Informática Forense Monografia 2012

Prévia do material em texto

CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA “PAULA SOUZA” 
FACULDADE DE TECNOLOGIA DE TAQUARITINGA 
GRADUAÇÃO EM PROCESSAMENTO DE DADOS 
 
 
 
 
MONOGRAFIA 
INFORMÁTICA FORENSE 
 
 
 
 
MARÍLIA VIEIRA RIBEIRO 
ORIENTADORA: Prof.ª Drª. DANIELA GIBERTONI 
 
 
 
 
TAQUARITINGA 
2012 
 
 
 
MARÍLIA VIEIRA RIBEIRO 
 
 
 
 
 
 
 
 
 
 
INFORMÁTICA FORENSE 
 
Monografia apresentada à Faculdade de Tecnologia de 
Taquaritinga, como parte dos requisitos para a obtenção 
do título de Tecnólogo em Processamento de Dados. 
 
Orientadora: Prof.ª Dr.ª Daniela Gibertoni. 
 
 
 
 
 
 
Taquaritinga 
2012 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Dedico, 
 
Aos meus pais, amigos e familiares que sempre me incentivaram e 
acreditaram em meu potencial. 
 
 
AGRADECIMENTOS 
 
 
 
Primeiramente agradeço a Deus por me fortalecer em todos os aspectos, principalmente de 
maneira espiritual e psicológica. 
Agradeço também meus familiares que sempre prestaram ajuda e dedicação em momentos 
críticos, incentivando-me a continuar e não desanimar em meus estudos. 
Aos amigos e colegas de graduação, pela atenção e espirito de equipe em qualquer etapa do 
curso. 
À professora Daniela Gibertoni, por sua competência, dedicação, paciência e disponibilidade 
como orientadora. 
Aos funcionários e demais professores, que com seu trabalho, cooperaram para melhor 
aproveitamento de meus estudos. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
RESUMO 
 
Devido ao crescente número de crimes virtuais, houve a necessidade da criação de uma 
investigação referente à área digital, denominada perícia forense computacional. Através dela, 
foi possível solucionar crimes desta natureza encontrando informações digitais de caráter 
ilegal nos meios digitais, como em dispositivos de armazenamento, programas e aplicativos, 
arquivos protegidos por senhas ou criptografados, memórias e até mesmo no tráfego de redes 
de computadores, o que permitiu o esclarecimento de cibercrimes e até mesmo dos crimes 
praticados em ambiente real, mas que contavam com a ajuda dos meios tecnológicos para 
obterem resultados mais eficazes. A presente monografia descreve como a tecnologia pode 
ajudar a esclarecer diversos delitos cometidos com o uso dos equipamentos computacionais, 
juntamente com a ajuda de profissionais especializados, além de mencionar os principais 
crimes praticados por hackers ou por indivíduos de pouco conhecimento informático, mas que 
não dispensam o uso de equipamentos computacionais para cometer tal ato. Os diversos tipos 
de análise, seja no momento que o equipamento estiver ligado, conectado em rede ou 
desligado, requer o uso de muita experiência e habilidade por parte dos profissionais que irão 
realizar a coleta, e posteriormente a analisarão, pois um pequeno erro pode comprometer a 
veracidade deste material, o que implicará na desconsideração do material como prova ao júri. 
 
PALAVRAS-CHAVE: Forense, Crime, Perito, Hacker, Computacional. 
 
 
 
 
 
 
 
 
 
ABSTRACT 
 
Due to the growing number of cybercrime, there was the need for the creation of a research on 
the digital area, called forensic computing. Through it, we could solve such crimes finding 
digital information from illegal character in digital media, such as storage devices, software 
and applications, files, password protected or encrypted, memories and even the traffic of 
computer networks, allowing clarification of cybercrimes and even crimes committed in a real 
environment, but that counted with the help of technological means to obtain more effective 
results. This monograph describes how technology can help clarify many crimes committed 
with the use of computer equipment, along with the help of skilled professionals, beyond 
mentioning the major crimes committed by hackers or by individuals of little computer 
knowledge, but that does not free the use of computing equipment to commit such an act. The 
various types of analysis, either at the time the equipment is connected, networked or off, 
requires the use of much experience and skill on the part of professionals who will carry out 
the collection, and then to analyze because one little mistake can compromise the veracity of 
this material, which will result in disregard of the material as evidence to the jury. 
 
KEYWORDS: Forensic, Crime, Expert, Hacker, Computer. 
 
 
 
 
 
 
LISTA DE ILUSTRAÇÕES 
 
Ilustração1 - Custo anual em dólares do cibercrime................................................................. 13 
Ilustração 2 - Exemplo de formulário de Cadeia de Custódia. ................................................. 18 
Ilustração 3 - Principais informações a serem inseridas no preâmbulo do laudo. .................... 22 
Ilustração 4 - Exemplo de texto referente à seção Histórico. ................................................... 23 
Ilustração 5 - Exemplo de descrição de um disco rígido. ......................................................... 23 
Ilustração 6 - Exemplo da descrição do objetivo do laudo. ...................................................... 24 
Ilustração 7 - Exemplo de conclusão do laudo pericial. ........................................................... 25 
Ilustração 8 - Vírus Brain em execução.................................................................................... 28 
Ilustração 9 - Spam enviado à uma conta de e-mail com conteúdo de phishing. ..................... 33 
Ilustração 10 - E-mail confiável enviado por uma empresa. .................................................... 34 
Ilustração 11 - MACtime de um arquivo de texto. ................................................................... 42 
Ilustração 12 - Valor de hash em hexadecimal calculado pela função SHA-1......................... 43 
Ilustração 13 - Duplicador Logicube Forensic Talon ............................................................... 48 
Ilustração 14 - Forensic Talon sendo preparado para duplicação. ........................................... 49 
Ilustração 15 - Interface do Forensic Toolkit. .......................................................................... 51 
Ilustração 16 - Estratégia da ferramenta NuDetective de detecção de nudez. .......................... 54 
Ilustração 17 - Interface gráfica da ferramenta EnCase. .......................................................... 55 
 
 
 
 
 
 
 
 
 
 
LISTA DE TABELAS 
 
 
Tabela 1 - O ciclo de vida esperado dos dados......................................................................... 45 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sumário 
 
INTRODUÇÃO ........................................................................................................................ 10 
1. CONCEITOS GERAIS SOBRE COMPUTAÇÃO FORENSE ....................................... 11 
1.1. Internet, ciberespaço e cibercrime ................................................................................. 11 
1.2. Criminalística ................................................................................................................ 13 
1.3. Perito digital .................................................................................................................. 14 
1.4. Computação forense ...................................................................................................... 16 
1.5. Cadeia de custódia .........................................................................................................17 
1.5.1. O que e como apreender ............................................................................................ 19 
1.5.2. Preservando o material ............................................................................................... 20 
1.5.3. Análise de evidências ................................................................................................. 20 
1.6. Laudo pericial ................................................................................................................ 21 
1.6.1. Preâmbulo .................................................................................................................. 21 
1.6.2. Histórico ..................................................................................................................... 22 
1.6.3. Material ...................................................................................................................... 23 
1.6.4. Objetivo ..................................................................................................................... 24 
1.6.5. Considerações técnicas periciais ................................................................................ 24 
1.6.6. Exames ....................................................................................................................... 24 
1.6.7. Finalização ................................................................................................................. 25 
2. CRIMES DE INFORMÁTICA ......................................................................................... 27 
2.1. Praticantes de crimes de informática ............................................................................. 29 
2.2. Hacker ou white hat ....................................................................................................... 30 
2.3. Cracker ou black hat ...................................................................................................... 30 
2.3.1. Crimes próprios ou puros ........................................................................................... 31 
2.3.1.1. Phreaker .................................................................................................................. 31 
 
 
2.3.1.2. Spammers e phishing ............................................................................................. 32 
2.3.1.3. Defacers .................................................................................................................. 34 
2.3.2. Crimes impróprios ou impuros .................................................................................. 35 
2.3.2.1. Pornografia infanto-juvenil. ................................................................................... 36 
2.3.2.2. Difamação, injúria e calúnia................................................................................... 38 
3. Análise de arquivos ........................................................................................................... 40 
3.1. Mactimes ....................................................................................................................... 41 
3.2. Funções de hash ............................................................................................................. 42 
3.3. Forense in vivo .............................................................................................................. 43 
3.3.1. Ordem da volatilidade ................................................................................................ 44 
3.4. Forense post mortem ..................................................................................................... 45 
4. FERRAMENTAS DE PERÍCIA COMPUTACIONAL ................................................... 47 
4.1. Duplicador de discos “Forensic Talon” ......................................................................... 47 
4.2. Forensic Toolkit ............................................................................................................. 50 
4.3. Nudetective .................................................................................................................... 51 
4.4. Encase ............................................................................................................................ 54 
CONCLUSÃO .......................................................................................................................... 57 
REFERÊNCIAS ....................................................................................................................... 58 
 
 
 
 
10 
 
INTRODUÇÃO 
 
Devido a popularidade dos equipamentos digitais e o fácil acesso à internet, o uso 
destas tecnologias proporcionaram o aumento de diversos crimes, o que possibilita uma maior 
dificuldade em localizar e identificar os responsáveis praticantes destes atos. Com a 
necessidade de solucionar e reduzir tais práticas, profissionais especializados nos diversos 
ramos da informática e com conhecimentos jurídicos, são convocados a realizar perícias em 
diversos tipos de equipamentos computacionais ou que contenham informações digitais. 
O intuito deste tipo de investigação é conseguir evidências digitais para esclarecer o 
que ocorreu em um local de crime ou suspeitas referentes ao uso ilegal destes equipamentos. 
Devido a maioria da população ser leiga ou fazer o mal uso de tais tecnologias, permitiu que 
usuários mal-intencionados e com amplo conhecimento em informática realizassem crimes de 
diversos caráteres, como prejuízos financeiros e danos morais, com a intenção de adquirir 
benefícios sem se exporem. 
A informática forense avançou em soluções para identificar e esclarecer diversas 
situações que apontam para práticas ilegais, inclusive em modificar Leis que se adequem à 
nova prática de delitos com o novo método. 
Por fim, este trabalho visa apresentar os principais cibercrimes e o trabalho da perícia 
forense computacional, através da própria tecnologia, em descobrir, analisar, solucionar e 
esclarecer fatos ocorridos no local do crime. 
 
 
 
 
 
 
 
 
 
11 
 
1. CONCEITOS GERAIS SOBRE COMPUTAÇÃO FORENSE 
 
Este capítulo tem como objetivo mostrar os principais conceitos sobre computação 
forense para melhor compreensão de assuntos técnicos, como a apreensão de equipamentos 
computacionais, a correta descrição de cada etapa da investigação, a conclusão da análise, 
entre outras. O tópico a seguir mencionará a ideia e o surgimento do cibercrime e alguns 
prejuízos que o mesmo causou durante alguns anos. 
1.1. Internet, ciberespaço e cibercrime 
 
Com a ideia inicial para uso de fins militares, a internet foi fruto de pesquisas 
realizadas por norte-americanos no período da Guerra Fria, onde redes de computadores 
ligadas entre si faziam transmissão de dados através de pacotes com endereçamentos. 
A ARPA (Advanced Research and Projects Agency - Agência de Pesquisas em 
Projetos Avançados) tinha por objetivo interligar as bases militares e os departamentos de 
pesquisa do governo, desenvolvendo-se então a ARPANET, uma rede de comunicação que 
não os deixasse vulneráveis em caso de ataques soviéticos. 
Devido ao crescimento no uso desta tecnologia, houve a necessidade de dividir este 
sistema em dois grupos, sendo eles o MILNET, que assumiria a rede de comunicação entre as 
bases militares, e o atual ARPANET teve seu destino para pesquisas em universidades. O 
acesso à rede foi ampliando, quando Tim Berners-Lee desenvolveu uma proposta de 
gerenciamento das informações denominada Word Wide Web. 
Juntamente com a proposta de Beerns-Lee, surgem os protocolos de transmissão 
denominados TCP – Protocolo de controle de Transmissão, e o IP – Protocolo de 
Interconexão.Através destes protocolos, as redes de computadores se difundiram e a Internet 
passou a ser o meio de comunicação mais rápido entre as pessoas. 
A partir daí, o termo ciberespaço ficou definido como sendo o meio eletrônico de 
redes de computadores onde ocorre a comunicação de maneira on-line. A ideia original é do 
escritor canadense William Gibson, onde o termo foi utilizado em um de seus romances com 
o intuito de descrever um mundo em que as fronteiras, distâncias e espaços seriam menores 
ou extintos. 
12 
 
O conceito de ciberespaço resultou na mistura do mundo real com o mundo virtual 
criado em computador, onde pessoas compartilham informações, trocam ideias, realizam 
negócios e criam vários tipos de vínculos em diversas áreas de interesse. Outra questão que 
também se encaixa a ele, é a maneira que cada pessoa gasta seu tempo neste ambiente, já que 
não há dia e noite ou limite de uso. 
A partir de todas estas questões, a internet tornou-se um meio eficaz para prática de 
delitos devido a grande quantidade de dados importantes que são disponibilizados no 
ciberespaço, e a qualquer momento podem cair em mãos maliciosas. 
 Para FEITAS (2006), “quando alguém possui acesso aos dados do ciberespaço 
ilegalmente, é chamado de cibercrime”. 
A prática deste crime possui hoje vários sinônimos, como crime digital, crime 
informático, crime informático-digital, crime cibernético, crime computacional. Não existe 
um consenso quanto à expressão, definição, nem mesmo quanto à tipologia e classificação 
destes crimes. De acordo com a legislação internacional e nacional, adotou-se a nomenclatura 
cibercrime, o que também não impossibilita o uso de outras como sinônimo. 
Segundo Wecke (2011), “o Brasil se tornou um laboratório de cibercrime”, conforme 
mostra ilustração 1. Entre 2008 e 2009, a Cisco System revelou que o Brasil estava no topo do 
ranking de maiores spammers do mundo, ultrapassando os Estados Unidos com cerca de 7,7 
trilhões de mensagens maliciosas enviadas durante o ano. No ano seguinte, conforme Wecke 
(2011), “o número de reclamações de usuários contra spams cresceu 139%, enquanto o 
número de internautas aumentou só 9,2%”. 
Com relação a prejuízos financeiros através do cibercrime, os Estados Unidos 
mantem-se no topo da lista, de acordo com uma pesquisa elaborada pela empresa de 
segurança Norton/Symantec. Conforme os dados do relatório gráfico gerado pela pesquisa, o 
país teve prejuízo quase três vezes mais que o Brasil, de acordo com informações na 
ilustração 1. 
13 
 
 
Ilustração1 - Custo anual em dólares do cibercrime. 
Fonte: <http://www1.folha.uol.com.br/tec/1163431-custo-anual-do-cibercrime-no-brasil-e-de-r-16-bilhoes-
diz-estudo.shtml>. (PALMER, 2012). 
 
A pesquisa também apontou que este tipo de custo está relacionado principalmente a 
fraudes e roubos diretos de empresas e pessoas. De acordo com o autor PALMER (2012), esta 
prática “[...] pode ter um sério impacto sobre a economia de um país. Os números [do 
cibercrime no Brasil] são altos, e podem ser resultantes de uma economia que cresce, já que 
aumenta a adoção da tecnologia e de dispositivos móveis”. 
 
1.2. Criminalística 
 
Afirma-se que o termo surgiu através do juiz e professor de direito penal Hans Gross, 
em 1893, quando sua obra “System Der Kriminalistik” considerada um manual de instruções 
dos juízes de direito, definia a criminalística como sendo “O estudo da fenomenologia do 
crime e dos métodos práticos de sua investigação”. 
A criminalística tem como característica principal o reconhecimento e interpretação 
dos indícios materiais que não fazem parte do corpo humano ou da identidade das pessoas 
envolvidas no delito. 
Esta prática era desenvolvida há muito tempo atrás, onde na época, apenas o médico 
era pessoa de grande sabedoria. Com os avanços dos diversos ramos das ciências exatas, 
14 
 
humanas e biológicas, houve a necessidade de especialização, fazendo com que outros 
profissionais passassem a ser consultados. 
Recorrendo a essa necessidade, qualificou-se o profissional de grande conhecimento e 
habilidade específica de uma determinada área da ciência como perito. 
 
Um perito é convocado quando a resolução de um delito não fica clara e, em 
casos de ações judiciais, é escolhido por um juiz para o caso especifico. A 
perícia age quando é necessário um laudo de um especialista no assunto na 
busca de fatos e provas para esclarecer o que aconteceu no local. (Tolentino et 
al., 2011) 
 
Cabe aos peritos realizar os procedimentos científicos válidos à justiça para averiguar 
o fato do delito e suas circunstâncias, ou seja, estudar todos os vestígios do crime por meio de 
métodos adequados para cada um deles. 
Desde o seu surgimento a criminalística visa estudar o crime de forma a não distorcer 
os fatos, zelando pela integridade e sempre perseguindo a evidência de forma a oferecer a 
justiça, um meio de obter os argumentos decisórios para a prolação da sentença 
(ZARZUELA, 1996). 
 
1.3. Perito digital 
 
Perito é o portador de habilidades especializadas em um determinado ramo de uma 
ciência, onde seu principal objetivo é ajudar a criminalística a apurar crimes relacionados à 
área de sua competência profissional. Na ciência forense digital, segundo MILAGRE (2012), 
a perícia digital: 
 
[...] é destinada inicialmente a auxiliar a criminalística na apuração de crimes 
eletrônicos, passa a ser considerada também uma área corporativa afeta à 
segurança da informação, governança, risco e conformidade, dado o número 
crescente de fraudes via informática cometidas por colaboradores de empresas. 
 
No Brasil, a ciência digital é praticada em torno de quinze anos no país, e o perito 
digital pode atuar tanto na área pública quanto na área privada, onde os salários variam entre 
R$7.000,00 à R$100.000,00. A única exigência acadêmica na legislação brasileira para que 
15 
 
uma pessoa torne-se perito é apenas a graduação, não exigindo formação específica em 
tecnologia, porém, deve-se considerar conforme MILAGRE (2012) “que a profissão 
imprescinde de um conhecimento multidisciplinar, sob pena de erros serem homologados nas 
cortes do Brasil”. 
O profissional que optar em atuar na área pública, segundo MILAGRE (2012): 
 
[...] deve peticionar em juízo sua habilitação, que será ou não deferida pelo juiz. 
Em algumas comarcas, pode-se auxiliar o Ministério Público e delegacias não 
especializadas, apresentando-se em petição escrita instruída de curriculum, 
antecedentes criminais e experiência. Pode-se igualmente ser um perito policial, 
integrante do Instituto de Criminalística dos Estados ou da Polícia Federal 
(mediante concurso público). 
 
No que se refere ao concurso público, FERREIRA (2010) diz que o mesmo é 
“geralmente formado por três etapas: a prova escrita de múltipla escolha, a prova oral e um 
curso de formação na Academia de Polícia, que dura quase um ano”. 
O perito é treinado como um policial comum, mas passa por especialização para atuar 
na área. MORAES (2010), que é Diretor do Núcleo de Perícias em Crimes contra a Pessoa da 
Polícia Técnica de São Paulo, explica que “durante a formação o perito estuda criminalística, 
organização policial, contenção de crises e abordagens, além de outros temas”. 
Além da formação, MORAES (2010), relata que “precisa ser um indivíduo chamado 
ao vocacionado. ‘Temos aqui formados em direito, biblioteconomia, não importa a área. Caso 
seja aprovado no concurso, passará por curso de formação e será treinado’”. 
Já na área privada, MILAGRE (2012) relata que os peritos “[...] integram uma equipe 
multidisciplinar composta por profissionais da área jurídica e técnica, [...] inter-relacionadoscom o Time de Resposta a Incidentes da Empresa, previsto na norma ISO 27001”. 
O perito digital deve aprofundar sua formação em tecnologia e direito. MILAGRE 
(2012) destaca que o profissional precisa ter experiências com “frameworks, compliance, [...] 
SOX, COBIT, ITIL, PCI, ISO 270001, além da legislação brasileira básica, como Código 
Civil e Penal,[..] e normas e procedimentos para produção de prova pericial no Brasil”. 
De acordo com Artigo 145 da Lei n° 5.869, de 11 de Janeiro de 1973 do Código de 
Processo Civil: 
• § 1º Os peritos serão escolhidos entre profissionais de nível universitário, 
devidamente inscritos no órgão de classe competente, respeitado o disposto no 
Capitulo VI, seção VII, deste Código. 
16 
 
• § 2º Os peritos comprovarão sua especialidade na matéria sobre que deverão 
opinar, mediante certidão do órgão profissional em que estiverem inscritos. 
• § 3º Nas localidades onde não houver profissionais qualificados que 
preencham os requisitos dos parágrafos anteriores, a indicação dos peritos será 
de livre escolha do juiz”. 
 
Peritos são pessoas de confiança do juiz, seja ele oficial ou não-oficial, conforme 
menciona o Decreto de Lei n° 3.689 de 03 de Outubro de 1941. A conclusão final de um 
perito após concluir seu trabalho, é elaborar um laudo bem detalhado, explicando todos os 
detalhes da perícia feita e das informações encontradas. O laudo deve ser feito por dois 
peritos, porém, se houver opiniões diferentes entre os profissionais, cada um deles deverá 
elaborar um laudo com suas próprias conclusões, conforme o Artigo 180 da Lei n° 3.689 de 
03 de Outubro de 1941: 
 
Se houver divergência entre os peritos, serão consignadas no auto do exame as 
declarações e respostas de um e de outro, ou cada um redigirá separadamente o 
seu laudo, e a autoridade nomeará um terceiro; se este divergir de ambos, a 
autoridade poderá mandar proceder a novo exame por outros peritos. 
 
Caso a autoridade competente sobre os peritos não sentir-se confiante com as opiniões 
e descrição dos laudos, o mesmo poderá solicitar novamente uma perícia com outros peritos. 
O laudo pericial será comentado no item 1.6 deste capítulo. 
 
1.4. Computação forense 
 
A computação forense trata-se de uma ciência destinada a adquirir, preservar e 
apresentar dados que foram processados eletronicamente em dispositivo de computador. 
Para (GUIMARÃES et al., 2008): 
 A forense computacional foi criada com o objetivo de suprir as necessidades 
das instituições legais no que se refere à manipulação das novas formas de 
evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, 
recuperação e análise de dados que estão em formato eletrônico e armazenados 
em algum tipo de mídia computacional. 
 
17 
 
A computação forense atua na vistoria de evidências computacionais, seja em 
elementos físicos ou em dados que foram processados eletronicamente e armazenados em 
mídias computacionais. A necessidade de um exame forense é tentar extrair o máximo de 
informações e evidências relacionadas ao caso, e dessa forma, é possível formular uma 
conclusão sólida da investigação. 
Conforme a afirmação de BUSTAMANTE (2006): 
 
Tal função deve-se ao fato de que o juiz, pessoa dotada de grande conhecimento 
jurídico, não dispõe de grande saber científico, o que torna obrigatório a 
presença dos peritos, profissionais detentores de grande conhecimento em áreas 
científicas e de confiança do juiz, o qual utilizará de seus conhecimentos para 
realização da perícia no objeto questionado (indício), sendo que o resultado de 
seu trabalho será exposto por meio de um laudo, o qual deve ter uma 
linguagem simples, mas sem omitir dados técnicos, que possam ser 
compreendidos por não especialistas. 
 
O perito deve seguir alguns procedimentos para garantir que a evidência não seja 
comprometida, substituída ou perdida. Ele verifica e investiga os fatos de uma ocorrência e 
propõe um laudo técnico para entendimento geral de uma cena, comprovado através de 
provas. 
De acordo com FREITAS (2006), “a perícia forense possui quatro procedimentos 
básicos, no qual todas as evidências devem ser: Identificadas; Preservadas; Analisadas; 
Apresentadas”. 
No caso de crimes cometidos através de um computador, as evidências normalmente 
são dados lógicos e virtuais, onde compete ao perito, identificar de forma correta e aplicável a 
maneira de preservar e armazenar essas provas no ambiente que se encontra. Não 
necessariamente devem-se utilizar todas as etapas descritas acima, mas pode-se utilizar 
somente uma etapa, a maioria ou todas elas. 
1.5. Cadeia de custódia 
 
Na ciência forense existe o chamado Princípio da Troca de Locard, onde o cientista 
forense Edmon Locard exprimiu a teoria em que "através do contato de dois itens, haverá uma 
18 
 
permuta”, o que explica é que qualquer pessoa ou qualquer coisa que entra em um local de 
crime, leva consigo algo do local e deixa alguma coisa para trás quando sai. 
Isto significa que todo contato entre quaisquer pessoas ou objetos com a cena do crime 
pode produzir vestígios, e por menores que sejam, poderão servir como base para o 
esclarecimento dos fatos de um crime. 
 Para Eleutério e Machado (2011, p.39), “todo material apreendido deverá ser descrito 
em auto pela autoridade competente. Nesse momento, é importante utilizar os conhecimentos 
técnicos para a correta descrição dos equipamentos, garantindo a cadeia de custódia”. 
A ilustração 2 mostra um modelo de formulário de cadeia de custódia com as 
principais informações a ser inserida: 
 
 
Ilustração2 - Exemplo de formulário de Cadeia de Custódia. 
Fonte: <http://forensics.luizrabelo.com.br/2011/08/cadeia-de-custodia.html>. 
 
É importante observar certos procedimentos no momento da coleta de dados e no 
decorrer da análise forense. Isso implicará na diferença entre o sucesso e o fracasso de uma 
perícia, pois se houver o comprometimento da veracidade de uma prova, sua integridade seria 
corrompida, e ao mesmo tempo, deixaria dúvidas perante um tribunal. 
19 
 
1.5.1. O que e como apreender 
 
Ao participar de uma equipe que fará a busca e apreensão de equipamentos 
computacionais, o perito torna-se a pessoa responsável para orienta-los à correta localização e 
apreensão destes equipamentos no local. 
Para Eleutério e Machado (2011), neste momento, torna-se imprescindível no local do 
crime, agir de maneira a: 
 
· Evitar a entrada de pessoas estranhas no local sem autorização/supervisão do 
perito; 
· Não ligar equipamentos computacionais que estejam desligados; 
· Dependendo do tipo de situação encontrada no local, recomenda-se ainda 
interromper as conexões de rede eventualmente existentes e retirar a fonte de energia dos 
equipamentos computacionais, desligando-os, exceto quando há possibilidade de flagrante de 
delito; 
· Não é recomendado utilizar os equipamentos computacionais do local para 
verificar se estes contêm as informações relevantes ao cumprimento da busca. 
· Equipamentos computacionais só devem ser apreendidos se houver suspeita de 
que eles podem conter as evidências necessárias para a investigação. Geralmente, esta decisão 
é tomada após entrevistar as pessoas que residem e/ou trabalham no local. 
· Quanto às evidências eletrônicas, deve-se ter em mente que informações 
digitais estão contidas nas mais variadas formas, devido a novos dispositivos eletrônicos que 
são lançados no mercado frequentemente. 
 
Por se tratar de uma investigação, nada pode ser desconsiderado a princípio. Um 
computador pode conter uma série de informações, sejam elas em arquivos de texto, lista de 
contatos, arquivos multimídia, bancos dedados, e-mails, históricos de internet, planilhas 
eletrônicas e muitos outros formatos de dados. Uma secretária eletrônica contém informações 
de ligações realizadas e recebidas, agenda com nomes e números, gravações, além de outras 
informações conforme suas funcionalidades. Até uma simples placa de rede pode comprovar 
uma transferência de informações entre dois computadores. Em um cartão de memória pode 
conter vídeos, imagens, sons. O buffer de uma impressora pode fornecer informações sobre 
arquivos que foram impressos. 
20 
 
Além de alguns exemplos apresentados, evidências também podem ser encontradas na 
memória principal de um computador. Programas e processos sendo executados, arquivos que 
não estão protegidos por senhas ou criptografia como nos discos rígidos. Pela característica da 
memória principal ser “volátil” torna-se um lugar desprezado pela maioria dos peritos, pois 
geralmente o computador já fora reiniciado ou mesmo desligado. 
 
1.5.2. Preservando o material 
 
Para garantir que algum material apreendido não sofra nenhuma alteração, é 
necessário recolhe-lo de maneira correta garantindo sua integridade. Da mesma maneira 
ocorre na informática com dados computacionais, onde todo dispositivo deve ter cuidados e 
táticas precisas ao tentar acessa-lo. 
Mídias digitais de armazenamento geralmente são frágeis. Portanto, é viável que os 
exames forenses computacionais sejam realizados em cópias idênticas a partir do material 
original. 
Ao realizar uma cópia de um dispositivo, é recomendado que o perito use técnicas e 
equipamentos para registrar o conteúdo dos dados presentes no dispositivo. 
 
1.5.3. Análise de evidências 
 
O propósito desta fase é tentar identificar quem fez, quando fez, que dano causou e 
como foi realizado o crime. Mas, para isso, o perito deverá saber o que procurar, onde 
procurar e como procurar. Para (FREITAS, 2006), após analisar as evidências o perito poderá 
responder às seguintes questões: 
· Qual a versão do Sistema Operacional que estava sendo investigado? 
· Quem estava conectado ao sistema no momento do crime? 
· Quais arquivos foram usados pelo suspeito? 
· Quais portas estavam abertas no Sistema Operacional? 
· Quem logou ou tentou logar no computador recentemente? 
· Quem eram os usuários e a quais grupos pertenciam? 
· Quais arquivos foram excluídos? 
 
21 
 
Nesta etapa acontecerá a pesquisa propriamente dita, em que praticamente todos os 
filtros de informação já foram executados. A partir deste ponto o perito poderá focalizar-se 
nos itens realmente relevantes ao caso em questão. É nesta fase que os itens farão sentido e os 
dados e fatos passarão a ser confrontados. 
 
1.6. Laudo pericial 
 
Esta é a etapa final dos exames forenses, onde todo o ocorrido deverá ser registrado 
em um laudo formal que será apresentado ao juiz ou tribunal. O laudo é uma parte do 
processo que deve ser interpretada como qualquer outro instrumento de prova e 
convencimento, onde o perito deve descrever da forma mais objetiva possível, os fatos com 
base na sua argumentação e no final, sua conclusão. 
Os laudos possuem uma estrutura própria, bem definida e formada, de acordo com 
Eleuterio e Machado (2011), pelas seguintes seções: 
· Preâmbulo: identificação do laudo. 
· Histórico (opcional): fatos anteriores e de interesse do laudo. 
· Material: descrição detalhada do material examinado no laudo. 
· Objetivo: objetivo do laudo. 
· Considerações técnicas/periciais (opcional): conceitos e informações 
relacionados ao exame pericial realizado, que podem ser importantes para o entendimento do 
laudo. 
· Exames: parte descritiva e experimental do laudo. 
· Respostas aos quesitos/conclusões: resumo objetivo dos resultados obtidos 
nos exames. 
 
Cada tópico da elaboração de um laudo será explicado com mais detalhes a seguir. 
 
1.6.1. Preâmbulo 
 
No preâmbulo, além da identificação do próprio laudo, são mencionados também os 
nomes dos envolvidos nos exames, como peritos e autoridade solicitante. Segundo 
ELEUTERIO e MONTEIRO (2011), o preâmbulo “sempre termina com a transcrição dos 
22 
quesitos formulados pela autoridade solicitante, que deverão ser respondidos pelo perito na 
última seção do laudo”. A ilustração 3 mostra os itens principais do preâmbulo de um laudo 
pericial. 
 
Ilustração 3 - Principais informações a serem inseridas no preâmbulo do laudo. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
 
Histórico 
 
Já o histórico pode conter a descrição dos eventos relacionados ao laudo ou materiais 
examinados que ocorreram durante a investigação. 
Os peritos ELEUTÉRIO e MACHADO(2011) exemplificam uma situação em que: 
 
[...] um disco rígido foi examinado anteriormente, mas a autoridade solicitante 
resolveu fazer novos quesitos sobre o mesmo material, o histórico do laudo 
pode conter um parágrafo descrevendo que o disco rígido em questão foi 
examinado no laudo número X , criado na da Y, mas que a autoridade resolveu 
formular novos quesitos. 
 
Vale ressaltar que o histórico é uma seção opcional, e que deve ser incluído apenas se 
houver informações prévias sobre a realização do exame pericial, e que elas sejam relevantes 
ao ser destacadas nos exames, o que contribuirá para a melhor compreensão do laudo. 
A ilustração 4 mostra o exemplo de uma descrição da seção histórico de um laudo. 
23 
 
Ilustração 4 - Exemplo de texto referente à seção Histórico. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
 
1.6.2. Material 
 
Nesta seção do laudo deverão ser detalhados todos os materiais analisados. A 
descrição deve ser bem detalhada contendo todas as características de equipamentos e demais 
materiais apreendidos para análise, como fabricante, marca, modelo, cor, estado de 
conservação e principalmente as condições em que foram recolhidos. 
Todo o material apreendido nunca poderá sofrer alterações ou ser confundido pelo 
perito, pois segundo ELEUTERIO e MACHADO (2011) “a descrição deve ser detalhada, a 
fim de garantir que não exista margem para possível troca de materiais ou para um possível 
questionamento dos envolvidos sobre qual material foi realmente analisado no laudo”. 
A ilustração 5 mostra o texto de um material recolhido para analise. 
 
 
Ilustração 5 - Exemplo de descrição de um disco rígido. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
24 
 
1.6.3. Objetivo 
 
O objetivo, como o próprio nome diz, deve destacar os principais objetivos do exame 
a ser realizado nos materiais apreendidos, em no máximo dois parágrafos. 
A ilustração 6 ilustra o texto de um objetivo de um laudo. 
 
 
Ilustração 6 - Exemplo da descrição do objetivo do laudo. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
 
1.6.4. Considerações técnicas periciais 
 
Esta seção também é opcional e pode ser utilizada quando houver a necessidade de 
explicar procedimentos técnicos para o entendimento do laudo. Por ser fatores que não estão 
relacionados diretamente ao exame pericial, essas informações devem ser colocadas em 
seções a parte, e não na seção referente ao Exame. Portanto, recomenda-se que o perito insira 
no laudo uma seção destinada ao entendimento do leitor. 
 
1.6.5. Exames 
 
Na seção Exames se relata todos os procedimentos e técnicas que o perito utilizou 
para encontrar evidências. Apenas nesta seção, é permitido que o perito utilize termos 
técnicos e aprofundados em computação. 
25 
 
1.6.6. FinalizaçãoNesta última seção do laudo, os maiores interessados como juízes, advogados, 
delegados e outros envolvidos aguardam ansiosos por esta etapa, pois é nela que contem as 
conclusões da investigação de uma maneira clara e objetiva, permitindo que uma pessoa não 
formada na área compreenda os resultados e conclusões. 
Segundo ELEUTERIO e MACHADO (2011) esta última seção pode ter dois nomes: 
“‘Respostas aos Quesitos’, se a autoridade solicitante formulou quesitos específicos que não 
devem ser respondidos com o laudo, ou ‘Conclusões’, caso os quesitos não tenham sido 
especificados”. 
Estes quesitos geralmente constam na seção preâmbulo do laudo, porém, conforme 
MACHADO e ELEUTÉRIO (2011) “é sempre recomendável copiar os quesitos formulados 
para esta última seção, a fim de que as respostas sejam realizadas imediatamente abaixo das 
perguntas, deixando o laudo mais fácil de ser entendido”. 
É importante lembrar que após descrever a “Conclusão” ou “Resposta aos Quesitos”, 
o perito deverá incluir explicitamente nesta seção, que está devolvendo o material 
encaminhado ao exame, devidamente lacrado à autoridade solicitante. O número dos lacres 
usados na vedação de cada equipamento recolhido também deverá ser incluído no laudo, 
conforme ilustra a ilustração 7 a seguir. 
 
 
Ilustração 7 - Exemplo de conclusão do laudo pericial. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
 
26 
 
Após a entrega do laudo, o juiz intima todos os envolvidos para o conhecimento do 
mesmo e que terão um prazo para se manifestarem. As partes podem concordar ou não com o 
laudo, contestar, solicitar esclarecimentos, formular quesitos adicionais ou mesmo protestar o 
laudo, solicitando a realização de uma nova perícia. 
 O perito é convocado para prestar esclarecimento em audiências de forma verbal. As 
partes devem indicar com antecedência os quesitos a serem respondidos. Caso o perito não 
responda os quesitos na audiência, ele poderá alegar a complexidade da questão e solicitar um 
prazo para responder. 
Há também um prazo mínimo de cinco dias para que o perito seja intimado a prestar 
esclarecimentos em audiências. O contato pessoal do perito junto à advogados, juízes e as 
partes podem causar apreensão sobre o perito, podendo haver questões em que o mesmo não 
possa responder de pronto ou que perca suas referências técnicas. 
Conforme a afirmação de MELO (2009), referente ao Artigo 435 do Código do 
Processo Civil, “já que os esclarecimentos só podem ser pedidos através de quesitos [...], o 
perito poderá ter acesso aos autos, examinar bem a questão e apresentar a resposta por escrito, 
previamente protocolada ou entregue diretamente na audiência”. 
 
 
 
27 
 
2. CRIMES DE INFORMÁTICA 
A prática de crimes é tão antiga quanto a humanidade. Livros antigos como a Bíblia, já 
relatavam práticas de crimes entre autoridades da lei, clero e até entre membros de uma 
família. 
Conforme o dicionário MICHAELIS da Língua Portuguesa, a definição de um crime 
pode ser “1: Dir. Violação dolosa ou culposa da lei penal. 2: Sociol. Violação das regras que a 
sociedade considera indispensáveis à sua existência. 3: Infração moral grave; delito. 4: Vida 
de criminoso. 5: Os criminosos. Adj. Dir. 1: V. criminal. 2: Criminoso. 3: Que revela crime”. 
Muitos são os tipos de crimes na informática, porém, os que ocorrem atualmente e 
com frequência são os relacionados à fraude, principalmente tendo como auxilio o uso da 
internet, onde o praticante do crime não precisará expor-se fisicamente. 
São velhos golpes onde o objetivo principal é o lucro imediato. O fato é que muitos 
não conseguem acompanhar o ritmo inovador da tecnologia, e a vítima desprevenida, poderá 
sofrer a ação de maneira mais rápida e eficaz ao cair em golpes desta natureza. A intenção 
dolosa é a mesma, a tecnologia faz com que o presente seja apenas uma sofisticação do 
passado. 
De acordo com ROSA (2006), “crime de informática é a conduta atente contra o 
estado natural dos dados e recursos oferecidos por um sistema de processamento de dados; 
seja pela compilação, armazenamento ou transmissão de dados, na sua forma mais 
rudimentar”. 
Antes mesmo da existência da internet, algumas práticas já poderiam ser consideradas 
como crimes de informática devido aos atos praticados e suas consequências. 
Um exemplo a ser descrito foi o fato ocorrido em 1986, quando dois irmãos 
paquistaneses Amjad e Basit Farooq Alvi, que praticavam pirataria de softwares, 
desenvolveram um vírus para impedir que seus compradores compartilhassem seus produtos 
com outras pessoas, o que acarretaria no aumento da perda de lucro por programa vendido. 
 O vírus ficou conhecido como Brain e foi desenvolvido por um dos irmãos Alvi, o 
programador Amjad. Ao realizar uma compra em sua loja, o vírus era inserido junto ao 
software armazenado em um disquete, e após inseri-lo no drive do computador do usuário, a 
inicialização do sistema operacional DOS era interrompida pelo vírus, onde uma mensagem 
aparecia informando o nome, endereço e telefone de seus criadores. A intenção era obriga-los 
a se deslocarem até a loja dos irmãos Alvi solicitando a remoção do vírus, e dessa maneira, 
28 
 
um custo por essa solicitação seria cobrado e os Alvi, com o controle da situação, voltariam a 
lucrar. 
A ilustração 8 mostra a ação do vírus Brain após ser instalado em um computador com 
sistema operacional DOS: 
 
 
Ilustração 8 - Vírus Brain em execução. 
Fonte: <http://upload.wikimedia.org/wikipedia/commons/d/da/Brain-virus.jpg>. 
 
Em fevereiro de 2011, após 25 anos da criação do vírus, a empresa de soluções de 
segurança F-Secure, representada por seu chefe de pesquisas Mikko Hypponen, deslocou-se 
para o Paquistão com o intuito de encontrar os irmãos para a realização de uma vídeo-
reportagem sobre o vírus Brain, tendo como título “Brain – Searching for the first PC vírus”. 
Atualmente os Alvi são donos de um provedor de internet chamado Brain 
Telecommunication, juntamente com o terceiro irmão Shahid. Em meio à entrevista, os 
irmãos afirmam que a intenção não era criar um vírus destrutivo, tanto que seus dados 
pessoais, como número de telefone e nome estavam incluídos no código do vírus. Segundo o 
entrevistado Amjad (2011), “A ideia era criar um código que pudesse verificar as 
funcionalidades multitarefas do DOS, bem como checar as vulnerabilidades”. 
29 
 
Se a Lei atual fosse aplicada em 1986, provavelmente sofreriam acusações como 
invasão de privacidade, roubo, ou algum tipo de penalidade pelo ato cometido. 
Os principais tipos de crimes praticados com o uso da tecnologia computacional são 
classificados, no Brasil, como próprios ou impróprios. Conforme a definição de ARAS 
(2008): 
Os crimes considerados puros ou próprios são aqueles praticados através do 
computador os quais se realizam também por meio eletrônico, onde a 
informática é o objeto jurídico tutelado. Já nos crimes considerados impuros ou 
impróprios são aqueles em que para e produzir o resultado naturalístico que 
atue no mundo físico ou o espaço “real”, lesando outros bens não-
computacionais da informática. 
 
Em outras palavras, os crimes puros ou próprios só podem ser cometidos com o uso do 
computador ou um meio eletrônico, ou seja, sem o auxilio do equipamento, nada poderá 
acontecer. Já os crimes classificados como impuros ou impróprios, são crimes praticados na 
vida real e utilizam os equipamentos apenas como uma ferramenta de auxilio, não sendo 
necessários para que o crime aconteça. 
2.1. Praticantes de crimes de informática 
Diariamente o mundo passa por diversas evoluções com as novas tecnologias. 
Celulares se multiplicamao lado da tecnologia antiga do telefone fixo, televisores de alta 
definição ocupam o lugar dos aparelhos que possuíam a tecnologia de tubos de raios catódicos 
e entre outras diversas tecnologias, que antes eram impensáveis de se criar, hoje tornam a vida 
do homem fácil e eficiente dentro da sociedade. 
Com essa revolução tecnológica, o anseio e a necessidade em obter equipamentos 
eletrônicos costumam alterar o comportamento e conduta das pessoas. 
É um erro pensar que os crimes de informática são cometidos apenas por especialistas, 
pois com a evolução dos meios de comunicação, o aumento de equipamentos, o crescimento 
da tecnologia, e principalmente o fácil acesso a informação e softwares, permite que qualquer 
um torne-se um criminoso de informática. 
Uma pessoa com o mínimo de conhecimento é capaz de cometer crimes de 
informática, tendo como exemplo a pirataria de softwares, onde o usuário faz o download de 
um programa e burla uma licença de uso, causando o rompimento dos direitos autorais de 
seus criadores. Após realizar o passo a passo correto da instalação e confirmar sua eficiência, 
30 
 
este mesmo usuário compartilha com outros os benefícios que obteve com esta prática ilegal 
incentivando os demais a cometerem o mesmo ato. Geralmente, esta prática acontece apenas 
para suprir um anseio próprio, sem a intenção de prejudicar os demais. 
Este tipo de conduta chega a ser irrelevante comparado aos de usuários que agem de 
má-fé, causando dolo às vitimas com diversas maneiras de crimes, como a de sabotagem, 
fraude, ofensas, homicídio, crime organizado, espionagem entre outros. 
 
2.2. Hacker ou white hat 
 
Geralmente, hacker é como a população define um criminoso de informática, porém, 
esta não é a palavra mais adequada pelo fato do indivíduo não utilizar a tecnologia para 
cometer crimes. Os hackers possuem um amplo conhecimento em informática e sabem 
encontrar com facilidade quaisquer vulnerabilidades de segurança de sistemas, porém, não 
alteram ou danificam nada. Muitos deles são considerados profissionais e consequentemente 
contratados por empresas de segurança de software que pretendem testar seus sistemas, com a 
finalidade de qualifica-los e evitando possíveis falhas na segurança de dados sigilosos. Outro 
termo encontrado como sinônimo de hacker é o “White hat”, que em português significa 
“Chapéu Branco”. Para ASSUNÇÃO (2008): 
 
Hacker White-Hat: Seria o “hacker do bem”, chamado de “hacker chapéu 
branco”. É aquela pessoa que se destaca nas empresas e instituições por ter um 
conhecimento mais elevado que seus colegas, devido ao autodidatismo e à 
paixão pelo que faz. Não chega a invadir sistemas e causar estragos, exceto ao 
realizar testes de intrusão. Resumindo: tem um vasto conhecimento, mas não o 
usa de forma banal e irresponsável. 
 
Com base nas definições acima, pode-se afirmar que os hackers ou White Hat não 
cometem crimes ao invadir um sistema computacional, pois praticam este ato com prévia 
autorização e determinação de seus criadores, tendo a intenção de solucionar irregularidades 
na estrutura do desenvolvimento dos softwares. 
 
2.3. Cracker ou black hat 
 
Diferentemente do hacker, o cracker é considerado um criminoso. Com amplo 
conhecimento de informática, ele faz uso deste conhecimento para encontrar vulnerabilidades 
31 
 
nos sistemas e no ciberespaço, causando danos ou obtendo alguma informação confidencial 
de terceiros. 
Conforme a definição de ASSUNÇÃO (2008): 
 
Hacker Black-Hat: “Hacker do Mal” ou “Chapéu negro”. Esse sim usa seus 
conhecimentos para roubar senhas, documentos, causar danos ou mesmo 
realizar espionagem industrial. Geralmente tem seus alvos bem definidos e 
podem passar semanas antes de conseguir acesso onde deseja, se o sistema for 
bem protegido. 
 
Os crackers possuem subdivisões conforme o tipo de ataque à um determinado 
sistema. Dentre eles, estão os principais como os phreaker, spammers e defacers. 
 
2.3.1. Crimes próprios ou puros 
Para esta categoria de crimes destaca-se principalmente o ato de invasão, porém, o 
intuito maior está em modificar, alterar e excluir dados digitais, ou ainda, que atinja 
diretamente o funcionamento do software ou periféricos do computador. 
2.3.1.1. Phreaker 
 
O nome vem da junção de “phone” (telefone) e freak (excêntrico), e são eles os 
responsáveis por atuar na telefonia, conhecidos popularmente como hackers de telefonia. Sua 
especialidade está em burlar sistemas de operadoras de telefone praticando crimes bem 
conhecidos, como clonagem de celulares, alteração de sistemas de cobrança dos telefones, 
realização de escutas telefônicas e até mesmo alteração de mensagens de call centers. 
Para ROSA (2006), “ele é especializado em telefonia, atua na obtenção de ligações 
gratuitas e instalação de escutas, facilitando o ataque a sistemas a partir de acesso exterior, 
tornando-se invisíveis ao rastreamento ou colocando a responsabilidade em terceiros”. 
Uma ocorrência desta natureza aconteceu em 26 de maio de 2010 contra a empresa de 
filtros de papel e café solúvel Mellita, sofrendo um ataque que modificou a mensagem de 
saudação inicial do Serviço de Atendimento ao Consumidor (SAC), cuja responsabilidade foi 
de um garoto de 13 anos. 
A Mellita possui a administração do serviço de telefonia terceirizada, que ao 
identificar o ocorrido, retirou a gravação e fez a substituição de uma nova gravação. Minutos 
32 
 
depois, o phreaker voltou a atacar, e na nova mensagem, o mesmo citou nomes de colegas 
que provavelmente sabiam desta ação. 
 
2.3.1.2. Spammers e phishing 
 
Os spammers atuam principalmente na proliferação de lixo eletrônico nas contas de e-
mail, onde tal ação prejudica a organização, o espaço de armazenamento para as mensagens e 
principalmente, quando mal intencionado, permite a abertura de portas para que programas 
sejam instalados com o intuito de roubar dados do computador. 
E-mails inúteis e com remetentes desconhecidos são chamados de SPAM, que são de 
responsabilidade dos spammers a replicação nas caixas de entrada. Já o PHISHING realiza 
tentativas de golpe computador do usuário, quando este abre alguma mensagem duvidosa. 
Ao clicar no link de um e-mail PHISHING, permite-se que um software seja instalado 
no computador com a intenção de registrar o que o usuário faz, além de roubar registros 
importantes como arquivos, logins e senhas. É um meio fácil e eficaz para o criminoso que 
pratica este ato, pois a qualquer momento o usuário leigo poderá cair nesta armadilha. 
Na ilustração 9, um e-mail mal intencionado foi enviado em uma conta e se apresenta 
em nome da “Equipe Windows Live Messenger”, informando ao usuário que sua conta de e-
mail será bloqueada caso a atualização não seja feita, e solicita que ele clique sobre “Ativar 
Conta” para que a mesma continue funcionando regularmente. 
 
33 
 
 
Ilustração 9 - Spam enviado à uma conta de e-mail com conteúdo de phishing. 
Fonte: da autora. 
 
Ao reparar no texto de informação da ilustração 9, erros de português são visivelmente 
percebidos, e a intenção da mesma é de instigar o usuário a tomar uma decisão rápida para 
impedir que sua conta seja encerrada. Ao clicar no botão “Ativar conta”, um aplicativo mal-
intencionado será instalado no computador local e que poderá causar danos futuramente, 
como copiar logins e senhas ou roubar imagens e arquivos armazenados no computador. 
Não há 100% de precaução, porém um bom filtro ativado na conta de e-mail evita que 
grande quantidade desses se repliquem na caixa de entrada ou cause danos ao computador 
quando acessado. 
Vale ressaltar que a maioria das empresas, principalmente bancos, jamais solicitamprocedimentos desta natureza por meio da internet, justamente porque o meio de transação de 
dados não é totalmente seguro contra tentativas de fraude. 
Em alguns casos, como a empresa Microsoft que solicitou um procedimento referente 
à conta do Windows Live Hotmail, geralmente envia um e-mail com um símbolo de cor verde 
em seu lado esquerdo, o que significa que o remetente é confiável e prova a veracidade das 
informações contidas neste. 
Na ilustração 10, o conteúdo da mensagem informa que parte dos serviços da 
Windows Live Hotmail serão alterados, e que estes entrarão em vigor 30 dias após a data do 
envio deste e-mail. Dentre o conteúdo da mensagem, há um link com o nome “Contrato de 
Serviço Microsoft”. 
34 
 
 
 
Ilustração 10 - E-mail confiável enviado por uma empresa. 
Fonte: da autora. 
Outra maneira de identificar a veracidade de um e-mail é posicionar o mouse sobre o 
link enviado, onde é possível visualizar no rodapé da página, o nome do site em que será 
direcionado. 
 
2.3.1.3. Defacers 
 
Defacer é o indivíduo que realiza pichação em sites sem o consentimento de seus 
criadores. De acordo com a definição de ROSA (2006), “é colocar, de forma indevida, textos 
ou figuras em sites de terceiros sem a devida autorização”. 
Em 2011, ocorreu um crime desta naturalidade envolvendo a atriz Carolina 
Dieckmamn, onde fotos íntimas foram roubadas de seu computador pessoal e expostas em 
sites. O passo inicial para o acontecimento foi depois que ela abriu um e-mail do tipo spam, 
permitindo que o invasor acessasse o computador de maneira fácil e despercebida pela 
usuária, que dias depois, foi chantageada pelo mesmo, que propunha a condição de receber 
uma quantia de dez mil reais em troca da não divulgação das fotos em páginas da internet. 
Após ela hesitar, as fotos da atriz foram publicadas e um enorme processo foi aberto 
em busca dos responsáveis pela divulgação. Com a ajuda de equipamentos da perícia 
computacional e de provedores de internet, foi possível localizar o IP dos computadores 
utilizados para cometer o crime, facilitando a localização dos culpados. 
35 
 
Com este acontecido, a Câmara dos Deputados aprovou um Projeto de Lei em que o 
Artigo n° 154 do Código Penal ganhou o acréscimo dos seguintes Artigos: 154-A e 154-B, 
onde torna crime entrar indevidamente em e-mail de terceiro, por exemplo, ou roubar via 
internet dados pessoais de terceiros. 
A pena varia de acordo com o tipo de crime. Em crimes desta natureza que causam 
prejuízos econômicos à vitima, a penalidade é a detenção de 3 meses à 1 ano, mais multa. 
Quanto ao caso Carolina Dieckmanm, o Projeto de Lei 84/1999 diz que é ilegal: 
 
[...] devassar dispositivo informático alheio, conectado ou não à rede de 
computadores, mediante violação indevida de mecanismo de segurança e com o 
fim de obter, adulterar ou destruir dados ou informações, instalar 
vulnerabilidades ou obter vantagem ilícita. 
 
Conforme o Projeto de Lei 84/1999, conhecido popularmente como Lei Azeredo por 
ter sido proposta pelo deputado Eduardo Azeredo, “a pena mínima para este ato é detenção 
de três meses à um ano e multa, porém, passa a ser entre seis meses à dois anos”, conforme o 
parágrafo 3° do Artigo 154-A, “se da invasão resultar a obtenção de conteúdo de 
comunicações eletrônicas privadas, segredos comerciais e industriais, informações sigilosas 
assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido”. 
Conforme DIAS (2012) “A Comissão de Ciência, Tecnologia, Inovação, Comunicação 
e Informática (CCT) do Senado aprovou dia 29 de agosto de 2012 o projeto de lei 84/1999, 
denominado agora como PL 35/2012”, devido o ocorrido com a atriz. 
 
2.3.2. Crimes impróprios ou impuros 
 
Para este tipo de classificação, a única diferença é que tratam-se de crimes que não 
precisam de um equipamento computacional para realiza-los, porem, o equipamento possui 
grande serventia no auxilio à tais práticas, pois é uma ferramenta que contém acesso à 
comunicação, criação e divulgação de arquivos de multimídia e outros tipos de trabalho. Isto 
permite que o crime aconteça com mais eficiência e seja realizado em um prazo mais curto. 
Conforme a descrição de MACHADO e ELEUTÉRIO, (2011), “Nesse caso, o 
computador está associado ao modus operandi, do crime”. A palavra modus operandi pode 
ser definida de acordo com os autores, como sendo: “uma expressão em latim que significa 
36 
 
“modo de operação”, utilizada para designar uma maneira de agir, operar ou executar uma 
atividade seguindo sempre os mesmo procedimentos”. 
O crime de estelionato, mencionado no Artigo 171 do Código Penal, no seu Capítulo 
VI, exemplifica perfeitamente este ato: 
 
Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, 
induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer 
outro meio fraudulento: Pena – reclusão, de um a cinco anos, e multa. 
 
Devido à facilidade na operação e o acesso rápido à comunicação, o dispositivo 
computacional realiza papéis fundamentais para que o ato criminoso seja organizado e bem 
elaborado, além de outras vantagens, como por exemplo, o custo do equipamento e o acesso à 
internet, que vem a ser banal em alguns casos. 
Crimes como pornografia infanto-juvenil, difamação, injúria, calúnia, preconceito e 
tráfico são muito praticados por pessoas que possuem pouco domínio em informática, se 
comparado à um hacker. Porém, estas pessoas conseguem atingir suas vítimas e público-alvo 
pela facilidade em se criar contas de acesso em redes sociais ou instalar e utilizar programas 
de mensagens instantâneas, sem a necessidade de inserir dados pessoais verídicos como a 
cédula de identidade (RG) ou o cadastro de pessoa física (CPF). 
Esta prática possibilita também que o indivíduo forneça informações falsas referentes 
à sua naturalidade, como nome, idade e sexo. Dessa maneira, a justiça terá dificuldade para a 
sua identificação, localização e apreensão, e principalmente, o impedimento do delito. 
 
2.3.2.1. Pornografia infanto-juvenil. 
 
É comum utilizar popularmente o termo “Pedofilia” para caracterizar um ato contra 
crianças e adolescentes no que diz respeito ao seu envolvimento em cenas de nudez ou de atos 
sexuais, mas pornografia infantil e pedofilia são dois tipos de violência com significados 
distintos. Para melhor esclarecimento, a Agência de Notícias do Direito da Infância, Rede 
ANDI Brasil (2008), define a pedofilia como sendo: 
[...] uma psicopatologia, um desvio no desenvolvimento da sexualidade, 
caracterizado pela opção sexual por crianças e adolescentes de forma 
compulsiva e obsessiva, [...] a pedofilia é a ocorrência de práticas sexuais entre 
um individuo maior de 16 anos com pessoa na pré-puberdade ou menos; um 
37 
 
distúrbio psíquico que se caracteriza pela obsessão por prática sexual não 
aceita pela sociedade. 
 
Conforme a definição acima, um pedófilo é o praticante do delito diretamente com a 
vítima. Muitas vezes, parentes ou conhecidos próximos das crianças são os próprios autores 
do delito, pois um pedófilo não apresenta características físicas ou psicológicas diferentes de 
uma pessoa normal, o que torna difícil sua identificação e principalmente evitar que o abuso 
aconteça. 
Quanto a pornografia infanto-juvenil, geralmente o criminoso não é o praticante do 
abuso (o que também não o impede de ser), tem por objetivo realizar uma espécie de 
propaganda ou até mesmo a venda destes atos através de gravações, fotos e imagens. 
Conforme o Estatuto da Criança e do Adolescente, nos seus específicos Artigos 240 e 
241: 
Art. 240 – Produzir ou dirigir representação teatral, televisiva,cinematográfica, atividade fotográfica ou de qualquer outro meio visual, 
utilizando-se de criança ou adolescente em cena pornográfica, de sexo explícito 
ou vexatória: Pena: reclusão de 2 à 6 anos, e multa. 
Art. 241 – Apresentar, produzir, vender, fornecer, divulgar ou publicar, por 
qualquer meio de comunicação, inclusive internet, fotografias ou imagens com 
pornografia ou cenas de sexo explícito envolvendo criança ou adolescente: 
Pena: reclusão de 2 à 6 anos, e multa. 
 
Durante uma investigação, se houver a suspeita de práticas de exploração sexual de 
crianças e adolescentes, ELEUTERIO e MACHADO (2011) enfatizam que “o perito deve 
verificar ainda no local do crime, se programas de compartilhamento como eMule e Kazaa 
estão em execução e compartilhando arquivos desta natureza.” 
Se porventura, houver a comprovação da existência e transferência deste tipo de 
arquivo em redes de computadores: 
 
[...] isso deverá ser registrado por meio de foto, vídeo ou descrição do perito, 
pois servirá de fundamentação para a prisão em flagrante do responsável, de 
acordo com a nova redação do artigo 241-A do Estatuto da Criança e do 
Adolescente. (ELEUTERIO; MACHADO, 2011). 
 
38 
 
2.3.2.2. Difamação, injúria e calúnia. 
 
Ambas as palavras parecem ter o mesmo significado por tratarem de crimes contra 
honra e moral, porém cada uma delas define um tipo de prática cometido por uma pessoa ou 
por um grupo de pessoas. 
Difamação, segundo QUEIROZ (2000), “consiste em atribuir à alguém um fato 
determinado ofensivo à sua reputação . Assim , se “A” diz que “B” foi trabalhar embriagado 
semana passada , constitui crime de difamação”. 
Conforme mencionado, o ato de difamar trata-se de uma ofensa referente a 
consideração de uma pessoa, e semelhantemente à difamação, a injúria também é um ato 
criminoso quanto a honra do próximo. 
Segundo o Moderno Dicionário da Língua Portuguesa Michaelis, a palavra Injúria 
significa: 
1 Ação ou efeito de injuriar. 2 Afronta, agravo, insulto, ofensa, ultraje. 3 Aquilo 
que é contra o direito. 4 Detrimento. 5 Dano, estrago. I. equívoca, Dir: injúria 
na qual há dúvida sobre a pessoa em quem recai a ofensa, por não ter sido 
claramente enunciada, caso em que o suposto ofendido pode pedir explicações 
em juízo. I. física, Med: traumatismo. I. grave, Dir: agressão a determinada 
pessoa por meio de atos, palavras, invectivas ou gestos insultantes que ferem o 
decoro da vítima com intenção de difamá-la perante a sociedade. 
 
Portanto, injuriar é o mesmo que cometer uma difamação, mas com a intenção de 
qualificar alguém de maneira negativa. 
Já a calúnia, conforme QUEIROZ (2000), “... consiste em atribuir, falsamente, à 
alguém, a responsabilidade pela prática de um fato determinado definido como crime”. Este 
ato implica em uma grave acusação por parte do criminoso, pois de acordo com o Artigo n° 
138 do Código Penal, no Capítulo V, referente aos CRIMES CONTRA A HONRA: 
 
Art. 138 - Caluniar alguém, imputando-lhe falsamente fato definido como 
crime: Pena - detenção, de seis meses a dois anos, e multa. 
§ 1º - Na mesma pena incorre quem, sabendo falsa a imputação, a propaga-la 
ou divulga-la. 
§ 2º - É punível a calúnia contra os mortos. 
 
39 
 
É comum encontrar mensagens, fotos, vídeos ou frases em páginas da internet com a 
intenção de desonrar alguém, e as redes sociais acabam sendo um dos meios mais utilizados 
para tal fim. 
 
 
 
 
 
 
 
 
 
 
 
 
40 
 
3. Análise de arquivos 
A análise de arquivos consiste em encontrar informações nos dispositivos que 
permitem a transição de dados, como placas de rede, modems, roteadores e até mesmo 
impressoras possuem dados armazenados em suas respectivas memórias, e essas podem ser 
acessadas a qualquer momento. Os dados referem-se a informações que não estão mais no 
sistema, como gravações de voz, documentos ou demais tipos de textos ou números de 
telefone. 
Tudo que estiver sendo executado em um computador, fica armazenado 
temporariamente na memória volátil ou ainda no arquivo de paginação referente a memória 
virtual. Através da extração de imagem de memória (dump de memória), é possível identificar 
a relação dos processos em execução, que da mesma forma, torna-se possível identificar quais 
os arquivos, bibliotecas, chaves de registro e entre outros que estavam em uso por cada 
processo. 
Esta ação permite o mapeamento do sistema que estava sendo usado durante a geração 
do dump de memória, tornando possível também a recuperação de programas executáveis 
armazenados em memória. Com isso, há grandes possibilidades de um perito conseguir 
analisar esses códigos, principalmente os que são desconhecidos e que provavelmente são ou 
serão classificados como maliciosos, facilitando a execução de crimes. 
Quanto a pericia computacional referente a dados de memória volátil registrados em 
dump de memória, SILVA e LORENS (2010), deverá haver respostas para quesitos como: 
· Quais são a data e hora da imagem da memória? 
· Que programas estavam em execução? 
· Que serviços de rede o computador executava? 
· Que serviços de rede o computador usava? 
· A que outros computadores o computador periciado estava conectado? 
· Que arquivos estavam em uso pelos programas em execução no computador? 
· Que faixas de endereços de memória estavam em uso por cada programa? 
· Que versões de sistemas operacionais estavam carregadas no computador? 
· Que mapeamentos de endereços físicos para endereços virtuais havia no 
computador? 
 
41 
 
Conforme descrito no Capítulo 1, o perito deve responder de maneira formal todos os 
quesitos e esclarecer as ocorrências de crimes. 
 
3.1. Mactimes 
 
O trabalho de uma investigação vai além do que apenas colher informações digitais 
em sistemas de arquivo. Deve-se imaginar que tudo o que foi encontrado ou recuperado 
durante uma análise pertence a um grande quebra-cabeça que deverá ser montado de acordo 
com os indícios do local do crime. 
Ao ter em mãos arquivos de diversos tamanhos e formatos, deve-se analisar, além de 
seu conteúdo, quando este foi criado, modificado ou acessado pela última vez, pois muitas 
vezes, um fato pode ser esclarecido conforme o período de tempo em que as ações ocorreram. 
Para isso, conta-se com os valores dos MACtimes, que são atributos de tempo de um arquivo. 
Uma MACtime pode ser definida de acordo com FARMER e VENEMA “como 
sendo uma maneira abreviada de se referir aos três atributos de tempo: mtime, atime e ctime – 
que são anexados a qualquer arquivo ou diretório no UNIX, Windows e em outros sistemas de 
arquivos.” 
O atributo atime refere-se respectivamente à última data e hora que um arquivo ou 
diretório foi acessado. Já o atributo mtime, altera quando o conteúdo de um arquivo é 
modificado, e o atributo ctime, monitora quando o conteúdo ou as meta-informações sobre o 
arquivo mudaram, como por exemplo: o autor, o grupo, as permissões de acesso/restrição do 
arquivo entre outras. 
Na imagem abaixo, a MACtime de um arquivo é visualizada no sistema Operacional 
Windows 7, após acessar a opção Propriedades do mesmo. 
42 
 
 
Ilustração 11 - MACtime de um arquivo de texto. 
Fonte: da autora. 
 
MACtimes podem ser coletadas muito tempo depois de um incidente. Vale ressaltar 
que a informação é valida apenas para a última alteração feita. Depois que o arquivo é 
alterado, fica impossível descobrir dados sobre o histórico MACtime. 
 
3.2. Funções de hash 
 
A principal consideração de uma mídia coletada para verificação é o cálculo realizado 
utilizando funções de autenticação unidirecional, o que não possibilita retornar a informaçãooriginal a partir do valor conhecido como hash. 
O hash é uma função matemática que realiza o cálculo à partir de uma entrada de 
qualquer tamanho gerado em uma saída de tamanho fixo, pequena sequencia de bits 
conhecida como valor do hash, de acordo com o algoritmo utilizado para o cálculo. 
(ELEUTÉRIO; MACHADO,2011). 
43 
 
Ao alterar um arquivo, seja apenas um caractere, o calculo do valor de hash será 
diferente para o primeiro cálculo do arquivo original, o que garante a integridade da 
informação que será analisada pela perícia. 
A ilustração 12 mostra o valor de hash em hexadecimal para os valores 1111 e 1112: 
 
 
Ilustração 12 - Valor de hash em hexadecimal calculado pela função SHA-1. 
Fonte: ELEUTERIO,P.M.S.; MACHADO,M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
 
Os algoritmos utilizados para a realização do cálculo de hash são o MD5(gera valores 
de hash de 128bits), o SHA1(gera valores de hash de 160 bits), SHA256(gera valores de hash 
de 256 bits) e o SHA512(gera valores de hash de 512 bits). (ELEUTÉRIO; MACHADO, 
2011). 
 
3.3. Forense in vivo 
 
Da mesma maneira que uma a apreensão (conforme mencionado no Capítulo 1), o 
perito responsável deve avaliar como ocorrerá o procedimento para a coleta de dados do 
equipamento computacional, considerando principalmente a situação atual do local do crime. 
44 
 
Alguns questionamentos devem ser relevantes de acordo com o estado lógico do 
equipamento. O que coletar e qual a maneira mais propícia de efetuar uma coleta?, ou ainda: 
É viável coletar tudo? Será que alguns dados não serão postos à risco devido a escolha de 
coleta de dados in vivo? Essas são perguntas obrigatórias que o perito deve fazer antes de 
tomar uma decisão sobre a maneira de utilizar suas ferramentas. 
A forense in vivo é a técnica utilizada para colher dados do equipamento 
computacional enquanto ele ainda está ligado. Esta prática deve acontecer conforme a ordem 
de prioridade dos dados, principalmente os mais voláteis e mais importantes. O tempo de vida 
de um dado depende do tipo de hardware em que este estiver armazenado, garantindo sua 
melhor preservação. 
BARBARA, 2010 explica que: 
 
Os profissionais responsáveis pela investigação, normalmente são treinados a 
interagir minimamente com um sistema “in vivo”, como por exemplo, se o 
monitor estiver com um protetor de tela, a metodologia tradicional garante 
somente mover o mouse um pouco para restaurar a tela. Se a tela for 
restaurada, eles documentam todos os aplicativos abertos ou tiram fotografias 
da mesma. Caso a tela estiver protegida por senha, os peritos documentam esse 
ocorrido e anotam em que horário moveram o mouse. 
 
Conforme a rotina de análise, os investigadores também procuram por quaisquer 
documentos ou notas que possam conter uma senha. Eles também são treinados a não 
interagir com o teclado do computador, mas sim de se concentrar sobre as ações necessárias 
para a segurança e coleta de evidências físicas. 
Com a prática da forense in vivo, a verdadeira ocorrência de um ato pode ser 
esclarecida imediatamente ou mesmo evidenciar algo que estava omitido. 
3.3.1. Ordem da volatilidade 
Ao analisar um sistema computacional, vale ressaltar que ele é composto por diversos 
dados que estão em processamento o tempo todo, e muitos deles podem simplesmente 
desaparecer após um processo ser concluído ou não precisar mais daquele tipo de dado. 
Uma regra fundamental para a perícia é saber qual a prioridade para coleta de dados de 
acordo a expectativa de vida útil dos mesmos, pois é impossível coleta-los de uma só vez sem 
que outros dados sofram modificações. 
45 
 
Conforme a citação de FARMER, VENEMA (2011) “a expectativa de vida dos dados 
varia bastante, de nanossegundos (ou menos) à anos”. 
Uma tabela desenvolvida pelos autores Farmer e Venema, descreve aproximadamente 
o ciclo de vida dos dados conforme sua alocação: 
 
Tipos de dados Tempo de vida 
Registradores, memória periférica, caches, 
etc. 
Nanossegundos 
Memória Principal Dez nanossegundos 
Estado da Rede Milissegundos 
Processos em execução Segundos 
Disco Minutos 
Disquetes, mídias de backups, etc. Anos 
CD-ROMs, impressões, etc. Dezenas de anos 
 
Tabela 1 - O ciclo de vida esperado dos dados. 
Fonte: Perícia Forense Aplicada à Informática. pag 172. (FARMER, VENEMA; 2011). 
 
3.4. Forense post mortem 
 
Ao contrário da técnica de forense in vivo, a post mortem acontece quando o sistema a 
ser analisado está ou poderá ser desligado, além do dispositivo de armazenamento ser 
recolhido. Para que isso ocorra, os dados devem ser copiados para outro local, e esta cópia 
será analisada enquanto o original é mantido em cadeia de custódia, salvo de modificações. 
Após clonar a mídia, o perito prosseguirá com a análise para encontrar dados que servirão de 
prova para uma determinada evidência. 
Segundo Melo (2009), “o crescimento dos HDs, com alguns chegando a 1TB (um 
terabyte) de tamanho, faz com que esta cópia torne-se cada vez mais complicada e 
dispendiosa”. 
Um computador a ser analisado, muitas vezes, é um servidor, cujo seu funcionamento 
depende faz com que a empresa trabalhe. Conforme o passar do tempo em que o equipamento 
computacional estiver recolhido para a análise, fará com que a empresa mantenha seu(s) 
46 
 
serviço(s) fora do ar, o que poderá trazer problemas à ela, como perdas lucrativas e multas por 
parte de seus clientes ou fornecedores. 
Esta prática deve ser muito bem analisada antes de tomar alguma providência. 
Geralmente, computadores de grandes empresas ou de usuários com conhecimento de 
informática avançados, possuem senhas de BIOS e de disco rígido, definidas por seus 
respectivos responsáveis. Remover a tomada de um sistema "in vivo" com uma senha de 
BIOS, por exemplo, poderá causar futuros problemas de acesso, quando um perito digital 
tentar acessá-la para obter informações do sistema. O mesmo ocorre se o disco rígido é 
protegido por senha, pois há uma grande probabilidade do mesmo não ser reconhecido pelas 
ferramentas de software forense. 
Há também outro tipo de alerta que é quando o usuário está utilizando arquivos ou 
algum tipo de aplicação de computação em nuvem, pois o mais provável é ocorrer uma perda 
relevante de informações de qualquer evidência probatória quando a alimentação é removida. 
Dessa forma, a garantia da preservação do disco rígido do computador é maior quando 
esta prática é aplicada, o que mantém a condição original dos dados no momento da sua 
apreensão. 
 
47 
 
4. FERRAMENTAS DE PERÍCIA COMPUTACIONAL 
Conforme mencionado no Capítulo 1, um perito precisa garantir que o material 
recolhido para análise forense não sofra alterações e que sua veracidade não seja 
comprometida. Dessa forma, para manter a integridade do material apreendido, conta-se com 
ferramentas próprias e eficientes para colher evidências. 
Há diversas tecnologias disponíveis para o profissional utilizar, cabe a ele escolher a 
que mais o auxiliará e qual a mais propícia no local em que estiver. Ferramentas para 
duplicação de dispositivos de armazenamento, para análise de memória e para análise de rede 
são alguns exemplos entre os diversos instrumentos forenses computacionais. 
Algumas destas são citadas por ELEUTÉRIO e MACHADO (2011), como o 
duplicador de dispositivo de armazenamento Logicube Forensic Taloon, o Forensic Toolkit, o 
NuDetective e o EnCase. 
 
4.1. Duplicador de discos “Forensic Talon” 
 
No trabalho da perícia computacional, a garantia de ter feito um bom trabalho começa 
com a correta preservação do material analisado ou que foi colhido para análise, onde indíciosserão levantados e respostas aparecerão. Utilizando ferramentas apropriadas, a probabilidade 
de manter a originalidade das provas é praticamente 100%, e muitas vezes, estas ferramentas 
são portáteis ou de fácil instalação e operação, o que facilita ainda mais a coleta de dados. 
Um duplicador de discos é uma ferramenta física que tem por finalidade clonar todo o 
conteúdo dos discos rígidos para outro HD. O Forensic Talon é um dos duplicadores de disco 
rígido fabricados pela empresa Logicube, e que além de realizar a duplicação, o equipamento 
faz outros tipos de operações para que os discos sejam copiados e não sofram problemas 
durante a transmissão dos dados. Na ilustração 13, o equipamento está sendo segurado e ao 
mesmo tempo ligado: 
48 
 
 
Ilustração 13 - Duplicador Logicube Forensic Talon 
Fonte:http://www.insectraforensics.com/epages/ea1586.sf/en_GB/?ObjectPath=/Shops/ea1586/Products/P
ROD00001304 
O modelo Talon suporta a clonagem de apenas um HD por vez. O equipamento realiza 
diversas maneiras de captura dos dados. Conforme o FORENSIC TALON USER´S 
MANUAL, ele pode operar no modo: 
• Captura (Nativo) - Este processo captura todos dados da unidade de origem para o 
destino informado. Este modo é chamado de "captação nativa". [...] os dados são capturados 
no nível do setor para outra unidade de destino dedicado. 
• Unidade Defect Scan - Esta operação executa uma varredura superficial dos meios 
de comunicação do disco, usando a unidade controladora para verificar os meios de 
comunicação e detectar os setores ruins ou "Fracos" [...] 
• WipeClean ™ Dest. - Isto é usado para apagar todos os dados referentes ao destino, 
antes de realizar uma Captura Nativa [...] 
• Calcule HASH - Este é usado para calcular os valores de SHA-256 ou MD5 da 
fonte ou unidade de destino em velocidades extremas [...] 
• USB Drive Mode - Este modo deve ser envolvido ao tentar uma captura USB 
através da porta USB integral. [...] 
• Pesquisa de palavra chave - Usado para executar um binário de uma pesquisa de 
palavras-chave em uma determinada unidade [...] 
49 
 
• DD captura (650 MB) - Este modo de captura cria um subdiretório por unidade 
capturada, com arquivos do tipo DD com o tamanho de 650 MB cada. 
O duplicador efetua a captura de dados tanto em discos IDE quanto SATA, e também 
é possível realizar a duplicação com os dois tipos: o HD de origem, sendo IDE, poderá ser 
clonado para um SATA ou vice-versa. A ilustração 14 demonstra o equipamento sendo 
preparado para uma duplicação, onde ambas as conexões dos HD´s são SATA: 
 
Ilustração 14 - Forensic Talon sendo preparado para duplicação. 
Fonte: Logicube Talon® User’s Manual. 
 
50 
 
4.2. Forensic Toolkit 
 
O Forensic Toolkit é um pacote de softwares para auxiliar uma investigação forense. 
O FTK (como é conhecido) possui uma interface muito interativa com o usuário, o que 
facilita seu uso para encontrar diversos tipos de arquivos em unidades de armazenamento. 
Neste amplo kit, encontram-se ferramentas com as mais diversas finalidades, dentre as 
quais estão a análise de e-mails, recuperação de arquivos, visualização de imagens e 
mensagens eletrônicas. 
Conforme VARGAS (2009), com o FTK: 
 
[...]é fácil criar imagens, analisar o registro, conduzir uma investigação, 
decodificar os arquivos, recuperar senhas de arquivos criptografados, 
identificar esteganografia e construir um relatório. Também é possível 
recuperar senhas a partir de 100 assinaturas, aproveitar CPUs ociosas em toda 
a rede para decriptar arquivos e executar robustos ataques de dicionário. O 
FTK 3.0 ainda possui biblioteca KFF hash com 45 milhões hashes. 
 
Outra funcionalidade da ferramenta é a enumeração de todos os processos que estão 
em execução a partir de máquinas Windows 32-bit. Ela permite a busca sequencial de 
memória onde ocorre a identificação de hits de memória (dados que foram acessados e 
mantem-se em um bloco de memória), e automaticamente mapeia- os de volta para algum 
determinado processo. 
O FTK, segundo ELEUTÉRIO e MACHADO (2011) “[...] possui módulos para 
duplicação de dados (Imager) e para visualização dos registros internos do sistema 
operacional (Registry Viewer).” 
A ilustração 15 mostra a interface do FTK: 
 
51 
 
 
Ilustração 15 - Interface do Forensic Toolkit. 
Fonte: http://www.appleexaminer.com/Resources/FTKMacForensics/files/ftk-image-with-metadata.jpg 
 
4.3. Nudetective 
 
O uso da tecnologia na investigação forense vem a favor de rápidas respostas e no 
impedimento de continuidade de crimes. No que diz respeito à pornografia infanto-juvenil, a 
tecnologia age com rapidez e eficácia para atender a Lei nº 8069 de 13 de julho de 1990, onde 
esta ganhou acréscimo de mais Artigos referentes ao nº 241, o que vigora como crime: 
 
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou 
divulgar por qualquer meio, inclusive por meio de sistema de informática ou 
telemático, fotografia, vídeo ou outro registro que contenha cena de sexo 
explícito ou pornográfica envolvendo criança ou adolescente [...]; 
[...] I – assegura os meios ou serviços para o armazenamento das fotografias, 
cenas ou imagens de que trata o caput deste artigo; 
II – assegura, por qualquer meio, o acesso por rede de computadores às 
fotografias, cenas ou imagens de que trata o caput deste artigo. 
 § 2o As condutas tipificadas nos incisos I e II do § 1o deste artigo são puníveis 
quando o responsável legal pela prestação do serviço, oficialmente notificado, 
deixa de desabilitar o acesso ao conteúdo ilícito de que trata o caput deste 
artigo. 
52 
 
 Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, 
vídeo ou outra forma de registro que contenha cena de sexo explícito ou 
pornográfica envolvendo criança ou adolescente [...] 
[...] § 2o Não há crime se a posse ou o armazenamento tem a finalidade de 
comunicar às autoridades competentes a ocorrência das condutas descritas nos 
arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por: 
 I – agente público no exercício de suas funções; 
 II – membro de entidade, legalmente constituída, que inclua, entre suas 
finalidades institucionais, o recebimento, o processamento e o encaminhamento 
de notícia dos crimes referidos neste parágrafo; 
 III – representante legal e funcionários responsáveis de provedor de acesso ou 
serviço prestado por meio de rede de computadores, até o recebimento do 
material relativo à notícia feita à autoridade policial, ao Ministério Público ou 
ao Poder Judiciário. 
 § 3o As pessoas referidas no § 2o deste artigo deverão manter sob sigilo o 
material ilícito referido. 
 Art. 241-C. Simular a participação de criança ou adolescente em cena de sexo 
explícito ou pornográfica por meio de adulteração, montagem ou modificação 
de fotografia, vídeo ou qualquer outra forma de representação visual[...] 
[...] Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda, 
disponibiliza, distribui, publica ou divulga por qualquer meio, adquire, possui 
ou armazena o material produzido na forma do caput deste artigo. 
 Art. 241-D. Aliciar, assediar, instigar ou constranger, por qualquer meio de 
comunicação, criança, com o fim de com ela praticar ato libidinoso[...] 
[...] I – facilita ou induz o acesso à criança de material contendo cena de sexo 
explícito ou pornográfica com o fim de com ela praticar ato libidinoso; 
 II – pratica as condutas descritas no caput deste artigo com o fim de induzir 
criança a se exibir de forma pornográfica ou sexualmente explícita. 
 Art. 241-E. Para efeito dos crimes previstos nesta Lei, a expressão “cena de 
sexoexplícito ou pornográfica” compreende qualquer situação que envolva 
criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou 
exibição dos órgãos genitais de uma criança ou adolescente para fins 
primordialmente sexuais. 
 
 A ferramenta forense NuDetective foi desenvolvida com o intuito de ajudar os 
investigadores a encontrar arquivos com conteúdo pornográfico de crianças e adolescentes 
em tempo hábil nos locais do crime, pois ELEUTERIO e POLASTRO (2011) confirmam 
que: 
 
53 
 
Os pedidos de exame forense para identificar este tipo de conteúdo estão se 
tornando cada vez mais comum, inclusive em cenas de crime, pois a maior 
dificuldade nesses casos é identificar arquivos ilegais entre os milhões de 
arquivos que podem ser armazenados em um dispositivo de computação 
moderna. 
 
Ela é capaz de efetuar uma varredura em um disco rígido suspeito em busca de 
material de pornografia infanto-juvenil, gastando menos tempo e sendo mais eficaz, se 
comparado a outras técnicas. 
Conforme POLASTRO e ELEUTERIO (2011): 
 
A ferramenta, desenvolvida com o Java Standard Edition, utiliza a detecção 
automática de nudez em imagens, comparação de nome de arquivo e também 
valores de hash para reduzir os arquivos a serem analisados pelos 
examinadores forenses. Os algoritmos de detecção de nudez implementadas 
pelo NuDetective, chamado de Análise de Imagem, foi baseada em dois 
princípios fundamentais: alta velocidade de processamento e redução do 
número de falsos negativos. 
 
 Para identificar as cores da pele humana, a ferramenta utiliza o sistema de cor RGB 
para representar o espaço de cor digital, devido à facilidade e rapidez no processamento de 
cores. Cálculos foram usados para relacionar os três componentes do espaço de cor RGB a 
fim de identificar as cores da pele humana. Para a detecção de nudez, a ferramenta utiliza um 
tipo de algoritmo baseado em geometria computacional. 
Na ilustração 16, a explicação estratégica do processo de detecção de uma imagem 
capturada pela ferramenta NuDetective. 
 
54 
 
 
Ilustração 16 - Estratégia da ferramenta NuDetective de detecção de nudez. 
Fonte:http://www.apcf.org.br/Ag%C3%AAnciaAPCF/tabid/65/ctl/Details/mid/397/ItemID/835/Default.as
px 
 
4.4. Encase 
 
O software EnCase possui diversos recursos que ajudam a perícia a realizar exames 
em dispositivos de armazenamento. Através dele, é possível recuperar arquivos apagados, 
pesquisar por palavra-chave, entre outras funções. 
Conforme a descrição de LEOBONS e HOLPERIN (2009): 
 
O processo utilizado pelo EnCase começa com a criação das imagens dos discos 
(disquetes, Zips, Jaz, CD-ROMs, pendrives e discos rígidos) relacionados ao 
caso investigado. Depois da criação das imagens, chamadas de EnCase 
Evidence Files, pode-se adicioná-las a um único caso (case file) e conduzir a 
análise em todas elas simultaneamente. 
 
55 
Devido a tais recursos, o software pode ser utilizado em todas as fases do exame, pois 
dentre suas funcionalidades, estão a de duplicação de discos, recuperação de arquivos e 
visualização adequada. Uma das principais funções do software, que se destaca inclusive do 
FTK, é a possibilidade de programar novas funções por meio dos “EnScripts”, possibilitando 
que a ferramenta se adeque às necessidades do perito, conforme a complexidade de cada caso. 
A ferramenta é capaz de tratar as informações do disco, sejam arquivos, processos, 
softwares de maneira isolada de um sistema operacional, conforme a explicação de 
LEOBONS e HOLPERIN (2009): 
 
O EnCase não opera na mídia original ou discos espelhados, ele monta os 
Evidence Files como discos virtuais protegidos contra escritas. Então, o EnCase 
(não o sistema operacional) reconstrói o sistema de arquivos contido em cada 
Evidence File, permitindo ao investigador visualizar, ordenar e analisar os 
dados, através de uma interface gráfica. 
 
A ilustração 17 mostra a interface da ferramenta EnCase: 
 
 
Ilustração 17 - Interface gráfica da ferramenta EnCase. 
Fonte: http://www.lostpassword.com/images/pictures/PNL/pnl-103-encase.png 
56 
 
A perícia feita em computadores suspeitos é capaz de comprovar diversos crimes. No 
Encase, conforme a seleção de dados relevantes feita pelos peritos, o Encase contém a função 
de criar um relatório adequado para apresentação em um tribunal, para a administração ou 
para outra autoridade legal. Os dados também podem ser exportados em vários formatos de 
arquivo para análise. 
 
57 
 
CONCLUSÃO 
 
Nota-se que diariamente a tecnologia está mais ajustada à rotina das pessoas, e que 
muitas vezes, estas não compreendem o tamanho proporcional que isso acontece. Assim como 
em outras áreas, existem pessoas que utilizam sistemas computacionais para praticar atos 
criminosos, fazendo-se necessário instituir uma nova ciência, com profissionais capacitados 
em esclarecer crimes desta origem. 
Conforme o conteúdo do trabalho, conclui-se que a análise computacional forense, 
quando realizada corretamente, o que impõe respeitar a ordem de volatilidade das 
informações digitais, manter os padrões de toda documentação através da cadeia de custódia, 
tomar a decisão correta para coletar evidências e entre outras, possui um grande valor para 
solucionar crimes virtuais, o que torna possível encontrar evidências para que uma ocorrência 
desta natureza seja esclarecida e todos os envolvidos sejam julgados, conforme a legislação 
brasileira. 
A informática forense também pode contar com ferramentas físicas e lógicas que 
ajudam realizar a correta coleta de informações ou equipamentos, permitindo que o material 
não sofra danos ou que algum dado seja danificado. Com estes procedimentos, todas as 
evidências podem servir como provas válidas e aceitas em um tribunal. 
Observa-se ainda que o perito tem papel importante referente ao esclarecimento dos 
fatos, pois desde a coleta até sua conclusão, requer tomadas de decisão e grande agilidade 
para que os dados não se percam durante uma perícia, ou ainda, evitar que os suspeitos de um 
crime sejam absolvidos por falta de provas verídicas. 
 
 
 
58 
 
REFERÊNCIAS 
AGÊNCIA Nacional de Notícias dos Direitos da Infância. Disponível em: <http:// 
http://www.redeandibrasil.org.br/eca/guia-de-cobertura/exploracao-sexual/meninos-e-
meninas-que-sofreram-abuso-ou-exploracao-sexual-podem-ser-identificados-no-jornal>. 
ARAS, V. Crimes em informática. Disponível em: 
<http://www.informaticajuridica.com/trabajos/artigo_crimesinformticos.asp>. 
ASSUNÇÃO, M.F.A. Segredos do Hacker Ético. 2ª ed. Florianópolis: Visual Books, 2008. 
BUSTAMANTE, L. Computação Forense: Novo campo de atuação do profissional de 
informática. Disponível em: 
<http://imasters.uol.com.br/artigo/4288/forense/computacao_forense_novo_campo_de_atuaca
o_do_profissional_de_informatica> . 
ELEUTÉRIO, P.M.S.; MACHADO, M.P. Desvendando a Computação Forense. São Paulo: 
Novatec, 2011. 
FERREIRA, S.V.; MORAES, J.A. Perito do caso Isabella conta como é a profissão: ‘Não 
pode se emocionar’. Disponível em: < http://g1.globo.com/concursos-e-
emprego/noticia/2010/11/perito-do-caso-isabella-conta-como-e-profissao-nao-pode-se-
emocionar.html>. 
FREITAS, A. R. Perícia forense aplicada à informática. 1ª ed. Rio de Janeiro: Brasport, 2006. 
GUIMARÃES C.C.; OLIVEIRA, F. S.; REIS, M. A. ; GEUS, P.L.; Forense Computacional: 
Aspectos Legais e Padronização. Campinas – SP. Instituto de Computação – UNICAMP, 
2008. 
HYPPONEN,M. Criadores do 1° vírus para PC explicam a praga. Disponível em: < 
http://info.abril.com.br/noticias/seguranca/criadores-do-1-virus-para-pc-explicam-a-praga-
10032011-20.shl>Acessado em: 17 ago. 2012. 
MELO, S. Computação Forense com Software Livre: Conceitos, Técnicas, Ferramentas e 
Estudos de Casos. 1ª ed. Rio de Janeiro: Alta Books, 2009. 
MILAGRE, J.A. Perícia digital e computação forense. Disponível em: < 
http://revistavisaojuridica.uol.com.br/advogados-leis-jurisprudencia/47/artigo170142-2.asp>. 
59 
 
PALMER, A. Custo Anual do Cibercrime é de R$ 16 bilhões. Disponível em: < 
http://www1.folha.uol.com.br/tec/1163431-custo-anual-do-cibercrime-no-brasil-e-de-r-16-
bilhoes-diz-estudo.shtml>. 
ROSA, F. Crimes de Informática. 2ª ed. Campinas: Bookseller, 2006. 
TOLENTINO, L.C.; SILVA, W.; MELLO,P.A.M.S. Perícia Forense Computacional, Revista 
Tecnologias em Projeção, Brasília, v.2, n.2, p. 26-31, dez. 2011. 
VENEMA,V.; FARMER, D. Perícia Forense Computacional. São Paulo: Pearson, 2007. 
WECKE, H. O Brasil se tornou um laboratório de cibercrime. Disponível em: 
<http://olhardigital.uol.com.br/produtos/digital_news/noticias/o_brasil_se_tornou_um_laborat
orio_do_cibercrime>. 
ZARZUELA, J.L. Temas fundamentais de criminalística. Porto Alegre: Sagra – Luzzatto, 
1996. 
 
 
 
 
 
 
 
 
 
 
 
 
 
60 
 
GLOSSÁRIO 
 
BN: Abreviação de bilhão da palavra inglesa “billion” 
Custódia: sf (lat custodia) 1 Dir Estado de quem é preso pela autoridade policial, para 
averiguações, ou conservado sob segurança e vigilância, como medida de preservação, 
prevenção ou proteção. 2 Dir Lugar a que essa pessoa é recolhida. 3 Dir Guarda ou detenção 
de coisa alheia, que se administra e conserva, até a entrega ao seu dono legítimo. 4 Residência 
de frade custódio. 5 Liturg Vaso sagrado que consiste numa caixinha redonda, com moldura 
de metal precioso, tampa e fundo de cristal ou vidro, montada sobre um pé, comumente 
dourado, e circundada por uma espécie de resplendor. Destina-se a expor a hóstia grande 
consagrada à adoração dos fiéis, nas bençãos do Santíssimo Sacramento, procissões e outros 
atos extralitúrgicos do culto católico. 6 Relicário. 
Evidência: sf (lat evidentia) Qualidade daquilo que é evidente, que é incontestável, que todos 
vêem ou podem ver e verificar. E. de fato: a que se adquire pela observação. E. de razão: a 
que se obtém por meio do raciocínio. E. de sentimento: aquilo que nos parece exato só pelo 
sentimento, sem o exame da razão. E. dos sentidos ou evidência sensível: testemunho dos 
sentidos e das impressões que eles nos comunicam, desde que considerados como elementos 
de convicção. Estar em evidência: ocupar posição de destaque. Render-se à evidência: aceitar 
a verdade dos fatos. 
Forense: adj (lat forense) 1 Que se refere ao foro judicial. 2 Relativo aos tribunais. 
Perícia: sf (lat peritia) 1 Qualidade de perito. 2 Destreza, habilidade, proficiência. 3 Dir 
Exame de caráter técnico, por pessoa entendida, nomeada pelo juiz, de um fato, estado ou 
valor de um objeto litigioso. P. grafoscópica: a que se efetua por comparação de letras.