Pericia Forense Computacional - III_Teorico

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Perícia Forense 
Computacional
Coleta de Evidências em Investigação de Crimes Digitais
Responsável pelo Conteúdo:
Prof. Me. Marcelo Carvalho
Revisão Textual:
Prof.ª Me. Sandra Regina Fonseca Moreira
Nesta unidade, trabalharemos os seguintes tópicos:
• Coleta de Evidência Forense e Análises dos Achados;
• Coleta de Evidências em Memória;
• Coleta de Evidências em Disco;
• Conclusão.
Fonte: Getty Im
ages
Objetivo
• Apresentar e discutir técnicas de coleta de evidência digital (memória e disco), assim 
como o ordenamento dessas coletas com base na volatilidade dos elementos computa-
cionais envolvidos no incidente em investigação.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Coleta de Evidências em 
Investigação de Crimes Digitais
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Contextualização
O trabalho de um perito forense computacional envolve atividades de coleta e aná-
lise de dados. Partindo de um caso estabelecido, em que o profissional é chamado 
para comprovar ou refutar uma tese, há a necessidade de especular como ocorreu a 
participação de um ativo de rede (computador, access-point, roteador etc.) no contexto 
da investigação. Exercitando os conceitos que vimos nas unidades anteriores, discutire-
mos o processo de coleta de evidências comparando o método que será exemplificado 
com outros possíveis. Também, quando fizermos o processo de análise das evidências, 
tanto aquelas recolhidas provenientes de disco quanto de memória. Neste sentido, você 
experimentará o uso de ferramentas que possibilitam a visualização de informações 
existentes nas coletas, mesmo aquelas não visíveis superficialmente, quando se usam 
leitores de arquivos ou organizadores de arquivos convencionais. Nessas ferramentas, 
observaremos dados e meta-dados que possibilitarão ao perito a reconstrução do evento 
e, caso possível, a evidência comprovando o ilícito em investigação. Neste cenário, o 
papel do perito é de um especialista que colabora com o processo de resposta à investi-
gação, fornecendo provas materiais a serem anexadas ao caso.
6
7
Coleta de Evidência Forense 
e Análises dos Achados
O processo de investigação, dado que o perito forense é convocado a participar 
para a geração de prova material, em um caso envolvendo ilícito, por exemplo, se inicia 
definindo atores participantes do incidente. Esta é uma etapa importante, que ocorre 
em momentos iniciais de sua atuação, quando o perito “entende” o processo, os locais 
(ambientes físicos), a infraestrutura tecnológica (computadores, redes locais, servidores, 
nuvem etc.). A identificação de como ocorreu a participação dos atores, neste contexto, 
tem papel importante no desenrolar da investigação, na medida em que ditará a ênfase 
ou o foco do perito no caso. Um exemplo típico, para auxiliar no entendimento dessa 
definição de atores, pode ser vista em um caso exemplo que, aliás, usaremos para ilus-
trar os passos práticos de uso de ferramentas abordado nesta unidade.
Caso exemplo:
Imagine que um perito foi chamado para investigar um caso em que se alega espio-
nagem industrial. Note que, inicialmente, quando vista desconectada do objeto da ação e 
da forma com a qual o ato ocorreu, a obtenção do dado secreto não é necessariamente 
criminosa. Neste cenário, é importante não só a definição do(s) participantes(s) para 
fins de responsabilização, mas para ilustrar tecnicamente o ocorrido, definindo-se o ob-
jeto sigiloso supostamente apropriado indevidamente, além dos métodos da subtração, 
envio e/ou divulgação do mesmo. De maneira mais importante, a forma como foi feita 
a obtenção das informações será a que melhor definirá o caráter criminoso na ação. 
A imputação de crime fica normalmente atrelada à condição de prova material (a cargo 
do perito) de evidência de concorrência desleal e/ou uso desautorizado da informação. 
Do ponto de vista da área jurídica envolvida nesta investigação, a depender do teor do 
caso, não só a esfera criminal poderá ser invocada, como a cível, de acordo com a evi-
dência de atos que forem sendo encontrados pelo perito e associados na investigação. 
Por isso, a importância do perito imbuir-se dessas informações de contextualização e 
definição de atores participantes, já no momento inicial da investigação.
No Brasil, a Lei 9.279/1996 de propriedade industrial que ilustra o caso, tem o artigo 
Art. 201 que fala da diligência de busca e apreensão, na qual o oficial do juízo será acom-
panhado por perito que verificará, preliminarmente, a existência do ilícito. Em casos de 
concorrência desleal, vê-se um espelhamento dos artigos relevantes da lei no documen-
to da Organização Mundial do Comércio (OMC), intitulado “Acordo Sobre Aspectos 
dos Direitos de Propriedade Intelectual Relacionados” (TRIPS). Ilustrações comuns para 
uma investigação na qual esta lei é mencionada, nos altos do inquérito, podem envolver 
cenas que vemos em filmes de espiões, como o uso de câmeras escondidas, escutas e 
aparatos gravadores e copiadores em miniatura, mas, mais recentemente, com objetos 
comumente vistos na bolsa ou maleta de qualquer funcionário. Exemplos típicos incluem 
pendrives, cartões SSD, aparelhos celulares (como vemos em artigos discutindo aspec-
tos de segurança afetados pelo risco oferecido pelo “Bring Your Own Device” – BYOD, 
onde aparelhos celulares que podem se conectar a redes internas, ou ser usados como 
7
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
dispositivos de armazenamento quando conectados a interfaces USB de servidores ou 
computadores). Também, equipamentos adulterados, como dispositivo mouse, que ao se 
conectarem com a interface USB, geram uma interrupção como se fosse um periférico 
comum, mas, na verdade, atuam como um aplicativo de backup, copiando o conteúdo 
de um diretório específico ou mesmo um drive inteiro da máquina vítima.
De uma maneira geral, a tarefa de participação dos atores pode ser executada dife-
renciando-os da seguinte forma:
• Vítima(s): Indícios computacionais apontam que dados foram subtraídos, detur-
pados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque 
e foi alvo cibernético de ação deliberada de atacante(s).
• Gateway(s): Indícios computacionais apontam que o ativo foi comprometido, mas 
não se caracteriza como alvo. O ativo computacional serviu de ponte para que a 
vítima fosse atingida pelo(s) atacante(s).
• Atacante(s): Indícios computacionais apontam que o ativo encaminhou ou contro-
lou remotamente artefatos digitais capazes de realizar ações de subtração, deturpa-
ção ou inserção de dados em ativo computacional de terceiro (vítima). 
Note que, inicialmente, ao obter a evidência computacional original ou duplicada 
para análise, normalmente não se tem ao certo qual papel será atribuído pelo perito 
àquele ator. De acordo com o teor da documentação fornecida ao perito, como parte dos 
altos do inquérito, a tese inicial pode ser de que a participação da evidência computa-cional seja classificada como atacante, mas nada impede que, ao longo da investigação, 
esta possa ser classificada como gateway, ou mesmo vítima.
De volta ao nosso exemplo, vamos continuar a contextualização, de forma que pos-
samos imaginar as outras atividades iniciais. Neste momento inicial, é importante tam-
bém o estabelecimento do perímetro e da infraestrutura que será escopo da análise. 
Neste nosso exemplo, imagine que o caso ocorreu em uma sala do Data Center, pois 
há indícios de atividade suspeita capturada por câmeras de vigilância (CFTV) no local. 
As imagens apontam para a pessoa sob investigação acessando um dos terminais de 
acesso KVM (keyboard, video and mouse) no rack de servidores (em data centers, é co-
mum verificarmos um único terminal de acesso prover interface com vários elementos 
de rede, incluindo servidores, roteadores, switches etc., naquele rack, ou até mesmo em 
outros racks na sala) em que se pode observar, apesar do ângulo indireto de observa-
ção, dado o posicionamento da câmera, que o suspeito abre inicialmente uma tela clara, 
evidenciada pelo brilho e reflexo em seus óculos e, em seguida, uma tela preta, durante 
os 3 minutos em que figura à frente do terminal. Também, neste tempo, é possível visu-
alizar que o suspeito leva a mão ao bolso e retira um objeto preto, que depois também 
fica brilhante por alguns segundos.
Perceba que esta estória poderia levar ao perito pressupor várias teses para as linhas 
de investigação. Por exemplo, a julgar pela sequência de ações capturadas em vídeo, o 
perito poderia solicitar acesso aos logs de uso do KVM (caso possível), para identificar 
os últimos acessos e/ou comandos realizados. Considerando que o objeto preto também 
8
9
foi apreendido (possivelmente um celular do suspeito), verificar se ele participou da ação 
com registros de uso de rede Wi-Fi e/ou 4G, solicitando relatório de uso à operadora de 
telecomunicações em uso pelo telefone. A julgar pelas telas claras exibidas inicialmente, 
o perito pode imaginar o uso de um gerenciador de arquivos ou mesmo uma tela de 
navegador que possibilitaria o envio de informações na forma de e-mail ou outro comu-
nicador Web. Logs destes serviços podem ser solicitados para comprovar ou afastar essa 
hipótese. Também, a tela mais escura possivelmente é resultado da execução de coman-
dos (command line interface – CLI) e que, portanto, a compactação ou transformação 
(codificação ou criptografia) da informação subtraída pode ter sido feita para “mascarar” 
o delito.
A definição do perímetro e infraestrutura vão ajudar o perito na definição de quais 
evidências, inicialmente, serão solicitadas para a investigação do caso. Há uma série 
de complicadores, como você pode imaginar, conforme vimos nas unidades anteriores. 
Imagine, por exemplo, que fique comprovado o uso de proxy anônimo, sinais de Wi-Fi 
privados dificultando o rastreio da comunicação, ou se o Data Center em questão usa 
conceitos contemporâneos de nuvem, em que não há local específico definido para o 
armazenamento, que ocorre sob demanda, a depender do servidor que esteja menos 
carregado. Obviamente, o perito não poderá solicitar acesso ao Data Center, então, 
como especificar o escopo da investigação?
Você pode imaginar outras linhas de investigação e exercitar um cenário hipotético 
de ação do perito com esse exemplo. O que deve ter ficado claro para você até o mo-
mento é certamente a complexidade envolvida na ação do perito. Note que a investi-
gação dos artefatos computacionais ainda nem começou, diretamente, mas uma série 
de habilidades já foram requeridas deste profissional para a montagem das hipóteses e 
linhas de investigação a seguir.
O caso de propriedade industrial, ilustrado em nosso exemplo, não foi escolhido ao acaso. 
Este tipo de incidente representa uma fatia considerável de investigações envolvendo um 
perito forense computacional e tem como âmbito de atuação não só ambientes fabris, mas 
também aqueles “oficiais”, nas distintas esferas de governos. Saiba mais sobre essa lei e os 
artigos mais relevantes para a tarefa e atribuição do perito em: http://bit.ly/2whitP9
Coleta de Evidências em Memória
Para as ilustrações deste e do próximo capítulo, utilizaremos uma máquina vítima 
com sistema operacional Windows 7 (Computador investigado) e um Kali Linux repre-
sentando a máquina do investigador (Computador B). Ambos os computadores foram 
criados de forma virtual, usando VirtualBox da Oracle. A distribuição Kali, utilizada para 
os testes e demonstrações citados neste material e vídeos, é distribuída pela Offensive 
Security, que documenta e distribui o software. A ferramenta de extração (dump) da 
memória que estudaremos foi a FTK Imager. 
9
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Caso você deseje reproduzir a investigação usando o mesmo cenário, obtenha a máquina 
virtual Kali para seu laboratório em: http://bit.ly/2whoICz. O programa para realização do 
dump é distribuído pela Access Data, podendo ser obtido em: http://bit.ly/2wjYsro
Obedecendo à ordem de volatilidade (OOV) que vimos nas unidades anteriores, ire-
mos primeiro tratar de obter os dados de memória e, em seguida (próximo tópico), dos 
dados em disco. Observando que a primeira atividade foi a de definição de atores, local 
(perímetro) e infraestrutura envolvidos, citada no capítulo anterior, neste capítulo, desen-
volveremos, a título de exemplo, as atividades 2, 3 e 4 que são: 2) Extrair a memória; 
3) Realizar uma cópia da evidência extraída; 4) Analisar a memória contida na cópia.
Na atividade dois, iremos introduzir um equipamento de análise (programa FTK 
 Imager, no nosso caso) causando o mínimo de perturbação e interferência possível no 
objeto sob análise. Em seguida, iremos simular o preenchimento de dados de coleta, indi-
cando a identificação do local, perito, ferramenta utilizada, informações de procedimento 
de guarda da mídia gerada e data. Na atividade três, realizaremos uma cópia da memória 
e geraremos uma comprovação de integridade desse arquivo gerado. Na atividade quatro, 
mais técnica, realizaremos a exploração do conteúdo, usando ferramenta específica que 
analisará padrões e parâmetros específicos, de acordo com o interesse do perito.
Você deve ter reparado que estas duas atividades estão alinhadas com os temas de 
classificação de evidências digitais, cadeia de custódia e requisitos para apresentação 
em juízo, que vimos na unidade anterior. Caso tenha ficado com dúvidas, ou não tenha 
compreendido a razão dessa sequência, volte e releia o material.
Continuando a investigação, considerando o cenário exemplificado anteriormente, 
imagine que foram escolhidos ativos computacionais para exame, e que o perito irá 
extrair as informações contidas em disco (HD ou SSD). Nesta tarefa, para evidenciar o 
ato ilícito e confirmar a hipótese e linha de investigação adotada, o perito fará a procura 
por uma palavra-chave (“Top secret”). Essa palavra, caso encontrada em arquivo de um 
determinado tipo (.pdf) na evidência computacional que será extraída do computador 
sob análise, será suficiente ligação material, já que o trecho é pertinente ao segredo 
industrial que se busca provar autoria criminal. Para fins de exemplificação, também 
trataremos de ilustrar a procura por programas específicos no dump de memória em 
análise. Esta tarefa serve para que você visualize que o perito procuraria, por exemplo, 
por resquícios de uso de programas de codificação, compactação ou criptografia de ar-
quivos que facilitariam seu envio despercebido, como contextualizamos na estória.
Dump de Memória
Para a realização do dump de memória (extração do “estado da memória”) que ire-
mos analisar, você deve criar um arquivo do tipo PDF (imaginando que este seria a 
extensão do arquivo que foi subtraído, segundo a queixa contida na investigação). O 
conteúdo deste arquivo deve ter palavras conhecidas, para que você faça a busca em 
um segundo momento. Como nesta fase estamos analisando a memória,é importante 
que você abra o arquivo, simulando sua visualização pelo investigado e posterior envio. 
10
11
Lembre-se de que, quando estamos falando de memória RAM, é importante recordar 
que há duas partes principais, o heap e o stack. Nestes trechos, encontraremos, respec-
tivamente, resquícios do arquivo que foi posto em memória pelo leitor (PDF reader, por 
exemplo) e resquícios dos programas usados antes do envio (codificação, compactação 
ou criptografia). Note que usei a palavra resquícios repetidamente. Isso foi para enfatizar 
que o processo de extração dos dados em memória, aqui exemplificado, será realizado 
por meio de um programa. Considerando que a máquina vítima dificilmente estará lo-
gada, e mesmo que estivesse, precisaria reconhecer o pendrive que vamos inserir con-
tendo o FTK Imager e executá-lo, todos esses processos mudam o estado da memória. 
No mundo real da investigação forense, equipamentos especiais seriam inseridos como 
periféricos ou acoplados à motherboard (placa mãe) do computador, para realizar a 
extração com interferência mínima.
Ilustração do Procedimento
Em sua máquina virtual, representando a vítima sob investigação, insira um pendrive 
contendo o programa FTK Imager. Em seguida, execute o programa. Note que, con-
forme visualização da imagem abaixo (Figura 1), o perito irá nomear o arquivo e terá a 
opção de extrair de forma conjunta o conteúdo de paginação (include pagefile). Como 
não se sabe qual a configuração e desempenho do computador em análise ainda, é 
prudente imaginar que parte do conteúdo de memória foi depositada em disco pelo SO, 
para administrar melhor as demandas de programas com recurso limitado de RAM. Esta 
informação será complementada em um segundo momento, quando a cópia do disco for 
realizada (próximo tópico).
Figura 1 – Representação do uso do programa FTK Imager, 
para extração de conteúdo em memória RAM, na máquina investigada
Na sequência da atividade dois, um perito realizaria a identificação da mídia que re-
ceberia a evidência (Destination path). Normalmente, vê-se o uso de HD/SSD externo 
para esta tarefa, mas aqui exemplificaremos com o caminho do próprio pendrive que 
foi inserido com o programa FTK Imager. Para fins de cadeia de custódia, não só o 
pendrive deverá ser identificado, mas o perito, local de extração, identificação de meto-
dologia e equipamentos usados e data-hora.
11
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Em seguida, como parte da atividade três, o perito realiza o procedimento que irá 
gerar prova de garantia de integridade do arquivo contendo o dump de memória e uma 
cópia da evidência digital duplicada como garantia (salvo em outra mídia), vistos nas 
imagens abaixo (Figura 2 e Figura 3). Note que aqui, estamos exemplificando um caso 
em que não é possível a obtenção dos itens físicos e, portanto, o perito não terá acesso 
à evidência digital original.
Figura 2 – Representação do uso do programa FTK Imager, para extração 
de conteúdo em memória RAM, na máquina investigada
Figura 3 – Representação do uso do programa FTK Imager, 
para cópia de conteúdo em memória RAM, na máquina investigada
Neste exemplo, usa-se um utilitário do próprio SO da máquina vítima para o cálculo 
de HASH e geração de arquivo de comprovação de integridade, o certutil (certutil 
-hashfile [file] MD5). Variações do comando podem usar um HASH mais robusto 
(SHA 1 ou SHA 2) como pode ser visto na imagem abaixo (Figura 5).
12
13
Figura 4 – Representação do uso do programa FTK Imager, 
para cópia de conteúdo em memória RAM, na máquina investigada
Como o perito normalmente possui diversas mídias para guarda de evidência do 
caso, uma boa prática é numerar e identificar a unidade o mais detalhadamente possível. 
No exemplo acima, no campo Unique Description, usam-se qualidades de cor e identifi-
cação numérica contidas na mídia onde está sendo feita a guarda da evidência extraída.
Figura 5 – Representação da cópia da evidência digital duplicada e verifi cação de integridade
Na figura acima, é possível verificar que, ao final do processo de cópia, o FTK 
 Imager exibe um controle de HASH que compara o arquivo que estava sendo copiado 
e o arquivo de cópia resultante. Uma boa prática para comprovar que a totalidade da 
memória foi extraída é consultar a capacidade deste recurso por meio da visualização no 
SO investigado (Figura 6).
13
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Figura 6 – Representação da visualização da capacidade 
de memória no computador sob investigação
Este processo de verificação de integridade, comparando o HASH informado no 
momento inicial pelo perito com os obtidos a cada vez que aquela evidência for sendo 
processada, em novas análises no futuro, é repetido para garantia de que o objeto é o 
mesmo. A cada nova análise, o perito repete o processo, calculando novo HASH do es-
tado atual do objeto (dump de memória, neste caso) comparando com aquele reportado 
inicialmente. Como requisitos de autenticidade e confiabilidade, todas as provas devem 
ser demonstradas comprovadamente íntegras e imutáveis desde o momento de sua co-
leta, para que sejam aceitas em juízo.
Na atividade 4, o perito fará uso de programas para efetuar a análise da memória 
extraída. Utilizando-se da cópia da memória extraída para análise na atividade 3, nes-
te exemplo, demonstraremos o uso da ferramenta volatility, presente na máquina Kali 
Linux. Como parte da demonstração, iniciaremos com a exploração da ferramenta 
e de informações iniciais que serão apresentadas assim que executarmos o carrega-
mento do arquivo que contém o dump de memória no programa. Na imagem a seguir 
(Figura 7), cabe destacar, além da versão do programa volatility em uso e informações 
básicas extraídas do arquivo (caminho para o arquivo, data e hora etc.), a informação 
de Sugested Profile. Essa informação é crucial no que diz respeito à interpretação dos 
dados de memória pelo volatility. Isso implica desde a capacidade de reconhecer assi-
naturas (padrões conhecidos de malwares para diferenciá-los de processos legítimos), 
até a possibilidade de execução de determinados parâmetros específicos em comandos 
de investigação. Esse processo é realizado, automaticamente, quando carregamos um 
arquivo de memória para análise, mas podemos executá-lo, separadamente, por meio 
do comando “kdbgscan”. Note que, neste aspecto, diversos profiles seriam compatí-
veis com a memória em análise. Uma boa prática, no entanto, é sempre usarmos a 
primeira sugestão oferecida pelo programa. Neste caso, o parâmetro Win8SP0x64 
será usado, mesmo sabendo que, para esta atividade exemplo, usamos Windows 7.
14
15
Figura 7 – Representação da resposta inicial da ferramenta volatility, para análise de memória
No passo seguinte da análise (note o parâmetro -profile passado, conforme dito 
acima ), uma verificação comum seria a listagem de processos ainda ativos no compu-
tador investigado quando da extração do dump. Essa operação ajuda no entendimento 
do estado do computador à época, e permite visualizar usos particulares de programas. 
Para nosso caso exemplo, a execução do passo, por meio do comando “pslist”, nos 
possibilitará a visualização de uso de um leitor de PDF, como parte da evidência que 
nos interessa sustentar como prova material no caso. Note que a execução do coman-
do ilustrado abaixo (Figura 8) foi acrescida de comando para exportar os resultados 
no arquivo “processfrommemory.txt”, a fim de facilitar o trabalho de filtragem, poste-
riormente executado pelo perito. Os comandos “pslist”, “psscan” e “pstree” (Kleiman, 
2011) são úteis também para identificar o process ID (PID) existente no computador 
no momento passado, como também a posição de memória a qual ocupou. A ligação 
entre PIDs é estabelecida por meio da verificação do doubly-linked e ponteiros de cada 
instrução na memória.
Figura 8 – Representação da execução do comando pslist na ferramenta volatility
A resposta do comando, possibilitandoa visualização do programa de interesse (nesse 
caso, AcroRd32.exe), pode ser vista na imagem abaixo (Figura 9). As informações de 
identificação de processo mostram que ela recebeu o número 2868 e foi inicializada 
pelo processo 1904.
15
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Figura 9 – Representação da resposta do comando pslist na ferramenta volatility
Um passo comumente executado na sequência da descoberta de um executável de in-
teresse identificado no comando “pslist” é a execução do comando “psxview” ( Figura 10), 
para possibilitar a visualização do horário em que o programa foi encerrado (Kleiman, 
2011). Isso porque sabendo que está incorrendo em ilícito, dificilmente o suspeito dei-
xará “abertos” os programas que utilizou. No entanto, é trabalho do perito estabelecer 
uma ordem de eventos, contemplando esses horários de ocorrências registradas no uso 
da memória, que seja compatível com as hipóteses levantadas na linha de investigação.
Figura 10 – Representação da resposta do comando psxview na ferramenta volatility
A continuidade da investigação, neste momento, focada na obtenção de mais infor-
mações relacionadas ao PDF que buscamos relacionar à ação do suspeito, pode seguir 
analisando textos específicos ou por meio da procura de arquivos deste tipo. Para a 
primeira abordagem, um recurso importante disponível no framework volatility, é a 
possibilidade de realizar o parsing da memória para o formato texto, utilizando o co-
mando “strings”. Na sequência de comandos exemplificada abaixo, cat – string – grep 
(Figura 11) auxiliam o perito a localizar um termo específico no dump em análise. Deve 
ser informado o termo de procura (representado pelas aspas na imagem) logo após o 
grep. Note que com esse comando, seria possível procurar nomes de programas ou de 
arquivos e até mesmo comando de copiar e colar (CTRL+V) e seu conteúdo caso ainda 
estivesse em memória à época, mas não é possível pesquisar o conteúdo do PDF que 
nos interessa.
16
17
Figura 11 – Representação da execução dos comandos cat – string – 
grep para pesquisa de termos de interesse na memória em análise
Considerando essa limitação, vamos então lançar mão de outra ferramenta, também 
disponível no Kali Linux, chamada photorec. Originalmente desenvolvida para recuperar 
arquivos de imagens acidentalmente removidas do disco, mas que ainda estivessem dispo-
níveis em memória em razão de terem sido acessadas e exibidas ao usuário recentemen-
te, podemos utilizar esse mesmo princípio para o nosso arquivo PDF, na verdade, para 
qualquer tipo de arquivo que tivesse sido “carregado“ em memória antes de nosso dump.
A execução do comando é bastante simples, como pode ser vista na ilustração abaixo 
(Figura 12). Inicializamos o programa inserindo o nome do arquivo de memória que 
desejamos analisar e, em seguida, informamos o tipo de sistema de arquivos em vigor 
na máquina investigada.
Figura 12 – Representação da execução da ferramenta photorec
Fica evidente, neste caso, que o perito obteve sucesso em ligar o objeto em análise, 
com a hipótese de investigação, por meio da evidência de que a palavra-chave estava 
contida no arquivo acessado pelo suspeito no computador investigado, na hora do evento 
descrito pelo caso. Para facilitar a compreensão, executamos a atividade exemplo de for-
ma que apenas um arquivo “.pdf” estivesse disponível em memória, mas frequentemente 
na atividade do perito, esta fase demanda a verificação de dezenas de arquivos.
17
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
A ferramenta volatility, disponibilizada na distribuição Kali Linux utilizada para estas de-
monstrações, possui uma série de outros recursos e análises de memória não exploradas na 
breve introdução dada neste capítulo. Saiba mais sobre seu uso em: http://bit.ly/2wjOaHE
Coleta de Evidências em Disco
O processo de coleta de evidências em disco, quando comparado com o processo 
envolvendo a memória, é bem mais simples. Tanto em razão de sua menor sensibilidade 
em relação às interferências e contaminações da evidência por parte do perito, como 
pela sua menor prioridade em relação ao OOV.
Ainda que existam softwares e equipamentos específicos que garantirão um cenário 
ideal com baixíssima interferência e contaminação, verdade, esta tarefa não difere muito 
dos processos de backup que realizamos como administradores de sistemas ou redes.
Como vimos nas primeiras unidades desta disciplina, comandos simples como fdisk-l 
e dd if= <entrada> of= <saída> (normalmente executados com padrão de intervalo de 
leitura de 512 bytes) (Tanenbaum, 2014) podem ser usados, inclusive para enviar a cópia 
diretamente para outra máquina (do perito, por exemplo) por meio da rede. Contudo, o 
uso de formatos de saída conhecidos ajudam o trabalho do perito tanto para possibilitar 
o uso de múltiplas ferramentas em análises da cópia do disco posteriormente quanto 
para o compartilhamento com outros profissionais em casos que haja necessidade de 
análise pericial multidisciplinar (TOLEDO; RODRIGUES, 2017) ou mesmo multicêntri-
ca (vários países envolvidos, por exemplo). Neste sentido, é importante que esta etapa, 
quando possível, seja executada resultando em um dos três formatos mais utilizados pela 
área, o Advance Forensics Format (AFF), Expert Witness Compression Format (EWF) 
ou dc3dd (BROOKS, 2014).
Ilustrando o Processo
Neste exemplo, usaremos uma ferramenta “opensource” que pode ser utilizada tam-
bém por meio de pendrive e que possibilita o boot por meio dela própria, caso o SO 
não esteja operacional. Lembrando-se do nosso cenário inicial e processo de dump de 
memória já realizado, esta atividade ajudará a complementar a investigação não só for-
necendo os dados de paginação, caso o sistema estivesse utilizando-se de memória vir-
tual, mas na obtenção do próprio arquivo confidencial, escopo central da investigação.
Capaz de clonar discos com sistemas de arquivos FAT e NTFS, o OSFClone (que 
encapsula o comando “dd” citado) é um candidato compatível com o cenário do 
 Windows 7, o qual descrevemos para ilustrar o caso. Uma vantagem importante deste 
programa e que deve ser considerada pelo perito forense computacional ao escolher o 
seu kit de programas, é a capacidade de geração de hashes (HASH) para comprovação 
de integridade individualmente para os arquivos, à medida que os copia.
18
19
Figura 13 – Representação da execução da ferramenta OSFClone
Conheça os detalhes de instalação e uso dessa ferramenta usada para a cópia dos dados de 
disco que usamos, e exercite reconstruindo o cenário exemplo proposto para esta unidade. 
Atenção para o fato de que em alguns computadores o uso dessa ferramenta como boot 
será restrito. Nas configurações de boot do computador, verifique se o Unified Extensible 
Firmware Interface (UEFI) encontra-se habilitado e, caso afirmativo, desligue-o antes de 
realizar o boot com o OSFClone. Disponível em: http://bit.ly/2whlPBJ
Conclusão
Nesta unidade, falamos sobre exemplos de atividades do perito forense, no contexto 
de investigação de campo.
Nesta abordagem, ilustramos processos de extração e cópia de evidências digitais 
para análise, tanto contidas em memória quanto em disco, no computador investigado. 
Para isso, usamos um cenário fictício de incidente e contextualizamos com uma estória 
que espero ter ajudado a compreender essas tarefas de forma mais facilitada. 
Observamos que vários dos passos realizados remeteram àquilo que estudamos con-
ceitualmente nas unidades anteriores, principalmente as características de tipos de evi-
dências, cadeia de custódia e condições para que estas sejam aceitas em tribunal como 
prova material.
Concluímos com essa unidade uma visão do papel do perito forense computacional, 
no planejamento e execução de extração de evidências computacionais, alinhadas às 
hipóteses e linhas de investigação adotadas. 
Esperamos que tenha gostado e adquirido esses novos conhecimentos. 
Bons estudos!
Abraços.19
UNIDADE 
Coleta de Evidências em Investigação de Crimes Digitais
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
Comando dd – Clonar HDs, partições e criar imagens de disco e CDs – Linux
Entenda o uso do comando dd ilustrado aqui (em Português).
https://youtu.be/yYKE17YuO1Q
SecIC January 2018: “Memory Forensics with Vol(a|u)tility”
Uso geral do framework volatility (em Inglês).
https://youtu.be/dB5852eAgpc
Virtual Memory: 3 What is Virtual Memory?
Memória virtual (em Inglês).
https://youtu.be/qlH4-oHnBb8
 Leitura
Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional
Leitura bastante abrangente e genérica sobre investigação de evidências computacionais: 
SILVA, T.B.F. Perícia digital: estratégias para analisar e manter evidências íntegras em 
forense computacional. TCC – Unisul Digital, 2017.
http://bit.ly/2wfnxng
A hardware-based memory acquisition procedure for digital investigations
Leitura interessante sobre o processo de extração de memória para análise pericial: 
CARRIERA, B.D.; GRAND, J. A hardware-based memory acquisition procedure 
for digital investigations, Digital Investigation. v.1, n.1 pp 50-60, 2004.
http://bit.ly/2woMCMl
20
21
Referências
BROOKS, C. L. CHFI – Computer Hacking Forensic Investigator Certification 
All-in-One Exam Guide, 1. ed. McGraw-Hill Education, EUA, 2014.
KLEIMAN, D. The Official CHFI Study Guide (Exam 312-49): for Computer 
 Hacking Forensic Investigator. 1. ed. Syngress, EUA, 2011.
TANENBAUM, A. S.; BOS, H. Modern Operating Systems. 4. ed. Englewood Cliffs, 
NJ, USA: Prentice Hall Press, 2014. 
TOLEDO, J. C.; RODRIGUES, C. V. A value-based method for measuring 
performance on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3, 
p. 538-556, 2017.
21