DOCUMENTOSCOPIA-COMPUTACIONAL-FORENSE

Prévia do material em texto

1 
 
 
DOCUMENTOSCOPIA COMPUTACIONAL FORENSE 
1 
 
 
 
Sumário 
FACUMINAS ............................................................................................ 3 
1. INTRODUÇÃO ............................................................................ 4 
2. EVOLUÇÃO TECNOLOGICA .......................................................... 5 
2.1 A complexidade e a evolução da computação ............................... 6 
3. TERMINOLOGIA E CONCEITOS BÁSICOS DA COMPUTAÇÃO 
FORENSE 8 
4. NORMAS TÉCNICAS E PROCEDIMENTOS EM COMPUTAÇÃO 
FORENSE 12 
4.1 Normas técnicas........................................................................... 13 
4.2 Procedimento Operacional Padrão (POP) ou Norma Operacional 
Padrão (NOP) ............................................................................................... 15 
5. OS CRIMES CIBERNÉTICOS E SEUS VESTÍGIOS ................ 16 
5.1 Aspectos e temas abordados no Tratado de Computação Forense 
Identificação, Isolamento, Coleta e Preservação do Vestígio Cibernético .... 18 
6. EXAMES ................................................................................... 18 
6.1 Exames em Mídias de Armazenamento ....................................... 19 
6.2 Exames em Locais de Internet ..................................................... 19 
6.3 Exames em Redes de Computadores e Dados de Interceptação 
Telemática .................................................................................................... 19 
6.4 Exames em Imagens Digitais ....................................................... 19 
6.5 Exames em Constatação de Pornografia Infanto-juvenil .............. 20 
6.6 Exames em Computação Embarcada .......................................... 20 
6.7 Exames em Equipamentos Computacionais Portáteis e de Telefonia 
Móvel ............................................................................................................ 20 
6.8 Exames em Computação na Nuvem ............................................ 21 
6.9 Exames em Detecção de Intrusão ............................................... 21 
6.10 Exames em Malwares ................................................................ 21 
7. PROCEDIMENTOS FORENSES .............................................. 22 
8. TÉCNICAS ANTI FORENSE ..................................................... 23 
8.1. Criptografia .................................................................................. 24 
8.2. Esteganografia ............................................................................ 25 
2 
 
 
8.3. Particularidades de sistemas de arquivos ................................... 26 
8.3.1. Alternate Data Streams (ADS) ................................................. 27 
8.4. Sanitização de discos .................................................................. 27 
8.4.1. Wipe ......................................................................................... 28 
9. CONCLUSÃO ............................................................................ 29 
REFERENCIAS .................................................................................. 30 
 
 
 
3 
 
 
 
FACUMINAS 
 
 
 
A história do Instituto FACUMINAS, inicia com a realização do sonho de 
um grupo de empresários, em atender à crescente demanda de alunos para 
cursos de Graduação e Pós-Graduação. Com isso foi criado a FACUMINAS, 
como entidade oferecendo serviços educacionais em nível superior. 
A FACUMINAS tem por objetivo formar diplomados nas diferentes áreas 
de conhecimento, aptos para a inserção em setores profissionais e para a 
participação no desenvolvimento da sociedade brasileira, e colaborar na sua 
formação contínua. Além de promover a divulgação de conhecimentos culturais, 
científicos e técnicos que constituem patrimônio da humanidade e comunicar o 
saber através do ensino, de publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
 
 
 
4 
 
 
1. INTRODUÇÃO 
 
“A Forense Computacional pode ser estabelecida como a ciência que 
estuda a aquisição, preservação, recuperação e análise de dados que estão em 
formato eletrônico e armazenados em algum tipo de mídia computacional.” 
A Computação Forense é a subdivisão da Criminalística que tem como 
objetivo a análise de vestígios cibernéticos, incorporando os elementos que os 
orbitam. Esse aspecto a torna uma área multidisciplinar, que engloba diferentes 
áreas das Ciências Forenses. Isso pode ser visto diariamente nos Institutos de 
Criminalística, onde os peritos de informática interagem com os peritos de áreas 
como contabilidade e audiovisual. 
Essa cooperação acompanha o próprio movimento de migração do 
analógico para o digital visto na sociedade moderna. Até pouco tempo atrás, os 
peritos daquelas áreas analisavam livros-caixa e fitas VHS. Atualmente, 
examinam relatórios eletrônicos extraídos a partir de sistemas contábeis e 
vídeos codificados no formato H.264. A própria documentoscopia, que 
tradicionalmente lidava apenas com documentos em papel, hoje já trata de 
arquivos assinados com certificados digitais e montagens feitas eletronicamente. 
Indo além, a evolução tecnológica faz com que a Computação Forense 
permeie áreas nunca antes imagináveis como: a balística, ao tratar da fabricação 
caseira de armas de fogo por meio de impressoras 3D; a medicina, em função 
da análise de dispositivos médicos, como marca passos; e a perícia em 
acidentes de trânsito, que pode contar com o auxílio da eletrônica embarcada. 
 Outro aspecto envolve a atualização tecnológica, uma vez que os 
computadores estão cada vez mais presentes no nosso dia a dia, seja por meio 
de um simples relógio de pulso, que hoje tem mais poder de processamento do 
que o computador que auxiliou o pouso do homem na lua, ou seja através do 
conceito de “Internet das Coisas” (Internet of Things – IoT), que está 
revolucionando a forma com que interagimos com os objetos ao nosso redor. 
Esse acontecimento de capilaridade tecnológica é chamado de 
computação ubíqua ou pervasiva, que representa a evolução da área, que 
5 
 
 
passou dos grandes computadores que ocupavam inteiras para os dispositivos 
portáteis, tão comuns atualmente. 
É relevante frisar que, apesar da tecnologia estar presente no ambiente 
forense, os profissionais não devem se lançar cegamente em sua direção. Ao 
contrário, precisam se dedicar a estudá-la para tomar consciência de sua 
amplitude e potencialidade. “É difícil dizer o que é impossível, pois a fantasia de 
ontem é a esperança de hoje e a realidade de amanhã”. 
Segundo Eleutério e Machado (2011), exames forenses na área de 
informática podem ser realizados em dispositivos de armazenamento, em 
aparelhos de telefone celular, em sites da internet, entre outros. Galvão (2013) 
ressalta, no entanto, que na maior parte das vezes a perícia tem como objetivo 
a análise de dados armazenados em dispositivos de armazenamento (discos 
rígidos, CDs, DVDs, cartões de memória, etc.). 
Tarefas envolvendo computadores e redes aumentam em ritmo 
acelerado. Ações ilícitas utilizando esses meios, também. Segundo o Centro de 
Estudos, Resposta e tratamento de Incidentes de Segurança no Brasil 
(CERT.br), o número de fraudes na internet cresceu 6.513% no país entre 2004 
e 2009. Em 2013, foram 352.925 incidentes reportados ao CERT.br (CERT, 
2014). 
Dado o aumento dos incidentes e fraudes envolvendo meios 
computacionais, há a necessidade de técnicas investigativas para a apuração 
dessas atividades ilícitas. A perícia forense computacional buscaa coleta e a 
análise de dados e informações, ou seja, de vestígios digitais deixados na 
ocorrência de uma atividade criminosa ou fraudulenta envolvendo meios 
computacionais (ERBACHER; CHRISTIANSEN; SUNDBERG, 2006). 
 
2. EVOLUÇÃO TECNOLOGICA 
 
A evolução da tecnologia está junto desde sempre a evolução humana. 
Na esfera computacional não é diferente, seu ritmo de evolução é acentuado e 
aumenta cada vez mais. A busca é pelo desenvolvimento de novas tecnologias 
6 
 
 
da informação, pela disseminação do acesso à internet, pela promoção de novas 
demandas e correspondência com novas ofertas tecnológicas. 
O avanço da computação e da comunicação em rede proporciona 
conforto às pessoas. A realização de uma tarefa escolar pode ser feita de forma 
online (através da internet). O estudo e formação em um curso pode ser EaD 
(Educação à Distância). A compra de um produto pode ser realizada pelo site 
(página web). Enfim, atividades que antes eram executadas presencialmente, 
agora podem ser feitas de qualquer lugar e a qualquer hora, inclusive crimes. 
No caso de prática de crime, o Código de Processo Penal Brasileiro 
(BRASIL, 1941) determina que: quando a infração deixar vestígios, será 
indispensável o exame de corpo de delito (artigo 158); o exame de corpo de 
delito e outras perícias serão realizados por perito oficial (artigo 159); os peritos 
elaborarão o laudo pericial, no qual descreverão o que examinarem e 
responderão aos quesitos formulados (artigo 160). 
Na computação, os vestígios de um crime são digitais (em forma de bits), 
podendo ser encontrados em dispositivos de armazenamento ou trafegando em 
rede. De acordo com Eleutério e Machado (2011), na maioria dos casos, exames 
forenses nesses dispositivos resultam em uma excelente prova técnica e os 
laudos produzidos tornam-se peças fundamentais para o convencimento do juiz 
na elaboração da sentença. 
 
2.1 A complexidade e a evolução da computação 
 Segundo a 27ª pesquisa anual do uso de TI 20162 realizada pelo Centro 
de Tecnologia de Informação Aplicada da FGV-EAESP existem no Brasil cerca 
de 244 milhões de dispositivos conectáveis à internet, ou seja, mais de um 
dispositivo por habitante. 
O cenário atual indica que cerca de 77 mil brasileiros sofrem ataques 
cibernéticos por dia e, provavelmente por falta de educação tecnológica ou 
conhecimentos de Computação Forense, apenas 21% deles denunciam o 
ataque. 
7 
 
 
São cerca de 2.100 ataques/hora a sistemas governamentais, fato que foi 
alvo de pauta do Fórum Econômico Mundial, no qual seus líderes colocaram os 
ataques cibernéticos, a incidência massiva de fraude, o roubo de dados e a 
desinformação digital entre os 10 maiores riscos às Nações. 
Chamam a atenção as cifras referentes aos custos dos crimes 
cibernéticos. De acordo com o relatório da Allianz Global Corporate & Specialty 
foram 7,7 bilhões de dólares só no Brasil, ou seja, se trata de campo promitente 
para os profissionais atuantes na prevenção, reposta a incidentes e remediação 
dos crimes cibernéticos. 
 
 
Os avanços tecnológicos amplificaram significativamente as 
possibilidades de comércio, comunicação e relacionamento interpessoal, porém, 
a formação de profissionais e a educação tecnológica não acompanhou o ritmo 
desse vertiginoso crescimento. 
O trabalho da Perícia Forense Computacional demanda, além de 
profissionais capacitados e investimentos em soluções de TI, tempo para 
execução dos respectivos exames. Dessa forma, os profissionais que atuam em 
Computação Forense terão que lidar com a variação das complexidades dos 
exames periciais. Nesse contexto, alguns fatores se mostram preponderantes: 
Fator humano: Se relaciona à capacidade humana de compreensão e 
tratamento da informação, dos vestígios e suas análises em nível de raciocínio, 
8 
 
 
deduções e conclusões. O fator humano é afetado por diversas variáveis como 
estado emocional, cansaço, sono, calor e outros; 
Fator tecnológico: Diz respeito às facilidades e dificuldades impostas 
pela tecnologia, especialmente no tocante à velocidade de processamento da 
informação (tempo) como também na limitação de tamanho das mídias de 
armazenamento atuais (espaço); 
Fator legal: Se conecta aos parâmetros impostos pela legislação no 
tratamento do vestígio cibernético, já que a análise desse deve obedecer, além 
dos princípios científicos, os ditames de ordem legal e processual. 
Mesmo diante da evolução do processamento e armazenamento de 
informações, previstas pelas Leis de Moore, em que o número de transistores 
colocados em um circuito integrado dobraria a cada dois anos , e Kryder , em 
que a densidade e a capacidade de armazenamento dos discos rígidos 
dobrariam de tamanho entre 18 e 24 meses, o ser humano pode não ser capaz 
de processar as informações e produzir resultados em tempo hábil de forma a 
atender à legislação pertinente. 
 
3. TERMINOLOGIA E CONCEITOS BÁSICOS DA 
COMPUTAÇÃO FORENSE 
 
Alguns termos foram empregados e padronizados na Computação 
Forense a fim de consolidar a terminologia pericial, assim sendo, alguns 
conceitos e terminologias pertinentes para a leitura deste material serão 
apresentados a seguir: 
 
• Algoritmo de hash criptográfico (função de hash criptográfico): 
função matemática cujo resultado é um valor de tamanho fixo, gerado a partir de 
uma entrada de tamanho arbitrário. Na Computação Forense, os arquivos 
geralmente são utilizados como parâmetros de entrada dessas funções, o que 
permite identificar se dois ou mais arquivos possuem conteúdos idênticos. Outra 
9 
 
 
característica importante das funções hash é a unidirecionalidade, ou seja, a 
partir de seu resultado é impraticável produzir o parâmetro de entrada. Muito 
usados no controle de integridade de arquivos e mídias de armazenamento, haja 
vista a baixíssima probabilidade de dois arquivos distintos submetidos à mesma 
função produzirem o mesmo resultado; 
 
 • Análise live (análise a quente, análise online, análise viva ou live 
analysis): tipo de análise realizada diretamente no equipamento questionado 
com o sistema operacional em funcionamento. É destinada à análise do 
dispositivo e dos dados em tempo de execução. Tal análise, apesar de aumentar 
a superfície de exposição da evidência e alterá-la de forma involuntária, pode ser 
a única forma de identificar e salvaguardar a evidência de natureza volátil. Deve 
ser aplicada de acordo com as técnicas recomendadas para o tipo específico de 
equipamento e evidência, sendo que os procedimentos realizados durante o 
exame devem ser documentados; 
 
• Análise post-mortem (análise a frio, análise offline, análise morta 
ou dead analysis): tipo de exame realizado quando se deseja aumentar o grau 
de preservação da evidência questionada. Nesse tipo de exame, opta-se por 
criar uma imagem forense (cópia exata) da evidência, protegendo-a contra 
gravações involuntárias. Esse tipo de perícia é o mais recomendado quando não 
há necessidade de preservação dos dados voláteis presentes em um 
determinado equipamento no momento de sua arrecadação ou quando a 
presença de criptografia nas mídias secundárias não for detectada; 
 
• Análise Forense Computacional: tipo de análise realizada em 
dispositivos computacionais, tanto em software quanto em hardware, com foco 
na análise de evidências cibernéticas, a fim de trazer à tona elementos 
indicativos de autoria, materialidade e dinâmica de fatos, geralmente 
relacionados a violações legais; 
10 
 
 
• Antiforense: recurso usado para encobrir a existência, quantidade e a 
qualidade de evidências de determinado recurso computacional. Também pode 
objetivar dificultar a análise das evidências ou torná-la impraticável; 
 
• Arquivo Composto (ou Arquivo Container): arquivo binário cujo 
conteúdo é formado por outros arquivos, como os arquivos compactados e os 
utilizados pelas suítes Libre Office e MicrosoftOffice; 
 
• Arquivo Imagem (Imagem Pericial ou Imagem Forense): arquivo que 
contém a cópia exata da mídia submetida a exame. Dependendo das opções 
escolhidas pelo perito durante o processo de cópia, o arquivo pode ser 
fragmentado em arquivos menores ou pode ser compactado. Sua integridade é 
garantida pelas funções de hash; 
 
• Cadeia de Custódia: registro detalhado de todos os passos, pessoas, 
ambientes, mídias e informações direta ou indiretamente relacionadas à perícia. 
É fundamental para instrumentar o processo e dar suporte a investigações ou 
contestações posteriores, sem que todo o processo pericial seja comprometido. 
Esse assunto teve suas diretrizes e procedimentos estabelecidos na portaria 
número 82, de 16 de julho de 2014 da Secretaria Nacional de Segurança Pública 
do Ministério da Justiça - SENASP/MJ; 
 
• Computação na nuvem: termo utilizado para caracterizar os serviços 
de internet que oferecem recursos computacionais, como processamento e 
armazenamento, situados em servidores cuja localização geográfica é 
transparente para o cliente; 
• Criptografia: estudo e aplicação de métodos que transformam a 
informação plana e aberta em um conjunto de dados ininteligíveis às partes não 
autorizadas. Tem como principal objetivo permitir a troca de mensagens sigilosas 
em um ambiente inseguro; 
11 
 
 
 
 • Deep Web: é o termo dado à parte da internet cujo conteúdo não está 
indexado pelos serviços de busca mais populares, como o Google. O acesso, 
geralmente, é feito por meio navegação anônima. Está repleta de páginas com 
conteúdo de caráter clandestino, como pornografia infantil e comércio ilegal de 
drogas; 
 
• Duplicação Pericial (Duplicação Forense): é o processo de aquisição 
de uma evidência cibernética, na qual é realizada a cópia bit a bit de determinada 
informação, resultando na criação de um arquivo imagem ou de uma mídia 
duplicada; 
 
 • Imagem Digital: arquivo criado ou editado por meio eletrônico, 
geralmente máquinas fotográficas digitais ou softwares como o Adobe 
Photoshop; 
 
• Intrusão: atividade de caráter voluntário, que leva à violação das 
políticas de segurança da informação de uma organização, podendo ter origem 
local ou remota; 
 
• Laudo (Parecer Técnico): documento técnico científico de caráter 
formal, elaborado pelo perito. Apresenta o resultado da análise pericial de modo 
compreensível aos interessados e responsáveis pelo julgamento do mérito, 
dispensando-os da necessidade de conhecimento técnico aprofundado e 
reduzindo o risco de interpretação equivocada por parte dos mesmos. Para 
alcançar esse objetivo, o documento pode ser enriquecido com ilustrações, 
fotografias e croquis, visando a facilitação de seu entendimento; 
 
12 
 
 
 • Malware: programas especificamente desenvolvidos para executar 
ações danosas e atividades maliciosas em um computador; 
 
• Mídia Questionada (Mídia de Prova): é a mídia objeto da investigação. 
Os tipos mais comuns são pendrives, discos rígidos externos ou inseridos em 
computadores, bem como as mídias ópticas; 
 
• Mídia de Destino: suporte para o qual o conteúdo das mídias 
questionadas é copiado, de modo a preservá-las contra alterações não 
intencionais; 
 
 • Vestígio Cibernético (Vestígio Digital): qualquer informação de valor 
probatório que tenha sido armazenada ou transmitida em meio digital e que pode 
ser utilizada para comprovação de um crime. Na Computação Forense, um 
computador pode ser o meio ou o alvo de uma atividade criminosa, cabendo ao 
analista pericial a coleta de vestígios que possam levar à autoria dos delitos 
cometidos; 
 
• Wipe: técnica empregada para apagamento seguro de mídias. Usada 
principalmente para reutilização de mídias de apoio aos exames periciais, 
evitando que informações anteriormente existentes contaminem uma nova 
análise pericial. 
 
4. NORMAS TÉCNICAS E PROCEDIMENTOS EM 
COMPUTAÇÃO FORENSE 
 
No Brasil, a legislação não é taxativa quanto ao uso de normas, 
regimentos ou procedimentos específicos, bem como não exige titulação ou 
certificação do profissional que atua na área de Computação Forense. Aliás, 
13 
 
 
cumpre destacar, que os profissionais da área de informática sequer têm 
conselho profissional, a exemplo dos conselhos de engenharia ou medicina. 
Porém, o Código de Processo Penal (CPP) exige que o perito oficial ou 
nomeado tenha curso superior e faça uso de métodos aceitos pela comunidade 
científica. Em especial nos órgãos de perícia oficial, o perito, além de ter que ser 
aprovado em concurso público, deve atender a exigências como ter formação 
superior específica e participar de curso de formação oficial. O profissional deve 
seguir regras impostas através de Instruções Normativas, Procedimentos 
Operacionais Padrão, Manuais e certificações profissionais e de laboratórios. Já 
nas perícias ad hoc, são considerados o notório saber, a titulação, as 
certificações e a reputação do profissional. 
Em Computação Forense segue-se a teoria da hierarquia das normas, na 
qual a está legislação constitucional está no topo da pirâmide e na base estão 
os documentos infraconstitucionais. Neste capítulo serão abordados os 
documentos mais usados como o Procedimento Operacional Padrão 
SENASP/MJ, a ISO/IEC 27037/2013 e ISO/IEC 27000. Bem como, as 
certificações mais populares na área. 
 
4.1 Normas técnicas 
Quando se trata de qualquer tipo de regramento ou ordenamento deve-se 
ter em mente a balança da Justiça, ou seja, sempre deve haver uma forma de 
pesar qual regramento deve ser aplicado no caso concreto. Na Computação 
Forense não é diferente, pois o profissional se depara com uma imensidão de 
normas oficiais, normas técnicas e procedimentos operacionais, sejam eles 
nacionais ou internacionais, sendo que, em um dado momento, deve escolher 
qual tem melhor aplicação. 
No âmbito público, as normas só se tornam impositivas quando 
regulamentadas, porém, o perito sempre tem a autonomia técnico-científica. O 
exemplo mais claro disso é a não obrigatoriedade de o perito seguir 
rigorosamente normas técnicas, a exemplo da ISO/IEC 27037/2013, senão por 
regulamento do órgão de perícia oficial. 
14 
 
 
Importante ressaltar que Regulamento Técnico é um documento 
normativo, de uso obrigatório, que dispõe sobre processos, métodos periciais e 
requisitos técnicos, incluindo as disposições administrativas cabíveis. Poderá 
ainda, normatizar o uso de terminologia, estrutura de laudos, etc. Sendo assim, 
os Regulamentos Técnicos são emitidos por autoridades competentes a nível 
federal, estadual e municipal, bem como podem ser emitidos em âmbito privado. 
Tendo no âmbito público especial função de regulamentar a utilização de normas 
e procedimentos. 
 Entre os documentos que tratam das perícias de informática, alguns 
como Regulamentos Técnicos, Procedimento Operacional Padrão e Normas 
Técnicas merecem desataque, pois são documentos oriundos do consenso e 
aprovados por uma instituição reconhecida, que fornece regras, diretrizes ou 
características para produtos ou processos e métodos de produção conexos, 
cujo cumprimento e adoção são voluntários . 
O consenso deriva de grupos de trabalho que têm a participação de 
especialistas e são abertos a comunidade interessada, sintetizando os 
conhecimentos de ciência, tecnologia e prática, em uma norma. Diferente do 
Regulamento Técnico, a norma tem aplicação voluntária, ou seja, a Norma 
Técnica só é obrigatória quando referendada por um ato jurídico. 
No âmbito da Computação Forense, as normas podem ser divididas de 
acordo com sua abrangência a nível de associações: nacionais, regionais e 
internacionais. Essas normas são editadas e emitidas por associações, como a 
Associação Brasileira de Criminalística, a Sociedade Brasileira de Ciências 
Forenses, a International Society of Forensic Computer Examiners, etc. 
No nível nacional as normas são editadase emitidas pelo organismo 
nacional de normalização, que deve ter legitimidade para editar e publicar 
normas e, ainda, reconhecimento e consenso das instituições e da comunidade 
cientifica. No Brasil, podemos citar a Associação Brasileira de Normas Técnicas 
(ABNT), que foi responsável pela tradução da norma ISO/IEC 27037/2012. 
No nível regional, as normas são editadas e emitidas por entidades como 
a AMN- -Mercosul, COPANT e CEN, que incluem um conjunto de países 
próximos ou uma região. 
15 
 
 
Finalmente, no nível internacional, as normas são editadas e emitidas por 
organismos internacionais como a ITU, ISO e IEC, que têm abrangência mundial. 
 
4.2 Procedimento Operacional Padrão (POP) ou Norma 
Operacional Padrão (NOP) 
O principal objetivo do POP é padronizar e minimizar os riscos na 
execução de tarefas relativas a Computação Forense. Ou seja, um POP bem 
feito e atualizado é instrumento fundamental da qualidade e eficiência da perícia. 
Em Computação Forense, o POP aumenta a previsibilidade dos 
resultados esperados e minimiza os riscos, inclusive aqueles decorrentes de 
imperícia e negligência. 
Também permite selecionar e fazer uso adequado das ferramentas 
forenses e demais recursos tecnológicos. 
No Brasil, o ato normativo que tem maior amplitude é a obra denominada 
“Procedimento Operacional Padrão: Perícia Criminal”, publicada pelo Ministério 
da Justiça, através da Secretaria Nacional de Segurança Pública. Esse 
documento traz uma padronização mínima para as perícias criminais em todo 
território nacional e lança luz sobre a área de computação em quatro POPs: 
• Exame Pericial de Mídia de Armazenamento Computacional: tem a 
finalidade de orientar o profissional de perícia da área de computação a realizar 
exames que envolvam dados contidos em mídias de armazenamento 
computacional, como os discos rígidos, pendrives e cartões de memória; 
• Exame Pericial de Equipamento Computacional Portátil e de Telefonia 
Móvel: serve como um guia para o perito realizar exames que envolvam 
computadores portáteis e telefones móveis como, por exemplo, celulares e 
tablets; 
• Exame Pericial de Local de Informática: apresenta orientações ao 
profissional que realizará exames que envolvam locais de informática ou que 
demandem a análise do vestígio cibernético in loco; 
16 
 
 
• Exame Pericial de Local de Internet: tem a finalidade de orientar o perito 
de informática a investigar crimes ocorrido ou auxiliados pela internet. 
 
 
5. OS CRIMES CIBERNÉTICOS E SEUS VESTÍGIOS 
 
Os crimes compreendendo equipamentos computacionais vêm 
aumentado, impulsionados pelas facilidades disponibilizadas pela tecnologia, 
pela velocidade da comunicação e pela própria especialização dos criminosos. 
Por envolver questões técnicas específicas, a justiça necessita de um 
profissional capaz de auxiliar a apuração dos crimes que envolvem o uso de 
computadores. 
Para a Symantec, a criminalidade cibernética pode assumir muitas formas 
e ocorrer em qualquer hora ou lugar. Da mesma forma, os criminosos 
cibernéticos usam métodos diferentes, segundo suas habilidades e seus 
objetivos. 
 A definição de crime cibernético, ainda de acordo com Symantec, é 
qualquer delito em que tenha sido utilizado um computador, uma rede ou um 
dispositivo de hardware. O computador ou dispositivo pode ser o agente, o 
facilitador ou o alvo do crime. O delito pode ocorrer apenas no computador ou 
fora dele. 
Para compreender melhor a ampla variedade de crimes cibernéticos, é 
necessário dividi-los em duas categorias gerais. Na primeira, o computador é 
apenas uma ferramenta de auxílio aos criminosos, que praticam crimes 
conhecidos, como sonegação fiscal, compra de votos em eleições, tráfico de 
entorpecentes e falsificação de documentos. Ou seja, se o dispositivo 
computacional não existisse, tal crime poderia continuar a ser praticado, 
utilizando outros meios. 
Já no segundo tipo, o computador é a peça central para o 
empreendimento do crime. Fraudes bancárias pela internet, compartilhamento 
17 
 
 
de pornografia infantil por redes sociais e pichação de um site governamental 
são exemplos de crimes que não existiriam sem o uso de computadores. 
No Brasil, foi a Lei 12.737/2012, sancionada em 2 de dezembro de 2012, 
que promoveu alterações no Código Penal Brasileiro, acrescentando-lhe os 
artigos 154-A e 154-B, a fim de tipificar os chamados delitos ou crimes 
informáticos praticados em âmbito nacional. 
 
Como o crime cibernético pode uma gama muito ampla de transgressões, 
a compreensão de suas várias vertentes é essencial para identificar a ação mais 
adequada para ser adotada em um determinado caso. 
Assim, é necessário recorrer a profissionais especializados, com amplo 
conhecimento em computação, segurança da informação, direito digital e outras 
áreas afins. Esse profissional deve ser capaz de identificar a autoria, a 
materialidade e a dinâmica de um crime praticado com auxílio da tecnologia. 
Em um local de crime convencional, um vestígio pode significar um 
instrumento deixado no ambiente ou um fio de cabelo. Na informática, no 
entanto, os vestígios são digitais – zeros e uns, que poderão representar os mais 
diversos tipos de informação, como conversas online, histórico de navegação e 
programas maliciosos. 
 
 
18 
 
 
5.1 Aspectos e temas abordados no Tratado de Computação 
Forense Identificação, Isolamento, Coleta e Preservação do 
Vestígio Cibernético 
Um dos maiores desafios na Computação Forense é delimitar a 
abrangência de um determinado cenário criminoso, no qual a principal evidência 
é a informação digital. A correta identificação, isolamento, coleta e preservação 
dos vestígios dessa natureza são fatores imprescindíveis para se chegar à 
autoria e à materialidade do crime. 
Uma vez que esses vestígios não são confinados em perímetro bem 
definido, mas espalhados em uma série de ambientes que precisam ser 
devidamente tratados, o leitor precisa enriquecer o seu cabedal de conhecimento 
com relação aos aspectos básicos do trato do vestígio cibernético, desde a busca 
e à manutenção da cadeia de custódia. 
 
6. EXAMES 
 
Essa é a fundamental seção do laudo pericial, onde o perito irá especificar 
exatamente todos os procedimentos realizados na análise. Quais as técnicas 
utilizadas para a recuperação dos arquivos, quais ferramentas foram 
necessárias, qual sistema operacional foi aplicado e qual sistema existia no disco 
analisado, quais foram os meios usados na preservação do material questionado 
e outros diversos procedimentos que foram efetivamente utilizados. 
Durante todo o laudo e aconselhável ao perito evitar ao máximo o uso de 
palavras técnicas, de modo que pessoas com pouco entendimento sobre os 
meios e procedimentos forense utilizados na análise entendam claramente o 
resultado do laudo. Porém essa seção e a única que permite ao perito a 
utilização dos termos mais técnicos, pois é aqui que explica e garante toda a 
integridade dos procedimentos realizados. E onde também, o perito busca 
respostas para os quesitos ou dúvidas levantadas no início das investigações 
pela autoridade solicitante (ELEUTERIO, MACHADO, 2011). 
19 
 
 
 
6.1 Exames em Mídias de Armazenamento 
Análise de discos rígidos, pendrives e mídias ópticas estão entre os tipos 
exame pericial mais comuns realizados nos Institutos Periciais e Polícias 
Científicas. Portanto, saber como lidar com os vestígios armazenados nesses 
dispositivos é primordial para o trabalho do perito de informática. 
 
6.2 Exames em Locais de Internet 
Entender como os serviços de internet se comportam e a natureza dos 
protocolos envolvidos no processo de comunicação e distribuição de 
informações é de fundamental importância para proceder os exames em 
ambientes dessa natureza. 
 
6.3 Exames em Redes de Computadores e Dados de 
Interceptação Telemática 
Com o aumento da conectividadedo mundo moderno, as redes de 
computadores se tornaram fundamentais para praticamente qualquer tipo de 
comunicação, ocasionando em milhões de bytes de dados sigilosos transmitidos 
diariamente por esse meio. Como o crime organizado também utiliza a internet 
para realização dos mais variados delitos, o Profissional da Computação 
Forense tem como desafio coletar e examinar essa grande massa de dados, 
extraindo evidências relevantes para a investigação. Outra questão importante é 
a volatilidade desse tipo de informação. 
 
6.4 Exames em Imagens Digitais 
O avanço programas de edição de imagens e a popularidade dos 
dispositivos móveis equipados com câmeras digitais abriu um leque de 
possibilidades para a perícia em imagens digitais. O conhecimento dessa área 
pode, inclusive, ser aplicado em outros ramos da perícia, como a 
20 
 
 
documentoscopia. As técnicas, quando devidamente aplicadas, permitem a 
extração de informações úteis para as investigações. 
 
6.5 Exames em Constatação de Pornografia Infanto-juvenil 
A Constatação de Pornografia Infanto-juvenil representa um grande 
desafio à perícia forense. Aliado ao aumento dos casos investigados, está a 
evolução de técnicas que e ferramentas que fortalecem o anonimato dos 
criminosos envolvidos. Além de tratar das questões legais, separando o que é 
transtorno e o que é crime. 
 
6.6 Exames em Computação Embarcada 
Os sistemas embarcados são cada vez mais comuns no cotidiano das 
pessoas e empresas. Com o advento da “Internet das Coisas” e dos dispositivos 
portáteis, a tendência é que os sistemas embarcados se tornem onipresentes. 
Por esse motivo, os dispositivos embarcados são fontes ricas em informações 
que podem auxiliar na elucidação de crimes. Devido às características desses 
dispositivos, esse tipo de exame pode permear as mais diversas áreas das 
Ciências Forenses, como perícias em veículos, aeronaves e equipamentos 
médicos. 
 
6.7 Exames em Equipamentos Computacionais Portáteis e de 
Telefonia Móvel 
Dispositivos móveis estão presentes na vida de quase todas as pessoas, 
principalmente, na forma de telefones celulares e tablets. Assim, o exame pericial 
desses equipamentos pode fornecer evidências e informações preciosas para 
uma investigação. No entanto, a grande diversidade de marcas, modelos e 
sistemas operacionais, bem como o ciclo de vida muito rápido desses produtos, 
oferece um desafio considerável para os peritos de Computação Forense. 
Diferentemente dos métodos clássicos de exame de computadores, não existe 
21 
 
 
um método à prova de falhas para a realização de perícias em dispositivos 
móveis. 
 
6.8 Exames em Computação na Nuvem 
A mudança de paradigma da computação tradicional para a Computação 
na Nuvem, fez com que itens logicamente relacionados possam estar 
geograficamente separados. Isso tornou possível o acesso a praticamente todo 
o tipo de informação a partir de qualquer dispositivo computacional. 
Entretanto, poucos são os usuários que se preocupam com a segurança 
dessas informações, preferindo confiar cegamente nas empresas que fornecem 
serviços dessa natureza. Por essa razão, a segurança de todos esses dados 
compartilhados vem sendo estudada arduamente por pesquisadores. Nesse 
contexto, o perito Forense Computacional tem a responsabilidade de enfrentar 
um novo desafio. 
 
6.9 Exames em Detecção de Intrusão 
 A exploração de vulnerabilidades para invasão de sistemas, redes, 
dispositivos móveis e até mesmo ambientes em nuvem é uma prática crescente 
e preocupante em um mundo altamente conectado. Se, por um lado, essa 
conectividade cria um ambiente de compartilhamento de informações em uma 
velocidade que não para de crescer, ao mesmo tempo traz novas preocupações 
e desafios. 
 
6.10 Exames em Malwares 
Devido ao aumento da quantidade de dispositivos computacionais 
conectados, a distribuição de programas maliciosos associados à prática 
criminosa cresce diariamente. Consequentemente, o exame desse tipo de 
aplicativo é cada vez mais comum. Adicionalmente, a alta diversidade de 
métodos distintos de atuação faz com que os exames periciais desse tipo criem 
novos desafios aos especialistas em Computação Forense. 
22 
 
 
 
 
7. PROCEDIMENTOS FORENSES 
 
A realização de uma perícia forense é justificada pela busca de uma 
melhor compreensão de um determinado evento, encontrando e analisando 
outros fatos e eventos relacionados ao objeto de análise. Para alcançar esse 
objetivo, Kent et al. (2006) sugere que a perícia siga um processo forense 
composto por quatro etapas: coleta, extração, análise e apresentação. 
 O processo sugerido pode ser utilizado para perícias forenses em 
diversas áreas científicas, inclusive em computação. A perícia forense 
computacional não segue procedimentos rígidos bem definidos (KENT et al., 
2006). 
Assim, o processo pode ser seguido e ajustado para a realização de uma 
perícia adequada às características dos dispositivos de armazenamento 
computacional a serem apreendidos e periciados (JUNIOR; MOREIRA, 2014). A 
figura ilustra as etapas do processo forense (KENT et al., 2006) em um contexto 
computacional. 
 
 
 
23 
 
 
a) Coleta: O objetivo da primeira etapa é identificar, isolar, etiquetar, registrar e 
coletar os dados e evidências físicas relacionadas com o incidente que está 
sendo investigado, enquanto estabelece e mantem a integridade das provas. 
b) Exame: Identificar e extrair as informações relevantes a partir dos dados 
coletados utilizando ferramentas e técnicas forenses adequadas. 
c) Análise: Analisar os resultados do exame para gerar respostas úteis para as 
questões apresentadas nas fases anteriores. 
d) Relatório (Resultados)(Apresentação): Inclui encontrar relevância para o 
caso. Nessa etapa também é redigido o laudo pericial, o qual deve ter conclusão 
imparcial, clara e concisa; deve ter exposto os métodos utilizados na perícia, e 
deve ser de fácil interpretação por uma pessoa comum, de conhecimento médio. 
 
 
8. TÉCNICAS ANTI FORENSE 
 
Muitas adversidades podem ser encontradas durante as etapas de um 
processo investigatório. Adversidades estas, comumente conhecidos pelo termo 
Anti Forense computacional. 
A anti forense pode ser aplicada através de métodos de ocultação, 
codificação ou exclusão de evidências, tendo como objetivo interferir nos 
resultados da investigação forense computacional. 
A utilização de criptografia, esteganografia, sanitização de discos e 
utilização de propriedades não utilizadas comumente por diferentes sistemas de 
arquivos são algumas formas de aplicação desse tipo de prática. 
Além das complicações diretas, existem também as indiretas, que surgem 
com o passar do tempo, como os avanços tecnológicos. Devido ao surgimento 
diário de novidades tecnológicas computacionais e eletrônicas, as expectativas 
são de que a área passe por diversos desafios, visto que técnicas de coleta e 
24 
 
 
análise de dados devem ser sempre inovadas para que possam acompanhar a 
evolução tecnológica. Como um exemplo desse tipo de desafio, temos o 
aumento da quantidade de arquivo. 
Além dos avanços tecnológicos, como se não bastassem, existem ainda 
os entraves impostos pela falta de tipificação da legislação brasileira. A 
inexistência de leis eficientes que tipifiquem os crimes digitais faz com que os 
crimes virtuais permaneçam sem a devida punição, além do fato de que não há 
uma reparação concisa dos danos às vítimas. 
A seguir, serão explicados os tópicos citados neste capítulo. 
 
8.1. Criptografia 
A Criptografia é uma área da criptologia que tem por objetivo esconder o 
significado original de algo. 
Para que um texto seja criptografado, são necessários os seguintes 
elementos: 
1. Mensagem: mensagem original que se deseja transmitir; 
2. Cifra: chave utilizada na conversão da mensagem original em 
código; 
3. Código: resultado da conversãoda mensagem original utilizando 
a cifra. 
Muito usada quando se deseja garantir a privacidade dos dados, a 
criptografia atualmente utiliza algoritmos matemáticos complexos para 
transformar a mensagem em código. 
Esta difere do cálculo de código hash por possuir dois sentidos, ou seja, 
pode-se obter o conteúdo original da mensagem a partir do código final gerado. 
25 
 
 
Existe uma área da criptologia chamada criptoanálise que trata do estudo 
de técnicas e metodologias para se obter a mensagem original a partir do código 
criptográfico gerado mesmo sem ter a cifra (chave) usada na criptografia. 
Rainbow Tables são muito utilizadas por peritos para lidar com a 
segurança por criptografia. Esta consiste em comparar diversos códigos pré 
compilados armazenados em tabelas com as combinações de caracteres do 
código criptográfico, levando então a encontrar a mensagem original. 
 
No entanto, é muito importante que o perito realize buscas no computador 
questionado por possíveis softwares que apliquem criptografia em arquivos ou 
textos, pois, assim pode ser obtido o algoritmo utilizado na criptografia, 
facilitando assim, a tentativa em se descriptografar o texto ou arquivo. 
 
8.2. Esteganografia 
A esteganografia é o estudo de técnicas que possam ser utilizadas para 
esconder uma mensagem ou o seu verdadeiro conteúdo. Esta difere da 
criptografia, pois, a criptografia torna ilegível o conteúdo da mensagem enquanto 
a esteganografia esconde este verdadeiro conteúdo em meio a outro. Estas duas 
técnicas quando combinadas podem levar o perito despreparado a concluir 
erroneamente o seu laudo, afetando assim o curso da investigação. 
A vantagem da esteganografia perante a criptografia é que o conteúdo 
real da mensagem pode estar dentro de outro tipo de arquivo, no entanto o perito 
que está analisando o artefato pode não dedicar esforço e tempo na busca pela 
real mensagem caso não perceba algo de diferente no arquivo. 
Existem atualmente diversas técnicas utilizadas na esteganografia, 
algumas mais complexas que as outras. Um arquivo com uma mensagem 
esteganografada pode ser descoberto utilizando algumas das seguintes 
técnicas: 
26 
 
 
- Busca por palavras chaves: Caso a mensagem esteja gravada 
sequencialmente dentro do arquivo, poderá ser obtido resultado através dessa 
técnica; 
- Valor hash do arquivo: Caso sejam comparados os valores hash atual 
do arquivo e o original do fabricante, pode ser identificado que existem diferenças 
entre o conteúdo dos mesmos; 
- Tamanho de arquivo: Caso um arquivo esteja muito maior do que 
comumente seria, por exemplo, se a imagem do plano de fundo de tela do 
Sistema Operacional estiver com 100MB, existe um forte indício de que existem 
mais informações no conteúdo deste arquivo que não são originais da imagem; 
- Arquivos instalados: Analisando os arquivos instalados no computador 
questionado, pode ser encontrado o software utilizado na esteganografia. Dessa 
forma, o perito pode obter informações do tipo de técnica utilizada para então 
focar esforços na tentativa de descobrir a mensagem original. 
A esteganografia é também comumente utilizada por empresas que 
desejam preservar o seu direito autoral ou rastrear a distribuição de arquivos. 
 
8.3. Particularidades de sistemas de arquivos 
Os sistemas de arquivos são conjuntos de estruturas lógicas e rotineiras 
que permitem ao Sistema Operacional controlar o acesso aos discos rígidos. 
Os Sistemas Operacionais por sua vez, utilizam e compreendem certos 
tipos de sistemas de arquivos. Esta tarefa tornou-se ainda mais complicada com 
a evolução tecnológica à medida em que é expandida a capacidade de discos, 
tecnologias por eles utilizadas e aumento no número de arquivos e acessos à 
estes. 
Existem diversos sistemas de arquivos utilizados, alguns mais simples 
como o FAT16 e o FAT32, e outros mais complexos, com recursos mais 
sofisticados como o NTFS, EXT3 e ReiserFS. 
27 
 
 
Além das propriedades dos sistemas de arquivos comumente utilizadas 
pelos Sistemas Operacionais, existem ainda algumas particularidades que 
diferenciam os sistemas de arquivos uns dos outros, e que muitas vezes não são 
interpretadas pelo Sistema Operacional, como é o caso da propriedade ADS 
(Alternate Data Streams) do NTFS. 
 
8.3.1. Alternate Data Streams (ADS) 
A propriedade do sistema de arquivos NTFS chamada Alternate Data 
Streams (ADS) permite que mais de um fluxo de dados (conteúdo do arquivo) 
seja adicionado a um nome de arquivo. 
O padrão utilizado para acessar os diversos fluxos de dados é: 
<nomedoarquivo>:. Por padrão, o ADS não é listado nas ferramentas da 
Microsoft Windows Explorer e como resultado dos comandos “dir” ou “ls”. 
Quando se realiza a cópia de um arquivo com ADS para outro sistema de 
arquivos que não suporta esta propriedade, como o FAT32, por exemplo, ou 
quando é feito o envio do arquivo por e-mail deste arquivo, o conteúdo alternativo 
de dados (ADS) é perdido, preservando-se apenas o conteúdo principal. 
Ferramentas como o Streams da Microsoft e o LADS da Heysoft são 
ferramentas de plataforma Windows para tratar ADS. 
 
8.4. Sanitização de discos 
A sanitização de discos consiste em apagar toda e qualquer informação 
armazenada em um disco. 
Quando um disco é formatado ou um arquivo é excluído, o Sistema 
Operacional apenas informa ao sistema de arquivos que o espaço em disco 
reservado para armazenar o conteúdo daquela partição do disco está liberado e 
pode ser utilizado, no entanto, os dados permanecem gravados em disco e 
podem ser recuperados utilizando técnicas específicas para recuperação de 
28 
 
 
dados, como o Data Carving, conforme foi apresentado em capítulos anteriores. 
Estes dados apagados persistem no disco até que o Sistema Operacional os 
sobrescreva, no entanto, devido a um projeto de alto desempenho do sistema de 
arquivos que procura evitar a realização de movimentos do cabeçote do disco, 
os dados tendem a ser armazenados lado a lado no disco, minimizando a 
fragmentação de arquivos no disco. Simplificando, quanto mais recente ocorreu 
a exclusão do arquivo, maior é a probabilidade de recuperá-lo. 
 
8.4.1. Wipe 
O processo de wipe consiste em apagar, bit a bit, toda a área reservada 
para alocação de um arquivo. Os dados contidos nos setores apagados são 
normalmente substituídos por zeros ou valores aleatórios. Desta maneira, não 
são recuperados por engano quaisquer dados adicionais no disco. 
O Departamento de Defesa dos Estados Unidos criou uma metodologia 
chamada DoD 5220.22-M para sanitização de discos. Segundo o National 
Industrial Security Program (1994), essa metodologia consiste em realizar três 
tipos diferentes de escritas em cada byte endereçável do disco: 
1. Escrever “zeros” (0x00) e verificar o que foi escrito. 
2. Escrever “uns” (0xff) e verificar o que foi escrito. 
3. Escrever valores aleatórios e verificar o que foi escrito. 
Existem outras técnicas de wipe que sobrescrevem toda a área designada 
com caracteres específicos até sete vezes. Segundo o National Institute of 
Standards and Technology (2006), “a maioria das mídias atuais podem ser 
efetivamente sanitizadas com apenas uma sobrescrita”. 
No entanto, assim como a técnica wipe pode ser utilizada na limpeza de 
discos, também pode ser utilizada como uma técnica anti forense para apagar 
vestígios de um crime. 
 
29 
 
 
9. CONCLUSÃO 
 
Computação forense é a fonte para encontrar a evidência da cena do 
crime através das evidências digitais. Segundo a pesquisa de diversos autores, 
a computação forense é a busca da verdade nos vestígios computacionais. A 
equipe forense também tem muitas ferramentas diferentes disponíveis para 
trabalhar em vários tipos de crimes. 
A equipe forense computacional trabalha em processo básico que inclui a 
identificação, coleta, preservação, análise e relatório. Este processo funciona de 
forma muito eficientepara investigação. 
Pode-se concluir que a computação forense deve estar preparada para 
assumir a responsabilidade de identificar e preservar possíveis vestígios digitais 
deixados durante a realização de qualquer crime envolvendo tecnologia 
computacional e eletrônica, relatando a materialidade, a dinâmica e a autoria dos 
delitos, além de sempre considerar a legislação vigente ao manipular, preservar 
e analisar os artefatos. 
 
 
 
 
 
 
 
 
 
 
 
 
30 
 
 
 
REFERENCIAS 
 
ABDULLAH, M. Advances in Computer Forensics. IJCSNS. V. 8, N. 2, 
Fevereiro, 2008. 
 
BATTULA, B. et al. Techniques in Computer Forensics: IJS. V. 3, 2000. 
 
Código de Processo Penal. decreto lei nº 3.689, de 03 de outubro de 1941. 
Disponível em: http://www.planalto.gov.br/CCIVIL/Decreto-Lei/Del3689.htm. 
 
ELEUTÉRIO, PMS. ; MACHADO, MP. - Desvendando a Computação 
Forense. Novatec Editora, ISBN: 978-85-7522-260-7. São Paulo/SP. Jan/2011. 
 
ERBACHER, R. F.; CHRISTIANSEN, K.; SUNDBERG, A. Visual Network 
Forensic Techniques and Processes. In: ANNUAL SYMPOSIUM ON 
INFORMATION ASSURANCE, 1 ., 2006, Albany. Proceedings of the 1 st. Annual 
Symposium on Information Assurance. Albany: University at Albany, 2006. p. 72 
- 80. 
 
FARMER, Dan; VENEMA, Wietse. Pericia forense computacional, 
teoria e pratica aplicada; Tradução Edson Furmankiewicz, Carlos Schafranski, 
Docware Traduções Técnicas; Revisão Técnica Pedro Luís Próspero 
Sanchez. São Paulo: Person Prentice Hall, 2007. 
 
GALVÃO, R. K. M. Introdução à análise forense em redes de 
computadores: São Paulo: Novatec, 2013. 
 
JUNIOR, C. C. N. M.; MOREIRA, J. Roteiro Investigativo em Perícia 
Forense Computacional de Redes: Estudo de Caso. T.I.S. - Tecnologias, 
Infraestrutura e Software, São Carlos, v. 3, n. 1, p. 11-23, Jan./Abr., 2014. 
 
31 
 
 
KENT, K. et al. Guide to integrating forensic techniques into incident 
response: recomendations of the National Institute of Standards and Technology. 
Special publication. Gaithersburg: NIST, 2006. 
LILLARD,T. et al. Digital forensics for network, internet and cloud 
computing: Burlington: Syngress, 2010. 
 
MACHADO, MP. ; ELEUTÉRIO, PMS. - Computação Forense e a Perícia 
Criminal - A Informática a Serviço da Justiça. Revista SBC Horizontes, v. 4, n. 1, 
p. 19-24. Abr/2011. 
 
PINHEIRO, D. O. Um estudo experimental das ferramentas de 
engenharia reversa aplicadas às vulnerabilidades do software. 42 f.Monografia, 
UFCE, Quixadá,2013 
 
YASINCAC, A.; MANZANO, Y. Policies to enhance computer and 
Network Forensics. IEEE. 2001. 
 
https://cgi.br/noticia/cert-br-divulga-balanco-das-notificacoes-de-
incidentes-de-seguranca-recebidas-em-2013/400