Tipos de Investigações com Uso da

Perícia Forense Computacional

Apresentação da Unidade
Nesta Unidade, trabalharemos os seguintes tópicos:
• Particularidades e Rotinas do Perito Forense Computacional;
• Descrição Geral da Atividade;
• Coleta de Evidências Computacionais;
• Exame de Evidências Computacionais.

Objetivo

• Descrever tipos de investigações comumente conduzidas por peritos forenses,

tipos de evidências analisadas, a capacitação desses profissionais e o relacionamento
de suas atividades com o gerenciamento de segurança da informação, em uma visão
holística.

Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o último momento
o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a
perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá
escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar
como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais
complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno
entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão,
pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato
com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e
aprendizagem.
Bons Estudos!
 Videoaula
Assista, a seguir, à videoaula desta Unidade.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.

.
 Material Teórico

Conteudista: Me. Marcelo Carvalho

Revisão Textual: Prof. Esp. Kelciane da Rocha Campos

Contextualização
O trabalho de um perito forense computacional pode ser demandado em diferentes circunstâncias
e com propósitos distintos. Nesta unidade, você irá compreender, por meio de exemplos, o seu
trabalho em casos onde houver a necessidade de sua atuação para realização de provas para
sustentar acusações em âmbito criminal.
Neste sentido, é importante perceber que o trabalho do perito forense, que se inicia com a
existência de incidentes de segurança, no escopo dessa unidade, concentra-se na análise da
evidência computacional. O entendimento do papel do perito, neste escopo, se inicia
compreendendo-se que ele, como agente investigador, não deve interferir na evidência, mantendo-
a o mais original possível, para que seja considerada válida e confiável.
Por isso, daremos atenção especial aos tipos de evidências e os cuidados para que estas sejam
aceitas como parte desses processos de investigação criminal nos quais ocorre a investigação por
parte do perito.

Particularidades e Rotinas do Perito Forense

Computacional
Como vimos na unidade anterior, o perito forense computacional é um tipo de perito específico,
diferenciado em razão dos objetos que ele examina. Em um cenário de crime, por exemplo,
dependendo das especialidades periciais requeridas para a coleta de evidências, diferentes peritos
podem ir a campo. Por exemplo, um perito realizará a análise documentoscópica, avaliando
petrecho de falsificação documental, enquanto outro realiza a análise do local do crime e avalia
evidências de arrombamento. Já o perito forense computacional avalia um dump de memória do
aparelho celular da vítima. Nesta seção, vamos verificar os ambientes e atividades que representam
a rotina deste perito em especial.
Descrição Geral da Atividade
Envolve a busca, coleta e análise dos vestígios deixados em objetos computacionais contidos em
mídias diversas, dispositivos de hardware, incluindo os de armazenamento eletrônico. Também
envolve a análise dos sistemas, aplicativos, redes de computadores e links de telecomunicações
envolvidos no armazenamento, processamento e/ou envio de informações. Este profissional avalia
não só o conteúdo em si, mas também propriedades, configurações e estado físico dos
equipamentos de informática em geral, quando se refere à sua natureza, funcionalidade, histórico
de utilização, entre outras características.

É importante notar que este profissional exerce sua atividade em um contexto de múltiplas
pressões e influências externas, que podem influenciá-lo negativamente se mal administradas. Não
se trata apenas de pressão de tempo ou qualidade nos resultados, como vemos em várias outras
profissões. Como retratado na Figura 1, aqui estamos falando de uma vasta cadeia de
influenciadores, principalmente em casos notórios
e com divulgação da imprensa. Permanecer alheio a essas pressões e influências para a conclusão
de um trabalho isento e idôneo é um grande desafio para o perito.

Exemplos de Atividades
Todas as atividades pressupõem que o perito recebeu a autorização/mandado para realização das
coletas e análises nos locais indicados. Trâmites processuais e detalhes estão omitidos para dar
foco a exemplos contendo passos principais.

Exame de sites e servidores de internet

• Objetivo: Análise de vestígios diretamente relacionados a eventos/incidentes ocorridos na
Internet;
• Exemplo de contexto (criminal): Pedofilia e exploração sexual;

• Exemplo de rotina: Perito faz uma cópia da página Web, conservando o estado atual da mesma
(possivelmente útil na comparação com artefatos encontrados no computador sob investigação,
como URLs, imagens, CSS, etc.). Em seguida, visita o local do evento e coleta ou copia os dados em
disco e em memória do computador a ser investigado. Observa indícios de compartilhamento, cópia
ou reprodução. Em caso de recuperação de imagens, procura por informações de GPS ou da
câmera fotográfica usada, comprovação de cenas sexuais e estima a idade dos envolvidos. Analisa o
cenário de conectividade da infraestrutura identificando equipamentos, provedor de acesso,
número da linha telefônica ou ID do modem usado na conexão, etc. e extrai logs, quando possível,
desses elementos envolvidos na comunicação. Por último, recebe os dados de acesso do provedor
de internet envolvido na comunicação, contendo os dados de acesso e logs de ações realizadas no
período;

• Observações e dificuldades: O processo de coleta de evidências de rede e obtenção de dados

do(s) provedor(es) de internet que hospedam o site envolvido no escopo da investigação representa
uma dificuldade, à medida que pode apresentar resistência ou impossibilidade técnica para
disponibilização de dados daquele usuário (ex.: criptografia de dados fim a fim). Mesmo
encontrando imagens de boa qualidade e resolução, em que apareçam os investigados e que estes
sejam conhecidos, a sua identificação unívoca depende do tipo das imagens disponíveis, colocando-
os no contexto do ilícito e possibilidade de reconhecimento facial.

Correio eletrônico

• Objetivo: Examinar mensagens de correio eletrônico (e-mails);

• Exemplo de contexto (criminal): Envio de mensagens envolvendo difamação e ameaça;
• Exemplo de rotina: Perito copia a(s) mensagem(s) para identificação de origem e/ou autoria,
extração do conteúdo textual/html do correio eletrônico, endereços de e-mail envolvidos na
comunicação, anexos e endereço de servidores de envio presentes nas propriedades da mensagem;
• Observações e dificuldades: As mensagens podem ter sido codificadas ou não possuírem
elementos textuais que claramente exibam conteúdo inteligível. Técnicas de esteganografia podem
ter sido aplicadas. Os anexos podem ser protegidos por senha ou criptografados. Os endereços de
envio são proxies montados apenas para envio temporário, com serviço SMTP não mais existente
e, portanto, não mais rastreáveis.

Dispositivo de armazenamento portátil ou removível (inclusive BYOD)

• Objetivo: Identificação de conteúdo e rastreio de último uso;
• Exemplo de rotina: Perito recolhe/desconecta mídia do local (ex.: disco rígido, SD, cartão-chip,
pen-drive, disco óptico, disco flexível, fita DAT, CD, DVD, ROM, RAM, etc.) e leva para exame
laboratorial, procurando por indícios de uso recente e eventual conteúdo remanescente. Identifica
resíduos de manuseio, impressões digitais e restos orgânicos. Verifica trilhas, discos e memórias
com informações em meio digital presentes. Extrai conteúdos, tabelas de endereçamento, etc.
Categoriza tipos e formatos de arquivos encontrados e identifica palavras-chave de interesse para
rastreio e correlacionamento (ex.: números telefônicos, endereços de e-mail, nome de usuários,
apelidos virtuais, Crawl Stats e tokens de rastreio Search Engine Optimizers – SEO, cookies, etc.);
• Exemplo de contexto (criminal): Roubo de informação;
• Observações e dificuldades: Mídias não magnéticas deixam pouca informação remanescente
quando formatadas. Exemplo de contexto (criminal): Roubo de informação;
• Observações e dificuldades: Mídias não magnéticas deixam pouca informação remanescente
quando formatadas.

Computador pessoal

• Objetivo: Identificar características particulares que possam ligá-lo a um evento ilícito;

• Exemplo de rotina: Perito coleta o computador e leva ao laboratório para análise. Identifica
resíduos de manuseio, impressões digitais e restos orgânicos. Desmonta, fotografa partes móveis,
identifica componentes com informações de rastreio fabril e realiza a análise de dispositivo de
armazenamento portátil ou removível. Procura por indícios específicos de documentos relacionados
ao tema e/ou de vantagens para si ou outros, documentada;
• Exemplo de contexto (criminal): Espionagem industrial;
• Observações e dificuldades: Equipamentos de uso coletivo ou público. Equipamentos destruídos
deliberadamente pelo autor. Não há arquivos contendo programas ou códigos-fontes capazes de
capturar informações (Ex. informações bancárias), caracterizando o roubo de informações sob
análise. Provas de materialidade e de autoria de crime foram removidas (dispositivo de
armazenamento portátil ou removível) ou as que foram usadas residiam em servidor remoto,
apenas comandadas no computador sob análise.

Periféricos, equipamentos de rede e telecomunicações conectados

• Objetivo: Exames em equipamentos computacionais auxiliares (periféricos);

• Exemplo de rotina: Perito mede a potência de sinal e abrangência da cobertura da rede Wi-fi sob
análise para determinar locais possíveis de acesso e realização da ação sob análise. Recolhe e
analisa em laboratório os equipamentos Wi-fi envolvidos no contexto, extraindo logs e informações
presentes em disco/SD/ROM e memória. Avalia o roteador Wi-fi, comprovando a possibilidade de
conexão anônima no equipamento e/ou existência de senhas fracas ou autenticação por meio de
provedores (neste último caso, solicita autenticações realizadas no período de tempo investigado
aos provedores);

• Exemplo de contexto (criminal): Rastreio de invasão de sites apontou como origem um Hot-Spot
Wi-fi em aeroporto local;

• Observações e dificuldades: Equipamentos recebem milhares de conexões e não utilizam Syslog

ou outra forma de registro e envio de ações monitoradas para repositório centralizado.
Equipamento Wi-fi não possui autenticação ou não guarda registros de conexão (ex.:
impossibilidade física de guarda de registro interno ou evidência de senha de administração
default/conhecida com possibilidade de ter sido manipulado para deleção de evidências).

Ambiente computacional (data center)

• Objetivo: Exames em ambientes computacionais de corporações;

• Exemplo de rotina: Perito visita o data center e localiza servidores envolvidos no evento sob
análise, após verificar os registros de entrada e direcionamento de tráfego IP (considerando o IP
rastreado como origem para o caso sob análise) para a rede interna
a partir do endereço de entrada (WAN) no(s) gateway(s) do data center. Perito solicita a retirada ou
cópia de informações de disco e memória dos servidores envolvidos;
• Exemplo de contexto (criminal): Ataques de negação de serviço (DOS) rastreados a partir de
endereço IP de responsabilidade de uma organização;
• Observações e dificuldades: Data center opera com conceitos de virtualização, computação em
nuvem com alocação distribuída e dinâmica de recursos e balanceamento de carga (load-balance),
dificultando a localização de um servidor específico envolvido na ação. É impraticável, nesses casos,
a retirada ou cópia de informações de disco e memória de todos os servidores existentes, devido ao
tamanho da infraestrutura de TI.

Aplicativo ou sistema de informação

• Objetivo: Exame de aplicativos ou sistemas de informação (freeware, comerciais/proprietários, ou

códigos/rotinas desenvolvidas de forma experimental (códigos maliciosos, ransomware, malwares e
vírus, trojans, etc.);
• Exemplo de rotina: Perito identifica a presença do programa (em execução ou não) por meio da
verificação de serviços/threads do sistema operacional. Caso esteja em execução, extrai os dados
de memória. Em seguida, extrai o código do programa para análise laboratorial. Identifica
dependência de componentes, existência de backdoor ou componentes antiforenses no código.
Após identificar a intenção do código, executa-o em ambiente isolado (sand-box) e observa seu
comportamento, conexões abertas e tráfego de informação;
• Exemplo de contexto (criminal): Sequestro de bancos de dados (ransomware) e pedido de resgate
com preço fixado em moeda virtual;
• Observações e dificuldades: Códigos ofuscados e codificados dificultam a identificação de
conteúdo e propósito. Técnicas antiforenses podem agir ativamente contra equipamentos e
ferramental de análise usados pelo perito, modificando ou eliminando evidências.

Registro histórico, logs e trilhas de auditoria

• Objetivo: Exames nos registros de alertas e eventos gerados por um sistema;

• Exemplo de rotina: Perito analisa logs de eventos locais e/ou disponíveis em servidor
centralizado. Combina visualizações de múltiplas fontes (ex.: por meio de Security Information and
Event Management – SIEM) para reconstrução de ações em linha do tempo. Com base nas ações
capturadas, estabelece um roteiro de ações e atores envolvidos;
• Exemplo de contexto (criminal): Genérico. Crimes virtuais, envolvendo qualquer tipo de interação
computacional;
• Observações e dificuldades: Logs não apresentam sincronia em relação à referência temporal,
impossibilitando a visualização em sequência ou determinação do conjunto de eventos e alertas
pertinentes ao escopo da avaliação.

Telefone móvel (celulares)

• Objetivo: Exames de extração de dados armazenados em aparelhos de telefonia celular;

• Exemplo de rotina: Perito coleta o(s) telefone(s) sob investigação e leva para análise laboratorial.
Identifica registro de chamadas recebidas, perdidas e realizadas. Identifica IMEI ou ESN/HEX ESN e
obtém dados de uso junto à operadora de telefonia. No caso de smartfone, verifica registros de
acesso à Internet, redes sociais e e-mail. Realiza a cópia de dados em disco e memória.
Dependendo do sistema operacional e/ou recursos de guarda de mídia na nuvem associados,
solicita dados ao fornecedor do telefone (fabricante e/ou responsável pelo serviço de nuvem
associado);
• Exemplo de contexto (criminal): Prisão após escuta telefônica;
• Observações e dificuldades: Telefones com facilidades de bloqueio e reset remoto podem
impossibilitar a extração de dados.

Coleta de Evidências Computacionais

Tipos de evidência

Dependendo do escopo do incidente sob investigação ou mesmo do acesso do perito (escopo de

usuário autenticado, por exemplo), diferentes tipos de cópias das evidências podem ser realizados
na auditoria.

• Imagem física: informações de todos os segmentos e fragmentos do disco (cópia binária), também
conhecidas como RAW;
• Imagem lógica: cópia de arquivos de diretórios (equivalente aos arquivos que são exibidos pelo
gerenciador de arquivos, ex.: Windows Explorer);
• Cópia seletiva: seleção de documentos ou arquivos de interesse para a investigação.

Classificações de Evidência
Dependendo da acessibilidade dada ao perito, algumas classificações de evidência podem não estar
acessíveis. Por exemplo, a impossibilidade de recolher fisicamente o servidor envolvido no
incidente (pois ele pertence a serviços de outros usuários, por exemplo) pode forçar o perito a
realizar exames apenas com a cópia do original.
• Evidência digital: informações digitais (dados) guardadas ou transmitidas, relacionadas ao
incidente e que possuem valor probatório;
• Itens físicos: objetos que podem ter sido envolvidos no processo de guarda ou transmissão das
informações digitais (dados) relacionadas ao incidente;
• Evidência digital original: objetos físicos que guardavam as informações (dados) relacionadas ao
incidente no momento da coleta (ex.: servidores, computadores, etc.);
• Evidência digital duplicada: uma réplica exata da evidência digital original (normalmente efetuada
pelo perito no local da coleta).

Requisitos para Apresentação em Juízo

Como você viu na unidade anterior, quando caracterizamos as habilidades do perito, tanto as
características técnicas quanto as de tradução das percepções obtidas nas evidências para
produção do laudo serão necessárias para a validade desses dados como prova material em um
processo.
• Admissível: coletada de forma legal, com procedimentos aceitáveis, devidamente documentados
e autorizados;
• Autêntica: deve permitir ligar o incidente ao material de evidência coletado;
• Completa: deve contar a história completa do incidente, não apenas a perspectiva de interesse de
uma parte específica (sem viés);
• Confiável: não pode haver nada sobre a evidência que ponha em dúvida sua veracidade;
• Acreditável: deve ser entendida pela corte no tribunal. Exemplos de evidências não admissíveis
são “grampos telefônicos”, como os que vemos em reportagens, que mesmo revelando ilícitos não
são aceitas como prova.

Já em relação à característica de autenticidade, o perito deve comprovar que as evidências

possuem associação ao incidente. Por exemplo, demonstrando informações de data-hora e usuários
nos eventos e alertas anexados como evidência ao processo em que estes são acusados. Ainda
nesse sentido, o perito deve comprovar que os eventos e alertas anexados contam toda a
sequência temporal sob investigação, ou justifique hiatos em caso de impossibilidade da
reconstrução total, sendo considerada completa (com o máximo de dados possível).
Ao avaliarmos a propriedade de confiabilidade, o que normalmente se vê (na maioria das vezes
produzida automaticamente pelas ferramentas usadas na coleta de evidências) é a geração de
HASH para a comprovação de integridade do arquivo/conteúdos copiados na investigação.

Por fim, a habilidade de tradução e contar a história de eventos suportados pelas evidências
técnicas de forma a propiciar o entendimento de leigos é o que confere a característica de ser
acreditável.

Uma última propriedade ou característica, relacionada ao ciclo de vida da evidência (desde o

momento que foi coletada até o momento da apresentação e anexo como prova material), é
chamada de cadeia de custódia. Como parte da cadeia de custódia, devemos observar:

• onde, quando e por quem (perito) a evidência foi recolhida;

• onde, quando e por quem a evidência foi examinada ou manipulada;
• quem possui a custódia da evidência (todos os profissionais que manipularam a evidência durante
todo seu ciclo de vida);
• como foi guardada a evidência (locais e datas).

A coleta de evidências forenses computacionais possui uma característica importante, relacionada à

contaminação dos dados (interferências) causada pelo próprio processo de perícia, que pode
impossibilitar ou causar viés nos dados analisados. Ao inserir equipamentos adicionais no objeto em
análise, dependendo da interface usada, o simples fato de gerar I/O ao SO é suficiente para alterar
o estado deste objeto e interferir na possibilidade de conclusões e laudo. Quando um perito
observa a evidência coletada, pode não ser possível reconhecer o estado daquele ativo
computacional na época do evento em análise, pois dependendo do equipamento, as informações
novas, geradas pela interferência do perito, são em quantidade suficiente para sobrepor aquelas
que estavam presentes originalmente. O simples fato de “logarmos” em um SO, reiniciarmos o
servidor ou iniciarmos novos aplicativos para visualização de conteúdo e informação são suficientes
para alterar dramaticamente o estado da máquina e, portanto, interferir na observação do estado
original do objeto computacional em análise.
Fenômenos de Interferência na Coleta de
Evidências
Aspectos físicos ligados ao fenômeno de interferência e contaminação dos objetos computacionais
pelo observador (perito) são aplicáveis na compreensão desse conceito, um relacionado ao contato
direto (Locard) e o outro quântico (Heisenberg), justificando a influência pelo simples fato da
observação.
O princípio de incerteza na mecânica quântica de Heisenberg (conceito estabelecido por ele em
1925) fala da impossibilidade de medição conjunta sem que haja interferência do segundo objeto.
Extrapolando para a observação do perito, durante a auditoria, significaria dizer que se ele não
estivesse observando aquele objeto em particular ele estaria diferente do modo que se apresenta.
Ou seja, o observador interferiu na evidência somente por observá-la. Vale lembrar, no entanto,
que essa teoria é percebida em objetos pequenos e não tem proporção perceptível na escala
macro. Dessa forma, ainda que conheçamos e aceitemos os efeitos, eles podem ser considerados
desprezíveis na escala do trabalho do perito forense computacional. Essa teoria é usada como
justificativa por Heisenberg para explicar a incerteza quântica como “uma influência do observador”.

A teoria de Locard diz que o contato de dois itens produzirá uma permuta/transferência, referindo-
se à característica eletrônica (no caso do ativo computacional) em que dois elementos precisam
estar em contato e comunicação para que haja a interação, dessa forma caracterizando a
interferência.
Comparando dois exemplos de coleta, uma em que o perito conecta seu equipamento diretamente
e extrai o conteúdo (gerando I/O e usando os recursos da CPU para o acesso à memória no sistema
operacional ou, dependendo da ferramenta, interagindo com o Direct Memory Access – DMA) e
outra em que ele se conecta via rede para acessar o conteúdo do ativo computacional em análise,
temos dois tipos de interferências distintas sendo geradas. Como o acesso via interface física não
requer login no SO, dependendo da arquitetura da ferramenta, a interrupção de I/O pode prover
acesso à comunicação DMA e acesso aos dados em memória. Já se o mesmo acesso não fornecer
acesso, provavelmente a ferramenta precisará executar algum aplicativo para só então acessar a
memória, interferindo em maior proporção na evidência. No outro exemplo, via Net Car (nc), o
acesso pela rede também pode obter acesso aos dados
de arquivos em disco, mas raramente diretamente na memória. Normalmente, o único componente
que acessa a memória RAM da máquina é a CPU (processador). O recurso DMA permite que outros
componentes também acessem a memória, sem que a CPU tenha que realizar uma “cópia” para
entregar aos solicitantes das interrupções, assim, gerando menor interferência na evidência.

Ordem de Coleta
Outro fator especialmente importante é a ordem de coleta. Chamado de “volatilidade” ou ordem de
volatilidade (OOV), este conceito está relacionado diretamente ao tipo de ativo e sua capacidade
interna de guarda de informações. Ativos que retêm por menos tempo a informação e, portanto,
precisam receber prioridade na coleta de evidências computacionais são chamados altamente
voláteis.

A volatilidade é, no contexto do perito, a propriedade do ativo que pode impedir que ele consiga
ter acesso e analisar a evidência de um dado momento. Ou seja, quanto mais tempo se passa entre
o incidente de segurança relacionado e o momento da investigação do perito, maior a chance de os
dados que seriam necessários para a observação do perito se perderem devido ao efeito de
sobrescrever, conforme citado.

Dilema Forense
Considerando-se a capacidade de interferência do perito na evidência e sabendo-se que o fator
tempo joga contra o profissional forense no sentido de que a sua capacidade de análise tende a
decair a medida que mais tempo se passa entre o incidente de segurança e a investigação, há uma
escolha de procedimento de coleta que é conhecida como dilema forense na literatura
especializada.
De um lado, têm-se a urgência e completude da evidência, que conduzem ao pensamento de que
quanto mais rápido e mais dados se puder obter sobre um caso, maior será a capacidade de análise
e de se reproduzir o que se tinha à época do evento, levando, assim, o perito a observar, por
exemplo, a OOV para o estabelecimento de prioridades nas coletas e seleção de todos os ativos
envolvidos no incidente. Neste cenário, a prioridade é manter os ativos em seu funcionamento
normal, de forma a não interferir na evidência e coletá-la em sua completude, na ordem de
prioridade em relação à volatilidade de seus
componentes (ex.: HS/SD e memória RAM), o mais rapidamente possível.

De outro lado, temos a abordagem focada em preservação e isolamento, com o intuito de segregar
e conter o ambiente de forma que ele não “propague” o sintoma para o restante da rede, aceitando
que ao “desplugar” a máquina da rede e desligá-la, muitos dados serão perdidos e o processo de
investigação será impactado. Perceba que, nessa abordagem, temos o foco no isolamento do
incidente e não no processo de produção de provas e coleta de evidências.

As técnicas antiforenses, envolvendo métodos utilizados para evitar (ou agir contra)
ferramentas de extração/análise de evidências, afetam diretamente a capacidade do
perito forense computacional em coletar essas evidências e produzir provas aceitas e
anexas ao processo. Mais informações sobre essa técnica Acesse

Exame de Evidências Computacionais

Como você observou, grande parte das análises do perito forense está relacionada a evidências de
logs de equipamentos de rede, arquivos provenientes de disco ou presentes em memória. Vimos
também que, dependendo do tipo de abordagem para a coleta de evidências, haverá uma
interferência maior ou menor do perito forense, realizando “transferência” e “contaminação” da
prova.

Nesta seção, vamos falar um pouco sobre as diferenças conceituais das análises de informação em
disco e em memória, pois na próxima unidade já teremos uma exploração prática nesse sentido.
Então, você poderá vivenciar a experiência de um caso de uso explorando a coleta e a análise de
dados contidos nas duas mídias.

Como vimos nos tipos de evidência, na seção anterior, quando falamos de análise de arquivos em
disco, nos referindo a dados armazenados, seja em HD, SD ou mídia equivalente, utilizamos
basicamente dois tipos de cópia: uma cópia RAW, também chamada de “bit-a-bit”, que nos
proporciona uma cópia do estado em que o arquivo se encontra na mídia de armazenamento e,
portanto, pode ser considerada mais “fiel”; e outra, utilizando os recursos do SO e sistema de
gerenciamento de arquivos deste, que interpreta as tabelas de alocação e formato configurados,
organiza os dados distribuídos por meio do visualizador e exibe os arquivos e pastas de forma que
possamos copiá-los. Quando realizamos a cópia, via gerenciador de arquivos, além de receber
este “tratamento” de visualização e interpretação pelo SO e aplicativos, a evidência em questão
estará sujeita aos seus controles e restrições. Por exemplo, em uma auditoria envolvendo um
computador conectado à rede corporativa (conectada em um Active Directory – AD), por exemplo,
haverá restrições de autorização e características de compartilhamento impostas por esses
controles. Neste cenário, tanto o Discretionary Access Control (DAC) quanto o Role-based Access
Control (RBAC) podem influenciar a capacidade do auditor, caso haja permissões insuficientes,
diretórios com acesso exclusivo a um usuário, bitlocker ativo, etc.

Como vimos, uma importante tarefa do auditor é construir uma linha de tempo, associando eventos
às evidências encontradas. Em relação aos arquivos, além do conteúdo em si, o perito avalia várias
propriedades de metadados que podem auxiliar na construção da linha do tempo. Uma propriedade
de interesse do perito forense computacional é a análise dos MAC times. Como todos os
metadados de sistemas de arquivos, eles podem ser alterados pelo próprio perito ao observá-los.
Usar o próprio visualizador do SO, portanto, não é o método mais adequado, pois causa essa
“interferência” e “contaminação” na evidência. Alguns utilitários de cópia de arquivos irão
explicitamente setar os MAC times da nova cópia. Já outros vão alterar a propriedade ctimes, que
não será idêntica à do arquivo original que está sendo copiado. A maioria dos SO Linux não irá setar
a propriedade ctimes, por exemplo; já o Windows usando New Technology File System (NTFS) sim.
Normalmente as ferramentas de cópia utilizadas pelos peritos forenses computacionais não causam
essa interferência, mas é importante que você saiba desse aspecto técnico e tenha essa
preocupação com a preservação das provas. O conjunto completo de propriedades MAC times é
composto de:

• mtime (tempo de modificação);

• atime (tempo de acesso);
• ctime (tempo de alteração de metadados e tempo de criação).
 Os MAC times, assim como outros metadados de arquivos, podem servir ao perito
forense computacional para complementar sua percepção de ações registradas em
logs de eventos, por exemplo. Mais detalhes sobre a estrutura e propriedades
Acesse

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.

Porém, nem sempre o perito terá acesso aos arquivos objeto de sua busca. Aliás, o mais correto
seria dizer que quase nunca terá, na medida que um atacante ou mesmo um usuário corporativo
raramente deixará para trás rastros tão óbvios de seus ilícitos. Mas, então, onde mais procurar por
evidências?

Dois locais particularmente interessantes são a memória virtual e espaços de memória tradicionais,
o heap e o stack.

Como o recurso de memória foi um componente caro e limitado a baixas capacidades,

historicamente os SOs utilizaram subterfúgios para driblar problemas relacionadosa desempenho e
capacidade de carregar grandes quantidades de dados que iriam ser utilizadas sob demanda por
programas, mas que não seriam possíveis de alocar no espaço tradicional da RAM. Neste cenário, a
memória secundária (memória virtual) é arquitetada usando-se o disco do computador (HD ou SD,
por exemplo). Programas complexos, que precisam de vários dados, filtros, parâmetros, templates,
etc., raramente os usam
ao mesmo tempo e para todas as atividades. Por isso, convém o uso de memória virtual, permitindo
a otimização de recursos.

A paginação é implementada em Sos, normalmente, por hardware específico controlado pela CPU:
Memory Management Unit (MMU). A paginação é obtida através de consulta a tabelas que contêm
os endereços das páginas de memória e os endereços correspondentes das referências na RAM.
Para diminuir a necessidade constante dessa consulta e cópia, há um recurso que funciona como
uma cache especial, chamada Translation Look-Aside Buffer (TLB). Nela, são guardados endereços
mais utilizados, para maximizar o tempo de acesso, já que o acesso a esse buffer é muito mais
rápido quando comparado à memória principal (você já deve ter notado diferença de desempenho
na primeira vez que iniciamos uma tarefa em aplicativo complexo e as vezes subsequentes quando
vamos repetir o trabalho). O “page size”, usado nas tabelas, podem ser configurados Erro! Fonte de
referência não encontrada., mas muito comumente vemos o tamanho default do SO durante as
investigações.

Quando acessamos um desses programas, então, além de acessar e salvar novos arquivos em disco
e, no contexto da análise forense, deixar rastros em forma de arquivos, há também uma porção de
outros rastros em disco que dizem respeito ao uso desse programa, mas no contexto de memória
virtual Erro! Fonte de referência não encontrada., que também devem ser coletados e analisados.
Cabe ao perito associar esses fragmentos de informação em memória virtual, baseado nas
referências de memória dos programas em uso na RAM, à época do delito sob investigação.
Há também a situação em que o perito terá que rastrear as informações ou estados e resíduos de
uso de programa nas porções de memória heap e stack. Exemplos práticos serão abordados nas
próximas unidades, mas, por ora, imagine que não há arquivos e o que resta é a memória RAM e
uma possível evidência de que o usuário (computador investigado que era usado pelo usuário réu
da ação) abriu e visualizou aquele arquivo. O perito, então, procura por visualizadores comuns para
aquele arquivo (ex.: PDF reader) e procura por evidências de seu uso em processos de memória. A
partir de endereços EIP (Ponteiro de instrução), EBP (Ponteiro para a base da memória) e ESP
(Ponteiro para o stack), é possível procurar por referências na memória. Caso estes não tenham sido
alocados para novos processos e programas, posteriormente (por isso a importância em obtermos
rapidamente a evidência e contaminarmos o mínimo possível com novas requisições ao SO)
podemos encontrar resíduos desse PDF e seu conteúdo, suportando a evidência de acusação, por
exemplo.

Entender o processo de alocação de memória em pilha para instruções de programas

durante sua compilação e variáveis globais no stack e dinâmica para variáveis e dados
criados durante a execução do programa (runtime) pode ajudar a entender como o
perito pode atuar em certos casos. Mais detalhes sobre a estrutura e propriedades:

Acesse
Falamos sobre exemplos de atividades do perito forense no contexto corporativo.

Nesta abordagem, diferenciamos cenários de atuação, com contextos práticos em

casos de

investigação forense em que o perito (acompanhado ou não de outros profissionais

peritos

de áreas correlatas) realiza o seu trabalho de acordo com a evidência computacional

em

questão e o cenário criminal sob investigação.

Observamos características de tipos de evidências e condições para que estas sejam

aceitas em tribunal como prova material.

Concluímos com esta unidade uma visão do papel do perito forense computacional na
localização e análise de diferentes tipos de informação residente nos computadores
sob análise.

Esperamos que você tenha gostado e adquirido esses novos conhecimentos.

 Material Complementar

Perícia forense computacional: teoria e prática aplicada

FARMER, D. Perícia forense computacional: teoria e prática aplicada. 1ª ed. Pearson:

São Paulo, 2006.

DMA controller basic operation

Entenda, sem muitos detalhes técnicos, qual a função do DMA e como este influencia
o

estado da memória (em inglês)

Acesse

Virtual Memory: 3 What is Virtual Memory?

Memória virtual (em inglês

Acesse

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.

Leitura

Perícia digital: estratégias para analisar e manter evidências íntegras em forense

computacional

SILVA, TBF. Perícia digital: estratégias para analisar e manter evidências íntegras em

forense computacional. TCC – Unisul Digital, 2017. Acesse