INTRODUÇÃO À INFORMÁTICA FORENSE

Prévia do material em texto

INFORMÁTICA FORENSE 
 
2 
 
 
1. SUMÁRIO 
 
 
INTRODUÇÃO ........................................................................................................................................... 3 
INFORMÁTICA FORENSE ...................................................................................................................... 4 
CRIMINALÍSTICA ..................................................................................................................................... 4 
Metodologia da Investigação Criminal ................................................................................................... 6 
Elementos comuns a todos os tipos de crime ...................................................................................... 8 
PROVA ..................................................................................................................................................... 10 
Classificação Prova ................................................................................................................................ 10 
COMPUTAÇÃO FORENSE ..................................................................................................................... 11 
CONSIDERAÇÕES INICIAIS SOBRE A INVESTIGAÇÃO FORENSE COMPUTACIONAL ................. 15 
Atuação dos invasores .......................................................................................................................... 16 
ETAPAS DA PERÍCIA COMPUTACIONAL ............................................................................................ 18 
ELABORAÇÃO DO LAUDO ................................................................................................................... 21 
TÉCNICAS ANTI FORENSE .................................................................................................................. 22 
MATERIAL DE APOIO ............................................................................................................................ 28 
REFERÊNCIAS ........................................................................................................................................ 29 
 
 
 
 
 
 
 
 
 
 
 
3 
2. INTRODUÇÃO 
 
Caros alunos(as), 
 
A evolução da sociedade foi acompanhada pelo avanço tecnológico que cada 
vez mais atinge as diferentes camadas da sociedade. Os crimes crescem a cada dia e 
para que um indivíduo seja condenado é necessário que todo o rito processual seja 
cumprido. 
 
Com a evolução das tecnologias e o uso cada vez maior da informática na 
sociedade, os crimes também atualmente fazem uso desta tecnologia. A cada dia torna-
se mais primordial a análise de computadores pela perícia forense computacional, já 
que muitos criminosos utilizam recursos de criptografia como métodos anti forenses 
visando assim retardar e até mesmo impedir a investigação de um equipamento. 
 
A perícia forense computacional preza muito pela integridade e preservação 
dos dados, ou seja, nada pode ser alterado e neste caso o uso do conteúdo da memória 
seria invalidado já que o mesmo deixa de existir assim que o equipamento é desligado. 
O objetivo deste trabalho é demonstrar a possibilidade ou não de se obter o conteúdo 
da memória do equipamento no momento da apreensão baseado em metodologias de 
perícia convencional como a balística forense e a papiloscopia forense onde as provas 
são manuseadas para se obter a veracidade dos fatos, ou seja, tal fato só é permitido 
devido à metodologia poder ser comprovada e aceita perante um tribunal. 
 
No caso da perícia forense computacional o conteúdo da memória deixando de 
existir assim que o equipamento for desligado é necessário que algo possa validar esta 
investigação já que no conteúdo da memória podem existir arquivos descriptografados. 
 
Isso também ocorre na coleta de digitais que estão presentes na cena do crime 
de forma latente, onde só é possível a coleta através do uso de elementos químicos, 
os quais são utilizados para perpetuar a prova, mas não comprometendo a análise ou 
danificando-a. 
 
Bons estudos! 
 
4 
3. INFORMÁTICA FORENSE 
 
3.1. CRIMINALÍSTICA 
 
Considera-se a criminalística uma matéria nascida da Medicina Legal, esta 
quase tão antiga quanto a própria humanidade. Isto porque nas épocas passadas o 
médico era pessoa de grande saber sendo, portanto sempre consultado, mas com os 
avanços dos diversos ramos das ciências, como a Química, a Biologia e a Física, houve 
a necessidade de especialização, o que fez com que outros profissionais passassem a 
ser consultados. 
 
Conjunto de conhecimentos que estuda o crime e as circunstâncias por ele 
produzido, tendo por finalidade produzir a prova material. 
 
"É a disciplina que tem por objetivo o reconhecimento e interpretação 
dos indícios materiais extrínsecos, relativos ao crime ou à identidade 
do criminoso" (I Congresso Nacional de Polícia Técnica, realizando 
em 1961). 
 
“Conjunto de conhecimentos que, reunindo as contribuições das várias 
ciências, indica os meios para descobrir crimes, identificar os seus 
autores e encontrá‐los, utilizando‐se de subsídios da química, da 
antropologia, da psicologia, da medicina legal, da psiquiatria, da 
datiloscopia, etc., que são consideradas ciências auxiliares do Direito 
penal”. (ENCICLOPÉDIA SARAIVA DE DIREITO, v. 21, 1997:486). 
 
Afirma-se que a criminalística nasceu com HANS GROSS, o qual é 
considerado o pai, já que foi ele quem cunhou este termo, juiz de instrução e professor 
de direito penal austríaco, autor da obra “System Der Kriminalistik”, em 1893. 
Considerada um manual de instruções dos juízes de direito, a qual definia a 
criminalística como “O estudo da fenomenologia do crime e dos métodos práticos de 
sua investigação”. 
 
Atualmente, os automóveis mais recentes geram e armazenam dados digitais 
e metadados que criam um registro detalhado da localização, velocidade e condição 
 
5 
operacional de cada veículo a qualquer momento. Esses dados transformam os 
veículos modernos em ferramentas forenses poderosas adicionais, permitindo que os 
investigadores reconstruam eventos que antecederam, ocorreram durante e 
sucederam a um acidente; esses dados podem até mesmo ajudar a determinar quem 
foi responsável pelo acidente, mesmo na ausência de evidências físicas ou 
testemunhas oculares tradicionais. 
 
Criminalística é definida como disciplina cujo objetivo é o reconhecimento e 
interpretação dos indícios materiais que não fazem parte do corpo humano ou à 
identidade das pessoas envolvidas no delito. Englobando conhecimentos estruturados 
em várias outras disciplinas como a Matemática, Química, Tecnologia, a criminalística 
tem como objetivo principal, a ampliação do conhecimento e desenvolvimento de novas 
técnicas para o aperfeiçoamento da evidência, fornecendo assim a justiça provas 
objetivas. 
 
A criminalística pode ser dividida em duas fases, sendo a primeira aquela em 
que se buscava a verdade através de métodos primitivos, mágicos ou através da 
tortura, considerando que na maioria das vezes não se conseguia obter uma confissão 
do acusado de forma espontânea. A segunda fase procurava a verdade através de 
métodos racionais, surgindo assim os fundamentos científicos da criminalística 
deixando de lado as crenças nos milagres e mágicas. 
 
Paralelamente verificou-se que através das ciências naturais é possível 
interpretar os vestígios do delito através da análise das evidências do fato e sua autoria. 
 
Desde o seu surgimento a criminalística visa estudar o crime de forma a não 
distorcer os fatos, zelando pela integridade e sempre perseguindo a evidência de forma 
a oferecer a justiça, um meio de obter os argumentos decisórios para a prolação da 
sentença (ZARZUELA, 1996). 
 
Legislação aplicada à perícia (artigos 155 a 184 do código de processo penal); 
da prova capítulo i disposições gerais 
 
Art. 155.O juiz formará sua convicção pela livre apreciação da prova produzida 
 
6 
em contraditório judicial, não podendo fundamentar sua decisão exclusivamente nos 
elementos informativos colhidos na investigação, ressalvadas as provas cautelares, 
não repetíveis e antecipadas. 
 
Parágrafo único. Somente quanto ao estado das pessoas serão observadas as 
restrições estabelecidas na lei civil. 
 
Art. 156. A prova da alegação incumbirá a quem a fizer, sendo, porém, 
facultado ao juiz de ofício: 
 
I – ordenar, mesmo antes de iniciada a ação penal, a produção antecipada de 
provas consideradas urgentes e relevantes, observando a necessidade, adequação e 
proporcionalidade da medida; 
 
II – determinar, no curso da instrução, ou antes de proferir sentença, a 
realização de diligências para dirimir dúvida sobre ponto relevante. 
 
Art. 157. São inadmissíveis, devendo ser desentranhadas do processo, as 
provas ilícitas, assim entendidas as obtidas em violação a normas constitucionais ou 
legais. 
 
§ 1o São também inadmissíveis as provas derivadas das ilícitas, salvo quando 
não evidenciado o nexo de causalidade entre umas e outras, ou quando as derivadas 
puderem ser obtidas por uma fonte independente das primeiras. 
 
§ 2o Considera‐se fonte independente aquela que por si só, seguindo os 
trâmites típicos e de praxe, próprios da investigação ou instrução criminal, seria capaz 
de conduzir ao fato objeto da prova. 
 
§ 3o Preclusa a decisão de desentranhamento da prova declarada 
inadmissível, esta será inutilizada por decisão judicial, facultado às partes acompanhar 
o incidente. 
 
3.1.1 Metodologia da Investigação Criminal 
 
A Criminalística é um sistema multidisciplinar, mantém inter-relação com 
 
7 
diversas ciências tais como a física, química, biologia, medicina, odontologia, 
matemática, antropologia e outras, como subsídio na elucidação dos delitos. 
 
O objetivo da investigação é a descoberta dos crimes e dos seus agentes; 
 
Quando a autoridade policial toma conhecimento de um fato delituoso, é dever 
dessa autoridade verificar se esse fato integra alguma infração penal, para de imediato 
instaurar o competente inquérito; 
 
Quando o fato denunciado não constituir infração penal, a investigação não 
pode e nem deve prosseguir. Constatado que o fato é delituoso, a investigação 
prossegue até o esgotamento legal; 
 
A investigação deve procurar e esgotar todas as circunstâncias inerentes ao 
fato delituoso, objeto do crime; 
 
É sabido que cada crime tem uma investigação adequada, ao proceder ao 
recolhimento dos vestígios e indícios da atividade criminosa, deve ser feito com o 
caráter particular de cada crime, o delito impõe normas especifica de investigação. 
 
O crime é um ato humano de natureza voluntária 
 
O objeto do crime é a pessoa ou coisa sobre a qual incide a ação criminosa. 
 
Através do objeto do crime é que dá origem as perícias, que tem como objetivo 
determinar os efeitos que a atividade criminosa produziu. A ação criminosa do agente 
é produzida em certa data e em determinado lugar, que dependem de uma série de 
circunstâncias decisivas para averiguação total e poder levar a elucidação. 
 
O exame do local do crime revela vestígios deixados pela própria identidade do 
criminoso, além de fornecer outras informações úteis a sua elucidação; 
 
O efeito do crime, também chamado de resultado, é determinado pericialmente; 
 
Metodologia da Investigação Criminal Pelos exames dos instrumentos do crime 
e dos vestígios pode-se determinar a identidade do criminoso; 
 
8 
 
O “modus operandi”, ou seja, a maneira e a espécie como foi praticado o delito, 
são pormenores que não devem ser esquecidos para determinar o perfil do criminoso. 
Elementos comuns a todos os tipos de crime 
 
O agente ativo 
 
A vontade do agente ativo 
 
O agente passivo ou vítimas 
 
O objeto da incidência do crime 
 
O tempo do crime 
 
O lugar do crime 
 
O resultado do crime 
 
O instrumento do crime 
 
O motivo determinante do crime 
 
O fim do crime 
 
Agentes ativos: autores e coautores 
 
Conforme nossa legislação penal, só o homem, pessoa física, pode ser 
criminoso; 
 
A responsabilidade criminal recai única e exclusivamente sobre o agente do 
crime. 
 
3.1.2 Elementos comuns a todos os tipos de crime 
 
 Vontade 
Concepção 
 
9 
Deliberação 
Decisão 
Execução 
Consumação. 
 
Vontade: ato voluntário do agente do crime praticar o delito; 
 
Concepção: quando o criminoso tem uma ideia que julga possível realizar; 
 
Deliberaração: consiste em submeter os motivos a uma valorização por 
pesagem de vantagens; 
 
Elementos comuns a todos os tipos de crime 
 
Decisão: acaba o conflito de tendências psíquicas, aí o individuo toma a 
decisão de delinquir; 
 
Execução: quando a vontade salta do foro íntimo para o exterior, inicia-se a 
execução do crime, que só termina com a consumação; 
 
Consumação: o motivo e o fim consubstanciam o resultado desejado pelo 
delinquente. 
 
Objeto do Crime: É a pessoa ou coisa sobre a qual incide a ação criminosa; 
 
Através do objeto do crime é que surgem as PERÍCIAS, cuja função é 
determinar todos os efeitos que a ação criminosa produziu. 
 
Base Legal da Prova Material: A prova material, portanto, assume real 
importância, como se observa nos artigos que prescrevem a sua aplicação no direito 
subjetivo (Código de Processo Penal, art. 386): 
 
O juiz absolverá o réu, mencionando a causa na parte dispositiva, desde que 
reconheça: 
I. estar provada a inexistência do fato; 
II. não haver prova da existência do fato; 
 
10 
III. não constituir o fato infração penal; 
IV. não existir prova de ter o réu concorrido para a infração penal [...] 
 
3.2 PROVA 
 
É a busca da verdade, ou o meio utilizado para a percepção de uma verdade, 
ou seja, tudo que pode conduzir a uma certeza. 
 
Prova Material: É todo vestígio que ofereça a oportunidade de constatação, 
sujeitos ou não a realização de exames periciais, dependendo de análises especificas. 
 
Prova Pericial: Pode ser entendida como os elementos materiais diretamente 
relacionados à ação delituosa e que, após processados pericialmente, obtenha a 
certeza científica, ou não, da sua relação com o crime ou com seu autor. 
 
Prova Documental: É consubstanciada em um papel escrito ou registro por 
meio eletrônico, demonstrado um fato, onde a sua produção pode estar ou não 
vinculada à ação criminosa, ou ter algum tipo de relação, servindo para demonstrar fato 
alegado na investigação. 
 
A prova para ser legítima e valorizada depende dos vestígios, e da maneira 
como são coletados no local do delito, levando-se em conta os cuidados necessários, 
do acondicionamento adequado e do transporte para o órgão responsável pelo exame 
(IC, Laboratório). 
 
A Prova Pericial é dependente da qualidade das amostras, e dos cuidados a 
ela inerente. 
 
3.2.1 Classificação Prova 
 
Diretas - São aquelas que mostram de maneira precisa, o que se procura 
esclarecer, permite conclusões, com o objetivo de constatar a existência do crime. 
(objetivas, materiais, periciais). 
 
11 
Indiretas ou subjetivas - São chamadas indiciarias ou circunstanciais, as que 
dão a entender alguma coisa relacionada com um crime, também denominada 
informativa. 
 
Complementares ou mistas: Possuem parcela de subjetividade: reprodução 
simulada, retrato falado, investigação da vida pregressa do acusado. 
 
Base Legal CPP (Código de Processo Penal): 
 
Art.6 - Logo que tiver conhecimento da prática da infração penal, a autoridade 
deverá: dirigir-se ao local, providenciando para que não se alterem o estado e 
conservação das coisas, até a chegada dos peritos. apreender os objetos que tiverem 
relação com o fato, após liberados pelos peritos. 
 
Prova Art.158 - quando a infração deixar vestígiosserá indispensável o exame 
do corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado. 
 
Art.169 - para efeito do exame do local onde houver sido praticada a infração, 
a autoridade providenciará imediatamente para que não se altere o estado das coisas 
até a chegada dos peritos, que poderão instruir os seus laudos com fotografias, 
desenhos ou esquemas. 
 
Parágrafo único: os peritos registrarão, no laudo, as alterações do estado das 
coisas e discutirão, no relatório, as consequências dessas alterações na dinâmica dos 
fatos. 
 
Art.175 - serão sujeitos a exames os instrumentos empregados para a prática 
da infração, a fim de verificar a natureza e eficiência. 
 
Art.182 - o juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeita-lo, no 
todo ou em parte. Elementos encontrados em Locais de Crime - Princípio da Troca de 
Locard: Intercomunicabilidade. 
 
3.3 COMPUTAÇÃO FORENSE 
 
 
12 
A cada dia, pesquisadores dos diversos ramos da ciência apresentam ao 
mundo novas tecnologias, cujo intuito é auxiliar-nos na busca pelas soluções para 
vários de nossos problemas. O advento da internet foi um dos avanços que mais nos 
beneficiou, e isso ainda vem ocorrendo, devido às suas constantes evoluções, pois, 
irrefutavelmente, o acesso à informação é o primeiro passo para encontrarmos a 
solução procurada. 
 
Atualmente, através de meios eletrônicos, é possível disponibilizar e consultar 
todo tipo de informação sempre que desejarmos e em qualquer lugar, pois dispomos 
de meios velozes e de fácil uso e acesso. 
 
Contamos também com o crescimento constantes dos serviços 
disponíveis pela internet, além da ampliação e otimização de sua 
infraestrutura. No entanto, com isso temos cada vez mais softwares 
com finalidades ilícitas, que podem ser utilizados e acessados 
facilmente, trazendo o significativo crescimento de invasões de 
computadores. (MELO, 2009, p. 2) 
 
E é exatamente por este motivo, que a internet pode ser utilizada 
universalmente, por pessoas com objetivos variados, do aprendizado ao 
entretenimento, inclusive para a prática de crimes. 
 
Não podemos negar que o uso de meios eletrônicos para o cometimento de 
crimes e consequente obtenção de provas dos mesmos, são fatores muito recentes, 
que ainda carecem de estudo, técnicas aperfeiçoadas e regulamentação legal. Com o 
objetivo de auxiliar e esclarecer tais investigações, é que surgiu a disciplina da 
computação forense. 
 
Para melhor elucidar o tema, vejamos a seguir algumas definições feitas por 
profissionais da área tecnológica e jurídica. O professor Sandro Melo (2009, p. 13) faz 
uma definição ramificada de computação forense, conforme segue: 
 
A Computação Forense pode ser definida como uma área da Ciência 
da Computação que se desenvolve gradualmente para atender à 
 
13 
demanda oriunda da Criminalística, e também como uma parte da 
Criminalística que se apropria de fundamentos da Ciência da 
Computação. 
 
Para ilustrar esta definição, a Figura 1 nos mostra a relação entre Ciência da 
Computação, Criminalística e a área de conhecimento comum entre elas, denominada 
Computação Forense. 
 
 
Figura 1: Relação Ciência da Computação, Criminalística e Computação Forense (In: MELO, 
2009, p. 2) 
 
Apesar de não reconhecer a computação forense como uma disciplina 
científica formal, a organização governamental norte americana US-CERT a define, de 
um ponto de vista técnico, como: A disciplina que combina elementos de direito e 
ciência da computação para coletar e analisar dados de sistemas computacionais, 
redes, comunicações sem fio e dispositivos de armazenamento, de forma se preserve 
a integridade da evidência coletada, para que esta possa ser utilizada efetivamente em 
juízo. 
 
 
14 
Já a analista forense, Erin Kenneally, na publicação; login: explica que o termo 
se refere às “ferramentas e técnicas para recuperar, preservar e examinar dados 
armazenados ou transmitidos em forma binária”. 
 
O delegado de polícia, José Mariano de Araújo, através seu site, define 
computação forense como a área que estuda a extração ou supressa de arquivos e 
informações a partir dos discos rígidos de um computador. Basicamente, esta nova 
disciplina consiste em investigar e reconstituir fatos ilícitos através da identificação, 
coleta e análise de evidências ou informações magneticamente armazenadas ou 
codificadas. (MERCURI, 2005). 
 
Para a US-CERT, a prática da computação forense auxilia na garantia da 
integridade e sobrevivência de uma infraestrutura de rede. Entender aspectos legais e 
técnicos dessa área é fundamental para que informações vitais sejam obtidas, caso 
uma rede seja comprometida. 
 
A computação forense tem como objeto os crimes eletrônicos. 
 
Em uma definição ampla, crimes eletrônicos são aqueles que envolvem quebra 
de segurança digital, uso de computadores no cometimento de atos ilícitos, prática de 
atividades ilícitas cujo alvo é um computador, ou coleta e armazenamento de 
informações referentes a outro crime. (MERCURI, 2005). 
 
É importante lembrar que grande parte dos negócios tem conquistado espaço 
na Internet, ambiente no qual o dinheiro também é digital. Isso constitui um grande 
atrativo para que criminosos passem a atuar em tal esfera. 
 
Mas à computação forense também competem, por exemplo, casos de 
validação de provas em ações trabalhistas ou cíveis ou em crimes de calúnia, injúria, 
difamação e pedofilia. De acordo com Araújo (2010), elementos obtidos por 
profissionais da área de computação forense podem ser usados em várias 
circunstâncias diferentes. Além de evidências criminais, alguns exemplos são a 
comprovação de fraude, casos de assédio e discriminação no trabalho, e até mesmo a 
prova de adultério para fins de divórcio. 
 
15 
 
Tais delitos, quando praticados, deixam pistas, que devem ser investigadas 
pela autoridade policial competente. Entretanto, um investigador não é capaz de 
analisar cada informação contida em um computador para identificar quais são 
relevantes para a elucidação do fato e quais devem ser ignoradas. 
 
Cabe mencionar também quais os tipos mais usuais de ameaças digitais e 
explicar sobre seus impactos nas redes de computadores. De acordo com Sandro Melo 
(2009, p. 10): 
 
Malware pode ser definido como Malicious Software, ou software 
malicioso, ou seja, é um termo genérico que engloba todos os tipos de 
programas especificamente desenvolvidos para executar ações 
maliciosas em um computador. O malware contém ameaças reais de 
vários tipos e propósitos. 
 
 
3.4 CONSIDERAÇÕES INICIAIS SOBRE A INVESTIGAÇÃO FORENSE 
COMPUTACIONAL 
 
Antes de iniciarmos o estudo sobre perícias digitais propriamente ditas, é 
relevante fazer algumas observações sobre o tema da investigação forense 
computacional, do ponto de vista jurídico. Araújo (2010), esclarece que as provas 
colhidas durante um inquérito devem ser preservadas, visando o seu aproveitamento 
no processo judicial. Isso significa que, durante uma investigação forense 
computacional, algumas regras devem ser observadas. 
 
Primeiramente, o sistema investigado deve ser protegido de qualquer tipo de 
manipulação durante a operação. Se possível, recomenda-se possuir uma cópia do 
disco rígido, bem como realizar a identificação e recuperação de todos os arquivos e 
aplicativos instalados, inclusive aqueles que haviam sido excluídos. 
 
É necessário que se faça uma avaliação do sistema como um todo, incluindo 
sua estrutura. Deve-se identificar os acessos ou cópias ocultas ou protegidas, e 
 
16 
arquivos temporários. O monitoramento de fatores gerais relativos à atividade dos 
usuários também é importante. Por fim, recomenda-se que seja feito um relatório 
detalhado, além de se manter um registro completo de todas as atividades realizadas 
no decurso do inquérito policial. 
 
3.4.1 Atuação dos invasoresQuando se conhece as técnicas e ferramentas utilizadas por um invasor, é mais 
simples desenvolver formas para reagir aos ataques de forma efetiva. 
 
Portanto, para que o tema das perícias digitais seja melhor compreendido, é 
importante introduzi-lo com um breve estudo sobre a atuação e perfil dos invasores. 
Uma vez conhecidas as técnicas utilizadas por esses agentes, é possível 
obtermos uma visão dos principais pontos do processo de invasão a um sistema e, 
dessa forma, antecipar onde, potencialmente, serão gerados dados para uma perícia 
forense computacional. 
 
O delegado de polícia José Mariano de Araújo, em seu site, explica que os 
casos mais comuns de crimes digitais são a divulgação não autorizada de informações 
corporativas, furto de dados de clientes, espionagem industrial, danos maliciosos, além 
de crimes contra a honra e ameaças. Sendo o objetivo de a perícia forense 
computacional reconstruir os passos dos invasores, é importante obter informações dos 
ativos de rede, como, por exemplo, IDS4, firewalls e servidores de registro. 
 
Em regra, uma invasão ocorre conforme ilustra a Figura 2. Primeiramente, de 
acordo com Sandro Melo (2009, p. 22), é necessário que o invasor possa identificar, 
pelo menos, uma vulnerabilidade, para conseguir ter acesso ao sistema que pretende 
invadir. Esta vulnerabilidade pode ser uma falha em uma aplicação, ou na configuração 
de um ativo de rede. 
 
17 
 
Figura 2: Modus operandi de um invasor. (In: MELO, 2009, p. 21) 
 
Uma invasão pode ocorrer de forma clássica, começando por um levantamento 
de informações básicas, técnica denominada footprinting. Através dessa técnica, o 
invasor busca informações de contato e DNS disponíveis em registros do protocolo 
WHOIS, capturando pacotes montados pela pilha TCP/IP e analisando-os, por meio de 
scanners de fingerprint. 
 
Em seguida, o invasor utiliza port scanners para testar portas lógicas e 
identificar as que estão abertas. Caso existam meios de detecção de varreduras, isso 
pode disparar alertas em IDS ou no servidor alvo. 
 
Entretanto, ainda de acordo com Sandro Melo, pode ser quase impossível 
realizar tal detecção, se o invasor, em cada ação, evitar as técnicas de varredura que 
possam chamar atenção. Se, por exemplo, a invasão ocorrer somente na porta 80 de 
um servidor, uma única vez, torna-se improvável identificá-la, caso a comunicação seja 
cancelada; salvo se a porta não estiver ativa no servidor e exista um sistema de 
detecção de intrusos que registre a solicitação da conexão indevida. 
 
 
18 
Na obra Direito Digital, a Autora Patrícia Peck Pinheiro, define a computação 
forense como: 
 
“Disciplina autônoma, integrada pelos diferentes ramos do 
conhecimento técnico-científico, auxiliar e informativa das atividades 
policiais e judiciárias de investigação criminal, tendo por objeto o estudo 
dos vestígios materiais extrínsecos à pessoa física, no que tiver de útil 
à elucidação e à prova das infrações penais e, ainda, à identificação 
dos autores respectivos.” 
 
Ainda à luz do que preceitua Patrícia Peck Pinheiro, a ciência forense é 
“a aplicação de princípios das ciências físicas ao Direito na busca da 
verdade em questões cíveis, criminais e de comportamento social para 
que não se cometam injustiças contra qualquer membro da sociedade.” 
 
Em outras palavras, pode-se afirmar que a forense computacional é um 
conjunto de técnicas e metodologias que visam investigar e registrar evidências que 
sejam capazes de elucidar se houve e como ocorreu um crime no mundo digital. 
 
A forense computacional utiliza como base nas investigações, equipamentos 
de processamento de dados, tais como, mas não limitado a: computadores pessoais, 
laptops, servidores, estações de trabalho, entre muitas outras mídias eletrônicas. 
 
3.5 ETAPAS DA PERÍCIA COMPUTACIONAL 
 
Ato contínuo a apreensão dos dispositivos informáticos utilizados para a prática 
de crimes cibernéticos, encaminha-se o material coletado para um laboratório de 
informática capacitado, com o fito de realizar os exames forenses necessários, ou seja, 
uma perícia digital. 
 
Para saber mais sobre a importância da perícia digital, dá uma olhada no artigo 
sobre “ A importância da Perícia Digital”. 
 
Outrossim, ao receber um dispositivo computacional para análise dos vestígios 
de um crime cibernético, independentemente se for um disco rígido, DVD, pen drive, 
https://academiadeforensedigital.com.br/a-importancia-da-pericia-digital/
 
19 
cartão de memória ou outra mídia, o perito digital deve seguir algumas etapas formais, 
para periciar os referidos apreendidos e transformar os vestígios dos crimes em 
evidências digitais. 
 
As etapas são estabelecidas pela ISO 27037, que é uma norma da ABNT que 
fornece diretrizes para atividades específicas no manuseio de evidências digitais, 
sendo elas: 
 
Preservação: Ao contrário do que ocorre durante a busca e apreensão de 
dispositivos informáticos, essa etapa inicial objetiva garantir que os dados e 
informações alocadas nos equipamentos apreendidos e em análise, não sofram 
adulterações e extravios durante toda a investigação. 
 
Coleta de dados: Essa etapa vida recuperar e catalogar todas as informações 
armazenadas no dispositivo computacional periciado, sejam ocultos ou explícitos. É 
somente após realizar devidamente a coleta dos dados e informações, que é possível 
proceder a buscas efetivas por palavras-chaves no conteúdo armazenado no 
dispositivo invadido ou usado para o ataque de determinado crime virtual. 
 
Análise: A análise das informações coletas, consiste no exame das 
informações extraídas do material periciado no decorrer da etapa acima descrita, 
objetivando identificar evidências digitais que tenham relação com o crime cibernético 
investigado. 
 
Formalização: Essa é a etapa final de uma perícia digital, sendo composta pela 
elaboração do laudo pelo perito, onde o perito digital reduz a termo o seu parecer, 
pormenorizando os resultados obtidos nas fases anteriores, e apresentando as 
evidências digitais encontradas nos materiais examinados, que servirão como provas 
cabais para a resolução de crimes praticados no mundo virtual. 
 
Dentre esses fatores que um profissional em computação forense deve ser 
especialista, podemos citar como exemplos: 
 
https://academiadeforensedigital.com.br/o-que-e-pericia-digital-e-como-ser-um-perito/
https://academiadeforensedigital.com.br/iso-27037-identificacao-coleta-aquisicao-e-preservacao-de-evidencia/
 
20 
1. A capacidade de identificar a origem do incidente, se foi interna ou 
externa à rede; 
 
2. A aptidão de verificar a motivação e o objetivo do atacante, como, 
por exemplo, se o ataque visou violar a integridade de certas informações, e se 
provocou danos a hardware ou software; 
 
 
3. Conhecer a dominar a tecnologia utilizada, como, por exemplo, o 
tipo de malware que foi aplicado no sistema para promover a invasão; e 
 
4. Identificar com exatidão os danos causados e sua extensão. 
 
 
Além do mais, é mister esclarecer que as evidências digitais obtidas pelos 
profissionais da área de computação forense, podem ser utilizadas em variadas 
circunstâncias distintas, tendo em vista que à computação forense também compete 
casos de validação de provas em ações trabalhistas ou cíveis ou em crimes de calúnia, 
injúria, difamação e pedofilia. 
 
Em outras palavras, o profissional em computação forense deve ser bem 
qualificado, de forma que deve dominar, em todos os casos, as técnicas e tecnologias 
mais utilizadas pela sociedade como um todo. 
 
Existem quatro etapas principais na computação forense. 
 
Identificação de dispositivo 
 
A primeira etapa é identificar os dispositivos ou mídia de armazenamento que 
podem conter dados, metadados ou outros artefatos digitais relevantes para a 
investigação. Esses dispositivos são coletados e colocados em um laboratório forenseou em outra instalação segura para seguir o protocolo e ajudar a garantir a recuperação 
adequada dos dados. 
 
Preservação de dados 
 
21 
Especialistas forenses criam uma imagem, ou cópia bit a bit dos dados a serem 
preservados. Em seguida, armazenam com segurança a imagem e o original para 
protegê-los de serem alterados ou destruídos. 
 
Especialistas coletam dois tipos de dados: dados persistentes armazenados no 
disco rígido local de um dispositivo e dados voláteis localizados na memória ou em 
trânsito (por exemplo, registros, cache e memória de acesso aleatório (RAM). Os dados 
voláteis devem ser manuseados com atenção, pois são efêmeros e podem ser perdidos 
se o dispositivo desligar ou perder energia. 
 
Análise forense 
 
Em seguida, os investigadores forenses analisam a imagem para identificar 
evidências digitais relevantes. Isso pode incluir arquivos excluídos intencionalmente ou 
não, histórico de navegação na internet, e-mails e muito mais. 
 
Para descobrir dados "ocultos" ou metadados que outros podem perder, os 
investigadores usam técnicas especializadas, incluindo análise em tempo real, que 
avalia sistemas ainda em execução em busca de dados voláteis, 
e esteganografia reversa, que expõe dados ocultos usando esteganografia, uma 
técnica para ocultar informações confidenciais em mensagens comuns. 
 
Relatórios 
 
Como etapa final, os especialistas forenses criam um relatório formal que 
detalha sua análise e comunicam os resultados da investigação, incluindo quaisquer 
conclusões ou recomendações. Embora os relatórios variem de caso para caso, eles 
são frequentemente utilizados para apresentar evidências digitais em um tribunal de 
justiça. 
 
3.6 ELABORAÇÃO DO LAUDO 
 
Por fim, o laudo é a etapa final dos exames forenses. Este deve apresentar os 
resultados de todo o processo, detalhando e explicando informações importantes dos 
 
22 
exames, coleta e análise dos dados. O laudo deve ser encarado como uma forma de 
traduzir e formalizar as impressões captadas pelo perito a respeito do fato litigioso. 
 
Embora no direito penal brasileiro o juíz não esteja auxiliado somente pelo 
laudo, este é um forte meio de prova utilizado pelo mesmo para conferir a sentença. 
No final, o juíz pode optar por aceitá-lo ou não o aceitar integral ou em partes. 
 
Existe também o Parecer Técnico, que é apenas uma resposta técnica a uma 
consulta feita por ambas as partes a um especialista, chamado comumente de 
assistente técnico. 
 
Um laudo pode ser contestado por ambas as partes, portanto, deve ser sempre 
bem fundamentado e escrito, de forma que descreva todos os processos realizados, 
inclusive a forma como foi feita a preservação das evidências. Caso seja contestada a 
forma como foi realizada a preservação das evidências, mesmo que o laudo esteja 
íntegro em todo o restante do seu conteúdo, é muito provável que seja descartado 
como prova do juíz. 
 
Nesse momento, após a preservação das evidências durante todas as etapas 
da investigação, é importante que as peças examinadas sejam conservadas até que o 
processo seja finalizado, pois, eventualmente podem ser questionadas novamente. 
 
3.7 TÉCNICAS ANTI FORENSE 
 
Muitos desafios podem ser encontrados durante as etapas de um processo 
investigatório. Desafios estes, comumente conhecidos pelo termo Anti Forense 
computacional. 
 
A anti forense pode ser aplicada através de métodos de ocultação, codificação 
ou exclusão de evidências, tendo como objetivo interferir nos resultados da 
investigação forense computacional. 
 
A utilização de criptografia, esteganografia, sanitização de discos e utilização 
de propriedades não utilizadas comumente por diferentes sistemas de arquivos são 
algumas formas de aplicação desse tipo de prática. 
 
23 
Além das complicações diretas, existem também as indiretas, que surgem com 
o passar do tempo, como os avanços tecnológicos. Devido ao surgimento diário de 
novidades tecnológicas computacionais e eletrônicas, as expectativas são de que a 
área passe por diversos desafios, visto que técnicas de coleta e análise de dados 
devem ser sempre inovadas para que possam acompanhar a evolução tecnológica. 
 
Como um exemplo desse tipo de desafio, temos o aumento da quantidade de 
arquivo. 
 
Além dos avanços tecnológicos, como se não bastassem, existem ainda os 
entraves impostos pela falta de tipificação da legislação brasileira. A inexistência de leis 
eficientes que tipifiquem os crimes digitais faz com que os crimes virtuais permaneçam 
sem a devida punição, além do fato de que não há uma reparação concisa dos danos 
às vítimas. 
 
A seguir, serão explicados os tópicos citados neste capítulo. 
 
Criptografia 
 
A Criptografia é uma área da criptologia que tem por objetivo esconder o 
significado original de algo. 
 
Para que um texto seja criptografado, são necessários os seguintes elementos: 
• Mensagem: mensagem original que se deseja transmitir; 
 
• Cifra: chave utilizada na conversão da mensagem original em 
código; 
 
• Código: resultado da conversão da mensagem original utilizando a 
cifra. 
 
Muito usada quando se deseja garantir a privacidade dos dados, a criptografia 
atualmente utiliza algoritmos matemáticos complexos para transformar a mensagem 
em código. 
 
 
24 
Esta difere do cálculo de código hash por possuir dois sentidos, ou seja, pode-
se obter o conteúdo original da mensagem a partir do código final gerado. 
 
Existe uma área da criptologia chamada criptoanálise que trata do estudo de 
técnicas e metodologias para se obter a mensagem original a partir do código 
criptográfico gerado mesmo sem ter a cifra (chave) usada na criptografia. 
 
Rainbow Tables são muito utilizadas por peritos para lidar com a segurança por 
criptografia. Esta consiste em comparar diversos códigos pré compilados armazenados 
em tabelas com as combinações de caracteres do código criptográfico, levando então 
a encontrar a mensagem original. 
 
No entanto, é muito importante que o perito realize buscas no computador 
questionado por possíveis softwares que apliquem criptografia em arquivos ou textos, 
pois, assim pode ser obtido o algoritmo utilizado na criptografia, facilitando assim, a 
tentativa em se descriptografar o texto ou arquivo. 
 
Esteganografia 
 
A esteganografia é o estudo de técnicas que possam ser utilizadas para 
esconder uma mensagem ou o seu verdadeiro conteúdo. Esta difere da criptografia, 
pois, a criptografia torna ilegível o conteúdo da mensagem enquanto a esteganografia 
esconde este verdadeiro conteúdo em meio a outro. Estas duas técnicas quando 
combinadas podem levar o perito despreparado a concluir erroneamente o seu laudo, 
afetando assim o curso da investigação. 
 
A vantagem da esteganografia perante a criptografia é que o conteúdo real da 
mensagem pode estar dentro de outro tipo de arquivo, no entanto o perito que está 
analisando o artefato pode não dedicar esforço e tempo na busca pela real mensagem 
caso não perceba algo de diferente no arquivo. 
 
Existem atualmente diversas técnicas utilizadas na esteganografia, algumas 
mais complexas que as outras. Um arquivo com uma mensagem esteganografia pode 
ser descoberto utilizando algumas das seguintes técnicas: 
 
25 
- Busca por palavras chaves: Caso a mensagem esteja gravada 
sequencialmente dentro do arquivo, poderá ser obtido resultado através dessa técnica; 
 
- Valor hash do arquivo: Caso sejam comparados os valores hash atual do 
arquivo e o original do fabricante, pode ser identificado que existem diferenças entre o 
conteúdo dos mesmos; 
 
- Tamanho de arquivo: Caso um arquivo esteja muito maior do que comumente 
seria, por exemplo, se a imagem do plano de fundo de tela do Sistema Operacional 
estiver com 100MB, existe um forte indício de que existem mais informações no 
conteúdo deste arquivo que não são originais da imagem; 
 
- Arquivos instalados:Analisando os arquivos instalados no computador 
questionado, pode ser encontrado o software utilizado na esteganografia. Dessa forma, 
o perito pode obter informações do tipo de técnica utilizada para então focar esforços 
na tentativa de descobrir a mensagem original. 
 
A esteganografia é também comumente utilizada por empresas que desejam 
preservar o seu direito autoral ou rastrear a distribuição de arquivos. 
 
Com a evolução tecnológica, diversos desafios têm surgido à computação 
forense, tais como: 
 
• Dispositivos móveis com diversas funcionalidades e recursos 
permitem que um usuário portando esses dispositivos se conecte a o que ele 
quiser e puder estando em qualquer lugar; 
 
• A virtualização exige ainda mais que as diligências sejam feitas 
sem que o suspeito saiba, pois, a facilidade de excluir um dispositivo virtual faz 
com que o possível suspeito elimine evidências rapidamente; 
 
 
• Grandes volumes de dados dificultam a perícia, pois, impactam 
diretamente na investigação devido ao tempo de conclusão das mesmas; 
 
26 
• Cloud computing é um dos maiores desafios para a forense, pois, 
exige que o perito tenha acesso a todos os dispositivos responsáveis por 
armazenar as informações, porém, algumas vezes as barreiras de jurisdição 
impedem este acesso; 
 
• Inteligência artificial pode prover a automatização de delitos; 
 
 
Utilização de outras tecnologias de armazenamento, como o SSD (solid state 
drive). Este permite o acesso rápido às informações armazenadas. Alguns Sistemas 
Operacionais fazem uso deste avanço tecnológico para reutilizar mais rapidamente as 
áreas anteriormente utilizadas para armazenagem de arquivos, resultando em um tipo 
de wipe dinâmico e controlado pelo Sistema Operacional. 
 
A preservação das evidências deve sempre ser considerada durante todas as 
etapas de um caso forense. A má condução de um artefato ou mesmo da própria 
evidência pode fazer com que a parte contrária questione os métodos e procedimentos 
realizados para a preservação das mesmas e, por mais apuradas que sejam as 
técnicas computacionais realizadas e mais relevantes que sejam as evidências 
encontradas, elas podem ser invalidadas caso não tenha sido realizada a cadeia de 
custódia e a correta preservação das mesmas. 
 
 
As etapas para a realização da perícia forense computacional, área esta que 
envolve a análise e a coleta de vestígios e evidências digitais em equipamentos 
computacionais envolvidos em procedimentos ilícitos ou crimes de qualquer natureza, 
foram descritas no presente trabalho, chamando a atenção para a importância da 
preservação das evidências durante todas as etapas do processo que são realizadas 
pelo perito, principalmente durante as etapas de coleta e análise que, por agregar 
confiabilidade às provas, faz-se necessária que seja feita de forma muito cautelosa. 
 
O profissional da computação forense se difere dos demais profissionais da 
área da informática por, além de precisar dominar as antigas e as novas tecnologias, 
ou ao menos ter o poder de compreendê-las rapidamente, precisar, durante todo o 
 
27 
processo investigativo, utilizar técnicas que não comprometam o estado das evidências 
encontradas, pois, uma vez comprometidas, todo o restante do trabalho pode ser 
invalidado. 
 
Diante deste tema, o presente trabalho apresentou as principais técnicas e 
conceitos necessários para se preservar evidências durante todas as etapas de uma 
investigação forense: exame, coleta, análise e pós laudo. Além disso, nos exemplos 
dispostos, foi utilizada uma peça real que estava sendo comercializada em um grande 
centro de comércio da cidade de São Paulo, para mostrar a importância da realização 
correta da sanitização de discos e os riscos que a sociedade atual vive diante da 
evolução tecnológica desorganizada. 
 
Pode-se concluir que a computação forense deve estar preparada para assumir 
a responsabilidade de identificar e preservar possíveis vestígios digitais deixados 
durante a realização de qualquer crime envolvendo tecnologia computacional e 
eletrônica, relatando a materialidade, a dinâmica e a autoria dos delitos, além de 
sempre considerar a legislação vigente ao manipular, preservar e analisar os artefatos. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
28 
4. MATERIAL DE APOIO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
29 
5. REFERÊNCIAS 
 
 
ELEUTÉRIO, Pedro Monteiro da Silva; ACHADO, Marcio Pereira. Desvendando 
a Computação Forense. São Paulo: 2011. Disponível em: 
. Acesso em: 25 de março de 2023. 
 
PINHEIRO, Patrícia Peck. Direito digital. 7. ed. São Paulo: Saraiva, 2021, p. 224. 
Disponível em: 
. Acesso em: 25 de março de 2023. 
 
ELEUTÉRIO, Pedro Monteiro da Silva; ACHADO, Marcio Pereira. Desvendando 
a Computação Forense. São Paulo: 2011. Disponível em: 
. Acesso em: 25 de março de 2023. 
 
HASSAN, Nihad A. Digital Forensics Basics: a practical guide using 
windows. 2019. Disponível em: 
. Acesso em: 25 de março de 2023. 
 
BRASIL. Código de Processo Penal. Disponível em: 
. Acesso em 27 
de março de 2023. 
 
QUEIROZ, C.; VARGAS, R. Investigação e perícia forense computacional: 
certificações, leis processuais e estudos de caso. Rio de Janeiro: Brasport, 2010. 
Disponível em: . 
Acesso em: 25 de março de 2023. 
 
PEREIRA, Evandro. FAGUNDES, Leonardo L.; NEUKAMP, Paulo; LUDWIG, Glauco 
KONRATH, Marlon. Forense computacional: fundamentos, tecnologias e 
desafios atuais. In: Forense Computacional: fundamentos, tecnologias e 
desafios atuais. 2007. Disponível 
em:. Acesso 
em: 25 de março de 2023. 
 
 
 
http://eduvalesl.revista.inf.br/imagens_arquivos/arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdf
http://eduvalesl.revista.inf.br/imagens_arquivos/arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
http://eduvalesl.revista.inf.br/imagens_arquivos/arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdfhttp://eduvalesl.revista.inf.br/imagens_arquivos/arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/32230/1/OS%20CRIMES%20CIBERN%C3%89TICOS%20E%20O%20TRABALHO%20DO%20PERITO%20FORENSE%20COMPUTACIONAL-%20Pr%C3%A1ticas%20de%20investiga%C3%A7%C3%A3o%20criminal%20computacional.pdf
https://www.planalto.gov.br/ccivil_03/decreto-lei/del3689.htm
https://www.aedb.br/seget/arquivos/artigos17/22425233.pdf
http://grsecurity.com.br/apostilas/forense/minicurso_forense.pdf