Preservação de Provas Digitais em Buscas e Apreensões

Prévia do material em texto

Neste módulo, você estudará sobre os métodos para a correta preservação, coleta 
e análise de equipamentos digitais apreendidos como fonte de provas, de acordo com o que 
está estabelecido nas normas atuais de computação forense, de modo a não prejudicar a 
investigação e o futuro processo penal.
Pronto para começar?
Objetivos do módulo
Ao final do estudo deste módulo, você será capaz de:
• Identificar a melhor maneira de resguardar informações em ambientes de infor-
mática, visando auxiliar em investigações;
• Identificar quais são os equipamentos relevantes para serem apreendidos, no 
caso de busca e apreensão em ambientes de informática;
• Compreender a cadeia de custódia das provas digitais apreendidas para inves-
tigações;
• Utilizar os meios legais para colher informações sobre os investigados em am-
bientes tecnológicos.
Estrutura do módulo
Este módulo possui as seguintes aulas:
 Aula 1 – Busca e apreensão de equipamentos de informática
 Aula 2 – Dispositivos de armazenamento portáteis
 Aula 3 – Recuperação de dados deletados
 Aula 4 – Análise de informações de equipamentos apreendidos
Módulo 5
PRESERVAÇÃO DA 
PROVA DIGITAL
1.1 Prova digital
Em qualquer procedimento de busca e apreen-
são, os agentes da lei têm como obrigação a busca inces-
sante pela prova do crime. Quando o crime envolve recur-
sos digitais, então podemos falar em “prova digital”, que, 
no contexto deste curso, é considerada como:
Qualquer informação de valor probatório, que é 
armazenado ou transmitido de forma digital, por exemplo, 
arquivos, fotos, vídeos, históricos armazenados em um 
disco rígido de um computador, vídeo digital, áudio digi-
tal, pacotes transmitidos pela rede de comunicação, entre 
outros.
NOTA
Cabe deixar claro que o conteúdo deste módulo 
servirá para dar uma noção básica de como proceder na 
busca da prova digital e como resguardá-la. Para as ques-
tões de processo penal e justiça, qualquer relatório emitido 
a partir desse conhecimento apenas serve como uma pré-
via da atividade criminosa ou como base para a represen-
tação judicial por novos mandados de busca, apreensão 
ou interceptação telefônica e telemática, não substituindo 
em hipótese alguma o laudo pericial que é o documento 
formal somente emitido e assinado pela figura do Perito 
Criminal. 
Ressalta-se que Perito Criminal é somente pes-
soa investida oficialmente no cargo e aprovado em con-
curso público ou, conforme o CPP – Código de Processo 
Penal, profissional de notório saber ou capacidade técnica, 
designado pela autoridade judiciária para atuação como 
perito “ad-hoc” ou auxiliar de perícia. Lembrando que as 
partes envolvidas em um processo penal podem lançar 
mão de peritos privados para produção de prova e contra-
prova.
1.2 Cumprimento 
de mandados de 
busca e apreensão
Nas ações de busca e apreensão, a primeira e 
principal preocupação é com a segurança do policial que 
está cumprindo o mandado. Não há que se descuidar da 
segurança pelo fato de o ambiente ou o alvo não inspirar 
violência. Todo o cuidado sempre é pouco. 
É importante para os policiais e outras autorida-
des que vão cumprir os mandados de busca e apreensão 
estar sempre de posse de equipamentos de segurança e 
todo o aparato policial, destacando-se o armamento, co-
lete a prova de balas, algemas, lanternas, câmeras de foto 
e filmagem, luvas, etiquetas, envelopes, lacres e, é claro, 
equipamentos de informática, principalmente para cópias.
Para o cumprimento do mandado em si, é preci-
so preocupar-se com a volatilidade das evidências busca-
das. No ambiente digital, as provas são muito mais volá-
teis, pois as evidências podem estar em uso no momento 
do início do cumprimento do mandado, de modo que se o 
AULA 1
Busca e apreensão 
de equipamentos de 
informática
alvo simplesmente puxar o equipamento da tomada pode 
estar destruindo as provas. 
Também é fortemente recomendado que todo 
dispositivo eletrônico encontrado no ambiente alvo da 
busca seja desconectado de qualquer acesso a redes de 
comunicação para evitar que dados sejam apagados remo-
tamente. Os aparelhos de telefonia celular e smartphones 
devem sempre ser colocados em “modo avião”, onde estão 
isentos de conexões externas via rede.
Por último, é importantíssimo que a equipe que 
esteja cumprindo o mandado se atente para as questões 
legais, para que no final de um futuro processo penal, as 
provas obtidas durante a busca não sejam contestadas 
pela defesa do acusado. Uma situação simples, mas que 
pode destruir todo o trabalho se não for executada antes 
de deflagrar a operação é o a apresentação de testemu-
nhas populares para acompanhar todo o procedimento de 
busca e apreensão. Esse procedimento é obrigatório pelo 
Código de Processo Penal e se não for feito pode ser seve-
ramente questionado e anulado todo o processo.
1.3 Apreensão de 
equipamentos ou 
dispositivos de 
informática
No caso de apreensão de equipamentos ou dis-
positivos há quatro itens que precisam ser observados:
Item 1 - Não contaminar os dispositivos a serem 
apreendidos, que poderão conter as prova do crime;
Item 2 - No caso de computadores de mesa 
(desktops), analisar a situação para decidir se será apreen-
dido todo o gabinete ou somente o disco rígido;
Item 3 - Observar se o equipamento a ser apre-
endido está executando algum aplicativo de criptografia;
Item 4 - Certificar de que a informação não será 
alterada após a apreensão.
Veja a seguir sobre cada um deles.
ITEM 1
Não contaminar os dispositivos a serem apreen-
didos, que poderão conter as prova do crime.
• No caso do item 1, deve-se evitar que os equi-
pamentos a serem apreendidos sejam ligados. 
Isso poderá gerar registros de que o equipa-
mento foi manuseado após o início do cumpri-
mento do mandado. O advogado de defesa do 
criminoso poderá utilizar como argumentos 
esses registros, alegando que algo poderia ter 
sido modificado depois que o acusado perdeu 
a posse do equipamento apreendido. 
• No ambiente oficial de análise de provas di-
gitais ou perícia forense computacional, os 
profissionais especializados farão acesso para 
efetuar a análise do equipamento, mas utiliza-
rão bloqueadores de escrita para evitar deixar 
rastros que contaminem a prova. 
• Nos casos em que monitor de um equipamento 
a ser apreendido esteja em descanso de tela, é 
conveniente mexer no teclado ou mouse para 
ver se há algo na tela que está em andamento 
e que seja relevante para a investigação. Se for 
identificado algum conteúdo relevante, outros 
métodos serão utilizados para resguardar as 
informações (esse assunto será abordado mais 
adiante: memórias voláteis).
ITEM 2
No caso de computadores de mesa (desktops), 
analisar a situação para decidir se será apreendido todo o 
gabinete ou somente o disco rígido.
• No caso do item 2, a equipe de investigação 
deve verificar, analisar e optar pelo mais con-
veniente, de acordo com o seu bom senso. Na 
maioria dos casos, não é necessário apreender 
todo o gabinete, pois isso pode ocupar muito 
espaço para o transporte e guarda do equipa-
mento. Mas isso vai depender muito da situ-
ação. Em caso de dúvida, é sugerido buscar 
ajuda de um especialista. De qualquer forma, 
o dispositivo apreendido deve ser muito bem 
identificado, com o máximo de detalhes pos-
sível, por escrito numa fita ou etiqueta adesiva 
colada ao dispositivo e, se possível, deve-se 
fotografar antes e depois da apreensão e des-
montagem para evitar confusões sobre a ori-
gem do dispositivo apreendido.
• Deve-se observar se o equipamento do clien-
te ainda tem selo de garantia, pois a violação 
do lacre de garantia pode invalidá-la. Mas isso 
não é prioridade frente à relevância da infor-
mação ali armazenada. Se algo importante for 
encontrado, a questão da garantia nunca será 
empecilho para a violaçãode um lacre e con-
sequente acesso ao dispositivo e à informação 
nele contida.
ITEM 3
Observar se o equipamento a ser apreendido 
está executando algum aplicativo de criptografia.
• No caso do item 3, é conveniente verificar se 
o alvo está disposto a colaborar cedendo as 
senhas de login do equipamento e as senhas. 
Caso contrário, a análise do conteúdo em tela 
torna-se ainda mais relevante e deve ser anali-
sado mais detalhadamente, principalmente se 
houver algum indício de que as informações 
estejam criptografadas. 
• Caso seja encontrado algo relevante, um es-
pecialista deve ser convocado para fazer o 
“dump” de memória (cópia do conteúdo da 
memória volátil) e cópia dos dados criptogra-
fados antes de desligar o equipamento. Se isso 
não for feito, talvez a equipe que fará a análise 
não conseguirá ler as informações, pois a crip-
tografia muitas vezes não pode ser quebrada. 
Porém, é importante lembrar que qualquer in-
tervenção no equipamento apreendido deve 
ser muito bem justificada.
ITEM 4
Certificar de que a informação não será alterada 
após a apreensão
• No caso do item 4, é importante que todo dis-
positivo de armazenamento apreendido saia 
do local da apreensão com uma assinatura 
digital, para que no futuro, possa ser provado 
que os dados não foram alterados durante o 
processo de análise. 
• A assinatura digital pode ser gerada por uma 
“função hash”, que cria um código único (có-
digo hash) gerado para cada conteúdo sobre 
o qual é aplicado. Desta forma, sempre que a 
função hash for aplicada sobre o mesmo con-
teúdo, gerará o mesmo código hash. Isso iden-
tifica unicamente um conteúdo, pois qualquer 
alteração posterior sobre esse mesmo conteú-
do alterará também o hash.
O aplicativo WinMD5Free – na figura ao lado, a função 
hash foi aplicada sobre o arquivo D:\Temp\winmd5free.
zip, gerando um código hash único para esse arquivo. Se o 
arquivo sofrer alguma modificação, isso poderá ser verifi-
cado com nova aplicação da função hash, que certamente 
gerará um código hash diferente do anterior.
O procedimento para cumprimento de um man-
dado de busca e apreensão é algo muito subjetivo. É preci-
so que a equipe observe cada caso para analisar as ações a 
serem tomadas. Por exemplo, há casos em que um compu-
tador quebrado (jogado no chão, golpeado com martelo, 
jogado de cima de um prédio, atropelado por um cami-
nhão, etc), queimado ou jogado dentro da piscina, pode 
ser recuperado. 
O trabalho de perícia forense computacional 
poderecuperar equipamentos nessas situações e fazer a 
leitura de dados que podem ser importantíssimos para a 
investigação. É claro que um trabalho de recuperação des-
se porte só pode ser efetuado por profissionais especializa-
dos. É sugerido que procure a ajuda de um especialista ou 
Perito Criminal da área de informática. 
Assim, a equipe que estiver cumprindo um man-
dado, não deve descartar a possibilidade de recuperação 
de dados, mesmo nos casos mais extremos.
Se por um lado é conveniente apreender todo 
o material que gere a mínima suspeita de conter evidên-
cias do crime, por outro lado, há uma preocupação em não 
apreender equipamentos que serão inúteis para a investi-
gação. A apreensão de grandes volumes gerará um traba-
lho desnecessário para as equipes que analisarão os dispo-
sitivos apreendidos, gerando desperdício de mão de obra 
especializada, tempo e dinheiro.
1.4 Descrição dos 
equipamentos 
apreendidos
É muito importante que o ambiente alvo de bus-
ca e apreensão seja previamente analisado, bem como as 
pessoas investigadas. Nesse tipo de análise, a equipe de in-
vestigação conhece bem a cena em que irá executar a mis-
são e as pessoas com as quais deverá lidar. Ao chegar ao 
ambiente é conveniente que a equipe de investigação des-
creva detalhadamente e, se possível, fotografe o ambiente, 
antes e depois das apreensões. Cada objeto apreendido 
deve ser enumerado e também fotografado no seu local 
original para registrar onde foi apreendido e as condições 
anteriores à apreensão. Todos os dispositivos apreendidos 
devem ser catalogados, identificados e descritos. 
Notebooks e outros dispositivos 
que tiverem fonte de energia devem ser apre-
endidos juntamente com suas fontes, pois as 
fontes de energia muitas vezes são específi-
cas e somente elas são capazes de fazer o dis-
positivo funcionar no caso da análise futura.
As mídias, tais como CDs, DVDs, Blu-rays, HDs ex-
ternos, pendrives, zipdrives, fitas DAT, equipamentos de jo-
gos como Xbox e Playstation que hoje são verdadeiros com-
putadores devem ser apreendidas para posterior análise.
É preciso que a equipe de investigação esteja 
atenta para o armazenamento de informações na Internet, 
pois atualmente há muitos serviços até gratuitos, onde é 
possível armazenar informações. 
Criminosos eventualmente podem utilizar esses 
espaços para armazenar conteúdos ligados ao crime. Nesse 
caso, não há que ser falar em apreensão no ambiente alvo 
do mandado, mas sim em descobrir onde o alvo guarda para 
que as informações possam ser solicitadas ao provedor.
1.5 Apreensão 
de servidores 
em redes 
corporativas
No caso de computadores de grande porte que, 
são utilizados como servidores de aplicações em ambien-
tes corporativos, é conveniente ter um especialista no as-
sunto, pois há diversas tecnologias diferentes e igualmente 
complexas. Cada uma deles requer um procedimento para 
desligamento, navegação e análise. 
Um equipamento de grande porte é totalmente 
diferente de um computador pessoal. O desligamento re-
pentino de um equipamento desse tipo pode causar muito 
prejuízo, inclusive à sociedade. 
Em um ambiente bancário a apreensão do ser-
vidor principal poderá não ter tanta importância 
para a investigação, já que nem sempre contém 
dados de possíveis crimes e a sua apreensão pode-
rá parar todo o sistema de compensação e paga-
mento bancário, causando prejuízos aos clientes, 
que estão alheios à prática do crime investigado.
2.1 Busca e 
apreensão de 
dispositivos de 
armazenamento 
portáteis
Durante o cumprimento de um mandado de 
busca e apreensão em ambientes com equipamentos de 
informática é preciso ter o máximo cuidado na verificação, 
localização e identificação dos dispositivos de armazena-
mento, pois existem os mais variados tipos de mídias de 
armazenamento e diversos tamanhos e formatos. 
Atualmente, as memórias SD SD – Secure Di-
gital - tipo de cartão de memória flash muito utilizado e 
MicroSD, utilizadas em aparelhos celulares, máquinas 
AULA 2
Dispositivos de 
armazenamento 
portáteis
fotográficas, vídeo games e outros equipamentos são do 
tamanho de uma unha ou até menores. 
Nunca tente acessar o conteúdo do dispositivo, 
pois o simples acesso após o início do cumprimento do 
mandado pode deixar vestígios que o advogado de defesa 
do investigado vai alegar que a prova foi contaminada ou 
pode ter sido alterada, podendo invalidá-la. 
A equipe que estiver cumprindo o mandado de 
busca e apreensão deve ficar atenta aos vários formatos de 
pendrives existentes.
Veja a seguir alguns exemplos de pendrive.
Dependendo da situação esses dispositivos po-
dem guardar as informações que incriminarão o suspeito.
Os dados guardados na memória do computa-
dor são gravados nos dispositivos de memória. Quando se 
fala em volatilidade, pode-se classificar as memórias em 
dois tipos básicos: 
• Memórias voláteis: são as memórias que não 
guardam nada quando são desligadas da ener-
gia ou bateria. Elas são memórias mais rápidas 
e por isso são usadas para guardar o que está 
sendo utilizado instantaneamente no com-
putador. Geralmente, são as memórias RAM 
(Random Access Memory – Memória de aces-
so aleatório).
• Memórias não voláteis: as memórias não vo-
láteis não perdem dados com o desligamento 
da energia ou bateria.São utilizadas para guar-
dar grande quantidade de informações para 
serem utilizadas no futuro. Um HD (Hard Disk 
– Disco Rígido ou Winchester), uma memória 
flash, ROM ou suas variações, um CD/DVD, 
blu-ray, fitas magnéticas, disquetes, pendrives, 
memórias SD (usadas em celulares).
3.2 Recuperação de 
dados em memórias 
não voláteis
Também é importante ressaltar o apagamento 
simples de arquivos com comandos de “deletar” ou “for-
matar” não torna impossível a recuperação dos mesmos 
nos equipamentos de armazenamento. A recuperação é 
possível nesses casos, porque os sistemas operacionais 
não apagam completamente as informações do dispositi-
vo de armazenamento, mas tão somente a referência que 
endereça a informação armazenada. 
Antes de receber qualquer informação, as me-
mórias não voláteis são formatadas (assumem um forma-
to de escrita/leitura de dados), de acordo com um sistema 
de arquivos. Na formatação ela é dividida em espaços me-
nores chamados trilhas. Cada um desses espaços tem um 
endereço físico designado pelo sistema de arquivos, no 
sistema operacional. Quando os dados são gravados em 
um arquivo, o endereço da trilha onde o arquivo inicia é 
guardada numa espécie de tabela. Quando o usuário pre-
cisa acessar um arquivo, o sistema operacional sabe qual 
o endereço inicial de gravação do arquivo a ser acessado.
Quando o usuário solicita que um arquivo seja 
deletado ou apagado, o sistema operacional simplesmen-
te libera os endereços de memória ocupados pelo arquivo 
deletado, mas não apaga o conteúdo da informação em si. 
Isso possibilita que a informação deletada seja recupera-
da; http://www.clubedohardware.com.br/artigos/Recu-
perando-Dados-Apagados/560 com ajuda de aplicativos 
específicos para isso.
Existem alguns aplicativos que executam esse 
tipo de recuperação de informações http://info.abril.com.
AULA 3
Recuperação de dados 
deletados
3.1 Memórias voláteis e não voláteis
br/noticias/blogs/download-da-hora/windows/6-aplica-
tivos-para-recuperar-dados-apagados/ (exemplo: Easeus-
Partition Recovery, Recuva, DataRecovery). Em contra-
partida também existem aplicativos utilizados para limpar 
completamente o disco evitando esse tipo de recuperação 
(exemplo: wipe, clean). Esses fazem o apagamento do 
mesmo arquivo http://www.clubedohardware.com.br/
artigos/549 várias vezes e sobrescrevem informações irre-
levantes no mesmo endereço várias vezes, evitando que a 
informação original possa ser recuperada. 
Durante a análise das informações contidas em 
dispositivos apreendidos, o especialista responsável pela 
análise terá que tentar fazer a recuperação para descobrir 
informações que já tenham sido deletadas, e que possam 
ser relevante para a investigação.
3.3 Recuperação de 
dados em memórias 
voláteis
Como você já estudou, num ambiente de busca 
e apreensão é preciso observar o conteúdo da memória 
volátil das máquinas antes de desligá-las. É raro de aconte-
cer, mas a equipe de investigação, durante o cumprimento 
de um mandado de busca e apreensão ou durante um fla-
grante, pode se deparar com informações muito relevantes 
para a investigação em memória volátil. Essas informações 
se perderão se o equipamento for desligado.
Sendo assim, diante desta situação, siga os se-
guintes passos:
1. Faça uma análise prévia do conteúdo 
que estava sendo utilizado no momento da 
apreensão. 
2. Caso exista algum conteúdo em memória vo-
látil que seja suspeito ou importante para a in-
vestigação, por exemplo, uma tela da Internet 
que o alvo esteja utilizando no momento da 
apreensão, ou fotos que estejam sendo visuali-
zadas, ou textos que começaram a ser escritos, 
deve ser feito o procedimento de “dump”na 
memória volátil. Gravação do conteúdo da 
memória volátil em uma memória não volátil, 
para que a informação possa ser transportada 
e depois acessada e analisada num ambiente 
propício.
3. Desligue o equipamento para apreen-
dê-lo e transportá-lo para o local onde será 
analisado.
Há aplicativos específicos para executar este procedimen-
to (exemplo: hexwin). Neste caso, é aconselhável acionar 
um perito ou especialista para que o procedimento seja 
executado com eficiência.
4.1 Análise de 
equipamentos e 
mídias
A análise de um equipamento apreendido deve 
ser feita somente por pessoa especialista, na área de tec-
nologia da informação ou Perito Criminal e com equipa-
mento (hardware ou software) apropriado para extração 
das informações, tais como UFED (UniversalForensicEx-
tractionDevice), MDD (ManTechMemory DD), Volatility, 
Norton Ghost, dd, EnCase, FTK entre outros diversos dis-
positivos e softwares exclusivos para extração de dados de 
equipamentos apreendidos e análise dos mesmos. 
Queiroz e Vargas (2010) citam, em seu livro “In-
vestigação e Perícia Forense Computacional”, as seguintes 
ferramentas de trabalho em computação forense digital: 
Helix (e-fense), CallerIP, RecoverMy Files, EmailTracker-
Pro, FTK Imager, Registry Monitor e GetDataBack. A análi-
se dessas ferramentas não é o objetivo deste curso, já que 
estamos em um nível básico, mas talvez de um futuro mó-
dulo avançado com esse mesmo tema.
Para iniciar a análise de um dispositivo de 
armazenamento apreendido, é necessária a cópia do 
conteúdo para um dispositivo de igual ou maior capa-
cidade de armazenamento e que, notadamente, seja de 
mesma natureza (exemplos: de HD para HD, de CD para 
CD, de DVD para DVD, de blu-ray para blu-ray, de MicroSD 
para MicroSD, de disquete para disquete, de zipdrive para 
zipdrive, de pendrive para pendrive, etc).
Embora seja aconselhado que as cópias sejam 
efetuadas utilizando equipamentos específicos para esse 
fim, há softwares simples e sistemas operacionais gratui-
tos que apresentam características reconhecidamente fa-
voráveis para a tarefa e realizar a análise forense computa-
cional. Há algumas distribuições de sistemas operacionais 
baseados em Linux, tais como Helix, BackTrack que per-
mitem acessar conteúdos e fazer cópias ou até mesmo a 
análise sem deixar registros de acesso.
Os equipamentos apreendidos não 
podem conter registros de acesso de datas 
posteriores ao cumprimento da apreensão, 
sob pena de contestação da defesa do inves-
tigado, que pode alegar que o equipamento 
foi acessado podendo ter sido alterado após 
a apreensão. Isso pode invalidar qualquer 
prova retirada do equipamento.
Computação Forense é a ciência que estuda a 
utilização de informações armazenadas em meio digital 
como prova de crimes.
Para saber mais sobre análise das informações em equipa-
mentos apreendidos veja o vídeo “A arte da perícia digital”. 
http://www.youtube.com/watch?feature=endscreen&NR
=1&v=3FFnD8Bluv8
AULA 4
Análise de informações 
em equipamentos 
apreendidos
Finalizando...
• Prova digital é considerada, no contexto desse curso, como qualquer informa-
ção de valor probatório, que é armazenado ou transmitido de forma digital, por 
exemplo, arquivos, fotos, vídeos, históricos armazenados em um disco rígido de 
um computador, vídeo digital, áudio digital, pacotes transmitidos pela rede de 
comunicação, entre outros.
• Para o cumprimento do mandado em si, é preciso preocupar-se com a volatili-
dade das evidências buscadas. No ambiente digital, as provas são muito mais 
voláteis, pois as evidências podem estar em uso no momento do início do cum-
primento do mandado, de modo que se o alvo simplesmente puxar o equipa-
mento da tomada pode estar destruindo as provas. 
• No caso de apreensão de equipamentos ou dispositivos há quatro itens que 
precisam ser observados. São eles: não contaminar os dispositivos a serem 
apreendidos, que poderão conter as prova do crime; no caso de computadores 
de mesa (desktops), analisar a situação para decidir se será apreendido todo 
o gabinete ou somente o disco rígido; observar se o equipamentoa ser apre-
endido está executando algum aplicativo de criptografia e certificar de que a 
informação não será alterada após a apreensão.
• Ao chegar ao ambiente é conveniente que a equipe de investigação descreva 
detalhadamente e, se possível, fotografe o ambiente, antes e depois das apre-
ensões. Cada objeto apreendido deve ser enumerado e também fotografado no 
seu local original para registrar onde foi apreendido e as condições anteriores à 
apreensão. Todos os dispositivos apreendidos devem ser catalogados, identifi-
cados e descritos. 
• No caso de computadores de grande porte que são utilizados como servidores 
de aplicações em ambientes corporativos, é conveniente ter um especialista no 
assunto, pois há diversas tecnologias diferentes e igualmente complexas. Cada 
uma deles requer um procedimento para desligamento, navegação e análise. 
• Durante o cumprimento de um mandado de busca e apreensão em ambientes 
com equipamentos de informática é preciso ter o máximo cuidado na verifica-
ção, localização e identificação dos dispositivos de armazenamento, pois exis-
tem os mais variados tipos de mídias de armazenamento e diversos tamanhos e 
formatos. 
• Também é importante ressaltar o apagamento simples de arquivos com coman-
dos de “deletar” ou “formatar” não torna impossível a recuperação dos mesmos 
nos equipamentos de armazenamento. A recuperação é possível nesses casos, 
porque os sistemas operacionais não apagam completamente as informações 
do dispositivo de armazenamento, mas tão somente a referência que endereça 
a informação armazenada. 
• Durante o cumprimento de um mandado de busca e apreensão ou durante um 
flagrante, pode se deparar com informações muito relevantes para a investi-
gação em memória volátil. Essas informações se perderão se o equipamento 
for desligado. Sendo assim, diante desta situação, siga os seguintes passos: faça 
uma análise prévia do conteúdo que estava sendo utilizado no momento da 
apreensão; caso exista algum conteúdo em memória volátil que seja suspeito 
ou importante para a investigação, (por exemplo, uma tela da Internet que o 
alvo esteja utilizando no momento da apreensão, ou fotos que estejam sendo 
visualizadas, ou textos que começaram a ser escritos) deve ser feito o procedi-
mento de “dump” na memória volátil. Só após esse procedimento, desligue o 
equipamento para apreendê-lo e transportá-lo para o local onde será analisado.
MÓDULO 1
1 - (x) Registro de eventos com endereços IP, datas e horas.
2 - (x) registro de endereços eletrônico, data e hora de 
acesso do usuário.
3 - (x) unir esta informação a outras obtidas por meio tradi-
cional para apontar a autoria.
4 - (x) endereço IP, endereço URL e endereço de E-mail.
5. F / F / V / V
MÓDULO 2
1 - ( x ) A “lei dos cybercafés” não especifica as punições 
para quem não cumpre as normas vigentes e não estabe-
lece o órgão governamental competente para fiscalizar o 
cumprimento.
2 - ( x ) Por meio do endereço IP é possível definir a região 
onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informações sobre criminosos na 
Internet são os provedores de acesso e os provedores de 
serviço na Internet.
4 - ( x ) O MLAT é um acordo de assistência legal mútua 
entre os países que facilita o levantamento de informações 
em ambiente estrangeiro.
MÓDULO 3
1 - Orientação para resposta: 
Provedores de serviços são as empresas que fornecem al-
gum tipo de serviços na Internet, tais como e-mail, portal 
de notícias, chat, comunicação instantânea, entretenimen-
to, comércio eletrônico, homebank, entre outros. Esses 
provedores podem apontar qual o endereço IP utilizado 
pela conexão onde o suspeito de um crime utilizou a Inter-
net para acessar o serviço no momento da prática delitu-
osa. As maiores empresas do ramo são Google, Microsoft, 
Yahoo, UOL, entre outras.
Provedores de acesso são as empresas que disponibilizam 
os meios físicos de transmissão de dados e os equipamen-
tos de rede de comunicação que possibilitam ao usuário 
acessar a Internet. Esses provedores podem identificar o 
endereço completo de instalação do acesso à Internet que 
utilizou determinado endereço IP na respectiva data e ho-
rário do fato delituoso. As maiores empresas neste ramo 
são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
 
2 - (x) Os provedores sempre guardam os registros de 
eventos por 5 anos, de acordo com a legislação vigente no 
Brasil.
GABARITO
3 - ( x ) Endereços IP dinâmicos são compartilhados entre 
os vários clientes de um provedor de acesso de forma que 
é extremamente necessário que sejam vinculados a data 
e horário para que o cliente responsável seja identificado. 
4 - Orientação para resposta: 
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa de 
leitura de e-mail ou seu serviço de webmail). Identifique o IP 
válido que equivale ao IP da conexão de origem da mensagem. 
Utilize sites de geo-localização de IP como http//en.utrace.de 
para identificar a localização geográfica aproximada.
5 - Orientação para resposta: 
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa 
de leitura de e-mail ou seu serviço de webmail). Identifi-
que o IP válido que equivale ao IP da conexão de origem 
da mensagem. Utilize sites de geo-localização de IP como 
http//en.utrace.de para identificar a localização geográfica 
aproximada.
6 - Orientação para resposta: 
6.1. Pesquise nos sites http://registro.br ou http://whois.sc 
para identificar o provedor responsável por cada um dos 
endereços IP fornecidos pela Microsoft. Utilize a tabela 
de conversão para converter os horários de uso dos en-
dereços IP dos timezones da Microsoft para os brasileiros 
(atente-se para a questão do horário de verão).
6.2. utilize sites de geo-localização para identificar a região 
aproximada dos endereços IP. 
MÓDULO 4
1. (x) Na Internet, principalmente em sites de redes sociais, 
geralmente são descartados como fonte de informação em 
investigações porque os perfis são fechados e não expõem 
o usuário.
2. (x) Busca sistemática equivale à fazer pesquisas fre-
quentes e lidar com os crimes na Internet mesmo que não 
haja nenhum registro oficial de vítimas.
MÓDULO 5
1 - (x) Os computadores a serem apreendidos devem ser 
imediatamente puxados da tomada.
2 - Orientação para resposta
Lembre-se de que o computador pode conter aplicativos 
de criptografia e que o conteúdo está somente na me-
mória volátil. Lembre-se também que o dispositivo ar-
mazenado deve ser preservado para que não seja conta-
minado após o início da operação de busca e apreensão. 
Lembre-se ainda que a análise do material apreendido 
não deve ser feita no dispositivo original, mas sim em 
uma cópia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identi-
ficados, catalogados, fotografados e cuidadosamente des-
critos.
MÓDULO 6
1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-
vos não originais.
2. (x) A engenharia reversa trabalha tentando descobrir 
como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicação criptografada 
não é possível acessar o conteúdo por meio de intercepta-
ção telemática.
4. b / d / a / h / f / e / g / c