Forense computacional livro

Prévia do material em texto

Unidade 1 - Introdução à computação forense
Nesta unidade você verá:
// a ciência forense aplicada à computação
// terminologia da computação forense
// evidências digitais
Apresentação
A Forense Computacional tem como responsabilidade combater os crimes que migraram dos meios físicos para os meios virtuais, e assim como as as outras ciências forenses, ela possui métodos e procedimentos científicos específicos. Devido à alta dependência de tecnologia por parte das corporações nos dias de hoje, algumas práticas fraudulentas, antes específicas de áreas que envolviam pagamentos, investimentos, compras, finanças e contabilidade, adequaram-se à nova realidade das grandes bases de dados integradas, das falhas provenientes de sistemas difíceis de monitorar e, muitas vezes, da própria cultura da empresa, que não possui maturidade para gerir estes avanços. 
Apesar de, atualmente, a área de segurança da informação possuir várias ferramentas e metodologias para combater os incidentes gerados por ataques e outros tipos de desvios que acontecem diariamente, não se pode subestimar a capacidade de adaptação do ser humano e suas tentativas de burlar as barreiras e obstáculos que são colocados como medidas de segurança. Por esse motivo, se fez necessária a criação de uma nova categoria da ciência forense, bem como a especialização de novos tipos de profissionais de tecnologia da informação.
AUTOR
O professor Holney Aparecido Decco é especialista em Comunicação Institucional e Corporativa (2009), graduado em Gestão de Sistemas de Informação (2008), pela Universidade Paulista (Unip), e possui Curso de Extensão Universitária em Segurança de Redes de Computadores pela ESAB (2008). 
Dedico esta obra à minha família, aos mestres e pares que enriqueceram e ainda enriquecem minha jornada profissional, assim como à DP Content, pela iniciativa e suporte. Por fim, dedico a você, aluno, na esperança de contribuir para seu aprendizado.
Holney A. Decco
Presidente do Conselho de Administração: Janguiê Diniz
Diretor-presidente: Jânyo Diniz
Diretoria Executiva de Ensino: Adriano Azevedo
Diretoria Executiva de Serviços Corporativos: Joaldo Diniz
Diretoria de Ensino a Distância: Enzo Moreira
Autoria: Holney Aparecido Decco
Projeto Gráfico e Capa: DP Content
DADOS DO FORNECEDOR
Análise de Qualidade, Edição de Texto, Design Instrucional,
Edição de Arte, Diagramação, Design Gráfico e Revisão.
© Ser Educacional 2020
Rua Treze de Maio, nº 254, Santo Amaro
Recife-PE – CEP 50100-160
*Todos os gráficos, tabelas e esquemas são creditados à autoria, salvo quando indicada a referência.
Informamos que é de inteira responsabilidade da autoria a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização.
A violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Imagens de ícones/capa: © Shutterstock
Objetivos
UNIDADE 1.
Introdução à computação forense
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Entender o fenômeno da migração dos crimes em ambientes físicos para os ambientes virtuais;
· bullet
Compreender a necessidade da criação de uma nova modalidade de perícia para o cenário atual;
· bullet
Conhecer os métodos científicos relacionados a investigações e identificar as evidências coletadas nas esferas digitais.
TÓPICO DE ESTUDO
A ciência forense aplicada à computação
–
// O profissional de computação forense
// A necessidade da perícia forense
// O caso BTK
// A evolução da tecnologia
// Novos meios de se cometer crimes
Terminologia da computação forense
–
// Terminologia
// Técnicas de eliminação de evidências
Evidências digitais
–
// Artefatos
A ciência forense aplicada à computação
A computação forense consiste na aplicação de técnicas de investigação e análise aliadas a ferramentas específicas para coletar, reunir e preservar evidências de um determinado dispositivo cibernético de forma adequada e para sua apresentação em um tribunal de justiça.
Ela é apenas uma das várias vertentes das ciências forenses existentes, tratando exclusivamente da aquisição e análise dos meios cibernéticos. Seu foco principal é a obtenção de evidências que buscam elucidar crimes e fraudes praticados nestes ambientes. A computação forense tem como principais objetivos:
· 1
1
Salvaguardar dados, por meio de técnicas e metodologias de coleta, preservação e garantia de integridade dos dados coletados em uma investigação a serem apresentados em corte;
· 2
2
Determinar a materialidade, dinâmica e autoria de crimes cometidos em dispositivos computacionais, como dispositivos de processamento de dados (Figura 1), computadores, notebooks, servidores, entre outros;
· 3
3
Determinar a materialidade, dinâmica e autoria de crimes cometidos em dispositivos tecnológicos, como mídias sociais, celulares, roteadores, entre outros;
· 4
4
Apresentar os resultados de uma perícia em forma de laudo técnico para ser apreciada pelas partes envolvidas.
Figura 1. Análise de disco rígido. Fonte: Adobe Stock. Acesso em: 30/06/2020.
Assim, a computação forense é um tipo de ciência pericial e, como tal, deve seguir os mesmos padrões e metodologias estabelecidos para as outras ciências forenses. Em um processo, seja criminal ou cível, a perícia realizada é a primeira a ser contestada pela parte acusada, com vistas a invalidar as evidências adquiridas e apresentadas. Assim sendo, na esfera digital é notória a sensibilidade e a volatilidade dos dados que formam o universo das investigações.
Então, isto significa que a Computação Forense se limita apenas a dados, dispositivos digitais e Internet? A resposta é não. Sua natureza altamente tecnológica e em constante evolução faz com que a Computação Forense auxilie outros tipos de ciências periciais, propiciando exames em dispositivos e situações antes imagináveis, como:
1
Análise de dispositivos médicos como marca-passos, que, por tratarem-se de dispositivos digitais, podem ter dados coletados e periciados;
· 2
2
Análises e reconhecimento de voz (que já podem ser criptografadas) através da utilização de softwares de Computação Forense, que fazem a análise de autoria através de ondas de frequência;
· 3
3
Perícia de acidentes de trânsito, que podem contar com o auxílio de eletrônica embarcada. Atualmente, os veículos possuem várias placas de controle como freios ABS (Anti Blocking System), piloto automático e AutoCheck (temperatura, pressão do óleo e etc.). Por mais absurdo que possa parecer, uma central multimídia de um veículo pode ser a porta de entrada para uma invasão de celular que esteja pareado a ela.
O PROFISSIONAL DE COMPUTAÇÃO FORENSE
O profissional da área é responsável pela coleta, salvaguarda e análise, funções que fazem parte do processo de investigação. Durante as análises (a investigação em si), é primordial que este profissional possua conhecimentos técnicos de sistemas operacionais, tráfego de dados e a localização de logs e registros sistêmicos, para que possa realizar investigações com maior acuracidade e sabendo o que e onde buscar. 
DICA
Dados digitais podem ser manipulados, alterados, deletados e terem informações como autoria e datas modificadas facilmente. Por esse motivo, é primordial que o perito siga os procedimentos à risca, a fim de não correr o risco de perder meses de trabalho e, com isso, permitir que o culpado escape ileso. Vale lembrar que a Computação Forense é um método científico que busca evidenciar que determinado crime ocorreu, sem deixar margem para dúvidas.
Na maioria das vezes, as evidências de uma investigação estão escondidas dos olhos de usuários comuns. Assim, além do conhecimento técnico, também é preciso que o profissional possua conhecimentos em compliance, gerenciamento de risco, código de conduta e aspectos jurídicos de processos. Existem várias frentes de atuação nas quais esse profissional pode atuar, sendo elas:
Perito criminal
–
O perito criminal para agências da lei (âmbitos federal e estadual) atua nas investigações que são conduzidas pelas políciasFederal e Civil. Para ingressar nesta posição, o profissional necessita de formação superior na área e aprovação em concurso público. Se nomeados, estes profissionais atuam apenas nas esferas criminais;
Perito judicial
–
O perito judicial é nomeado em tribunais de justiça de 1ª e 2ª instância, tanto estaduais quanto federais. Sua atuação tem início após a nomeação de um juiz em um tribunal ao qual esteja cadastrado. Sua tarefa principal é a de responder quaisquer perguntas que sejam levantadas pelo juiz. 
Esta posição exige formação superior (mesmo que não seja na área de TI, existem engenheiros de várias categorias atuando nestas posições) e cadastro vigente no tribunal em que atua. O perito só atua em casos de litígio, nunca desempenhando perícias na esfera penal; 
Assistente técnico
–
O assistente técnico, ou especialista em computação forense, trabalha diretamente com as partes e seus advogados em um processo ou investigação interna, atuando como responsável técnico. Ele não possui poder de agente da lei e sua atuação se restringe ao setor privado, em casos de fraudes internas. 
As perícias realizadas na esfera privada são os objetos a serem periciados por peritos judiciais em casos de litígio, se houverem. Apesar de existir uma carência desse tipo de profissional no mercado brasileiro, existem consultorias especializadas e empresas que possuem profissionais especializados em seus departamentos de compliance, auditoria interna e segurança da informação. 
A NECESSIDADE DA PERÍCIA FORENSE
Durante os anos 1970 e 1980, o que viria a ser chamado de computação forense era praticado apenas por poucos agentes da lei, que viam os computadores e dispositivos de alta tecnologia como um hobby.
Era um tempo analógico, em que os computadores não tinham a mesma importância que possuem nos dias de hoje. A consequência disso foi a demora para se criar uma categoria de perícia forense somente para este fim.
As primeiras ações com maior relevância começaram a tomar forma quando as bases de armazenamento de dados chamaram a atenção dos agentes da lei. Antes delas, era difícil para os agentes apreender, armazenar e classificar informações e documentos dos suspeitos, o que fazia com que as investigações se arrastassem por muito tempo e gerassem pilhas e mais pilhas de papel.
Um outro ponto importante foi o desenvolvimento das mídias de armazenamento removíveis, como os primeiros disquetes (Figura 2), que facilitaram o transporte de dados.
Figura 2. Antigos disquetes. Fonte: Adobe Stock. Acesso em: 30/06/2020.
O passo inicial se deu no ano de 1984, quando o FBI deu início ao programa M.M.P (Magnet Media Program), que tinha como foco coletar e analisar apenas dados digitais. Ainda na década de 1980, os primeiros hackers surgiram, gerando a necessidade de se desenvolver técnicas de rastreamento e identificação destes indivíduos. Porém, a computação forense assumiu o seu devido protagonismo no período entre o fim da década de 1990 e meados de 2000. 
Nesse período, duas práticas criminosas começaram a utilizar os meios digitais para se perpetuarem: a propagação de pornografia infantil e os ataques terroristas que sucederam as guerras no Afeganistão e no Iraque, com a frequente apreensão de computadores, notebooks e outros tipos de dispositivos de telecomunicação por soldados estadunidenses.
Em 2006, já estabelecida como uma prática pericial necessária, a computação forense foi incluída na revisão das regras de processo civil dos Estados Unidos, oficializando as práticas de investigações e descobertas digitais.
O CASO BTK
Um dos casos mais emblemáticos, solucionado com o auxílio da Computação Forense, foi a descoberta da identidade do assassino em série conhecido como BTK (sigla para Blind, Torture, Kill - Cegar, Torturar, Matar). Sua carreira de crimes teve início em 1974 e perdurou até 1991, período em que a polícia não conseguiu identificá-lo e prendê-lo.
Seu modus operandi consistia em, primeiramente, espionar a vítima e depois, utilizando uma máscara, invadir sua residência enquanto ela estava dormindo, torturando-a e matando-a e deixando o corpo amarrado para ser encontrado depois. Ele também costumava coletar souvenires das suas vítimas. 
A virada se deu no ano de 2005, quando um jornal da cidade de Wichita (Wichita Eagle) nos Estados Unidos recebeu uma carta de reclamação por não ter atribuído a BTK a responsabilidade do crime de uma de suas vítimas. Para provar seu ponto, ele enviou fotos do local do crime bem como uma cópia da carteira de motorista da vítima. Após esse primeiro contato, e com a certeza de não ser pego ou rastreado, BTK começou a enviar cartas a emissoras de televisão, onde descrevia seus crimes e enviava fotos dos souvenires que recolhia.
Em uma destas cartas enviada à imprensa, BTK perguntou se era possível rastrear disquetes, pois pretendia enviar um conteúdo utilizando esta mídia. A resposta a ele foi a de que não era possível e ele então enviou um disquete com textos e fotos. 
De posse do disquete, os peritos da polícia puderam identificar pelas propriedades dos arquivos de texto (origem, autores, quem havia salvado) que o disquete fora criado em um computador da Igreja Luterana de Cristo em Wichita, e que as pastas haviam sido criadas por um usuário de nome “Dennis”. A partir dessas informações, foi possível chegar até um homem chamado Dennis Rader. 
Os policiais conseguiram material biológico da filha de Rader e compararam com material biológico coletado nas vítimas, conseguindo comprovar que Rader era mesmo BTK. Ao ser pego, ele se limitou a dizer “vocês me pegaram”. Ele foi condenado a sentença de 10 prisões perpétuas.
A EVOLUÇÃO DA TECNOLOGIA
A tecnologia avançou com os anos, causando impacto direto na forma que vivemos, compramos produtos, nos comunicamos, viajamos e aprendemos, entre tantas outras mudanças que foram provocadas por avanços tecnológicos contínuos.
Hoje em dia, fazemos parte de uma sociedade totalmente dependente de tecnologias, que propiciam aos usuários a capacidade de execução de tarefas complexas (em outros tempos, dispendiosas de recursos e tempo) com um simples click do mouse. 
No mundo corporativo, os avanços tecnológicos ajudaram empresas e organizações a economizar tempo e custos de produção, o que tem sido uma vantagem para todos os tipos de negócios. Convém lembrar que, no mundo corporativo, a utilização da tecnologia de maneira correta e assertiva resulta em larga vantagem competitiva.
Para se ter uma ideia clara da rapidez e agilidade de absorção dessa evolução: não mais que 30 anos atrás, eram apenas as grandes empresas que possuíam computadores capazes de executar tarefas e processar grandes porções de dados. Além de excessivamente caros, tais computadores eram ineficazes, se comparados com os atuais, lentos, imprecisos e exigiam um acondicionamento em lugares próprios e preparados para seu funcionamento.
Atualmente, um smartwatch tem mais capacidade de processamento do que os computadores que levaram o homem à lua, na missão Apolo XI, e podemos levar todo esse poder no pulso, para qualquer lugar. Além de toda essa mobilidade, temos também a conectividade. O IoT, ou Internet of Things (internet das coisas), é um conceito que discorre sobre como interagimos com elementos ao nosso redor por meio da atribuição de endereços lógicos (endereços de IP, ou Internet Protocol), possibilitando sua conectividade.
É possível acessar a internet utilizando uma Smart TV, assistir filmes por serviços de streaming no console de vídeo game e apagar uma luz ou desligar o ar condicionado de casa remotamente, mesmo que você esteja a milhares de quilômetros dali. Obviamente, os avanços tecnológicos desempenharam um papel importante na melhoria da condição humana.
Sua praticidade e conectividade encurtou distâncias e trouxe mobilidade e agilidade sobre todos os aspectos. Nos negócios, as engrenagens que fazem o mundo girar, em uma época na qual a tecnologia derrubava postos de trabalho, ela trouxe novas formas e conceitos de se fazer negócio. 
NOVOS MEIOS DE SE COMETERCRIMES
Todos esses avanços, porém, trouxeram consigo um ônus bem desagradável. Por conta desta migração de atos criminosos praticados no mundo físico para o mundo digital, uma nova classe de investigadores, peritos e auditores viram-se obrigados a evoluir também (Figura 3). Falamos de uma área que, até não muito tempo atrás, lidava com bancos de dados de impressões digitais incompletos, análises físicas de cenas de crime, testes de DNA imprecisos e sem aceitação em julgamentos, relatórios em papel, livros caixa e revisões de fitas de VHS, por exemplo.
Figura 3. A evolução dos meios de perícia. 
// Anos 80 
Nesta época, as cenas de crimes eram inspecionadas e catalogadas através de fotos e sem análises mais profundas, graças à tecnologia disponível para tal. As perícias papiloscópicas, por exemplo (ciência forense que estuda a identificação de um ser humano por suas digitais), não contavam com bancos de dados digitalizados. Se um indivíduo cometia um crime em uma localidade distante de sua residência, como em outro Estado, a verificação poderia demorar meses. 
Atualmente, existem bancos de dados digitalizados e integrados para este fim e ferramentas como as fontes de luz que, além de identificarem digitais, também identificam resquícios de pele, pegadas, fios de cabelo e vestígios de sangue, mesmo que a superfície tenha sido lavada ou sanitizada para ocultar tais vestígios. 
Uma outra curiosidade desta época eram as análises balísticas, a ciência forense que estuda armas de fogo, munições e a trajetória dos disparos. Era possível identificar o calibre da arma, qual seu tipo (pistola, revólver, carabina, entre outros) e qual a recenticidade do disparo (ou seja, quando a munição foi disparada) sem grandes problemas.
Porém, para identificar a trajetória do disparo eram utilizados barbantes direcionados pelo ângulo de entrada do projétil. Essa técnica era eficaz se o disparo tivesse sido executado a partir de uma pequena distância; todavia, se o disparo fosse longo, o pêndulo balístico (curva de trajetória do projétil até atingir o alvo) traria resultados inconclusivos. 
Atualmente existem bancos de dados que contêm informações cadastrais sobre armas de fogo, o uso de metalografia (que visa identificar números de série raspados em armas de fogo) e o uso de microscópios comparadores de alta resolução que podem identificar de qual arma de fogo determinado disparo foi efetuado pelas marcas (ranhuras únicas de cada arma de fogo produzida) que o cano deixa nos projéteis.  
// Anos 90
Neste período, a moda eram as câmeras de segurança, que passaram a ser um elemento importante na elucidação de autoria de um crime. O grande problema residia no fato de que a tecnologia das câmeras da época era ruim. Ou seja, haviam gravações, porém as imagens tinham uma péssima definição. Uma questão importante é que em determinado momento, as seguradoras só aceitavam assegurar determinadas propriedades privadas ou residências se estas tivessem pelo menos uma câmera de segurança instalada. 
Como a tecnologia era cara, consequentemente também era sua manutenção; lembrando que além da câmera, era necessário um dispositivo de gravação (um vídeo cassete no caso) e uma mídia (fita VHS) reutilizada com frequência, uma vez que sua capacidade de armazenamento era pequena. A reutilização destas mídias causava a deterioração das imagens a cada regravação.
Vale citar que esta época teve um avanço tecnológico considerável, mas não muito aceito, pela margem de erro que propiciava. Estamos falando das análises de DNA, que tiveram sua fase forense iniciada a partir de dois pontos distintos. O primeiro foi a conclusão dos estudos relacionados a regiões variáveis do DNA, que literalmente são capazes de individualizar uma pessoa por essa análise. 
O segundo ponto foi o desenvolvimento do exame de reação de cadeia de polimerase, que tornou capaz a análise (com alta sensibilidade) de DNA mesmo a partir de pouco material biológico, como com um bastonete com saliva, por exemplo, retratado na Figura 4. 
Os primeiros exames aceitos desta categoria foram os exames que determinavam paternidade, tornando-se uma prática comum aos juízes requisitarem esta ciência. Porém, quando utilizados como evidência, os métodos de coleta e análise disponíveis propiciavam uma margem de erro inaceitável de admissibilidade de uma evidência, principalmente pelo fato de as superfícies de coleta serem não estéreis, expostas a luz solar, fungos, bactérias e conterem traços de elementos químicos como solventes. 
Figura 4. Teste de DNA a partir de saliva. Fonte: Adobe Stock. Acesso em: 04/07/2020.
Por fim, no small data, a quantidade de dados e fontes digitais disponíveis para as coletas e análises era muito reduzida. Os computadores pessoais ainda não eram conectados à internet e não havia a facilidade de produção e disseminação de materiais como textos, fotos e vídeos de maneira tão ampla como atualmente. 
// Atualmente
Os avanços tecnológicos propiciaram o desenvolvimento de ferramentas e recursos nas áreas das ciências periciais que são confiáveis com relação aos resultados que apresentam. Assim, as fontes de dados se multiplicaram e as formas de coleta se tornaram mais seguras e amplamente aceitas em cortes ao redor do mundo. Na área de Computação Forense por exemplo, podemos citar as análises de big data (grandes bases de dados), em que existem ferramentas capazes de processar e analisar quantidades enormes gerados e armazenados em diversas fontes de dados de maneira mais simples e padronizada. 
O big data tornou-se um problema a partir da proliferação da produção de dados e dos diversos espaços de armazenamento disponíveis. Imagine a quantidade de dados que você produz diariamente através do uso de ferramentas de mensagens (como o WhatsApp ou Telegram, que possuem a capacidade de envio de arquivos multimídia e mensagens), mídias sociais (compartilhando fotos, por exemplo), nos dados que você armazena na nuvem (ou cloud) tais como Webmail, Google Drive, YouTube entre outros, seja em seu computador pessoal ou no computador da sua empresa. 
Além da quantidade dos dados, perceba que você utilizou várias plataformas que são distintas, causando uma pulverização dos dados produzidos e espalhados por vários lugares. Isto se dá a nível individual, mas para termos uma ideia clara do tamanho do problema, é necessário multiplicar esse número pelos milhões de usuários destas plataformas.
Ou seja, através dos tempos, pilhas e mais pilhas de papel se transformaram em planilhas, bancos de dados, imagens digitais de alta resolução, biometria e outras tantas formas de arquivos de dados que cabem na palma da mão e que, com o advento da internet, atravessam o mundo em questão de segundos. Durante toda a história humana, os métodos científicos buscaram evoluir, na medida do possível, para fazerem frente a uma classe de criminosos que também evoluiu. Por isso, os procedimentos científicos de perícia tiveram que se modernizar.
CURIOSIDADE
O nascimento do que chamamos de internet ocorreu exatamente às 22h30min. do dia 29 de outubro de 1969, em uma pequena sala na Universidade da Califórnia (UCLA), em Los Angeles. Foi nesse dia que um grupo de professores, alunos e pesquisadores conseguiu enviar com sucesso uma mensagem entre dois computadores localizados a 600 quilômetros de distância um do outro. Considerando sua motivação inicial, que era apenas compartilhar dados entre universidades, ela não foi projetada para ser o que é nos dias de hoje. Por esse motivo, ela é considerada por alguns como uma “terra sem lei”, em que criminosos utilizam o anonimato que ela proporciona para cometerem crimes.
Embora os meios de se cometer crimes tenham evoluído, o mesmo não vale para os crimes em si. Não existem novos crimes, e sim novas maneiras de se cometer crimes. Por exemplo, se alguém invade um computador com o intuito de ler as mensagens em um e-mail pessoal, esse crime seria o equivalente a alguém que abre uma correspondência endereçada a você, ou seja: é um crime de invasão de privacidadeda mesma maneira.
Atualmente, graças à natureza altamente tecnológica da computação forense, o universo dos dispositivos e recursos possíveis de serem investigados se expandiu consideravelmente. Com o uso de suas ferramentas, é possível, por exemplo, efetuar perícias em um marca-passos ou em um veículo que possui qualquer tipo de tecnologia embarcada, como uma central multimídia.
Terminologia da computação forense
Por se tratar de uma ciência, a computação forense possui terminologia própria e procedimentos padronizados, desenvolvidos para fortalecer a cultura de investigações nos meios digitais.
Estes procedimentos visam também a garantia da integridade dos dados a serem analisados. O ponto mais relevante desta padronização de procedimentos se deve ao fato de que, nos dias de hoje, fazemos parte de um mundo conectado. 
Os crimes cibernéticos, e suas características, não são próprios deste ou daquele continente. Pelo contrário, existem relatos de crimes sendo cometidos a milhares de quilômetros de distância de seus alvos. Com a padronização de procedimentos, é possível que a polícia de um determinado país possa efetuar uma investigação e seus resultados possam ser aceitos e utilizados por cortes judiciais ao redor do mundo. Graças à conectividade disponível atualmente, não é incomum que agências federais e empresas privadas de outros países compartilhem informações e realizem investigações correntes ao redor do mundo.
EXEMPLIFICANDO
Vamos utilizar, como exemplo, a investigação interna de uma multinacional. A matriz desta multinacional na Alemanha requisita que a filial na Inglaterra efetue a coleta de dados do equipamento computacional de um colaborador naquela localidade. Se a coleta for feita seguindo os padrões e metodologias corretamente, as evidências coletadas poderão ser apresentadas pela matriz, em seu país de origem, não importando que o colaborador esteja em outra localidade.
TERMINOLOGIA
O que se busca com essa padronização é a mitigação dos riscos e o estabelecimento das melhores práticas na execução de investigações conduzidas por profissionais de computação forense ao redor do mundo. Para que uma norma seja validada, primeiro é necessário que ela seja verificada e certificada por um órgão de renome e aceitação na comunidade científica. No Brasil, quanto à aderência e à validação destas regras, Velho, em sua obra Tratado de computação forense,
No nível nacional, as normas são editadas e emitidas pelo organismo nacional de normalização, que deve ter legitimidade para editar e publicar normas, e ainda, reconhecimento e consenso das instituições e da comunidade científica. No Brasil, podemos citar a Associação Brasileira de Normas Técnicas (ABNT), que foi responsável pela tradução da norma ISO/IEC 27037/2012 (2012, p. 8).
A norma ISO/IEC 27037/2012, após tradução e revisão pela Associação Brasileira de Normas Técnicas (ABNT), recebeu o nome de NBR ISSO/IEC 27037:2013. Essa regra contempla os direcionamentos para identificar, coletar e preservar evidências nos meios digitais. Assim, é necessário conhecer os termos utilizados na computação forense para descrever os diferentes tipos de análise, mídia e procedimentos.
A análise forense é realizada em qualquer tipo de dispositivo computacional ou tecnológico, visando à obtenção de evidências que possam comprovar autoria e materialidade e estabelecer a dinâmica dos acontecimentos que geraram a investigação. De todos os procedimentos que envolvem a Computação Forense, as análises são as que dispendem mais tempo em sua execução. 
A condução de uma análise vai depender do tipo de caso e o que se procura. Existem casos fáceis, como um acesso indevido, por exemplo, em que um simples log de sistema pode comprovar que o acesso indevido realmente se concretizou. Porém, existem casos complexos, que envolvem diversas variantes e que podem perdurar por meses. 
Uma boa tática para garantir a acuracidade das análises é a de manter sempre o foco no caso e delimitar o escopo de artefatos a serem analisados, com base no que se procura. Vale lembrar que um hard disk possui milhões de arquivos; logo, se todos forem analisados, o dispêndio de tempo será enorme.
A análise live (também conhecida como análise viva, a quente ou on-line) é realizada diretamente no dispositivo que contém os dados, que deve estar ligado, com os aplicativos (muitas vezes os alvos das investigações) e o sistema operacional em funcionamento. Ela é utilizada quando se faz necessária a análise e a aquisição de dispositivos com dados em tempo real de execução, como um lançamento indevido em um sistema web based ou um acesso a sites de teor pornográfico ou de pedofilia, por exemplo. 
Em geral, a análise live é feita de maneira emergencial, sendo o aplicativo Problem Steps Recorder, ou PSR (Figura 5), utilizado com frequência. Este é disponível de fábrica no sistema operacional Windows e não possui necessidade de instalação ou acesso por outra mídia removível. Este aplicativo registra todas as interações do usuário com o computador, servindo como um guia de passos executados pelo especialista na busca e coleta da evidência, registrando cada clique executado.
Figura 5. Exemplo de tela do PSR – o gravador de passos.
O PSR (Problem Steps Recorder) é um programa desenvolvido originalmente para auxiliar o usuário a enviar um determinado erro ao responsável técnico por solucioná-lo. Em suma, com o PSR é possível gravar todas as interações do usuário com o ambiente e com isso, quando o erro aparece, o responsável técnico poderá efetuar uma análise do uso do equipamento para poder resolvê-lo. 
Para acessar o PSR, o usuário deve clicar no box “Digite aqui para pesquisar” na barra do Windows e digitar “PSR”. Quando o ícone do programa aparecer, deve-se clicar nele para abrir o programa. 
Após abrir o programa, é só clicar em iniciar gravação e interagir com o ambiente normalmente. Vale lembrar que o PSR não é uma ferramenta de monitoramento, ou seja, ele tem um limite de gravação que é relativamente curto.
Esse tipo de análise raramente é utilizada pois expõe a evidência, aumentando os riscos de modificação e contaminação da cena do crime como um todo. Todavia, é a mais indicada quando o local a ser investigado tem natureza volátil, como arquivos alocados em memória RAM, por exemplo. Em contrapartida à tal volatilidade, e para garantir a integridade de toda a interação do especialista com o dispositivo, deve-se documentar todos os procedimentos realizados, desde o início.
A análise dead (também conhecida como análise post mortem, morta, a frio, off-line ou com o elemento alvo desligado) é o tipo mais comum. É sempre realizada com o dispositivo que contém os dados desligados. Os riscos de modificação e contaminação da cena do crime são menores, pois, com o dispositivo desligado, a coleta dos dados pode ser efetuada sem riscos de contaminação para posteriormente ser levada para um laboratório e analisada. É a análise mais recomendada para quando não há necessidade de aquisição de dados de natureza volátil.
Dentre os tipos de mídia, a mídia não volátil refere-se a qualquer tipo de mídia que tenha a capacidade de armazenar e manter dados, mesmo não possuindo uma fonte de energia. Em geral, são dispositivos que possuem cabeças de gravação e leitura ou memórias SSD (Solid State Drive ou disco de estado sólido). As memórias SSD são encontradas em pen drives e, atualmente, em cartões de memória interna de grande capacidade.
Os SSD são reconhecidamente mais rápidos que os HD (ou hard disks), que possuem cabeças de gravação e leitura que utilizam meios magnéticos para armazenar e ler os dados contidos em seus discos, pois o acesso aos dados é feito diretamente na memória, enquanto os HD dependem da velocidade das rotações do disco.
A mídia volátil refere-se a qualquer tipo de mídia que, para manter seus dados, necessite de uma fonte de energia. Ou seja, após um corte de energia abrupto, ela não consegue manter as informações que armazenou. Um bom exemplo disso são as memórias RAM (Random Access Memoryou memória de acesso randômico), gerenciadas e utilizadas pelo sistema operacional para receber dados transitórios, oriundos das funções do processador.
A mídia removível compreende mídias e repositórios de dados cujo acesso é feito via USB ou cabo. Sua natureza permite que este tipo de mídia seja reconhecido por vários tipos de sistemas operacionais e, na maioria das vezes, é utilizada para transportar dados. Pen drives, CDs, DVDs e hard disks externos são exemplos de mídias removíveis.
A mídia alvo (também conhecida como mídia original ou dispositivo alvo das investigações) é a cena do crime. Basicamente, é o elemento ou a fonte de informações que contém os dados a serem coletados e analisados. 
Por outro lado, a mídia de destino (também conhecida como cópia ou dispositivo que receberá os dados da mídia alvo) é a mídia ou o dispositivo que armazena a coleta dos dados (Figura 6). É nessa mídia que os trabalhos de análise são executados para preservar a integridade dos dados da mídia alvo, podendo ser um hard disk, um pen drive, um DVD ou qualquer outro tipo de mídia removível.
Figura 6. Mídia copiável. Fonte: Adobe Stock. Acesso em: 30/06/2020.
Quanto aos procedimentos, na duplicação pericial (ou cópia, espelhamento, aquisição ou duplicação forense), é realizada a cópia de um dispositivo ou de determinada fonte de informações. A duplicação pericial propicia uma cópia idêntica da mídia alvo. Existem vários softwares e hardwares disponíveis para este fim. O resultado (gerado pela cópia) pode ser feito de duas maneiras dependendo da praticidade no momento da coleta, sendo eles a mídia aberta e a imagem. 
Na mídia aberta é feito um espelhamento da mídia alvo, de maneira que todos seus dados constantes possam ser visualizados sem qualquer tipo de software específico para este fim. Ou seja, quando a cópia é acessada por uma estação de trabalho, os dados são mostrados da mesma maneira que o usuário regular os vê na mídia alvo. Neste tipo de cópia, não é possível comprimir os dados.
Na imagem, os dados constantes na mídia alvo são encapsulados em um arquivo de contêiner, como um arquivo zipado, por exemplo. Neste tipo de cópia, é possível a compressão de dados, ou seja, pode-se gerar uma imagem de uma mídia alvo de 500 gigabytes que, comprimida, terá 200 gigabytes. Para o acesso aos dados constantes nesse arquivo, é necessária a utilização de softwares específicos. Podem ser adquiridos dados de praticamente qualquer tipo de mídia de computador, incluindo discos rígidos, fitas de backup, CD-ROM e disquetes.
O correto é que duas cópias da mídia alvo sejam efetuadas, lacradas e salvaguardadas por questões de hash e preservação dos dados. Por outro lado, no mundo corporativo, é comum que apenas uma cópia seja efetuada (que servirá para as análises), e a mídia alvo é devolvida para o computador do usuário investigado, invalidando o hash da cópia. A questão é entender e prever os desdobramentos do caso, para saber qual a melhor maneira de efetuar a duplicação dos dados a serem analisados. 
Na função de hash criptográfico (ou hash number), o ambiente deste tipo de ciência forense é extremamente volátil e suscetível a modificações que podem alterar o resultado de uma análise. Uma função de hash criptográfico (Figura 7) é unidirecional, aplicada sobre um determinado arquivo ou elemento um algoritmo criptográfico, obtendo como retorno um valor de tamanho fixo, chamado de valor de hash. Por exemplo, quando essa função é aplicada em um arquivo de imagem (de extensão .jpg), o valor de hash resultante seria efetivamente uma impressão digital desse arquivo.
Figura 7. Função de hash criptográfico
As funções hash são de suma importância no campo da computação forense. Um valor de hash é utilizado para garantir que a integridade de um elemento ou arquivo está mantida e sem qualquer adulteração. Se aplicarmos o algoritmo da função de hash em uma mídia de destino resultante de uma duplicação pericial, por exemplo, teremos como retorno o valor “8840e1a5065410deb546e5619c81896d” e, se aplicarmos a mesma função na mídia alvo, o retorno deverá ter o mesmo valor. Isso permite que um especialista demonstre que a evidência original não foi adulterada.
Por fim, a cadeia de custódia (Figura 8) é um documento a ser confeccionado pelo especialista para documentar detalhadamente todos os passos, pessoas, ambientes, mídias e informações, direta ou indiretamente relacionadas à perícia. Nela, constam informações sobre data e hora do início e fim da duplicação forense, o responsável pela cópia, quais os modelos e números de série da mídia alvo e da mídia de destino, qual ferramenta utilizada para a cópia e um histórico de quem manuseou a cópia e o motivo.
Figura 8. Cadeia de custódia.
TÉCNICAS DE ELIMINAÇÃO DE EVIDÊNCIAS
As investigações forenses são sempre reativas, não existindo investigação proativa, a menos que haja algum motivo para estabelecer estes fatos em primeiro lugar. Mas, nesse momento, o crime já aconteceu e o que resta é encontrar indícios dos fatos ocorridos para conseguir comprovar autoria, modo operandi, entre outros. Com os avanços da computação forense, os criminosos passaram a ter uma preocupação extra: a de ocultar seus dados ou apagar suas pegadas digitais para encobrir suas ações.
ASSISTA
O documentário Deep Web, de 2015, dirigido por Alex Winter, conta a história de William Ross Ulbricht, empresário que fomentou o mercado negro virtual de drogas, sob o pseudônimo “Dread Pirate Roberts”.
https://www.youtube.com/watch?v=nxt5291DuLk
Assim, o termo antiforense foi criado e refere-se, essencialmente, a qualquer técnica, dispositivo ou software projetado para dificultar uma investigação efetuada nos meios e mídias digitais. Existem dezenas de maneiras pelas quais os usuários podem ocultar informações. Alguns programas podem enganar os computadores, alterando os cabeçalhos dos arquivos, tal como data de criação e acesso, por exemplo.
Normalmente, um cabeçalho de arquivo (ou atributos de arquivos) não é visível para os usuários regulares embora seja extremamente importante, pois informa ao computador qual é o tipo de arquivo, quem é o autor e quando ele foi criado, modificado, salvo, entre outros. Se um arquivo .mp3 for renomeado para ter uma extensão .gif, por exemplo, o computador ainda saberá que o arquivo é realmente um .mp3 devido às informações no cabeçalho. Por isso, alguns programas permitem alterar as informações no cabeçalho, para que o computador pense que é um tipo diferente de arquivo.
Uma outra maneira de dificultar o acesso às informações é pelo uso de senhas de acesso e pela encriptação de arquivos. Com relação às senhas, é relativamente fácil para um especialista descobrí-las, pois vários softwares forenses possuem módulos para esse fim, entre suas funcionalidades.
Além disso, há várias outras ferramentas específicas, disponíveis no mercado, com a única funcionalidade de quebrar senhas. Porém, quando lidamos com dados criptografados, a dificuldade aumenta consideravelmente. 
As ferramentas de criptografia de dados criam um espaço (volume) criptografado no hard disk do usuário, que pode utilizá-lo para salvar o que desejar. Tudo o que for salvo dentro desta bolha será criptografado. Ou seja, o usuário consegue esconder arquivos e conta com a proteção de uma criptografia forte para isso. Com base nisso, um usuário que detenha um pouco mais de conhecimento pode tomar várias medidas (ou contramedidas) para limpar seus rastros, esconder provas e deletar acessos à internet.
Evidências digitais
Em computação forense, as evidências são um conjunto de dados, arquivos, informações e documentos utilizados para corroborar ou refutar determinada tese ou teoria. 
Uma evidência, para que seja considerada como tal, deve possuir 100% de clareza em seu conteúdo e ser irrefutável em relação ao que deve ser provado. É muito comum que se confunda evidência com indício. Assim:
· 1
1
Uma evidência deve ser inequívoca em relação a determinado ponto a ser exposto;
· 2
2
Um indício é uma pequena parcela de um fato, quepode ser considerado em júri por meio de indução (ou presunção) de que determinado fato ocorreu.
Um hard disk, graças ao seu sistema de dados, é um cemitério de arquivos de infinitos tipos. As evidências são pinceladas entre milhões de arquivos, constantes em uma fonte de dados, analisados. Enquanto um determinado arquivo não é classificado como evidência neste amontoado de dados, ele recebe o nome de artefato.
ARTEFATOS
Artefatos são arquivos que contêm informações com alto potencial de se transformarem em evidências. Em geral, são logs, arquivos sistêmicos e em formatos conhecidos, tais como os oriundos do pacote Office, arquivos de caixas de e-mail eletrônico, histórico de internet e registros de acesso USB, para citar alguns. 
Os artefatos são separados por tipo, de acordo com a sua origem, sendo eles:
· bullet
Artefatos criados pelo usuário;
· bullet
Artefatos sistêmicos;
· bullet
Artefatos oriundos de outras áreas de dados.
Os arquivos criados pelo usuário são gerados mediante uma ação direta do usuário com o sistema operacional e seus aplicativos. Diariamente, são criadas planilhas, documentos de textos, apresentações, e-mails, fotos, filmes, arquivos de áudio e outros tipos de arquivos que são conhecidos e relativamente fáceis de serem identificados e localizados. 
Existem também outros tipos de arquivos nesta categoria, menos óbvios do que os demais, porém mais importantes. Eles são chamados de arquivos de registros e logs de interação. Estes arquivos são registros gerados a partir das ações do usuário em suas interações com os aplicativos e sistemas. Dentre esses tipos de arquivos, podemos citar o histórico de navegação de internet, mas existem muitos outros. 
Se o usuário pluga um pen drive e transfere arquivos para ele, o sistema operacional criará um log dessa ação. Estes arquivos, especificamente, são identificados por sua extensão (.LNK) e podem ser encontrados em abundância em uma duplicação pericial. Da mesma forma, quando um usuário acessa um site, de qualquer conteúdo, as páginas em uma versão menos gráfica (sem os elementos móveis, tais como banners de propaganda) e o histórico de acessos também podem ser encontrados em arquivos, pela sua extensão (.HTM ou .HTML).
Os arquivos sistêmicos são arquivos criados pelo sistema operacional ou qualquer outro aplicativo que interaja com este meio. Eles são a fonte principal de informação em caso de tentativas de invasões, acessos indevidos e aplicações maliciosas. Estes arquivos recebem o nome de logs e podem ser:
DICA
O sistema operacional Windows gerencia e fornece uma avaliação dos arquivos de log com a ajuda do event viewer, que armazena logs sobre aplicativos e mensagens do sistema, erros, mensagens informativas e avisos. Para executar o visualizador de eventos do Windows, digite eventvwr.msc na caixa Executar.
Logs de interação
–
Que são uma fonte importante de evidências, geralmente conectando eventos a pontos no tempo e, partindo da premissa de que um usuário efetuou determinada ação, tornando possível identificar seu autor. 
Os dados do arquivo de log podem também ser usados para investigar anomalias de rede devido a ameaças internas, vazamentos de dados e uso indevido de ativos de TI;
Logs de acesso
–
Que são uma boa fonte de evidência em casos de vazamentos de informação. Muitas vezes, esse tipo de ilícito é executado pelo simples mapeamento do hard disk do usuário (que pode ser até um funcionário de alto escalão), que detém informações confidenciais. 
Quando um usuário obtém acesso a uma determinada fonte de dados, o sistema operacional cria um registro deste acesso; 
Logs de eventos
–
Que servem como uma ótima fonte de evidência, pois contêm todos os registros das atividades do sistema operacional
Por fim, temos os arquivos oriundos de outras fontes de dados. O acesso a este tipo de arquivo é feito apenas por meio de ferramentas específicas de computação forense, uma vez que este tipo de ferramenta dá acesso a áreas de dados protegidos pelo sistema operacional. Basicamente, o próprio sistema operacional cria e administra áreas às quais o usuário não tem acesso para serem utilizadas em diversas funções. 
Quando um usuário envia um arquivo para a lixeira do sistema operacional Windows, por exemplo, o mapa do sistema de arquivos não o exclui como faria com um arquivo apagado. Em vez disso, ele envia este arquivo para uma área administrada pelo sistema operacional chamada bin. Este arquivo fica dentro desta área, à disposição do usuário, que pode recuperá-lo ou excluí-lo de vez, quando esvazia a lixeira.
Arquivos apagados diretamente pelo usuário (sem passar pela lixeira) também fazem parte desta categoria. Para a recuperação deste tipo de arquivo, é necessária a utilização de um software específico, que faz varreduras em espaços não alocados (identificados com status livre pelo mapa do sistema de dados) para recuperá-los.
SINTETIZANDO
Nesta unidade, conhecemos as características de uma das muitas especialidades de perícia científica existentes, a computação forense. Entendemos que, assim como todas as modalidades de perícia científica, a computação forense possui suas regras e procedimentos, que, com o advento da internet e toda a conectividade que ela propicia, tiveram que se adaptar ao mundo globalizado. 
A internet, aliada a outros avanços tecnológicos, trouxe a reboque alguns problemas: as novas maneiras de se cometer crimes. Com o mundo atual passando por uma virtualização de tarefas, documentos e funções, alguns dos crimes que eram praticados nos ambientes físicos (roubos, desvios, vazamentos de informações etc.) migraram para os ambientes virtuais. Consequentemente, uma nova safra de especialistas em investigações surgiu para acompanhar essa tendência. 
Como as cenas do crime agora podem ser um dispositivo celular que você carrega em seu bolso, se fez necessária a criação de métodos, procedimentos e terminologias próprias para essas esferas. Conhecemos os termos mais utilizados nesta categoria de ciência pericial com destaque para os tipos de análise, tipos de mídias, validadores (função de hash criptográfico) e formas de coleta.
Por fim, conhecemos as evidências e os artefatos coletados em dispositivos tecnológicos, e obtivemos algumas dicas sobre como localizar artefatos que geralmente não são visíveis aos olhos dos usuários regulares.
REFERÊNCIAS BIBLIOGRÁFICAS
DOCUMENTÁRIO DEEP Web legendado. Postado por Terminal Hacker. (1h. 26min. 22s.) cor. leg. son. Disponível em: <https://www.youtube.com/watch?v=nxt5291DuLk>. Acesso em: 02 jul. 2020.
FREITAS, A. R. Perícia Forense aplicada a informática - Ambiente Microsoft. Rio de Janeiro: Brasport, 2006.
LAMBOY, C. K. (Org.) Manual de compliance. São Paulo: Via Ética, 2018.
VELHO, J. A. (Org.) Tratado de computação forense. São Paulo: Millenium, 2012.
Unidade 2 - Padrões de exame em Computação Forense
Nesta unidade você verá:
// padrões de exame em computação forense
// a preservação de evidências
// objetos e tipos de exame
Objetivos
UNIDADE 2.
Padrões de exame em Computação Forense
Holney Aparecido Decco
OBJETIVOS DA UNIDADE
· bullet
Compreender os padrões científicos para exames em Computação Forense;
· bullet
Entender a metodologia de planejamento de uma investigação;
· bullet
Conhecer os princípios de algoritmos criptográficos e sua utilização;
· bullet
Identificar quais são os tipos de objetos de exame em Computação Forense.
TÓPICO DE ESTUDO
Padrões de exame em Computação Forense
–
// Fases dos exames em computação forense
// Planejamento da investigação
A preservação de evidências
–
// Breve história da criptografia
// Tipos de hash
Objetos e tipos de exame
–
// Mídias de prova e de destino
// Tipos de exame
Padrões de exame em Computação Forense
A ciência da Computação Forense é considerada a disciplina mais recente na área das Ciências Forenses. Assim como outras disciplinas, a Computação Forense passou por várias mudanças atreladas aos aspectos dos avanços tecnológicos que acontecem em uma velocidade impressionante.
Por esse motivo, essa transiçãode metodologias e procedimentos busca atualizar sua base, criando um conjunto padronizado de técnicas e melhores práticas que podem ser definidas, também, como padrões. Devido à complexidade tecnológica existente nos alvos dos exames, essa porção de tarefas é a que mais recebe parte das atualizações procedimentais. 
Essas atualizações, que recebem o nome de padrões de exame em Computação Forense, são um conjunto de procedimentos para investigações nos meios digitais; seu maior propósito é a garantia da integridade e da qualidade dos passos a serem seguidos, desde a coleta dos dados até a sua salvaguarda e posterior apresentação de resultados. Esses padrões são mais do que simplesmente uma bússola a ser seguida pelos profissionais da área: eles significam, acima de tudo, que as evidências resultantes dos exames serão amplamente aceitas, comprovando materialidade, sem deixar dúvidas relativas à autoria de um crime.
FASES DOS EXAMES EM COMPUTAÇÃO FORENSE
Um exame de computação forense deve priorizar pela qualidade da investigação, que é equivalente à aderência e à atenção do especialista ao seguir os procedimentos, metodologias, técnicas e as leis definidas. O controle de qualidade, nesse sentido, deve ser eficaz e seguir desde a apreensão até a apresentação dos resultados. Quando todos os procedimentos são seguidos à risca, a garantia que o resultado do trabalho será admitido em corte é certo. Assim, deve-se seguir as fases de: apreensão, coleta, análise e apresentação (SWGDE, 2012).
Seguindo a compreensão de que a Computação Forense é uma vertente de outras práticas periciais científicas, os especialistas da área devem seguir os mesmos padrões de áreas correlatas. Assim, a etapa de apreensão, também conhecida como inspeção visual, trata da identificação dos dispositivos que serão investigados, ou seja, a identificação das fontes de dados a serem analisadas, como nos exemplos da Figura 1.
Figura 1. Exemplos de registro.
Existe uma infinidade de fontes de dados possíveis, entretanto, independentemente de quais sejam, todas devem seguir o mesmo procedimento, contemplando o registro do ambiente, como fotografias do dispositivo e anotações de identificações (número de série do dispositivo, modelo, marca, capacidade, entre outras). Um bom exemplo dessa fase é a chegada de um perito em uma cena de crime, uma vez que, antes de qualquer interação, ele identificará todos os elementos do ambiente. 
A fase seguinte, também conhecida como duplicação forense, trata da coleta dos dados a serem analisados. Essa etapa deve ocorrer sem que qualquer tipo de alteração ou dano seja causado à fonte dos dados. Para que isso seja possível, existem ferramentas chamadas bloqueadores de escrita, que impedem que qualquer dado seja gravado na mídia-alvo durante as coletas. Vale lembrar que uma coleta efetuada de maneira incorreta invalidará as evidências, impossibilitando sua admissibilidade em julgamento.
Os métodos de coleta devem seguir os padrões forenses, ou seja, devem ser efetuados com o uso de ferramentas consagradas. Não é uma prática admitida, por exemplo, o “recorte e cole”, porque essa ação não garante, por si só, a integridade e a origem dos dados em uma evidência. Os softwares e hardwares disponíveis para esse fim garantem que toda a coleta seja verificável e, acima de tudo, adquirida de maneira a garantir sua fonte.
Uma coleta, também chamada de clone forense, é uma cópia exata da mídia-alvo, que visa a obtenção de todos os dados, copiando de uma maneira conhecida como cópia bit por bit. O procedimento consiste na duplicação da mídia-alvo em uma mídia separada; no entanto, por que a coleta deve ser feita dessa maneira? Copiar e colar os arquivos não é a mesma coisa? Não: em primeiro lugar, copiar e colar arquivos disponibilizará apenas os dados que estão ativos, ou seja, os dados que existem e que estão acessíveis ao usuário. Nesse universo, esse tipo de cópia (recortar e colar) apenas coleta dados de pastas e arquivos. A coleta forense, por outro lado, adquire os dados de espaços não alocados, o que inclui os arquivos excluídos, sobrescritos e parcialmente substituídos, além de capturar dados do sistema de arquivos – o que não é possível com a cópia normal.
O processo de clonagem de um disco rígido é, em teoria, um processo direto, ou seja, os dados de uma fonte são clonados para uma mídia de destino que receberá essas informações. A mídia de destino deverá ter pelo menos o mesmo tamanho (ou maior) que a mídia-alvo. Apesar de não ser sempre possível, uma vantagem é obter informações com antecedência sobre o tamanho da fonte de dados a ser coletada. 
Nesse sentido, a fonte de dados que será clonada pode ser removida do computador ou não, e essa ação dependerá de como a coleta será feita. Se essa for a maneira escolhida, após a retirada do disco rígido, ele será conectado via cabo a um dispositivo específico de clonagem ou a um outro computador que possua softwares de clonagem. É importante ter algum tipo de bloqueador de escrita antes de conectar o disco rígido ao computador do especialista em computação forense: o bloqueador de escrita é colocado entre o dispositivo de clonagem (PC, laptop ou hardware autônomo) e a fonte de dados (no caso de um hardware) ou em um módulo adicional constante dos softwares de clonagem.
Ademais, a unidade de destino deverá ser limpa via wipe disk antes da coleta dos dados; isso é necessário porque a maioria das ferramentas de exames forenses utilizadas em análises recupera arquivos. Para que arquivos de outras coletas anteriores não se misturem aos da coleta atual, a mídia de destino deve ser sanitizada antes.
Quando a clonagem é concluída, um arquivo com informações sobre a coleta é gerado (Figura 2). Esse arquivo contém informações que indicam se a clonagem foi ou não bem-sucedida, qual foi o tempo gasto para executá-la, os horários de início e fim da coleta, qual a marca, modelo e capacidade das mídias-alvo e destino e os valores de hash.
Figura 2. Exemplo de arquivo de log de clonagem.
Desse modo, existem dois métodos possíveis para efetuar uma coleta, sendo ambas as situações dependentes de bloqueadores de escrita e ferramentas específicas que criarão logs de interação do especialista com a fonte de dados. Esses métodos são:
COLETA FÍSICA - Em que uma imagem completa (ou espelhada) da fonte de dados é gerada. É o método mais apropriado para análises off-line;
COLETA LÓGICA - Em que uma coleção de artefatos esparsos é adquirida. É o método mais apropriado para análises on-line.
O maior risco durante o processo de coleta é o de registrar ou escrever dados na mídia-alvo; qualquer gravação na fonte de dados poderá comprometer a sua integridade e a sua admissibilidade. A coleta adequada é um processo que, se levarmos em consideração a tecnologia envolvida, é demorado. São muitos os possíveis problemas: setores defeituosos e unidades danificadas ou com mau funcionamento e setores de inicialização corrompidos são apenas alguns exemplos de complicações.
A ata notarial (Figura 3) é um documento redigido em cartório que formalizará determinada ação de maneira fiel (com fé pública). Na computação forense, esse documento é redigido na hora da coleta, que é acompanhada por um cartorário (ou tabelião). Um registro de todas as ações do especialista com a mídia de prova é criado, incluindo informações pertinentes aos dispositivos a serem coletados, ao software ou hardware utilizado e à mídia destino.
Esse documento também é muito utilizado para crimes de internet (ofensas, ameaças, divulgações indevidas, entre outros). Nesses casos, o cartorário entra no site em que o suposto crime foi cometido e efetua capturas de tela. Com isso, mesmo que o criminoso tente apagar o que fez, a ata notarial servirá como evidência.
Figura 3. Exemplo de ata notarial.
Para que um bom trabalho seja feito, é necessário utilizar boas ferramentas. Um especialista em Computação Forense não pode ser pego de surpresa e deve sempre estar preparado para atender um chamado de coleta, oferecendo a primeira respostaa uma ocorrência de crime. Por esse motivo, ele conta com uma coleção de ferramentas, comumente chamada de kit de ferramentas de campo. Assim, o especialista precisa dominar todas as suas funções e operações. 
Em linhas gerais, esse kit deve “cobrir todas as bases” e garantir ao especialista que seu trabalho seguirá os padrões necessários para tarefa. Ele é composto por softwares e hardwares de coleta, softwares de coleta e análise on-line, dispositivos removíveis de armazenamento, invólucros para transporte seguro e, por último, mas não menos importante, uma pulseira antiestática, que impedirá que o dispositivo sofra danos pela descarga de eletricidade estática.
Existem plataformas, desenvolvidas em sistema operacional Linux, que possuem várias soluções agregadas de coleta e análise. Esse tipo de solução, desenvolvida em código aberto, recebe o nome de kit ou suite e pode ser baixado diretamente no site dos desenvolvedores, gratuitamente. Outra característica importante dessas soluções é que todas possuem um sistema operacional próprio, o que permite utilizá-las por meio de um pendrive, que carrega o sistema operacional e todas as ferramentas disponíveis.
Para criar uma mídia com essas soluções, basta baixar a plataforma (imagem ISO) e, com o auxílio de uma ferramenta de criação de boot (inicialização), expandir essa imagem para a mídia desejada. Como exemplos de plataformas, elencamos:
Helix
–
É uma plataforma desenvolvida de maneira personalizada pelo sistema operacional de código aberto Ubuntu e conta com uma excelente coleção de aplicativos focados na resposta aos incidentes forenses. Apesar de possuir boas ferramentas, sua versão gratuita, embora ainda disponível, foi descontinuada, isto é, não possui atualizações recentes;
CAINE (Computer Aided Investigative Environment)
–
É uma plataforma desenvolvida pelo sistema operacional de código aberto GNU/Linux e faz parte do kit de ferramentas de campo de várias agências ao redor do mundo (como a Polícia Federal Brasileira);
PALADIN (Sumuri)
–
Foi desenvolvido pelo sistema operacional de código aberto Ubuntu, é a mais completa plataforma da categoria. Ele conta, inclusive, com um decriptador de discos criptografados pelo sistema Bitlocker (Microsoft). Atualmente, é possível adquiri-la em esquema de doação.
EXPLICANDO
Boot é um termo técnico da língua inglesa que faz referência ao processo de inicialização ou arranque de um dispositivo computacional. O processo de boot acontece quando ligamos um dispositivo até o carregamento total do sistema operacional; a principal tarefa do boot é a de inicializar todos os arquivos necessários para o funcionamento de um sistema operacional. Uma outra tarefa que deve ser citada é o carregamento dos drivers que, grosso modo, são os programas que controlam os dispositivos periféricos (tais como mouse, teclado e monitor) e os recursos internos (hard disk, memória RAM, processador e demais memórias disponíveis). 
A etapa de análise, ou exame de mídia, é a fase em que as evidências são obtidas e extraídas. Essa fase tem como base principal a interpretação de informações relativas ao caso, recebidas do solicitante e capazes de evidenciar se um crime ocorreu ou não, de forma incontestável. Na maioria dos casos, existem duas abordagens a serem aplicadas: quando o especialista conhece e quando ele desconhece o tipo de evidência que procura.
Um bom exemplo da primeira abordagem, quando o especialista procura evidências conhecidas e domina seu ambiente, acontece quando o especialista entende que uma invasão ocorreu. Seu conhecimento do ambiente norteará a procura de evidências que comprovem a invasão, entretanto, como ele desconhece a maneira que essa invasão ocorreu, sua busca será mais ampla; nesse caso, as análises englobam vírus do tipo backdoor, vulnerabilidades sistêmicas, programas e logs apagados. O intuito é o de identificar o tipo, a localização (onde partiu o ataque) e, se possível, o atacante.
A segunda abordagem, em que o especialista desconhece o tipo de evidência que deve procurar, é a mais comum. Embora ele possua total domínio do ambiente a ser analisado, o analista deverá cobrir a totalidade dos dados coletados para buscá-las. Podemos utilizar como exemplo um caso de pedofilia: neste tipo de análise, todo e qualquer tipo de artefato que remeta a esse crime pode ser utilizado como evidência. Desde um arquivo de texto com uma lista de contatos, arquivos de multimídia, histórico de internet, arquivos protegidos por senha ou criptografados, caixas de correio eletrônico, acessos ao webmail, entre outros.
As evidências identificadas na análise são utilizadas para fornecer entendimento e reconstruir eventos. Não é incomum que, para apenas um caso, as análises ocorram em diversas fontes de dado; neste caso, as evidências devem ser agregadas e correlacionadas. Não importa quantas fontes existem, as análises devem sempre ser executadas em uma cópia (resultado das coletas), mas nunca na mídia-alvo, para que ela seja preservada.
Existe uma grande variedade de ferramentas disponíveis que podem ser utilizadas pelo especialista durante as análises. Para que uma ferramenta seja apropriada para essa função, ela deve ser confiável e possuir características que garantam que todo o conteúdo a ser analisado seja desvendado e se torne acessível, para que o especialista extraia ao máximo as informações da fonte de dados. Existem, ainda, outras ferramentas com fins específicos que podem ser utilizadas nas análises; entre elas, podemos citar as ferramentas de busca por palavra-chave e de recuperação de dados apagados.
Quando a fase das análises é concluída, é a vez dos resultados serem apresentados; é a etapa de apresentação, conhecida também como “retorno de evidências”. Todas as evidências devem ser acompanhadas por uma descrição detalhada das etapas realizadas, bem como de um ponto explicativo do que significam e qual sua relação com o caso. Uma apresentação de resultados, na forma de relatório ou laudo, deverá conter:
Informações das fases de aquisição e coleta
–
Responsável técnico, fotos do equipamento, números de série, data e hora da coleta, softwares utilizados, hash number resultante da coleta etc.;
Informações pertinentes da fase de análise
–
Identificação e demais dados relativos à mídia objeto de exame, softwares utilizados na análise e as técnicas empregadas;
Evidências encontradas
–
Explicação do que foi encontrado e sua importância para o caso, visando à correlação de um determinado ato a uma evidência, comprovando que o fato aconteceu.
O relatório ou laudo deve ser apresentado em linguagem acessível, ou seja, não são utilizados termos técnicos que exijam um determinado nível de expertise do juiz que analisará as evidências. Essa prática garante que não haverá qualquer tipo de má interpretação das evidências, não abrindo margem para questionamentos quanto à clareza ou ao que realmente ela (evidência) quer provar.
Assim, algumas dicas úteis para a elaboração de um relatório ou laudo são:
· bullet
Tenha conhecimento do caso como um todo. Isso ajuda tanto nas análises quanto ao reportar evidências que sejam relativas ao assunto, evitando falsos-positivos; 
· bullet
Abstenha-se de emitir opiniões pessoais sobre o que foi levantado, bem como sobre punições a serem aplicadas aos culpados;
· bullet
Reporte apenas o que pode ser comprovado, sem especulações;
· bullet
Agrupe as evidências relativas ao mesmo ponto;
· bullet
Não utilize linguagem complexa. Caso seja indispensável o uso de termos técnicos ou siglas, insira a sua definição e significado no texto;
· bullet
Enumere e relate as evidências de maneira clara e organizada.
A NECESSIDADE DA PERÍCIA FORENSE
Um crime ou uma fraude não têm data e hora marcada para acontecer. Por esse motivo, é essencial que o especialista possua um mapa de ações preestabelecido, que trará agilidade e assertividade às investigações. O planejamento deve oferecer flexibilidade ao especialista, afinal, cada caso é diferente do outro. O primeiro passo, antes de qualquer tipo de interação,é o levantamento de informações pertinentes. 
É necessário o conhecimento do contexto do caso, incluindo a identificação clara de quem são os envolvidos e os fatos relevantes sobre o ato denunciado. O conhecimento sobre o ocorrido facilitará o trabalho do especialista quando suas ações operacionais posteriores forem delineadas. Com esse entendimento, portanto, o especialista poderá prosseguir na elaboração do seu planejamento da investigação.
O primeiro passo no planejamento visa à elaboração de um diagrama para a identificação dos envolvidos (incluindo, por exemplo, os alvos da investigação, as testemunhas, as vítimas, os coautores, os chefes, os subordinados, entre outros). Geralmente, também, é incluído nesse passo um levantamento de antecedentes e mais informações relativas ao perpetrador do crime, além de sua rede de relacionamentos e se o especialista possui todas as informações necessárias para efetuar a investigação.
O escopo de trabalho da investigação visa à identificação de todas as fontes de dados passíveis de coleta, informações do crime dispostas em ordem cronológica, procedimentos previstos para a coleta e os resultados que se espera obter com as investigações. Existem, também, diversos impedimentos possíveis (por exemplo, o notebook do criminoso não ser encontrado ou ter sofrido danos sérios).
Por esse motivo, é nesse momento que o especialista faz a checagem da disponibilidade das fontes de dados. Se for o caso, o especialista deverá inteirar-se sobre o aspecto legal (necessidade de um mandato) aplicado na prática, para que seja possível a identificação das restrições legais relativas à sua atuação no caso. O especialista deve possuir uma percepção acurada ao determinar a quantidade de recursos que serão despendidos na investigação. Assim, os três itens mais importantes nesse passo são:
· bullet
O tempo disponível para realizar os procedimentos: o alinhamento entre necessidade x expectativa x tempo deve ser considerado, pois, na maioria das vezes, os requisitantes não possuem capacidade técnica para avaliar a quantidade de trabalho. É primordial, portanto, que sejam trabalhadas metas factíveis;
· bullet
Os equipamentos necessários para os melhores resultados: o uso de ferramentas que não sejam apropriadas resultará em uma investigação rasa e inefetiva. As limitações dos recursos devem ser consideradas e, se o melhor não for possível, o correto é declinar;
· bullet
A mão de obra com conhecimento técnico para atuar no caso: o especialista, às vezes, depara-se com uma nova tecnologia, e assim se vê perante desafios constantes. Não é incomum que uma determinada ferramenta (ou todas) não acompanhe a velocidade da evolução tecnológica e, nesse caso, o melhor a se fazer é aguardar as atualizações necessárias, salvaguardando a fonte original para trabalhos posteriores.
A preservação de evidências
A área de atuação da Computação Forense abrange todos os tipos de crimes cometidos nos meios digitais, incluindo invasões, investigações de artefatos armazenados em qualquer tipo de mídia digital, fabricação de dados e até distribuição de material de conteúdo indevido. Uma das fases mais críticas em um processo de investigação nesses meios, sem dúvidas, é a coleta dos dados; é a primeira parte a ser contestada em um processo, porque é de conhecimento geral que dados digitais, quaisquer que sejam, são facilmente manipuláveis e fáceis de falsificar. 
 Toda essa volatilidade começou a ser questionada há alguns anos, pois era necessário que os investigadores apresentassem uma solução que pudesse garantir que uma evidência coletada fosse verificada na origem dos dados. A solução foi a aplicação de um algoritmo criptográfico (hash number) que permite a comparação entre a origem dos dados e a coleta realizada. Essa simples comparação garante a integridade dos dados, bem como provê autenticidade de origem para todas as evidências extraídas.
EXPLICANDO
As funções de hash podem ser utilizadas de várias maneiras, incluindo sua função original de criptografar dados. Quando essa função é aplicada em uma fonte de dados, ela cria uma espécie de DNA digital no momento da coleta. Como a cópia efetuada de maneira forense é exatamente igual à origem, então, quando aplicada a mesma função na cópia, o “DNA” será o mesmo. Por esse motivo, qualquer manipulação de artefatos (ou conteúdo) pode ser detectada. 
BREVE HISTÓRIA DA CRIPTOGRAFIA
Apesar de se tratar de uma categoria altamente tecnológica, a criptografia não é algo recente. A palavra é derivada da junção de duas palavras gregas, kryptós e gráphein, significando “palavra escondida”. Assim, a criptografia vem sendo utilizada desde que a humanidade percebeu a necessidade de esconder segredos. No início, a principal técnica era a conversão de mensagens a serem passadas de maneira ilegível com a utilização de figuras, por exemplo.
As técnicas de criptografia mais antigas datam do início de nossa civilização, em regiões como Egito e Roma. Em 1900 a.C., os egípcios fizeram uso de hieróglifos (Figura 4), entalhados de uma maneira ilegível ou mesmo sem sentido com o intuito de dificultar a leitura por aqueles que não conheciam o truque para desvendar o seu significado.
Figura 4. Hieróglifos egípcios escritos a mão. Fonte: Adobe Stock. Acesso em: 17/07/2020.
O tipo de criptografia utilizada pelos romanos chamava cifra de transposição de César (Figura 5) e se baseava na ideia de mover letras um número previamente combinado de vezes, escrevendo, assim, uma mensagem pelo deslocamento das letras. De posse da mensagem, o receptor a decodificava, retornando às posições conforme o número combinado e acessando, portanto, a mensagem.
Figura 5. A cifra de transposição de César.
O caso mais notório do uso de criptografia aconteceu durante a Segunda Guerra Mundial. Os alemães adaptaram, para uso militar, uma máquina inventada pelo engenheiro alemão Arthur Scherbius em 1918. O aparato, chamado Enigma (Figura 6), codificava as mensagens com o uso de roletes. O sistema era tão seguro que praticamente todas as comunicações de rádio e telégrafos da Alemanha, bem como dos demais países do Eixo, eram feitas por meio desse método, fazendo com que a quebra do código mudasse o destino da Guerra no Pacífico.
Figura 6. Máquina de encriptação de mensagens Enigma. Fonte: Adobe Stock. Acesso em: 17/07/2020.
ASSISTA
O filme O jogo da imitação, de 2015, conta a história da quebra do código do Enigma por Alan Turing e uma equipe de especialistas alistados pelo governo britânico durante a Segunda Guerra Mundial.
TIPOS DE HASH
Existem inúmeros tipos de algoritmos de função hash. Na aplicação da Computação Forense, os mais utilizados são o MD5 (Message Digest 5) e os SHAs (Secure Hashing Algorithm) 1 e 2. Nesse sentido, primeiro devemos entender exatamente como o hash funciona, utilizando como exemplo uma frase curta e aplicando uma função de hash MD5. Para isso, consideremos a Figura 7, na qual a frase "Bons Estudos" é a fonte original de dados.
Figura 7. Hash A.
Your hash: 6db4263da037c70b38dd582600bf747c
Your string: Bons Estudos
Em seguida, obtemos a mesma função de hash (MD5), porém alteramos o “E” maiúsculo por um “e” minúsculo. Isso feito, obtemos o resultado ilustrado na Figura 8.
Figura 8. Hash B.
Your hash: 15e1c5070d2d44d2ac83cc27706b01a0
Your string: Bons estudos
Perceba que, com a mudança de apenas uma letra, o resultado da função criptográfica mudou completamente, de 6db4263da037c70b38dd582600bf747c (hash A) para 15e1c5070d2d44d2ac83cc27706b01a0 (hash B). Esse exemplo torna claro que, se qualquer modificação for efetuada na origem dos dados, quando comparado com o resultado da coleta, existirá discrepância. Desse modo, a função MD5 (Figura 9) é a mais utilizada, porque o número de hash obtido após a aplicação de sua função resulta em números menores e de fácil armazenamento.
Figura 9. Exemplo de hash MD5.
Your hash: ec3ba888a752de4096182361557f4da2
Your string: Computação Forense
Apesar de ter sido criada para uma função de criptografia, ela é amplamente utilizada paraa verificação de valores originais de maneira unidirecional, ou seja, ela gera um número na fonte da origem dos dados que depois pode ser comparado com fontes coletadas que, pressupõe-se, são idênticas. Sua criação se deu no sistema operacional Unix, para o armazenamento de senhas de usuários em formato criptografado de 128 bits.
Atentemos à expressão que gerou o hash, utilizada na Figura 9, “Computação Forense”. A cadeia de números gerada é o resultado da aplicação do hash criptográfico, ou seja, essa função transformou os caracteres (letras) em uma cadeia de números. Em criptografia, não importa qual a função criptográfica aplicada, um texto claro sempre será convertido em uma sequência de números.
O SHA é uma função de hash que está integrada aos vários aplicativos e protocolos de segurança, tais como o SSL, o SSH e o IPsec. Sua disseminação se deu basicamente após a adoção do governo dos Estados Unidos, que utiliza as funções SHA-1 (Figura 10) e SHA-2 para determinados aplicativos e protocolos de segurança voltados para a proteção de dados e informações confidenciais.
Figura 10. Exemplo de hash SHA-1.
SHA-1 hash of your string: Computação Forense 
60BC02978001AA613A3501A96E433C1BE4E0F9E7
Atualmente, a função SHA-1 está progressivamente deixando de ser utilizada pelo governo dos Estados Unidos, que prefere utilizar o SHA-2 (Figura 11) aliado a outras funções criptográficas (MD5, por exemplo) e protocolos de segurança mais avançados. Embora o uso do SHA-1 esteja em queda no governo, no mundo corporativo ele ainda é amplamente utilizado para verificação de assinaturas digitais.
Figura 11. Exemplo de hash SHA-2.
Computação Forense
D23c76e7e45671aec1b1b413b6851811f9fda254d6382b5f4ab22c90e899
Objetos e tipos de exame
As evidências com maior grau de aceitabilidade pela corte serão sempre as evidências obtidas de maneira correta, oriundas de uma fonte original e com a garantia de integridade acima de qualquer suspeita. Para que isso ocorra, é necessário que se efetue a coleta de dados, em alguns casos, mais de uma vez. Os cuidados com a mídia destino, dessa forma, devem ser os mesmos que os despendidos com a mídia de prova (origem dos dados). 
São comuns acidentes durante uma coleta (por exemplo, um hard disk original com problemas físicos ou lógicos que impedem a coleta dos dados) e, posteriormente, durante as análises (por exemplo, a não utilização de um bloqueador de escrita ou qualquer tipo de pane na mídia de destino). O sucesso de uma investigação se resume à maneira como o especialista manuseia a mídia de prova e a mídia de destino.
MÍDIAS DE PROVA E DE DESTINO
São consideradas mídias de prova os equipamentos que foram utilizados como meio para um crime (e, portanto, contêm registros de uma ação criminosa) e quaisquer tipos de mídia ou de dispositivo de armazenamento digital que contenham as evidências de uma ação criminosa. Antes de iniciar a coleta de uma mídia de prova (como o conteúdo de um hard disk), uma ótima prática é registrar as informações sobre a mídia (tipo, marca, modelo e capacidade), bem como informações sobre o sistema operacional instalado. Se possível, deve-se tirar fotos da mídia coletada.
Uma etiqueta (Quadro 1) deve ser elaborada para essa mídia, contendo as informações coletadas anteriormente, agregadas às informações de data e hora do início/término da coleta, qual software foi utilizado e o resultado da função de hash. Deve-se, também, “ensacar” ou “envelopar” a mídia de prova e lacrá-la; em seguida, elaboramos o documento da cadeia de custódia. Ao término da coleta, a cadeia de custódia deve conter os dados pertinentes ao caso e à coleta, aliados aos dados do responsável pela salvaguarda (o custodiante, a quem a mídia será entregue) da mídia de prova. 
Quadro 1. Exemplos de etiqueta para mídia de prova e mídia de destino.
São consideradas mídias de destino quaisquer tipos de mídia de armazenamento digital que receba o resultado de uma coleta, efetuada, como mencionado, de acordo com os padrões e procedimentos da computação forense. Antes de iniciar a coleta de uma mídia, devemos verificar se a mídia de destino está sanitizada , ou seja, se ela contém algum dado que possa poluir a cópia. Quando uma mídia de destino não é sanitizada (caso exista a necessidade de uma recuperação de dados, por exemplo), evidências de coletas passadas podem ressurgir.
EXPLICANDO
Os dados contidos em um hard disk, ou qualquer outro tipo de mídia de armazenamento, não desaparecem quando apagados ou, de maneira mais radical, quando são formatados. Para que os dados sejam excluídos de maneira segura, a forma correta é a sanitização pelo uso de uma ferramenta de wipe. Este tipo de ferramenta é gratuita e funciona preenchendo todos os espaços com um bit de valor 1, efetuando repasses que preenchem os espaços sucessivamente com bits de outros valores (que não necessariamente serão apenas números). 
É imperativo, também, o registro de informações sobre a mídia e fotos da mídia que receberá o resultado da coleta. Uma etiqueta também deve ser elaborada para essa mídia, contendo as informações relativas ao caso, seguindo as mesmas diretrizes da etiqueta para a mídia de prova, ensacando e lacrando a mídia de destino, que será aberta somente em um ambiente seguro, como o laboratório em que as análises ocorrerão. Da mesma forma, um documento de custódia deve ser elaborado, contendo os dados pertinentes ao caso e à coleta, além dos dados do responsável pela análise (o especialista que realizará os procedimentos em laboratório) da mídia de destino.
TIPOS DE EXAME
Os exames em computação forense podem ser feitos de duas maneiras: ao vivo, em que a origem dos dados permanece ligada ao sistema operacional operante; ou off-line, quando é efetuada para uma mídia de armazenamento e ela é levada para um laboratório de exames. Independentemente do caminho seguido, o especialista deve ter em mente que os procedimentos relativos à computação forense devem ser respeitados e cumpridos à risca.
É na fase dos exames que o especialista demonstra todo seu conhecimento técnico, utilizando-o para “desconstruir” sistemas operacionais e dados. São requeridos conhecimentos técnicos avançados para entender, por exemplo, como funcionam os bastidores de um sistema operacional e como os dados são gravados, excluídos e armazenados em um sistema de arquivos. Vale lembrar que as ferramentas forenses não se operam sozinhas e não possuem interfaces amigáveis aos usuários sem treinamento.
Entretanto, se bem operadas em um laboratório, essas ferramentas podem ser poderosas. Para a obtenção dos melhores resultados nas pesquisas e investigações, os desenvolvedores criaram recursos para o ramo da Computação Forense. Os departamentos de polícia e as agências de investigação selecionam as ferramentas que utilizam com base em vários fatores, incluindo orçamento e especialistas disponíveis na equipe. 
Algumas dessas ferramentas têm seu uso difundido globalmente, figurando como o “estado da arte” no ramo. A seguir, veremos algumas delas, lembrando, é claro, que o intuito é conhecê-las, sem o propósito de influenciar escolhas futuras.
Encase Forensic
–
O Encase Forensic da Guidance Software é provavelmente a mais conhecida e amplamente utilizada ferramenta de computação forense. Concentra uma grande variedade de diferentes funções, desde a aquisição de dados (imagens) e preservação, até pesquisa de palavras-chave e recuperação básica de dados para análise de um disco rígido no nível do byte, possibilitando uma visão de “raio-X” da mídia analisada;
FTK Forensic Toolkit
–
O Forensic Toolkit (FTK) da AccessData também é uma ferramenta de computação forense conhecida e utilizada. Além das funcionalidades de seu concorrente direto (Encase), possui interface intuitiva, ou seja, de fácil manuseio para usuários menos experientes;;
dtSearch
–
O dtSearch, da dtSearch Corp., é um software que possibilita a indexação de grandes volumes de dados para a realização de buscas por palavras-chave – vale lembrar que o Encase e o FTK são deficitários