COMPUTAÇÃO FORENSE Livro-Texto - Unidade II

Prévia do material em texto

56
Unidade II
Unidade II
3 EXAMES NA INTERNET
A internet é uma rede que interconecta outras redes. É um conjunto de servidores que hospedam 
sites e serviços diversos interligados por meio de roteadores que encaminham dados divididos em 
pequenas porções chamadas pacotes. A ARPAnet, uma das redes precursoras da internet, surgiu nos 
anos 1960 com o propósito de interligar instituições militares de forma descentralizada (sem um 
ponto central de comando). Na época, a ideia fazia bastante sentido no contexto da Guerra Fria: 
um comando central que fosse bombardeado inviabilizaria a rede toda. Dessa forma, foi criada uma 
rede, atendida por roteadores, que transmitia pacotes por diversas rotas – se uma ficasse inviabilizada, 
o pacote seguia por outra. Com a evolução, a rede começou a interligar universidades e aos poucos 
ganhou o mundo, passando a se chamar internet.
Nos dias atuais, a onipresença da internet e a quantidade de serviços oferecidos por meio dessa 
rede pública são uma porta de entrada para a execução de atividades maliciosas, como fraudes, roubos, 
interceptações, invasões, spam e phishing, entre outras ações indesejadas.
Na verdade, muitos dos serviços e protocolos de comunicação usados na internet não foram 
inicialmente projetados para o volume de dados que trafega atualmente. Muitos (quase a 
absoluta maioria) também não nasceram com uma preocupação forte em relação à segurança. 
É até compreensível. Hoje em dia, quando um desenvolvedor cria um aplicativo, protocolo ou 
algoritmo, este deve ser compacto, compartilhável, compatível, intuitivo, rápido, conectado, barato 
e funcional – senão não vende. A última preocupação é ser seguro, justamente porque muitas 
vezes a segurança envolve a implementação de controles de segurança que atuam contra todas as 
qualidades mencionadas.
Faz parte da computação forense investigar as redes, sobretudo a internet e seus serviços, 
identificando, isolando, registrando, coletando e analisando evidências.
3.1 Protocolos
Um protocolo é um conjunto de regras que garante a execução de uma determinada tarefa, 
como a transmissão ou a recepção de dados, por exemplo. Um protocolo pode estar na forma de 
um programa ou algoritmo que controla toda a comunicação. O protocolo padrão utilizado na 
internet é o TCP/IP, junção do nome de dois protocolos individuais: o Transmission Control Protocol 
(TCP) e o Internet Protocol (IP). O TCP/IP é dividido em quatro camadas, conforme ilustrado na 
figura a seguir:
57
COMPUTAÇÃO FORENSE
Principais protocolos por camadas
Aplicação
Transporte
Rede
Enlace
Meio físico
DNS
TCP
IP
UDP
RPC
FTP
SMTP
SMB
HTTPS
NFS
SIP
HTTP
Bit-
Torrent
POP
SNMP
ICMP IGMP
ARPARP
Ethernet FastEthernet
Gigabit
Ethernet PPP SLIP
Frame 
Relay
RARP
Figura 16 – Camadas do protocolo TCP/IP
Além do meio físico, que corresponde ao sinal (elétrico, rádio ou pulso de luz) transmitido, as quatro 
camadas listadas na figura são: (1) aplicação; (2) transporte; (3) redes; e (4) enlace, também conhecida 
como inter-redes. Cada camada desempenha uma função específica, passando e recebendo dados da 
camada subsequente (de cima ou de baixo) sem interferir umas nas outras.
A camada de aplicação é a camada que oferece interação com o usuário. Corresponde ao aplicativo 
usado para a comunicação, por exemplo, o browser (navegador) usado para navegar na internet.
A camada de transporte realiza diversas tarefas, como controle de fluxo e de erros. Contudo, suas 
principais funções são a segmentação de dados, a entrega de pacotes fim-a-fim e a associação dos 
pacotes a portas lógicas de origem e destino. Nessa camada os pacotes são chamados de segmentos e 
há dois protocolos principais: o TCP e o User Datagrama Protocol (UDP), além de um protocolo adicional 
chamado Stream Control Transmission Protocol (SCTP).
A camada de rede é a camada responsável pelo endereçamento e formação de rotas entre os nós 
que participam da comunicação. Os pacotes são chamados de datagramas e, apesar de terem como o 
principal protocolo o IP, também contam com o Internet Control Message Protocol (ICMP) e o Internet 
Gateway Message Protocol (IGMP).
Na camada de enlace os pacotes, chamados de quadros, são delimitados e endereçados localmente 
na rede (endereços físicos). Ela trata erros e estabelece e finaliza a comunicação ponto-a-ponto entre a 
origem e o destino usando a camada física.
58
Unidade II
3.2 Endereçamento IPv4
Cada nó encontrado na internet precisa ser identificado de forma única, para que a comunicação se 
estabeleça. A identificação dos nós acontece por meio do número IP, campo pertencente à camada de rede.
A figura a seguir mostra os campos que fazem parte do cabeçalho do protocolo IP na versão 4.
Version
Identification
Time to live
Source address
Destination address
Data
Flags
IHL Type of service Total lengh
Fragment offset
Header checksumProtocol
0 15 16 31
20 bytes
Options
Figura 17 – Campos do protocolo IPv4
Como pode ser visto na figura, os campos Source address e Destination address representam 
o número IP do nó de origem e do nó de destino do pacote, respectivamente. Há duas versões 
de endereçamento IP em uso: o IPv4 e o IPv6. De forma básica, o endereçamento IPv4 está sendo 
substituído pelo IPv6, já que este último possui mais capacidade de formar endereços numéricos 
únicos. Enquanto o IPv4 possui 32 bits para representar endereços (hipoteticamente por volta de 4,29 
x 109 endereços binários são possíveis), o IPv6 possui 128 bits (hipoteticamente cerca de 3,4 x 1038 
endereços binários são possíveis).
 Saiba mais
Neste conteúdo, apenas o IPv4 é estudado; contudo, mais detalhes 
sobre o endereçamento IPv6 podem ser encontrados em:
ipv6.br
O IP é o número único ou endereço que identifica um nó na rede no formato binário. Os 32 bits usados 
para representar o IP no IPv4 são divididos em quatro partes, separadas por pontos, cada uma com 8 bits.
59
COMPUTAÇÃO FORENSE
A representação binária usada em computação difere da decimal, pois em vez de dez algarismos 
(0-9) para representar os números, conta apenas com dois (0-1). Assim, um valor binário, chamado de 
bit, é a unidade mínima usada na computação.
O conjunto de 8 bits é representado como um byte e corresponde a um algarismo. Em outras palavras, 
para representar um algarismo, um nó precisa de 8 bits. Assim, é muito comum representar os bits em 
conjuntos de múltiplos de 8, como mostra a tabela a seguir:
Tabela 2 – Representações binárias para um conjunto de 8 bits
Valores em bits Valor decimal
00000000 0
00000001 1
00000010 2
00000011 3
00000100 4
00000101 5
00000110 6
00000111 7
00001000 8
: :
11111111 255
Na tabela pode-se perceber que o último valor possível para um conjunto de 8 bits é 255. Como 
a numeração teve início no zero (primeira linha da tabela), para um espaço de 8 bits são possíveis 
2n valores numéricos, onde n = quantidade de bits. Ou seja, para n = 8 bits, 28 = 256 valores 
numéricos (0-255).
Como um exemplo adicional, para representar o número 256 = 100000000 (acima do 255) são 
necessários 9 bits.
Sendo assim, cada um dos quatro conjuntos de 8 bits do IP varia de 0-255. Exemplos típicos de 
IP incluem: 192.168.13.45, 200.177.34.148, 10.7.16.1, 172.16.44.6, entre outros. A tabela a seguir 
traz a classificação típica dos IP com base em cinco classes:
Tabela 3 – Classificação dos IP em cinco classes
Classe Início Fim Máscara de rede Faixa privada
A 0.0.0.0 127.255.255.255 255.0.0.0 10.0.0.0 - 10.255.255.255
B 128.0.0.0 191.255.255.255 255.255.0.0 172.16.0.0 - 172.32.255.255
C 192.0.0.0 223.255.255.255 255.255.255.0 192.168.0.0 - 192.168.255.255
D 224.0.0.0 239.255.255.255 - -
E 240.0.0.0 255.255.255.255 - -
60
Unidade II
O número IP em conjunto com a máscara de rede traz informações sobre a divisão de endereços 
em uma rede e sobre a quantidade de nós possíveis nessa rede. A máscara de rede é uma numeração 
binária que indica justamente como essa divisão é realizada. No início não havia umaprevisão de 
crescimento tão acentuado para as redes, por isso a classificação dos IP atualmente é obsoleta – há 
muito desperdício de números –, uma das razões da troca do IPv4 pelo IPv6.
 Saiba mais
O endereçamento de nós IP e a divisão de redes é um assunto um 
tanto complexo que não será abordado em detalhes aqui. Contudo, mais 
informações sobre o assunto podem ser encontradas em:
SILVA, A. A. A.; GUELFI, A. E. Sistema para identificação de alertas falso 
positivos por meio de análise de correlacionamentos e alertas isolados. In: 
INTERNATIONAL INFORMATION AND TELECOMMUNICATION TECHNOLOGIES 
SYMPOSIUM, 9., 2009. Anais..., 2009.
3.3 O IP como evidência
Como costuma ser único, indicando a origem ou o destino de um pacote, o número IP é uma 
evidência útil que pode ser coletada em uma análise forense. O ideal, entretanto, é que essa coleta 
inclua no mínimo os seguintes atributos: (1) a data de captura de tráfego; (2) a hora de conexão; 
e (3) o fuso horário do sistema.
A coleta de outras informações enriquece ainda mais a análise.
Esse tipo de coleta de dados, com base no IP, permite que o perito requisite a um juiz ou ao Ministério 
Público a quebra do sigilo de dados telemáticos.
Há algumas formas bastante simples de consultar atributos associados a um determinado número IP.
O Whois é um serviço de consulta de registro de domínios. Ele está disponível em registro.br/
tecnologia/ferramentas/whois/ (acesso em: 27 jan. 2021).
Na figura a seguir há uma consulta realizada no Whois ao nome unip.br:
61
COMPUTAÇÃO FORENSE
Figura 18 – Resultado do Whois a uma consulta realizada com o nome unip.br
Outra ferramenta para consultas são os sites que devolvem o número IP da sua própria conexão, 
como o meu.ip.com.br e o whatsmyip.org.
Para uma investigação de crime cibernético, é vital que o meio ou serviço executado pela internet 
seja corretamente identificado. O tráfego analisado vem das redes sociais, de um e-mail, da navegação 
web? A resposta a essa pergunta ganha mais importância ainda se alguns fatos a respeito dos dados 
disponíveis na internet forem levados em conta:
• os dados são extremamente voláteis (podem desaparecer a qualquer momento), além de não 
haver certeza de onde exatamente estão armazenados;
• os dados possuem os mais diferentes formatos;
• os dados estão misturados com outras informações, o que faz com que a identificação e o 
isolamento, muitas vezes, sejam processos demorados.
62
Unidade II
3.4 O e-mail como evidência
De forma básica, um serviço de e-mail tem o seguinte funcionamento:
• Um usuário cria uma mensagem usando um cliente de e-mail, do inglês message user agent (MUA).
• A mensagem é enviada por meio do protocolo Simple Mail Transfer Protocol (SMTP) a um servidor 
intermediário chamado Mail Transfer Agent (MTA).
• O MTA então verifica no cabeçalho da mensagem qual o destinatário e para qual servidor de 
destino, do inglês mail delivery agent (MDA), a mensagem deve ser enviada.
• A mensagem chega então ao MDA do destinatário, que pode acessá-la por meio do seu 
próprio MUA.
Todavia, apesar de muito útil para a comunicação, em relação à segurança, o serviço de e-mail é um 
vetor de ameaças.
A primeira providência a ser tomada durante uma investigação de e-mails é identificar de forma 
correta a origem e a autoria.
A origem diz respeito à conexão, ao IP, ao domínio, ou seja, de qual conexão a mensagem partiu. 
Já a autoria diz respeito ao autor, o indivíduo que redigiu e enviou (ou não) a mensagem.
Origem e autoria nem sempre estão vinculados, já que um simples acesso não autorizado pode levar 
alguém a assumir a origem ou a autoria de um e-mail.
A autoria pode ser verificada pela soma de dois processos:
• Por meio de exames que determinem se o equipamento do suspeito foi realmente usado para o 
crime – é basicamente uma forma de identificação se o delito aconteceu a partir do equipamento 
do suspeito.
• Por meio de uma análise indireta, correlacionando informações presentes nos cabeçalhos dos 
e-mails (como IP, endereço, data, hora etc.) com evidências coletadas a respeito do suspeito (onde 
estava naquela hora, logs do equipamento que evidenciam o uso naquele momento etc.).
Perceba, portanto, que o cabeçalho do e-mail é muito importante nesse tipo de investigação. Porém, 
ele pode ser forjado ou modificado. Em clientes de e-mail como o Microsoft Outlook isso é bastante 
fácil, basta selecionar a mensagem e pressionar as teclas Alt + Enter. Nos serviços de webmail do 
Gmail, basta entrar na mensagem, clicar na opção “mais” no menu de configurações e escolher a opção 
“mostrar original”.
63
COMPUTAÇÃO FORENSE
A tabela a seguir mostra o cabeçalho de um e-mail recebido:
Tabela 4
Linha Conteúdo
1
Received: from mail.fornecedor.com.br (mail.fornecedor.com.br [98.139.213.150]) by mx.cliente.
com.br with ESMTPS id f192si13698669qka.113.2016.07.13.06.35.24 for <nome@cliente.com.br>
 Mon, 10 Jul 2016 06:35:25 -0300 (BRT)
2 Received: from desktop [66.196.81.171] by mail.fornecedor.com.br with Microsoft SMTPSVC; 10 Jul 2016 06:35:20 -0300 (BRT)
3 From: comercial@fornecedor.com.br
4 Reply-To: comercial@fornecedor.com.br
5 To: Cliente <nome@cliente.com.br>
6 Message-ID: <16504411621243848.1436794523383@mail.fornecedor.com.br>
7 Subject: Proposta comercial
Fonte: Velho et al. (2016, p. 124).
A linha 1 da tabela indica que uma mensagem foi recebida do servidor de mail.fornecedor.com.br, cujo IP 
é 98.139.213.150. A identificação atribuída à mensagem foi f192si13698669qka.113.2016.07.13.06.35.24 
e pode ser encontrada nos logs do sistema. O destinatário da mensagem é nome@cliente.com.br. 
O registro Mon, 10 Jul 2016 06:35:25 -0300 (BRT) – o recuo significa que pertence à primeira linha – 
indica a data, o horário e o fuso brasileiro do envio da mensagem.
A linha 2 mostra qual estação (desktop) enviou a mensagem para o servidor mail.fornecedor.com.
br no dia Mon, 10 Jul 2016 06:35:20 -0300 (BRT). Perceba que o envio foi realizado 5s antes do horário 
marcado na linha 1. O serviço usado nesse servidor é o SMTPSVC – um serviço nativo do Internet 
Information Service (IIS) da Microsoft.
A linha 3 mostra o remetente da mensagem: comercial@fornecedor.com.br.
A linha 4 mostra que o mesmo e-mail do remetente é usado em caso de respostas (retorno).
A linha 5 mostra que o destinatário da mensagem é justamente nome@cliente.com.br, como 
consta na linha 1.
A linha 6 mostra o ID da mensagem atribuído pelo servidor mail.fornecedor.com.br (cada servidor 
atribui IDs exclusivos às mensagens).
Finalmente, na linha 7 está o assunto da mensagem: Proposta comercial.
Quando a mensagem possui vários campos Received, isso significa que ela passou por vários 
servidores de e-mail, sendo que o último indica o primeiro servidor.
64
Unidade II
Verificações adicionais sobre os IP e domínios sempre podem ser realizadas. Se houver necessidade, 
a quebra do sigilo telemático dos dados pode ser pedida, com os mesmos requisitos, procedimentos e 
prazos usados na quebra de sigilo telefônico.
 Saiba mais
A página a seguir trata sobre o formato dos cabeçalhos:
REQUEST For Comments (RFC) 2076 – Common Internet Message 
Headers. Tools, fev. 1997. Disponível em: https://tools.ietf.org/html/rfc2076. 
Acesso em: 31 jan. 2021.
Uma ferramenta que ajuda no exame do cabeçalho de e-mails pode ser encontrada em 
whatismyipaddress.com/trace-email (acesso em: 27 jan. 2021).
 Observação
RFC são documentos técnicos sobre os mais variados assuntos 
tecnológicos, inclusive protocolos. São mantidas pelo Internet Enginnering 
Task Force (IETF), instituição que especifica os padrões utilizados na internet.
Os anexos são um problema à parte na segurança das mensagens de e-mail, já que é difícil verificar 
seu conteúdo sem que sejam abertos. Em geral, o perito se debate sobre o dilema de abrir o anexo para 
examiná-lo, podendo contaminar o computador e as evidências já levantadas.
Uma solução é realizar o download do anexo em uma máquina virtual, limitando a açãode um 
eventual malware ao ambiente virtual. Em seguida, para a abertura e análise do anexo, uma alternativa 
é a utilização de sites como o virustotal.com, que permite a análise do arquivo por diversos antivírus.
As listas de discussão são outro serviço oferecido na internet que pode ser periciado. Essas listas 
reúnem usuários, após um cadastro prévio, em torno de vários assuntos diferentes, e muitas possuem 
caráter criminoso. Esse tipo de troca de mensagens pode ser rastreado pelos dados contidos nos 
cabeçalhos dos e-mails registrados durante o cadastro.
3.5 O Domain Name System (DNS) como evidência
O serviço de DNS traduz, entre outras coisas, nomes de domínio para endereços IP (e vice-versa), sendo, 
portanto, vital para o funcionamento da internet. Um dos ataques mais praticados é o envenenamento 
de DNS, no qual um atacante envia uma resposta falsa à solicitação de um usuário a um servidor DNS. 
Como resultado, o usuário pode ser redirecionado a um site malicioso.
65
COMPUTAÇÃO FORENSE
Esse tipo de ataque é difícil de ser periciado e solucionado. Uma das soluções para o problema é 
a utilização de autenticação nas requisições e respostas DNS. Em relação à perícia forense, a análise 
dos pacotes recebidos pode indicar a fraude, se entre os pacotes estiver a resposta do servidor DNS 
verdadeiro, rejeitada pela chegada da resposta falsa.
3.6 Os sites como evidências
Sites com conteúdo criminoso são comuns. A perícia tem dois objetivos: (1) verificar o conteúdo; 
e (2) identificar os responsáveis.
Para verificar o conteúdo, o próprio site é uma evidência. Assim, copiar o seu conteúdo é recomendável.
Praticamente todos os navegadores permitem que o código da página web seja visualizado e salvo 
como um arquivo .html. Entretanto, a simples cópia pelo navegador pode não funcionar.
O motivo é que alguns componentes da página, como links para imagens ou para códigos de 
Javascripts, são relativos e não absolutos. Assim, o código copiado pode se mostrar diferente quando 
aberto posteriormente pelo navegador na forma off-line.
Entre outras opções, o utilitário wget, nativo do Linux e com versões para Windows, pode ser usado 
para esse tipo de cópia: gnuwin32.sourceforge.net/packages/wget.htm (acesso em: 27 jan. 2021).
A fim de preservar as cópias contra alterações indevidas, hashes são essenciais.
Mas o que pode ser feito quando um determinado site já não está mais disponível? Uma opção 
são os serviços oferecidos pelo WayBack Machine, que possui cerca de 529 bilhões de páginas web 
arquivadas: https://web.archive.org/ (acesso em: 27 jan. 2021).
Caches de navegação off-line, como os oferecidos pelo Google, também podem ser úteis (veja a 
figura a seguir).
Figura 19 – Site em cache off-line na consulta do Google
Como pode ser visto na figura, nas consultas do Google os sites em cache contêm uma seta no 
fim do link.
66
Unidade II
Assim que o conteúdo do site investigado estiver preservado, é preciso determinar os responsáveis 
pelo conteúdo. Para isso é necessário saber em qual servidor o site está hospedado. O já citado serviço 
de busca de domínios Whois pode fornecer nomes de alguns responsáveis quando o site é nacional.
 Saiba mais
Para sites estrangeiros podem ser utilizados os serviços:
https://lookup.icann.org/
https://query.milacnic.lacnic.net/home
networksolutions.com/whois
Os provedores de acesso e serviços guardam logs sobre o conteúdo das salas de bate papo. Em caso 
da necessidade de perícia, a quebra de sigilo das informações, assim como os horários e números IP dos 
responsáveis, podem ser requeridos pela polícia ou pelo Ministério Público.
 Saiba mais
Há canais exclusivos para denúncia de crimes cibernéticos:
Polícia Federal: internet@dpf.gov.br
DENUNCIE. Safer Net, [s.d.]. Disponível em: new.safernet.org.br/denuncie. 
Acesso em: 15 jan. 2021.
MINISTÉRIO PÚBLICO FEDERAL. Sistema Cidadão. MPF, [s.d.]. Disponível em: 
aplicativos.pgr.mpf.mp.br/ouvidoria/app/cidadao/login?tipoServico=2. 
Acesso em: 15 jan. 2021.
Aplicativos de comunicação instantânea como o WhatsApp ou o Telegram podem ser difíceis 
de rastrear, já que as conexões costumam ser criptografadas. Porém, o cadastro requerido para uso 
desses aplicativos tem por base informações importantes como nome, telefone e e-mail, que podem ser 
utilizados para identificação dos responsáveis por delitos ou postagens criminosas.
A identificação de origem, destino e conteúdo de alguns sites da deep web também pode ser 
complicada. Ferramentas mais complexas podem até ser necessárias, mas a cópia do conteúdo do site, 
extração de atributos de fotos, informações sobre os browsers usados na comunicação, idiomas usados 
na comunicação, fusos horários e fontes instaladas podem servir como evidências.
67
COMPUTAÇÃO FORENSE
3.7 Os browsers como evidências
Em relação aos browsers (navegadores) utilizados, há recursos disponíveis que podem ser fonte de 
evidência aos peritos.
O histórico de navegação está presente na grande maioria dos browsers e mostra um histórico com 
as páginas web recentemente visitadas. Da mesma forma, existe um histórico de downloads que pode 
indicar arquivos baixados recentemente. Esses dados são evidências importantes em uma investigação.
Os cookies são pequenos arquivos de texto gravados na máquina, quando um usuário visita 
determinados sites. A função original de um cookie era enviar dados a um site todas as vezes que um 
usuário voltava a visitá-lo, para fins de estatística. Atualmente, os cookies enviam mais informações e 
são usados para os mais diversos fins, inclusive os maliciosos.
O Microsoft Internet Explorer salva o histórico, downloads e cookies em diretórios específicos que 
podem ser consultados por menu ou diretamente nos arquivos.
O quadro a seguir mostra alguns acessos possíveis ao histórico e aos downloads nos browsers 
mais comuns:
Quadro 7 – Acessos ao histórico e aos downloads nos browsers mais comuns 
do Windows 10 (podem existir algumas variações dependendo da instalação)
Browser
Windows 10 Histórico Downloads
Internet Explorer v11.0.40 Estrela → Histórico Estrela → Downloads
Edge v40.15063.0.0 Menu → Histórico Menu → Downloads
FireFox v65.0.2 Menu → Histórico → Ver painel do histórico Menu → Downloads → Mostrar pastas de downloads
Chrome v79.0.3945.130 Menu → Histórico Menu → Downloads
O quadro a seguir mostra a localização do histórico e do cache do browser Internet Explorer:
Quadro 8 – Localização do cache, histórico e cookies no Internet Explorer 
(podem existir algumas variações dependendo da instalação)
Browser: Internet Explorer v11.0.40 – Windows 10
Histórico
Arquivos recentes
Cache
%userprofile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
%userprofile%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV24.dat
Cookies
%userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\Low
%userprofile%\Cookies
68
Unidade II
 Observação
Userprofile é uma variável de ambiente que indica o diretório do usuário:
Windows-10: C:\Users\<usuário>
Linux: /home/<usuário>
MacOSX: /Users/<usuário>
O Mozila Firefox possui um banco de dados de código aberto chamado SQLite que permite consultas 
ao histórico, favoritos, datas, locais, downloads e cookies. Alguns exemplos podem ser vistos no 
quadro a seguir:
Quadro 9 – Exemplos de comandos SQLite para extração de dados 
do Firefox (podem existir algumas variações dependendo da instalação)
Browser Objetivo Comando SQLite
Firefox
Cookies select value from moz_cookies c where c.name == “sessionToken” and c.host like “%.riddles.io”
Hosts mais visitados select p.rev_host, count(*) from moz_places p join moz_historyvisits v on v.place_id = p.id group by p.rev_host order by count(*) desc;
Lugares mais visitados select * from moz_places order by visit_count desc;
Chrome
Histórico SELECT visits.visit_time as ‘Data/Hora’, urls.url as ‘Endereco’, urls.title as ‘Titulo’ FROM urls, visits WHERE urls.id = visits.url;
Data e hora
SELECT datetime(((visits.visit_time/1000000) – 11644473600),‘unixepoch’) as ‘Data/Hora (UTC)’, urls.url as ‘Endereco’, urls.title as 
‘Titulo’ FROM urls, visits WHERE urls.id = visits.url;
Hora local
SELECT datetime(((visits.visit_time/1000000) – 11644473600), 
‘unixepoch’, ‘localtime’) as ‘Data/Hora’ (UTC-0300)’, urls.url as ‘Endereco’, 
urls.title as ‘Titulo’ FROM urls, visits WHERE urls.id = visits.url;
Marcadores e 
favoritos
SELECT urls.url, urls title, urls.visit_count, urls.typed_count, urls.last_
visit_time, urls.hidden, visits.visit_time, visits.from_visit, visits.transition 
FROM urls, visits WHERE urls.id = visits.url
Cookies SELECT name, value, host, path, expiry, datetime(lastAccessed/1000000,’unixepoch’) FROM cookies;
Assim como o Firefox, o Google Chrome também é multiplataforma (funciona em vários 
sistemas operacionais) e pode realizar consultas por meio de SQLite. O quadro a seguir mostra a 
localização dos arquivos no Firefox e no Chrome:
69
COMPUTAÇÃO FORENSE
Quadro 10 – Localização dos arquivos compatíveis com SQLite no Chrome 
e Firefox (podem existir algumas variações dependendo da instalação)
Browser Sistema operacional Caminho
Firefox
Windows 10
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\%PROFILE%.default\
%PROFILE% pode ser substituído por caracteres randômicos.
Linux %userprofile%/.mozilla/Firefox/$PROFILE.default/
Mac OS %userprofile%/Library/Application Support/Firefox/Profiles/$PROFILE.default
Chrome
Windows 10 %userprofile%\AppData\Local\Google\Chrome\User Data\Default
Linux %userprofile%\.config/google-chrome/default
MacOS %userprofile%/Library/Application Support/Google/Chrome/Default
 Saiba mais
Mais detalhes sobre o SQLite e as consultas de informações no Firefox 
podem ser encontrados em:
WHAT is SQLite? SQLite, [s.d.]. Disponível em: sqlite.org/index.html. 
Acesso em: 15 jan. 2021.
PLACES-EXPLORATION.SQL. Github, [s.d.]. 
Disponível em: https://bit.ly/3wxPiVZ. Acesso em: 6 jan. 2021.
Ferramentas para investigação de browsers estão entre os 
softwares da Nirsoft: IEHistoryView, BrowserHistoryView, IECacheView, 
IECookiesView, MozillaHistoryView, MozillaCacheView, MozillaCookiesView, 
ChromeHistoryView e ChromeCacheView. Elas podem ser acessadas em:
nirsoft.net/
3.8 A navegação anônima como evidência
Há diversas formas de navegar pela internet de forma anônima – sem que o número IP e as demais 
informações de conexão sejam identificadas. Infelizmente essas técnicas podem ser utilizadas para 
acobertar crimes cibernéticos.
Os proxies são equipamentos posicionados entre o usuário e a internet que possuem diversas 
funções: servem para controlar o acesso de determinados usuários à internet, mascarar o IP original, 
melhorar o desempenho a partir do uso de caches e proteger a rede. Usado de forma anônima, 
70
Unidade II
um proxy permite que um usuário consiga navegar de forma anônima, por meio do uso de um IP 
diferente do original.
Um proxy também pode ser utilizado na transposição de barreiras da internet. Por exemplo, em 
empresas que bloqueiam o acesso a determinados sites, alguns usuários mais avançados usam serviços 
de proxy que se valem de números IP não rastreáveis ou não bloqueados para conseguir ultrapassar 
essas barreiras. Em casos extremos isso pode ser feito para países que fazem censura de conteúdo de 
páginas web, como a China e a Coreia do Norte.
Proxies localizados fora do país são mais difíceis ainda de serem rastreados, mas, apesar disso, há 
ferramentas que permitem algum tipo de rastreamento.
Uma navegação rastreável, porém criptografada, protege o conteúdo compartilhado, evitando a 
quebra da confidencialidade. No entanto, da mesma forma, esse tipo de navegação pode ser utilizado 
de maneira maliciosa.
Uma virtual private network (VPN) pode proteger o conteúdo dos pacotes com confidencialidade, 
autenticação e integridade. Basicamente, uma VPN criptografa o tráfego de rede no transmissor e 
decifra-o no receptor.
O aplicativo The Onion Router (TOR) é um projeto americano que surgiu para proteger as 
comunicações militares realizadas através da internet e caiu no uso popular. Trata-se de um 
navegador que trafega através de uma série de computadores-roteadores que mascaram os 
endereços IP utilizados ao mesmo tempo em que encriptam os dados, formando uma VPN anônima 
com múltiplas camadas.
Apesar de lento, em função da criptografia realizada em computadores-roteadores, o TOR é um 
navegador muito usado por jornalistas, dissidentes ou qualquer um que precise navegar de forma 
anônima. Porém, criminosos cibernéticos também aproveitam as facilidades do programa.
A perícia em tráfego gerado pela rede TOR é bastante difícil. Uma forma é basear a análise nas 
falhas e erros de navegação. Isso permite que o navegador do usuário seja estimado, assim como alguns 
poucos detalhes, como versões.
O funcionamento básico do TOR pode ser observado nas ilustrações da figura a seguir:
71
COMPUTAÇÃO FORENSE
Destino 2
Origem
Servidor TOR
Destino 1
1) O browser TOR 
da origem solicita 
uma lista de nós 
roteadores TOR 
de um servidor
Destino 2
Origem
Servidor TOR
Destino 1
2) O browser TOR da 
origem escolhe um 
caminho aleatório até 
o destino 1. Apenas o 
link final é aberto
Destino 2
Origem
Servidor TOR
Destino 1
3) Em caso de acesso 
a outro site, o browser 
TOR escolhe outro 
caminho aleatório
Nós TOR (pretos) Links sem criptografia (vermelhos) Links criptografados (verdes)
Figura 20 – Funcionamento básico do TOR
Como observado na figura, o browser do aplicativo TOR – um dos mais utilizados é o Tor Browser 
Bundle – recebe de um servidor uma lista de roteadores não rastreáveis que serão usados como caminho 
até o destino. Esse caminho vai sendo alterado à medida que o usuário navega por outros domínios.
Para o perito forense, muitas vezes é importante buscar a presença desse software em uma máquina 
suspeita, mesmo se ele já tiver sido desinstalado, pois isso pode indicar eventuais acessos à deep web 
e à darknet. No Windows há evidências no diretório prefetch, no arquivo de paginação pagfile.sys e no 
registro do sistema – é preciso extremo cuidado ao lidar com esses registros e diretórios.
72
Unidade II
 Lembrete
A darknet é a porção da deep web voltada para a pornografia infantil.
 Observação
Domínios relacionados à darknet, em geral, têm a denominação onion. 
Por exemplo, http://coisaserradas.onion.
3.9 As redes sociais como evidência
As redes sociais estão entre as mais populares formas de comunicação utilizadas na internet. 
Por promover o contato “social” entre pessoas, as redes sociais podem ser extremamente ambíguas: servem 
para o bem e para o mal. A má utilização desse tipo de ferramenta pode se estender desde uma postagem 
caluniosa ou racista até a uma combinação de assaltos, assassinatos e atos terroristas pelos usuários. Esse é 
um dos motivos pelos quais a perícia forense computacional deve se desdobrar na investigação dessas redes.
Em geral, uma rede social pode ser usada como apoio ou meio para um crime. A rede é uma 
ferramenta de apoio para o crime quando é usada para comunicação entre criminosos, planejamento 
de delitos, exibição de execuções e venda de drogas, entre outros crimes. Quando delitos que seriam 
impossíveis sem a existência da rede social são cometidos, diz-se que a rede é o meio do crime. 
Por exemplo, em casos como a criação de falsos perfis para atrair crianças ou na distribuição de malwares.
Em certas ocasiões, felizmente a própria rede social pode ser utilizada contra o criminoso. Muitos 
preenchem o próprio perfil com dados e informações que indicam um comportamento de risco para a 
sociedade. Esses dados dos perfis são voláteis e podem ser apagados, mas sempre há possibilidade de 
recuperação, seja com o uso de ferramentas forenses, seja com a colaboração da mantenedora da rede 
social (Facebook, Twitter, Instagram, WhatsApp, LinkedIn etc.).
Na maior parte dos casos, a cópia de imagens, dados e vídeos dos perfis é bastante tranquila, tanto 
para o dono do perfil como para um terceiro. Contudo,nem sempre um perfil ou os dados contidos 
nele são verdadeiros. A identificação de um usuário pode ser realizada de algumas formas diferentes, 
dependendo da rede social.
3.9.1 Facebook
A identificação de um usuário no Facebook pode ser feita conferindo se o nome do usuário 
exibido no perfil é o mesmo nome exibido na URL da página, após o domínio: pt-br.facebook.com/<nome 
do usuário>. Outra forma é pela verificação do ID do usuário, um número de 15 ou 16 dígitos que 
aparece no link da foto do perfil do usuário (quando se passa o mouse por cima da foto), e pode aparecer 
também o URL da página. Esse número é único e não pode ser alterado.
73
COMPUTAÇÃO FORENSE
 Observação
Se alguém digitar a URL pt-br.facebook.com/<ID do usuário>, a página 
do usuário aparece.
O registro de atividades é talvez a maior fonte de evidências do aplicativo, já que reúne todas as 
atividades e eventos da conta. Costuma ser o ponto inicial da análise forense mais detalhada.
Evidências úteis também podem ser coletadas na timeline (linha do tempo) do aplicativo. Lá são 
encontradas diversas postagens, publicações, links utilizados, imagens e formas de contato com outros 
usuários, inclusive de outras redes sociais. O Facebook também registra (log) as atividades com base em 
timestamps (datas e horários). Isso permite o correlacionamento dessas atividades com outros eventos, 
tendo como base o momento da ocorrência.
As chamadas abas são recursos oferecidos pelo aplicativo que também oferecem uma série de evidências. 
Na aba sobre há muitos dados pessoais sobre o usuário, vitais para a identificação. Já na aba fotos podem 
ser encontradas imagens postadas pelo usuário ou mesmo marcadas por amigos. As fotos facilitam a 
identificação de locais e pessoas, assim como permite rastreamento e uma série de outras situações.
 Observação
As fotos do Facebook possuem identificadores únicos, visíveis quando 
se passa o mouse por fotos ou se clica nelas (veja a figura a seguir).
Figura 21 – URL fictícia exibida ao se clicar em uma foto do Facebook
Quando uma foto é salva na máquina, o segundo bloco de números do nome do arquivo indica o 
ID da foto. Com isso é possível digitar o domínio seguido do ID da imagem e localizar a origem da foto: 
pt-br.facebook.com/<ID da foto>.
A aba amigos mostra os contatos e amigos do usuário, fonte de dados para rastreamento. Já a aba 
locais exibe os locais onde o usuário esteve.
Em curtir, é possível ver as páginas que o usuário gostou, ou seja, as preferências e gostos do usuário 
estão bem explícitas. Isso ajuda bastante na investigação criminal. Músicas, filmes, eventos, grupos a que 
o usuário está associado, entre outras preferências, também representam uma fonte ampla de evidências.
74
Unidade II
Os grupos aos quais um usuário está associado também possuem um ID. Como alguns grupos 
são privados, um investigador pode precisar do acesso à conta do investigado para realizar a 
perícia forense.
 Observação
Grupos com nomes falsos também são comuns. Por exemplo, um grupo 
chamado “Ser mãe é tudo...” pode esconder uma quadrilha de pedófilos.
Além desses vestígios cibernéticos, o aplicativo oferece informações sobre o navegador e o sistema 
operacional, se o dispositivo de origem é mobile (smartphone) ou um computador e a localização 
geográfica de onde a postagem partiu.
A caixa de mensagens do usuário pode ser verificada. Há recursos que permitem a procura de 
palavras por nomes específicos em qualquer uma das pastas de mensagens (“Entrada”, “Outros”, “Spam” 
etc.). Recursos que confirmam se uma determinada mensagem foi ou não lida também representam 
evidências úteis para o profissional forense. Porém, um usuário pode marcar uma mensagem como “lida” 
sem abri-la e depois remarcá-la como “não lida”. A razão disso é que o usuário quer que o remetente 
pense que ele leu a mensagem. Neste caso, um perito só determina se a mensagem foi manipulada 
se analisar também a caixa do remetente. Lá estará marcado o momento da primeira marcação da 
mensagem com “lida”.
3.9.2 Twitter
No Twitter, a identificação de um usuário segue o padrão twitter.com/<nome de usuário> na 
URL, sendo que a identificação também pode ser feita por um ID único de dígitos variáveis. Porém, esse 
número é mais difícil de ser exibido.
 Saiba mais
Há sites como o gettwitterid.com que identificam o ID dos usuários a 
partir do nome.
No perfil de um usuário, informações pessoais relacionadas à quantidade de seguidores e mensagens, 
ou mesmo sobre quais são as pessoas seguidas, podem ser facilmente coletadas.
As mensagens do Twitter contêm timestamp e são em sua maioria públicas, permitindo um 
acompanhamento. Na verdade, detalhes sobre o encadeamento de mensagens podem ser realizados na 
aba conectar. O aplicativo também conta com mensagens diretas, do inglês direct messages (DM), 
que são mensagens privadas.
75
COMPUTAÇÃO FORENSE
3.10 Investigando as redes computacionais e de telefonia
As redes locais, do inglês local area network (LAN), constituem os enlaces inicial e final dos pacotes 
trafegados pela internet. Há desafios envolvidos para a análise do tráfego em LAN, como a presença 
de criptografia ou a volatilidade dos dados, que exigem um certo nível de proatividade do profissional 
forense, como a implementação prévia e a análise posterior de logs.
3.11 A leitura de pacotes
Logs podem ser obtidos a partir dos diversos equipamentos encontrados em redes, como switches, 
roteadores, access points, além do sistema operacional, que registra muitas informações sobre os 
protocolos e serviços utilizados.
Apesar de também serem usados em ataques, os sniffers são ferramentas usadas para analisar o 
tráfego de rede muito usadas como controles de segurança. Dois exemplos de sniffers open-source e 
multiplataforma muito utilizados são o Wireshark (wireshark.org) e o TCPDump (tcpdump.org). Há ainda 
outras ferramentas mais completas, como o Dsniff (https://monkey.org/~dugsong/dsniff/), que é uma 
coleção de ferramentas para auditoria de rede, testes de penetração, monitoramento passivo de dados, 
como senhas, e-mail e arquivos, e interceptação de conexões.
Mesmo comandos comuns podem ser utilizados para a obtenção de evidências sobre um sistema 
operacional. Por exemplo, os comandos who, whoami e w mostram informações sobre os usuários 
conectados em uma máquina. A figura a seguir mostra o resultado do comando who:
$ who -aH
NOME LINHA HORÁRIO OCIOSO PID COMENTÁRIO 
SAÍDA
 inicialização do sistema 2020-02-25 17:26
 nível de execução 5 2020-02-25 17:27
germano - tty1 2020-02-26 08:44 00:28 19087
susana + tty8 2020-02-25 17:27 16:02 2262 (:0)
user2 - tty2 2020-02-26 09:02 00:27 19238
Figura 22 – Resultado da execução do comando who em uma máquina Linux
A figura mostra o resultado do comando $ who -aH em um sistema operacional Linux. Na tela 
aparecem os usuários conectados (germano, susana e user2, os terminais usados (tty1, tty8 e tty2), 
a data e hora de entrada no sistema, o tempo ocioso, o process identification (PID) e o horário de 
inicialização do sistema, entre outras informações.
76
Unidade II
Outra forma de identificar eventuais conexões é simplesmente analisando a tabela arp de uma 
máquina. Uma tabela arp contém links entre os endereços físicos e os IP dos nós de uma LAN. A figura 
mostra a tabela arp de um nó.
C:\> arp -a
Interface: 192.168.159.1 --- 0x8
 Endereço IP Endereço físico Tipo
 192.168.159.255 ff-ff-ff-ff-ff-ff estático
 224.0.0.22 02-11-5e-00-00-16 estático
 224.0.0.251 02-11-5e-00-00-fb estático
 224.0.0.252 02-11-5e-00-00-fc estático
 239.255.255.250 02-11-5e-7f-ff-fa estático
Interface: 192.168.160.1 --- 0xc
 Endereço IP Endereço físico Tipo
 192.168.160.255 ff-ff-ff-ff-ff-ff estático
 224.0.0.22 19-5d-ab-00-00-16 estático
 224.0.0.25119-5d-ab-00-00-fb estático
 224.0.0.252 19-5d-ab-00-00-fc estático
 239.255.255.250 19-5d-ab-7f-ff-fa estático
Interface: 192.168.1.8 --- 0x18
 Endereço IP Endereço físico Tipo
 192.168.1.1 7c-03-4c-0d-8b-66 dinâmico
 192.168.1.9 b0-e8-92-dd-37-f5 dinâmico
 192.168.1.255 ff-ff-ff-ff-ff-ff estático
 224.0.0.22 21-08-4c-12-81-16 estático
 224.0.0.251 21-08-4c-12-81-fb estático
 224.0.0.252 21-08-4c-12-81-fc estático
 239.255.255.250 21-08-4c-7f-ff-fa estático
 255.255.255.255 ff-ff-ff-ff-ff-ff estático
Figura 23 – Resultado do comando arp -a em um nó de rede local
77
COMPUTAÇÃO FORENSE
Na figura podem ser vistos os endereços IP e físicos que um determinado nó se comunicou em uma LAN.
3.12 Exames em equipamentos de rede
Em switches é bastante comum verificar a qual porta física está ligado um determinado endereço 
físico de uma máquina. Um mapeamento pode ser realizado a partir da tabela de endereços do switch 
e permite que o profissional forense consiga entender a topologia atual da rede. Um switch também 
permite que o fluxo de rede que passa por ele seja redirecionado para uma porta específica, que contenha 
um sniffer para captura e análise, por exemplo.
Em roteadores um exame na tabela de roteamento permite um rastreamento das rotas utilizadas 
durante o tráfego de rede, endereços dos roteadores vizinhos, além dos protocolos utilizados. A figura a 
seguir mostra os endereços de alguns roteadores na rota de um pacote.
Figura 24 – Parte da sequência de roteadores usados como rota de um pacote, capturados com o sniffer Wireshark
A figura mostra alguns roteadores usados na rota do pacote até o destino. Esse caminho pode ser 
obtido facilmente com o comando tracert (Windows) ou traceroute (Linux).
3.13 Exames em servidores
Os logs de servidores de autenticação, como os baseados no Lightweight Directory Access Protocol 
(LDAP) ou no Active Directory Domain Services (AD), fornecem evidências importantes filtradas por 
usuários, como horários de autenticação, endereços de origem, serviços executados, sucesso ou falha de 
operações, entre outros.
Da mesma forma, logs de servidores proxies também informam dados filtrados por usuários sobre 
o cache de páginas visitadas, horários, sites navegados¸ sites bloqueados, dados sobre os protocolos 
usados, entre outras informações. Veja a seguir os logs do acesso ao site da Unip. Trata-se de parte da 
captura do tráfego de acesso ao site unip.br com o TCPDump em 22 de fevereiro de 2020:
78
Unidade II
bt ~ # tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
:
17:52:22.350598 IP 192.168.160.133.34531 > gru14s07-in-f3.1e100.net.https: . ack 742 win 15561
17:52:22.379579 IP 192.168.160.133.40297 > unip.br.https: P 2300:2657(357) ack 75816 win 62780
17:52:22.380370 IP unip.br.https > 192.168.160.133.40297: . ack 2657 win 64240
17:52:22.441420 IP unip.br.https > 192.168.160.133.40297: . 75816:77276(1460) ack 2657 win 64240
17:52:22.441422 IP unip.br.https > 192.168.160.133.40297: P 77276:77533(257) ack 2657 win 64240
17:52:22.441450 IP 192.168.160.133.40297 > unip.br.https: . ack 77533 win 62780
17:52:22.593374 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 AAAA (QM)? 0.local. (25)
17:52:22.595996 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 AAAA (QM)? 0.local. (25)
17:52:22.598452 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 A (QM)? 0.local. (25)
17:52:22.600618 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 A (QM)? 0.local. (25)
17:52:22.647224 IP 192.168.160.1.54758 > 239.255.255.250.1900: UDP, length 174
17:52:23.094477 IP 192.168.160.1.netbios-ns > 192.168.160.255.netbios-ns: NBT UDP PACKET(137): 
QUERY; REQUEST; BROADCAST
17:52:23.649109 IP 192.168.160.1.54758 > 239.255.255.250.1900: UDP, length 174
17:52:24.653342 IP 192.168.160.1.netbios-ns > 192.168.160.255.netbios-ns: NBT UDP PACKET(137): 
QUERY; REQUEST; BROADCAST
17:52:24.653577 IP 192.168.160.1.54758 > 239.255.255.250.1900: UDP, length 174
17:52:24.655367 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 A (QM)? 0.local. (25)
17:52:24.657511 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 A (QM)? 0.local. (25)
17:52:24.660014 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 AAAA (QM)? 0.local. (25)
17:52:24.661744 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 AAAA (QM)? 0.local. (25)
17:52:25.076452 IP6 fe80::5db2:7d93:88af:990a.59139 > ff02::1:3.5355: UDP, length 19
17:52:25.076985 IP6 fe80::5db2:7d93:88af:990a.50460 > ff02::1:3.5355: UDP, length 19
17:52:25.076987 IP 192.168.160.1.59139 > 224.0.0.252.5355: UDP, length 19
17:52:25.079788 IP 192.168.160.1.50460 > 224.0.0.252.5355: UDP, length 19
17:52:25.246801 IP 192.168.160.1.53515 > 239.255.255.250.1900: UDP, length 275
17:52:25.406976 IP 192.168.160.1.netbios-ns > 192.168.160.255.netbios-ns: NBT UDP PACKET(137): 
QUERY; REQUEST; BROADCAST
17:52:25.657286 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 A (QM)? 0.local. (25)
17:52:25.658369 IP 192.168.160.1.54758 > 239.255.255.250.1900: UDP, length 174
17:52:25.659734 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 A (QM)? 0.local. (25)
17:52:25.662034 IP 192.168.160.1.mdns > 224.0.0.251.mdns: 0 AAAA (QM)? 0.local. (25)
17:52:25.663918 IP6 fe80::5db2:7d93:88af:990a.mdns > ff02::fb.mdns: 0 AAAA (QM)? 0.local. (25)
:
480 packets captured
481 packets received by filter
 packets dropped by kernel
79
COMPUTAÇÃO FORENSE
 Lembrete
Um servidor proxy controla o acesso de usuários às páginas web.
Pudemos observar os logs de um acesso ao site unip.br realizado com o comando tcpdump em 
um sistema operacional Linux. Os logs contam com timestamp, IP (versões 4 e 6) de origem e destino, 
protocolo e tamanho do payload, entre outras informações.
 Observação
O payload é a carga útil do pacote, ou seja, o conteúdo do pacote de 
dados excetuando-se os cabeçalhos das camadas do protocolo TCP/IP.
Os logs dos servidores Dynamic Host Control Protocol (DHCP) também são uma fonte valiosa 
de vestígios cibernéticos, pois estão repletos de pacotes relacionados à concessão de endereços (IP e 
físico) de origem, máscara de rede, endereço de gateway e nome de domínio, tudo vinculado a horários 
e usuários (veja as figuras a seguir).
Figura 25 – Captura de tráfego de um servidor DHCP com o sniffer Wireshark
80
Unidade II
Figura 26 – Captura de tráfego de consultas DNS com o sniffer Wireshark
A primeira figura mostra pacotes iniciais trocados entre um computador de um usuário e um servidor 
DHCP para a concessão de um IP ao nó do usuário. Por sua vez, a segunda mostra diversas consultas a 
um servidor DNS realizadas por um usuário que está tentando navegar pela internet. É bastante comum 
descobrir os domínios pelos quais um usuário navegou usando o utilitário Tshark, que funciona com 
comandos compatíveis do Wireshark.
Ambas as consultas (DHCP e DNS) podem ocorrer tanto em servidores locais como em remotos.
Nos sistemas Windows, além da leitura de logs a partir do Visualizador de Eventos (Event Viewer), é 
possível verificar os registros de sistemas e de eventos diversos do sistema operacional de outras formas. 
Os arquivos de prefetch e o registro do Windows (regedit) são exemplos.
Arquivos de prefetch (pré-busca) são arquivos criados pelo Windows sempre que um 
aplicativo é executado e contêm informações sobre os arquivos carregados pelos aplicativos. 
As informações contidas nos prefetch (bibliotecas necessárias, arquivos de dados e configurações, 
entre outras) são usadas para otimizar o tempo de carregamento do aplicativo na próxima 
execução dele. Os arquivos contêm a extensão .pf e ficam no diretório C:\WINDOWS\PREFETCH 
e são binários (executáveis) que não podem ser lidos por editores de texto. Para a leitura de um 
prefetch é preciso um utilitário como o WinPrefetchViewda Nirsoft (veja a figura a seguir), que 
permite, entre outras funcionalidades, a busca por arquivos que foram carregados (executados) 
por outros programas.
81
COMPUTAÇÃO FORENSE
Figura 27 – Tela do WinPrefetchView, usado para leitura de arquivos de prefetch
O regedit (veja a figura a seguir) contém uma árvore com os parâmetros e configurações 
básicas atuais do sistema operacional Windows. O regedit contém cinco registros principais onde 
as configurações estão subdivididas: SYSTEM, SECURITY, SOFTWARE, SAM e DEFAULT, além de mais 
dois registros com informações específicas dos usuários: NTUSER.DAT e USRCLASS.DAT. Os elementos 
(registros) armazenados na estrutura de árvore do regedit são as chaves, os valores e os dados, que 
podem ser alterados, mas com todo o cuidado, já que alterações nesses parâmetros podem comprometer 
todo o sistema operacional Windows.
Figura 28 – Imagem do registro do sistema do Windows
82
Unidade II
3.14 Exames no tráfego de rede
No que se refere aos arquivos transferidos, para identificação de vazamento de informações não 
autorizadas é importante saber o tipo, o destino e o propósito de um arquivo transferido através de 
protocolos usados para transferência peer-to-peer, Secure Shell (SSH) ou mesmo aqueles usados na 
navegação pela internet, como o HyperText Transfer Protocol (HTTP), o File Transfer Protocol (FTP) e o 
Server Message Block (SMB). Detalhes podem ser vistos nas figuras a seguir:
Figura 29 – Captura de tráfego de um servidor SSH com o sniffer Wireshark
Na figura anterior é possível verificar um esquema de troca de chaves e o compartilhamento de 
dados encriptados resultantes da conexão de um usuário a um servidor ou da transferência 
de arquivos.
83
COMPUTAÇÃO FORENSE
Figura 30 – Captura de tráfego em navegação web com o sniffer Wireshark
 Observação
Um servidor SSH é usado para o estabelecimento de conexões remotas 
seguras, encriptadas com autenticação, confidencialidade e integridade, 
entre um usuário e um servidor.
Na figura anterior há duas ilustrações. Na primeira, pode-se perceber a troca de pacotes que indicam 
o estabelecimento de conexão entre um usuário e um site da internet, chamada de three-handshake. 
Na segunda ilustração, o gráfico mostra a conexão já estabelecida e como e com quem a troca de dados 
está sendo efetuada.
 Observação
O three-handshake é a troca de três conjuntos de pacotes para o 
estabelecimento de conexão entre um usuário e um site. Esse processo 
pode ser explorado maliciosamente em ataques.
Também é necessário realizar uma análise de malwares. Quando necessário, o profissional forense 
deve procurar entender o funcionamento dos malwares. Isso inclui uma análise de engenharia reversa 
que identifique funções, endereços de domínios maliciosos e maneiras como o código malicioso 
é disseminado. De posse dessas informações, o profissional pode tomar medidas para impedir o 
compartilhamento da ameaça.
Quanto à análise do tráfego de rede, os cabeçalhos dos pacotes que trafegam em uma rede 
possuem muitas informações que podem ser consideradas evidências para o perito forense. Endereços 
84
Unidade II
de origem e destino, dados sobre os serviços, informações sobre os servidores em uso e periodicidade da 
chegada de dados, entre outras informações, podem ser utilizadas pelo profissional forense como 
evidências. Em suma, as atividades executadas pelos usuários podem ser auditadas quando ocorrem 
exames apropriados no tráfego de rede.
 Saiba mais
A Lei n. 9.296 trata da interceptação do tráfego de redes computacionais 
e de telefonia:
BRASIL. Lei n. 9.296, de 24 de julho de 1996. Brasília, 1996. Disponível em: 
planalto.gov.br/ccivil_03/LEIS/L9296.htm. Acesso em: 18 jan. 2021.
3.15 Exames em controles de segurança
Controles de segurança como sistemas de detecção/prevenção de intrusões (SDPI) e firewalls 
também são fonte valiosa de informações. Esses sistemas monitoram o tráfego de rede detectando, 
alertando, bloqueando, direcionando e registrando qualquer evento suspeito.
Controles de segurança voltados para detecção de tráfego geram logs com muitas evidências 
úteis para o profissional forense. Como essas informações são geradas por ferramentas e aplicativos 
diversificados, costumam ser diferentes dos logs gerados por sistemas operacionais ou de servidores. 
Isso enriquece a análise do perito, pois há mais evidências a serem consideradas.
A análise de rede pode levar a constatações sobre o tipo de ataque que está em andamento em uma 
rede. Particularidades qualitativas, como informações dos cabeçalhos, e quantitativas, como atrasos, 
intervalo ou desvio padrão do tempo entre os pacotes recebidos, são exemplos de informações que 
podem ser analisadas para a identificação de um ataque contra uma rede ou servidores.
 Observação
Mais detalhes sobre análises em mecanismos de proteção podem ser 
encontrados no tópico Examinando controles de segurança.
4 INVESTIGANDO IMAGENS E IDENTIFICANDO PORNOGRAFIA INFANTIL
A tecnologia de edição de imagens, aliada à disseminação de câmeras com os mais sofisticados 
recursos, permite que vestígios escondidos ou compostos por imagens possam ser levantados por 
profissionais forenses. Por outro lado, facilita que qualquer usuário utilize as técnicas de edição para 
esconder evidências de imagens e burlar a lei.
85
COMPUTAÇÃO FORENSE
4.1 Formatos de arquivos
Há vários formatos para arquivos de imagens, e muitos deles aplicam uma certa compressão ao 
arquivo, diminuindo seu tamanho em relação à imagem original, calculado pela multiplicação entre a 
quantidade de pixels da imagem e o tamanho em bytes de cada pixel. Um dos mais populares é o Joint 
Photographic Experts Group (JPEG), formato surgido nos anos 1990.
Compressões em arquivos de imagens podem ocorrer sem perdas (lossless), quando a imagem 
pode ser restaurada à forma original a partir do arquivo compactado. Já na compressão com perdas, 
um descarte seletivo de dados permite que a imagem restaurada, apesar de bastante parecida com a 
original, não seja exatamente igual.
A maioria das câmeras digitais armazena as fotografias no formato Exitf-JPEG. Além de definir a 
forma de armazenamento sequencial dos bytes da imagem comprimida, carrega atributos (metadados) 
sobre a câmera e a foto, como marca, timestamp, tempo de exposição, distância focal, entre outros 
atributos. Esses metadados podem ser extraídos de uma imagem e são interessantes para o profissional 
forense. Por exemplo, em fotos que registram movimentos, o tempo de exposição é mais elevado, fato 
que tende a gerar borrões na imagem. Além dos metadados, outras informações, como a matriz de 
quantização, também podem ser reveladas.
 Observação
A matriz de quantificação é o resultado da discrete cosine transform 
(DCT), um algoritmo matemático usado para representar cada canal de 
cores em pequenos blocos de 8 x 8 pixels.
Entre os exemplos de outros formatos de imagens populares estão:
• Windows BitMaP (BMP): contém até 24 bits/pixel e funciona tanto sem compressão como com 
compressão sem perdas usando os algoritmos Huffman ou Run-Length Encoding (RLE).
• Graphics Interchange Format (GIF): contém pixels com até 8 bits/pixel de informação e usa 
o algoritmo de compressão sem perdas Lempel-Ziv-Welch (LZW). Apesar de suportar apenas 
256 cores, contém recursos de animação.
• Portable Network Graphics (PNG): suporta até 48 bits/pixel e permite transparência. 
Usa compressão sem perdas com o algoritmo DEFLATE.
• Tagged Image File Format (TIFF): muito usado para fotos profissionais, o TIFF permite compressão 
com perdas e sem perdas com suporte a diferentes espaços de cores. Atualmente tem perdido 
espaço para o Raw Image Formats (RIF).
• JPEG 2000: padrão que tenta substituir (sem sucesso até aqui) o JPEG. Usa transformações de 
Wavelet em vez de DCT e suporta compressão com e sem perdas.
86
Unidade II
A ferramenta JPEGsnoop analisa imagens com compressão extraindo metadados a partir de 
matrizes de quantização usadas porfabricantes de câmeras e softwares (github.com/ImpulseAdventure/
JPEGsnoop, acesso em: 27 jan. 2021).
4.2 Exames em imagens digitais
Para um exame forense, o primeiro passo é levantar informações sobre as imagens a serem 
periciadas, como formato, quantidade de bits/pixels e algoritmos de compressão, por exemplo. Também 
é importante gerar hashes para garantir a integridade das imagens.
 Lembrete
Hashes são utilizados na garantia de integridade, permitindo que se 
verifique se há mudanças entre dois arquivos diferentes.
Em geral, a análise de imagens segue o padrão normal forense: (1) deve-se realizar uma análise do 
conteúdo da imagem a procura de informações escondidas ou evidências que sirvam para elucidar um 
crime; e (2) deve-se procurar identificar os autores da imagem periciada.
Entre as situações mais comuns que envolvem análise em imagens podem ser citadas: análise do 
conteúdo de uma cena, identificação facial de indivíduos, estimação de altura de suspeitos, manipulações 
maliciosas nas imagens, cenas de pornografia infantil, estimação de velocidade de veículos, investigação 
de detalhes como vestimentas e chapéus, identificação de equipamentos que produziram as imagens e 
fraudes em imagens.
A respeito do caráter fraudulento, existe uma dificuldade adicional quando se discute a manipulação 
de imagens. Trata-se do estabelecimento do limite sobre o que é ou não encarado como fraudulento. 
Pequenas alterações estéticas, como aquelas executadas em fotos de modelos em revistas, podem ser 
consideradas alterações maliciosas? É difícil estabelecer um critério.
O art. 241-C do Estatuto da Criança e do Adolescente (BRASIL, 1990) deixa claro que manipular 
imagens ou vídeos de criança ou adolescente em cenas de sexo resulta em pena de reclusão de 1 a 3 anos. 
A própria Lei Geral de Proteção de Dados (LGPD), que limita o tratamento conferido aos dados pessoais e 
sensíveis das pessoas, contém trechos específicos mais severos para casos que envolvam crianças 
e adolescentes.
Uma edição maliciosa de imagem pode ocultar algo. Isso pode ser feito de forma flagrante, 
quando não se esconde a edição – por exemplo, com distorções sobre rostos ou sobreposição de imagens. 
Neste caso o objetivo da perícia forense é recuperar a informação original da imagem. Também podem 
ser feitas alterações não flagrantes, cujo objetivo é esconder a edição. Além de ocultar, uma edição 
maliciosa pode retirar ou introduzir objetos falsos na imagem. Como a evolução dos softwares de 
edição tem avançado, é bastante difícil perceber algumas alterações.
87
COMPUTAÇÃO FORENSE
 Saiba mais
O assunto manipulação de imagens não é novo. Uma exposição de 
2012 em Nova York mostrou que manipulações já aconteciam desde 1850. 
Leia mais em:
FAKING it: manipulated photography before Photoshop. Met Museum, 
2012. Disponível em: metmuseum.org/exhibitions/listings/2012/faking-it. 
Acesso em: 18 jan. 2021.
O exame de manipulações em imagens se inicia com uma análise visual direta, um tanto subjetiva, 
que procura identificar objetos fora de contexto inseridos propositalmente ou eventuais manipulações 
grosseiras. Como a compressão da imagem é um processo de qualidade geral, a nitidez (ou a falta dela) 
em alguma porção da imagem pode ser indício de manipulação. Diferença de cores entre objetos e 
contornos mais (ou menos) bem definidos em trechos da imagem também podem indicar manipulação.
Análises visuais mais sofisticadas também podem ser feitas com o auxílio de ferramentas. Neste 
caso, a perícia pode se estender à impressão das imagens e outros tipos de análises.
• Análise de sombras: há uma certa complexidade na reprodução de fenômenos físicos, como 
sombras e reflexos, durante a manipulação de imagens. As sombras podem ser projetadas, 
quando são visualizadas em outra superfície, e anexas, quando incidem sobre a própria superfície 
do objeto (veja a figura a seguir).
Luz
Sombra anexa
Sombra projetada
Figura 31 – Exemplo de objeto em imagem com sombra projetada e anexa
88
Unidade II
Na figura, ambas as sombras (anexa e projetada) estão no lugar correto em relação à incidência de 
luz. A análise de sombras busca identificar falhas na projeção de sombras e na direção (ângulo) da luz 
em imagens manipuladas.
• Análise de perspectiva e projeção planar: objetos inseridos de maneira maliciosa em 
imagens muitas vezes não seguem a perspectiva – pontos de fuga, por exemplo – dos outros 
objetos em cena. Esse tipo de erro pode ser uma evidência. A figura a seguir mostra um 
exemplo. Perceba que o quadro adicionado está fora de perspectiva em relação ao resto dos 
objetos da imagem:
Figura 32 – Quadro fora de perspectiva adicionado em figura
• Ampliação de imagens: ao contrário do que alguns imaginam, uma imagem não pode ser 
ampliada indefinidamente a fim de que sejam observados detalhes microscópicos do seu interior. 
Tendo em vista que, basicamente, o pixel é a menor porção da imagem vista em um monitor, para 
ampliar uma imagem é preciso mostrar cada vez menos pixels da imagem usando mais pixels do 
monitor. A dificuldade reside justamente na criação inevitável desse novo conjunto de pixels que 
devem ser mostrados no monitor.
Uma solução é a interpolação por vizinho mais próximo, que consiste na criação desses pixels a 
partir do que exibe o pixel vizinho mais próximo.
A figura a seguir exibe um exemplo. Perceba o aspecto serrilhado do telhado da casa ampliada. 
Esse detalhe denota a interpolação por vizinho mais próximo na construção dos pixels adicionais da 
imagem ampliada:
89
COMPUTAÇÃO FORENSE
Figura 33 – Ampliação de uma imagem por interpolação do vizinho mais próximo
Há ainda outras técnicas de interpolação mais sofisticadas, como a bilinear, a bicúbica e a Lanczos. 
Contudo, por melhor que seja o processo de interpolação, traços indicando uma ampliação da imagem 
sempre vão existir. Isso pode ser útil para o profissional forense, pois ampliações indevidas de porções 
da imagem podem ser analisadas e identificadas.
Uma alternativa mais precisa ao processo de interpolação é a técnica de super-resolução, que 
consiste no processamento conjunto de vários quadros consecutivos de vídeo. A técnica permite 
que seja gerado um quadro único mais preciso e detalhado para ampliação. A técnica, contudo, depende 
de boas condições de distorção, perspectiva e uniformidade de fundo da imagem.
4.3 Técnicas para melhorias em imagens
O brilho de um pixel está diretamente ligado ao valor de sua intensidade luminosa. Em uma escala de 
0 a 255, de uma paleta cinza ou de um canal de cor específico, o valor 0 indica brilho nulo, enquanto 
o valor 255 indica brilho máximo.
O histograma de uma imagem é um gráfico que representa os valores de intensidade dos pixels e é 
usado para avaliação de certos aspectos da qualidade de imagem (veja a figura a seguir).
→
Imagem original Histograma com separação da imagem original 
pela frequência da distribuição de cores
Figura 34 – Histograma de uma imagem colorida
90
Unidade II
Na figura pode-se perceber como é a criação de um histograma de distribuição das cores. As cores 
estão indexadas da mais escura para a mais clara (da esquerda para a direita), mas é a quantidade de 
repetições de uma cor que determina o aumento das barras.
O brilho médio de uma imagem corresponde à média das intensidades de brilho de todos os pixels. 
Assim, se todos os pixels de uma imagem tiverem um aumento em seus valores de brilho, a imagem fica 
mais brilhante de forma homogênea – isso equivale a deslocar o histograma da imagem para a direita 
(clareamento). O inverso é verdadeiro: a diminuição na intensidade do brilho dos pixels corresponde ao 
deslocamento do histograma para a esquerda (escurecimento). Um exemplo pode ser visto na figura a seguir:
Figura 35 – Variações de brilho em uma mesma imagem
Pode-se perceber na figura as diferenças obtidas em uma mesma imagem submetida a 
variações de brilho.
O contraste é uma propriedade que não está atrelada a pixels individuais, mas simà variação de 
intensidade luminosa de uma região de pixels ou da imagem completa. Quando se altera o contraste 
de uma imagem, a intensidade de brilho dos pontos intermediários é pouco alterada, enquanto a 
intensidade dos extremos é mais afetada. A figura a seguir traz um exemplo:
Figura 36 – Variações de contraste em uma mesma imagem
91
COMPUTAÇÃO FORENSE
O profissional forense pode ajustar as imagens antes da análise para melhorar a análise visual, desde 
que tome o cuidado de preservar a imagem original. É preciso tomar cuidado, pois como mostram 
as figuras que acabamos de apresentar, informações podem ser perdidas durante alguns ajustes 
exagerados. Contudo, nem sempre ajustes no brilho e no contraste são suficientes para deixar a imagem 
apropriada. Há ainda muitos outros ajustes que podem ser realizados nas imagens. Entre os exemplos 
estão a correção gama, que atua na intensidade do pixel, independentemente de sua posição na 
imagem, e a equalização de histograma, que distribui uniformemente a luminosidade nos pixels 
com o objetivo de deixar o histograma o mais plano possível.
 Observação
Um histograma plano é aquele cujo acúmulo da imagem corresponde 
a uma linha reta.
Um ajuste que pode ser feito é a correção de foco. Algumas imagens podem sofrer com problemas 
de foco devido ao movimento do objeto durante a fotografia. Para que a imagem seja melhor entendida, 
o profissional forense pode se valer de pontos luminosos na imagem que indiquem o raio do círculo da 
função de espalhamento da imagem. Também é possível observar o rastro do objeto em movimento, que 
pode indicar a forma da linha na função de espalhamento de ponto. Observe na figura a seguir que o 
carro em movimento está bem focado, enquanto as árvores estão fora do foco.
Figura 37 – Movimento do carro na fotografia desfocou as árvores
 Observação
Apesar de o escopo não cobrir matemática, vale uma explicação: a 
função de espalhamento pontual considera a irradiação luminosa como 
um ponto e a imagem como algo na frente desse ponto.
92
Unidade II
Outro motivo é a falta de manutenção nos sistemas de circuito fechado de TV (CFTV), que gera 
degradação nas imagens. A rede elétrica pode gerar ruídos (interferências) periódicos na imagem – 
marcas ou trechos mais brilhantes que se repetem na imagem. Para remoção desses ruídos podem ser 
utilizados filtros de seleção, conhecidos como filtros notch, que suavizam a ação desses componentes 
espectrais na imagem.
No que se refere à distorção de lente, o ideal é que as imagens não apresentem curvaturas em 
trechos de retas, ou seja, distorções. Isso pode ser causado pelo uso de lentes com grande ângulo de 
visão. O problema acarreta dificuldades na estimação de medidas, como altura das pessoas ou trechos 
que aparentam ser curvas e não são. Exemplos de distorções podem ser vistos na figura a seguir:
Objeto real
Distorção 
barril
Distorção 
complexo
Figura 38 – Distorções mais comuns em imagens
As distorções afetam bastante a análise forense. Felizmente, muitos editores de imagem possuem 
filtros para a correção (ou introdução) de distorção de lente.
No que se refere a operações aritméticas, quando há uma sequência de imagens é possível 
identificar diferenças entre elas por meio de uma operação de subtração que envolva os valores de 
brilho dos pixels de cada uma. A figura a seguir dá uma ideia de como ocorre a subtração aritmética em 
duas imagens cuja única diferença é a falta de uma chaminé na segunda imagem.
A operação de adição também é utilizada. Calcula-se a média entre imagens sequenciais estáticas. 
Esse procedimento pode diminuir o ruído de imagens noturnas ou de difícil compreensão.
93
COMPUTAÇÃO FORENSE
Imagem 1 Imagem 2 Resultado da 
subtração
Figura 39 – Exemplo esquemático da subtração de imagens sequenciais
A fotogrametria é o conjunto de técnicas baseadas na perspectiva usadas para que imagens 
bidimensionais tenham efeito tridimensional. Além do maior realismo, isso permite que a real dimensão 
de alguns objetos na imagem seja estimada, ou pelo menos comparada.
Usos da fotogrametria na perícia forense de imagens: determinação da altura de indivíduos, 
estimação da velocidade de autos, determinação de volumes em barragens e escavações e medições de 
distância em imagens de satélite, entre outros exemplos.
Como tem por base a perspectiva, a aplicação da fotogrametria está sujeita à boa resolução da imagem 
analisada. Para a determinação das coordenadas no espaço tridimensional, tornam-se importantes os 
pontos de fuga e os cantos que a imagem contém. Por isso, as diversas degradações (falta de foco, 
contraste e brilho excessivo/insuficiente, ruídos, serrilhados de interpolação, entre outros efeitos) que 
uma imagem pode sofrer atrapalham bastante a aplicação da técnica. Até a intensidade da compressão, 
devido ao descarte de determinados pontos da imagem, pode ser prejudicial.
A posição da câmera no momento da fotografia influi na observação das extremidades de um objeto 
na imagem, fato que pode ajudar ou prejudicar a análise fotogramétrica. A figura a seguir mostra um 
exemplo de como o ângulo da foto pode influir na fotogrametria. Perceba como é difícil determinar a 
altura da pessoa, simplesmente pelo fato de o ângulo da foto não permitir uma análise fotogramétrica.
Figura 40 – Foto aérea de uma pessoa
94
Unidade II
Uma das principais técnicas para a determinação da altura de uma pessoa em imagens é a projeção 
reversa, também chamada de superposição de marcadores de comprimento. A técnica consiste em 
obter uma imagem de boa resolução que contenha o suspeito de corpo inteiro (pés e cabeça devem 
estar visíveis). Em seguida, o profissional forense deve fotografar o mesmo lugar, com uma régua ou 
escala graduada posicionada no lugar que o suspeito estava. A sobreposição das imagens deve permitir 
que se criem boas estimativas sobre a altura do suspeito.
Diversos programas de edição de imagem, até os gratuitos, permitem a projeção reversa. Entretanto, 
erros nas estimativas podem ocorrer devido à posição ruim da câmera na captura da primeira imagem. 
Ampliações de imagem também podem gerar imprecisões.
Uma alternativa à técnica de projeção reversa é o modelo matricial de projeção de câmera, que 
consiste na criação de uma matriz de projeção. Esse tipo de modelo estima coordenadas reais a partir 
de pontos de referência (objetos) fixos da imagem. Para isso, são necessários pelo menos seis pontos de 
referência de alta definição na imagem.
Outra forma para determinar é ter como base os pontos de fuga da imagem. Pontos de fuga 
são pontos para os quais linhas retas paralelas tridimensionais convergem quando são projetadas em 
imagens bidimensionais. Quando dois pontos de fuga se juntam, o resultado é uma linha de fuga, que 
define a altura da câmera (nível dos olhos) em relação ao plano horizontal usado como base. Veja um 
exemplo na figura a seguir:
PF PF
LHPV
LT
Observador de costas
Figura 41 – Exemplo de observador com dois pontos de fuga
Na figura há um observador postado em uma linha de terra (LT) e dois pontos de fuga (PF). Uma linha 
horizontal (LH) une os dois pontos de fuga na altura do ponto de vista (PV) do observador.
O passo a passo na determinação da altura de um observador é ilustrado na figura a seguir. Ele segue 
um procedimento:
1. Trace uma LH da cabeça do observador até o PF da esquerda (linha vermelha).
2. Trace uma LH da cabeça do observador até o PF da direita (azul).
95
COMPUTAÇÃO FORENSE
3. Trace uma linha reta da intersecção das PF (azul e vermelha) até a LT, nos pés do observador (verde).
PF PF
LHPV
LT
Indivíduo de costas
Figura 42 – Cálculo da altura de um observador usando pontos de fuga da imagem
Na figura, a medida da linha verde corresponde à altura do observador.
Métodos de fotogrametria podem ser usados para determinar velocidades de objetos, como carros 
ou motos, a partir de um vídeo ou sequência de quadros de imagens. Basicamente, a ideia é ter como 
referência um objetofixo na imagem e verificar, a cada quadro, a distância que o objeto em movimento 
vai adquirindo em relação a esse objeto fixo. Com base no tempo decorrido entre cada quadro é possível 
determinar a velocidade do objeto.
4.4 A ciência forense aplicada contra a pornografia infantil
São inegáveis os benefícios trazidos pelo avanço da tecnologia. Entretanto, também não se pode 
negar que a facilidade existente para a obtenção de imagens e vídeos pornográficos de crianças tem 
ajudado bastante os criminosos que praticam a pornografia infantil.
Antes mesmo de tratar sobre os assuntos relacionados à pornografia infantil, é importante desmitificar 
alguns contextos erroneamente estabelecidos. O termo pedofilia, que vem do grego e significa amor 
por crianças, é um distúrbio que acomete algumas pessoas. Segundo a Organização Mundial de Saúde 
(OMS), trata-se de um transtorno de preferência sexual por crianças, pré-adolescentes e adolescentes, 
independentemente do sexo (VELHO et al., 2016).
Como trata-se da denominação de um distúrbio, a pedofilia, por si só, não é um crime. O pedófilo 
não comete crime simplesmente por ter o transtorno. O crime acontece quando a pessoa com o 
distúrbio usa o corpo de uma criança para sua satisfação sexual, usando ou não violência física 
para isso – mesmo que isso seja de forma virtual, com o uso e compartilhamento de imagens 
e vídeos pornográficos de crianças. Acontece que uma pessoa que abusa de uma criança muitas 
vezes não tem transtorno algum, sendo, portanto, um criminoso abusador sexual de crianças, e não 
necessariamente um pedófilo. Na verdade, Velho et al. (2016) apontam que menos de 1% das pessoas 
diagnosticadas com pedofilia cometem abusos contra crianças, sendo que cerca de 99% das vezes o 
crime acontece pela mão daqueles que não têm o transtorno. Da mesma forma, para que não haja 
confusões de termos, o material impróprio que contenha fotos de crianças com conotação sexual ou 
abuso deve ser entendido como material de pornografia infantojuvenil.
96
Unidade II
 Lembrete
Muito importante: pedimos aos alunos que verifiquem bem o contexto 
do último parágrafo, para que não haja má interpretação. Pedofilia é 
um transtorno, uma espécie de distúrbio que faz com que alguém tenha 
atração por crianças. Por si só, o pedófilo não é um criminoso. O crime só 
é caracterizado quando alguém abusa, acessa ou compartilha pornografia 
infantil, lembrando que, segundo Velho et al. (2016), em 99% dos casos, 
esse tipo de crime é cometido por quem não tem o transtorno de pedofilia.
Por tudo isso, é importante que a ciência forense se dedique a entender o modo de pensar e a 
rastrear os atos desses criminosos.
De acordo com Velho et al. (2016), um ponto importante é que em cerca de 80% dos casos o 
abusador é um conhecido da criança e em 85% dos casos o abuso ocorre na própria residência, ou seja, 
trata-se de um problema interno em muitos lares. Outro detalhe é que 85% dos abusadores não são 
alienados mentais – fato que também desmitifica a ideia de que a pessoa que comete esse tipo de crime 
é incapacitada mentalmente.
A dinâmica dos abusos sexuais contra crianças, principalmente quando o atacante é conhecido, 
muitas vezes pode seguir a abordagem tradicional. Trata-se de conseguir a confiança da criança 
por meio de aproximações estratégicas, com a oferta de algum benefício ou vantagem à vítima. Isso 
pode ocorrer em qualquer lugar que não desperte desconfianças das outras pessoas, como parquinhos, 
campos, escolas, igrejas, casas de parentes ou amigos – mesmo porque, em geral, na maior parte das 
vezes o criminoso conhece a criança nesse tipo de abordagem. Quando o abusador percebe que a 
criança está segura e confiante e que não há perigo para ele, o abuso é consumado. É interessante 
perceber que a tendência é que na maioria dos casos o abusador vai continuar incorrendo no abuso 
enquanto se considerar seguro.
Há também a abordagem virtual, mais ligada aos novos meios de comunicação proporcionados 
pela tecnologia, como as redes sociais e os aplicativos instantâneos de mensagens. Para os criminosos, as 
vantagens desse tipo de abordagem são o anonimato e a possibilidade de alcançar muitas vítimas. Nesse 
tipo de abordagem, o criminoso procura ganhar a confiança da vítima através da troca de mensagens 
virtuais. Quando essas mensagens de texto adquirem teor erótico, este tipo de ação é denominado 
texting. De forma geral, assim que um laço de confiança é estabelecido, o abusador envia e/ou procura 
convencer a vítima a enviar conteúdo sexual em imagens e vídeos, o chamado sexting. A mobilidade 
oferecida pelos smartphones é um complicador adicional, pois um acompanhamento do conteúdo 
compartilhado pelos filhos em dispositivos móveis é sempre mais difícil para os pais do que a checagem 
em computadores pessoais fixos.
Além de todos esses problemas também existem as redes de exploração sexual infantis. Compostas 
por pessoas interessadas em ganhar dinheiro por meio do compartilhamento de material pornográfico 
97
COMPUTAÇÃO FORENSE
infantil, os participantes dessas redes vão além do compartilhamento de vídeos e imagens, colaborando 
para encontros com as vítimas, raptos, trabalho escravo, constrangimento, lavagem de dinheiro e 
chantagem, entre outros crimes relacionados. Em geral, os criminosos que gerenciam essas redes não 
participam dos abusos, mas isso também não é regra, já que o interesse deles é o lucro obtido com a 
pornografia infantil.
Pode-se perceber que a perícia forense deve se estender além da análise de imagens e vídeos de 
pornografia infantil. Os peritos devem se debruçar também sobre as atividades exercidas por essas redes, 
correlacionando fatos, atividades na internet e transações financeiras que esses grupos realizam.
4.5 A visão da lei
Há alguns movimentos legais criados para garantir o direito das crianças em relação ao abuso e 
riscos relacionados à pornografia infantil. A Organização das Nações Unidas (ONU) definiu em 1989 a 
Convenção sobre os Direitos da Criança, que reconhece a criança como um elemento que precisa de 
proteção, dada sua falta de amadurecimento físico e mental. Esse documento relevante, assinado por 
mais de duzentos países, fixou as bases para que outras leis surgissem pelo mundo, inclusive no Brasil. 
O Estatuto da Criança e do Adolescente (ECA) – Lei n. 8.069/1990 foi um grande passo brasileiro 
nessa direção. Em 25 de novembro de 2008, a Lei n. 11.829/08 alterou o ECA, criminalizando no 
Brasil a posse e o compartilhamento de material que contenha pornografia infantil. O ECA estabelece 
que crianças são os indivíduos com até 12 anos incompletos e adolescentes são os indivíduos entre 
12 e 18 anos.
 Saiba mais
Leia essas leis na íntegra em:
BRASIL. Lei n. 8.069, de 13 de julho de 1990. Brasília, 1990. Disponível em: 
http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 18 jan. 2021.
BRASIL. Lei n. 11.829, de 25 de novembro de 2008. Brasília, 2008. 
Disponível em: planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11829.htm. 
Acesso em: 18 jan. 2021.
Antes de mais nada, se um crime envolvendo pornografia infantil aconteceu, é preciso provar a 
materialidade e a dinâmica dos fatos, com a identificação dos autores. A identificação dos criminosos é 
importante não apenas para elucidar os crimes, mas para que se estabeleçam as penas, pois em crimes 
envolvendo pornografia infantil, a imputabilidade (inocência) não pode ser alegada devido a problemas 
mentais. Isso ocorre porque a justiça entende que se um criminoso é pedófilo, apesar da doença, esse 
indivíduo é dono das próprias escolhas e deveria controlar suas vontades dentro do que expressa a lei.
98
Unidade II
 Lembrete
A pedofilia não é crime. Trata-se de uma doença. A prática de atos 
pedófilos, como abuso de crianças ou posse e compartilhamento de 
pornografia infantil, é considerada um crime.
O art. 227 da Constituição Federal ressalta que tanto o Estado como a família têm responsabilidades 
na proteção da criança e do adolescente