1

PERÍCIA DIGITAL: ESTRATÉGIAS PARA ANALISAR E MANTER EVIDÊNCIAS

ÍNTEGRAS EM FORENSE COMPUTACIONAL

Tamara Bruna Ferreira da Silva

Resumo: É papel da Forense Computacional investigar, identificar, coletar, analisar,

interpretar, preservar, periciar, documentar e apresentar os fatos que ocorreram mediante a
utilização de evidências digitais. Diante disso, o perito digital tem a preocupação de tratar e
manter estas evidências digitais íntegras, confidenciais e disponíveis, de acordo com as
propriedades da Segurança da Informação. Este artigo propõe a criação de diretrizes e
estratégias específicas para guiar o trabalho do perito forense computacional garantindo a
segurança de evidências digitais durante todas as etapas do processo de investigação.

Palavras-chave: Perícia Digital. Evidência. Investigação Eletrônica. Informação. Análise.

Coleta. Tratamento. Manutenção. Preservação.

1 INTRODUÇÃO

A segurança da informação se torna cada vez mais uma grande preocupação das
empresas. “A informação e o conhecimento são, talvez, os bens mais valiosos de uma empresa.
A forma como são tratados, manipulados e armazenados é uma preocupação constante e
crescente dos seus administradores” afirma Lento (2011, p.9). Diante do grande desafio que é
trabalhar sobre evidências e vestígios digitais, este artigo tem como tema a utilização de
estratégias para realização de análise e manutenção de evidências digitais garantindo sobre elas
as propriedades da segurança da informação.
Ao se trabalhar com evidências digitais é preciso lidar com o problema da falta de
confiança nesse tipo de prova. “Apesar do alto nível de precisão da computação forense, há
uma fragilidade: a coleta das evidências. Coletar de forma errônea pode tornar ilícita ou invalida
determinada prova” afirma Pinheiro (2009, p.174). Porém, essa preocupação não é apenas com
a coleta das informações, mas também com o seu manuseio, tratamento, análise e


Artigo apresentado como trabalho de conclusão de curso de Especialização em Gestão de Segurança da
Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de
Especialista em Segurança da Informação. Orientador: Prof. Luiz Otavio Botelho Lento, MSC, 2017.

Acadêmico (a) do curso de Especialização em Gestão de Segurança da Informação da Universidade do Sul de
Santa Catarina. Endereço eletrônico
 2

armazenamento, ou seja, todo o decorrer do processo de investigação e perícia. Cabe ao perito

retirar esse caráter duvidoso em um laudo pericial claro. Este artigo propõe uma solução ao
problema da preservação, coleta e análise de evidências, mantendo sua integridade,
confidencialidade e disponibilidade para que possam ser usadas juridicamente.
Este trabalho tem como objetivo a criação de diretrizes para guiar o processo de
investigação forense, de maneira que se garanta a segurança das informações sobre as
evidências digitais obtidas durante todas as etapas do processo, também resolvendo o problema
da falta de confiança nesse tipo de prova.

2 FORENSE COMPUTACIONAL

A Forense Computacional supre as necessidades das instituições legais para

manipulação de evidências eletrônicas, ela estuda a aquisição, preservação, identificação,
extração, recuperação e análise de dados em formato eletrônico. É a ciência que trata do exame,
análise e investigação de um incidente computacional, ou seja, que envolva a computação como
meio, sob a ótica forense, sendo ela civil ou penal (GALVÃO, 2014).

2.1 EVIDÊNCIA DIGITAL

A evidência digital possui algumas características próprias: pode ser duplicada com
exatidão, permitindo a preservação da evidência durante sua análise; utilizando métodos
apropriados pode-se identificar se ela foi adulterada; é extremamente volátil, podendo ser
alterada durante o processo de análise. A procura por evidências em um sistema computacional
constitui-se de uma varredura minuciosa nas informações que nele residam, sejam dados em
arquivos ou em memória, “deletados” ou não, cifrados ou possivelmente danificados (GEUS e
REIS, 2002).
As cinco regras para a evidência eletrônica são: a admissibilidade, ou seja, ter
condições de ser usada no processo; autenticidade, ser certa e de relevância para o
caso; a completude, pois esta não poderá causar ou levar a suspeitas alternativas; a
confiabilidade, não devem existir dúvidas sobre sua veracidade e autenticidade; e a
credibilidade, que é a clareza, o fácil entendimento e interpretação (PINHEIRO, 2009,
p. 172).
 3

2.2 ETAPAS DA INVESTIGAÇÃO FORENSE

De acordo com Madeira (2012) as etapas de investigação forense são: aquisição,

preservação, extração, recuperação, análise e apresentação. A aquisição, consiste na coleta de
vestígios digitais e envolve o exame de uma mídia, podendo ser de mídias óticas, discos rígidos,
dispositivos eletrônicos, etc.
A Figura 1 ilustra as fases do processo de investigação, nela é apresentada a
sequência em que elas devem ser realizadas e os procedimentos relacionados a cada uma delas.
É possível observar as transformações que acontecem durante o processo forense (PEREIRA
et al., 2007).
Figura 1 - Fases de um processo de investigação

Resultados
Coleta Exame Análise
obtidos

•Isolar a área •Identificar •Identificar •Redigir laudo

•Coletar evidências •Extrair (pessoas, locais •Anexar evidências
•Garantir integridade •Filtrar e eventos) e demais
•Identificar •Documentar •Correlacionar documentos
equipamentos (pessoas, locais •Comprovar
e eventos) integridade da
•Embalar evidências
•Reconstruir a cadeia de custódia
•Etiquetar evidências
cena (incidente) (formulário e
•Documentação registros), gerar
•Documentar
(Cadeia de hash de tudo
custódia)

Fonte: Adaptado de Pereira, 2010.

2.2.1 Coleta dos Dados

O investigador sempre trabalhará com a cópia, para que caso os dados sejam
danificados durante uma análise, ainda se tenha o arquivo original para obter uma nova cópia
de trabalho, ou para caso sejam necessários novos exames. Para que o material original seja
identificado e preservado integralmente é criada a cadeia de custódia (MADEIRA, 2012).
Um conjunto de dados voláteis pode ser organizado pela ordem recomendada para
a coleta (KENT et al., 2006 apud PEREIRA et al., 2007):
 4

 Conexões de rede, a lista de sistemas de arquivos montados remotamente, estado

da interface de rede, nome do computador, endereço IP e MAC address (Media
Access Control) de cada uma das interfaces de rede.
 Sessões de login, lista de usuários conectados e horário, o endereço de rede dessa
conexão, isso pode auxiliar na identificação dos usuários, das ações realizadas e
do momento em foram executadas, permitindo a reconstrução dos fatos em uma
ordem cronológica.
 Conteúdo da memória, dados acessados recentemente, senhas e últimos
comandos executados, processos em execução, arquivos abertos, data e hora do
sistema operacional, configurações de fuso horário;
Já para os dados não voláteis, é recomendada a realização de uma imagem do disco,
uma cópia bit-a-bit dos dados, incluindo espaços livres e não utilizados, o que permite realizar
uma análise muito mais próxima ao cenário real. Possibilita também a recuperação de arquivos
excluídos, por exemplo (PEREIRA et al., 2007).
Durante a realização da coleta de todos os dados acima mencionados é importante
preocupar-se como a integridade de determinados atributos de tempo, os MAC Times: mtime
(modification time), atime (access time) e ctime (creation time), que estão relacionados aos
arquivos e diretórios. O atributo de modificação é o registro de data e hora em que ocorreu a
última alteração no arquivo, o de acesso registra data e hora do último acesso e o atributo de
criação registra data e hora em que o arquivo foi criado, inclusive, se este for copiado de um
local para outro no sistema, o registro de criação assume a data e hora do destino e as
informações de modificação permanecem inalteradas (FARMER e VENEMA, 2006, apud
PEREIRA et al., 2007).

2.2.2 Exame dos Dados

Após realizada toda fase de coleta e restauração das cópias dos dados, o perito inicia
o exame dos objetos resultantes da primeira fase. Esse exame tem como finalidade localizar,
filtrar e extrair somente informações que contribuam, de alguma maneira, para a reconstrução
dos eventos que deram origem a investigação (PEREIRA et al., 2007).
 5

2.2.3 Análise dos Dados

A etapa de análise é a parte mais minuciosa e demorada, que exige grande

conhecimento por parte do perito, que pode direcionar suas ferramentas para detecção de alvos
em que sabe existir uma maior possibilidade de acertos (MADEIRA, 2012). Ela pode ocorrer
paralelamente a etapa de exame, pois conforme as evidências vão sendo obtidas, é necessário
que o perito efetue um correlacionamento entre elas. É a correlação das evidências que permite
responder a perguntas como: quando e como um fato ocorreu e quem foi responsável por ele.
A escolha das ferramentas utilizadas depende de cada caso (PEREIRA et al., 2007).

2.2.4 Apresentação dos Resultados

A apresentação é a etapa em que o resultado de todo o procedimento é exposto,

evitando imprecisões que possam invalidar o trabalho. Trata-se da geração de um relatório sobre
as operações realizadas pelo perito, evidências encontradas e o significado de cada uma delas.
Para Kent e outros (2006, apud PEREIRA et al., 2007) nessa fase, é necessária a
organização da documentação necessária para a criação do laudo pericial, sendo necessários
alguns procedimentos como: reunir toda a documentação e anotações geradas nas etapas de
coleta, exame e análise, incluindo as conclusões obtidas; identificar os fatos que fornecerão
suporte as conclusões descritas no laudo pericial; listar as conclusões obtidas; organizar e
classificar informações recolhidas para garantir um laudo conciso e inquestionável.

3 ANÁLISE E MANUTENÇÃO DE EVIDÊNCIAS

De acordo com a NBR ISO/IEC 27037 (2012), na maioria das jurisdições e

organizações as evidências digitais são regidas por três princípios fundamentais: relevância,
confiabilidade e suficiência. As evidências digitais se tornam relevantes quando permitem
provar ou não um elemento que está sendo investigado. Quando a evidência é confiável, ela
garante que é uma prova digital. Para garantir estes princípios os peritos precisam documentar
todas as suas ações, determinar e aplicar um método para estabelecer a precisão e confiabilidade
das evidências digitais; e reconhecer que o ato de preservação da prova digital potencial não
 6

pode ocorrer sempre de maneira não-invasiva. Esses princípios estabelecidos devem seguir as
seguintes condições (NBR ISO/IEC 27037, 2012):
 Relevância: demostrar que o material adquirido é relevante para a investigação.
 Confiabilidade: os processos utilizados na manipulação de evidências digitais
em potencial devem ser auditáveis e repetíveis.
 Suficiência: material suficiente deve ser recolhido.
 Auditabilidade: os processos utilizados devem ser passíveis de auditoria para
determinar se um método científico, técnica ou procedimento adequado foi
seguido.
 Repetibilidade: um perito qualificado e experiente deve ser capaz de realizar os
processos descritos na documentação e chegar aos mesmos resultados. Podem
existir circunstancias em que não seria possível repetir o teste. Nesse caso, o
perito deve assegurar-se de que o processo de aquisição foi confiável.
 Reprodutibilidade: é estabelecida quando os mesmos resultados do teste são
reproduzidos usando o mesmo método de medição, usando instrumentos
diferentes e sob diferentes condições, e pode ser reproduzida a qualquer
momento após o teste original.
 Justificabilidade: o perito deve ser capaz de justificar todas as ações e métodos
utilizados no tratamento da evidência digital.

3.1 PROCESSO DE TRATAMENTO DE EVIDÊNCIAS DIGITAIS

Os peritos devem seguir procedimentos documentados para assegurar a integridade

e confiabilidade das evidências. Os procedimentos devem incluir diretrizes de tratamento de
fontes e de evidências que devem seguir os princípios fundamentais para minimizar a
manipulação nos dispositivos originais, documentar todas as ações realizadas e alterações na
medida em que forem acontecendo, cumprir a legislação local sobre as evidências (NBR
ISO/IEC 27037, 2012).
A NBR ISO/IEC 27037 (2012) descreve o processo de investigação forense como:
 Identificação: Evidências digitais podem ser representadas de forma física e
lógica. A forma física é tangível, e a lógica refere-se a apresentação virtual de
 7

dados dentro de um dispositivo. O processo de identificação envolve o

reconhecimento e documentação destas evidências. A coleta deve ocorrer de
acordo com a volatilidade dos dados (NBR ISO/IEC 27037, 2012).
 Coleta: O perito deve coletar as potenciais evidências identificadas, tomando as
decisões baseado nas circunstâncias. (NBR ISO/IEC 27037, 2012).
 Aquisição: Esse processo envolve a produção de uma cópia do que foi obtido na
coleta. O perito deve adotar um método de aquisição adequado com base na
situação, custo e tempo. Se houverem alterações inevitáveis nos dados digitais,
as atividades realizadas devem ser documentadas para explicar as alterações.
Tanto a fonte original e da cópia de prova digital deverá ser verificada com uma
função de verificação comprovada (hash) (NBR ISO/IEC 27037, 2012).
 Preservação: o perito deve ser capaz de demonstrar que a prova não foi
modificada desde que foi recolhida, a não ser que a documentação justifique as
mudanças. O sigilo também é um requisito (NBR ISO/IEC 27037, 2012).

3.2 CADEIA DE CUSTÓDIA

A cadeia de registro de custódia é um documento que identifica a cronologia do

movimento e manuseio da prova digital potencial. Deve ser instituída a partir do processo de
coleta ou aquisição, descreve a história do item desde o momento em que foi identificado,
recolhido ou adquirido pela equipe de investigação até o presente estado e localiz ação (NBR
ISO/IEC 27037, 2012).
O propósito de manter uma cadeia de registro de custódia é permitir a identificação
de acesso e circulação de evidências digitais potenciais em qualquer ponto no tempo. Deve
conter ao menos as seguintes informações: identificador de evidência único; quem acessou as
potenciais evidências, hora e local em que ocorreu; quem teve acesso as evidencias dentro e
fora das instalações definidas, o porquê e quando isso ocorreu; e, quaisquer alterações
inevitáveis, bem como o nome do responsável e a justificativa.
“A cadeia de custódia é um material que possui um alto poder de convencimento,
tanto do juiz quanto dos jurados de um processo, visto que possui idoneidade, imparcialidade e
embasamento técnico e/ou científico” afirma FDTK (2015).
 8

3.3 DIRETRIZES PROPOSTAS

A partir dos estudos realizados foi possível determinar as diretrizes que guiarão o
trabalho pericial, baseadas na NBR ISO/IEC 27037 (2012) e no documento Eletronic Crime
Scene Investigation (NIJ, 2001). Atualmente não existe um documento oficial que oriente a
realização dessa prática. Por entender que é imprescindível a garantia das propriedades de
segurança sobre as informações, esse conjunto de diretrizes define:
 O perito deve ser pessoa capaz de exercer a atividade proposta, com
conhecimentos relacionados a sua área de atuação, condizentes com a natureza
do exame, além de possuir ética e caráter.
 Ao realizar a apreensão de qualquer equipamento, este deve ser devidamente
identificado e registrado na cadeia de custódia.
 O perito deve conhecer o incidente detalhadamente, conhecer as suspeitas, se
existe pessoa suspeita, qual material está envolvido, período em que aconteceu,
qual é o de modus operandi para a prática do incidente, além de qualquer
informação que permita identificar uma evidência relevante.
 O perito deve definir sua estratégia de atuação de acordo com o incidente e assim
definir quais dados devem ser coletados a partir dos equipamentos apreendidos
e quais as técnicas e ferramentas de análise, tratamento e manutenção deverão
ser utilizadas.
 Equipamentos ou evidências coletados devem ser isolados do acesso de qualquer
pessoa, registrando devidamente todo contato que tiver com o objeto em questão
e justificando-o na cadeia de custódia. Deve-se preservar o acesso físico e lógico
das evidências, em local com controle de acesso.
 Ao realizar a coleta, o perito deve certificar-se de que suas ações não iram alterar
os dados coletados e de que as possíveis evidências serão preservadas.
 Quando realizar cópias ou acessar algum dado, arquivo, partição, disco rígido,
mídia, etc. deve-se preocupar em realizar esse acesso em modo somente leitura.
 O perito deve registrar todas as ferramentas utilizadas para a coleta dos dados,
bem como de qual equipamento foram obtidos, além de detalhar os
procedimentos realizados em sua utilização.
 9

 Deve preocupar-se em coletar dados que possam ter sido perdidos, deletados,
modificados, ocultados, escondidos, criptografados, entre outros, relatando o
estado em que foram encontrados.
 Coletar os dados voláteis, conexões de rede, sessões de login, processos em
execução, arquivos abertos, configurações de rede, IP e mac address, data e hora
do sistema operacional, e também realizar o dump da memória RAM.
 Coletar dados não voláteis, realizar cópia com imagem do disco rígido.
 Os dados coletados devem ser obrigatoriamente duplicados e todos os trabalhos
devem ser realizados sobre as cópias para que seja possível recriar o ambiente
original, caso seja necessário. Toda a análise deve ser realizada sobre cópias do
conteúdo original.
 Deve-se gerar o hash de cada evidência coletada para garantir sua integridade.
 As evidências comprovadas, bem como todo o material obtido na coleta e
utilizado na análise, devem ser criptografadas para garantir o acesso apenas por
parte do perito ou pessoas autorizadas e para que se possa comprovar que
ninguém não autorizado teve acesso a elas. A utilização de um sistema
operacional que exija autenticação também garante esse registro, pois existem
logs do sistema operacional que permitem verificar os usuários que tiveram
acesso ao computador.
 O perito deve analisar todos os dados obtidos a fim de encontrar informações
que permitam correlacionar o incidente, criar a linha do tempo do incidente e
identificar pessoas e ações.
 O perito deve redigir laudo pericial, detalhando todo o processo ocorrido nas
fases anteriores bem como sua conclusão sobre cada uma das evidências
encontradas.
A realização do processo forense baseada nas diretrizes propostas é uma garantia
de que as evidências serão mantidas e protegidas para que possam ter validade jurídica e
comprovem tudo o que aconteceu em um crime ou incidente.
 10

3.3.1 Estratégias para garantir as propriedades de segurança de evidências digitais

Após obtenção das evidências forenses, é necessário garantir sua segurança. Dessa
forma, propõe-se:
 Garantir Confidencialidade: o perito deve garantir que todo o material obtido, as
comprovadas provas digitais, sejam confidenciais e que somente pessoal
autorizado possa ter acesso a elas. A criação de políticas de segurança, com
regras de acesso físico e lógico e o uso de mecanismos de criptografia são
maneiras de garantir a confidencialidade.
 Garantir Integridade: deve ser garantido que as informações e dados obtidos e
armazenados não serão corrompidos, perdidos ou danificados, seja de maneira
acidental ou proposital. Transporte, manuseio, condições climáticas, ou até
mesmo a exposição a campos eletromagnéticos podem influenciar na integridade
do conteúdo de equipamentos eletrônicos. O perito deve preocupar-se em manter
a redundância e replicação de todo o material da investigação.
 Garantir Autenticidade: a autenticidade deve garantir que a informação é
legítima, e que a fonte da informação também é legítima. A autenticidade
permite confirmar a identidade. Mecanismos de criptografia garantem a
autenticidade pois somente com acesso à chave criptográfica as evidências
poderão ser acessadas.
 Garantir disponibilidade: sempre que houver a necessidade de realizar uma nova
análise, ou uma nova verificação de qualquer natureza em uma evidência, deve
ser garantido o acesso a evidência em seu estado original, autêntica e íntegra.
 Garantir Não Repúdio: deve ser garantido o registro de que a pessoa que teve
algum acesso a evidência ou realizou alguma alteração seja realmente ela. O não
repúdio é a capacidade de provar que determinado indivíduo realizou uma
determinada ação, ou seja, o autor do fato não poderá negar que o fez. O
correlacionamento das evidências com o crime ou incidente são a garantia de
não repúdio.
 11

4 ESTUDO DE CASO

Este estudo de caso propõe demonstrar brevemente como lidar com uma evidência
durante uma investigação forense digital. Neste caso, o objetivo da investigação é conseguir
identificar se houve vazamento de informação confidencial. O perito precisa conseguir
comprovar, através de sua análise, que um usuário suspeito copiou um determinado arquivo
para um pendrive.
Analisando as diretrizes, o perito deve aplicar tudo que se encaixa nesse incidente.
Ao se obter acesso ao computador suspeito, dá-se início ao preenchimento da documentação da
Cadeia de Custódia. O perito deve realizar uma imagem bit a bit do disco, acessando o HD em
modo somente leitura para não interferir nos dados. Por já existir uma suspeita de modus
operandi do suspeito, o perito utiliza a ferramenta chamada ERDNT para realizar a cópia dos
arquivos de registro do sistema operacional. Os arquivos salvos através dessa ferramenta serão
analisados utilizando a ferramenta Windows Registry Recovery da MiTeC, mais
especificamente o arquivo “NTUSER.DAT” referente ao usuário da máquina correspondente a
pessoa suspeita.

Figura 2 - Windows Registry Recovery - arquivo vazado

Fonte: Autora, 2017.

Ao verificar a Figura 2 é possível observar que após realizar a busca por parte do
nome do arquivo, neste caso “segredo.docx”, existe duas menções a ele, uma delas
 12

provavelmente em um dispositivo móvel de unidade “E:\”. Ao realizar a análise deste item, nas
suas propriedades (Figura 3) é apresentada a data de 26/06/2017 e o horário 12:57:57, que
precisa ser ajustado para o fuso horário de Brasília (-3), portanto horário de 09:57:57. O perito
deve verificar se a data e horário obtidos correspondem com a suspeita, por exemplo, se é
possível provar que o usuário estava no local neste momento.

Figura 3 - Propriedades do Item suspeito

Fonte: Autora, 2017.

Para uma análise mais detalhada, o perito utiliza uma ferramenta chamada
RegRipper, para analisar os arquivos “SOFTWARE” e “SYSTEM”, obtidos do registro com a
ferramenta ERDNT. Ele vai gerar um relatório. Ao analisar esse relatório, é possível verificar
que na data encontrada na evidência existe o registro de que foi utilizado um portable device (
Figura 4).

Figura 4 - Portable Device

Fonte: Autora, 2017.

Pesquisando o mesmo documento pelo SN (serial number) pode-se concluir que o

mesmo dispositivo móvel já foi conectado por diversas vezes no mesmo computador em várias
datas diferentes, o que é mais um indício de que se trata de um pendrive pessoal da marca
 13

Sandisk. Posteriormente o perito deve realizar a redação do laudo pericial, detalhando todo seu
trabalho e os resultados obtidos. Em uma investigação, esta poderia ser uma das evidências que
auxiliaria na resolução da investigação deste incidente, porém, precisaria ser correlacionada
com outras evidencias, como por exemplo: gravação de câmeras de segurança, registro de
acesso ao prédio, entre outras.

5 CONCLUSÃO

A Forense Computacional é uma área de estudo detalhista que envolve diversas

etapas, preocupando-se com a obtenção, preservação, validação, identificação, análise,
interpretação, documentação e apresentação de evidências digitais. Diante de um procedimento
tão complexo e minucioso, é papel do perito digital encontrar dados e informações que o ajudem
a traçar um caminho para reproduzir o crime, identificar locais, suspeitos e coletar evidências
que sejam decisivas para comprovação dos fatos, sempre tomando os devidos cuidados para
não invalidar evidências e garantir as propriedades da segurança da informação sobre elas.
A execução deste trabalho permitiu entender o quanto o trabalho pericial é
complexo e minucioso. Um perito precisa de grandes conhecimentos técnicos e de como
funcionam sistemas operacionais, sistemas de arquivos, ferramentas complexas, além do
processo investigativo.
Como proposta para garantia de preservação de evidências, foram criadas diretrizes
baseadas no processo já existente de forense computacional, que se apliquem genericamente a
qualquer perícia, preocupando-se e em garantir a validade e manutenção das evidências. Foi
também realizado um estudo de caso para demonstração de um pouco de como é a obtenção e
análise de evidências digitais, demonstrando como o perito pode chegar à conclusão de que
houve furto de informações através do uso de um pendrive em um computador empresarial. A
realização de uma perícia forense pode exigir um grande esforço e possuir inúmeras variações,
é trabalho do perito documentar e demonstrar seu trabalho de maneira que seja válido para a
obtenção de provas.
Por fim, pode-se constatar que os objetivos propostos neste trabalho foram
alcançados, mediante aplicação do modelo conceitual em um ambiente controlado, projetado
especificamente para demonstração da proposta, além da utilização dos conceitos de seguraça
 14

para comprovação da validade das evidências e do uso das diretrizes como guia da execução do
estudo de caso.

DIGITAL INVESTIGATION: STRATEGIES TO ANALYZE AND KEEP THE

INTEGRITY OF EVIDENCES IN COMPUTER FORENSICS

Abstract: It is the function of Computational Forensics to investigate, identify, collect, analyze,

interpret, preserve, examine, document and present the facts that occurred through the use of
digital evidence. In view of this, the digital expert is concerned to treat and keep these digital
evidence intact, confidential and available, in accordance with the properties of Information
Security. This article proposes the creation of specific guidelines and strategies to guide the
work of computer forensics by ensuring the security of digital evidence during all stages of the
digital investigation process.

Keeywords: Digital Expertise. Evidence. Electronic Investigation. Information. Analysis.

Collect. Treatment. Maintenance. Preservation.

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da informação:

técnicas de segurança: Diretrizes para identificação, coleta, aquisição e preservação de
evidências digitais NBR ISO/IEC 27037. 2012

FTDK. FTDK-Wiki: Cadeia de Custódia. Centro de consulta sobre ferramentas de Forense

Digital. 2015. Disponível em: <fdtk.com.br/wiki/tiki-index.php?page=formulario>. Acesso
em: 08 maio 2017.

GALVÃO, Ricardo K.M. Perícia Forense Computacional. Material didático da disciplina

Perícia Forense Computacional. Instituto Federal de Educação Ciência e Tecnologia. Rio
Grande de Norte, Natal. 2014. Disponível em:
<http://diatinf.ifrn.edu.br/doku.php?id=corpodocente:ricardo:pfc20141>. Acesso em: 03 abr.
2017.

GEUS, Paulo L.; REIS, Marcello A. Análise forense de intrusões em sistemas

computacionais: técnicas, procedimentos e ferramentas. 2002. Disponível em: <
https://www.coursehero.com/file/12122211/2002periciamarceloreisforensetecnicasprocedime
ntos/>. Acesso em: 03 abr. 2017.

LENTO, Luiz Otávio Botelho. Segurança da informação: livro didático / Luiz Otávio
Botelho Lento; design instrucional Ana Cláudia Taú; [assistente acadêmico Leandro Rocha,
Michele Antunes Corrêa. 3. ed. Palhoça: UnisulVirtual, 2011.
 15

MADEIRA, Mauro Notarnicola. Forense computacional: livro didático / Mauro Notarnicola

Madeira; Design Instrucional Delma Cristiane Morari. Palhoça: UnisulVirtual, 2012.

NATIONAL INSTITUTE OF JUSTICE. Eletronic Crime Scene Investigation: A guide for

first responders. 2a ed. U. S. Department of Justice – Office of Justice Programs: Washington,
2001. Disponível em: < https://www.ncjrs.gov/pdffiles1/nij/219941.pdf>. Acesso em: 05 nov.
2014.

PEREIRA, Evandro. FAGUNDES, Leonardo L.;NEUKAMP, Paulo; LUDWIG, Glauco;

KONRATH, Marlon. Forense computacional: fundamentos, tecnologias e desafios atuais. In:
SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS
COMPUTACIONAIS, 7, 2007. Anais. Universidade do Vale do Rio dos Sinos - Unisinos,
2007. Disponível em: < <http://ceseg.inf.ufpr.br/anais/2007/minicursos/cap1-forense.pdf >.
Acesso em: 06 maio 2017.

PEREIRA, Evandro. Investigação digital: conceitos, ferramentas e estudos de caso. In:

CONGRESSO TECNOLÓGICO DE TI E TELECOM, 3, 2010, Fortaleza. Anais
eletrônicos. Fortaleza, 2010. Disponível em: <www.infobrasil.inf.br/userfiles/26-05-S5-2-
68766-Investigacao%20Digital.pdf>. Acesso em: 06 maio 2017.

PINHEIRO, Patricia Peck. Direito digital. 3 ed. rev., atual. e ampl. São Paulo: Saraiva, 2009.

PINHEIRO, Patricia Peck. Direito digital. 4 ed. rev., atual. e ampl. São Paulo: Saraiva, 2010.