Uma Abordagem sobre Forense Computacional

Prévia do material em texto

Revista Eletrônica da Faculdade Metodista Granbery - http://re.granbery.edu.br - ISSN 1981 0377 
Faculdade de Sistemas de Informação - N. 3, JUL/DEZ 2007 
 Uma Abordagem sobre Forense Computacional 
Patrícia Lima Quintão, Carla da Silva Teixeira, Mônica de Lourdes Souza Batista, 
Raffael Gomes Vargas 
Bacharelado em Sistemas de Informação – Faculdade Metodista Granbery (FMG) 
Rua Batista de Oliveira, 1145 – CEP 36010-530 – Juiz de Fora – MG – Brazil 
pquintao@granbery.edu.br, csteixeir@gmail.com.br, 
monicasouzabatista@gmail.com, raffaelvargas@hotmail.com 
Resumo 
Nas últimas décadas a utilização de computadores tornou-se parte integrante 
da vida das pessoas, permitindo o aparecimento de vários tipos de crimes 
eletrônicos. Nesse contexto, é importante que as organizações se preparem 
para investigar casos que envolvam a informática e adotem procedimentos 
válidos e confiáveis que permitam recuperar os dados dos computadores 
envolvidos em atividades criminosas. São apresentados neste trabalho noções 
de forense computacional e ferramentas que podem ser utilizadas para auxiliar 
na coleta, manutenção e análise de evidências. 
 
Palavras-Chave: Forense Computacional, Perícia Aplicada à Informática. 
Abstract 
In the last decades the use of computers became an integrated part of 
people life, allowing the appearing of many electronic crimes. In this 
context, is important that the agencies get ready to investigate the 
chaos that involves informatics and adopt valid and trustworthy 
procedures that allows the rescue of computer's data involved in 
criminals activity. In this work, we present basic notions of computer forensics 
and tools that can be used to collect, keep and analyze evidences. 
 
INTRODUÇÃO 
Atualmente, muitas empresas que utilizam a Internet possuem algum aparato de 
segurança, como por exemplo, firewalls e VPNs, para evitar que sua rede seja invadida 
por hackers. Mas essas ferramentas de segurança são softwares que possuem muitas 
linhas de código, e que podem conter algum erro de programação. 
Mesmo que a empresa tome todas as medidas para se proteger dos ataques, ela 
não está totalmente livre de ser invadida (OLIVEIRA, 2001). Falhas de segurança 
podem acontecer, visto que alguma vulnerabilidade ainda não divulgada pode ser 
utilizada ou um novo tipo de ataque pode ser explorado. Dessa forma, não se pode 
 
afirmar que um determinado aparato de segurança está isento de falhas (OLIVEIRA, 
GUIMARÃES e GEUS, 2002). 
No caso de um incidente de segurança é muito importante adotar políticas para 
que os danos sejam menores. É necessário que haja metodologias para que, uma vez 
descoberta a invasão, seja possível identificar, coletar e manipular as evidências sem 
que as mesmas sejam distorcidas, além de planejar alguma medida de segurança contra 
os invasores (OLIVEIRA, 2001). 
Nesse contexto, esse trabalho tem como objetivo destacar as etapas do processo de 
uma perícia forense computacional, bem como algumas ferramentas e hardwares 
utilizados no processo de uma investigação forense. 
Para isso o trabalho apresenta as seguintes seções além desta introdução. A 
segunda seção define a Ciência Forense. Na terceira seção é destacado o conceito de 
Forense Computacional. A quarta seção apresenta os processos de uma perícia forense 
computacional. A quinta seção aborda um conjunto de ferramentas que oferecem 
suporte às etapas do processo de investigação forense. Na sexta seção são apresentados 
alguns hardwares utilizados em perícia no mercado. Por fim, tem-se as considerações 
finais do trabalho e as referências bibliográficas utilizadas. 
CIÊNCIA FORENSE 
Quando se escuta o termo forense, logo vem à mente o meio policial, no qual 
policiais e peritos tentam solucionar algum mistério. Nesse contexto, eles devem 
analisar delicadamente todo tipo de objetos, de sinais e de marcas que faziam parte da 
cena do crime. 
A análise forense se inicia quando os policiais chegam ao local do crime e isolam 
o perímetro para evitar a exposição excessiva e a possível contaminação das evidências. 
Após essa fase, tem-se a etapa de identificação e coleta de todo o tipo de dado e material 
que possa ajudar na resolução do caso em questão. Uma vez realizada essas duas fases, 
inicia-se a análise laboratorial das evidências (OLIVEIRA, 2001). 
 
 
 
FORENSE COMPUTACIONAL 
Devido ao surgimento de casos que envolvem o meio computacional, tornou-se 
necessário o desenvolvimento de uma nova disciplina forense, cujo objetivo é criar 
metodologias e acumular conhecimentos para a aquisição, manipulação e análise de 
evidências digitais. A Forense Computacional é o ramo da criminalística que 
compreende a aquisição, prevenção, restauração e análise de evidências computacionais, 
que podem ser os componentes físicos ou dados que foram processados eletronicamente 
e armazenados em mídias computacionais (VARGAS, QUINTÃO e GRIZENDI, 2007). 
Palmer and Corporation (2001) destacam que a Forense Computacional pode ser 
definida como a inspeção científica e sistemática em ambientes computacionais, com o 
objetivo de angariar evidências derivadas de fontes digitais, tendo como objetivo 
promover a reconstituição dos eventos encontrados (dessa forma, pode-se determinar se 
o ambiente em análise foi utilizado na realização de atividades ilegais ou não 
autorizadas. 
Para resolver um mistério computacional é necessário examinar o sistema nos 
mínimos detalhes, ou seja, da maneira que um detetive examina a cena de um crime. 
Dessa forma, o perito que está realizando a análise deve conhecer profundamente o 
sistema operacional em que está trabalhando para identificar e entender as relações de 
causa e efeito de todas as ações tomadas durante a análise (OLIVEIRA, GUIMARÃES 
e GEUS, 2002). 
Para que o perito conduza uma análise forense computacional de maneira eficaz é 
necessário que ele tenha uma série de habilidades, como, por exemplo, raciocínio 
lógico, mente aberta e o entendimento das relações de causa e efeito. Todas essas 
habilidades (que são encontradas nos programadores) são utilizadas durante a busca de 
um erro em um programa (REIS e GEUS, 2001). 
A Forense Computacional é uma área de pesquisa muito recente e poucos são os 
trabalhos sobre esse assunto no Brasil. É importante que esta área se desenvolva, pois 
muitos hackers utilizam os computadores em atividades criminosas (VARGAS, 
QUINTÃO e GRIZENDI, 2007). 
 
 
O PROCESSO DA PERÍCIA FORENSE COMPUTACIONAL 
Segundo Pereira et al (2007) pode-se dividir as fases de um processo de 
investigação forense computacional em quatro etapas, identificadas como: coleta dos 
dados, exame dos dados, análise das informações e interpretação dos resultados, que 
serão melhor detalhadas a seguir. 
Coleta dos dados 
Essa parte inicial do processo de realização da perícia em informática é de grande 
importância para o sucesso da análise pericial. Nesse momento, coleta-se o máximo de 
provas (dados relacionados ao evento) possível, que são os artefatos a serem utilizados. 
É importante que seja utilizada uma metodologia clara e objetiva no momento da coleta 
das provas (MELO, 2005). 
As evidências digitais devem ser manipuladas com bastante cuidado, para que não 
sejam danificadas ou destruídas, o que pode ocorrer por meio de vírus, campos 
eletromagnéticos, choques mecânicos, eletricidade estática, entre outros. Os 
procedimentos utilizados durante o processo devem ser bem documentados e 
reprodutíveis partindo de uma cópia das evidências originais, para que possuam valor 
legal (PEREIRA, 2007). 
Exame dos dados 
Nessa fase são selecionadas e utilizadas ferramentas e técnicas apropriadas a cada 
tipo de dado coletado, com o objetivo de identificar eextrair as informações relevantes 
ao caso que está sendo investigado, mas sempre com a preocupação de manter a 
integridade dos dados (PEREIRA et al, 2007). 
Análise das informações 
Nesta fase, segundo Pereira et al (2007) é feita uma análise dos dados filtrados na 
etapa anterior, com o objetivo de se obter informações úteis e relevantes que possam 
responder às perguntas que deram origem à investigação. 
Pretende-se identificar nessa fase, o autor, o que fez, quando fez, quais os danos 
de seu ato e como realizou o crime (FREITAS, 2006), se possível tentando identificar o 
modus operanti (modo de operação) do potencial atacante. Para que tenha sucesso nesse 
processo é preciso saber como, onde e como procurar as evidências (MELO, 2005). 
 
Nessa fase são analisadas e avaliadas as possibilidades de como o incidente pode 
ter ocorrido (hipóteses) (MENEGOTTO, 2006). 
Interpretação dos resultados 
Nessa etapa final do processo de investigação é gerado um relatório (laudo 
pericial) no qual devem estar descritos os procedimentos realizados e os resultados 
obtidos (PEREIRA et al, 2007). 
Um laudo pericial corresponde a um relatório técnico sobre a investigação, no 
qual são apontados fatos, procedimentos, análise e resultados. O laudo é realizado a 
partir das provas; a decisão é toda da justiça. O maior segredo de uma investigação, para 
seu sucesso, consiste em verificar se há ou não destruição ou alteração das provas. As 
provas devem ser protegidas de tal forma que não percam a sua veracidade (FREITAS, 
2006). 
O relatório de resposta a incidente depende diretamente de como os dados 
investigados foram manipulados. Tem-se casos de criminosos que saíram ilesos devido 
à coleta e à manipulação de dados de maneira incorreta. Os relatórios devem ser 
concisos, coerentes e representar o foco da investigação (PEREIRA, 2007). 
FERRAMENTAS PERICIAIS 
 A seguir são destacadas oito ferramentas que podem ser utilizadas em uma perícia 
computacional, a saber: Ilook, GetDataBack, SmartWhois, eMailTrackerPro, EnCase, 
PromqryUI 1.0, OllyDBG, Camouflage. 
– Ilook 
O software ILook, ilustrado na Figura 1, trata-se de uma ferramenta de forense 
computacional usada para analisar os meios digitais dos sistemas computacionais 
apreendidos. Desenvolvido por Elliot Spencer (ILOOK, 2007), esse software tem 
potencialidades para examinar imagens inclusive de outras ferramentas de forense 
computacional, como SafeBack e Encase, e também de discos virtuais. 
 
 
Figura 1. Tela principal da ferramenta ILook (EVIDENCIAL DIGITAL, 2007) 
– GetDataBack 
A ferramenta GetDataBack é um recuperador de dados , que deve ser instalado no 
Windows (vide Figura 2). Sendo assim, o computador que será usado para recuperação 
de dados deverá possuir um HD com o Windows instalado mais o GetDataBack. 
Basicamente em todos os recuperadores passivos pode-se encontrar um menu ou botão 
para mapeamento dos dados e um outro para salvar esses dados em um disco rígido 
extra, não modificando o HD com problema (EVIDÊNCIA DIGITAL, 2007). 
 
Figura 2. Tela principal da ferramenta GetDataBack (EVIDÊNCIA DIGITAL, 2007) 
 
– SmartWhois 
A ferramenta SmartWhois, criada pela Tamasoft, auxilia na verificação de IPs e de 
domínios na Internet, por meio de acessos diretos a mais de 60.000 bases de dados do 
estilo Whois, no mundo, buscando resultados mais completos dentro de segundos 
(TAMOSOFT, 2007). Utilizada de forma correta, a ferramenta permite que o usuário 
possa visualizar todas as informações contidas sobre o endereço IP, hostname ou 
domínio, como país, cidade, estado, nome do fornecedor de rede, administrador e 
informações do contato da assistência técnica. 
Para que isso seja possível, basta digitar a indicação do IP ou domínio da 
organização desejada e a ferramenta apresenta na tela a localização da empresa 
correspondente aos dados digitados no sistema, como informado anteriormente. Esta 
ferramenta utiliza padrões de dados que um Whois não utiliza, assim podendo 
identificar a origem de mensagens suspeitas de e-mail, auxiliar em estudos mais 
completos sobre registros, entre outras formas de auxílio. 
A Figura 3 ilustra a tela de abertura da ferramenta SmartWhois. O usuário indica 
qual o domínio ou o IP que se deseja investigar (nesse caso “granbery.edu.br”) e a 
ferramenta retorna todas as informações desse domínio ou IP. Segundo Vargas, Quintão 
e Grizendi (2007) é uma ferramenta de grande utilidade quando se deseja, por exemplo, 
investigar uma determinada correspondência eletrônica que omite os dados do 
remetente. Nesse caso, basta digitar o endereço do IP do servidor que a ferramenta 
auxiliará na busca de todos os dados necessários na identificação do remetente. 
 
Figura 3. Tela principal da ferramenta SmartWhois (VARGAS, 2006) 
 
 
– eMailTrackerPro 
Criada e distribuída pela empresa Visualware (VISUALWARE, 2007), segundo 
Vargas, Quintão e Grizendi (2007) a ferramenta eMailTrackerPro analisa o cabeçalho 
de um e-mail, informa o IP da máquina que enviou a mensagem e o país ou a região do 
mundo de onde se originou o e-mail, mostrando a localização em um mapa mundi, 
conforme visto na Figura 4. Também identifica o uso do misdirection, tática usada pelos 
spammers para cobrir seus rastros; e possui integração com a ferramenta VisualRoute, 
também da Visualware para a obtenção de informações sobre o IP que originou a 
mensagem (VISUALWARE, 2007). 
O eMailTrackerPro pode ser utilizado para acompanhar todo e-mail recebido por 
uma suposta vítima. Isso significa que se recebido um spam, a ferramenta poderá 
verificar de onde foi enviado o e-mail, capturando a pessoa ou a máquina transmissora 
do spam; além disso a ferramenta permite a visualização de todos os e-mails do usuário 
antes da entrega em seu host ou computador. Essa característica faz uma varredura de 
cada entrega do e-mail e identifica rapidamente de onde originaram e se são 
misdirected. 
Na Figura 4, apresenta-se à esquerda a rota de um determinado e-mail por IPs e a 
rota do mesmo no mapa mundi, e, à direita, indica-se a empresa responsável pelos 
serviços de e-mail. Pode-se utilizar essa ferramenta quando se deseja, por exemplo, 
investigar se as informações confidenciais de uma suposta organização foram vendidas 
antes mesmo de chegar “às mãos” da empresa responsável por esse serviço. Nesse caso, 
faz-se uma busca da rota por onde esse e-mail passou, informando quando houve o 
desvio da informação confidencial (VARGAS, QUINTÃO e GRIZENDI, 2007). 
 
 
Figura 4. Tela da Ferramenta eMailTracker com Rota de IPs 
– EnCase 
A ferramenta EnCase, criada e patenteada pela empresa Guidance Software, que é 
diretamente ligada ao setor forense computacional, é uma das ferramentas mais 
completas no que se refere à perícia forense, pois além de auxiliar na recuperação de 
arquivos excluídos, padroniza laudos periciais, organiza um banco de dados com as 
evidências, faz o encryption (fornece senhas do arquivo) e o decryption (“quebra” as 
senhas) dos arquivos, analisa hardwares, logs, formatos e tipos de e-mails e fornece uma 
opção de se manusear a evidência sem danificá-la, além de outras características 
(GUIDANCE, 2007). 
De acordo com Christófaro (2006) a ferramenta EnCase da Guidance Software 
surgiu no cenário da Computação Forense em 1998 nos Estados Unidos, dois anos 
depois ela se tornaria a principal ferramenta forense. Naquela época, a maioria dos 
examinadores se utilizavam do prompt dos sistemas operacionais em suas investigações; 
a proposta de um ambiente compatível com os populares ponteiros e janelas do 
Windows da Microsoft era ousada, uma vez que na visão dos examinadores forenses oprompt era mais poderoso e ainda oferecia mais opções de controle, além do mais a 
ferramenta irá ser composta por quatro recursos básicos que permitem sua 
funcionalidade abrangente. Esses recursos serão vistos a seguir (GUIDANCE, 2007): 
 
– análise detalhada do sistema: a ferramenta é capaz de descobrir arquivos 
ocultos e excluídos, detectar rootkits, procurar documentos, identificar processos 
de invasores, reconstruir atividade de Web e de e-mails, até decodificar certos 
tipos de criptografia e identificar comunicação não autorizada na rede; 
– análise paralela: este tópico analisa com rapidez um grande número de 
computadores ao mesmo tempo, reunindo informações críticas sobre seu estado 
e conteúdo. A análise paralela é o recurso básico que permite produzir 
velocidades de pesquisa empresarial e reação a incidentes muito superiores às 
tecnologias concorrentes; 
– correção: após a identificação de um evento mal-intencionado, a ferramenta 
auxilia a detê-lo e controlá-lo. Em quase todos os casos de reação a incidentes, é 
possível ver o problema, mas não fazer algo a respeito ou não fazer nada, ou 
então, usar ferramentas de terceiros para remediar a situação, o que pode 
significar a desativação de pelo menos uma parte da rede. Com a ferramenta 
pode-se documentar o incidente detalhadamente, acessar os computadores 
comprometidos e corrigir o problema; 
– integração: a ferramenta é capaz de ser integrada à infra-estrutura de segurança 
existente na empresa para proporcionar reação a incidentes em tempo real 
automatizada. Os alertas gerados por tecnologias de monitoração, com os 
sistemas IDS1 e SIG2, ativam reações automatizadas pela ferramenta, permitindo 
aos profissionais de segurança reagir a centenas e potencialmente a milhares de 
alertas por dia, logo após o evento ocorrer. 
A Figura 5 ilustra uma verificação da caixa de entrada de e-mail, utilizando 
métodos de busca e investigação da ferramenta EnCase em e-mails. Pode-se utilizar 
essa ferramenta quando se deseja, por exemplo, investigar os dados em um computador 
que foram excluídos ao se formatar logicamente a máquina. 
 
1 IDS: Sistema de detecção de invasores 
2 SIG: Ferramenta de gerenciamento de informações seguras 
 
 
Figura 5. Tela do EnCase com visualização dos anexos de e-mail (VARGAS, 2006) 
Segundo Andrade (2005), nessa situação a ferramenta pode auxiliar o perito na 
busca de dados nos setores não utilizados do HD e, logo após, fazer uma busca em todos 
os e-mails enviados à suposta vítima, podendo com essa ferramenta recuperá-los, 
mesmo se estiverem em uma área que foi formatada. 
– PromqryUI 
A ferramenta em questão permite a detecção de um sniffer de rede em execução 
nos computadores com os sistemas operacionais Windows Server 2003, Windows XP 
ou Windows 2000. 
O sniffer de rede é um software ou hardware criado para obter os dados que 
passam por uma rede. Uma vez obtidos, esses dados capturados podem ser utilizados 
para análise do tráfego de rede, execução de aplicações na rede e demais fins de 
segurança. Também pode ser usado com fins ilegítimos, incluindo o roubo de dados, 
quebras de senha e mapeamento de rede. 
Um sniffer de rede pode ser executado em modo não-promíscuo ou modo 
promíscuo. O modo promíscuo ocorre quando a placa do adaptador de rede copia todos 
os quadros que passam pela rede para um buffer local, independentemente do endereço 
de destino. Esse modo permite que os sniffers de rede capturem todo o tráfego de rede 
 
na sub-rede local do sniffer ou na rede local virtual (VLAN), que pode incluir difusões, 
difusões ponto a ponto e difusões seletivas (MICROSOFT, 2007). 
A ferramenta auxilia na inserção de um único sistema ou um intervalo de sistemas 
à lista, sendo possível adicionar sistemas por endereço IP ou por nome. Se um nome for 
adicionado, PromqryUI tenta determinar o nome para um endereço IP, se não for 
possível determinar o nome para um endereço IP, a consulta falhará. 
A Figura 6 apresenta todos os sistemas adicionados à lista, que serão 
automaticamente salvos ao sair do PromqryUI; já a lista Systems To Query será 
preenchida automaticamente com os sistemas e intervalos salvos. 
 
Figura 6. Sistemas adicionados e intervalos salvos (MICROSOFT, 2007) 
É possível usar as opções de ping e detalhamento para iniciar a consulta aos 
sistemas selecionados. O resultado da consulta, destacando se foram encontradas 
interfaces em execução no modo promíscuo, é exibido em seguida, conforme ilustrado 
na Figura 7. 
Quando PromqryUI (ou Promqry) localiza um host com interface em execução no 
modo promíscuo, PromqryUI usa o WMI3 para consultar o host a respeito de 
informações adicionais com o objetivo de facilitar a identificação desse host, como 
apresentado na Figura 8 (MICROSOFT, 2007). 
 
3 WMI: Windows Management Instrumentation, infra-estrutura que possui recursos de linha de 
comando e de criação de script, você pode monitorar e controlar os eventos do sistema 
relacionados a aplicativos, componentes de hardware e redes. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 7. Consulta feita e apresentação de interface promíscua (MICROSOFT, 2007) 
 
– OllyDBG 
O OllyDbg é uma ferramenta chamada de debugador, que permite o 
acompanhamento, passo a passo, da execução de programas, além de possuir um 
desassemblador muito conciso, que apresenta todas as linhas de comando, podendo 
observar o conteúdo dos registradores e de posições da memória. 
Essa ferramenta processa várias ações demonstradas em uma janela com quatro 
painéis. É apresentado na Figura 8 um breakpoint numa área de um código, de um vírus 
desassemblado. Observe que no canto inferior direito da Figura 8 há uma área de texto 
com o nome paused ( isso quer dizer que todas as modificações poderão ser feitas com o 
programa parado). No canto inferior esquerdo aparece o texto program entry point 
indicando que a execução está parada naquele momento e o ponteiro está no ponto de 
entrada do programa. 
 
 
 
Figura 8. Breakpoint no OllyDbg (OLLYDBG, 2007) 
 
– Camouflage 
A Camouflage é uma ferramenta de uso simples, que utiliza princípios básicos de 
esteganografia para poder “ocultar” arquivos dentro de outros arquivos. 
A esteganografia está presente em nosso cotidiano nas várias formas possíveis, 
tanto em uma nota de 1 real, apresentando formas que não poderão ser vistas a olho nu e 
somente com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes, 
como apresentado na Figura 9, quanto em um documento que poderá conter inúmeras 
mensagens ocultas. 
 
Figura 10. Cédula de Real 
Esta ferramenta é utilizada por muitos terroristas para enviar e receber 
informações através de imagens, em textos, áudio, vídeo e até em pacotes TCP/IP. 
 
Hoje, o perito forense em informática deve estar muito atento a qualquer tipo de 
imagem aparentemente inofensiva, pois dentro dela pode estar alguma informação 
altamente valiosa para a perícia de um caso. 
Para um perito forense é necessário conhecer todos os formatos de imagens para 
avaliar o tamanho real, em disco, de um arquivo de imagem. Como em qualquer 
tecnologia nova, na esteganografia ainda não há ferramentas que possam avaliar 100% 
uma imagem, por isso a necessidade de investimentos e estudos no assunto. 
A ferramenta freeware denominada Camouflage utiliza um determinado arquivo, 
nesse caso um arquivo de imagem, para “camuflar” demais arquivos. Como exemplo, 
na Figura 10, a ferramenta foi ilustrada com o uso de um arquivo de imagem intituladoPericiaGranbery.jpg para camuflar um arquivo de texto, do tipo .txt, denominado 
senhas.txt. 
 
Figura 10. Escolha do arquivo de imagem 
 
Como apresentado anteriormente e exemplificado na Figura 11 é escolhido um 
arquivo de imagem para que seja camuflado o arquivo de texto, sendo que o arquivo de 
imagem não sofrerá alterações na imagem, podendo trafegar pela Internet sem nenhum 
problema, mas se a pessoa que receber esse arquivo tiver a ferramenta Camuflage, é 
possível verificar se existe algo encoberto utilizando a opção UnCamuflage, assim 
podendo receber o arquivo e extrair o dado camuflado. 
 
 
Figura 11. Extração do arquivo camuflado 
Na seção seguinte serão destacados exemplos de hardwares que podem ser 
utilizados na perícia forense computacional. 
 
HARDWARES UTILIZADOS EM PERÍCIA 
 
Para realizar um processo de análise válido, é indispensável um conjunto de 
ferramentas confiável e, principalmente, que as evidências coletadas possam ser 
utilizadas em uma disputa judicial. A seguir, são apresentadas algumas ferramentas para 
auxiliar o perito em seu trabalho, com uma breve descrição de sua utilização e 
finalidade. 
– FastBlock 2 
A empresa Guidance Software, além de desenvolver softwares para perícia 
forense, como o EnCase, também desenvolve hardwares para a área de perícia forense 
computacional, em conjunto com a empresa Wiebe Tech, como o FastBlock2 Lab 
Edition e Fiel Edition (GUIDANCE, 2007). 
O hardware Fiel Edition é uma ferramenta portátil, como apresentada na 
Figura 12, capaz de fazer bloqueios, criptografia, leituras e cópias de disco rígidos no 
próprio local do incidente a ser periciado. O hardware promove assim não só a coleta de 
dados, mas também a proteção dos dados coletados, apresentando tecnologias de 
comunicação ATA, SATA e USB (GUIDANCE, 2007). 
 
 
 
Figura 12. FastBloc2 Fiel Edition 
Já o hardware Lab Edition é uma ferramenta não portátil, como apresentada na 
Figura 13, utilizada somente em ambientes laboratoriais. Além de fornecer todas as 
funções da versão Fiel Edition, trabalha também com tecnologias de comunicação 
FireWare e ATA, que a outra versão não fornece. Além de serem compatíveis com 
software EnCase, trabalham diretamente com uma ferramenta denominada Computer 
Forensic Software Recognition para poder reaver, reorganizar e exportar estes dados 
coletados. As duas ferramentas trabalham tanto em plataformas Windows e Unix, 
quanto em plataforma Mac, atendendo assim os principais sistemas operacionais, que 
estão presentes hoje no mercado (GUIDANCE, 2007). 
 
Figura 13. FastBloc2 Lab Edition 
 
– Estação F.R.E.D 
Este hardware, ilustrado na Figura 14, consiste em uma estação de perícia 
produzida pela Digital Intelligence, Inc. (http://www.digitalintelligence.com), para 
aquisição e análise de evidências em computadores. Possui recursos não encontrados em 
estações padrão de mercado e configuração bastante flexível. Pode-se ter: disco flexível 
de 3 ½ e 5 ¼, drives de ZIP, JAZ e DITTO, discos IDE e SCSI, etc. Também possui 
bloqueadores de escrita por hardware (FREITAS, 2005). 
 
 
 
Figura 14. F.R.E.D - Forensic Recovery of Evidence Device (FREITAS, 2006) 
CONSIDERAÇÕES FINAIS 
Este trabalho apresentou um tema bastante atual e que tem recebido significativa 
atenção tanto da comunidade científica quanto da indústria: a forense computacional. 
Foram destacadas as etapas de uma perícia forense computacional, bem como 
ferramentas que podem ser utilizadas em uma investigação. 
A forense computacional trabalha com dados físicos e reais, mas numa realidade 
digital, na qual os dados físicos são informações elétricas, eletrônicas, magnéticas, 
eletromagnética e em outras formas mais ou menos voláteis. Os dados mudam, as 
tecnologias mudam, os equipamentos mudam, os conhecimentos mudam, tudo que 
conhecemos muda e sempre mudará, por isso há a necessidade da busca de 
conhecimentos para a aquisição e um maior detalhamento de evidências. 
Como proposta de trabalhos futuros cita-se a possibilidade de realizar um estudo 
mais avançado sobre ferramentas específicas para um determinado ambiente (linux ou 
windows), com o objetivo de exemplificar o uso dessas ferramentas em um caso real de 
perícia computacional. 
REFERÊNCIAS BIBLIOGRÁFICAS 
ANDRADE, T. F. de. Perícia Forense Computacional Baseada em Sistema 
Operacional Windows. Trabalho de Conclusão de Curso, Jaraguá do Sul, Santa 
Catarina, 2005. 
CRHISTÓFARO, G. T. Forense Computacional em Ambientes de Redes - EnCase, 
Apresentação na III Conferência Internacional de Investigação em Crimes 
Cibernéticos - IcCyber, Brasília, 2006. 
 
FREITAS, A. R. de. Perícia Forense Aplicada à Informática. Trabalho de Curso de 
Pós-Graduação “Lato Sensu”em Internet Security. IBPI. 2003. 
_________Perícia Forense Aplicada a Informática: Ambiente Microsoft. Rio de 
Janeiro: Brasport, 2006. 
GUIDANCE. About EnCase® Forensic. Disponível em: 
<http://www.guidancesoftware.com/products/ef_index.aspx/>. Acesso em: 14 ago. 
2007. 
ILOOK. Disponível em: <http://www.ilook-forensics.org/>. Acesso em: 6 set. 2007. 
LEE, H. C., PALMBACH, T. M., MILLER, M. T. Henry Lee’s Crime Scene 
Handbook. San Diego: Academic Press.2001. 
MICROSOFT. Descrição do Promqry 1.0 e PromqryUI 1.0. Disponível em: 
<http://support.microsoft.com/kb/892853/>. Acesso em: 6 set. 2007. 
MELO, Sandro. Disponível em <http//www.linux.com.br>. Acesso em: 13 mar. 2005. 
MENEGOTTO, V. H. Análise Forense: Processo de Investigação Digital. Disponível 
em: <http://www.axur.com.br/artigo.php?id=67>. Acesso em: 10 dez. 2006. 
OLIVEIRA, F. S. Metodologias de Análise Forense para Ambientes Baseados em 
NTFS. 2001. 
OLIVEIRA, F. S.; GUIMARÃES, C. C.; GEUS, P. L. Resposta a Incidentes para 
Ambientes Corporativos Baseado em Windows. 2002. 
OLLYDBG. Disponível em: <http://www.ollydbg.de/>. Acesso em: 10 set. 2007. 
PALMER, G. and CORPORATION, M. A Road Map for Digital Forensic Research. 
Technical Report. 2001. 
PEREIRA, Marcos Nascimento Borges. Disponível em: 
<http://www.forensedigital.com.br>. Acesso em: 12 mai. 2007. 
PEREIRA et al. Forense Computacional: Fundamentos, Tecnologias e Desafios 
Atuais. Anais do VII Simpósio Brasileiro em Segurança da Informação e de Sistemas 
Computacionais, pp. 03-53, Rio de Janeiro, 2007. 
PERITO CRIMINAL. Disponível em <http://www.peritocriminal.com.br/> Acesso em 
abril de 2007. 
REIS, M. A.; GEUS, P. L. Forense Computacional: Procedimentos e Padrões. 2001. 
TAMOSOFT. Disponível em: <http://www.tamos.com/products/smartwhois/>. Acesso 
em: 03 ago. 2007. 
VARGAS. R. G.; QUINTÃO, P.L; GRIZENDI, L.T. Perícia Forense Computacional. 
Anais do I Workshop de Trabalhos de Iniciação Científica e de Graduação da 
Faculdade Metodista Granbery, pp. 20-29, Juiz de Fora, Maio de 2007. 
VARGAS, R. G. Processos e Padrões em Perícia Forense Aplicado a Informática. 
Trabalho de Conclusão de Curso, Bacharelado em Sistemas de Informação, 
Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006. 
VISUALWARE. eMailTrackerPro ® 2007. Disponível em: 
<http://www.emailtrackerpro.com/index.html>. Acesso em: 19 abr. 2007.