PERITO DIGITAL

Prévia do material em texto

Perito Digital 
O principal objetivo do investigador forense computacional ou perito digital é determinar 
a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o 
perpetrou, seguindo um procedimento de investigação estruturado. 
Reconstruir o passado, constatar a materialidade e apurar a autoria de incidentes 
cometidos com o requinte dos bits. Esta é a função da perícia digital ou forense digital, 
carreira que mescla o profissional com formação jurídica com o profissional em 
tecnologia da informação e que é crescente na esfera pública e privada, à medida em 
que conflitos, fraudes, furtos e agressões passam a ser cometidas por intermédio de 
dispositivos informáticos e telemáticos, de um computador de mesa a um dispositivo 
móvel celular. 
O conhecimento necessário para realizar a investigação, atualmente está mais baseado 
em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois 
gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no 
entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não 
tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia 
válida. 
O investigador, precisa respeitar uma metodologia confiável e válida, para que o 
processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal 
coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas 
evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será 
levado em consideração caso esteja envolvido em um processo judicial. Vale ressalta 
que para atuar na área deve-se “ter estômago”: “​Na verdade tem muito trabalho e tem 
que ter coragem dependendo do foco de atuação. Existem vários tipos de crimes 
digitais hoje, desde pedofilia, a drogas e coisas mais pesadas. 
Daí a importância do investigador, participar de eventos, treinamentos e procurar 
pesquisar os fundamentos e técnicas dessa área de atuação para realizar os 
procedimentos de investigação da maneira mais correta possível. 
É importante que o profissional mantenha uma conduta correta ao longo da 
investigação, para que todo o processo também não seja invalidado. 
Para ter sucesso, o perito deve ter o perfil metódico, organizado, com boa memória, 
autodidata, saber escrever e redigir documentos, ter inglês e espanhol em nível 
(mínimo) intermediário tanto para ler, escrever ou falar, além de honesto e com muita 
curiosidade​. 
Os profissionais que atuam na área de forense computacional são indivíduos 
geralmente chamados de perito por terem um grande nível de conhecimento em 
computação e por investigarem os crimes de natureza tecnológica. Nesse contexto, 
esses profissionais devem reunir um conjunto de características, tais como: 
● Conhecimento e entendimento profundo de segurança da informação, direito 
digital e sistemas computacionais, bem como das características de 
funcionamento de sistemas de arquivos, programas de computador e padrões de 
comunicação em redes de computadores; 
● Familiaridade com as ferramentas, técnicas, estratégias e metodologia de 
ataques conhecidos, inclusive as que não se tem registo de ter ocorrido, mas 
que já são vistas como uma exploração em potencial de uma determinada 
vulnerabilidade de um sistema; 
● Faro investigativo para perceber rastros sutis de ações maliciosas – Esmero pela 
perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis; 
● Entendimento sobre o encadeamento de causas e consequências em tudo o que 
ocorre num sistema para construir a história lógica formada por ações maliciosas 
ou normais que já tenham ocorrido, que estejam em curso e que possam vir a 
acontecer; 
● Conhecimento da legislação envolvida como a legislação básica brasileira, 
Código Civil, Código Penal, Consolidação das Leis do Trabalho, e 
principalmente, normas processuais e procedimentais que regulamentam a 
produção da prova pericial no Brasil; 
● Conhecimento das diretivas internas das empresas e instituições envolvidas no 
processo investigativo, com especial atenção às limitações como diretivas de 
privacidade, sigilo e escopo ou jurisdição de atuação; 
● Cuidado com a manipulação e preservação de provas legais em potencial, pois o 
que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido 
preservada o suficiente para ser aceita em um tribunal; 
● Experiência ao examinar os rastros em um incidente perceber o nível de 
sofisticação e conhecimento de um atacante, especialmente interessante se o 
atacante usa subterfúgios para parecer menos capaz, como deixar rastros 
óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais 
perigosas e muito mais escondidas. 
 
Crime(s) Cibernético(s) 
Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, 
seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser 
intencional, e não acidental. 
E um crime cibernético possui três diferentes aspectos a serem analisados: 
● Ferramentas do crime; 
● Alvo do crime; 
● Tangente do crime. 
E o mesmo deve ser de duas categorias diferentes: 
● Ataque interno; 
● Ataque externo. 
Exemplos de crimes cibernéticos 
● Roubo de propriedade intelectual; 
● Avaria na rede de serviço das empresas; 
● Fraude financeira; 
● Invasão de crackers; 
● Distribuição e execução de vírus ou worm. 
Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as 
ocorrências de maior incidência. E a motivação dos ataques podem ser as mais 
variadas possíveis, como as seguintes: 
● Testes, ou tentativas de aprender na prática, por script kiddies; 
● Necessidade psicológica; 
● Vingança ou outras razões maliciosas; 
● Desejo de causar problemas para o alvo; 
● Espionagem – corporativa ou governamental. 
Alguns autores têm concentrado esforços com o intuito de elaborar conceitos sobre o 
que seria “Crime informático”, temos então definições que tangem o assunto, porém 
vistos por ângulos diferentes, ao exemplo de (CORRÊA, 2000), onde crimes 
informáticos seriam: “Todos aqueles relacionados às informações arquivadas ou em 
trânsito por computadores, sendo esses dados, acessados ilicitamente, usados para 
ameaçar ou fraudar.” Nota-se neste caso que o autor tem sua preocupação voltada à 
ocorrência de crimes contra o computador, suas informações arquivadas ou 
interceptação indevida destes dados. 
Já segundo (FERREIRA, 2000) crime informático “é uma ação típica, antijurídica e 
culpável cometida contra ou pela utilização de processamento automático de dados ou 
sua transmissão”. Verifica-se neste, um conceito mais amplo e abrangente, onde o 
computador pode ser o bem atacado (bem jurídico) ou o meio pelo qual o criminoso se 
utiliza para praticar o delito (modus operandi e/ou Sine qua non ). 
É válido ressaltar que a informática possibilita não somente a prática de crimes novos, 
como potencializa alguns outros tradicionais tais como o furto, por exemplo. Então 
haveria assim, crimes cometidos através do computador onde o computador seria a 
ferramenta para o crime, e os cometidos contra o computador, isto é, contra seus 
hardwares (parte física do computador como suas peças) e softwares (parte lógica 
como programas, arquivos etc.) onde o mesmo seria o objeto do crime. (GOMES, 2000) 
Voltando ao conceito de que crime informático seja uma ação típica, antijurídica e 
culpável cometida contra ou pela utilização de processamento automático de dados ou 
sua transmissão. (FERREIRA, 2000) remonta à definição do que seja crime, descrito no 
capítulo anterior e adota a classificação dada pelos autores estrangeiros Hervé Croze e 
Yves Biscunth os quais definem duas categorias de crimes informáticos. Os atos 
dirigidos contra um sistema de informática, por qualquer motivo, verdadeiro núcleo da 
criminalidade informática, por se tratarem de ações que atentem contra o próprio 
material informático (suportes lógicos ou dados dos computadores). E os atosque 
atentem contra outros valores sociais ou outros bens jurídicos, cometidos através de um 
sistema de informática, que compreenderiam todas as espécies de infrações previstas 
em lei penal. 
Classificação e tipificação dos crimes informáticos 
(PINHEIRO, 2001) classifica crimes informáticos em três categorias distintas, sendo 
elas: 
● O crime virtual puro, que seria toda e qualquer prática criminosa que tenha por 
alvo único, o computador em si, atacando física ou tecnicamente o equipamento 
e seus componentes (hardware), incluindo suas informações e sistemas 
(software), por exemplo, um vírus que apagasse todo o conteúdo armazenado 
de um computador. 
● O crime virtual misto que é aquele em que a utilização da internet é 
característica sine qua non para a prática do crime, embora o bem jurídico alvo 
seja alheio ao informático, tais como, por exemplo, um vírus para armazenar 
senhas digitadas em páginas de bancos na internet (keyloggers) para um futuro 
acesso e desvio de financeiro indevido. 
● O crime virtual comum seria utilizar a informática somente como ferramenta para 
a efetivação de um crime já tipificado pela lei penal, utilizando-a como um novo 
meio para o cometimento desta ação delituosa. Tomando por exemplo a 
pornografia infanto- juvenil já prevista no Estatuto da criança e do adolescente 
sob o artigo 241, onde antes vinculados em revistas e vídeos, hoje se dá pelo 
compartilhamento em programas P2P tais como o E-mule e outros, trocas por 
e-mails, divulgação e sites e diversas outras formas. 
Já segundo (VIANNA, 2003) crimes dessa natureza se dividem em quatro categorias: 
● Crimes informáticos impróprios: seriam aqueles nos quais o computador é usado 
como instrumento para a execução do crime, mas não há ofensa ao bem 
jurídico, inviolabilidade da informação automatizada (dados). Exemplos de 
crimes informáticos impróprios podem ser calúnia (art. 138 do CP Brasileiro), 
difamação (art. 139 do CP Brasileiro), injúria (art. 140 do CP Brasileiro), todos 
podendo ser cometidos, por exemplo, com o envio de um e-mail. 
● Crimes informáticos próprios: seriam aqueles em que o bem jurídico protegido 
pela norma penal é a inviolabilidade das informações automatizadas (dados). 
Como exemplo desse crime temos a interceptação telemática ilegal, prevista no 
art. 10 da lei 9296/96 (Lei federal Brasileira). 
● Delitos informáticos mistos: seriam crimes complexos em que, além da proteção 
da inviolabilidade dos dados, a norma visa a tutelar bem jurídico de natureza 
diversa. 
● Crimes informáticos mediatos ou indiretos: seria o delito-fim não informático que 
herdou esta característica do delito-meio informático realizado para possibilitar a 
sua consumação. 
Condutas ilícitas 
Há hoje uma lista grande de crimes informáticos sendo praticados diariamente, e, a 
cada dia ela se enriquece mais, fato que ocorre devido a explosão do uso de 
computadores e internet e pelo constante surgimento de novas tecnologias de software 
e hardware que apresentam vulnerabilidades (exemplo de softwares que são lançados 
com falha na segurança, permitindo assim exploração dessas vulnerabilidade) ou no 
caso de novas tecnologias, (como exemplo o surgimento das redes peer-to-peer que 
possibilitam a transmissão de pornografia infanto-juvenil), (ZANELLATO, 2003) cita, 
dentre outras condutas: 
● a) spamming, como forma de envio não-consentido de mensagens 
publicitárias por correio eletrônico a uma massa finita de usuários da rede, 
conduta esta não oficialmente criminal, mas antiética; 
● b) cookies, a quem chama “biscoitinhos da web”, pequenos arquivos de 
textos que são gravados no computador do usuário pelo browser quando ele 
visita determinados sites de comércio eletrônico, de forma a identificar o 
computador com um número único, e obter informações para reconhecer quem 
está acessando o site, de onde vem, com que periodicidade costuma voltar e 
outros dados de interesse do portal; 
● c) spywares, como programas espiões que enviam informações do 
computador do usuário da rede para desconhecidos, de maneira que até o que é 
teclado é monitorado como informação, sendo que alguns spywares têm 
mecanismos que acessam o servidor assim que usuário fica on-line e outros 
enviam informações por e-mail; 
● d) hoaxes, como sendo e-mails que possuem conteúdos alarmantes e 
falsos, geralmente apontando como remetentes empresas importantes ou órgãos 
governamentais, como as correntes ou pirâmides, hoaxes típicos que 
caracterizam crime contra a economia popular, podendo, ainda, estarem 
acompanhadas de vírus; 
● e) sniffers, programas espiões, assemelhados aos spywares, que, 
introduzidos no disco rígido, visam a rastrear e reconhecer e-mails que 
circundam na rede, de forma a permitir o seu controle e leitura; 
● f) trojan horses ou cavalos de troia, que, uma vez instalados nos 
computadores, abrem suas portas, tornando possível a subtração de 
informações, como senhas, arquivos etc. 
Em seu Oitavo Congresso sobre Prevenção de Delito e Justiça Penal, ocorrido em 1990 
em Havana, Cuba, a Organização das Nações Unidas – ONU divulgou uma listagem 
com os tipos de crimes informáticos. O documento divide os delitos em três macro 
categorias sendo a primeira: Fraudes cometidas mediante manipulação de 
computadores, caracterizadas por: 
● a) manipulação de dados de entrada, também conhecida como subtração de 
dados; 
● b) manipulação de programas, modificando programas existentes em 
sistemas de computadores ou enxertando novos programas ou novas rotinas; 
● c) manipulação de dados de saída, forjando um objetivo ao funcionamento 
do sistema informático, como, por exemplo, a utilização de equipamentos e 
programas de computadores especializados em decodificar informações de 
tarjas magnéticas de cartões bancários ou de crédito; 
● d) manipulação informática, técnica especializada que aproveita as 
repetições automáticas dos processos do computador, apenas perceptível em 
transações financeiras, em que se saca numerário rapidamente de uma conta e 
transfere a outra. 
A segunda seria falsificações informáticas: 
● a) como objeto, quando se alteram dados de documentos armazenados em 
formato computadorizado; 
● b) como instrumento, quando o computador é utilizado para efetuar 
falsificações de documentos de uso comercial, criando ou modificando-os, com o 
auxílio de impressoras coloridas a base de raio laser, cuja reprodução de alta 
qualidade, em regra, somente pode ser diferenciada da autêntica por perito; 
Os danos ou modificações de programas ou dados computadorizados, também 
conhecidos como sabotagem informática, ato de copiar, suprimir ou modificar, sem 
autorização, funções ou dados informáticos, com a intenção de obstaculizar o 
funcionamento normal do sistema, cujas técnicas são: 
● a) vírus, série de chaves programadas que podem aderir a programas 
legítimos e propagar-se a outros programas informáticos; 
● b) gusanos, análogo ao vírus, mas com objetivo de infiltrar em programas 
legítimos de programas de dados para modificá-lo ou destruí-lo, sem 
regenerar-se; 
● c) bomba lógica ou cronológica, requisitando conhecimentos especializados 
já que requer a programação para destruição ou modificação de dados em um 
certo momento do futuro; 
● d) acesso não-autorizado a sistemas de serviços, desde uma simples 
curiosidade, como nos casos de hackers, piratas informáticos, até a sabotagem 
ou espionagem informática; 
● e) piratas informáticos ou hackers, que aproveitam as falhas nos sistemas 
de seguranças para obter acesso a programas e órgãos de informações; e 
reprodução não-autorizada de programas informáticos de proteção legal, 
causando uma perda econômica substancial aos legítimos proprietários 
intelectuais. 
Na década seguinte, no Décimo Congresso sobre Prevenção de Delito e Tratamento do 
Delinqüente, agora ocorrido em Viena, Áustria, a ONU divulgou num comunicado à 
imprensa, uma lista com mais alguns tipos de crimes informáticos, executados por 
intermédio do computador,que são: 
● a) Espionagem industrial: espionagem avançada realizada por piratas para 
as empresas ou para o seu próprio proveito, copiando segredos comerciais que 
abordam desde informação sobre técnicas ou produtos até informação sobre 
estratégias de comercialização; 
● b) Sabotagem de sistemas: ataques, como o bombardeiro eletrônico, que 
consistem no envio de mensagens repetidas a um site, impedindo assim que os 
usuários legítimos tenham acesso a eles. O fluxo de correspondência pode 
transbordar a quota da conta pessoal do titular do e-mail que as recebe e 
paralisar sistemas inteiros. Todavia, apesar de ser uma prática extremamente 
destruidora, não é necessariamente ilegal; 
● c) Sabotagem e vandalismo de dados: intrusos acessam sites eletrônicos ou 
base de dados, apagando-os ou alterando-os, de forma a corromper os dados. 
Podem causar prejuízos ainda maiores se os dados incorretos forem usados 
posteriormente para outros fins; 
● d) Pesca ou averiguação de senhas secretas: delinquentes enganam novos 
e incautos usuários da internet para que revelem suas senhas pessoais, 
fazendo-se passar por agentes da lei ou empregados de provedores de serviço. 
Utilizam programas para identificar senhas de usuários, para que, mais tarde, 
possam usá-las para esconder verdadeiras identidades e cometer outras 
maldades, como o uso não autorizado de sistemas de computadores, delitos 
financeiros, vandalismo e até atos de terrorismo; 
● e) Estratagemas: astuciosos utilizam diversas técnicas para ocultar 
computadores que se parecem eletronicamente com outros para lograr acessar 
algum sistema geralmente restrito a cometer delitos. O famoso pirata Kevin 
Mitnick se valeu de estratagemas em 1996, para invadir o computador da casa 
de Tsotomo Shimamura, expert em segurança, e destruir pela internet valiosos 
segredos de segurança; 
● f) Pornografia infantil: a distribuição de pornografia infantil por todo o mundo 
por meio da internet está aumentando. O problema se agrava ao aparecer novas 
tecnologias como a criptografia, que serve para esconder pornografia e demais 
materiais ofensivos em arquivos ou durante a transmissão; 
● g) Jogos de azar: o jogo eletrônico de azar foi incrementado à medida que o 
comércio brindou com facilidades de crédito e transferência de fundos pela rede. 
Os problemas ocorrem em países onde esse jogo é um delito e as autoridades 
nacionais exigem licenças. Ademais, não se pode garantir um jogo limpo, dado 
as inconveniências técnicas e jurisdicionais para sua supervisão; 
● h) Fraude: já foram feitas ofertas fraudulentas ao consumidor tais como a 
cotização de ações, bônus e valores, ou a venda de equipamentos de 
computadores em regiões onde existe o comércio eletrônico; 
● i) Lavagem de dinheiro: espera-se que o comércio eletrônico seja um novo 
lugar de transferência eletrônica de mercadorias e dinheiro para lavar as 
ganâncias do crime, sobretudo, mediante a ocultação de transações. 
De acordo com (CARPANEZ, 2006) Atualmente, o crime informático mais cometido no 
mundo é o roubo de identidade. Através desta prática, os crackers apoderam-se de 
informações particulares da vítima atuando de forma delituosas em várias áreas como 
compras on-line, transferências financeiras indevidas ou mesmo a apropriação de 
contas de e-mails ou informações pessoais. 
Apesar de o primeiro lugar estar muito bem definido, não há informações sobre quais as 
posições das outras práticas ilícitas no pódio da criminalidade informática. Porém 
crimes como pedofilia, calúnia e difamação, ameaça, discriminação, espionagem 
industrial e outros que tem como alvo os direitos humanos configuram delitos de 
destaque neste ranking. 
 
Investigação Digital 
A forense digital, é uma ciência ou técnica relativamente recente no campo da 
segurança digital, pois poucas décadas no separam do surgimento do computador de 
demais dispositivos tecnológicos que poderiam ser utilizados em crimes digitais. 
Essa ciência inclui a preservação, coleta, confirmação, identificação, análise, cópia e a 
apresentação de informação sobre a atividade maliciosa. E o processo de investigação 
é que nos provê as informações necessárias para a análise forense, que vai nos levar à 
conclusão final que poderá servir até mesmo como base para uma decisão judicial. 
Investigação digital 
“​Uma série metódica de técnicas e procedimentos para coletar evidências de um 
sistema computadorizado, de dispositivos de armazenamento ou de mídia digital, que 
podem ser apresentadas em um foro de uma forma coerente e formato inteligível​”. – Dr. 
H. B. Wolf 
A investigação digital é um processo onde uma hipótese é desenvolvida e testada para 
responder algumas questões à respeito de uma ocorrência digital. 
As informações utilizadas durante a recriação do cenário são coletadas ao longo do 
processo de investigação em uma de suas fases iniciais. Com tais informações, é 
possível compreender o que ocorreu, como ocorreu e até mesmo o objetivo por detrás 
das ações do responsável pelo comprometimento do artefato digital. E a investigação 
digital tem como objetivo suportar ou desmentir uma hipótese apresentada por uma 
análise inicial, e muitas vezes superficial, do cenário comprometido. 
Investigação digital X Forense digital 
Por mais que pareça incoerente e estranho, a investigação digital difere da forense 
digital em inúmeros pontos do processo – apesar de o objetivo central ser praticamente 
o mesmo. 
A principal diferença entre a investigação digital e a forense digital é a parte legal. Pois 
em um processo de análise forense existe uma preocupação legal, não só uma 
preocupação técnica, ao longo de todo o processo. Essa preocupação legal deve-se ao 
objetivo final de cada uma dessas operações. A análise forense procura chegar numa 
conclusão final, que permita apresentar um relatório com provas bem fundamentadas e 
amparadas nas leis vigentes daquele país, pois o mesmo será utilizado para embasar 
uma decisão judicial, que precisa estar de acordo com os aspectos legais de um 
processo válido. Do contrário, a investigação não alcançará seu objetivo, que é 
fundamentar ou desmentir uma hipótese apresentada durante a análise do caso. 
Pelo fato da forense digital ser algo recente, as interpretações das leis podem mudar, 
bem como a reação às novas ameaças. O que acaba dificultando o processo de 
investigação, pois ainda se utiliza leis de um paradigma antigo, para enquadrar crimes 
ocorridos em um paradigma completamente diferente, com artefatos diferentes, 
objetivos e métodos diversos. 
Já a investigação digital tem um foco diverso, mais voltado para as técnicas e 
ferramentas utilizadas do que ao aspecto legal de um processo judicial. Isso permite ao 
perito focar seu trabalho em descobrir e analisar as evidências de forma mais técnica e 
aprofundada, não se preocupando em demasia com os aspectos legais de todo o 
processo. 
Problemas concernentes à Forense computacional 
Como a forense computacional é uma área relativamente nova, até mesmo por conta do 
pouco tempo da popularização dos computadores, não há possibilidade de perfeição 
em seus métodos e formas de atuação. 
Por conta disso, podemos enumerar alguns pontos falhos dessa área, que com o tempo 
certamente serão melhorados: 
● Ainda, é mais uma arte do que ciência; 
● Ainda está em seus estados iniciais de desenvolvimento; 
● Há pouco conhecimento teórico sobre o qual as hipóteses empíricas são 
baseadas; 
● Há falta de treinamento apropriado; 
● Não há padronização de ferramentas. 
Essas são alguns dos problemas atuais dessa área. No entanto, o desenvolvimento de 
pesquisas na área, em pouco tempo, resolverão os mesmos. 
“A forense computacional é o equivalente ao levantamento na cena de um crime ou a 
autópsia da vítima ”.​ – James Borek 
Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato 
digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de 
negociação, autenticação, permissão ou qualqueroutra ação legal. 
Sem contar, que muito do que manipulamos de informação atualmente, está em formato 
virtual, sem equivalência do mundo físico. Por conta disso, em quatro ou cinco anos, 
todos os casos judiciais envolverão a análise forense computacional. 
E como as evidências digitais são delicadas por natureza, é necessário um profissional 
qualificado e que tenha conhecimento suficiente para realizar a análise forense de um 
sistema comprometido, ou que possua evidências necessárias ara a comprovação de 
determinados fato. 
E o principal objetivo do investigador forense computacional é determinar a natureza e 
os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, 
seguindo um procedimento de investigação estruturado. Esse procedimento de 
investigação estruturado está baseado em metodologias que definem os passos 
básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa 
organizar seu kit personalizado de ferramentas para facilitar todo o processo. 
Investigando Servidores Web 
Os ataques com base em Web geralmente se encaixam em três categorias: ataques 
contra o próprio servidor (um pedido de acesso), ataques contra o conteúdo 
(desfiguração do site/​defacement​) e ataques contra a empresa ou organização (roubo 
de produto ou informação). 
Os ataques via Web são frequentes devido à vulnerabilidade no software e autenticação 
do sistema operacional e os mais comuns são os de desfiguração de site. 
Em um sistema Web, podem se envolver diferentes tecnologias, tais como: Java, 
JavaScript, VbScript, Active Server Pages (ASP), Secure Sockets Layer (SSL), 
Common Gateway Interface (CGI), PHP, HTML, ColdFusion, etc. 
E os métodos investigativos são facilmente adaptados para qualquer uma dessas 
tecnologias. Investigações em servidores Web são mais facilmente conduzidas com a 
assistência de administradores e desenvolvedores do site. 
Diversos arquivos de ​log​ podem ser usados para confirmar ou não se um incidente 
ocorreu e então determinar o tipo, extensão, causa e origem do incidente. 
Somente uma entrada no arquivo de ​log​ possa talvez não ser suficiente para termos 
uma imagem do incidente, mas uma série de entradas dá ao investigador um controle 
do tempo e o contexto necessário para compreender o incidente. Uma compreensão 
geral do incidente é fundamental para a resposta eficaz. 
 
Modus Operandi / Sine Qua Non 
Modus operandi (MO - Modo de operação) é um termo latino que significa "um método 
de operação". Refere-se aos comportamentos cometidos por um criminoso com a 
finalidade de completar com sucesso uma ofensa. O MO de um criminoso reflete como 
eles cometem seus crimes. É separado dos seus motivos, que tem a ver com o porquê 
deles cometem seus crimes (Burgess 1997; Turvey, 2002). 
O MO de um criminoso tem sido tradicionalmente relevante para os esforços de ligação 
de casos da aplicação da lei. No entanto, também é relevante, pois pode envolver 
procedimentos ou técnicas que são características de uma determinada disciplina ou 
campo de conhecimento. Isso pode incluir comportamentos que refletem conhecimentos 
tanto criminais como não criminais (Turvey, 2002). 
O MO de um criminoso consiste em comportamentos aprendidos que podem evoluir e 
desenvolver ao longo do tempo. Pode ser refinado, uma vez que um ofensor se torna 
mais experiente, sofisticado e confiante. Também pode tornar-se menos competente e 
menos habilidoso ao longo do tempo, descompensando em virtude de um estado 
mental em deterioração ou aumento de uso de substâncias que alteram a mente 
(Turvey, 2002). 
Em ambos os casos, o comportamento de MO de um infrator é funcional por sua 
natureza. Na maioria das vezes serve (ou não consegue atender) um ou mais de três 
propósitos (Turvey 2002): 
● Protege a identidade do agressor; 
● Assegura a conclusão bem-sucedida do crime; 
● facilita a fuga do infrator. 
Exemplos de comportamentos de MO relacionados a crimes de computador e Internet 
incluem, mas certamente não estão limitados a (Turvey 2002): 
Quantidade de planejamento antes de um crime, evidenciado por comportamento e 
materiais (ou seja, notas tomadas na fase de planejamento sobre seleção de 
localização e informações potenciais de vítimas, encontradas em e-mails ou revistas 
pessoais em um computador pessoal). 
Materiais utilizados pelo infractor na comissão da infração específica (ou seja, tipo de 
sistema, tipo de conexão, software envolvido, etc.). 
Presurveillance (​pré-vigilância) ​de uma cena de crime ou vítima (ou seja, 
monitorando os hábitos de postagem de uma vítima em uma lista de discussão, 
aprendendo sobre o estilo de vida ou a ocupação de uma vítima em seu site pessoal, 
contatando uma vítima potencial diretamente usando um alias amigável ou uma 
pretensão, etc.). 
Seleção de localização de infração (ou seja, uma mensagem ameaçadora enviada para 
um grupo de notícias Usenet, uma conversa teve em uma sala de bate-papo de Internet 
para preparar uma vítima em potencial, um servidor que hospeda materiais ilícitos para 
distribuição secreta, etc.). 
Uso de uma arma durante um crime (ou seja, um vírus prejudicial enviado ao PC da 
vítima como um anexo de e-mail, etc.). 
Atos de precaução do delinquente (ou seja, o uso de alias, o tempo de roubar em um 
sistema privado para uso como base de operações, spoofing de IP, etc.). 
O conhecimento do ​modus​ ​operandi​ para o perito possibilita-o a ter uma visão melhor 
sobre o processo da invasão do sistema, podendo, então, antecipar a busca de dados 
relevantes para uma perícia forense computacional. 
Sine Qua Non 
Sine qua non é uma locução adjetiva, do latim, que significa “sem a qual não”. É uma 
expressão frequentemente usada no nosso vocabulário e faz referência a uma ação ou 
condição que é indispensável, que é imprescindível ou que é essencial. 
"Sine qua non" é uma locução com que se qualifica uma cláusula ou condição sem a 
qual não se conseguirá atingir o objetivo planejado, sem a qual determinado fato não 
acontece. 
A expressão “Conditio sine qua non” (Condição sem a qual não) indica circunstância 
indispensável à validade ou à existência de um ato. É usada nas diversas áreas do 
conhecimento, entre elas, Direito, Economia, Filosofia e Ciências da Saúde. Vários 
idiomas fazem uso dessa expressão na sua forma em latim, como o inglês, o alemão, o 
francês, o italiano, entre outras. 
No Direito Penal,​ “conditio sine qua non” é a condição sem a qual não existe o crime, 
não havendo o “conditio sine qua non”, não há nexo de causalidade, portanto não há 
crime. Considera-se causa a ação ou omissão sem a qual o resultado não teria 
ocorrido, conforme dispõe o Art. 13 do Código de Processo Penal: “o resultado de que 
depende a existência do crime, somente é imputável a quem lhe deu causa. 
Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido”. 
No latim clássico, a forma correta usa a palavra “condicio” (condição), no entanto é 
frequentemente usada a palavra “conditio” (fundação): “Conditio sine qua non”. 
 
Processos de Análise Forense 
Uso de artifícios, dentre eles, a ciência forense, com o intuito de elucidar fatos acerca 
de um determinado ocorrido, de natureza criminal ou qualquer outra onde haja conflito 
de interesses 
Fases 
● Coleta dos dados; 
● Manter integridade; 
● Identificar e documentar; 
● Exame dos dados; 
● Uso de ferramentas técnicas; 
● Visa à obtenção de informações relevantes; 
● Análise das informações; 
● Processamento das informações obtidas na fase anterior; 
● Interpretação dos resultados; 
● Laudo descrevendo procedimentos e resultados. 
Ciclo da Investigação Computacional Forense 
 
Coleta dos Dados 
● Estabelecer Prioridades segundo 
○ Volatilidade: dados que podem ser perdidos devem ser 
priorizados; 
○ Esforço: deve-se priorizar as coletas de menos esforço; 
○ Valor Estimado: estimar valor relativo para cada provável fonte de 
dados. 
● Preservar Integridade 
○ Gerar provas de que os dadosestão íntegros (HASH) 
○ Importante para admissibilidade das evidências 
Exame dos Dados 
● Filtrar, avaliar e extrair informações relevantes 
● Uso de recursos e ferramentas específicas como: 
○ dump de memória volátil; 
○ recuperação e análise de de dados persistentes; 
○ National Software Reference Library: conjunto de assinaturas de 
softwares e documentos disponibilizado para filtragem de dados. 
Análise das Informações 
● Interpretação dos dados coletados 
○ Identificação dos envolvidos; 
○ Estabelecimento de ordem cronológica; 
○ Levantamento de eventos e locais; 
● Cruzamento de informações que levem a provas concretas ou evidências. 
Interpretação dos Resultados 
● Elaboração de um laudo pericial 
○ Conclusão imparcial, clara e concisa; 
○ Exposição dos métodos utilizados; 
○ Deve ser de fácil interpretação por uma pessoa leiga. 
Perícia Computacional 
● Resposta a incidente de segurança 
○ Preparação (pré-incidente) 
○ Identificação (incidente) análise forense 
○ Contenção (início do pós-incidente) 
○ Erradicação 
○ Recuperação 
○ Acompanhamento 
● Responder: 
○ O que? 
○ Onde? 
○ Quando? 
○ Como? 
● Segundo Dan Farmer, a perícia computacional (forensics) “trata-se da 
captura e análise de evidências, tanto quanto possível livres de estarem 
distorcidas ou tendenciosas, de tal forma a reconstruir determinados dados 
ou o que aconteceu num sistema no passado”; 
● O perito deve isolar e assegurar o perímetro, registrando a “cena do crime” 
da melhor maneira possível, e conduzindo uma busca sistemática por 
evidências, coletando e armazenando as que encontrar; 
● A velocidade das ações é essencial, mas estas devem ser levadas em 
consideração sem colocar em risco a coleta ou a veracidade das 
informações; 
● O perito também deve ter em mente que qualquer operação executada num 
sistema, causará alguma perturbação em seu estado; 
● Além disso, atacantes hábeis conhecem como as perícias são feitas e podem 
fornecer informações falsas em locais específicos. 
● Outro aspecto importante diz respeito às leis vigentes na jurisdição, e as 
políticas da organização ou instituição. Estas devem ser levadas em 
consideração, e respeitadas; 
● Sem este procedimento, a coleta de evidências pode ser inócua, ineficaz ou 
ilegítima. 
● Procedimentos para análise forense 
○ Criar registro para cada evidência 
○ Criar assinatura das evidências (Assistir aula sobre hash). 
■ MD5 
■ SHA1 
■ SHA256 
○ Evitar comprometer evidências 
○ Criar relatório detalhado da investigação 
■ Comandos executados 
■ Pessoas entrevistadas 
■ Evidências coletadas 
● Cadeia de custódia​ de evidências 
○ Registro detalhado do modo como as evidências foram tratadas 
durante a análise forense, desde a coleta até os resultados finais 
○ Este registro deve conter informações sobre quem teve acesso as 
evidências ou às cópias utilizadas 
○ Durante um processo judicial, este registro vai garantir que as 
provas não foram comprometidas 
○ Cada evidência coletada deve ter um registro de custódia 
associada a ela 
● Um registro de custódia deve conter pelo menos os seguintes itens 
○ Data e hora de coleta da evidência 
○ De quem a evidência foi apreendida 
○ Informações sobre o hardware, como fabricante, modelo, número 
de série etc 
○ Nome da pessoa que coletou a evidência 
○ Descrição detalhada da evidência 
○ Nome e assinatura das pessoas envolvidas 
○ Identificação do caso e da evidência (tags) 
○ Assinaturas MD5/SHA1 das evidências, se possível 
○ Informações técnicas pertinentes 
https://unotec.com.br/ead/mod/resource/view.php?id=92
● Durante a busca por evidências, a preservação do estado do sistema é um 
fator determinante. Sem a preservação do estado, pode acontecer de nunca 
se saber o passado; 
● Desta forma, o perito sempre deve fazer a coleta de dados de acordo com a 
ordem de volatilidade; 
● Como ordem de volatilidade, deve-se considerar coletar primeiramente os 
dados que forem mais efêmeros. 
 
Ordem de Coleta de Evidências 
● Durante a realização da captura de dados de perícia, além de seguir a ordem 
de volatilidade dos dados, deve-se também levar em conta a “cadeia de 
confiança” do sistema. 
● Esta cadeia de confiança está associada com maneira na qual ocorre a 
execução de um binário dentro de um sistema operacional. 
● A cadeia de confiança apresenta a maneira como um sistema é perturbado 
durante a execução de um comando ou programa. 
 
● Durante a realização de uma perícia será necessário realizar uma 
reconstrução de eventos passados; 
● Entre os métodos a serem aplicados na correlação de eventos, pode-se citar, 
em ordem de importância, os seguintes procedimentos e técnicas, bem como 
algumas questões associadas a eles: 
● Reconstrução do histórico dos usuários e suas operações. 
○ Quais usuários acessaram o sistema numa determinada hora? 
○ Qual foi o padrão de uso de uma conta em particular? 
● Reconstrução do histórico dos processos executados, ou em execução. 
○ Qual o ​Username​, terminal e hora de início da sessão de cada 
processo? 
○ Qual a quantidade de uso de memória e CPU? 
○ Quais as linhas de comando de chamada do processo? 
○ Qual o estado do processo no momento (​running, sleeping, 
suspended, dead​, etc...)? 
○ Quais os comandos executados por um processo específico? 
○ Quais os comandos dentro de uma sessão específica? 
○ Quais as sucessivas instâncias de um processo? 
○ Quais as sequências de comandos específicos de um usuário? 
○ Quais os processos rodando durante uma determinada janela de 
tempo? 
○ Quais os processos residentes que iniciaram após o tempo de 
reboot​? 
● Reconstrução da situação das conexões de rede e roteamento. 
○ Qual a data, horário e destino da conexão? 
○ Qual o nome do processo de rede e seu ID? 
○ Qual o host cliente? 
○ Opcional: Qual o usuário cliente? (depende da existência de 
processo identd). 
● Arquivos dos registros de auditoria (logs). 
○ Quais as conexões de, e para, um site específico? 
○ Quais as conexões para um serviço específico (por exemplo, 
telnetd ou ftpd)? 
○ Quais as sequências sucessivas de conexão de um site (por ex. 
finger seguido de telnet)? 
○ Quais as conexões ocorridas num intervalo de tempo? 
● Horários de acesso (ou modificação) de arquivos ou diretórios (M/A/C/times) 
[14]. 
○ mtime = modification time 
○ atime = access time 
○ ctime = status change time 
○ dtime = deletion time (presente em alguns Linux) 
○ Estes tempos são associados a qualquer arquivo ou diretório no 
UNIX, no Windows NT e em outros filesystems. Trazem uma 
quantidade significativa de informação. 
○ Existem cerca de 100.000 arquivos numa máquina Unix, 
representando 10 Mb de dados de M/A/C/times. 
○ Se disponível, é um conjunto de evidências que deve ser 
seriamente considerado. 
● Network Sniffing (se possível). 
○ É difícil de detectar. 
○ Pode capturar todo o tráfego de rede. 
○ Excelente para acompanhar o ataque em andamento ou o retorno 
do atacante. 
○ Útil para controle de danos, e inútil para recuperação de dados. 
○ Exige alta capacidade de armazenamento. 
○ Dados encriptados são um problema e impossibilitam a aplicação 
desta técnica. 
○ Pode violar a privacidade de outros usuários. É fortemente 
dependente da política da organização e das leis vigentes. 
 
Sistema Multiagente para Perícia Computacional 
● Ferramentas atuais não fornecem flexibilidade para analisar grandes volumes 
de dados 
● Procedimentos desejáveis nem sempre são realizados 
○ Falta de recursos, tempo, habilidade do agente, etc 
● Sistema multiagente: 
○ Diversos agentes, podendo agir de forma autônoma, trabalhando 
no mesmo ambiente para atingir seus objetivos 
● Cada agente é especialista em uma tarefa 
● Sugerem a melhor ação a ser tomada com base em sua especialização 
● Exemplos de especialidades: 
○ Logs de servidores web 
○ Imagens (detecção de faces, cor de pele, etc) 
○ Histório do navegador internet 
○ Quebra de senhas 
○ Recuperação de arquivos apagados 
○ Comparação com conjunto de hashes 
●Nem todos especialistas são necessários em um caso específico 
○ Agente coordenador 
● Agentes podem ter conclusões diferentes 
○ Blackboard – Agentes colocam suas “opiniões” em uma estrutura 
e outro agente decide como resolver o conflito 
● Os agentes são criados em forma de árvore 
○ Nível 1: Especialista 
○ Nível 2: Operacional 
○ Nível 3: Tático 
○ Nível 4: Estratégico 
○ Os níveis debaixo só se comunicam com os seus superiores. 
● Em um computador, ficam os especialistas, e o seu coordenador operacional 
● Diversos computadores são coordenados por coordenadores táticos 
● Os coordenadores táticos são coordenados pelo Gerente estratégico (define 
quais táticos vão ser utilizados) 
● Essa hierarquia permite tratar desde análise de apenas 1 computador, até 
análise de um gigante número de dados, de forma distribuída. 
● Somente agentes necessários “trabalham” 
● Os desocupados podem liberar acesso à máquina para outro agente 
executar tarefas mais “pesadas” 
● Desenvolvido em Java 
○ Utiliza troca de mensagens 
○ Blackboard: Java Expert System shell (Jess) 
○ Agentes: Java Agent Development Framework (JADE) 
● Análise de HD de 80GB com mais de 50 mil arquivos 
● Base de hashes reduzida, com 26 mil hashes 
● Resultados 
 
● Resultados 
○ Forensic ToolKit 1.7.0.1 (FTK) 
■ Média de 58 segundos! 
○ Melhor uso dos recursos 
○ Mais rápido 
○ Respostas mais confiáveis (podem ser utilizados vários 
especialistas da mesma área) 
○ 
 
Onde Ficam as Provas 
Locais onde se podem descobrir informações valiosas para uma investigação em três 
áreas: 
● Espaço de arquivos lógicos: Refere-se aos blocos do disco rígido que, no 
momento do exame, estão atribuídos a um arquivo ativo ou à estrutura de 
contabilidade do sistema de arquivos (como as tabelas FAT ou as estruturas 
inode). 
● Espaço subaproveitado: Espaço formado por blocos do sistema de arquivos 
parcialmente usados pelo sistema operacional. Chamamos todos os tipos de 
resíduo de arquivos, como a RAM e os arquivos subaproveitados, de espaço 
subaproveitado. 
● Espaço não alocado: Qualquer setor não tomado, esteja ou não em uma partição 
ativa. 
Para fins de ilustração, os dados de um disco rígido foram divididos em camadas, 
parecidas às do modelo de rede OSI. Encontram-se informações com valor de provas 
em todas essas camadas. O desafio é encontrar a ferramenta certa para extrair as 
informações. 
A tabela a seguir mostra as relações entre setores, clusters, partições e arquivos. Isso 
ajuda a determinar o tipo de ferramenta a ser usada para extrair as informações. 
Camadas de armazenamento do sistema de arquivos 
Camada do sistema de 
arquivos 
Localização das provas em 
DOS ou Windows 
Localização de provas 
em Linux 
Armazenamento de 
aplicativos 
Arquivos Arquivos 
Classificação de 
informações 
Diretórios e pastas Diretórios 
Alocação de espaço de 
armazenamento 
FAT Inode e bitmaps de 
dados 
Formato de blocos Clusters Blocos 
Classificação de dados Partições Partições 
Física Setores absolutos ou C/H/S Setores absolutos 
 
Cada camada do sistema de arquivos tem um fim definido, para o sistema operacional 
ou para o hardware do computador. São princípios da forense computacional: sucesso, 
minimizar a perda de dados, fazer anotações sobre tudo, analisar todos os dados 
coletados, fazer um relatório sobre as evidências. 
O Que É Possível com a Forense Computacional? Recuperar dados deletados 
descobrir quando os arquivos foram modificados, criados, deletados, acessados 
determinar quais diapositivos e/ou mídias foram conectadas em um computador 
específico, quais aplicações estão instaladas, mesmo quando elas foram desinstaladas 
por algum usuário, quais sites um usuário visitou e etc. 
Media Analysis (​Investigative Incident Handling​) 
Media analysis é uma análise estática de cópias de evidência (​i.e.​, imagem de disco), 
não é coleta de evidências de um sistema, e sim uma análise de evidências. Essa 
análise pretende gerar relatórios que retratem o que aconteceu e como o crime foi 
cometido. Media analysis faz uso de várias técnicas e ferramentas que não irão alterar a 
cena de crime. Portanto, o perito trabalha somente nas cópias de evidências. 
Evidência Digital – Definições 
Sinônimo de indício, evidências digitais são informações digitais que determinam se um 
sistema computacional sofreu algum tipo de infração na política de segurança da 
empresa; ou que fornecem alguma ligação com a vítima ou o atacante; ou alguma coisa 
que tende a estabelecer ou refutar um fato. Evidência é tudo que um perito procura. 
Ainda que o perito consiga recuperar somente 4 bytes, essa informação pode 
ser usada como uma evidência. O perito precisa ter certeza que cada byte de uma 
evidência é obtida, analisada e usada para provar ou inocentar alguma alegação, o que 
faz com que cada informação em posse do perito tenha uma importância crucial. Assim, 
o volume de informações obtidas e analisadas cresce cada vez mais. 
Propriedades de uma Evidência Digital 
Evidências digitais podem ser duplicadas com exatidão a partir de métodos adequados. 
É possível verificar também se essas evidências sofreram alterações. São voláteis. Se 
não forem tomadas algumas precauções, as evidências podem ser alteradas e danificar 
a cena de crime. 
Melhor Evidência 
A evidência original é a cópia original da mídia fornecida pelo cliente/vítima fonte de 
informação. A regra da melhor evidência é a cópia mais completa que tenhamos obtido 
e que seja a mais próxima da evidência original. 
Exemplos de evidências digitais: 
● documentos; 
● ameaças através de e-mails; 
● anotações de suicídio e outros crimes; 
● softwares maliciosos; 
● pornografia infantil (vídeo/fotos); 
● evidências de conexões de redes estabelecidas entre computadores; 
● mensagens SMS; 
● arquivos impressos; 
● qualquer dado que possa estar armazenado em dispositivos digitais. 
Onde ficam as evidências? 
● metadados de arquivos; 
● arquivos deletados; 
● registro do Windows; 
● histórico de dispositivos USB; 
● arquivos acessados recentemente, URLs, etc.; 
● arquivos no Spool de impressão; 
● arquivos de hibernação. 
Princípio da Troca de Locard 
O princípio da Troca de Locard define que, em um determinado momento em que dois 
objetos interagem (entram em contato), haverá transferência de material entre os dois. 
No mundo cibernético, todos que cometem algum tipo de crime cibernético deixam 
rastros no sistema atacado. 
No contexto da análise forense computacional, o princípio indica que pode ocorrer a 
contaminação de provas, não só pelo criminoso, mas também pelo perito no momento 
da investigação. Portanto, evidências digitais sempre existem. Os rastros de atacantes 
podem ser difíceis de serem seguidos, mas existem. 
Perícia Forense para Obtenção de Evidências 
Diariamente, há diversos tipos de casos de fraudes e crimes (cibercrimes), em que o 
meio eletrônico foi em algum momento utilizado para esse fim. A missão da perícia 
forense é a obtenção de provas irrefutáveis, que irão se tornar o elemento chave na 
decisão de situações jurídicas, tanto na esfera civil quanto criminal. 
Para tanto, é critico observar uma metodologia estruturada visando à obtenção do 
sucesso nesses projetos. 
Identificação 
Entre os vários fatores envolvidos no caso, é necessário estabelecer com clareza quais 
são as conexões relevantes como, datas, nomes de pessoas, empresas, órgãos 
públicos, autarquias, instituições etc., entre as quais foi estabelecida a comunicação 
eletrônica. 
Discos rígidos em computadores podem trazer a sua origem (imensas quantidades de 
informações) após os processos de recuperação de dados. 
Preservação 
Todas as evidências encontradas precisam obrigatoriamente ser legítimas para terem 
sua posterior validade jurídica. Sendo assim, todo o processo relativo à obtenção e 
coleta de evidências, seja no elemento físico (computadores) ou lógico (mapas de 
armazenamento de memória de dados), deve seguir normas internacionais. 
Parte-sesempre do princípio de que a outra parte envolvida no caso poderá e deverá 
pedir a contraprova, sobre os mesmos elementos físicos, então, o profissionalismo 
dessas tarefas será crítico na sequência do processo, lembrando sempre que, caso o 
juiz não valide a evidência, ela não poderá ser reapresentada. 
Apresentação 
Tecnicamente chamada de “substanciação da evidência”, a apresentação consiste no 
enquadramento das evidências dentro do formato jurídico como o caso será ou poderá 
ser tratado. 
Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadrá-lo 
na esfera civil ou criminal ou mesmo em ambas. 
Dessa forma, quando se tem a certeza material das evidências, atua-se em conjunto 
com uma das partes acima descritas para a apresentação das mesmas. 
 
Desligar ou Não o Dispositivo 
Ao examinar um sistema computacional, o investigador forense está interessado em 
obter dados para sua investigação que podem estar em dois tipos de memória: 
Volátil – É aquela que perde seu conteúdo ao ser interrompida sua alimentação elétrica. 
Em um computador, temos a memória principal, os registradores da CPU e sua 
memória ​cache​. Apenas a memória principal é de interesse para o investigador forense. 
Não volátil – Não perde seu conteúdo com a interrupção da alimentação. Os discos 
rígidos são atualmente o mais comumente usados, mas os discos de memória ​flash 
começam a se tornar comuns, tanto em dispositivos como ​pen drives​, como também em 
substituição aos discos rígidos em ​notebooks​, ​tablets​, telefones celulares e tocadores 
de música. 
A experiência e conhecimento técnico do examinador são de fundamental importância, 
pois qualquer ação descuidada pode levar à perda de informações importantes. 
Atualmente, o investigador forense enfrenta a difícil tarefa de decidir se desligar um 
sistema é o modo mais eficiente de coletar potenciais vestígios eletrônicos (WILES; 
CARDWELL; REYES, 2007). Há poucos anos, o procedimento da Computação Forense 
se resumia a analisar um disco rígido, não havendo preocupação com o conteúdo de 
memória, processos em execução e conexões de rede estabelecidas com outras 
máquinas. 
Tradicionalmente, os mais experientes investigadores forenses concordavam que a 
melhor prática era desligar um computador para preservar vestígios e eliminar uma 
potencial mudança na informação. No treinamento padrão, o “desligue tudo e não 
modifique nada” era a norma. Esse procedimento é uma prática que vem do 
mandamento da forense física de não se mexer na cena do crime, mas que não 
necessariamente se aplica à forense digital, uma vez que a tecnologia de investigação 
da Computação Forense evolui muito mais rapidamente do que as técnicas tradicionais 
da forense física. 
A evolução da tecnologia nos força a confrontar o fato de que algumas vezes é mais 
vantajoso fazer uma análise com o sistema ligado do que uma análise “​post mortem​”. O 
problema é que a análise com o sistema ligado muitas vezes modifica o vestígio, 
mudando o conteúdo de um disco rígido. Data e hora da criação/modificação de 
arquivos, chaves de registro (Windows), arquivos de ​swap ​e conteúdo de memória são 
modificados quando se faz uma análise de um sistema ligado. 
A decisão de desligar ou não a máquina é baseada no conhecimento adquirido e na 
observação da máquina em si, o que depende muito do objetivo da investigação. Caso 
não seja feita a análise com a máquina ligada, é importante que os motivos da decisão 
façam parte do relatório ou laudo da investigação. 
Por exemplo, ao se encerrar uma planilha de dados ou um navegador, os dados são 
gravados em disco, permitindo uma investigação posterior. Já encerrar um programa, 
tal como um cliente de torrent, põe a perder todos os dados das conexões ativas com 
outros servidores. O conhecimento do investigador é que vai permitir esse 
discernimento. 
Torrent: Tecnologia de compartilhamento de arquivos P2P. 
Além da máquina em si, temos o problema da rede. Como as redes são 
transportadoras, e não elementos armazenadores, todos os dados devem ser 
capturados e gravados em tempo real ou serão perdidos para sempre. Segundo Figg e 
Zhou (2007), isso apresenta uma oportunidade para múltiplos tipos de investigações, 
que incluem análise de ​logs​, análise de padrões de tráfego em servidores e na própria 
rede. Esse tipo de investigação aponta para uma análise em roteadores e ataques pela 
web​, incluindo ​e-mails​, esteganografia e dispositivos móveis. 
Segundo o National Institute of Justice (2010), órgão do governo dos Estados Unidos, a 
ênfase do investigador forense, nos dias de hoje, é capturar o máximo possível de 
dados na cena do crime, enquanto os dispositivos ainda estão ligados. Quando lidando 
com vestígios digitais, os primeiros investigadores a chegar ao local devem ainda 
observar princípios forenses e princípios gerais, que incluem: 
● o vestígio não deve ser modificado quando está sendo coletado, protegido e 
transportado; 
● o vestígio digital só deve ser examinado por aqueles com treino específico; 
● tudo que é feito durante a busca, transporte e armazenamento do vestígio digital 
deve ser totalmente documentado, preservado e tornado disponível para ser 
revisto. 
Outro fator em jogo é o tempo. Em uma investigação realizada dentro da empresa, onde 
o tempo é teoricamente maior, uma análise com a máquina ligada não é um problema. 
No entanto, em ações efetuadas por peritos em instalações de terceiros, pode ocorrer 
que o número de máquinas e o efeito “surpresa” não forneçam o tempo necessário para 
a análise, mesmo que certos detalhes da investigação presentes na memória volátil da 
máquina possam ser muito relevantes para a investigação. Nestes casos, um ​dump ​de 
memória é executado, copiando para um dispositivo não volátil todos os dados 
presentes na memória naquele momento. O problema com esse procedimento é a 
impossibilidade de certificar a fidelidade do conteúdo adquirido. O conteúdo da memória 
de um computador, e aqui incluímos todos os aparelhos que possuem a mesma 
arquitetura de processador + memória, modifica-se o tempo todo. O resultado de uma 
aquisição no tempo t sempre será diferente do resultado no tempo t + 1, o que torna 
uma comparação virtualmente impossível. Logo, esse resultado pode ser classificado 
como um vestígio com menor validade como prova. Isto não ocorre com uma mídia em 
que há técnicas de cópia que levam a um resultado reproduzível e passível de 
verificação. 
Logicamente que cada tipo de ​busca e apreensão​ influi no tipo de trabalho a ser 
realizado. Estamos usando o termo de uma forma mais ampla, mas existem ações 
legais que objetivam a apreensão dos equipamentos e há ações que buscam apenas os 
vestígios, coletados no local. O planejamento da investigação depende desses fatores. 
 
Aquisição e Preservação 
A aquisição e preservação dos dados na forense 
computacional 
Embora as técnicas de investigação da Computação Forense sejam usadas em 
contextos relacionados às investigações criminais, os princípios e procedimentos são 
praticamente os mesmos quando utilizados para desvendar qualquer tipo de ataque em 
uma empresa (ALTHEIDE; CARVEY; DAVIDSON, 2011). Enquanto o tipo de 
investigação pode variar muito, as fontes dos vestígios geralmente são as mesmas: 
dados gerados e manipulados por computador. 
Um dado no computador é, em sua base, uma sequência de 1s e 0s. Em última 
instância, é essa cadeia que as buscas realizam. 
https://unotec.com.br/ead/mod/page/view.php?id=64
Por muito tempo, a investigação se concentrou em meios de armazenamento 
magnéticos e ópticos, o que aumenta a preocupação em coletar ​dumps ​de memória em 
um sistema em execução e do tráfego de dados em redes. 
O objetivo da investigação forense é encontrar fatos e, por meio deles, recriar a verdade 
sobre o acontecimento. O examinador descobre a verdade sobre um acontecimento 
descobrindo e expondo os vestígios que foram deixados no sistema. Esses vestígios 
podem ser transformados em provas.Em seu trabalho, o investigador digital pode trabalhar com outros dados e informações 
que, em resultado último, não se converterão em provas para um processo judicial. 
Nesse trabalho, utilizamos o termo “vestígio” livremente, porém, em uma redação, para 
uso legal essa distinção pode ser necessária. 
A sequência de passos e o que será analisado dependem do tipo de incidente. Após 
uma invasão de um sistema, por exemplo, é necessário analisar uma relativa 
quantidade de fontes de dados, incluindo conexões na rede, portas utilizadas nessas 
conexões, arquivos de ​log​, instalação de ​malwares ​e programas, arquivos criados, 
apagados e alterados. 
No entanto, nem todos os casos envolvem uma análise tão abrangente. Por exemplo, 
um empregado pode ter acessado sem autorização um diretório contendo arquivos de 
grande interesse para a empresa em que trabalha. Nesse caso, uma avaliação da 
memória principal do computador não parece ser necessária. A cópia de um arquivo de 
log ​que guarda os acessos ao computador pode conter vestígios suficientes para 
estabelecer a autoria do delito. 
Já em outros casos, o acesso pode vir acompanhado de substituição de programas do 
sistema por outros maliciosos, instalação de bibliotecas espúrias e execução de 
processos viciados. Nesse caso, uma análise de como o sistema foi manipulado e uma 
“foto” dos processos em execução podem ser necessárias, o que envolve a análise do 
sistema ligado e ferramentas para ​dump ​de memória. 
Em qualquer circunstância, o processo a seguir depende do estabelecimento de uma 
hipótese e da realização um trabalho minucioso e cuidadoso para ver se a suspeita se 
confirma ou não. 
Cada investigação deve começar com uma hipótese. Exemplos incluem “esse 
computador foi invadido”, ou “a esposa de fulano está tendo um caso”, ou “este 
computador teve seu arquivo de lixo roubado”. O papel do investigador 
não é provar essas afirmações, mas levantar os vestígios que indicam que essas 
hipóteses são verdadeiras ou não (ALTHEIDE; CARVEY; DAVIDSON, 2011). 
O trabalho investigativo depende, em qualquer caso, de dois temas muito importantes 
na computação forense: a aquisição e a preservação dos dados. As duas atividades são 
interdependentes, principalmente pelo cuidado em tornar o processo auditável e 
reproduzível. De nada adianta coletar os dados se estes se perderem total ou 
parcialmente ou sofrerem modificações, perdendo seu valor como prova, ou, ainda, o 
trabalho ser questionado. 
A Computação Forense trabalha com o fato de que qualquer ação em um sistema 
computacional deixa vestígios. Ações muito simples causam mudança de estado nos 
registradores da unidade central de processamento, bem como mudança de estado na 
memória principal. Ações mais complexas têm uma grande possibilidade de deixar 
impressões mais duradouras, como informações armazenadas em um disco rígido. 
Segundo Altheide, Carvey e Davidson (2011), podemos fazer analogia com a 
investigação forense tradicional, quando tanto o arrombamento de uma porta como sua 
abertura com chave mestra deixam vestígios – mais fortes e mais fracos. Mesmo o ato 
de limpar os vestígios pode levar à criação de novos vestígios – como o cheiro de água 
sanitária em uma cena de crime que foi lavada. 
Comparado a muitos vestígios físicos de que trata a forense tradicional, o conteúdo 
digital é relativamente muito frágil. É facílimo corromper dados gravados em discos e 
memórias permanentes, bem como, mais ainda, eliminar vestígios presentes na 
memória principal de computadores e outros meios voláteis. Sem um cuidado 
adequado, tanto o conteúdo pode se perder como pode ser corrompido, causando 
imprecisão no resultado de uma análise. 
Em recentes estudos, já existe capacidade técnica de usar a unidade de processamento 
e memória das placas de vídeo mais modernas para uso em ataques, tornando o 
software ​malicioso muito difícil de ser localizado. 
Durante a investigação, também não podem ser negligenciados detalhes como a 
manutenção de sigilo e invasão de privacidade. Numa investigação conduzida de forma 
ilegal, os vestígios encontrados podem ser recusados como provas em um processo. 
Numa investigação forense, a forma com que o trabalho de coleta é feito é tão 
importante quanto o vestígio em si. Também podemos dizer que a qualidade do 
resultado da investigação é proporcional ao rigor e à precisão com que o trabalho 
investigativo é conduzido. Todo o procedimento deve ser documentado, com a 
descrição do ambiente onde se encontram os equipamentos, fotografias, esquema de 
ligação das máquinas e inclusão de cada dispositivo coletado na ​cadeia de custódia​. 
Existe o mandamento maior na Computação Forense que é extrair os vestígios sem 
causar qualquer alteração no conteúdo original. Além disso, esse conteúdo deve ter seu 
estado preservado durante toda a investigação: desde o momento que o vestígio é 
encontrado até o momento em que a investigação se encerra e, talvez ainda, para além, 
quando contestações podem requerer novo exame de todo o material. O valor do 
https://unotec.com.br/ead/mod/resource/view.php?id=92
vestígio depende do quanto ele foi preservado. Em certas circunstâncias, a alteração de 
apenas alguns ​bits ​já destrói o vestígio e prejudica drasticamente uma investigação 
(WRIGHT, 2010). 
Como já mencionado, uma ferramenta importante usada pelo investigador é a de ​cadeia 
de custódia​. Nela, são anotadas todas as operações realizadas em um dispositivo ou 
uma mídia que contém o vestígio, bem como quem o manuseou, quando isso foi feito e 
o que foi feito. Nem todos os trabalhos realizados em um dispositivo são feitos por 
apenas uma pessoa. Imagine a necessidade de enviar um disco rígido para ser 
analisado em um laboratório, seja por um problema de ​hardware ​seja por conter um 
sistema operacional não familiar à equipe. Esse envio deve ser documentado na ​cadeia 
de custódia​, dando à equipe uma pronta informação de seu destino, datas, o que foi 
feito e por quem. 
No momento de apreensão de um dispositivo, uma etiqueta deve conter data e hora, o 
nome do coletor, de onde o item foi retirado e outros fatos relevantes ao caso, 
dependendo das políticas e dos procedimentos do time de investigadores 
(OPPENHEIMER, s.d.). Após isso, o dispositivo deve ser transportado e bem guardado. 
Um exemplo de trabalho que expressa esse cuidado, utilizado como referência ao redor 
do mundo, é o guia de boas práticas para a pesquisa, apreensão e exame do vestígio 
eletrônico, o ACPO Good Practice Guide (7SAFE; METROPOLITAN POLICE SERVICE 
UK, 2011). Iniciado em 1997, no Reino Unido, o trabalho contou com a participação de 
agências de investigação e unidades de ciência forense envolvendo vestígio digital, 
incluindo a Associação de Chefes de Polícia – Computer Crime Working Group. 
O guia ACPO estabelece quatro princípios essenciais para a abordagem no momento 
de apreensão e coleta de dados: 
● Princípio 1 – Nenhuma ação de algum agente encarregado de trabalhar na 
investigação pode modificar os dados contidos em um computador ou dispositivo 
a ser investigado. 
● Princípio 2 – No momento em que uma pessoa tem a necessidade de acessar o 
conteúdo original mantido no dispositivo, computador ou mídia, essa pessoa 
deve ser competente para tal e ser capaz de explicar a relevância e as 
implicações de suas ações. 
● Princípio 3 – Deve ser criado um registro de todos os passos da investigação. 
Um examinador independente deve ser capaz de usar esses passos e chegar 
aos mesmos resultados. 
● Princípio 4 – A pessoa a cargo da investigação tem a responsabilidade geral de 
assegurar que esses princípios sejam condizentes com os preceitos legais 
aplicáveis. 
https://unotec.com.br/ead/mod/resource/view.php?id=92
https://unotec.com.br/ead/mod/resource/view.php?id=92
https://unotec.com.br/ead/mod/resource/view.php?id=92
https://unotec.com.br/ead/mod/resource/view.php?id=92
Esses quatros princípios indicam que o processo vai além da coleta dos vestígios, em 
direçõesque implicam necessidade de rigor na coleta de dados e responsabilidades 
dos envolvidos. 
 
Busca e Apreensão 
O termo jurídico busca e apreensão (BRASIL, 1973) remete a uma ordem judicial para 
que coisas ou pessoas sejam localizadas, analisados ou retirados do local para análise 
posterior. Mesmo que o investigador forense trabalhe internamente em uma equipe de 
resposta a incidentes, é possível que a empresa seja, em alguma época, alvo de uma 
ordem de busca e apreensão em seus computadores. Casos como delitos causados por 
empregados, uma denúncia, mesmo que infundada, de uso de software não licenciado, 
ou outros motivos fora de controle da empresa, não podem ser totalmente descartados. 
É normal que pessoal técnico da empresa seja chamado a acompanhar o procedimento 
e entender o que está acontecendo e muitas vezes até mesmo auxiliando na busca de 
informações. 
Recorremos a uma simplificação, pois caracterizar o procedimento de análise posterior, 
no âmbito judicial, pode ser bastante extenso. 
No caso de denúncia, não há nenhum aviso prévio no sentido de a empresa apresentar 
seus comprovantes de compra de licenças. A busca e apreensão é feita e, 
posteriormente, a empresa tem de se defender da acusação de compra de software não 
licenciado. 
Os passos a seguir são exemplos que uma equipe de peritos pode seguir, tanto em 
uma investigação em campo quanto em uma investigação interna, dando ênfase em 
alguns pontos e suprimindo outros de acordo com o ambiente e caso analisado. 
Podemos usar o termo perito como sinônimo de especialista, e não necessariamente 
como aquele profissional nomeado por um juiz para trabalhar em um processo judicial. 
Planejamento 
Qualquer trabalho de busca e apreensão deve ser bem planejado. Durante essa fase, é 
importante juntar o máximo de informações sobre o local onde o equipamento está 
instalado, sobre seus usuários e sobre as máquinas em si. Informações como número 
de computadores, seus modelos, tipos de sistemas operacionais e conexões devem ser 
previamente conhecidas, para que o investigador ou a equipe de investigadores tenha 
as ferramentas adequadas em mãos, inclusive, se necessário, com peritos auxiliares 
contratados para casos em que os sistemas não sejam de domínio da equipe. 
Outro fator que pode pesar é a existência de um grande número de equipamentos. 
Pode ser que o tempo disponível para o trabalho não permita analisar todos os 
computadores in loco. Se esse for o caso, e o tipo de análise permitir, pode ser 
necessária a escolha de máquinas representativas ou mais importantes, como 
servidores, a retirada de equipamentos ou de dispositivos, como discos rígidos e 
unidades de backup para laboratório. 
Em um caso de perícia sobre uso indevido de licenças, uma empresa de software 
alegou que uma fábrica estaria usando seu produto em um número maior de máquinas 
do que o estabelecido no contrato. 
Essa empresa acionou a justiça. Para o processo, foram nomeados dois peritos que 
deveriam avaliar cinco fábricas em cinco cidades diferentes. Vale destacar que os 
honorários ​dos peritos​ deveriam ser custeados pelos denunciantes, incluindo despesas 
de transporte, acomodação, alimentação etc. 
Devido à natureza do negócio, essas máquinas não poderiam ser analisadas durante o 
período de trabalho, o que levou a operação para os fins de semana. Observe que dois 
peritos não dariam conta de estar em cinco lugares ao mesmo tempo, o que daria 
tempo para a empresa organizar algum tipo de maquiagem. 
Cada fábrica contava com mais de trinta computadores. Para analisar cada um, a 
estimativa era de no mínimo trinta minutos, em que uma avaliação do registro (eram 
máquinas Windows) e listagem de diretórios revelaria a presença da instalação das 
cópias do software. 
Porém, um estudo junto ao fabricante do software revelou que cada máquina contendo 
o aplicativo fazia chamadas a um servidor que mantinha um banco de dados 
centralizado para as cinco fábricas e que esse servidor continha um log de acesso com 
identificação de cada máquina. Isso pôde reduzir a estimativa inicial para algo 
extremamente mais simples, incluindo apenas uma visita. Esse tipo de detalhe técnico 
nem sempre consta dos laudos do processo. Com um procedimento preparatório, a 
tarefa pode ser melhor estimada. 
Dependendo do tipo de busca, a empresa investigada não pode liberar suas máquinas 
para análise sem que seu trabalho ou processo fabril seja interrompido. Esse tipo de 
situação varia de caso para caso, e o investigador forense deve estar preparado para 
agir de acordo com a situação, inclusive contratando auxiliares. 
No caso de o perito estar trabalhando em um caso judicial, a nomeação de auxiliares 
deve ser comunicada oficialmente. 
Em uma empresa, a manutenção de equipamentos de reserva como backups minimiza 
muito os prejuízos causados por uma interrupção, além de fornecer maior tempo para a 
investigação forense. Essa preocupação pode constar do Plano de Continuidade de 
Negócios da empresa. 
 
Trabalho em Campo 
https://unotec.com.br/ead/mod/page/view.php?id=67
Não é sempre que uma máquina invadida pode ser removida para um laboratório a fim 
de ser examinada. Até porque, em muitas investigações, deve-se interromper 
minimamente as atividades do ambiente sob análise, reduzindo os prejuízos causados. 
A equipe deve estar preparada para o trabalho em campo. 
Exemplos de ferramentas com as quais uma equipe deve contar: 
● Ferramentas comuns – um ​kit ​contendo chaves Philips, de fenda e Torx; um 
alicate universal; um alicate de bico; um alicate de corte; e um pincel para limpar 
poeira são o mínimo necessário. É também aconselhável a utilização de 
proteção antiestática, que é uma tira que liga a caixa do equipamento ao braço 
do técnico, neutralizando qualquer diferença de potencial de eletricidade estática 
entre o aparelho e o corpo. A eletricidade estática é uma das maiores causas de 
destruição de circuitos eletrônicos. Também uma caixa de plástico para 
armazenar temporariamente parafusos retirados dos equipamentos facilita 
bastante o trabalho. Canetas marcadoras de várias cores podem ajudar no 
momento de marcar cabos para lembrar local e posição ao serem religados 
posteriormente. 
● Ferramentas de identificação – sacos plásticos antiestáticos para armazenar 
discos rígidos, adesivos, etiquetas, canetas marcadoras. 
● Documentação – formulários para anotação de todos os detalhes da operação, 
bem como para a manutenção da ​cadeia de custódia​. Assistir a vídeo aula sobre 
cadeia de custódia​. 
● Câmera fotográfica com filmagem – pode auxiliar ao registrar programas 
rodando, procedimentos de desligamento de máquinas, para provar o correto 
shutdown​, uma fotografia da máquina e de suas proximidades, configuração do 
equipamento, conexões elétricas etc. 
● Recipientes – sacos plásticos antiestáticos para embalar cada dispositivo a ser 
removido do local, contendo etiquetas amarradas ou coladas com identificação 
do item. Existem empresas que produzem embalagens específicas para uso em 
Criminalística. 
● Armazenamento de dados – discos graváveis (CDWR e DVD), HD externo, ​pen 
drives ​USB para cópias de dados entre outros. Esses dispositivos devem estar 
totalmente vazios. 
Essa lista é logicamente incompleta e variável com o tempo, pois a tecnologia evolui 
muito. Há pouco tempo, um disco de 1,44 MB estaria na relação, hoje é peça de museu, 
mas nada impede que, em uma busca, sejam encontrados tipos antigos de mídia que, 
dependendo da natureza da investigação, devem ser coletados para análise. 
O investigador tem de estar preparado para essa hipótese e deve se preparar para ter 
condições de realizar a leitura e produzir cópias de trabalho. É possível que um 
dispositivo de gravação de CDWR/DVD se torne obsoleto em pouco tempo. Já existem 
https://unotec.com.br/ead/mod/resource/view.php?id=92
https://unotec.com.br/ead/mod/resource/view.php?id=92
computadores que sequer possuem unidades de disco, carregando seus ​softwaresapenas pela rede. 
 
Fontes de Vestígios 
Em algumas circunstâncias, alguns aparelhos podem não parecer importantes para a 
investigação forense, uma vez que cada vez mais a quantidade de armazenamento 
aumenta e torna-se mais barato instalar grande quantidade de memória nos 
dispositivos. 
● Desktops​, ​notebooks ​e ​tablets ​– esses são o alvo principal em um local sendo 
avaliado. Porém, os equipamentos ao seu redor também podem ser repositórios 
de dados importantes. É possível que a um computador estejam ligadas 
unidades de armazenamento auxiliares, como discos USB, gravadores de 
CD-ROM/DVD, ​hubs ​de USB com outros dispositivos nem sempre facilmente 
visíveis. Dependendo do tipo de investigação, todos esses elementos podem 
requerer seu armazenamento, etiquetagem e transporte. 
● Organizadores pessoais (PDA), celulares e ​smartphones ​– em um local de 
investigação, qualquer dispositivo dessa natureza pode ser fonte de vestígios. 
Um cuidado especial deve ser tomado para que suas baterias não se esgotem, o 
que pode fazer com que os dados se percam. Por este motivo, a apreensão de 
fontes é importante em casos de ​busca e apreensão​. 
● Unidades de armazenamentos de todos os tipos, como disquetes, CD- ROMs, 
DVDs, ​pen drives​, cartões de memória ​flash ​etc. 
● Routers​, estação WI-FI, servidores de rede etc. – hoje em dia, é comum que 
dispositivos de redes com conexão ​wireless ​possuem unidades de 
armazenamento de dados, incluindo discos para ​backups ​ou compartilhamento 
de arquivos.tira o “ ou sem” Deixa so wireless 
● Consoles de jogos – os consoles de jogos atuais são máquinas muito 
avançadas, capazes de trabalhar com muitos tipos de tarefas e possuem 
também uma grande capacidade de armazenamento. Notícias recentes afirmam 
que os serviços de inteligência dos Estados Unidos vêm tentando conseguir 
burlar as barreiras de proteção criptográficas de consoles com a intenção de 
investigar possíveis armazenamentos de informações terroristas nessas 
máquinas, pois elas são muito mais protegidas do que os computadores 
pessoais. 
● E-mail ​– um dos meios mais utilizados para comunicação, é fonte de vestígios 
importantes. No momento de coletar um ​e-mail​, é necessário incluir o cabeçalho, 
capturando, assim, a data de envio, a fonte e todos os passos que ele tomou até 
chegar ao receptor. Existe muita discussão sobre a invasão de privacidade 
causada pela leitura de um ​e-mail ​de um funcionário. 
● Internet – a internet é mais um meio em que dados podem ser armazenados, 
transmitidos e compartilhados. Embora complexa e imensa, ela nada mais é do 
https://unotec.com.br/ead/mod/page/view.php?id=64
que uma grande rede de computadores. Em última instância, a informação está 
gravada fisicamente em um ou mais computadores, o que permite que ela possa 
ser coletada ao serem examinados os dispositivos utilizados para seu 
armazenamento. Parte dessa informação pode ser volátil, como as mensagens 
instantâneas. Em investigações especiais, um monitoramento pode ser utilizado 
para capturar mensagens. 
● Redes sociais – contêm diversas informações sobre uma pessoa e seus 
relacionamentos. O ​phishing ​mostra que a manutenção de informações pessoais 
e de trabalho serve de munição para crimes. 
● Páginas na internet – o ideal é utilizar uma ferramenta que “puxe” todo o 
conteúdo do ​site​. A captura deve ser datada, uma vez que as mudanças são 
muito rápidas. Outra possibilidade é a captura de telas. 
● Tocadores de música – esses dispositivos têm em seu interior grande 
capacidade de armazenamento, com potencial de serem utilizados para 
armazenar inclusive arquivos com formatos diferentes daqueles previstos para o 
aparelho. 
● Qualquer dispositivo desconhecido. 
Essa lista é apenas uma amostra. Novos aparelhos e novas formas de comunicação 
são inventados e alguns saem de uso. O PDA, por exemplo, tem dado lugar aos 
celulares sofisticados e ​tablets​, e uma nova fonte de armazenamento pode se tornar 
importante para a lista em questão de meses. 
 
Dos Peritos 
Conhecidos como Peritos em Computação Forense, o especialista em perícia digital 
computacional ainda são escassos no mercado brasileiro. Com a área de atuação em 
segurança da informação crescendo no país, a procura por essa especialização tem 
crescido gradativamente, assim como a procura por seus serviços. 
A Computação Forense é uma das áreas da Perícia Forense e está presente no Manual 
de Patologia Forense do Colégio de Patologistas Americanos, publicado em 1990. A 
definição para a profissão é a seguinte: aplicação de princípios das ciências físicas ao 
direito na busca da verdade em questões cíveis, criminais e de comportamento social 
para que não se cometam injustiças contra qualquer membro da sociedade. 
Para se comprovar a existência de erros é que existe a figura do perito, alguém com 
conhecimento técnico suficiente para auxiliar na investigação de casos em sua área de 
conhecimento. Dentro da Computação Forense existem tipos específicos de perícia e 
de peritos. 
Peritos Oficiais – são aqueles que atuam em questões criminais e são, em sua maioria, 
funcionários públicos concursados. Nessa categoria temos os Peritos Criminar Federais 
(responsáveis pela esfera federal) e os Criminais Estaduais (resolução de os demais 
crimes). 
Pegando como base o Edital do concurso para Perito Criminal Federal de 2013, um 
perito federal pode ganhar em média R$ 14.037, o mesmo salário de um delegado da 
Polícia Federal, porém esse valor muda de acordo com a especialidade, cargo e local. 
Em São Paulo, por exemplo, um concurso também realizado em 2013 era de R$ 
7.516,00 e no Mato Grosso do Sul, com base na Lei 3.672/09 o salário de um perito 
federal é de R$ 3.100,00. 
Peritos Ad-hoc – também conhecidos como peritos assistentes, esses profissionais 
atuam tanto suprindo carências das perícias criminais como em demais casos onde não 
existem peritos oficiais (causas cíveis ou em casos com necessidade de análise laudo). 
O salário dessa categoria varia bastante e os fatores que mais influenciam são: 
demanda regional, reconhecimento da profissão e valorização do próprio profissional. 
No geral, um perito ad-hoc recebe por hora de trabalho. O valor é estipulado por cima e 
de acordo com o tipo de perícia realizada, necessidades de softwares, periculosidade, 
pressa do cliente, necessidade de peritos assistentes e quantidade de dados a serem 
coletados. Pelo Brasil, a média é de R$ 100,00 e R$150,00 (profissionais liberais) até 
R$ 250,00 (empresas especializadas). 
Segundo os especialistas é complicado estimar a média salarial, pois há vários campos 
de inserção do profissional de carreira forense com salários bem distintos a depender 
do cargo (perito federal, perito estadual, perito judicial, perito particular, entre outros). 
“Por exemplo, um perito federal, no início de carreira, tem vencimento mensal de 
aproximadamente R$ 20.000,00, já um perito particular pode ganhar em um único caso 
pericial os mesmos R$ 20.000,00″. 
A formação 
O conhecimento avançado em tecnologia da informação, preferencialmente em redes 
sociais, sistemas operacionais e aplicações, são alguns dos requisitos necessários para 
ser um ótimo profissional forense da computação. Não basta ter somente 
conhecimentos técnicos, é preciso entender também um pouco de questões jurídicas, 
sobre comportamento e os processos da investigação criminal. 
Segundo o Código de Processo Civil, ​Lei 7.270/84​ publicada em 1984, é considerado 
um perito (seja ele oficial ou ad-hoc) o indivíduo que apresentar nível superior e 
comprovação de especialidade na matéria, sendo hoje muito utilizado cursos de 
pós-graduação e certificações profissionais específicas. 
http://www.planalto.gov.br/ccivil_03/leis/1980-1988/l7270.htm
 
Como mostrado na imagem acima pela SBCF, existe o Perito Oficial, o Perito Nomeado 
e o Assistente Técnico. Vamos estudas as diferenças entre eles: 
a) PERITO OFICIAL: são aqueles que se tornaram peritos mediante a aprovação