Sala de Aula2_ Estacio

Prévia do material em texto

Computação Forense
Aula 2: Preservação de evidências durante a coleta
Apresentação
Nesta aula prosseguiremos com os conceitos sobre a preservação de evidências. Abordaremos alguns conceitos
importantes sobre o tema durante coleta e análise, bem como sobre alguns softwares e dispositivos que auxiliam nesse
processo de coleta de dados.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Descrever os procedimentos para preservação de evidências durante a coleta;
Descrever os procedimentos para preservação de evidências durante a análise;
Identi�car os softwares e dispositivos para a coleta de dados.
Buscas e apreensões de informática
Quando as equipes realizam o instituto da busca e apreensão em residências, empresas e outros locais, os peritos são
responsáveis por orientar a equipe no momento de selecionar, preservar e coletar os equipamentos de informática para
analisar posteriormente, efetuando o trâmite forense.
 Fonte: O autor.
Identi�cação do local
A primeira função do especialista é realizar a identi�cação
do local, identi�cando os equipamentos de informática
existentes, incluindo computadores, laptops, switchs, redes
wi� e outros dispositivos.
Preservacão dos vestígios digitais
Imediatamente devem ser tomadas algumas providências
visando sempre salvaguardar a preservação dos vestígios
digitais, que incluem: Impedir que pessoas estranhas à
equipe utilizem os equipamentos de informática existentes
sem a anuência/supervisão do perito; Não ligar
equipamentos computacionais que estejam desligados.
Interrupção das conexões de rede
Posteriormente, dependendo do tipo de situação no local,
também é recomendável interromper quaisquer conexões
de rede que possam existir, desconectar a fonte de
alimentação do dispositivo e/ou computador, evitando-se
sempre o desligamento do dispositivo, a menos que não
exista, em hipótese alguma, outra possibilidade.
No entanto, tais medidas só devem ser tomadas se o perito
determinar que as provas não serão perdidas.
Em alguns casos, quando computadores estiverem ligados, pode ser necessário copiar os dados da memória RAM (Random
Access Memory) antes de desligá-los. A memória RAM é volátil, e seus dados são perdidos quando o computador é desligado.
Assim, caso o perito suspeite que evidências estejam contidas nesse tipo de memória, ferramentas próprias podem ser usadas
para realizar tal cópia.
Atenção
Não é recomendado usar dispositivos locais para veri�car se eles contêm informações relacionadas ao possível ilícito. É visto que,
em um computador, mesmo que o usuário não exclua nenhum arquivo, um simples script pode ser capaz de excluir ou alterar os
dados armazenados.
Somente pro�ssionais treinados podem efetuar a inspeção dos equipamentos de informática, evitando assim alterações em
seu conteúdo. Essa veri�cação utiliza software e equipamento forense, que serão discutidos a seguir.
Após realizar os procedimentos descritos, deverão ser coletados os equipamentos computacionais que possam conter as
evidências desejadas, realizando assim o acondicionamento de forma correta.
A fase de preservação é extremamente importante pois ela certi�ca que as informações armazenadas nos materiais a serem
analisados não foram modi�cados. Tal como acontece com uma cena de crime normal, as provas devem ser mantidas lá.
Não há diferença no mundo cibernético: Os dados contidos no dispositivo
não podem ser alterados. Devem ser tomados alguns cuidados nesta etapa,
pois mesmo com um comando simples podemos alterar os dados
armazenados no dispositivo digital.
Exemplo
Ao abrir um computador com um sistema operacional típico da família Windows instalado no disco rígido, os dados contidos
serão alterados mesmo que o usuário não tenha ocasionado nenhuma alteração direta.
Preservação de evidências durante a coleta
Evidências digitais devem ser mantidas preservadas em todos os momentos para garantir sua integridade. O processo de
preservação envolve a proteção de possíveis evidências digitais e dispositivos digitais que possam conter evidências digitais
para prevenir saques ou adulterações.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atenção
Recomenda-se não isolar os próprios dados ou quaisquer metadados associados a eles (como data e hora). O perito deve ser
capaz de provar que a evidência não foi modi�cada desde sua coleta ou aquisição; ou, se uma mudança inevitável foi feita, ele
deve fornecer uma base e ação por escrito.
Na etapa de preservação da evidência digital e de dispositivo digital, é importante manusear e acondicionar estes artefatos de
um modo que seja minimizada a possibilidade em espoliação ou adulteração:
Espoliação
Pode resultar de uma degradação
magnética, degradação elétrica, devido a
alguns fatores como temperatura elevada,
exposição à alta ou baixa umidade, bem
como choques e vibrações.

Adulteração
Pode resultar de um ato intencional de
adulterar ou permitir mudança da
evidência digital. Por esse motivo, é
fundamental manusear as “cópias” de uma
evidência digital e utilizar o dado original o
mínimo possível.
Atividade mais importante no processo de preservação é manter a
integridade e autenticidade da evidência digital e sua cadeia de
custódia.
O equipamento digital coletado e a evidência digital adquirida devem ser armazenados em instalações apropriadas e equipadas
com controles de segurança física, controle de acesso, sistemas de vigilância ou sistemas de detecção de intrusão ou outras
medidas de controle ambiental para preservar a evidência digital.
Para �ns de segurança pessoal, pode proteger e prevenir perdas, danos e adulterações, e garantir a capacidade de auditoria
quando necessário.
Atenção
Não é recomendado conectar dispositivos de computação da forma tradicional, tudo deve ser feito para garantir que os dados
existentes não sejam alterados, por isso é extremamente necessária a utilização de software especí�co.
Somente pro�ssionais treinados podem efetuar a inspeção dos equipamentos de informática, evitando assim alterações em
seu conteúdo. Essa veri�cação utiliza software e equipamento forense, que serão discutidos a seguir.
Após realizar os procedimentos descritos, deverão ser coletados os equipamentos computacionais que possam conter as
evidências desejadas, realizando assim o acondicionamento de forma correta.
Clique nos botões para ver as informações.
Para dispositivos portáteis, como pendrives e cartões de memória, também devem ser tomados cuidados, pois
simplesmente conectar um desses dispositivos à porta USB de um computador com sistema operacional Windows irá
alterar os registros de dados no dispositivo e no computador. Equipamentos e softwares especí�cos de duplicação ou
com bloqueio de escrita devem ser usados para garantir que os dados sejam armazenados corretamente.
Dispositivos portáteis 
Devido à fragilidade e sensibilidade das mídias de armazenamento computacional, os exames forenses devem ser
realizados usando cópias �éis obtidas dos materiais originais, sempre que possível. Portanto, a cópia do dispositivo
original deve ser realizada utilizando uma das seguintes técnicas de computação: Espelho ou imagem.
Para tanto, devem ser utilizados equipamentos e softwares forenses especí�cos, que serão descritos a seguir.
Espelho ou imagem 
Técnicas de registros
Recomenda-se que, durante a fase de preservação, os peritos usem tecnologia capaz de registrar o conteúdo dos dados
presentes no dispositivo. Na perícia digital, as provas são digitais, por isso é impossível fotografar os dados contidos no disco
rígido.
Porém, existem algumas técnicas que podem ser utilizadas para realizar este registro, sendo a principal delas o cálculo de hash
de parte e/ou de todo o conteúdo da mídia.
Uma das partes mais importantes da investigação digital consiste na preservação da cena do crime e das evidências. Na fase
de pesquisa e coleta e preservação de informações são utilizadas ferramentas forenses e devem sercriadas imagens (cópias
físicas) dos discos rígidos dos computadores considerados suspeitos de terem sido utilizados no ato ilícito (ELEUTÉRIO;
MACHADO, 2010).
Ao coletar materiais para análise, existem dois perigos principais:
Perda Mudança da evidência
Se as precauções necessárias não forem tomadas, dados importantes serão sobrescritos ou perdidos no todo ou em parte,
alterando seu signi�cado ou apagando informações importantes.
A coleta inadequada pode minar completamente as investigações
forenses, especialmente para �ns judiciais.
Desse modo, alguns aspectos fundamentais devem ser considerados durante a etapa de coleta e preservação de material para
análise:
1
Tratar cada informação como se ela fosse ser usada para �ns
judiciais.
2
Coletar o máximo de material possível, observando sua
ordem de volatilidade.
1
3
Autenticar, identi�car, catalogar e preservar cada item
coletado.
Comentário
https://stecine.azureedge.net/webaula/estacio/go0687/aula2.html
Uma vez terminada a etapa de coleta, geralmente não há retorno ao local, de modo que algumas das informações inicialmente
consideradas desnecessárias podem ter desaparecido (no caso de dúvida, é melhor coletar).
Acondicionamento de evidências
No processo de preservação de evidências devemos primeiramente efetuar a coleta dos dados. Uma forma de preservação se
dá no momento da coleta.
Se por algum motivo o sistema tiver de ser desligado, não se deve realizar essa tarefa executando o algoritmo de desligamento
do sistema operacional, mas simplesmente "desconecte o cabo de alimentação", o que pode impedir que scripts de possível
exclusão de evidências sejam executados, fazendo com que o disco �que inacessível, e os dados em cache não são
sincronizados.
Em ambas as situações de desligamento do sistema, o estado dinâmico é inevitavelmente perdido, exceto para dados
paginados no disco. 
Após a coleta, geralmente nos deparamos com a necessidade de acondicionamento e transporte de material. Alguns cuidados
devem ser tomados para evitar que as evidências sejam comprometidas, tanto do ponto de vista físico quanto do ponto de
vista lógico. Os principais causadores de dano são:
Clique nos botões para ver as informações.
Principais causadores de danos aos equipamentos e mídias computacionais. Compressão excessiva por empilhamento
para acondicionamento ou para transporte, bem como quedas e abrasões são os principais agentes de desgastes de
equipamentos e mídias.
Acondicioná-los de forma apropriada garante sua durabilidade. Caixas especiais, plástico-bolha e cuidados no manuseio
são as principais precauções a serem tomadas.
Choques mecânicos 
A sensibilidade à temperatura é outro fator que merece atenção especial, principalmente quando se trata de mídias
ópticas de polímero que tendem a se deformar quando expostas ao calor e à incidência direta de luz solar.
Existem ainda as situações em que o equipamento �ca exposto a variações de temperatura, muitas vezes nos extremos
de frio e calor. É natural nesses casos que, com as sucessivas contrações e dilatações dos materiais, algo se dani�que.
Alguns tipos de soldas em placas de circuito tendem a se romper com o excesso de variação de temperatura, bem como
a superfície usada para registrar as informações nas mídias ópticas.
Temperatura Inadequada 
A presença de umidade causa crescimento de fungos e oxidação, corroendo as trilhas dos circuitos integrados e a
superfície das mídias ópticas e controladoras de circuitos de mídias magnéticas. Manter as evidências isoladas de
ambientes úmidos é essencial para sua durabilidade. Uma boa prática é sua preservação em ambientes climatizados ou
com adição de sílica gel.
Umidade excessiva 
Mídias magnéticas são especialmente vulneráveis a esses campos, principalmente os discos �exíveis e �tas magnéticas
de forma geral. Alto-falantes, imãs, motores e outras fontes geradoras de tais campos devem ser evitados.
Campos magnéticos 
A sensibilidade dos componentes computacionais às mais diversas formas de eletricidade, principalmente a estática,
deve ser levada em consideração na hora de escolher o local de acondicionamento e manuseio dos equipamentos
eletrônicos.
Pulseiras especiais, plásticos antiestáticos e bancadas emborrachadas são indicadas para manuseio desses
equipamentos.
Campos elétricos 
Diante da pluralidade de agentes deterioradores dos vestígios, é preciso levar em conta dois fatores:
O tempo e os meios de transporte do local de recolhimento até o local de acondicionamento.
O tempo de duração deste para que os exames forenses se iniciem.
Muitas vezes as evidências aguardam bastante tempo antes de serem analisadas, tornando seu processo de conservação
crucial na obtenção de resultados satisfatórios.
Sendo assim, tratar adequadamente os vestígios de crime nos quais se
desenvolvam atividades relacionadas com dispositivos computacionais
requer atenção e aplicação dos princípios, técnicas e boas práticas aqui
apresentadas.
Ademais, manter-se atualizado no tocante a esse tratamento enseja também constante atualização do pro�ssional forense,
pois, ao passo que os intervalos de tempo em que novas tecnologias despontam no mercado se tornam cada vez menores, a
variedade de produtos se torna cada vez maior.
Em alguns casos, se houver evidências digitais, os peritos criminais podem ser obrigados a acompanhar uma operação policial.
Para essas situações e outras em que o conhecimento especializado ou a coleta inicial de dados são realizados, devem ser
tomadas precauções para garantir que o local seja adequadamente isolado. O vestígio digital é extremamente volátil.
Se o local não estiver devidamente isolado, os dados de interesse podem ser corrompidos ou excluídos. Para evitar danos às
evidências, é recomendado não permitir que os usuários baseados naquele ambiente acessem seus computadores, nem
interrompam as comunicações da rede externa, de forma que comandos de remoção remota de dados não possam ser
executados.
1
Ao encontrar um computador desligado não se deve, em hipótese alguma, ligá-lo. O principal motivo dessa
recomendação é salvar os dados ali contidos e não alterar a evidência. Quando o computador é ligado, o processo de
inicialização do próprio sistema operacional fará alterações em alguns dados, e essas alterações podem ser detectadas
veri�cando os metadados dos arquivos.
2
Além disso, acessar diretamente o arquivo de interesse no computador também alterará, pelo menos, os dados de
tempo do arquivo. Portanto, é preferível criar uma imagem de computador e analisá-la.
3
Se o dispositivo for apreendido, ele deve ser rotulado, incluindo o nome da pessoa que estava utilizando-o. Também é
recomendável que você peça a senha de usuário para acessar o dispositivo.
4
Dispositivos com senhas podem exigir mais tempo para acessar os dados e até tornar a experiência inviável. Desta
forma, a senha pode ser solicitada sem que haja qualquer prejuízo. Se os usuários colaborarem, anote a senha para que
você possa usá-la se necessário.
5
Todos os dispositivos com conexão a uma rede de telefonia devem ser colocados no modo avião. Se não for possível,
remova o chip do cartão SIM e desligue-o. Este processo é importante porque o sistema do dispositivo móvel permite
bloquear o dispositivo e apagar dados remotamente. Ao colocar o dispositivo em modo avião, esse risco pode ser
eliminado.
6
Para ajudar na preservação das evidências, um bom laboratório de computação forense deve possuir hardware e
software especializados que proporcionem as condições técnicas, de forma e�ciente, para se obter e processar os
dados digitais, transformando-os na própria evidência. Essas tecnologias estão disponíveis em produtos comerciais,
softwares desenvolvidos por peritos e softwares livres.
Duplicação de dados de forma forense
Uma das primeiras atividades a ser realizada no laboratório é a cópia dos dados dos equipamentos originais. É nessas cópias
que as análises serão realizadas.
Para fazer uma imagempericial, sempre visando preservar o conteúdo original, todos os bits do dispositivo original devem ser
copiados, incluindo os da área não alocada do sistema de arquivos. Além desse requisito, a evidência digital deve ser
bloqueada para evitar operações de gravação na interface à qual está conectada.
Este cuidado deve ser tomado para que nenhum dado seja alterado ao conectar à mídia original. Conectar-se à mídia original
sem proteção contra gravação pode alterar os dados ou metadados do arquivo, e as partes interessadas podem questionar
essas alterações.
Saiba mais
Existem equipamentos especializados em duplicação pericial que permitem que as cópias sejam feitas de forma bastante
simpli�cada, bem como asseguram as recomendações citadas. Algumas opções de equipamentos que podem existir em um
laboratório de computação forense são o Solo IV, da empresa ICS, e o Tableau TD3, da empresa Guidance Software.
Esses equipamentos possuem entradas protegidas contra escrita para conexão das evidências originais, diversos tipos de
adaptadores para as interfaces mais comuns de mídias de armazenamento, entre elas, adaptadores para conexões IDE, SATA,
SAS, USB, cartões de memória SDCard, discos M2, entre outros. Possuem também a vantagem de serem portáteis, podendo ser
levados a campo.
As Figuras 1 e 2 ilustram os equipamentos:
 Figura 1 - IM SOLO-4 G3 PLUS FORENSIC ENTERPRISE HARD DRIVE DATA
ACQUISITION. Fonte: Intelligent Computer Solutions – ICS.  Figura 2: Tableau Forensic Duplicator TD2u. Fonte: Guidance Software.
Se a utilização de um equipamento comercial especializado em duplicação de dados não for uma opção, existem soluções de
software livre para esse processo. Uma forma de realizar essa cópia é usar uma distribuição Linux preparada para análises
forenses. Estas distribuições permitem que se monte o disco original do suspeito no modo “somente leitura”.
Uma vez montado o disco das evidências, as cópias podem ser feitas por programas que acompanham essas distribuições,
como, por exemplo, o dd, dc3dd, dc�dd, entre outros. Esses programas farão uma cópia de todos os bits do disco de origem,
inclusive áreas não alocadas. Alguns deles já realizarão também o cálculo do hash dos dados originais e do arquivo de destino.
Duas distribuições que fornecem ferramental forense são o SIFT e o Caine.
Preservação da evidência durante a análise e suas ferramentas
Uma vez que foi realizada a imagem dos dados e se garantiu sua preservação e integridade por meio de hash, a próxima etapa
é o processamento e a análise dos dados. Essa etapa envolve a restauração dos dados na mídia (muitos dos quais foram
apagados) e a disponibilização desses dados a especialistas para que possam ser analisados.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Comentário
Portanto, a principal ferramenta nesta fase do processo deve compreender o sistema de arquivos envolvido, executar técnicas de
recuperação de dados apagados, indexar esses dados para pesquisas futuras e interpretar essas informações de modo que
grandes quantidades de dados possam ser organizadas em subgrupos, facilitando assim a análise de especialistas.
Para essa tarefa, os principais softwares comerciais são o Encase e o FTK. Alternativamente, o IPED (Indexador e Processador
de Evidências Digitais) é uma solução desenvolvida por peritos criminais da Polícia Federal que tem se mostrado bastante
interessante e está disponível para o uso de peritos de outras instituições de segurança pública.
Por �m, existem algumas opções livres, como The Sleuth Kit - TSK - e Autopsy.
The Sleuth Kit e Autopsy The Sleuth Kit (TSK) é um conjunto de ferramentas de linha de comando e bibliotecas em C para
análise de disco rígido e recuperação de arquivos. O Autopsy é um ambiente grá�co que proporciona uma interface mais
amigável sobre o TSK. Ambas as ferramentas são livres, de código aberto e estão em constante desenvolvimento pelos seus
mantenedores.
Os programas do TSK são ótimas ferramentas para destrinchar e analisar os dados de um disco e tem um papel didático
importante, servindo como bloco de construção para ferramentas mais integradas, porém são pouco e�cientes para lidar com
diversos casos nos quais o interesse é a recuperação do maior número de dados possível e a correta visualização em tempo
hábil.
Comentário
Dessa forma, surge a necessidade de se utilizar uma ferramenta que integre os diversos programas do TSK e forneça uma
interface mais produtiva. Uma opção é o Autopsy.
O Autopsy utiliza as bibliotecas do TSK e apresenta uma interface grá�ca intuitiva para o processamento dos dados a serem
analisados. Após entrar com alguns dados sobre o caso, deve-se informar o arquivo de imagem, que é a cópia forense realizada
conforme descrito anteriormente.
Este arquivo pode estar no formato bruto, também conhecido como raw ou dd, ou em algum outro formato usado por algum
software ou equipamento de duplicação de dados. Um formato popular é o E01, introduzido pela EnCase e usado por vários
outros programas. A Figura 3 ilustra uma tela do Autopsy”.
 Figura 3: Autopsy.
Outro recurso que pode ser utilizado são os sistemas operacionais forenses que, quando gravados em uma mídia, são capazes
de inicializar os computadores, disponibilizando acesso somente leitura (read-only) para que os discos rígidos possam ser
inspecionados.
Os hardwares forenses são equipamentos que auxiliam na realização de imagens forenses dos diversos tipos de dispositivos e
mídias, sempre garantindo que o conteúdo a ser copiado não seja alterado.
Alguns equipamentos permitem buscas e veri�car a árvore de diretórios como o Tableu. Esses equipamentos também podem
funcionar como leitor de discos rígidos com o bloqueio de escrita habilitado.
Se o perito não estiver preparado para realizar tais procedimentos forenses, o melhor a fazer é cumprir a cadeia de custódia e
coletar tais equipamentos para serem examinados posteriormente em laboratório.
Assim como no cumprimento de mandados de busca, tais apreensões deverão ser realizadas somente se existirem suspeitas
de que esses dispositivos contenham evidências necessárias à investigação.
Além de realizar as cópias de segurança das evidências, documentos, pesquisas e outros processos semelhantes, os peritos
também precisam de um software especí�co para executar tarefas forenses.
Como requisito dessas ferramentas, além de processar arquivos criptografados e armazenar no espaço não alocado, eles
também podem garantir o acesso a informações que podem ter sido excluídas ou ocultas.
No entanto, a maioria dos softwares tem alguns bugs. Como sabemos, existem setores nos discos rígidos que podem ser
usados para ocultar dados, por exemplo, áreas chamadas Host Protected Area (HPA) e Device Con�guration Coverage Area
(DCO).
Essas áreas são desa�os porque nem sempre são acessíveis às ferramentas, visto que o Sleuth Kit e o software Encase não
são capazes de detectar intrusões nelas.
 Ferramentas forenses comerciais
 Clique no botão acima.
Algumas ferramentas forenses comerciais e livres populares dentre os investigadores de vários países:
O software EnCase é um conjunto de ferramentas baseadas em interface grá�ca Windows (GUI). Apesar do custo
altíssimo, esta ferramenta é a mais popular entre os investigadores em diversos países. Pode-se citar como uma
das principais vantagens no uso do Encase a sua documentação clara, extensa e cheia de ilustrações.
A interface organizada permite ao usuário visualizar os dados através de três maneiras diferentes, sendo que
essas visões incluem galerias de fotos e imagens de evidências. O software EnCase Forensic também pode ser
utilizado para analisar diferentes tipos de mídias, como Palm tops e a maioria de unidades removíveis
(LAWRENCE, 2009).
Graças à completude deste excelente conjunto de ferramentas forense, as fases de criação de imagens,
visualização e aquisição de vestígios, veri�cação, recuperação, análise, preservação e documentação das
evidências coletadaspodem ser realizadas.
AccessData Forensic Toolkit, também conhecido como FTK, é considerado de fácil utilização para pro�ssionais
familiarizados com ferramentas forenses.
Este conjunto comercial de ferramentas, além de conter limpadores de mídias utilizados para salvar imagens de
discos rígidos em mídias removíveis de maneira limpa e íntegra, possui programas para recuperação de dados e
discos, assim como visualizadores de registros e outros utilitários.
[...] Além do software possuir sua própria ferramenta para criação de imagens, o FTK pode ler imagens
produzidas pelo Encase, pelo Linux DD, Safeback e outros softwares forenses. O perito pode utilizar o FTK para
realizar as tarefas correspondentes às fases de Aquisição, Análise, Preservação e Documentação do processo de
investigação forense.
O Sleuth Kit (TSK) é um conjunto de ferramentas de código aberto desenvolvido com base no software The
Coroner's Toolkit (TCT). Este toolkit foi desenvolvido estritamente para rodar em plataforma Unix/Linux. O
desempenho deste conjunto de ferramentas é considerado alto e de qualidade similar a sistemas forenses
comerciais.
Entretanto, não existe suporte direto, exceto contato através do e-mail do desenvolvedor da ferramenta. O TSK
tem ênfase em análise Post-mortem, porém foi desenvolvido com a �nalidade de evitar alterações durante a
execução de suas funcionalidades, permitindo uso com o computador investigado ainda ligado (LIMA, 2009).
A recuperação de arquivos apagados, exibição de informações do sistema de arquivos e de dados sobre tempos
de acesso são funcionalidades do TSK. [...]
A ferramenta WFT foi criada por Monty McODougal em 2003, e é considerada uma das mais completas e
so�sticadas em programas forenses.
Além de analisar dados da memória, informações do sistema, número de portas, processos em execução,
usuários registrados, con�gurações de rede e todos os outros dados que as ferramentas FRED e IRCR também
analisam, o WFT contém um gerador de relatórios no formato HTML, o qual facilita ainda mais o trabalho do
perito forense.
(RODRIGUES; FOLTRAN JUNIOR, p. 107-109)
Atividade
1. Em buscas e apreensões de informática, o tipo de investigação é um fator a ser considerado para a tomada de decisão sobre
apreender ou não determinados equipamentos computacionais. Supondo que a investigação é sobre impressão de cédulas de
Real falsas, qual alternativa contém os equipamentos computacionais mais indicados a serem apreendidos?
a) Dispositivo de armazenamento computacional e Impressora.
b) Notebooks e webcams.
c) CDs e DVDs.
d) Discos rígidos e elementos de rede.
e) Servidores, mainframes e no-breaks.
2. Ao chegar a um local de busca e apreensão de informática, diversas providências devem ser tomadas, exceto:
a) Não ligar os equipamentos computacionais que estejam desligados.
b) Interromper as conexões de rede eventualmente existentes.
c) Dependendo da situação encontrada no local, e não havendo possibilidade de perda de dados e da necessidade de flagrante delito,
retirar a fonte de energia dos equipamentos computacionais.
d) Impedir que pessoas estranhas à equipe manipulem os equipamentos.
e) Sempre apreender todos os dispositivos computacionais encontrados no local.
3. Conjunto de ferramentas de código aberto desenvolvido com base no software The Coroner's Toolkit (TCT), utilizado via linha
de comando e bibliotecas em C com foco em análise de discos rígidos e recuperação de arquivos.
a) First Responders Evidence Disk (FRED).
b) WFT.
c) TSK.
d) FTK.
e) Encase.
Notas
Material1
O termo “material” é usado no sentido amplo de “tudo que pode ser coletado”, seja �sicamente tangível ou não, como, por
exemplo, informações digitais, hardware, documentação, con�guração das conexões externas da máquina (cabos de rede,
impressoras e outros dispositivos externos), anotações e post-its.
Referências
COSTA, M.A.S.L. Computação forense: a análise forense no contexto da resposta a incidentes computacionais. 3.ed.
Campinas: Millenium, 2011.
ELEUTÉRIO, P.M.S.; MACHADO, M.P. Desvendando a computação forense. São Paulo: Novatec Editora, 2010.
GUIMARÃES, C.C. et al. Forense computacional: aspectos legais e padronização. Campinas: Unicamp, 2008.
LAWRENCE, K.R. Tools for computer forensics: A Review and Future Works. Proceedings of the 47th Annual Southeast
Regional Conference, 2009, Clemson, South Carolina, USA, March 19-21, 2009.
LIMA, A.D.L. Ferramenta de análise forense computacional em sistemas Linux vivos. In: XIX Congresso de Iniciação Cientí�ca.
2009, Natal. Anais do CIC 2009, 2009.
REIS, M.A.; GEUS, P.L. Análise forense de intrusões em sistemas computacionais: técnicas, procedimentos e ferramentas.
Campinas: Unicamp, 2002.
RODRIGUES, T.S.; FOLTRAN JUNIOR, D.C. Análise de ferramentas forenses na investigação digital. Revista de Engenharia e
Tecnologia, v. 2, n. 3, p. 102-113, dez. 2010.
VELHO, J.A. Tratado de computação forense. Campinas: Millenium Editora, 2016.
Próxima aula
Crimes cibernéticos.
Explore mais
Acesse o software Kali Linux
javascript:void(0);