Técnicas Antiforenses em Desktops

Prévia do material em texto

-- 
Pró-Reitoria de Pós-Graduação e Pesquisa 
Lato Sensu em Perícia Digital 
Trabalho de Conclusão de Curso 
TÉCNICAS ANTIFORENSE EM DESKTOPS 
Autor: Carlos André Evangelista de Souza 
Orientador: Prof. Esp. João Eriberto Mota Filho 
 
Brasília - DF 
2012 
 
 
 
 
 
 
CARLOS ANDRÉ EVANGELISTA DE SOUZA 
 
 
 
 
 
 
 
 
 
 
 
 
 
TÉCNICAS ANTIFORENSE EM DESKTOPS 
 
 
 
 
 
 
 
Artigo apresentado ao curso de pós-graduação 
em Perícia Digital da Universidade Católica de 
Brasília, como requisito parcial para obtenção 
do Título de Especialista em Perícia Digital. 
 
Orientador: Prof. Esp. João Eriberto Mota 
Filho 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Brasília 
2012 
 
 
 
 
 
 
 
 
 
Artigo de autoria de Carlos André Evangelista de Souza, intitulado “TÉCNICAS 
ANTIFORENSE EM DESKTOPS”, apresentado como requisito parcial para obtenção do 
grau de Especialização em Perícia Digital da Universidade Católica de Brasília, em 02 de 
junho de 2012, defendido e aprovado, pela banca examinadora abaixo assinada: 
 
 
 
 
 
 
 
__________________________________________ 
Professor Esp. João Eriberto Mota Filho 
Orientador 
Pós em Perícia Digital - UCB 
 
 
 
 
_________________________________________ 
Professor Msc. Paulo Roberto Corrêa Leão 
Examinador 
Pós em Perícia Digital - UCB 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Brasília 
2012 
 
 
A Deus Pai, infinito em sua misericórdia, que 
continua derramando bênçãos sem medidas em 
minha vida, e que permitiu a realização deste 
trabalho. À minha mãe – Maria Evangelista de 
Souza – que sempre lutou pela minha 
educação e a dos meus irmãos – Leide Daiane 
Evangelista de Souza e Tone Ramos 
Evangelista de Souza, e à minha amada esposa 
– Silvana Pereira Dantas Evangelista de 
Souza, e é graças a eles que consegui.
 
AGRADECIMENTOS 
 
 
Aos meus amigos de Serpro por toda troca de experiência acerca do assunto deste 
artigo. Aos meus professores, em especial ao meu professor orientador – João Eriberto Mota 
Filho, pelo apoio dispensado na confecção desse trabalho. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“Sem esforço não existe vitória, não existe 
felicidade plena.” 
Chiara Lubich
6 
 
TÉCNICAS ANTIFORENSE EM DESKTOPS 
 
 
CARLOS ANDRÉ EVANGELISTA DE SOUZA 
 
 
Resumo: 
A atividade de antiforense concentra-se em dificultar ou impossibilitar uma perícia forense 
num recurso computacional, enquanto que a perícia forense busca evidências que possam 
direcionar o entendimento do caso. O escopo deste trabalho é descrever as técnicas e 
ferramentas antiforense mais eficientes e as consequências desses numa perícia “post 
mortem”. Essas informações foram coletadas em livros, revistas especializadas, sites 
relacionados com o tema e outros trabalhos com conteúdos similares. Além de um estudo de 
caso com a aplicação prática de uma dessas técnicas antiforense e o impacto disto na perícia 
forense. 
 
Palavras-chave: Forense. Antiforense. Segurança. Perícia Forense. Criptografia 
 
 
1 INTRODUÇÃO 
 
 
Como cada vez mais pessoas e empresas optam por realizar seus negócios através de 
computadores e da Internet, para a troca de informações, compras online, transações 
bancárias, dentre outras atividades relacionadas, o computador passou a fazer parte da vida 
de milhões de pessoas, aumentando cada vez mais a dependência desse recurso. Por outro 
lado, os ataques de segurança vêm continuamente crescendo em vários aspectos, sofisticação, 
velocidade, criticidade, gravidade e compromisso, com isso a pesquisa em segurança da 
informação tem tido crescimento ao longo desses últimos anos na investigação forense 
computacional. 
A forense computacional tem como objetivo realizar uma análise pós-incidente sobre 
os sistemas comprometidos e fazer perguntas sobre eventos passados. Permite ao perito, de 
posse de um caso, reconstruir um cenário, recuperar arquivos importantes acerca do mesmo e 
traçar o perfil do usuário do computador. A informação digital armazenada, gerada, 
processada, ou transmitida por sistemas de rede, é usada como fonte de prova. Quanto mais 
precisos e completos os dados, melhor e mais abrangente a avaliação pode ser. 
Em contrapartida, há técnicas e ferramentas que podem ser utilizadas para frustrar a 
forense, apagando definitivamente o arquivo, ocultando ou camuflando dados importantes 
para o caso, como logs, cookies, históricos, entre outros. Isso dificulta o trabalho do perito 
forense, pois as prováveis evidências que poderiam ser utilizadas como provas foram 
comprometidas, reduzindo a quantidade e a qualidade dos dados probatórios. 
Sabendo que a segurança e a perícia tentam encontrar as evidências deixadas pelos 
crimes, a evolução destes tende sempre a deixar menos vestígios possíveis, ficando cada vez 
mais difícil a percepção pela perícia, e dando origem à ciência antiforense, na qual deriva as 
técnicas antiforense. Que é o novo grande desafio para a comunidade forense computacional. 
Com a popularidade dessas ferramentas antiforense, de fácil obtenção na Internet, é 
cada vez mais comum o seu uso não só por peritos forenses, mas por pessoas mal 
intencionadas como hackers, crackers, script kiddies, entre outros. 
Esse artigo apresenta como pessoas mal intencionadas podem utilizar essas 
ferramentas para eliminar seus rastros e a eficácia e eficiência dessas técnicas. 
7 
 
1.1 JUSTIFICATIVA 
 
 
O perito forense tem que ter a ciência das técnicas que podem ser utilizadas para a 
destruição, ocultação e camuflagem dos dados e o impacto dessas técnicas na análise “post 
mortem”. 
No processo de análise de uma perícia forense, conhecer como um invasor ou 
criminoso pode atuar, utilizando essas ferramentas e técnicas antiforense, pode fazer a 
diferença no resultado final, facilitando a busca por evidências. 
Informações acerca dessas ferramentas e técnicas são de fácil obtenção na Internet e 
em diversas bibliografias, pois com a utilização de simples filtros em mecanismos de busca é 
retornada uma gama de ferramentas para esse fim, além da popularidade de distribuições 
Linux como Backtrack, que já traz uma lista interessante dessas ferramentas prontas para 
serem utilizadas. Por trabalhar especificamente com administração de ambiente Linux, numa 
instituição governamental, que sofre ataques constantemente, entender a simplicidade e a 
facilidade da execução dessas ferramentas tornaria possível a aplicação de contramedidas, 
evitando problemas futuros. 
 
 
1.2 DELIMITAÇÃO DO TEMA 
 
 
Atualmente existe uma grande diversidade de ferramentas e técnicas antiforense, cada 
vez mais populares. O foco desta pesquisa é analisar a eficácia e eficiência das principais 
técnicas e ferramentas antiforense utilizadas por usuários mal intencionados, tais como: 
criptografia, esteganografia, saneamento e camuflagem dos dados, entre outras. 
 
 
1.3 PROBLEMA 
 
 
1.3.1 Contextualização do problema 
 
 
Existem atualmente algumas técnicas e diversas ferramentas antiforense que podem 
ser utilizadas para dificultar a perícia forense. 
 
 
1.3.2 Enunciado do problema 
 
 
A utilização das principais técnicase ferramentas antiforense destrói, ocultam e 
camuflam os dados de delitos no processo de coleta de evidências numa perícia forense? 
 
 
8 
 
1.4 HIPÓTESE 
 
 
As principais técnicas e ferramentas antiforense, quando utilizadas pelo usuário mal 
intencionado, destroem, ocultam e camuflam os dados de delitos no processo de coleta de 
evidências numa perícia forense. 
 
 
1.5 PROPÓSITOS 
 
 
1.5.1 Objetivo Geral 
 
 
Analisar as principais técnicas e ferramentas antiforense usadas para destruição, 
ocultação e camuflagem de dados. 
 
 
1.5.2 Objetivos Específicos 
 
 
Para alcançar o objetivo geral é necessário: 
a) apresentar o estado da arte de referências sobre técnicas e ferramentas 
antiforense e perícia forense; 
b) listar as principais técnicas antiforense para destruição, ocultação e camuflagem 
de dados; 
c) aplicar as principais técnicas e ferramentas antiforense num estudo de caso; 
d) coletar uma imagem de um desktop Linux para uso em laboratório; e 
e) construir um laboratório que servirá como base para análise. 
 
 
2. DESENVOLVIMENTO 
 
 
2.1 REFERENCIAL TEÓRICO 
 
 
As referências utilizadas são: 
a) uma apresentação na Black Hat 2009 cujo titulo é: “Anti-Forensics: The Rootkit 
Connection”, feita por Bill Bluden no qual classifica em categorias a antiforense; 
b) uma apostila da 4Linux com o titulo de: “Pen Test: Teste de Invasão em Redes 
Corporativas” que apresenta com detalhes ferramentas antiforense utilizadas por 
hackers e a facilidade de uso tomando como base a distribuição Linux 
Backtrack; e 
c) um dos livros da coleção Hacking Exposed, com o título: “Hacking Exposed: 
Computer Forensics – Secrets & Solutions” que contém um tópico só com 
antiforense. 
 
 
9 
 
2.2 MATERIAIS E METODOLOGIA 
 
 
As metodologias que caracterizaram esta pesquisa, bem como a forma como será a 
coleta e tratamento dos dados, o resultado obtido e as análises desses dados. 
 
 
2.2.1 Classificação da pesquisa 
 
 
Os tipos de metodologias a serem utilizadas nesta pesquisa embasaram-se em Vergara 
(2010, p.41-44) que a divide em “dois critérios básicos: quanto aos fins e quanto aos meios". 
Quanto aos fins, esta pesquisa é aplicada e quanto aos meios de investigação: pesquisa 
de laboratório; bibliográfica e estudo de caso. 
 Pesquisa aplicada porque o intuito deste estudo é ampliar conhecimentos em Perícia 
Forense e em situações acadêmicas de assuntos relacionados, bem como na aplicação prática 
de técnicas de antiforense computacional com finalidade de obtenção de informações úteis à 
investigação criminal, a serem utilizados pelos peritos forenses. 
Pesquisa bibliográfica segundo Martins (2011, p.86) “é o ponto de partida de toda 
pesquisa, levantamento de informações feito a partir de material coletado em livros, revistas, 
artigos, jornais, sites da Internet e em outras fontes escritas, devidamente publicadas”. 
 Pesquisa em laboratório segundo Vergara (2010, p.43) “é experiência realizada em 
local circunscrito”. Serão realizadas simulações em computador a partir de uma imagem real 
de um computador atacado para então produzir resultados. 
 O estudo de caso segundo Martins (2011, p.87) “é um meio para se coletar dados 
preservando o caráter unitário do objeto a ser estudado”. De posse de uma imagem de um 
computador atacado serão analisadas as técnicas e ferramentas antiforense utilizadas pelo 
atacante. 
 
 
2.2.2 Instrumentos e Procedimentos 
 
 
O instrumento e procedimentos desta pesquisa correspondem a simulações em 
computador e a um estudo de caso cujas fases são descritas a seguir: 
a) coleta de uma imagem de um desktop com sistema operacional Linux; 
b) montagem em laboratório de uma estrutura que permita a análise das técnicas 
antiforense utilizadas na invasão e na tentativa de limpeza dos rastros; 
c) serão aplicadas diversas técnicas e ferramentas antiforense na imagem coletada; 
e 
d) análise dos resultados obtidos em laboratório. 
 
 
2.3 FORENSE COMPUTACIONAL 
 
 
Tem como objetivo principal determinar à dinâmica, a materialidade e autoria de 
ilícitos ligados à área de informática, tendo como questão principal a identificação e o 
processamento de evidências digitais em provas materiais de crime, por meio de métodos 
10 
 
técnico-científicos, conferindo-lhe validade probatória em juízo (ELEUTÉRIO; MACHADO, 
2010, p.16-17). 
 É uma área que envolve a análise e coleta de vestígios e evidências digitais em 
equipamentos computacionais envolvidos em procedimentos ilícitos e crimes de qualquer 
natureza (ELEUTÉRIO; MACHADO, 2011). 
Um modelo internacional publicado e divulgado pelo Departamento de Justiça dos 
Estados Unidos sugere as seguintes etapas no processo investigativo (BARYAMUREEBA, 
2004). 
a) coleta: Envolve a busca por evidências, o reconhecimento de provas, coleta de 
provas e documentação; 
b) exame: Projetado para facilitar a visibilidade de provas, ao explicar sua origem e 
significado. Trata-se de revelar informações ocultas e obscuras e a documentação 
pertinente; 
c) análise: Este olha para o produto do exame para o seu significado e probatório 
valor para o caso; e 
d) relatórios: Isso leva a escrever um relatório sobre o processo de exame e 
pertinentes dados recuperados a partir da investigação em geral. 
 
A análise forense de um sistema envolve um ciclo de coleta de dados e processamento 
das informações coletadas. Quanto mais precisos e completos os dados, melhor e mais 
abrangente a avaliação pode ser (FARMER; VENEMA, 2007). 
 
 
2.4 ANTIFORENSE 
 
 
É qualquer alteração intencional ou acidental que possa obscurecer criptografar ou 
esconder dados de ferramentas forenses. A maioria dos suspeitos acredita que, seguindo as 
técnicas ilustradas neste artigo e em outras publicações, podem esconder seus rastros. 
Tentando fazer isso, porém, muitas vezes apenas ajudam o investigador saber onde procurar 
por evidências. Na verdade, um suspeito que tenta esconder a evidência pode realmente 
fortalecer o sucesso de um investigador para descobrir isso (PHILIPP et al., 2010. p.223). 
Um dos princípios fundamentais da forense é o Principio da Troca de Locard. De 
acordo com esse principio qualquer um, ou qualquer coisa, que entra em um local de crime 
leva consigo algo do local e deixa alguma coisa para trás quando parte. Este também se aplica 
na forense computacional, uma vez que todo evento realizado em um computador deixa 
evidências, algumas difíceis de serem identificados ou seguidos, mas existem. 
Há várias definições para antiforense e diversos métodos. O Quadro 1 abaixo descreve 
uma das classificações possíveis para os métodos antiforense: destruição, ocultação, 
eliminação da fonte e falsificação. 
 
Quadro 1 – Classificação dos métodos antiforense. 
Nome Destruição Ocultação Eliminação 
da fonte 
Falsificação 
Alterações MACE Apagar as 
informações 
MACE ou 
sobrescrever com 
dados inúteis. 
 Sobrescrever 
com os dados 
que fornecem 
informações 
enganosas para 
os 
investigadores. 
Remover/esterilizar Reescrever o Excluir o 
11 
 
arquivos conteúdo com 
dados aleatórios. 
arquivo. 
Encapsulamento de 
dados 
 Ocultar um 
arquivo em 
outro. 
 
Sequestro de Conta Criar evidência 
para culpar outra 
pessoa por atos 
irregulares. 
Arquivo 
autodestrutivo. 
 
Desabilitar logs Informações 
sobre a 
atividade não 
é gravada. 
 
Fonte: Harris (2006). 
 
 Os dados que podem ser utilizados como evidências podem ser destruídos total ou 
parcialmente, em nível lógico e físico, evitando que sejam encontrados. Dados sobrescritos 
em mídianão podem ser recuperados em nível de software, salvo em condições especiais. 
 A ocultação das evidências reduz as chances de sucesso numa investigação preliminar, 
exigindo que a perícia seja mais minuciosa (HARRIS, 2006). Podem ser utilizados no 
processo ferramentas de criptografia e esteganografia, que podem ser obtidas facilmente na 
internet além de ser fácil o seu uso. 
 A eliminação da fonte de evidências probatória envolve a neutralização das fontes. 
Não há necessidade de destruir as provas uma vez que nunca são criadas. No entanto, a 
própria falta de provas pode tornar-se evidência. Isso parece contraditório se não 
considerarmos uma arma completamente desprovida de impressões digitais. Um bom 
investigador pode pensar que o criminoso usava luvas, para que ele pudesse assumir que o 
assassinato foi cuidadosamente planejado. Essas observações aplicam-se ao mundo digital 
(HARRIS, 2006). 
Falsificação é o ato de criar uma falsa versão da prova que é projetado para parecer 
outra coisa. Isto inclui criação de evidência que funciona como um ataque contra o processo 
ou ferramentas (HARRIS, 2006). 
Uma das coisas mais simples de entender e usar em uma investigação são os 
mactimes. Eles são simplesmente uma maneira abreviada de se referir aos três atributos de 
tempo – mtime, atime e ctime – que são anexados a qualquer arquivo ou diretório no UNIX, 
Windows e em outros sistemas de arquivos. O atributo atime refere-se à última data/hora em 
que o arquivo ou diretório foi acessado. O atributo mtime, ao contrário, muda quando o 
conteúdo de um arquivo é modificado. O atributo ctime monitora quando o conteúdo ou as 
meta-informações sobre o arquivo mudaram: o proprietário, o grupo, as permissões de 
arquivo e assim por diante (FARMER; VENEMA, 2007). 
Um mecanismo eficiente de recuperação de arquivos excluídos também pode ser 
decisivo durante uma análise forense, uma vez que na tentativa de esconder suas ações, os 
invasores podem apagar arquivos que possam denunciar sua presença. O problema é que 
existem inúmeras ferramentas para se efetuar uma exclusão de forma segura: são as chamadas 
ferramentas de wipping. 
 
 
12 
 
2.4.1 Criptografia 
 
 
É uma técnica utilizada para transformar uma informação na sua forma original para 
outra ilegível. Isso é feito para que somente pessoas autorizadas, ou detentoras da chave 
criptográfica, possam realizar o processo inverso e ler a mensagem original (ELEUTÉRIO; 
MACHADO, 2010, p.85). 
O uso da criptografia assume que o método utilizado para criptografar é de domínio 
público, e a segurança reside na escolha da chave. Exemplificando, os conceitos 
criptográficos buscam solucionar os problemas comuns a duas situações básicas: proteger as 
informações armazenadas e utilizadas sempre pela mesma entidade, e a proteção de 
informações trocadas entre duas pessoas (ou entidades) diferentes. 
Todos os algoritmos de criptografia são baseados em dois princípios gerais: 
substituição, em que cada elemento no texto claro (bit, letra, grupo de bits ou letras) é 
mapeado em outro elemento, e transposição, em que os elementos no texto claro são 
reorganizados (STALLINGS, 2008, p.19). 
Boa parte dos sistemas de arquivos atuais que suportam criptografia, disponíveis 
facilmente para Windows, Mac OS e Linux, criptografam quando o dado é escrito para o 
disco e descriptografam quando esses são lidos, tornando-os invisíveis para qualquer atacante 
que não tem a chave, trazendo uma proteção efetiva. 
 
 
2.4.2 Esteganografia 
 
 
É uma técnica que consiste em ocultar uma mensagem dentro da outra. Enquanto a 
criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro 
da outra (ELEUTÉRIO; MACHADO, 2010, p.86). 
Uma mensagem de texto claro pode estar oculta de duas maneiras. Os métodos de 
esteganografia escondem a existência da mensagem, enquanto os métodos de criptografia 
tornam a mensagem ininteligível a estranhos por meio de várias transformações do texto 
(STALLINGS, 2008, p.34). 
Usando as ferramentas de esteganografia disponíveis hoje, os suspeitos podem até 
esconder dados, mensagens, arquivos, dentro de arquivos do tipo imagem ou do tipo áudio, 
tornando-os imperceptíveis aos sentidos humanos. 
O uso dessa técnica pode ser usado para diversos fins, dentre elas, roubo de dados, 
ocultação de arquivos pornográficos ou quaisquer outras evidências que possam vir a ajudar 
numa análise post-mortem. 
 
 
2.4.3 Rootkits 
 
 
São programas simples, geralmente rodando como um serviço isolado e fornecendo 
acesso a uma backdoor (SEIFRIED, 2009). 
De acordo com (SHADOWSERVER, 2007) Rootkit é um conjunto de programas 
maliciosos, projetados para modificar o sistema operacional, do computador atacado, para 
ocultar, do usuário do sistema, a invasão, a presença do invasor e de outros programas 
maliciosos instalados. 
13 
 
Na visão de (MORIMOTO, 2008) Rootkits são “softwares que exploram um conjunto 
de vulnerabilidades conhecidas para tentar obter privilégios de root na máquina afetada”. 
Rootkits geralmente são utilizados, num cenário de invasão de computador, para 
garantir acesso posterior por meio da instalação de uma Backdoor, na remoção dos rastros do 
ataque apagando as logs do sistema operacional ou até mesmo na criação de contas de 
usuários. Enfim, o objetivo é esconder arquivos, conexões de rede e endereços de memória do 
administrador do sistema. As técnicas usadas para obter essa funcionalidade variam, dividindo 
os Rootkits em quatro categorias: Virtualizado, Kernel, Biblioteca e Aplicação. 
Os Rootkits virtualizados são aqueles que modificam a sequência de inicialização da 
máquina, iniciando primeiro o Rootkit, que por sua vez inicia o sistema operacional como uma 
máquina virtual, podendo interceptar todas as chamadas de sistema do sistema operacional. Os de 
kernel funcionam adicionando ou alterando código do kernel (por exemplo, a tabela de chamada 
de sistemas) de modo que informações são escondidas diretamente no núcleo do sistema 
operacional. Os Rootkits de biblioteca geralmente alteram ou substituem chamadas de sistema por 
chamadas alteradas e os de aplicação alteram diretamente aplicativos do sistema. 
 
 
2.4.4 Wiping 
 
 
Exclusão de arquivos, esvaziar a lixeira, ou rápida formatação de um disco rígido não 
apaga permanentemente os dados, ele simplesmente remove as informações necessárias para 
encontrar os arquivos no disco, permitindo a sua recuperação. Assim, limpar realmente o 
arquivo no disco é um problema real. Ela pode ser realizada de muitas maneiras diferentes. A 
wiping é uma delas e consiste em sobrescrever todos os setores do disco com um padrão de 
binário 1's e 0's, substituindo então os dados que ainda persistiam na mídia. Dessa forma não 
podendo mais ser recuperados nem acessados. Você pode determinar se as ferramentas de 
limpeza foram instaladas através da revisão de programas existentes no disco, mas não pode 
mais trazer os dados de volta (PHILIPP et al., 2010, p.237). 
 
 
2.4.5 Ferramentas 
 
 
Este item abordará algumas das principais ferramentas antiforense que podem ser 
utilizadas para aplicação das técnicas vistas no capitulo anterior. 
 
 
2.4.5.1 Wipe 
 
 
É um aplicativo que permite a deleção segura de dados, permitindo que o usuário 
defina quais arquivos serão apagados e quantas vezes aqueles blocos de disco, onde os 
arquivos apagados estavam alocados (4Linux – Pen Test, 2011, p.261). 
 
 
2.4.5.2 Scrub 
 
 
Outra possibilidade para realizar o data wiping, sobrescrevendo os dados deletados 
com um padrão determinado de informações, que podem ou não ser removidas no final da 
14 
 
informação.Se não forem removidas, o perito forense encontrará apenas “lixo digital” nos 
blocos do disco, sem qualquer coerência. (4Linux – Pen Test, 2011, p.262) 
 
Veja os exemplos a seguir: 
 
a) Realizando o data wiping no arquivo. 
 
$ scrub imagem.jpg 
scrub: using NNSA NAP-14.x patterns 
scrub: padding imagem.jpg with 4078 bytes to fill last fs block 
scrub: scrubbing imagem.jpg 12288 bytes (~12KB) 
scrub: random |................................................| 
scrub: random |................................................| 
scrub: 0x00 |................................................| 
 scrub: verify |................................................| 
 
b) Destruindo todos os arquivos no disco 
 
$ scrub /dev/sda1 
 
 
2.4.5.3 Steghide 
 
 
É um programa capaz de esconder dados em vários tipos de arquivos de áudio e de 
imagem. Suporta formatos de arquivos JPEG, BMP, WAV e AU para uso como arquivo de 
cobertura. O algoritmo de criptografia padrão é o Rijndael com uma chave de 128 bits. No 
exemplo abaixo iremos utilizar a imagem de um tux e adicionaremos ao mesmo um arquivo 
texto simples contendo algumas informações, como por exemplo, as senhas do sistema. 
 
$ file tux.jpg 
tux.jpg: JPEG image data, JFIF standard 1.01 
$ md5sum tux.jpg 
4e858aa5c73f48695ba5fc3ea5eda380 tux.jpg 
 
Escondendo o arquivo de senhas. 
 
$ steghide embed -cf tux.jpg -ef senha.txt 
Enter passphrase: 
Re-Enter passphrase: 
embedding "senha.txt" in "tux.jpg"... done 
 
Mesmo adicionando outro arquivo a imagem do tux o tipo do arquivo permaneceu o 
mesmo. Apenas o hash do arquivo foi alterado, essa informação pode ser utilizada como 
contramedida, caso tenha sido guardado anteriormente uma tabela com os hashs dos arquivos. 
 
$ file tux.jpg 
tux.jpg: JPEG image data, JFIF standard 1.01 
$ md5sum tux.jpg 
d0c0713cf2e55140ec912fc465bd7ba9 tux.jpg 
15 
 
 
Extraindo o arquivo escondido 
 
$ steghide extract -sf tux.jpg 
Enter passphrase: 
wrote extracted data to "senha.txt". 
 
 
2.4.5.4 Truecrypt 
 
 
É um software para criação e manutenção de um volume on-the-fly-encrypted 
(dispositivo de armazenamento de dados). On-the-fly encriptação significa que os dados são 
automaticamente criptografados antes de ser salvo e descriptografado logo após ser carregado, 
sem qualquer intervenção do usuário. Não há dados armazenados em um volume 
criptografado que possa ser lido (descriptografado) sem usar a senha correta / keyfile (s) ou 
chaves de criptografia corretas. O sistema de arquivo inteiro é criptografado (por exemplo, 
nomes de arquivos, nomes de pastas, o conteúdo de cada arquivo, espaço livre, metadados, 
etc.) (TRUECRYPT FOUDATION, 2012). 
O processo de encriptação e decriptação são transparentes para o usuário e serviços 
que utilizam o volume encriptado. Ao criar um volume com truecrypt o usário precisará 
definir: o tamanho, algoritmo de criptografia, o algoritmo de hash e a senha de segurança. 
Após a conclusão dessas definições o truecrypt cria o arquivo ou partição e o preenche com 
dados aleatórios, de uma forma que se forem analisados é impossível saber se há dados. 
Devido a essa segurança e eficiência, a utilização dessa ferramenta vem se tornando cada vez 
mais comum para proteção de dados sigilosos. 
Atualmente é compatível com os seguintes sistemas operacionais: Windows 7 (32-bit 
and 64-bit), Windows Vista, Windows Vista x64 (64-bit) Edition, Windows XP, Windows XP 
x64 (64-bit) Edition, Windows Server 2008 R2 (64-bit), Windows Server 2008, Windows 
Server 2008 x64 (64-bit), Windows Server 2003, Windows Server 2003 x64 (64-bit), 
Windows 2000 SP4, Mac OS X 10.7 Lion (64-bit and 32-bit), Mac OS X 10.6 Snow Leopard 
(32-bit), Mac OS X 10.5 Leopard, Mac OS X 10.4 Tiger, Linux (32-bit and 64-bit versions, 
kernel 2.6 or compatible) 
 
Os passos a seguir mostram como criar e criptografar um volume com truecrypt via 
linha de comando no Linux. 
 
O primeiro passo é baixar e instalar o pacote. 
 
$ wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-x86.tar.gz 
$ tar zxvf truecrypt-7.1a-linux-x86.tar.gz 
$ ./truecrypt-7.1a-setup-x86 
Apareceram telas basta seguir. 
 
No processo de criação utilizaremos a option –t para que a operação seja executada em 
modo texto. A option –c é para o modo iterativo. 
 
$ truecrypt –t –c 
 
16 
 
Serão solicitadas as seguintes informações: Tipo de volume; Path do volume; 
Tamanho do volume; Algoritmo de criptografia; Algoritmo de hash; Filesystem; Password. 
 
Para montar o volume criado utilizaremos a option --mount: 
 
$ truecrypt -t --mount /tmp/volume 
Enter mount directory [default]: 
Enter password for /tmp/volume: 
Enter keyfile [none]: 
Protect hidden volume (if any)? (y=Yes/n=No) [No]: No 
 
Para desmontar: 
 
$ truecrypt -t -d /tmp/volume 
 
 
3. ESTUDO DE CASO 
 
 
Conforme definido nesse artigo a destruição das evidências poderá ser lógica ou física 
parcial ou total. Existem várias formas de essas evidências serem esterilizadas. A seguir, serão 
demonstradas maneiras possíveis para realizar essa ação logicamente, via software. 
No processo a seguir iremos esterilizar uma partição. Nessas demonstrações iremos 
utilizar uma máquina Debian, Linux. Esse ambiente contém uma partição /mnt/pessoal aonde 
nesse laboratório irá conter informações relevantes que comprometeriam o usuário dessa 
máquina com fotos e planilhas, vide Figura 01. 
 
 
Figura 01 – Maquina Linux, debian, com partição, /mnt/pessoal, montada. 
 
 Nesse passo o usuário resolveu apagar os arquivos comprometedores utilizando o 
comando rm entendendo ele que não teriam como serem recuperados. Porém, os arquivos 
persistiram no filesystem e apenas a referência dos arquivos foi apagada. Esses arquivos 
podem ainda serem recuperados utilizando os comandos fls e icat, por exemplo. Vide Figura 
02. 
17 
 
 
Figura 02 – Uma simples exclusão de arquivo não previne uma recuperação futura. 
 
 Nesse próximo passo iremos remover definitivamente os arquivos comprometedores 
sem risco de recuperação, vide Figura 03. 
 
 
Figura 03 – Realizando wipe nos arquivos. 
 
 Agora iremos realizar o wipe no filesystem. Dessa forma não há como recuperarmos os 
arquivos. Vide Figura 04. 
 
18 
 
 
Figura 04 – Destruindo todos os arquivos no filesystem. 
 
 E por fim, o resultado do filesystem após o wipe, vide Figura 05. 
 
 
Figura 05 – Resultado do hexedit no filesystem. 
 
 
4. CONCLUSÃO 
 
 
Mediante o avanço das técnicas antiforense, que podem ser utilizadas para segurança 
ou para apagar as evidências de atos ilícitos, cresce cada vez mais o desafio aos peritos 
forenses para recuperar e coletar dados para a confecção de um laudo que possa direcionar ao 
entendimento do caso. A complexidade para o perito pode ser explicada mediante as 
dificuldades que tendem a ser encontradas de diversas formas, como na utilização de técnicas 
e ferramentas, de fácil obtenção na Internet, e muitas vezes com procedimentos muito 
simples, que facilitam a destruição, ocultação, eliminação ou até mesmo a falsificação das 
evidências. 
19 
 
A partir das informações coletadas e reportadas neste artigo, além do estudo de caso, 
ficou comprovado que o uso das técnicas e ferramentas antiforense possui um impacto mais 
que considerável na análise de um delito por um perito, podendo até tornar impossível ou 
improvável a coleta de evidências a partir da recuperação de algum dado que ajude no 
entendimento do evento. 
Muitas vezes a recuperação desses dados, quando possível tecnicamente,passa a não 
ser plausível numa análise de custo/beneficio; assim, o retorno dessa informação fica inviável. 
Das técnicas antiforense reportadas neste artigo, as que envolvem a destruição dos 
dados e eliminação da fonte são as mais simples de serem aplicadas no ambiente, embora em 
todas elas, por mais simples que sejam, peçam um pouco de conhecimento técnico. As mais 
complexas seriam as que envolvem a criptografia e a falsificação da fonte que exigem um 
pouco mais de conhecimento técnico e um cuidado ainda maior no seu uso, pois podem tornar 
o dado inacessível até mesmo para o usuário, no caso da criptografia, caso o mesmo seja 
descuidado. 
O acesso a esses recursos são de fácil obtenção na Internet e o seu uso cada vez mais 
simples e automatizado. Tomamos como exemplo distribuições Linux carregáveis em live 
CDs, como por exemplo, o Backtrack, que trazem muitos desses softwares compilados num 
só lugar e até procedimentos operacionais simples. 
Um bom exemplo de uso da técnica antiforense para fim não licito que obteve grande 
repercussão na mídia foi o caso do banqueiro Daniel Dantas em que seus discos rígidos, que 
foram apreendidos pela Policia Federal, estão criptografados e até o presente momento não se 
conseguiu a decodificação desses dados, pois não se tem o conhecimento das senhas 
utilizadas no processo de encriptação do sistema de arquivos. Apesar de todo o avanço 
tecnológico, não se conseguiu obter essas informações que poderiam ajudar no caso, mesmo 
com todo recurso computacional envolvido e até o apoio do FBI. 
Logo, com esse crescimento exponencial dessas técnicas antiforense usadas para 
ocultar atos ilícitos, o perito forense deve buscar sempre novos conhecimentos, novos 
recursos que o auxiliem na sua análise. Óbvio que a experiência desse profissional irá ser o 
diferencial, pois na maioria dos casos os usuários infratores não são especializados na área de 
informática e provavelmente deixarão evidências dos seus atos ou até mesmo ficarão iludidos 
com a falsa segurança de que ao executar uma simples ação de exclusão de um arquivo ou a 
limpeza do cache do browser já estarão seguros. 
 
 
5. TRABALHOS FUTUROS 
 
 
Como sugestão para novos trabalhos que possam vir a complementar este artigo, 
recomenda-se que sejam analisados em trabalhos distintos, separadamente, cada método 
antiforense com mais detalhes e aprofundamento. 
 
 
Abstract: 
The activity focuses on anti-forensics difficult or impossible in a forensic computing resource, 
while the skill forensic evidence that might seek direct understanding of the case. The scope 
of this work is to describe the techniques and tools anti-forensics more efficient and the 
consequences of their expertise in a "post mortem". This information was obtained from 
information collected in books, magazines, web sites related to the topic and other works with 
similar content. In a case study with the practical implementation of these techniques anti-
forensics and its impact on forensic expertise. 
20 
 
 
Keywords: Forensics. Anti-forensics. Security. Encryption. 
 
 
6. REFERÊNCIAS 
 
 
BARYAMUREEBA V, TUSHABE F. The Enhanced Digital Investigation Processo Model. 
Institute of Computer Science, Makerere University, Uganda, 2004. 
 
BLUDEN, B. Anti-Forensics: The Rootkit Connection, 2009. Disponível em: 
https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden-
AntiForensics-PAPER.pdf. Acessado em Novembro 01, 2011. 
 
ELEUTÉRIO, P. M. da Silva; MACHADO, M. Pereira. Desvendando a Computação Forense. 
São Paulo: Novatec Editora, 2010. 
 
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: Teoria e Prática 
Aplicada. São Paulo: Prentice-Hall, 2007. 
 
GARFINKEL, Simon, Anti-Forensics: Techniques, Detection and Countermeasures, The 2nd 
International Conference on Warfare and Security (ICIW), Naval Postgraduate School, 
Monterey, CA, 2007. http://www.simson.net/clips/academic/2007.ICIW.AntiForensics.pdf 
 
HARRIS, Ryan. Arriving at an anti-forensics consensus: Examining how to define and 
control the anti-forensics problem. 2006. Disponível em: http://dfrws.org/2006/proceedings/6-
Harris.pdf. Acessado em Janeiro 15, 2012. 
 
MARTINS, R. B. Metodologia Científica – Como tornar mais agradável à elaboração de 
trabalhos acadêmicos. Curitiba: Juruá Editora, 2011. 1th Edição. 
 
MORIMOTO, Carlos E. Servidores Linux Guia Prático. Porto Alegre: Sul Editores, 2008. 
PHILIPP, A.; COWEN, D.; DAVIS, C. Hacking Exposed Computer Forensics: Secrets & 
Solutions. New York: McGrawHill, 2010. 2th Edition. 
 
STALLINGS, William. Criptografia e Segurança de Redes. São Paulo: Pearson Prentice Hall, 
2008. 4th Edição. 
 
SEIFRIED, Kurt. Linux Magazine. 2009. Disponível em: 
http://www.linuxnewmedia.com.br/lm/article/inseguranca_lm50. Acessado em Janeiro 10, 
2012. 
 
SHADOWSERVER. Disponível em: http://www.shadowserver.org. Acessado em Janeiro 10, 
2012. 
 
TRUECRYPT FOUNDATION. Truecrypt – Free Open-Source Disk Ecryption Software. 
Disponível em: http://www.truecrypt.com. Acessado em Janeiro 15, 2012. 
 
VERGARA, S. C. Projetos e Relatórios de Pesquisa em Administração. São Paulo: Editora 
Atlas, 2010. 12th Edição. 
21 
 
 
4LINUX. Apostila Pen Test: Teste de Invasão Redes Corporativas. São Paulo: 2011.