício desse tempo pode ocasionar a
perda de alguns prazos judiciais levando a absolvição de um
culpado, por exemplo.
A evolução tecnológica colocou uma série de desafios para o

profissional da área de perícia informática, principalmente no
quesito identificação.
Dois pontos a considerar:
Hoje em dia muitos dispositivos apesar de muito similares

desempenham funções completamente diferentes, a exemplo de
um token criptográfico, um adaptador e um pen drive. Identificar
incorretamente algum desses itens pode levar a retrabalho
e desperdício de tempo da equipe com as consequências já
mencionadas anteriormente. O apelo comercial também vai
dificultar um pouco a identificação de itens relevantes à
investigação, visto que temos, por exemplo, pen drives que se
camuflam nos mais diferentes formatos, desde personagens
infantis até abridores de garrafa.
Tokens Criptográficos
Pen drives “estranhos”
O outro ponto é que muitos dispositivos de comunicação

podem exercer funções múltiplas a exemplo de switches que
atuam na camada 3 do modelo OSI também. É necessário ter
ciência desse fato para que se faça uma identificação correta e que
se proceda à coleta posterior de TODAS as informações
relevantes para a elucidação do caso, como neste exemplo do
switch camada 3 (coleta de uma tabela de rotas, por exemplo).
ISOLAMENTO
Quando se fala em isolamento o que vem à mente é aquela

imagem clássica de seriados no estilo CSI onde um agente da lei
usa uma fita plástica para que o local onde ocorreu a prática
delitiva fique inacessível aos transeuntes.
Isolamento busca assegurar integridade dos vestígios
Qual é a importância do isolamento do local de crime?

Garantir a integridade dos vestígios/evidências ali presentes
naquele local. Essa garantia, aliás, encontra lastro na legislação
penal, uma vez que o Art. 347 do CP tipifica o ato de modificar o
corpo de delito a fim de levar o juiz ou perito a erro.
Fraude processual
Art. 347 - Inovar artificiosamente, na pendência

de processo civil ou administrativo, o estado de lugar,
de coisa ou de pessoa, com o fim de induzir a erro o
juiz ou o perito:
Pena - detenção, de três meses a dois anos, e

multa.
Parágrafo único - Se a inovação se destina a

produzir efeito em processo penal, ainda que não
iniciado, as penas aplicam-se em dobro.
Por "inovação" o CP quer se referir a modificação do local de

crime. Então, por que isolar o local do crime?
 Para que se analise vestígios qualificadores da infração

penal.
 Para que se preservem os vestígios que auxiliem na
identificação do criminoso.
 Para que se perpetue e se legalize as provas materiais.
 E para que se elimine uma falsa comunicação do que
se passou (fraude processual).
Nesse sentido prescreve o Art. 169 do CPP:
Art. 169. Para o efeito de exame do local onde

houver sido praticada a infração, a autoridade
providenciará imediatamente para que não se altere o
estado das coisas até a chegada dos peritos, que
poderão instruir seus laudos com fotografias,
desenhos ou esquemas elucidativos.
Constitui-se frágil e delicado o local do crime exigindo,

portanto, extremo cuidado para que provas não sejam perdidas.
Como estamos retratando os crimes cibernéticos, existe uma

dificuldade adicional advinda da separação dos contextos físico e
lógico desse tipo de crime. Primeiro trataremos do isolamento
físico e depois do isolamento lógico.
ISOLAMENTO FÍSICO
No isolamento físico é preciso delimitar o perímetro do local

de crime a fim de preservar os vestígios nele existentes. Uma boa
prática é isolar a maior área possível, contanto que tenha relação
com o fato delituoso, a fim de proteger os vestígios de uma
alteração, seja ela proposital ou não.
Não apenas o homem pode ser responsável pela

corrupção de vestígios, mas também agentes físico-
naturais, como a chuva ou o fogo por exemplo. Algumas
classificações quanto ao local do crime servirão de guia para que
o isolamento seja feito da maneira correta.
Quanto a região espacial os locais de crime se classificam em

imediatos, local onde a presença de vestígios relacionados ao fato
está concentrada, e mediatos, local adjacente ao imediato e onde
há a possibilidade de se encontrar vestígios relacionados ao fato,
embora essa chance seja menor. Nos crimes de informática tanto
o local imediato quanto o local mediato pode se estender por locais
diferentes já que a prática delitiva pode ter ocorrido em uma
cidade como São Paulo, por exemplo, e os seus efeitos podem ter
ocorrido até mesmo em outro país, como é o caso dos crimes
contra sistemas de instituições bancárias.
Uma terceira classificação quanto à região é a de local

relacionado: é todo e qualquer lugar sem ligação geográfica
direta com o local do crime e que possa conter algum vestígio ou
informação que propicie ser relacionado ou venha a auxiliar no
contexto do exame pericial.
Quanto a preservação, pode ser idôneo ou inidôneo: se

houve comprometimento dos vestígios será inidôneo, caso
contrário, idôneo.
Em relação à área: Interna ou Externa. Desde que haja

proteção superior, telhado ou algo que o valha, contra as
intempéries, será INTERNA. Caso contrário, EXTERNA.
ISOLAMENTO LÓGICO
Dependendo do tipo de equipamento a ser isolado,

procedimento específicos serão de pronto adotados. Os
dispositivos mais comuns nos locais de crimes cibernéticos são os
PC’s (estações e notebooks) mídias de armazenamento de dados
avulsas, dispositivos de entrada e saída (impressoras e scanners),
equipamentos de rede e, por fim e cada vez mais comuns,
telefones móveis. A seguir os cuidados mais indicados no
isolamento lógico de cada um desses dispositivos.
No caso de computadores pessoais geralmente o que há

de mais interessante, em termos de vestígios, é o disco rígido.
Deve-se observar se existem mídias avulsas dentro dos drives
leitores de discos óticos ou dentro de drives leitores de discos
magnéticos removíveis (hoje em dia, muito raro) e retirá-los.

Quando for constatada a presença de um arranjo de discos em
RAID deve-se tomar o cuidado de incluir a placa controladora entre
os itens a serem isolados no contexto físico, já que ao arranjo de
discos corresponde um único item do contexto lógico, o disco
lógico.
Caso os dispositivos mencionados no parágrafo

anterior estejam ligados é sempre recomendável que se
verifique a possibilidade de caracterizar possível flagrante.
A memória primária, RAM, volátil poderá conter dados
necessários à caracterização da situação de flagrância o que
pode ensejar a execução da coleta do seu conteúdo. Para isso
existem algumas ferramentas. Uma vez feitas essas ponderações,
os equipamentos devem ser desligados de forma abrupta,
uma vez que o processo convencional de desligamento do Sistema
Operacional pode fazer com que vestígios nos dispositivos de
armazenamento secundário sejam perdidos, uma vez que alguns
processos envolvidos no desligamento podem sobrescrever áreas
do disco que podem conter vestígios relacionados ao ato delituoso.
Para Desktops, desconecta-se a alimentação da rede elétrica. Para
notebooks, a bateria é removida.
Os dispositivos de entrada e saída, em geral, não

apresentam interesse para a perícia. No livro Tratado de
Computação Forense 1a Edição, os autores dão um exemplo
hipotético em que um teclado defeituoso, problema com algumas
teclas, poderia ser recolhido a fim de que se provasse que e-mails
difamatórios teriam sido digitados com aquele teclado específico.
Outros dispositivos e E/S que podem interessar à perícia são as
impressoras e os scanners, principalmente nos crimes de
contrafação (cópias não autorizadas de audiovisuais) onde esse
tipo de equipamento é utilizado para digitalização e posterior
impressão de encartes.
Mídias avulsas: nessa categoria estão incluídas todas as

mídias de armazenamento secundário, de disquetes a cartões
micro SD passando por HDS externos e PEN DRIVES. No caso de
mídias READ ONLY não é necessário tomar tantos cuidados quanto
em relação àquelas mídias sensíveis à escrita, que demandarão o
uso de técnicas específicas visando a preservação dos dados ali

contidos. Hoje em dia existe uma infinidade de dispositivos que
apresentam algum tipo de memória interna que podem conter
informações que interessem à elucidação dos fatos: são relógios,
players de MP3, câmeras filmadoras, entre outros. O perito deve
se atentar para essas situações de modo a isolar corretamente o
corpo de delito (conjunto de vestígios deixados pela
conduta delituosa).
HDS internos de PC’s podem de início ser analisados no

próprio local do crime ou serem levados para análise em
laboratório. Se a opção pela análise in loco for feita, será utilizado
um S.O. (Sistema Operacional) forense que será inicializado por
uma outra mídia: O C.A.I.N.E (Computer Aided INvestigative
Environment) é uma distribuição Linux que pode ser utilizada
para tal finalidade. Esse tipo de S.O. forense oferece a
possibilidade de extração da evidência lógica dispensando assim a
coleta do suporte físico correspondente. A integridade da
evidência será assegurada através da aplicação da
operação de resumo criptográfico (HASH) sobre a evidência
coletada.
Equipamentos de rede podem ser de interesse à perícia, já

que podem conter vestígios. Daí ser necessário sua identificação e
isolamento uma vez que dados e configurações desses
equipamentos podem ser importantes à elucidação da verdade dos
fatos.
Equipamentos de telefonia móvel vão demandar níveis de

cuidados semelhantes aos PCS com a diferença de que eles devem
ser isolados da rede de telefonia, através de bloqueadores, a fim
de que não haja modificação em dados de interesse para a
investigação, como seria o caso se uma nova ligação
sobrescrevesse, no registro das ligações recebidas, uma ligação
mais antiga. O uso de bags especiais que cortam o sinal das
operadoras pode ser uma alternativa para esse fim. Uma
peculiaridade desse tipo de aparelho é que algumas vezes é
impossível fazer uma imagem, em outra mídia, dos dados
armazenados no aparelho, principalmente em modelos antigos,
sendo necessário fazer os exames periciais no próprio dispositivo,
daí ser preciso cuidado redobrado nesses casos.
REGISTRO
Esse passo é de suma importância na medida em que o

registro pericial do local onde se deu a prática delituosa suprirá os
profissionais encarregados pelo exame do local de informações
auxiliares que complementarão a identificação dos vestígios,
diminuindo, assim, as chances de se ignorar informações que
levem a verdade do que se passou: materialidade, autoria e modus
operandi do crime.
O REGISTRO Nada mais é do que a documentação que se faz

após a identificação e a busca por vestígios e que pode ser
conduzida através de diferentes técnicas, entre elas: descrição
narrativa, levantamento fotográfico e esboço de croqui.
A descrição narrativa é o relato do que é achado no local.

No caso de crimes convencionais, faz-se o registro minucioso dos
objetos encontrados na cena do crime, de suas posições exatas.
Os crimes cibernéticos, em geral, vão dispensar essa descrição
importando mais registrar atributos físicos dos itens, o estado em
que se encontram e como eles se relacionam entre si.
No levantamento fotográfico, forma de registro tantas

vezes mostrada na ficção em filmes e seriados, o perito irá utilizar
todo um cabedal de equipamentos de foto e vídeo para
documentar a cena do crime de maneira detalhada.
Equipamentos utilizados no registro da cena do delito
Os peritos fotografam tudo antes de mexer ou mover

qualquer parte da prova. Três são os tipos de fotografias tiradas
pela perícia para que se documente a cena do crime: visão geral,
média distância e close-ups. Essas fotografias devem ser tiradas
em alta resolução de modo a não se perder os detalhes quando se
quiser analisar essas fotos utilizando softwares que as ampliem.
Uma última técnica discutida aqui é que faz uso de esboços

de croquis. Esse tipo de desenho visa demonstrar a medida e a
posição relativa dos objetos encontrados na cena do crime além
de mostrar a relação desses objetos com a planta baixa do local
(croquis em 2D).
O perito pode utilizar de uma ou mais dessas técnicas em

combinação.
Como não nos cansamos de repisar, o crime cibernético conta

com os contextos físico e lógico que devem ser sempre
considerados pelo perito, inclusive para fins de registro. Então,
importa mais, além da descrição da relação entre os contextos
físico e lógico desses itens, a descrição de atributos físicos e o
estado em que se encontram tais itens informáticos da cena
do crime: é preciso individualizar cada item desse tipo, que tenha
interesse para a elucidação dos fatos, através dessa descrição. Por
isso é crucial descrever marca, modelo, cor, número de série,
capacidade de armazenamento etc.
COLETA
A coleta nada mais é do que o recolhimento dos itens

encontrados para posterior análise em laboratório. Em se tratando
de crimes cibernéticos sempre vai entrar em consideração os
contextos físico e lógico. Tradicionalmente, em termos de coleta,
o contexto físico ainda prevalece. Se o interesse da investigação é
apenas no diretório "DOAÇÕES ELEITORAIS" de uma instalação
WINDOWS, ainda assim o disco rígido inteiro será recolhido.
Como já foi dito, a identificação e coleta de um número

excessivo de itens do local do crime pode levar à uma análise
demorada em laboratório, por vezes desnecessária, arriscando
dessa maneira até mesmo o sucesso da investigação. Por isso que
é importante limitar-se ao que se está investigando, e para isso é
não menos importante ter um bom conhecimento da própria
investigação. Daí que nas fases de planejamento da ação policial
uma equipe bem preparada e diversificada será sempre bem vinda,
já que coletar de mais pode levar à perda de tempo da
investigação e coletar de menos pode levar à incompletude
da investigação.
A fase de coleta guarda relação intrínseca com a próxima

fase, a preservação, na medida em que é necessário que o que
seja coletado seja acondicionado de forma adequada a fim de se
preservar a integridade física (e por tabela a integridade lógica) do
material recolhido.
PRESERVAÇÃO
Depois de executada a coleta faz-se mister o correto

acondicionamento do material a ser recolhido e transportado,
principalmente em se tratando de crimes cibernéticos, em que os
vestígios podem ser perdidos caso não se faça a correta
preservação dos itens coletados. São diversos os fatores que
podem causar danos aos itens coletados na cena de um crime
cibernético.
Os choques mecânicos podem causar danos a qualquer

tipo de equipamento computacional. As mídias óticas sofrem com
os famigerados arranhões que podem simplesmente inutilizá-las.
No que toca ao transporte dos equipamentos, deve ser realizado
com o máximo de cuidado, sempre utilizando algo que diminua
tanto a vibração quanto o risco de choques mecânicos. Plástico-
bolha, isopor, jornal ou algo que o valha, devem ser utilizados para
esse fim. Como é sempre recomendável quando se transporta uma
carga frágil, deve-se evitar o empilhamento excessivo das caixas
contendo os materiais recolhidos.
Um outro agente a ser considerado é a temperatura. Tanto

a temperatura excessiva é prejudicial, a exemplo de mídia óticas
que se deformam sob calor intenso, quanto a variação excessiva
da temperatura, o que pode ocasionar o surgimento de micro
fraturas nos componentes dos equipamentos e nas próprias mídias
óticas.
A umidade também pode causar danos aos equipamentos.

É fácil perceber isso quando se vive em regiões de umidade
extrema já que nesse tipo de ambiente existe uma proliferação
muito maior de fungos e a oxidação de placas eletrônicas se dá
muito mais facilmente. Se for uma região litorânea o salitre irá
acelerar ainda mais o processo. Por isso é preciso se livrar dessa
umidade excessiva e manter o ambiente onde será armazenado os
equipamentos com uma umidade adequada. Sílica gel e
climatizadores podem ser usados para dar conta desse problema.
Ambientes extremamente secos também podem representar
perigo aos equipamentos devido ao acúmulo de eletricidade
estática nas superfícies.
Os campos elétricos também interferem no bom

funcionamento dos equipamentos eletrônicos. O aterramento
elétrico deve ser uma prioridade em qualquer instalação elétrica.
O manuseio de equipamentos eletrônicos, sempre que possível,
deve ser feito com o uso da pulseira antiestática, ou na sua falta
de tempos em tempos deve-se tocar em alguma parte de um algo
metálico caso não haja aterramento no local. Outras
recomendações são: nunca tocar em nenhum componente
diretamente em seus circuitos, deve-se segurar pelos lados da

placa ou dispositivo; manter as placas em embalagens
antiestáticas, não utilize sacos plásticos comuns, pois estes são
grandes acumuladores de eletricidade estática e poderão danificar
os componentes por eles guardados.
Por fim, os campos magnéticos podem representar perigo

para os meios que utilizam esse tipo de tecnologia para
armazenamento de dados, tais como os discos flexíveis
(disquetes), discos rígidos e fitas cassetes. Isso porque esse tipo
de mídia armazena informações em uma superfície revestida por
uma fina camada de material ferromagnético que pode sofrer um
desalinhamento sob a influência do campo magnético gerado por
motores, imãs e autofalantes (caixas de som). Daí ser necessária
atenção em relação a esse tipo de problema na fase de
preservação.
DADOS VOLÁTEIS
Os dados voláteis são aqueles que dependem da

energização do equipamento para persistir. Como essa
memória volátil pode conter informações cruciais para o
prosseguimento da investigação, tais como senhas e chaves
criptográficas, muitas vezes se faz necessário realizar sua extração
através de ferramentas e técnicas específicas. O conhecimento
dessas técnicas e ferramentas é de suma importância para a
atividade pericial já que a criptografia hoje representa um dos
grandes desafios para a forense computacional e a coleta de dados
voláteis podem revelar senhas e chaves criptográficas.
Os dados encontrados na memória volátil vão além de

senhas e chaves criptográficas. Além disso, são encontrados
dados de processos, manipuladores (HANDLES) de arquivos
abertos e de chaves de registro, informações de rede, conteúdo
não criptografado, dados ocultos e códigos maliciosos.
Todos os processos em execução são armazenados na

memória volátil e podem ser recuperados a partir de estruturas de
dados do SO que guardam esses processos. Processos que
terminaram ainda podem residir na memória volátil, também.
Os manipuladores (HANDLES) de arquivos abertos e de

chaves de registro sendo utilizadas por um código malicioso podem
dar pistas do comportamento desse malware além de revelar onde
o próprio malware está armazenado no disco.
As informações de rede em memória volátil podem revelar

conexões de rede estabelecidas, portas de rede em escuta
(LISTENNING) e tais informações às vezes podem ser falseadas
pelas próprias ferramentas do S.O. (NETSTAT, por exemplo), que
podem ter sido corrompidas.
Uma das vantagens mais críticas da forense em

memória volátil é, sem dúvidas, a aquisição de senhas e
chaves criptográficas que via de regra nunca são
armazenadas em disco sem algum tipo de proteção
adicional. Quando peritos capturam a memória volátil, eles
podem analisá-la à procura de chaves criptográficas e senhas que
podem ajudá-los a recuperar dados críticos que estão protegidos
por senhas ou ainda criptografados.
A aquisição (extração) da memória volátil pode ser

realizada por duas vias distintas: software ou hardware. Em
geral, é preferível a extração via hardware, por ser mais confiável,
mas a extração via software hoje em dia é mais utilizada devido a
uma boa relação custo-benefício.
A aquisição via hardware envolve a suspenção do

processador do computador e o uso de DMA (Direct Memory
Access) para obter uma cópia da memória.
A aquisição via software pode ser feita tanto por ferramentas

confiáveis, FTK Imager é um exemplo, como também através
ferramentas do próprio sistema (memdump e dd são exemplos do
mundo Unix) mas essas ferramentas do sistema podem ter sido
de alguma forma comprometidas. É por isso que a extração via
hardware é sempre mais confiável.
GLOSSÁRIO
COMPUTAÇÃO FORENSE - "Ramificação da Criminalística que

tem como objetivo a análise de vestígios cibernéticos, englobando
os elementos que os orbitam." (TCF, 1a ed.)
CHAVE CRIPTOGRÁFICA - Um parâmetro de entrada que faz

a transformação executada por um algoritmo criptográfico variar.
(RFC2828)
FUNÇÃO DE HASH - Um algoritmo que mapeia valores de um

domínio grande (objetos de dados tais como uma mensagem ou
um arquivo) em uma faixa de resultados (saída da função) menor
(de tamanho fixo, usualmente). Uma função de HASH criptográfico
de interesse para a área de segurança deve ser tal que seja
inviável obter o objeto de dados que serviu de entrada para a
função a dado o seu resultado (saída da função), ou seja, deve ser
livre de colisões. Essa propriedade é de extrema relevância para a
forense na medida em que o HASH criptográfico pode é a prova da
integridade do vestígio identificado, isolado, registrado, coletado e
preservado.
VESTÍGIO DIGITAL - "Qualquer informação de valor

probatório que tenha sido armazenada ou transmitida em meio
digital e que pode ser utilizada para comprovação de um crime."
(TCF, 1 ed.)
EVIDÊNCIA DIGITAL - Após análise detida, uma vez que se

demonstre que o vestígio em apreço tem ligação com a prática
criminosa, esse vestígio digital passa a ser considerado uma
evidencia digital.
CORPO DE DELITO - Consiste no conjunto de vestígios

materiais que resultam da prática infracional. O exame de corpo
de delito vem para a comprovação concreta do crime: o estudo
sobre esse corpo de delito irá demonstrar ou não a materialidade
do crime.
CADEIA DE CUSTÓDIA - O processo pelo qual as provas estão

sempre sob o cuidado de um indivíduo conhecido e acompanhado
de um documento assinado pelo seu responsável, naquele
momento (WATSON, James D, et al. DNA Recombinante: genes e

genomas. Artmed Editora. 3a Ed. 2009.) Seu início, conforme
depreende-se do Art. 6o do CPP, dá-se logo após o conhecimento
do fato criminoso.
LAUDO PERICIAL - É a peça escrita, na qual os peritos

expõem, de forma circunstanciada, as observações e estudos que
fizeram e registraram além das conclusões fundamentadas da
perícia.
BIBLIOGRAFIA
https://www.sans.org
http://symantec.com/
Desvendando a Computação Forense (escrito pelos

PCPF’s Pedro Eleutério e Márcio Pereira Machado, editora NOVATEC
)
Tratado de Computação Forense, 1ª Edição (diversos

autores, editora MILLENIUM)
ISO/IEC 27037:2012
Código Penal
Código de Processo Penal
RFC2828
Lista de Questões
DCF  Desvendando a Computação Forense
IMBO  Instituto Matteus Barreto Oliveira ;-)
Q1 (DCF C1 q1.1)
Os equipamentos computacionais podem ser utilizados em dois

grandes tipos de crimes. Assim, tais equipamentos podem ser
utilizados:
As afirmativas são, respectivamente,
a) Como computador pessoal e como estação de trabalho do

meliante.
b) Como ferramenta de apoio aos crimes convencionais e como meio

para a realização do crime.
c) Como estação de trabalho do meliante e como forma de acesso à

Internet.
d) Como material de pesquisa para novos alvos e como dispositivo de

roubo de senhas de bancos em geral.
e) Como ferramenta de suporte para o monitoramento do alvo a ser

atacado e como forma de se manter totalmente anônimo durante a
realização de um crime.
Q2 (DCF C1 q1.2)
Uma empresa criminosa acaba de sonegar uma série de impostos

pela emissão de notas fiscais frias (falsas). Essa emissão de notas foi
realizada com um programa de computador. Assinale a alternativa
correta:
a) O computador foi utilizado como ferramenta de apoio a um crime

convencional, pois as notas fiscais frias poderiam ter sido emitidas de
forma manual. Assim, o crime de sonegação ocorreria de qualquer
forma.
b) O computador foi utilizado como ferramenta de apoio a um crime

convencional. Entretanto, as notas não poderiam ser emitidas de forma
manual. Logo, se o computador não existisse, o crime de sonegação
não iria ocorrer.
c) O computador foi utilizado como meio para a realização do crime;

afinal, a emissão de notas fiscais falsas só pode ser realizada com o
uso do computador.
d) O computador foi utilizado como meio para a realização do crime,

pois, se ele não existisse, o crime não ocorreria.
e) O computador não serviu de apoio para a realização do crime, pois

a sonegação é um crime convencional e não virtual.
Q3 (DCF C1 q1.3)
Os exames periciais mais comuns no âmbito da Computação Forense

são:
a) Exames em locais de crimes de informática.
b) Exames em redes peer-to-peer.
c) Exames em sites da Internet.
d) Exames em dispositivos de armazenamento computacional.
e) Exames em mensagens eletrônicas (emails).
Q4 (DCF C1 q1.4)
Os exames em dispositivos de armazenamento computacional

consistem basicamente em analisar o conteúdo de equipamentos em
busca de evidências digitais. Assinale a alternativa que não contém

um dispositivo de armazenamento computacional:
a) CD - Compact Disc.
b) DVD - Digital Versatile Disc.
c) Mensagem eletrônica - e-mail.
d) Pen Drive.
e) Disco rígido.
Q5 (DCF C1 q1.5)
I. O exame de corpo de delito e outras perícias serão realizados por

perito oficial, portador de diploma de curso superior.
II. No caso específico da computação, quem realiza perícias de forma

oficial no âmbito criminal é o Perito Criminal em Informática.
III. A computação Forense tem como objetivo principal determinar a

dinâmica, a materialidade e a autoria de ilícitos ligados à área de
informática.
IV. O Estatuto da criança e do Adolescente tipifica alguns crimes

relacionados à pornografia infanto-juvenil em que o computador é
utilizado como meio.
Esses dois diretórios são conhecidos, respectivamente, por:
Assinale a alternativa que contém a quantidade de assertivas

verdadeiras:
a) 0
b) 1
c) 2
d) 3
e) 4
Q6 (DCF C2 q2.1)
Em buscas e apreensões de informática, o tipo de investigação é um

fator a ser considerado para a tomada de decisão sobre apreender ou
não determinados equipamentos computacionais. Supondo que a
investigação é sobre a impressão de cédulas de Real falsas, qual
alternativa contém os equipamentos computacionais mais indicados a
serem apreendidos?
a) Dispositivos de armazenamento computacional e impressoras.
b) Notebooks e webcams.
c) CDs, DVDs.
d) Discos rígidos e elementos de rede.
e) Servidores, mainframes e no-breaks.
Q7 (DCF C2 q2.2)
O papel principal do perito em um local de busca e apreensão de

informática é de:
a) Orientar a equipe de busca quanto à seleção, preservação e coleta

dos equipamentos computacionais.
b) Auxiliar principalmente a segurança física da equipe de busca.
c) Ligar os equipamentos computacionais para verificar se devem ser

apreendidos.
d) Ignorar os equipamentos de informática no local, pois estes não

contêm evidências que podem ser coletadas.
e) Permitir que as pessoas que residem no local de busca utilizem os

equipamentos computacionais, quando necessário.
Q8 (DCF C2 q2.3)
Ao chegar a um local de busca e apreensão de informática, diversas

providências devem ser tomadas, EXCETO:
a) Não ligar os equipamentos computacionais que estejam

desligados.
b) Interromper as conexões de rede eventualmente existentes.
c) Dependendo da situação encontrada no local e não havendo

possibilidade de perda de dados e da necessidade de flagrante delito,
retirar a fonte da energia dos equipamentos computacionais.
d) Impedir que pessoas estranhas à equipe manipulem os

equipamentos.
e) Sempre apreender todos os dispositivos computacionais

encontrados no local.
Q9 (DCF C2 q2.4)
Qual dos equipamentos computacionais a seguir pode armazenar

arquivos dos usuários, mesmo quando desligado?
a) Mouse.
b) Monitor LCD.
c) Disco rígido.
d) Webcam.
e) Caixas de som com subwoofer.
Q10 (DCF C2 q2.5)
Ao abrir um gabinete típico de um computador pessoal, os seguintes

componentes podem ser encontrados, EXCETO:
a) Placa-mãe.
b) Disco rígido.
c) Drive de DVD.
d) Impressora.
e) Drive de disquetes.
Q11 (DCF C2 q2.6)
Qual o equipamento computacional pode ter interfaces (conectores)

do tipo IDE, SATA e SCSI?
a) Placa de vídeo.
b) Disco rígido.
c) Memória RAM.
d) Fonte de energia.
e) Scanner.
Q12 (DCF C2 q2.7)
Computador de grande porte, utilizado normalmente por instituições

que necessitam de alta capacidade de processamento e
armazenamento. Devido ao seu tamanho e peso, seu transporte e
apreensão são inviáveis. Qual é esse dispositivo computacional?
a) Computador Pessoal.
b) Notebook.
c) Pen Drive.
d) PDA (Personal Digital Assistant).
e) Mainframe.
Q13 (DCF C2 q2.8)
Assinale a alternativa correta em relação aos computadores pessoais

(PCs):
a) São grandes dispositivos que não podem ser apreendidos, devido

ao seu peso e tamanho.
b) Geralmente têm um gabinete, um monitor, um teclado e um

mouse. Entretanto, podem ter outros periféricos, como impressora,
scanners e webcams.
c) Sua principal caraccterísitca é a portabilidade, pois são leves,

compactos e menores.
d) São computadores mais robustos que, geralmente, ficam ligados

24 horas por dia. Têm mecanismos de backup e controle de
segurança de dados.
e) Exemplos de PC são Access Points, hubs e modems.
Q14 (DCF C2 q2.9)
Qual a principal função do scanner?
a) Transformar um arquivo de imagem em uma imagem impressa.
b) Capturar imagem de uma pessoas, por meio de uma câmera

agregada ao dispositivo.
c) Digitalizar um documento impresso.
d) Reproduzir o conteúdo de mídias óticas, como CDs, DVDs e Blu-

Rays.
e) Conectar o computador ao provedor de Internet.
Q15 (DCF C2 q2.10)
Assinale a alternativa incorreta:

a) Em um local de crime é fundamental que o perito conheça

visualmente os equipamentos computacionais para que possa
identificá-los e tomar as providências de preservação necessárias.
b) Em locais de crime, o isolamento, a análise, a documentação

minuciosa dos vestígios encontrados e sua posterior coleta são
tarefas fundamentais.
c) Um local de crime de informática nada mais é do que um local de

crime convencional acrescido de equipamentos computacionais que
podem ter relação com o delito investigado.
d) Um local de crime é o lugar onde uma suposta infração penal

ocorreu. Nele podem ser encontradas evidências úteis à investigação,
a fim de tentar esclarecer a autoria (quem), a dinâmica (como) e a
materialidade (o que aconteceu) do delito.
e) É proibido que o perito abra gabinetes de computadores em locais

de crime. Por isso, chaves de fenda e chaves philips são itens
totalmente dispensáveis nesses locais.
Q16 (IMBO - PCPR 2017)
São exemplos de informações, de interesse para a perícia, passíveis

de serem encontradas na memória volátil de um PC/NOTEBOOK em
funcionamento:
I. Senhas e chaves criptográficas.
II. Código malicioso.
III. Arquivos descriptografados.
IV. Handles (manipuladores) de arquivos abertos.
V. Conteúdo de arquivos que não estejam abertos no momento da

coleta da memória RAM.
a) I, II e III.
b) II, IV e V.
c) I, II.
d) I.
e) I, II, III, IV, V.
Associe os cardinais com lista de assertivas que vem logo abaixo.
1. Identificação
2. Isolamento
3. Registro
4. Coleta
5. Preservação
() Reconhecimento e individualização da evidência digital em

potencial.
() Documentação do local do crime, que auxiliará o perito a

correlacionar o local com os itens coletados, e também dos próprios
vestígios ali encontrados.
() Procedimento que garantirá a durabilidade dos itens coletados.
() Recolhimento dos itens que potencialmente podem conter uma

evidência digital.
() Restrição ao manuseio dos itens ou à manipulação dos dados

contidos nesses mesmos itens de interesse à elucidação dos fatos.
a) 5,2,1,4,3
b) 5,2,4,3,1
c) 4,2 5,3,1
d) 1,3,5,4,2
e) 1,3,4,5,2
Q18 Ano: (IMBO - PCPR 2017)
Uma vez realizada a coleta, alguns cuidados devem ser tomados no

tocante ao itens recolhidos na cena do delito. O uso de sacos
antiestáticos para acondicionar itens sensíveis a descargas elétrica é
um deles. Essas considerações dizem respeito à(ao):
a) Registro.
b) Coleta.
c) Preservação.
d) Isolamento.
e) Identificação.
Q19 (DCF C1 q1.2 - ADAPTADA)
Um usuário da internet foi flagrado em uma batida policial

compartilhando com outros internautas, em redes sociais, imagens
contendo cenas de sexo explícito envolvendo crianças. Sobre o crime
cometido, é correto afirmar:

convencional, pois a troca desse tipo de imagem ocorreria de outra
forma.
b) O computador foi utilizado como meio para a realização do crime;

afinal, a troca desse tipo de imagem, como se deu, só pode ser
realizada com o uso do computador.
c) O computador foi utilizado como meio para a realização do crime,

d) O computador não serviu de apoio para a realização do crime, pois

esse crime cometido pelo usuário da internet é um crime
convencional e não virtual.
e) N.R.A.
Quanto aos conceitos de evidência e vestígio digital.
a) Não se diferenciam, são sinônimos.
b) A evidência digital tem valor probatório, enquanto o vestígio digital

não.
c) A evidência digital origina o vestígio digital.
d) O vestígio digital origina a evidência digital.
e) N.R.A.
Julgue as assertivas acerca dos contextos físico e lógico:
Em computação forense o contexto físico diz respeito à parte palpável

do sistema sendo periciado. Já o contexto lógico provê suporte ao
contexto físico.
O contexto lógico corresponde à parte não tangível do sistema

periciado. O código em execução não faz parte do contexto lógico.
Um item do contexto físico pode se relacionar a um ou mais itens do

contexto lógico. O inverso não é possível.
Julgue as assertivas:
No tratamento dos vestígios cibernéticos primeiro se dá a coleta para

depois se fazer à identificação.
A temperatura é um dos agentes que podem deteriorar os itens

recolhidos na cena do delito. Nesse caso, apenas as temperaturas
extremas são prejudiciais, mas nunca a variação dessa temperatura.
Existe uma classificação quanto aos crimes cibernéticos naqueles em

que a tecnologia é ferramenta para a execução e em outros nos quais
a tecnologia é meio para a execução. Os primeiros existiriam ainda
que não houvesse tecnologia, o mesmo não acontecendo com os
segundos.
Dispositivos de armazenamento respondem pela maioria dos exames

periciais feitos no laboratório forense
Senhas e chaves criptográficas em uso são exemplos de informações

encontradas em memória volátil de um sistema computacional.
Um computador com Windows 2008 encontrado ligado na cena de um

delito deve ser desligado pela via convencional, nunca bruscamente
desconectado da rede elétrica.
O uso de croquis para o registro da cena do crime nunca é

recomendado já que sua confecção fará com que a equipe deslocada
para o local do crime perca um tempo precioso.
Questões Comentadas
Q1 (DCF C1 q1.1)
Os equipamentos computacionais podem ser utilizados em dois

grandes tipos de crimes. Assim, tais equipamentos podem ser
utilizados:
As afirmativas são, respectivamente,
a) Como computador pessoal e como estação de trabalho do

meliante.
b) Como ferramenta de apoio aos crimes convencionais e como meio

para a realização do crime.
c) Como estação de trabalho do meliante e como forma de acesso à

Internet.
d) Como material de pesquisa para novos alvos e como dispositivo de

roubo de senhas de bancos em geral.
e) Como ferramenta de suporte para o monitoramento do alvo a ser

atacado e como forma de se manter totalmente anônimo durante a
realização de um crime.
GABARITO B
COMENTÁRIOS:
Relembrando a classificação vista na parte teórica:
Crimes onde equipamentos computacionais servem de

FERRAMENTAS para a sua execução, aqueles que existiriam
mesmo que não houvesse a tecnologia empregada;
Crimes onde equipamentos computacionais são o MEIO

através do qual são cometidos, esses não existiriam caso não
houvesse a tecnologia que foi utilizada como é exemplo o
artigo 241-a do ECA ("Oferecer, trocar, disponibilizar,
transmitir, distribuir, publicar ou divulgar [...] POR MEIO DE
SISTEMA DE INFORMÁTICA").
Correta a letra B.
Q2 (DCF C1 q1.2)
Uma empresa criminosa acaba de sonegar uma série de impostos

pela emissão de notas fiscais frias (falsas). Essa emissão de notas foi
realizada com um programa de computador. Assinale a alternativa
correta:

convencional, pois as notas fiscais frias poderiam ter sido emitidas de
forma manual. Assim, o crime de sonegação ocorreria de qualquer
forma.
b) O computador foi utilizado como ferramenta de apoio a um crime

convencional. Entretanto, as notas não poderiam ser emitidas de forma
manual. Logo, se o computador não existisse, o crime de sonegação
não iria ocorrer.
c) O computador foi utilizado como meio para a realização do crime;

afinal, a emissão de notas fiscais falsas só pode ser realizada com o
uso do computador.
d) O computador foi utilizado como meio para a realização do crime,

e) O computador não serviu de apoio para a realização do crime, pois

a sonegação é um crime convencional e não virtual.
GABARITO A
COMENTÁRIOS:
O crime de sonegação, de que trata a questão, pode ser

cometido tanto com a ajuda do computador, quanto sem
(emissão manual das notas frias). Sendo assim, esse tipo de
crime se enquadra na primeira classificação vista na questão
anterior: crimes que existiriam mesmo que o computador não
existisse.
Correta a letra A.
Q3 (DCF C1 q1.3)
Os exames periciais mais comuns no âmbito da Computação Forense

são:
a) Exames em locais de crimes de informática.
b) Exames em redes peer-to-peer.
c) Exames em sites da Internet.
d) Exames em dispositivos de armazenamento computacional.
e) Exames em mensagens eletrônicas (emails).
GABARITO D
COMENTÁRIOS:
Os exames periciais se dão, na quase esmagadora dos

casos (90%), em dispositivos de armazenamento secundário e
em mídias avulsas (ambos meios não voláteis). É nesses
dispositivos que os peritos irão procurar por evidências que os
levem à autoria, materialidade e modus operandi da prática
delituosa.
Correta a letra D
Q4 (DCF C1 q1.4)
Os exames em dispositivos de armazenamento computacional

consistem basicamente em analisar o conteúdo de equipamentos em
busca de evidências digitais. Assinale a alternativa que não contém
um dispositivo de armazenamento computacional:
a) CD - Compact Disc.
b) DVD - Digital Versatile Disc.
c) Mensagem eletrônica - email.
d) Pen Drive.
e) Disco rígido.
GABARITO C
COMENTÁRIOS:
A única alternativa que não traz dispositivos de

armazenamento (incluindo exemplos de mídias avulsas) é a
letra C. Como afirmado na questão anterior, esses meios de
armazenamento respondem por 90% dos exames periciais em
laboratório.
Correta a letra C
Q5 (DCF C1 q1.5)
I. O exame de corpo de delito e outras perícias serão realizados por

perito oficial, portador de diploma de curso superior.
II. No caso específico da computação, quem realiza perícias de forma

oficial no âmbito criminal é o Perito Criminal em Informática.
III. A computação Forense tem como objetivo principal determinar a

dinâmica, a materialidade e a autoria de ilícitos ligados à área de
informática.
IV. O Estatuto da criança e do Adolescente tipifica alguns crimes

relacionados à pornografia infanto-juvenil em que o computador é
utilizado como meio.
Esses dois diretórios são conhecidos, respectivamente, por:
Assinale a alternativa que contém a quantidade de assertivas

verdadeiras:
a) 0
b) 1
c) 2
d) 3
e) 4
GABARITO E
COMENTÁRIOS:
Todas as alternativas estão corretas. A seguir um breve

comentário sobre cada uma delas.
I. O exame de corpo de delito e outras perícias serão

realizados por perito oficial, portador de diploma de curso
superior.
(CPP, Art. 159)
II. No caso específico da computação, quem realiza

perícias de forma oficial no âmbito criminal é o Perito Criminal
em Informática.
Conforme visto na seção PRELIMINARES da parte teórica

da aula.
III. A computação Forense tem como objetivo principal

determinar a dinâmica, a materialidade e a autoria de ilícitos
ligados à área de informática.
Essa é uma possível definição para computação forense:

simples e concisa, perfeita para levar para a prova.
IV. O Estatuto da criança e do Adolescente tipifica alguns

crimes relacionados à pornografia infanto-juvenil em que o
computador é utilizado como meio.
Correta a assertiva. O crime tipificado no art. 241-A é um

exemplo.
Correta a letra E
Q6 (DCF C2 q2.1)
Em buscas e apreensões de informática, o tipo de investigação é um

fator a ser considerado para a tomada de decisão sobre apreender ou
não determinados equipamentos computacionais. Supondo que a
investigação é sobre a impressão de cédulas de Real falsas, qual
alternativa contém os equipamentos computacionais mais indicados a
serem apreendidos?
a) Dispositivos de armazenamento computacional e impressoras.
b) Notebooks e webcams.
c) CDs, DVDs.
d) Discos rígidos e elementos de rede.
e) Servidores, mainframes e no-breaks.
GABARITO A
COMENTÁRIOS:
O conhecimento profundo sobre a investigação sendo

conduzida sempre servirá como guia para a equipe sobre o
que apreender na cena do delito evitando desperdício de
tempo na análise de itens não relevantes ao esclarecimento
dos fatos. Na situação mencionada, como se trata de
impressão de cédulas de Real falsas, a alternativa que delimita
melhor os equipamentos a serem recolhidos é a alternativa a):
dispositivos de armazenamento, onde poderão ser
encontrados os arquivos de imagem das cédulas falsas
impressas; e, impressoras supostamente utilizadas na

impressão dessas cédulas, impressoras essas que podem ter
alguma característica física que as ligue ao delito.
Correta a letra A
Q7 (DCF C2 q2.2)
O papel principal do perito em um local de busca e apreensão de

informática é de:
a) Orientar a equipe de busca quanto à seleção, preservação e coleta

dos equipamentos computacionais.
b) Auxiliar principalmente a segurança física da equipe de busca.
c) Ligar os equipamentos computacionais para verificar se devem ser

apreendidos.
d) Ignorar os equipamentos de informática no local, pois estes não

contêm evidências que podem ser coletadas.
e) Permitir que as pessoas que residem no local de busca utilizem os

equipamentos computacionais, quando necessário.
GABARITO A
b) Auxiliar principalmente a segurança física da equipe

de busca. (INCORRETO)
Não é tarefa precípua do perito, garantir a segurança

física da equipe.
c) Ligar os equipamentos computacionais para verificar

se devem ser apreendidos. (INCORRETO)
Os equipamentos que se encontram desligados assim

devem permanecer sob pena de perda de informações
importantes para a investigação no processo de BOOT do SO.
d) Ignorar os equipamentos de informática no local, pois

estes não contêm evidências que podem ser coletadas.
(INCORRETO)
Por tudo o que se viu na parte teórica, assertiva

completamente descabida.
e) Permitir que as pessoas que residem no local de busca

utilizem os equipamentos computacionais, quando necessário.
(INCORRETO)
Pelo mesmo motivo que não se deve ligar equipamentos

desligados, também não se deve permitir o seu uso,
principalmente por estranhos.
a) Orientar a equipe de busca quanto à seleção,

preservação e coleta dos equipamentos computacionais.
(CORRETA)
Esse deve ser o papel desempenhado pelo perito.
Correta a letra A
Q8 (DCF C2 q2.3)
Ao chegar a um local de busca e apreensão de informática, diversas

providências devem ser tomadas, EXCETO:
a) Não ligar os equipamentos computacionais que estejam

desligados.
b) Interromper as conexões de rede eventualmente existentes.
c) Dependendo da situação encontrada no local e não havendo

possibilidade de perda de dados e da necessidade de flagrante delito,
retirar a fonte da energia dos equipamentos computacionais.
d) Impedir que pessoas estranhas à equipe manipulem os

equipamentos.
e) Sempre apreender todos os dispositivos computacionais

encontrados no local.
GABARITO E
A letra E é o nosso gabarito. As alternativas de A a D

trazem providências corretas a serem tomadas ao se chegar
em local de busca e apreensão: todas visam o ISOLAMENTO
dos vestígios encontrados na cena sendo investigada.
A incorreção da letra E está no fato de que a apreensão

de TODOS os dispositivos computacionais vai onerar a equipe
que terá que analisar esses equipamentos no laboratório
forense: NÃO SÃO TODOS os equipamentos que devem ser
apreendidos, mas SOMENTE aqueles que POSSUAM INTERESSE
==0==
na elucidação do suposto delito cometido.
Incorreta a letra E
Q9 (DCF C2 q2.4)
Qual dos equipamentos computacionais a seguir pode armazenar

arquivos dos usuários, mesmo quando desligado?
a) Mouse.
b) Monitor LCD.
c) Disco rígido.
d) Webcam.
e) Caixas de som com subwoofer.
COMENTÁRIOS:
A única alternativa que exibe dispositivo de

armazenamento é a letra C. Dispositivos das outras letras são
dispositivos de entrada e saída.
Correta a letra C
Q10 (DCF C2 q2.5)
Ao abrir um gabinete típico de um computador pessoal, os seguintes

componentes podem ser encontrados, EXCETO:
a) Placa-mãe.
b) Disco rígido.
c) Drive de DVD.
d) Impressora.
e) Drive de disquetes.
GABARITO D
COMENTÁRIOS:
Questão extremamente simples. Em um gabinete podem

ser encontrados quaisquer itens mencionados nas
alternativas, exceto o item da letra D: Impressora.
Notar que em relação aos itens das alternativas C e E é

sempre bom que se verifique a presença de discos óticos e
discos flexíveis, respectivamente, que podem conter arquivos
de interesse para a investigação. Caso o equipamento esteja
desenergizado é possível abrir a bandeja do drive de DVD
usando um objeto pontiagudo no orifício que fica na parte
frontal do DRIVE.
Incorreta a letra D
Q11 (DCF C2 q2.6)
Qual o equipamento computacional pode ter interfaces (conectores)

do tipo IDE, SATA e SCSI?
a) Placa de vídeo.
b) Disco rígido.
c) Memória RAM.
d) Fonte de energia.
e) Scanner.
GABARITO B
COMENTÁRIOS:
Tema correlato à fase de identificação. São os discos

rígidos aqueles equipamentos que podem apresentar esses
diferentes conectores mencionados no enunciado da questão.
Correta a letra B
Q12 (DCF C2 q2.7)
Computador de grande porte, utilizado normalmente por instituições

que necessitam de alta capacidade de processamento e
armazenamento. Devido ao seu tamanho e peso, seu transporte e
apreensão são inviáveis. Qual é esse dispositivo computacional?
a) Computador Pessoal.
b) Notebook.
c) Pen Drive.
d) PDA (Personal Digital Assistant).
e) Mainframe.
GABARITO E
Os mainframes, computadores de grande porte ainda

muito utilizados por instituições financeiras, por exemplo,
apresentam essa peculiaridade, em termos periciais: por
apresentarem grande tamanho e peso, impossibilitam a sua
apreensão sendo necessário o exame ainda na cena do delito.
Correta a letra E
Q13 (DCF C2 q2.8)
Assinale a alternativa correta em relação aos computadores pessoais

(PCs):
a) São grandes dispositivos que não podem ser apreendidos, devido

ao seu peso e tamanho.
b) Geralmente têm um gabinete, um monitor, um teclado e um

mouse. Entretanto, podem ter outros periféricos, como impressora,
scanners e webcams.
c) Sua principal característica é a portabilidade, pois são leves,

compactos e menores.
d) São computadores mais robustos que, geralmente, ficam ligados

24 horas por dia. Têm mecanismos de backup e controle de
segurança de dados.
GABARITO B
a) São grandes dispositivos que não podem ser

apreendidos, devido ao seu peso e tamanho. (INCORRETO)
d) São computadores mais robustos que, geralmente,

ficam ligados 24 horas por dia. Têm mecanismos de backup e
controle de segurança de dados. (INCORRETO)
Essas duas alternativas se referem aos mainframes,

computadores de grande porte, que como já afirmado têm
essa peculiaridade de inviabilizar a sua apreensão.
c) Sua principal característica é a portabilidade, pois são

leves, compactos e menores. (INCORRETO)
Refere-se a NOTEBOOKS/LAPTOPS. Apresentam também

componentes similares aos PC’s mas são mais compactos.

(INCORRETÍSSIMO)
Essa alternativa não faz o menor sentido...
b) Geralmente têm um gabinete, um monitor, um teclado

e um mouse. Entretanto, podem ter outros periféricos, como
impressora, scanners e webcams. (CORRETO)
Correta a descrição apresentada pela alternativa em

relação aos PCS. Em geral, o componente que vai mais
interessar à perícia é o disco rígido encontrado dentro do
gabinete do PC, mas sempre é bom lembrar que é necessário
que se conheça o que se está investigando para saber o que
coletar.
Correta a letra B
Q14 (DCF C2 q2.9)
Qual a principal função do scanner?
a) Transformar um arquivo de imagem em uma imagem impressa.
b) Capturar imagem de uma pessoas, por meio de uma câmera

agregada ao dispositivo.
c) Digitalizar um documento impresso.
d) Reproduzir o conteúdo de mídias óticas, como CDs, DVDs e Blu-

Rays.
GABARITO C
a) Transformar um arquivo de imagem em uma imagem

impressa. (INCORRETO)
Essa é a função da impressora. Equipamento que deve

ser coletado em se tratando de contrafação (falsificação) de
mídias com a impressão de encartes, por exemplo.
b) Capturar imagem de uma pessoas, por meio de uma

câmera agregada ao dispositivo. (INCORRETO)
WEBCAMS.
c) Digitalizar um documento impresso. (CORRETO)
d) Reproduzir o conteúdo de mídias óticas, como CDs,

DVDs e Blu-Rays. (INCORRETO)
Essa é a função dos drives leitores de

CDs/DVDs/BLURAYs. Se esses drives possuem a função de
gravação nessas mídias, podem ser utilizados nos crimes de
contrafação de mídias

(INCORRETO)
MODEM.
Correta a letra C
Q15 (DCF C2 q2.10)
Assinale a alternativa incorreta:
a) Em um local de crime é fundamental que o perito conheça

visualmente os equipamentos computacionais para que possa
identificá-los e tomar as providências de preservação necessárias.
b) Em locais de crime, o isolamento, a análise, a documentação

minuciosa dos vestígios encontrados e sua posterior coleta são
tarefas fundamentais.
c) Um local de crime de informática nada mais é do que um local de

crime convencional acrescido de equipamentos computacionais que
podem ter relação com o delito investigado.
d) Um local de crime é o lugar onde uma suposta infração penal

ocorreu. Nele podem ser encontradas evidências úteis à investigação,
a fim de tentar esclarecer a autoria (quem), a dinâmica (como) e a
materialidade (o que aconteceu) do delito.
e) É proibido que o perito abra gabinetes de computadores em locais

de crime. Por isso, chaves de fenda e chaves philips são itens
totalmente dispensáveis nesses locais.
GABARITO E
COMENTÁRIOS:
a) Em um local de crime é fundamental que o perito

conheça visualmente os equipamentos computacionais para
que possa identificá-los e tomar as providências de
preservação necessárias. (CORRETA)
Sem dúvidas, o perito deve ser conhecedor dos

equipamentos computacionais que possam ter sido utilizado
no cometimento de um crime, a fim de recolher itens de
interesse para o esclarecimento dos fatos. A preservação
busca dar maior durabilidade a esses itens.
b) Em locais de crime, o isolamento, a análise, a

documentação minuciosa dos vestígios encontrados e sua
posterior coleta são tarefas fundamentais. (CORRETA)
De acordo com o que foi estudado na parte teórica da

aula.
c) Um local de crime de informática nada mais é do que

um local convencional de crime acrescido de equipamentos
computacionais que podem ter relação com o delito
investigado. (CORRETA)
Perfeita definição de local de crime de informática. Na

alternativa seguinte temos uma definição de local de crime.
d) Um local de crime é o lugar onde uma suposta infração

penal ocorreu. Nele podem ser encontradas evidências úteis à
investigação, a fim de tentar esclarecer a autoria (quem), a
dinâmica (como) e a materialidade (o que aconteceu) do
delito. (CORRETA)
Vide comentário à alternativa anterior.
e) É proibido que o perito abra gabinetes de

computadores em locais de crime. Por isso, chaves de fenda e
chaves philips são itens totalmente dispensáveis nesses
locais. (INCORRETA)
Essa afirmação não encontra eco na teoria estudada até

aqui. O perito sim deve abrir gabinetes de computadores em
locais de crime a fim de procurar por vestígios. Por isso,
chaves de fenda e chaves philips são indispensáveis em seu
kit de ferramentas.
Incorreta a letra E
São exemplos de informações, de interesse para a perícia, passíveis

de serem encontradas na memória volátil de um PC/NOTEBOOK em
funcionamento:
I. Senhas e chaves criptográficas.
II. Código malicioso.
III. Arquivos descriptografados.
IV. Handles (manipuladores) de arquivos abertos.
V. Conteúdo de arquivos que não estejam abertos no momento da

coleta da memória RAM.
a) I, II e III.
b) II, IV e V.
c) I, II.
d) I.
e) I, II, III, IV, V.
GABARITO E
Como foi visto na parte teórica da aula, todos os itens

citados e identificados pelos romanos de I a V podem ser
encontrados na memória volátil no momento da coleta desse
vestígio. Inclusive o item V, quando se fecha um arquivo que
estava carregado na memória volátil, o conteúdo desses
arquivos pode ainda ser encontrado na RAM contanto que o SO

não tenha sobrescrito aqueles endereços de memória com
outras informações. Uma vez rebootado o equipamento, aí sim
todo o conteúdo da RAM é perdido.
Correta a letra E.
Associe os cardinais com lista de assertivas que vem logo abaixo.
1. Identificação
2. Isolamento
3. Registro
4. Coleta
5. Preservação
() Reconhecimento e individualização da evidência digital em

potencial.
() Documentação do local do crime, que auxiliará o perito a

correlacionar o local com os itens coletados, e também dos próprios
vestígios ali encontrados.
() Procedimento que garantirá a durabilidade dos itens coletados.
() Recolhimento dos itens que potencialmente podem conter uma

evidência digital.
() Restrição ao manuseio dos itens ou à manipulação dos dados

contidos nesses mesmos itens de interesse à elucidação dos fatos.
a) 5,2,1,4,3
b) 5,2,4,3,1
c) 4,2 5,3,1
d) 1,3,5,4,2
e) 1,3,4,5,2
GABARITO D
COMENTÁRIOS:
Trocando em miúdos...
Identificação: reconhecimentos dos itens de interesse

para a coleta.
Isolamento: restrição ao acesso aos itens coletados.
Coleta: recolhimento dos itens de interesse à elucidação

dos fatos.
Registro: documentação tanto do local quanto dos

próprios itens coletados.
Preservação: cuidados a serem adotados visando a

perenidade dos itens de interesse.
Correta a letra D
Q18 Ano: (IMBO - PCPR 2017)
Uma vez realizada a coleta, alguns cuidados devem ser tomados no

tocante aos itens recolhidos na cena do delito. O uso de sacos anti-
estáticos para acondicionar itens sensíveis a descargas elétrica é um
deles. Essas considerações dizem respeito à (ao):
a) Registro.
b) Coleta.
c) Preservação.
d) Isolamento.
e) Identificação.
GABARITO C
COMENTÁRIOS:
O uso de sacos anti-estáticos para acondicionamento de

itens sensíveis a descargas elétricas é uma medida que visa à
PRESERVAÇÃO desse tipo de prova, conforme visto na parte
teórica.
Correta a letra C.
Q19 (DCF C1 q1.2 - ADAPTADA)
Um usuário da internet foi flagrado em uma batida policial

compartilhando com outros internautas, em redes sociais, imagens
contendo cenas de sexo explícito envolvendo crianças. Sobre o crime
cometido, é correto afirmar:

convencional, pois a troca desse tipo de imagem ocorreria de outra
forma.
b) O computador foi utilizado como meio para a realização do crime;

afinal, a troca desse tipo de imagem, como se deu, só pode ser
realizada com o uso do computador.
c) O computador foi utilizado como meio para a realização do crime,

d) O computador não serviu de apoio para a realização do crime, pois

esse crime cometido pelo usuário da internet é um crime
convencional e não virtual.
e) N.R.A.
GABARITO B
Assevera o ECA no artigo 241-A:
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir,

distribuir, publicar ou divulgar por qualquer meio, inclusive
por meio de sistema de informática ou telemático, fotografia,
vídeo ou outro registro que contenha cena de sexo explícito ou
pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa.
O legislador fez questão de frisar os meios

informáticos/telemáticos como meio de troca
(compartilhamento) de fotografia, vídeo ou outro registro que
contenha cena de sexo explícito ou pornográfica envolvendo
criança ou adolescente. Analisando o enunciado da questão,
nota-se que a prática delituosa, troca desse tipo de imagem
em redes sociais, não ocorreria sem a existência desses meios
(informáticos/telemáticos).
Correta a letra B
Quanto aos conceitos de evidência e vestígio digital.
a) Não se diferenciam, são sinônimos.
b) A evidência digital tem valor probatório, enquanto o vestígio digital

não.
c) A evidência digital origina o vestígio digital.
d) O vestígio digital origina a evidência digital.

e) N.R.A.
GABARITO D
COMENTÁRIOS:
Evidência, conforme o dicionário, é a “qualidade daquilo

que é evidente, que é incontestável, que todos vêem ou
podem ver e verificar, certeza manifesta." O vestígio que se
mostra, após análise pericial, diretamente ligado ao delito
passa a ser considerado uma evidência.
"O vestígio digital origina a evidência digital."
Tanto o vestígio quanto a evidênca possuem valor

probatório, já que a evidência se origina do vestígio e a
evidência está DIRETAMENTE ligada ao delito cometido.
Correta a letra D
Julgue as assertivas acerca dos contextos físico e lógico:
Em computação forense o contexto físico diz respeito à parte palpável

do sistema sendo periciado. Já o contexto lógico provê suporte ao
contexto físico.
GABARITO ITEM ERRADO
COMENTÁRIOS:
Como foi visto na parte teórica da aula:
Contexto físico: formado pelos dispositivos de entrada,

saída e processamento da informação, isto é, a parte palpável
do sistema sendo periciado.
O erro está na afirmação de que o contexto lógico provê

suporte ao contexto físico quando na verdade é o contrário: o
contexto físico provê suporte ao contexto lógico. Basta

pensarmos em uma planilha de dados (lógico) que se encontra
em um disco ótico (físico): o suporte físico para o arquivo de
planilha de dados é o disco ótico.
ERRADO O ITEM
O contexto lógico corresponde à parte não tangível do sistema

periciado. O código em execução não faz parte do contexto lógico.
COMENTÁRIOS:
Relembrando a parte teórica da aula:
Contexto lógico: composto pelos zeros e uns, isto é, pela

parte binária/lógica do sistema periciado. Seria o que não é
tangível nesse sistema.
O erro está na afirmação de que o código em execução

não faz parte do contexto lógico: como não é palpável, faz
parte sim do contexto lógico.
ERRADO O ITEM
Um item do contexto físico pode se relacionar a um ou mais itens do

contexto lógico. O inverso não é possível.
COMENTÁRIOS:
A relação entre os itens do contexto lógico e os itens do

contexto físico podem ser: 1 para 1, 1 para N e N para 1.
Exemplo de relação 1 para N (LÓGICO/FÍSICO) seria um
arranjo RAID. Explicando: 1 disco lógico possui como suporte

N discos físicos configurados em RAID. Um outro exemplo: no
passado era comum usar programas como o ARJ para
compactar e dividir 1 grande arquivo em N discos físicos (o
mais comum era o uso de discos flexíveis de 3,5 polegadas).
Para a relação 1:1 ou, ainda, N para 1 (LÓGICO/FÍSICO),
exemplos não faltam: N arquivos contidos em 1 disco ótico, só
para ficar no exemplo mais simples, já é ilustrativo.
ERRADO O ITEM
Julgue as assertivas:
No tratamento dos vestígios cibernéticos primeiro se dá a coleta para

depois se fazer a identificação.
COMENTÁRIOS:
A coleta, recolhimento dos itens encontrados na cena do

delito, se dará não antes, mas sim depois da identificação: se
a coleta se dá sobre itens não identificados ou identificados de
maneira incorreta pode-se incorrer em desperdício de tempo
e/ou retrabalho da perícia.
ERRADO O ITEM
A temperatura é um dos agentes que podem deteriorar os itens

recolhidos na cena do delito. Nesse caso, apenas as temperaturas
extremas são prejudiciais, mas nunca a variação dessa temperatura.

COMENTÁRIOS:
A temperatura é um dos agentes físicos que podem

deteriorar o estado dos itens recolhidos pela equipe no local
do crime. Não apenas as temperaturas extremas são
prejudiciais, mas também as variações extremas de
temperatura, que podem causar micro fraturas no material
apreendido (na solda utilizada nos circuitos de uma placa,
eletrônica, por exemplo).
ERRADO O ITEM
Existe uma classificação quanto aos crimes cibernéticos naqueles em

que a tecnologia é ferramenta para a execução e em outros nos quais
a tecnologia é meio para a execução. Os primeiros existiriam ainda
que não houvesse tecnologia, o mesmo não acontecendo com os
segundos.
GABARITO ITEM CORRETO
COMENTÁRIOS:
Correta a assertiva. Como exemplo dos crimes da

primeira classificação pode-se mencionar o crime de
sonegação fiscal levado a cabo com a ajuda da informática:
existiria mesmo que não houvesse a tecnologia usada como
auxiliar. Exemplo de crime da segunda classificação, o crime
de compartilhamento através de meios telemáticos de
imagens pornográficas de crianças, como o tipificado no ECA
Art. 241-A.
CORRETO O ITEM
Dispositivos de armazenamento respondem pela maioria dos exames

periciais feitos no laboratório forense
COMENTÁRIOS:
Como pontuado na parte teórica, esse tipo de dispositivo

responde pela imensa maioria dos exames periciais que são
realizados na apuração de crimes cibernéticos. O uso de
Smartphones nesse tipo de crime vem crescendo muito
ultimamente, também.
CORRETO O ITEM
Senhas e chaves criptográficas em uso são exemplos de informações

encontradas em memória volátil de um sistema computacional.
COMENTÁRIOS:
Sim, senhas e chaves criptográficas podem ser

encontradas no conteúdo da memória volátil. É um achado
muito importante pois o perito pode necessitar das senhas de
acesso a sistemas de interesse para a investigação e as
chaves criptográfica poderão servir para descriptografar
arquivos encriptados armazenados no disco.
CORRETO O ITEM
Um computador com Windows 2008 encontrado ligado na cena de um

delito deve ser desligado pela via convencional, nunca bruscamente
desconectado da rede elétrica.
COMENTÁRIOS:
O processo de desligamento convencional pode levar a

perda de vestígios no disco pois pode ser que porções do disco
contendo tais vestígios sejam sobrescritas. Por isso
recomenda-se a desconexão brusca da rede elétrica no caso
dos PCS e a remoção das baterias no caso dos NOTEBOOKS.
ERRADO O ITEM
O uso de croquis para o registro da cena do crime nunca é

recomendado já que sua confecção fará com que a equipe deslocada
para o local do crime perca um tempo precioso.
COMENTÁRIOS:
Como visto na parte teórica, o uso de croquis é uma

técnica possível para a fase de registro do local do crime
auxiliando na documentação da relação entre o local e os itens
coletados na cena do delito.
ERRADO O ITEM
Gabarito
Q1 - B
Q2 - A
Q3 - D
Q4 - C
Q5 - E
Q6 - A
Q7 - A
Q8 - E
Q9 - C
Q10 - D
Q11 - B
Q12 - E
Q13 - B
Q14 - C
Q15 - E
Q16 - E
Q17 - D
Q18 - C
Q19 - B
Q20 - D
Q21 - ERRADO
Q22 - ERRADO
Q23 - ERRADO
Q24 - ERRADO
Q25 - ERRADO
Q26 - CERTO
Q27 - CERTO
Q28 - CERTO
Q29 - ERRADO
Q30 - ERRADO

Curso 27106 Aula 00 Prof Matteus 0418 Completo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso 27106 Aula 00 Prof Matteus 0418 Completo

Enviado por

Direitos autorais:

Formatos disponíveis

Livro Eletrônico

Aula 00 (Prof Matteus)

Antiforense e Imagens Digitais p/ Polícia Científica-PR (Perito Criminal - Área 1 - TI)

Professor: Leon Sólon da Silva, Matteus Barreto Oliveira

AULA 01: Identificação, isolamento, coleta e preservação do

SOBRE O PROFESSOR E A AULA

Meu nome é Matteus Barreto, sou Bacharel em Ciência da

Com mais de 10 anos de experiência na área de concursos

Como questões de certames passados sobre o assunto

Na presente aula serão abordados os temas relacionados à

Com a evolução da tecnologia, muitos dos crimes que antes

Art. 241-A. Oferecer, trocar, disponibilizar,

telemático, fotografia, vídeo ou outro registro que

Pena – reclusão, de 3 (três) a 6 (seis) anos, e

Art. 241-B. Adquirir, possuir ou armazenar, por

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e

São dois, então, os tipos de crime que podem ser cometidos

O primeiro tipo é aquele que ocorreria mesmo que não

Já uma fraude bancária cometida por um hacker BLACKHAT

Considerando a evolução da prática criminosa junto com a

Indo ao encontro dessas considerações, temos o Código de

Capítulo II (DO EXAME DO CORPO DE DELITO, E DAS PERÍCIAS

Art. 158. Quando a infração deixar vestígios, será

Art. 159. O exame de corpo de delito e outras perícias

O perito irá através de uma atuação embasada na ciência

Vestígio Cibernético ou Vestígio Digital, segundo o Tratado

E segundo a ISO/IEC 27037:2012 essa evidência digital é,

ISO/IEC 27037:2012 INTRO

“Due to the fragility of digital evidence, it is

ensure the integrity and authenticity of the potential

O vestígio cibernético é o vestígio produzido por um crime

"[...] qualquer delito em que tenha sido utilizado

Como vimos na seção anterior, os crimes podem ser

Além disso, os crimes cibernéticos diferem dos crimes

De acordo com o Tratado de Computação Forense 1a Edição,

"[...] o conjunto de informações extraídas de um

É na interação do criminoso com os equipamentos

O tratamento dos vestígios cibernéticos segue um passo-a-

Essas atividades deverão seguir uma metodologia aderente

No processo de identificação é necessário que se diferencie

Contexto físico: formado pelos dispositivos de entrada,

Contexto lógico: composto pelos zeros e uns, isto é,

Um disco de DVD recolhido na cena do crime faria parte do

Um item do contexto lógico pode se relacionar a 1 ou vários

Uma vez que se saiba o que se está apurando fica mais

A identificação das evidências irá definir o escopo da

A evolução tecnológica colocou uma série de desafios para o

Dois pontos a considerar:

Hoje em dia muitos dispositivos apesar de muito similares

Pen drives “estranhos”

O outro ponto é que muitos dispositivos de comunicação

switch camada 3 (coleta de uma tabela de rotas, por exemplo).

Quando se fala em isolamento o que vem à mente é aquela

Isolamento busca assegurar integridade dos vestígios

Qual é a importância do isolamento do local de crime?

Art. 347 - Inovar artificiosamente, na pendência

Pena - detenção, de três meses a dois anos, e

Parágrafo único - Se a inovação se destina a

iniciado, as penas aplicam-se em dobro.

Por "inovação" o CP quer se referir a modificação do local de

 Para que se analise vestígios qualificadores da infração

Nesse sentido prescreve o Art. 169 do CPP:

Art. 169. Para o efeito de exame do local onde

Constitui-se frágil e delicado o local do crime exigindo,