Computação Forense_Apostila

Prévia do material em texto

COMPUTAÇÃO FORENSE 1 
 
 
Computação Forense 
 
 
 
 
 
 
COMPUTAÇÃO FORENSE 2 
AULA 01 – CONCEITOS GERAIS – COMPUTAÇÃO FORENSE 
 
Para entendermos o contexto e ́importante fazer um breve histórico. 
Durante o periódo Mesolit́ico da Pre-́História, ha ́ aproximadamente dez mil anos, a 
humanidade deu importantes passos rumo à sua evoluçaõ e sobrevivência. Foi nessa 
fase que o homem dominou o fogo, domesticou animais e desenvolveu a agricultura, 
o que exigiu dele vários tipos de conhecimentos como: conhecimento do tempo, das 
estações do ano e das fases da lua. Aleḿ disso, foi necessaŕio aprender formas de 
controlar seu rebanho, surgindo assim a necessidade de contar os animais. 
 
A partir daí a humanidade nunca mais parou de fazer contas, quantificando desde 
alimentos para o consumo da tribo, ate ́ partićulas subatômicas para pesquisas 
espaciais. 
 
O ser humano percebeu que a capacidade de efetuar caĺculos sempre esteve ligada 
ao seu desenvolvimento, ou seja, cada vez que ele conseguia resolver operaçoẽs 
matemat́icas mais complexas e com maior rapidez, maiores eram os avanços 
cientif́icos que alcançava. 
 
Através dessa percepçaõ, diversos instrumentos de contagem foram criados, como o 
ab́aco, as Reǵuas de Caĺculo de John Napier, a Pascalina de Blaise Pascal que foi 
aperfeiçoada por Gottfried von Leibnitz e muitos outros, incluindo o computador. E ́
interessante notar que o termo Computar, segundo o dicionaŕio Michaelis, e ́originaŕio 
do latim e significa calcular, contar; portanto, o computador seria o mecanismo ou a 
maq́uina que auxilia nessa tarefa. 
 
Em 1990 ocorreu a popularização mundial da internet, através da criação do serviço 
World Wide Web (WWW), por Tim Berner-s Lee (1989), permitindo que usuários dos 
 
 
COMPUTAÇÃO FORENSE 3 
computadores espalhados pelo mundo tivessem a oportunidade de trocar dados e 
informações em poucos milissegundos, proporcionando assim maior velocidade e 
rapidez na comunicação entre máquinas e pessoas. 
 
Atualmente, a facilidade e a velocidade com que o computador processa, armazena e 
transmite informaçoẽs por toda a sua rede, tornou-o um bem de consumo muito 
desejado – e por diversas vezes indispensav́el – em muitos lares e empresas de todo 
o mundo. Segundo a 26ª Pesquisa Anual de Uso da TI nas Empresas - 2015, feita pela 
Fundaçaõ Getúlio Vargas, a venda de computadores anualmente é de 25 milhões. 
 
Uma pesquisa recente da Associação Brasileira de Empresas de Tecnologia da 
Informação e Comunicação mostrou que o mercado de TI no Brasil está a mil: o 
segmento, que no país emprega mais de 1,3 milhão de pessoas, apresenta tendência 
de crescimento de oferta de até 30% até 2016. 
 
Governos e empresas notaram esse avanço e passaram a oferecer diversos serviços 
aos cidadaõs, como emissaõ de documentos, transaçoẽs bancaŕias, vendas de 
produtos, entre outros, gerando assim uma enorme quantidade de dados sigilosos. 
O grande volume de informaçoẽs pessoais sigilosas circulando pelas redes do mundo 
inteiro atraiu criminosos que começaram a se especializar e ate ́ a recrutar pessoas 
com conhecimentos na aŕea de computaçaõ para obter esses dados 
 
A melhor maneira para combater tais ataques, sem dúvida, e ́ a prevençaõ, naõ so ́
utilizando equipamentos de alta tecnologia e sistemas seguros, como tambeḿ 
instruindo as pessoas que os utilizam. Entretanto, quando o combate aos ataques 
virtuais se torna ineficaz ou inexistente, deve-se recorrer à Perićia Forense 
Computacional para que haja uma investigaçaõ e os criminosos sejam localizados e 
punidos. Esta prat́ica e ́feita por um profissional habilitado, com conhecimentos tanto 
em informat́ica, quanto em direito, especialista em analisar vestiǵios digitais e em 
produzir provas tećnicas que serviraõ de apoio para a decisaõ de um juiz. 
 
 
 
COMPUTAÇÃO FORENSE 4 
Mesmo com toda a importância da Perićia Forense Computacional, livros, documentos 
e textos cientif́icos saõ escassos, superficiais ou, ate ́mesmo, incompletos, abordando 
apenas uma das vertentes dessa aŕea. 
 
Vivemos na sociedade da informação, onde nos tornamos reféns e dependentes das 
informações transmitidas via internet, que passou a ser a ferramenta mais importante 
para manter a comunicação, seja pessoal ou profissionalmente. 
 
Desde a sua criação houve um rápido desenvolvimento dos computadores; em 1965 
Gordon Moore já se referia a esse movimento propondo uma lei alegando que a cada 
ano o número de transistores iria dobrar. Tal lei ficou conhecida como Lei de Moore e 
o processo que ocorreu se aproximou ao que ele previa, não exatamente a cada doze 
meses e sim a cada 18 meses. A Lei de Moore baseou a afirmação de Willian Stalling, 
em 2002, constatando que os computadores estão cada vez menores, mais rápidos, 
mais eficientes e mais disponíveis ao acesso da maioria das pessoas. 
 
Infelizmente a inovação tecnológica não trouxe apenas benefício, mas também a 
possibilidade da realização de práticas ilegais e criminosas por meio digital. Neste 
cenário, vem o desenvolvimento da Computação Forense como uma ferramenta 
poderosa e eficaz no combate desse tipo de práticas ilegais. 
 
A Computação Forense é uma área de pesquisas que tem por objetivo criar soluções 
para problemas relacionados à coleta, classificação, organização e análise de 
evidências digitais. 
 
 
 
 
 
 
 
 
 
COMPUTAÇÃO FORENSE 5 
Em relação à coleta e à organização, buscam-se abordagens para reduzir a utilização 
errônea e ingênua de evidências importantes. Com respeito à classificação, procuram-
se soluções que permitam identificar as evidências de modo a reduzir o esforço técnico 
necessário durante sua análise. Finalmente, em relação à análise, objetiva-se 
investigar a fonte originadora de um determinado documento bem como sua 
autenticidade. Na identificação da fonte originadora, busca-se identificar o modelo 
particular do dispositivo de captura (como sendo um scanner, uma câmera ou uma 
impressora), ou o dispositivo exato que fez a captura de um determinado documento. 
Na detecção de manipulações, procura-se estabelecer a autenticidade de um 
documento ou expor quaisquer manipulações que este possa ter sofrido. 
 
 
O objetivo principal da Computação Forense é determinar a materialidade, a dinâmica 
e a autoria de crimes ligados à área de informática, proporcionando a identificação e 
o processamento de evidências digitais através de provas materiais do crime, por meio 
de métodos técnico-científicos, podendo ser utilizado de forma válida em juízo, para 
convencer ao juiz da autoria e materialidade do crime. 
 
AULA 02 – PROCESSO INVESTIGATIVO E LEGISLAÇÃO VIGENTE 
 
Atualmente, os celulares que nos auxiliam nos negócios e nos aproximam das pessoas, 
são também usados para coordenar ação criminosas, inclusive de dentro de presídios. 
Câmeras e filmadoras digitais de excelente qualidade, concebidas para possibilitar a 
concretização de trabalhos artísticos, ou para registro de momentos especiais de 
nossas vidas, são também utilizadas para a exploração covarde do mercado pedófilo, 
infelizmente. A natureza do ser humano é intrinsecamente controversa. A produção 
de conhecimento baseada no nosso tipo de racionalidade científica é afetada, quando 
não estimulada, pelos interesses mais divergentes que se pode imaginar. Tomando-se 
em conta a pluralidade de possibilidades às quais novas descobertas podem ser úteis, 
se faz necessária a existência de forças investigativas, coercitivas e preventivas, a fim 
de se evitar vergonhosas barbaridades que são constantes em nosso mundo. E a 
Computação Forense faz a sua parte. A palavra forense vem de foro, e podemos 
 
 
COMPUTAÇÃO FORENSE 6 
entendê-la como o meio policial onde é feita uma análise minuciosa de todo material 
capturado na cena de um crime. 
 
O Artigo 158 do Códigode Processo Penal (CPP) determina que quando a infração 
deixar vestígios, será indispensável o exame de corpo de delito, direito ou indireto, 
não podendo supri-lo a confissão do acusado. Por conta desta determinação surge a 
necessidade de um profissional qualificado, que examine vestígios e produza laudos 
que forneçam ao Poder Judiciário condições de apurar um delito, conforme 
determinam os artigos 159 e 160 do CPP, a saber: “O exame de corpo de delito e 
outras perícias serão realizados por perito oficial, portador de diploma de curso 
superior” e “Os peritos elaborarão o laudo pericial, no qual descreverão 
minuciosamente o que examinarem e responderão aos quesitos formulados”. 
 
No caso específico da computação, o profissional competente para tal é o Perito 
Criminal em Informática. Entretanto, é essencial para a formulação de quesitos, para 
saber a forma correta de como as evidências e provas digitais devem ser corretamente 
coletadas, apuradas e apresentadas, que outros profissionais também tenham 
conhecimento desta área, tais como peritos particulares, profissionais de TI, auditores 
de sistemas, bem como advogados, promotores, delegados e juízes. 
 
O Código de Processo Civil (CPC) estabelece em seu artigo 332: “Todos os meios 
legais, bem como os moralmente legítimos, ainda que não especificados neste Código, 
são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa.” A 
informação digital não é ilegal nem ilegítima; ela dispõe de técnicas que lhe garantem 
eficácia probatória. Além disso, o número de informações digitais disponíveis cresce 
diariamente, tendo em vista a quantidade de benefícios que a transmissão digital de 
informações traz como menor custo, maior agilidade e disponibilidade, melhor 
manuseio e segurança, entre outros, o que faz com que cada vez mais as evidências 
de crimes sejam eletrônicas. Porém pode ocorrer o uso ilegal dessas informações, 
como por exemplo no caso de uma interceptação telefônica não autorizada, onde esse 
material teria seu valor descartado. 
 
 
 
COMPUTAÇÃO FORENSE 7 
Devido a fatores como esse, a investigação da Computação Forense deve levar em 
conta algumas considerações, a saber: é necessária a autorização judicial para toda 
busca e análise de evidências, caso contrário o trabalho perderá sua validade; deve-
se realizar a análise sobre as réplicas, para que a prova avaliada não sofra nenhum 
tipo de alteração durante sua análise por peritos; a análise deve ter seu histórico de 
procedimentos formalmente descrito em um laudo pericial, quando solicitado pelo juiz, 
pois o perito é um tradutor especializado dos fatos que poderão auxiliar sua decisão. 
 
Quando se faz uma investigação, nada pode ser descartado a princípio. Um 
computador pode conter uma série de informações, sejam elas em listas de contatos, 
arquivos de texto, arquivos multimídia, bancos de dados, e-mails, históricos de 
navegação na internet e muitos outros formatos de dados. Uma secretária eletrônica 
contém informações de últimos números discados, as ligações recebidas, agenda com 
nomes e números. Uma simples placa de rede, pode comprovar uma transferência de 
informações entre dois computadores. Um cartão de memória pode conter fotos, 
imagens e sons. Além desses exemplos, há ainda: discos rígidos, memória do 
computador, leitores biométricos, câmeras digitais, palms, modens, scanners, 
copiadoras, drivers externos (ZIP, CD-ROM), telefones celulares, identificadores de 
chamadas, GPS, entre muitos outros. 
 
Apesar de normas e procedimentos formais, há casos que fogem de padrões 
conhecidos sendo necessário o conhecimento especializado, experiência e um bom 
instinto investigativo. Mesmo com uma ordem judicial em mãos para coleta de provas 
em determinado local, deve-se levar em consideração algumas questões, tais como: 
se no local há computadores em rede; se os computadores conectados em rede podem 
receber conexões remotas; verificar o tipo de sistema utilizado nos dispositivos 
empregados na coleta, pois existem sistemas que perdem dados quando desligados. 
Conforme o caso, pode ser necessário desligar todos os equipamentos imediatamente 
ou mantê-los ligados, evitando a perda de evidências. 
 
Há também os exames em mensagens eletrônicas que correspondem à análise das 
propriedades dessas mensagens com o objetivo de identificar hora, data, endereço de 
 
 
COMPUTAÇÃO FORENSE 8 
IP e demais informações do remetente da mensagem. Muitas vezes, em vez de utilizar 
programas para manipular mensagens de correio eletrônico, os usuários utilizam 
serviços de Webmail como, por exemplo, Hotmail, Gmail, Yahoo e outros. Assim, é 
possível que esses programas não estejam instalados como no caso do Microsoft 
Outlook. Nesses casos, o disco rígido examinado poderá conter arquivos temporários 
que armazenaram telas do Webmail, listas de mensagens ou outras evidências que 
poderão ser utilizadas na realização dos exames forenses. 
 
 
AULA 03 – CRIMES COMETIDOS COM O USO DE EQUIPAMENTOS 
COMPUTACIONAIS 
 
A utilização de computadores no mundo do crime não é tão recente assim, porém a 
Legislação Brasileira ainda deixa a desejar na tipificação de todas as modalidades 
específicas de crimes cibernéticos. 
Em 2012 foi criada a Lei 12.737, a saber: 
 
Em 2012 foi criada a Lei 12.737, a saber: 
 
LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. 
 
Dispõe sobre a tipificação criminal de delitos 
informáticos; altera o Decreto-Lei no 2.848, 
de 7 de dezembro de 1940 - Código Penal; 
e dá outras providências. 
 
A PRESIDENTA DA REPÚBLICA Faço saber que 
o Congresso Nacional decreta e eu sanciono a 
seguinte Lei: 
Art. 1o Esta Lei dispõe sobre a tipificação criminal 
de delitos informáticos e dá outras providências. 
http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2012.737-2012?OpenDocument
 
 
COMPUTAÇÃO FORENSE 9 
Art. 2o O Decreto-Lei no 2.848, de 7 de dezembro 
de 1940 - Código Penal, fica acrescido dos seguintes 
arts. 154-A e 154-B: 
“Invasão de dispositivo informático 
Art. 154-A. Invadir dispositivo informático alheio, 
conectado ou não à rede de computadores, 
mediante violação indevida de mecanismo de 
segurança e com o fim de obter, adulterar ou 
destruir dados ou informações sem autorização 
expressa ou tácita do titular do dispositivo ou 
instalar vulnerabilidades para obter vantagem 
ilícita: 
Pena - detenção, de 3 (três) meses a 1 (um) ano, e 
multa. 
§ 1o Na mesma pena incorre quem produz, oferece, 
distribui, vende ou difunde dispositivo ou programa 
de computador com o intuito de permitir a prática 
da conduta definida no caput. 
§ 2o Aumenta-se a pena de um sexto a um terço se 
da invasão resulta prejuízo econômico. 
§ 3o Se da invasão resultar a obtenção de conteúdo 
de comunicações eletrônicas privadas, segredos 
comerciais ou industriais, informações sigilosas, 
assim definidas em lei, ou o controle remoto não 
autorizado do dispositivo invadido: 
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, 
e multa, se a conduta não constitui crime mais 
grave. 
§ 4o Na hipótese do § 3o, aumenta-se a pena de um 
a dois terços se houver divulgação, comercialização 
ou transmissão a terceiro, a qualquer título, dos 
dados ou informações obtidos. 
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art154a
 
 
COMPUTAÇÃO FORENSE 10 
§ 5o Aumenta-se a pena de um terço à metade se 
o crime for praticado contra: 
I - Presidente da República, governadores e 
prefeitos; 
II - Presidente do Supremo Tribunal Federal; 
III - Presidente da Câmara dos Deputados, do 
Senado Federal, de Assembleia Legislativa de 
Estado, da Câmara Legislativa do Distrito Federal ou 
de Câmara Municipal; ou 
IV - dirigente máximo da administração direta e 
indireta federal, estadual, municipal ou do Distrito 
Federal.” 
“Ação penal 
Art. 154-B.Nos crimes definidos no art. 154-A, 
somente se procede mediante representação, salvo 
se o crime é cometido contra a administração 
pública direta ou indireta de qualquer dos Poderes 
da União, Estados, Distrito Federal ou Municípios ou 
contra empresas concessionárias de serviços 
públicos.” 
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, 
de 7 de dezembro de 1940 - Código Penal, passam 
a vigorar com a seguinte redação: 
“Interrupção ou perturbação de serviço 
telegráfico, telefônico, informático, 
telemático ou de informação de utilidade 
pública 
Art. 
266. ..................................................................
...... 
§ 1º Incorre na mesma pena quem interrompe 
serviço telemático ou de informação de utilidade 
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art154b
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art266
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art266
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art266§1
 
 
COMPUTAÇÃO FORENSE 11 
pública, ou impede ou dificulta-lhe o 
restabelecimento. 
§ 2o Aplicam-se as penas em dobro se o crime é 
cometido por ocasião de calamidade pública.” (NR) 
“Falsificação de documento particular 
Art. 
298. ..................................................................
...... 
Falsificação de cartão 
Parágrafo único. Para fins do disposto no caput, 
equipara-se a documento particular o cartão de 
crédito ou débito.” (NR) 
Art. 4o Esta Lei entra em vigor após decorridos 120 
(cento e vinte) dias de sua publicação oficial. 
 
Além desta lei também temos a Lei 11.829 de 2008 que altera o Estatuto da Criança 
e do Adolescente: 
 
LEI Nº 11.829, DE 25 DE NOVEMBRO DE 2008. 
 
Altera a Lei no 8.069, de 13 de julho de 
1990 - Estatuto da Criança e do 
Adolescente, para aprimorar o combate à 
produção, venda e distribuição de 
pornografia infantil, bem como criminalizar 
a aquisição e a posse de tal material e 
outras condutas relacionadas à pedofilia na 
internet. 
 
 O PRESIDENTE DA REPÚBLICA Faço saber 
que o Congresso Nacional decreta e eu sanciono a 
seguinte Lei: 
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art298
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm#art298
http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2011.829-2008?OpenDocument
 
 
COMPUTAÇÃO FORENSE 12 
 Art. 1o Os arts. 240 e 241 da Lei no 8.069, 
de 13 de julho de 1990, passam a vigorar com a 
seguinte redação: 
“Art. 240. Produzir, reproduzir, dirigir, fotografar, 
filmar ou registrar, por qualquer meio, cena de sexo 
explícito ou pornográfica, envolvendo criança ou 
adolescente: 
Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e 
multa. 
§ 1o Incorre nas mesmas penas quem agencia, 
facilita, recruta, coage, ou de qualquer modo 
intermedeia a participação de criança ou 
adolescente nas cenas referidas no caput deste 
artigo, ou ainda quem com esses contracena. 
§ 2o Aumenta-se a pena de 1/3 (um terço) se o 
agente comete o crime: 
I – no exercício de cargo ou função pública ou a 
pretexto de exercê-la; 
II – prevalecendo-se de relações domésticas, de 
coabitação ou de hospitalidade; ou 
III – prevalecendo-se de relações de parentesco 
consanguíneo ou afim até o terceiro grau, ou por 
adoção, de tutor, curador, preceptor, empregador 
da vítima ou de quem, a qualquer outro título, tenha 
autoridade sobre ela, ou com seu consentimento.” 
(NR) 
“Art. 241. Vender ou expor à venda fotografia, 
vídeo ou outro registro que contenha cena de sexo 
explícito ou pornográfica envolvendo criança ou 
adolescente: 
 Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e 
multa.” (NR) 
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art240.
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241.
 
 
COMPUTAÇÃO FORENSE 13 
 Art. 2o A Lei no 8.069, de 13 de julho de 
1990, passa a vigorar acrescida dos seguintes arts. 
241-A, 241-B, 241-C, 241-D e 241-E: 
“Art. 241-A. Oferecer, trocar, disponibilizar, 
transmitir, distribuir, publicar ou divulgar por 
qualquer meio, inclusive por meio de sistema de 
informática ou telemático, fotografia, vídeo ou outro 
registro que contenha cena de sexo explícito ou 
pornográfica envolvendo criança ou adolescente: 
Pena – reclusão, de 3 (três) a 6 (seis) anos, e 
multa. 
§ 1o Nas mesmas penas incorre quem: 
I – assegura os meios ou serviços para o 
armazenamento das fotografias, cenas ou imagens 
de que trata o caput deste artigo; 
II – assegura, por qualquer meio, o acesso por rede 
de computadores às fotografias, cenas ou imagens 
de que trata o caput deste artigo. 
 § 2o As condutas tipificadas nos incisos I e II do § 
1o deste artigo são puníveis quando o responsável 
legal pela prestação do serviço, oficialmente 
notificado, deixa de desabilitar o acesso ao 
conteúdo ilícito de que trata o caput deste artigo. 
 Art. 241-B. Adquirir, possuir ou armazenar, por 
qualquer meio, fotografia, vídeo ou outra forma de 
registro que contenha cena de sexo explícito ou 
pornográfica envolvendo criança ou adolescente: 
 Pena – reclusão, de 1 (um) a 4 (quatro) anos, e 
multa. 
 § 1o A pena é diminuída de 1 (um) a 2/3 (dois 
terços) se de pequena quantidade o material a que 
se refere o caput deste artigo. 
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241a
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241b
 
 
COMPUTAÇÃO FORENSE 14 
 § 2o Não há crime se a posse ou o armazenamento 
tem a finalidade de comunicar às autoridades 
competentes a ocorrência das condutas descritas 
nos arts. 240, 241, 241-A e 241-C desta Lei, quando 
a comunicação for feita por: 
 I – agente público no exercício de suas funções; 
 II – membro de entidade, legalmente constituída, 
que inclua, entre suas finalidades institucionais, o 
recebimento, o processamento e o 
encaminhamento de notícia dos crimes referidos 
neste parágrafo; 
 III – representante legal e funcionários 
responsáveis de provedor de acesso ou serviço 
prestado por meio de rede de computadores, até o 
recebimento do material relativo à notícia feita à 
autoridade policial, ao Ministério Público ou ao Poder 
Judiciário. 
 § 3o As pessoas referidas no § 2o deste artigo 
deverão manter sob sigilo o material ilícito referido. 
 Art. 241-C. Simular a participação de criança ou 
adolescente em cena de sexo explícito ou 
pornográfica por meio de adulteração, montagem 
ou modificação de fotografia, vídeo ou qualquer 
outra forma de representação visual: 
 Pena – reclusão, de 1 (um) a 3 (três) anos, e 
multa. 
Parágrafo único. Incorre nas mesmas penas quem 
vende, expõe à venda, disponibiliza, distribui, 
publica ou divulga por qualquer meio, adquire, 
possui ou armazena o material produzido na forma 
do caput deste artigo. 
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241c
 
 
COMPUTAÇÃO FORENSE 15 
 Art. 241-D. Aliciar, assediar, instigar ou 
constranger, por qualquer meio de comunicação, 
criança, com o fim de com ela praticar ato libidinoso: 
 Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. 
 Parágrafo único. Nas mesmas penas incorre quem: 
 I – facilita ou induz o acesso à criança de material 
contendo cena de sexo explícito ou pornográfica 
com o fim de com ela praticar ato libidinoso; 
 II – pratica as condutas descritas no caput deste 
artigo com o fim de induzir criança a se exibir de 
forma pornográfica ou sexualmente explícita. 
 Art. 241-E. Para efeito dos crimes previstos nesta 
Lei, a expressão “cena de sexo explícito ou 
pornográfica” compreende qualquer situação que 
envolva criança ou adolescente em atividades 
sexuais explícitas, reais ou simuladas, ou exibição 
dos órgãos genitaisde uma criança ou adolescente 
para fins primordialmente sexuais.” 
 Art. 3o Esta Lei entra em vigor na data de sua 
publicação. 
 
Importante diferenciar se o computador é utilizado apenas como ferramenta de apoio 
à prática de delitos convencionais ou se é utilizado como meio para a realização do 
crime. Há crimes onde o computador é utilizado apenas como ferramenta de auxílio 
aos criminosos, como a sonegação fiscal, compra de votos em eleições, tráfico de 
armas e entorpecentes, falsificação de documentos, entre outros. Neste caso o 
computador está associado ao modus operandi (modo de operação, expressão 
utilizada para designar a maneira de agir) do crime. Nesses casos os exames forenses 
nesses equipamentos são uma excelente prova técnica e os laudos elaborados tornam-
se peças fundamentais para o convencimento do juiz na elaboração da sentença. A 
maior parte dos exames forenses se dá nessa modalidade, onde o computador é usado 
como meio para a realização do crime. 
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241d
http://www.planalto.gov.br/ccivil_03/LEIS/L8069.htm#art241e
 
 
COMPUTAÇÃO FORENSE 16 
 
O equipamento usado como meio para a realização do crime ocorre quando o 
computador é a peça central para a ocorrência do delito, pois se o equipamento não 
existisse o crime não seria cometido, tais como “furto” de senhas e de informações, 
distribuição de material ligado a pedofilia, entre outros. 
 
No que concerne à Pedofilia, que é o crime mais recorrente nessa modalidade, é 
importante fazer algumas considerações: “o termo pedofilia é o desvio sexual 
caracterizado pela atração por crianças ou adolescentes sexualmente imaturos, com 
os quais os portadores dão vazão ao erotismo pela prática de obscenidades ou de atos 
libidinosos”. A pedofilia é considerada uma doença e não pode ser confundida com 
pornografia infanto-juvenil, pois pedófila é a pessoa e os arquivos são chamados de 
pornografia infanto-juvenil. Caso o perito fique na dúvida sobre a presença de 
adolescentes em fotos ou vídeos não deve se posicionar, pois a análise forense deve 
ser sempre científica e não considerar aspectos subjetivos. 
 
O eMule é um dos softwares mais utilizados no compartilhamento de arquivos no Brasil 
e infelizmente utilizado na prática desse crime, pois nesse tipo de tecnologia não existe 
a figura do servidor central, devendo sempre ser analisado o equipamento que tem 
esse programa instalado em seu disco rígido. Quando um usuário faz o download de 
um arquivo a partir desse programa, ele automaticamente está compartilhando esse 
arquivo, que pode ser enviado para outros usuários, sem mesmo saberem. Para 
identificar os arquivos automaticamente compartilhados quando da execução do 
programa, o perito deve observar a configuração do programa, se tiver a pasta 
“Incoming” localizada no diretório de instalação do eMule é porque isso ocorreu. O 
eMule também armazena automaticamente no arquivo “known.met” um histórico geral 
sobre o compartilhamento de arquivos, que deve também ser analisado nos exames 
forenses. 
 
Outro programa de compartilhamento é o Kazaa, que tem uma pasta-padrão de 
compartilhamento chamada “My Shared Folder” que também pode registrar um 
histórico de compartilhamento nos arquivos “data1024.dbb” e “data256.dbb”, onde o 
 
 
COMPUTAÇÃO FORENSE 17 
perito deve analisar esses arquivos a fim de descobrir se houve a divulgação de fotos 
e vídeos contendo pornografia infanto-juvenil. 
 
Cabe ressaltar que quando há suspeita de exploração sexual de crianças e 
adolescentes, o perito deve verificar, ainda no local, se esses programas de 
compartilhamento de arquivos estão em execução e se compartilham arquivos dessa 
natureza. Caso seja comprovada a existência de tais arquivos, estes deverão ser 
registrados por meio de fotos, vídeos ou descrição do perito, ocorrendo assim a prisão 
em flagrante do responsável. 
 
Outra ferramenta forense que ajuda na detecção de arquivos contendo pornografia 
infanto-juvenil ainda no local do crime é a “NuDetective”, que realiza a detecção 
automática de nudez em imagens (Image Analysis), verifica se os nomes de arquivos 
têm expressões típicas de pornografia infanto-juvenil (FileName Analysis), além de 
realizar a comparação de valores hash com uma lista predefinida, identificando 
arquivos previamente conhecidos (Hash Analysis). Tais tipos de análise podem ser 
combinados de acordo com a necessidade de cada caso. 
 
AULA 04 - FUNCIONAMENTO E ABSTRAÇÕES DE SISTEMAS DE ARQUIVOS 
 
Entender e se inteirar de como os dados são armazenados e escritos é um dos 
principais fundamentos a serem conhecidos. Os dados podem ser gerados de três 
formas: eletromagnetismo, por transistores elétricos microscópicos (flash) e reflexão 
de luz (CD, DVD etc.). 
 
Os dispositivos de armazenamento servem para diversos propósitos: para curto 
período de armazenamento, para armazenamento temporário e para permanecerem 
armazenados por um longo tempo. 
 
O disk drive é um mecanismo que lê dados obtidos de um disco e escreve dados em 
um outro disco. O disco em um disk drive rotaciona em altas velocidade, e as cabeças 
dentro do disk drive são usadas para ler e escrever dados. 
 
 
COMPUTAÇÃO FORENSE 18 
Existem diferentes tipos de disk drives, por exemplo, hard disk drives - HDD, são 
capazes de acessar hard disks - HDs e um floppy disk drive - FDD, acessam discos 
flexíveis ou disquetes, em inglês, floppy disks. 
 
Os dispositivos de disco podem ser categorizados como: 
• Fixos, podemos dizer daqueles dispositivos de disco, cujos discos não são 
removíveis; 
• Removíveis, podemos dizer daqueles dispositivos cujas mídias são removíveis, 
e.g., fitas magnéticas, disquetes; 
• Discos Magnéticos; 
• Discos rígidos - Hard Disks. 
Atualmente a maioria dos discos rígidos lê e escreve dados magneticamente. Cada 
partícula magnetizada em um disco, que geralmente é feito de alumínio coberto por 
um material magnetizado, é lida como um 1, se não for magnetizado, como um 0. 
Esses discos, geralmente rotacionam a uma velocidade de 7000 rpm a 15000 rpm, 
estes últimos, encontrados principalmente em estações (workstations) profissionais. 
 
Do ponto de vista Forense, quanto mais rápido for o disco rígido, menos tempo será 
necessário para a coleta e análise. 
Usualmente, as pessoas diferenciam os discos rígidos por algumas das suas 
características: 
1. Capacidade do HD; 
2. Interface usada; 
3. Velocidade de rotação; 
4. Tempo de pesquisa - Seek time; 
5. Tempo de acesso; 
6. Tempo de transferência. 
 
Uma vez danificado, o HD geralmente não pode ser reparado. Quando um disco falha, 
a recuperação dos dados apenas se torna possível substituindo o HD por outro e 
acessando o HD danificado como um drive secundário. 
 
 
 
COMPUTAÇÃO FORENSE 19 
Os discos rígidos - (Hard Disk), são organizados para fornecer ao usuário um acesso 
rápido aos dados e programas. Quando um computador usa um dado ou programa, 
este é copiado para um local temporário. Quando uma modificação é feita no arquivo, 
o computador salva o novo arquivo substituindo o anterior pelo novo; os dados são 
salvos magneticamente no HD. 
Os discos possuem cabeças de gravação e leitura que os percorrem à medida que 
estes rotacionam em seu eixo. Fisicamente, os discos são dispostos empilhados em 
uma unidade selada contendo cabeçotes magnéticos de gravação e leitura. Cada disco 
armazena os dados em bandas concêntricas chamadas trilhas que, por sua vez, 
consistem de setores, que vem a ser a menor unidade física de armazenamento. 
Em geral, um setor tem o seu tamanho dimensionado em 512 bytes. 
Os setores contém: 
• ID information: contém o número do setor e a localização que identifica o setor 
no disco e a informação do estado sobre o setor; 
• Campos de sincronização: que ajudam a controladora do drive a guiar o 
processo de leitura; 
• Dados: os dados armazenados nosetor propriamente dito; 
• ECC - Error Correcting Code: que garante a integridade dos dados; 
• Gaps: espaços que dão tempo para o drive controlador continuar um processo 
de leitura. 
 
Os dados são armazenados continuamente nos setores, assim, dependendo do 
tamanho do arquivo, podem existir espaços vazios no setor. Por exemplo, um dado de 
900 bytes, ocuparia 2 setores de 512 bytes, sobrando alguns bytes. 
 
Temos ainda os setores ruins - Bad Sectors, aqueles setores que por motivos diversos, 
geralmente provocados por gastos físicos, ficam indisponíveis para o uso. Os drives 
costumam marcar os setores defeituosos. 
Algumas ferramentas de software, podem ser usadas para restaurar tais setores, como 
Scandisk e Chkdsk, ambos presentes do sistema operacional da Microsoft. 
 
 
 
 
COMPUTAÇÃO FORENSE 20 
Cluster 
A menor unidade lógica de armazenamento é chamada de Cluster. Um sistema de 
arquivos divide o volume de armazenamento do disco em unidades compactas de 
dados visando o melhor uso do disco e a sua performance. Os arquivos são 
armazenados em clusters, contínuos ou não. 
Dependendo do sistema de arquivos que esteja rodando no sistema operacional, cada 
entrada de arquivos é mantida em uma tabela FAT - File Allocation Table. 
 
Os clusters são ligados entre si por números contínuos, de tal forma que um arquivo 
inteiro não tem necessariamente que ocupar o mesmo espaço em disco, podendo estar 
disperso no disco. 
 
Os tamanhos dos clusters dependem do momento do particionamento do volume do 
disco, volumes maiores usam clusters de tamanhos maiores. Para volumes de discos 
rígidos -HD, cada cluster costuma variar seu tamanho entre 4 setores (2048 bytes) e 
64 setores (32768 bytes). Os setores em um cluster são contínuos, assim cada cluster 
representa um espaço de bloco contínuo no disco. Todo espaço não utilizado em um 
cluster é perdido, e clusters de tamanho largo tendem a ter menor taxa de 
fragmentação, mas quantidade de espaço perdido - slack space - maior. 
Slack Space são porções do cluster em um disco que não são preenchidas 
completamente com os dados. Quando um arquivo é alocado em um disco, ele recebe 
um determinado número de clusters para comportá-lo; se o tamanho do arquivo for 
menor que o tamanho do cluster, ainda assim, ele ocupará um cluster completo, 
mantendo o espaço não usado. 
 
Lost Clusters - Clusters perdidos 
Resultado de erros de alocação na tabela FAT do sistema de arquivos, geralmente 
resultado de erros lógicos e não de erros físicos do disco. Ocorrem principalmente por 
interrupções em atividades de leitura e gravação dos arquivos. Os clusters envolvidos 
não são sequenciados corretamente, não ficando ligados aos arquivos; apesar disto, o 
sistema operacional marca estes clusters como em uso pela FAT. É comum o uso de 
 
 
COMPUTAÇÃO FORENSE 21 
ferramentas de diagnóstico de disco, como ScanDisk, que conseguem limpar esses 
clusters perdidos ou transformá-los em arquivos. 
 
 
Particionamento de Disco - Disk Partition 
Chamamos particionamento a criação lógica de drives em um disco. Uma partição é 
um drive lógico que armazena dados. 
Uma partição pode ser primária quando armazena informações do sistema operacional, 
bem como informações necessárias para a inicialização do sistema - booting. 
Também pode ser estendida como primária quando armazena os dados e arquivos no 
disco. 
É possível criar partições escondidas - hidden partitions - no disco e, assim, ocultar 
informações, geralmente entre as partições primária e secundária. Os investigadores 
podem se utilizar de algumas ferramentas para verificar a existência de informações 
armazenadas nestas partições, como X-Ways Forensic, Hex Workshop, entre outros. 
 
Registro Mestre de Boot - MBR - Master Boot Record 
O MBR é o primeiro setor de armazenamento de dados em dispositivos como um disco 
rígido. Também é conhecido como tabela de partição mestre ou setor de partição, pois 
inclui a tabela que contém as informações de todas as partições do disco. O MBR inclui 
um programa que faz a leitura do setor de boot da partição que contém do sistema 
operacional. O arquivo do MBR contém informações sobre todos os arquivos presentes 
no disco, sua localização, tamanho etc. 
 
Vários softwares são capazes de gerenciar o MBR, como o PartitionMagic, que permite 
inclusive que o usuário instale dois ou mais sistemas operacionais no disco. 
 
Ferramentas de Disco Rígido 
Os investigadores de computação forense podem utilizar várias ferramentas de 
softwares para analisar e recuperar dados em discos rígidos. Essas ferramentas devem 
permitir aos investigadores as seguintes tarefas: 
 
 
COMPUTAÇÃO FORENSE 22 
• Realizar pesquisa de textos em espaços de arquivos, em espaços não utilizados 
e em espaços não alocados de um HD; 
• Encontrar e recuperar dados de arquivos que tenham sido apagados; 
• Encontrar dados encriptados; 
• Reparar FATs, tabelas de partição, e registros de boot; 
• Concatenar e dividir arquivos; 
• Analisar e comparar arquivos; 
• Clonar discos rígidos; 
• Criar imagens de drives e backup; 
• Apagar arquivos confidenciais com segurança; 
• Editar arquivos usando editores hexadecimais. 
 
Compreendendo os Sistemas de Arquivos 
Um sistema de arquivos é um tipo de sistema mais eficiente usado para armazenar, 
organizar e acessar dados em um computador. Dispositivos de armazenamento como 
discos rígidos, CD-ROMs, memória flash, discos flexíveis, entre outros, utilizam 
sistemas de arquivos para armazenar dados. 
 
Os usuários podem acessar os arquivos usando uma interface gráfica (GUI) ou 
interface de comando de linha (CLI). Os sistemas de arquivos organizam-se na forma 
de estruturas de árvore de diretórios. 
Um sistema de arquivos deve prover o seguinte: 
• Armazenamento; 
• Categorização hierárquica; 
• Gerenciamento; 
• Navegação; 
• Acesso; 
• Recuperação de dados; 
• Tipos de sistemas de arquivos. 
 
Os sistemas de arquivos podem ser classificados em quatro categorias: 
 
 
COMPUTAÇÃO FORENSE 23 
1. Disk file system: Um sistema de arquivos de disco é usado para armazenar e 
recuperar arquivos em dispositivos de armazenamento, como discos rígidos, que estão 
conectados diretamente ou indiretamente a um computador. São exemplos de 
sistemas de arquivos de disco, FAT16, FAT32, NTFS, HFS, ext2, ISO 9660, MFS e UDF. 
2. Network file system: Um sistema de arquivos de rede é usado para prover 
acesso a arquivos em computadores conectados em uma rede de computadores. São 
exemplos de sistemas de arquivos de rede, NFS, CIFS e GFS. 
3. Database file system: Um sistema de arquivos de bancos de dados é usado para 
prover acesso mais eficiente a arquivos e dados em bancos de dados. Para a 
manipulação dos dados utiliza-se de uma linguagem DML e para pesquisa dos dados 
uma linguagem SQL. 
4. Sistemas de arquivos especiais: Alguns sistemas de arquivos são criados para 
finalidades específicas, com vários propósitos, como protocolos de comunicação entre 
processos de computadores ou espaços temporários de arquivos. São exemplos: FUSE, 
devfs, ParFiSys e wikifs. 
 
Fitas Magnéticas - Magnetic tapes 
A fita magnética é um meio de armazenamento que consiste de uma fina fita de 
plástico coberta por um polímero magnético. Geralmente usada para gravar áudios, 
vídeos e dados digitais, é capaz de armazenar grande quantidade de informação ao 
longo do comprimento da fita, em blocos de registros. O acesso aos dados é 
sequencial. Ainda hoje é usada para realizar backups de discos rígidos. 
 
Discos Flexíveis - Floppy discs 
Também chamados de disquetes, são discos magnéticos de plástico, cobertos por um 
polímero que atribui características magnéticas, portáveis e de baixo custo. São lentos 
comparados aos discos rígidos e sua capacidade de armazenamento é pequena. 
Embora ainda existam, as indústrias abandonaram a sua produção, tendo em vista 
que outras tecnologias,mais eficientes e de maior capacidade de armazenamento, o 
tenham substituído. 
Eram produzidos em três formatos, oito polegadas, 5 1/4 polegadas e atualmente, 
ainda são encontrados os de 3 1/2 polegadas. 
 
 
COMPUTAÇÃO FORENSE 24 
 
Discos Óticos 
Os discos óticos tratam-se de um meio físico resistente, onde são gravados 
microburacos com capacidade reflexiva, de modo que quando um feixe luminoso de 
laser de baixa potência incide sobre o disco, é refletido com intensidades variadas, 
podendo ser interpretado como 0 e 1 pelo sistema de leitura. A grande maioria dos 
discos ópticos é constituída de três camadas: Plástico resistente, onde são colocadas 
identificações visuais, como etiquetas; Liga metálica de alto brilho, onde é refletida a 
luz; Policarbonato, onde são gravados os microburacos e que é revestido por película 
de laca para proteção. 
 
Essa tecnologia permite que sejam gravadas trilhas menores de dados, resultado em 
maior capacidade de armazenamento. Além disso, por não haver contato físico para 
leitura ou gravação, torna o dispositivo menos vulnerável a alterações no ar. 
 
A menor velocidade de rotação dos discos ópticos, em função de sua geometria, torna-
os mais lentos que os discos magnéticos, elevando o tempo de acesso para a ordem 
dos segundos. 
 
 
Disco compacto - Compact Disc (CD) 
 
O CD é um disco de plástico policarbonato contendo uma ou mais camadas de metal 
usado para armazenar dados digitais. É o meio padrão para distribuição de grandes 
quantidades de informação compactadas. Os diâmetros padronizados para os CDs são 
de 120mm, e para os miniCDs de 80mm. 
 
Os CDs contêm ranhuras microscópicas em forma de espiral, cobertas por uma camada 
de alumínio reflexivo, onde os dados são gravados e refletidos ao ser aplicado um laser 
vermelho ao CD. 
 
Tipos de CDs 
 
 
COMPUTAÇÃO FORENSE 25 
Existem diferentes tipos de CDs: 
1. CD-ROM - Compact Disc Read Only Memory - É o mais básico dos discos óticos 
usados em computadores, possui geralmente 700MB de dados e apenas pode ser lido 
pelos drives, não podendo o usuário lhes acrescentar dados. 
2. CD-R - Compact Disc Recordable - É o CD que pode ser usado para gravar 
dados. Entretanto, só aceita uma única gravação, que deve ser feita por um drive 
capaz de gravar dados em discos. 
3. CD-RW - Compact Disc Rewritable - É o CD que aceita múltiplas gravações. 
 
DVD - Digital Versatil Disk 
Os DVDs, também chamados Digital Video Disks, possuem uma capacidade de 
armazenamento muito superior aos CDs, sendo utilizados para armazenar dados 
digitais. Um DVD-5, com single-sided (lado simples) e single-layer (camada simples), 
os mais comuns, tem capacidade de armazenar 4,7GB de dados, enquanto um DVD-
18, com double-sided (lado duplo) e double-layer (camada dupla), admite até 17GB 
de dados. 
 
Semelhantes aos CDs em suas dimensões, possuem além do alumínio, ouro em sua 
constituição e os dados são gravados em uma trilha única e concêntrica, do centro do 
disco para a extremidade. 
 
Tipos de DVD graváveis 
Existem diferentes tipos e DVDs: 
• DVD-R (SL ou DL): Admite apenas uma gravação, com uma capacidade máxima 
de 4,7 GB. 
• DVD+R (SL ou DL): Semelhante ao anterior, porém possui algumas diferenças 
técnicas que o tornam mais confiável. 
• DVD-RW (SL ou DL): É a versão do DVD-R com múltiplas gravações, mas a 
mesma capacidade de armazenamento. Permitem até 1000 gravações. 
• DVD+RW (SL ou DL): É a versão do DVD+R com múltiplas gravações, mas a 
mesma capacidade de armazenamento, com a vantagem de não ser necessário apagar 
o disco inteiro para adicionar novos dados. 
 
 
COMPUTAÇÃO FORENSE 26 
 
HD DVDs 
Originalmente foram chamados de AODs - Advanced Optical Discs e foram criados 
para serem os sucessores dos DVDs, apresentando as mesmas dimensões, porém com 
capacidade de armazenamento até 15 GB. 
 
 
Blu-ray Discs 
É a próxima geração de mídia ótica de patente pertencente à SONY. Os Blu-ray Discs 
possuem capacidade para armazenar áudio e vídeos em definição HD, além de grandes 
quantidades de dados, de 27 GB (single-layer) a 50 GB (double-layer). Não podem ser 
lidos nos mesmos dispositivos que os CDs e DVDs. 
 
Memória Flash 
Ipod 
O Ipod é um dispositivo desenvolvido pela Apple, para reproduzir músicas e vídeos, 
além de ser capaz de armazenar arquivos multimídia, imagens e também servir de 
unidade de armazenamento de arquivos. O dispositivo padrão possui um HD 
especificamente criado para seu tamanho; mas outras versões, como Ipod-mini, se 
utiliza de memória flash, para armazenar seus arquivos. 
Tem a capacidade de manipular diversos tipos de arquivos, e no caso do arquivo não 
possuir compatibilidade é preciso que o mesmo seja convertido utilizando-se, para isto, 
alguns softwares proprietários, como o iTunes em um desktop ou notebook, para 
realizar a conversão e a manutenção dos arquivos no Ipod. 
 
Alguns dos formatos suportados pelo Ipod: 
• MP3; 
• MP4/AAC; 
• AIFF; 
• WAV; 
• Protected AAC. 
 
 
 
COMPUTAÇÃO FORENSE 27 
Algumas características do Ipod: 
• São usados para reproduzir músicas e vídeos; 
• São usados para armazenar imagens; 
• São usados para armazenar endereços e contatos; 
• São usados para jogar games; 
• Possuem vida útil de bateria de até 20 horas; 
• Possuem capacidade de armazenamento de 1GB até 120GB; 
• Funcionam como dispositivo de armazenamento quando conectado a um 
desktop ou notebook, utilizando o sistema de arquivos HSF+ quando conectado a um 
computador Apple, e o sistema FAT32 quando conectado a um computador com 
Windows. 
 
Flash Memory Cards - Cartões de Memória Flash 
Cartões de memória flash são dispositivos de armazenamento de dados constituídos 
de memória flash eletrônica em estado sólido. Eles podem ser usados em câmeras 
digitais, telefones celulares, computadores portáteis, tocadores de música e diversos 
outros tipos de dispositivos. Existem em diversos formatos e tamanhos, com 
capacidades de armazenamento diferentes. Cada setor de um flash memory card pode 
ser apagado e criado um número limitado de vezes. 
 
Secure Digital- SD 
São cartões pequenos e finos, com 32 mm de altura e 24 mm de largura, com 
espessura de 2,1 mm na versão padrão, e na versão miniSD com 21,5 mm de altura, 
20mm de largura e 1,4 mm de espessura. Tem a capacidade de armazenamento 
variando de 8 MB a 4 GB. Aceita tecnologia DRM (Digital Rights Management). 
Normalmente são pré-formatados de fábrica com sistemas de arquivos do tipo FAT32. 
Na versão SDHC, os cartões podem suportar capacidades de armazenamento 
superiores a 4 GB. 
 
O DRM nada mais é que um conjunto de tecnologias implantadas em arquivos de 
computador para impedir que o usuário faça cópias de seu conteúdo. Essa tecnologia 
 
 
COMPUTAÇÃO FORENSE 28 
pode ser utilizada tanto em músicas ou filmes digitais quanto em discos como CDs ou 
DVDs. 
 
CompactFlash- CF 
O CompactFlash - CF é um dos tipos mais antigos de memória flash. Os cartões são 
maiores do que a maioria dos tipos mais recentes, mas este tipo de cartão ainda é 
usado por causa de seu baixo custo e sua grande capacidade de armazenamento. Os 
cartões CF têm capacidades de armazenamento que variam de 2 MB a 100 GB. Existem 
dois tipos de cartões CF: Os do tipo I possuem 3,3 mm de espessura, e os cartões do 
tipo II possuem 5 mm de espessura. 
 
Memory Stick- MS 
Existem vários tipos de Memory Sticks, com capacidades que variam de 4 MB a 32 GB. 
Estes cartões são tipicamente usados em câmeras digitais, PDAs e Playstation Portable 
(PSP). Os Memory Sticks suportam alta velocidade de transferências de dados, com 
uma velocidade máxima de 160 Mbps. 
 
MultiMediaCard- MMC 
Um MMC tem 32 mm de comprimento, 24 mm de largura e 1,4 mm de espessura, de 
modo que é quase do mesmo tamanho que um cartão SD, e suporta a capacidade de 
armazenamento de até 8 GB. O formato SD é realmente um sucessor para o MMC,e 
MMCs podem caber na maioria dos dispositivos que suportam cartões SD. 
 
xD-Picture Card - xD 
Um xD-Picture Card tem 20 mm de comprimento, 25 mm de largura e 1,78 mm de 
espessura, e os suportes de formato xD-Picture Card possuem capacidades de 
armazenamento de até 8 GB. Como o nome indica, estes cartões são usados 
principalmente em câmeras digitais, particularmente aqueles feitos pela Olympus e 
pela Fujifilm, as desenvolvedoras do formato. 
 
SmartMedia- SM 
 
 
COMPUTAÇÃO FORENSE 29 
SM cartões tem 45 mm de comprimento, 37 mm de largura e 0,76 mm de espessura. 
As capacidades de armazenamento de cartões de SM variam de 2 MB a 128 MB. Estes 
cartões podem ser usados com slots PC Card e drives de disquetes de 3½ polegadas 
com o uso de adaptadores. O seu tamanho maior dificulta seu uso na maioria dos 
dispositivos modernos. 
 
 
 
 
Memória volátil e não volátil 
 
Memória e armazenamento, em se tratando de computadores, podem ser entendidos 
como sinônimos por se tratarem ambos de locais internos onde os dados podem ser 
armazenados. 
 
A memória seria usada como um local temporário, de curto prazo, enquanto o 
armazenamento seria usado de forma mais permanente. A diferença entre ambos recai 
na sua volatilidade: na memória RAM, por exemplo, os dados existem apenas enquanto 
a fonte de energia está sendo alimentada, extinguindo-se os dados quando a fonte de 
energia é cortada. Por outro lado, os arquivos armazenados em dispositivos como HDs 
continuam a existir mesmo com o computador desligado, ao que chamamos não 
volátil. 
 
Para a computação forense, ambos os tipos de memória são importantes, entretanto 
possuem técnicas de extração diferentes. 
 
USB Flash Drives 
USB flash drives são dispositivos de armazenamento de dados, baseados em um tipo 
de memória flash que é não volátil, ou seja, não necessita de energia para manter os 
dados armazenados. Esse tipo de memória é chamada NAND-type flash memory. 
 
 
 
COMPUTAÇÃO FORENSE 30 
Também conhecidos como pen drives, thumb drives, jump drives, USB keys, USB sticks 
e key drives, são dispositivos integrados à porta USB 1.1 ou 2.0, com rápida 
transmissão de dados; de pequeno tamanho, leves e de fácil acoplamento, com 
tecnologia RW, possuem capacidade típica de 8 MB a 64 GB. São atualmente os 
substitutos dos disquetes (floppy disks), portáteis e compatíveis com vários sistemas 
operacionais, como o Linux, MAC OS e Windows. 
São constituídos de um pequeno circuito impresso, envolto por plástico ou metal, com 
um conector USB para fácil acoplamento. Não requer bateria, obtendo a energia 
necessária às suas funções diretamente do equipamento ao qual está acoplado. 
 
 
 
Principais componentes de um USB flash drive: 
• Conector USB macho, tipo A - (Male type-A USB connector); 
• Controladora USB de armazenamento em massa - (USB mass storage 
controller); 
• Jumpers e pinos de teste; 
• Chip de memória flash não volátil - (NAND flash memory chip); 
• Oscilador de cristal - (Crystal oscillator); 
• LED; 
• Seletor de proteção à escrita - (Write-protect switches). 
 
Principais usos dos USB flash drives: 
• Transferência de dados entre um computador e outro; 
• Para executar tarefas de administração do sistema; 
• Para transferir aplicações; 
• Para armazenar músicas; 
• Para dar boot em sistemas operacionais. 
 
 
AULA 05 - DADOS, INFORMAÇÕES E EVIDÊNCIAS 
 
 
 
COMPUTAÇÃO FORENSE 31 
Podemos entender a Computação forense como o uso da ciência e da tecnologia para 
investigar e estabelecer fatos em um tribunal civil ou criminal. 
A espionagem corporativa, as imagens ilícitas, as violações de políticas corporativas, 
os atentados de hacker - tais situações sempre poderão ser encontradas no 
gerenciamento da tecnologia de informação, e a primeira frase que geralmente vem 
ao pensamento dos gestores é “o que aconteceu?”. 
 
Ao aplicarmos corretamente a Computação forense conseguimos responder a esta 
questão de forma técnica legal e analítica. Antes de tudo, devemos entender que a 
Computação forense é um processo legal e, dependendo da investigação que será 
feita, devemos estar cientes de uma série de conceitos legais e procedimentos que 
irão balizar os passos do investigador forense. 
 
Os procedimentos a serem adotados ao se conduzir uma investigação devem ser 
claros, tendo em vista que cada investigação possui um grupo próprio de armadilhas 
que precisam ser evitadas. No mundo corporativo podemos dividir as investigações 
em quatro categorias: furto de propriedade intelectual, violações legais por 
empregados ou corporações - prevaricação, ataques externos e litígios civis. 
 
Tipos de Investigação 
Furto de propriedade intelectual 
Tipo mais comum de investigação forense, trata do furto de propriedade intelectual 
de uma empresa e geralmente acontece quando um empregado, que têm acesso a 
informações protegidas e confidenciais, vem a ser demitido e passa a trabalhar no 
concorrente revelando tais informações. Dependendo da natureza da informação, o 
uso desta pode levar a graves prejuízos para a empresa que teve sua propriedade 
intelectual furtada. Geralmente a investigação se inicia internamente, mas pode 
tornar-se um litígio civil, passando a seguir não mais a políticas internas da empresa 
mas a legislação em vigor, devendo ser adotados criteriosos procedimentos para 
garantir a validade das evidências coletadas. 
 
Violações legais por empregados ou corporações - prevaricação 
 
 
COMPUTAÇÃO FORENSE 32 
Em virtude dos suspeitos poderem ser empregados ou funcionários violando leis ou as 
políticas internas das empresas, as investigações contra violações por parte de 
companhias, de indivíduos, de grupo de empregados, investigações em níveis 
governamentais ou de níveis hierárquicos dentro de uma empresa, geralmente 
requerem um status de sigilo. A natureza secreta da investigação a torna diferente das 
investigações tradicionais e a coleta de evidências deve procurar preservar o sigilo da 
investigação. Como geralmente o resultado dessas informações pode ser usado em 
casos criminais, os métodos adotados devem ser rigorosos e o acesso a eles deve ser 
restrito. O simples conhecimento que uma investigação está em andamento poderia 
fazer com que os suspeitos destruíssem deliberadamente as evidências, tornando a 
investigação mais difícil ou impossível de ser concluída. 
 
Ataques externos 
A investigação de uma invasão externa a um sistema causada por um ataque de 
hackers geralmente tem no tempo de duração do ataque a informação essencial. Esse 
tipo de ataque é feito por um indivíduo de fora da companhia, que penetra em sua 
rede e explora os dados para obter informações de clientes, dados financeiros como 
o de cartões de crédito, navegar nesta rede propriamente dita, em busca de vantagens 
comerciais, tentativas de retaliação ou pelo simples prazer de fazê-lo,. A investigação 
geralmente se inicia ao mesmo tempo em que as medidas de remediação dos prejuízos 
ocorrem com o objetivo de evitar que a reputação da empresa seja afetada. Nestes 
casos a documentação dos passos tomados torna-se crítica e uma importante medida 
para assegurar a preservação das evidências. 
 
Litígios civis 
A investigação forense que ocorre em litígios civis geralmente é conduzida como parte 
de um processo para a comprovação de evidências, através da análise e formulação 
de laudos que possam servir de prova ou refutação de um direito pretendido por 
empresas que estejam processando outras para, por exemplo, comprovar o uso de 
informações privilegiadas que tenham sido furtadas. 
 
O papel do Investigador 
 
 
COMPUTAÇÃO FORENSE 33 
O que faz um bom investigador forense? A habilidade de ser criativo na descoberta de 
evidências, o rigor e a disciplina aplicados durante processo e a compreensão dos 
quesitos legais envolvidos ao longo do processo, são fatores essenciais para 
determinaro papel do investigador; entretanto, as seguintes premissas devem ser 
reconhecidas: 
1. Isenção entre as partes envolvidas; 
2. Qualificação e competência necessária; 
3. Uso investigativo da evidência; 
4. Viabilidade investigativa. 
 
Elementos de um bom processo investigativo 
Além dos aspectos de competência técnica, torna-se imperativo que o investigador 
desenvolva procedimentos nos quais os aspectos seguintes devem ser observados: 
1. Validação cruzada dos resultados; 
2. O manuseio apropriado provas; 
3. Integralidade de investigação; 
4. Gerenciamento de arquivos; 
5. Competência técnica; 
6. Definição explícita e justificativa para o processo; 
7. Conformidade legal; 
8. Flexibilidade. 
 
Identificando as evidências digitais 
Provas digitais podem ser quaisquer informações armazenadas ou transmitidas de 
forma digital. Pelo fato dos dados não poderem ser visualizados ou tocados 
diretamente, torna-se complicado identificar a prova digital como real ou virtual; há o 
questionamento se os dados presentes em um disco ou em outro meio de 
armazenamento fisicamente existem, ou se não representam uma informação real. Os 
tribunais norte-americanos aceitam a evidência digital como evidência física, ou seja, 
os dados digitais são tratados como objetos tangíveis, tal como um documento de 
papel, uma lesão física evidente, uma arma de fogo, relacionados a um incidente 
criminal ou civil. Nosso país ainda não possui um conjunto de leis que regulem todo o 
 
 
COMPUTAÇÃO FORENSE 34 
tipo de evidência digital como fazem os norte-americanos, por esse motivo 
observamos as regras criadas pelas agências daquela sociedade e importamos seus 
procedimentos. 
A seguir estão relacionadas algumas das tarefas gerais que os investigadores devem 
realizar quando se trabalha com provas digitais em um processo: 
1. Identificar informações digitais ou artefatos que podem ser usados como prova; 
2. Recolher, preservar e documentar provas; 
3. Analisar, identificar e organizar provas; 
4. Reconstruir provas ou repetir uma situação para verificar se os resultados 
podem ser reproduzidos fielmente. 
 
Identificação 
Esta primeira fase do processo detalha o que deve ser feito quanto se é apresentado 
a um caso onde uma ação deve ser determinada. Podemos dividir em cinco passos 
fundamentais: 
1. Determinar o escopo e a quantidade de dados; 
2. Identificar os repositórios de dados; 
3. Determinar a estratégia de preservação; 
4. Estabelecer a cadeia de custódia; 
5. Visualizar de forma segura os dados. 
 
Coleta e Preservação 
Nesta fase, o perito irá coletar os dados e armazená-los de maneira apropriada para 
exames forenses, além de verificar a sua validade. Podemos dividir em quatro os 
passos mais importantes: 
1. Identificar a fonte de dados (source media); 
2. Selecionar os parâmetros de aquisição; 
3. Criar a imagem forense; 
4. Autenticação criptográfica da imagem forense. 
 
Análise 
 
 
COMPUTAÇÃO FORENSE 35 
Nesta fase os dados contidos na imagem forense serão verificados em busca de 
evidências necessárias, que comprovem ou não o cometimento do crime. O que se 
deve ter em mente é a completude da investigação, não deixando nada sem 
verificação. 
 
Produção e Apresentação 
É a fase final do processo, onde os resultados são apresentados na forma de laudos e 
notas, no caso de processos criminais, na forma da legislação vigente. 
 
Algoritmos de criptografia e Hashing 
Para se garantir que a evidência será preservada, uma cópia dela deve ser criada no 
processo chamado de clonagem. O clone deverá ser uma imagem fiel do original e, 
para que isso seja comprovado em um tribunal, utilizamos ferramentas que geram um 
código hexadecimal que representa o conjunto de dados copiados. A mais 
insignificante alteração em um HD gerará um código de HASH totalmente diferente. 
Os algoritmos mais utilizados em computação forense são os seguintes: 
1. MD5; 
2. SH1; 
3. SH2. 
 
AULA 06 – ESTEGANOGRAFIA 
 
Ao longo dos anos, as ferramentas forenses vêm sendo desenvolvidas e melhoradas 
de modo crescente. Na mesma linha, ferramentas e técnicas antiforenses, criadas para 
burlar investigações e geralmente usadas por criminosos, terroristas e até corporações 
em busca de espionagem industrial, acompanham esta evolução na mesma 
velocidade. 
Pode-se definir o termo antiforense como a abordagem para manipular, apagar ou 
ofuscar um dado digital, de modo a tornar o seu exame difícil, dispendioso ou 
virtualmente impossível. 
 
Ocultação de Dados 
 
 
COMPUTAÇÃO FORENSE 36 
As técnicas de ocultação vão das mais simples às mais complexas. Mudar o nome dos 
arquivos e extensões, salvar o arquivo em uma profunda cadeia de subdiretórios não 
relacionados, ocultar arquivos dentro de outros arquivos e encriptação de dados são 
algumas das técnicas, sendo as duas últimas as mais trabalhosas para a computação 
forense. 
 
Assinatura de arquivos 
Algumas ferramentas forenses são capazes de verificar se a assinatura do arquivo, que 
vem a ser uma informação deixada pelo aplicativo gerador do arquivo identificando 
sua origem e tipo, está ou não presente. Por exemplo, um arquivo do tipo GIF possui 
em seu cabeçalho a informação GIF8 como sua assinatura; deste modo, uma alteração 
no nome ou extensão do arquivo não altera a sua assinatura, sendo possível recuperar 
o arquivo original e a evidência. 
 
Métodos de compressão 
A compressão permite que o conteúdo de um arquivo tenha o seu tamanho de 
armazenamento e transmissão reduzidos por algoritmos específicos. A maioria das 
ferramentas forenses são capazes de identificar a compressão, porém não são capazes 
de analisar o arquivo comprimido, sendo necessário realizar a descompressão do 
arquivo antes de examiná-lo. 
 
Slack Space 
Slack Space trata-se dos dados remanescentes de um setor que foi sobrescrito e não 
ocupado plenamente, sendo possível que informações fragmentadas do arquivo 
anterior tenham sido preservadas neste espaço, o que possibilitaria examiná-las. 
Algumas técnicas antiforenses são utilizadas de modo legítimo para protegerem dados 
pessoais, entretanto necessitam ser evidenciadas essas técnicas para que a análise 
forense proceda sem dificuldades. 
 
Encriptação 
Na maioria das vezes, o arquivo a ser encriptado já esteve presente no disco em sua 
forma normal, o que não descarta a possibilidade de baixar o arquivo já encriptado, 
 
 
COMPUTAÇÃO FORENSE 37 
por exemplo, através de anexos de um e-mail. No caso mais geral, o arquivo poderá 
estar presente no disco de três formas: o arquivo original pode estar presente no disco; 
o seu conteúdo como arquivo deletado nos setores não alocados ou em setores 
perdidos e slack spaces; e no arquivo original no disco de swap. 
 
A encriptação pode ser feita com algoritmos de chave simétrica e de chave assimétrica. 
Algumas ferramentas forenses podem detectar através de testes entrópicos, a 
presença de arquivos encriptados e, com o uso de tabelas de chaves de algoritmos 
públicos, testar de forma randômica possíveis valores para descobrir a chave de 
encriptação. 
 
Às vezes se faz necessário o ataque de força bruta, técnica que consiste do uso de 
algoritmos que tentam quebrar a chave ou a senha destes arquivos encriptados, 
usando um dicionário pré-compilado de valores. 
 
A encriptação com chave assimétrica é mais forte que aquela com chave simétrica por 
conter duas chaves, uma para encriptar o arquivo e outra para decriptá-lo e assim ter 
acesso ao seu conteúdo. Neste caso, para acessar o arquivo, esta segunda chave deve 
ser descoberta antes da primeira chave. 
O ataque para a quebra de senhas de arquivos encriptados pode levar dias ou meses 
de intenso processamento, até mesmo com técnicas de uso de computadores em rede, 
devendo ser avaliada esta linha de investigação. 
 
Neste caso, ao se verificar a presença de evidências que tenham sido encriptadas, osinvestigadores podem simplesmente solicitar ao dono e suspeito a chave de acesso, o 
que pode ser negado, evidenciando neste caso a suspeita sobre o cometimento do 
delito. 
 
Esteganografia 
Consiste na habilidade de esconder dados dentro de outros arquivos. Existem 
ferramentas de esteganografia que conseguem incluir dados em arquivos de imagem 
JPGs e arquivos de áudio, por exemplo. A presença de programas de esteganografia 
 
 
COMPUTAÇÃO FORENSE 38 
instalados no computador ou no registro de log do sistema alertam para a existência 
de arquivos com dados ocultos. 
 
Destruição dos dados 
Wiping Data – Deleção segura 
Trata-se de uma forma de deleção em que caracteres repetidos ou sequencias são 
gravados no disco após uma deleção normal de arquivos, onde os setores não 
alocados, slack spaces e setores em branco ou perdidos, recebem novos dados. A 
presença destes caracteres repetidos ou sequencias podem ser detectados por 
ferramentas forenses, indicando o processo de wiping data. 
 
Outra indicação desta atividade é ausência de arquivos deletados no disco. Em geral 
verifica-se a presença de aplicativos, que realizam essa deleção segura, instalados no 
computador ou, caso tenham sido deletados, no registro de log do sistema. Outro 
indicativo é a presença de arquivos com extensões desconhecidas e sequenciais, sem 
nenhum conteúdo aparente. 
 
AULA 07 - ANÁLISE DE ARTEFATOS 
 
No processo de uso do Windows, muitos arquivos são criados, deletados, modificados 
e acessados. Alguns desses padrões ou modificações são únicos e podem certamente 
denunciar que uma ação ocorreu naquele dispositivo. Conclusões precisas poderão 
não ser obtidas se falharmos em determinar ou não a existência desses artefatos, e, 
dessa forma, não dar o necessário suporte legal ao caso. A seguir, alguns dos principais 
artefatos do Windows. 
 
Ao contrário do que muitos podem pensar, quando movemos nossos arquivos 
indesejados para a lixeira, não o apagamos fisicamente, o sistema apenas marca o 
arquivo como não alocado. Neste caso o cluster ainda contém o arquivo que pode ser 
recuperado, mas não acessado. A lixeira do Windows (Recycle Bin) quando recebe um 
arquivo, seja pelo arrasto ou pelo pressionamento da tecla delete, nos permite 
recuperar os arquivos. 
 
 
COMPUTAÇÃO FORENSE 39 
 
Recycle Bin 
Podemos eliminar os arquivos indesejados de três maneiras no Windows: usando uma 
GUI, como o Explorer; movendo ou arrastando o arquivo até a lixeira; ou clicando no 
botão direito do mouse e escolhendo a opção delete. O benefício de se colocar um 
arquivo na lixeira é que o arquivo pode ser recuperado, não sendo possível acessá-lo 
apesar de estar visível ao sistema. 
 
No caso da lixeira (rRecycle Bin) ser esvaziada, torna-se mais difícil restaurar o arquivo 
e na maioria das vezes, impossível. 
 
É possível eliminar um arquivo indesejado sem passar pela recycle Bin. Neste caso não 
é possível a sua recuperação com essa ferramenta. 
 
Info Records 
Assim que entra na lixeira, um arquivo do tipo INFO é criado contendo o caminho, 
nome completo e outros valores que, mesmo depois do arquivo ter sido eliminado, 
podem ser recuperados por ferramentas forenses, evidenciando que o arquivo este 
presente naquele dispositivo. 
 
HIBERFILE.SYS 
Em algumas ocasiões os computadores são colocados em um estado de hibernação e, 
neste caso, informações sobre o estado ativo em memória são armazenados em disco, 
podendo ser recuperados. São três os estados quando o computador adormece: Sleep, 
Hibernation, Hybrid Sleep.Sleep mode é o estado no qual conserva-se ainda alguma 
energia desviada para a memória RAM, permitindo-se retornar mais rapidamente ao 
estado ativo. A maior parte dos dados são preservados na memória RAM. 
 
Hibernation mode é o estado típico de laptops para conservar energia. Neste modo, 
todos os dados da memória RAM são gravados em disco. 
 
 
 
COMPUTAÇÃO FORENSE 40 
Hybrid Sleep é uma mistura dos modos anteriores, especialmente para desktops, 
mantendo um mínimo de carga aplicada à memória RAM (preservando os dados e 
aplicativos) e escrita de dados em disco. 
 
REGISTER FILES - Registro do Windows 
O arquivo de registro do Windows desempenha um papel crucial nas operações do PC. 
O registro rastreia as ações dos usuários, as configurações do sistema e as suas 
preferências. Do ponto de vista forense, o registro do Windows pode fornecer 
inúmeras evidências, desde termos pesquisados pelos usuários a programas que foram 
instalados, acessados e removidos, bem como páginas de sites visitados e outros 
dados. 
 
O registro é organizado em uma estrutura de árvore de diretórios, pastas e arquivos. 
São necessárias ferramentas específicas, como REGEDIT do próprio sistema, para 
traduzir as informações presentes no registro. As ferramentas forenses conseguem 
acessar e analisar essas informações. As terminologias a seguir definem o seu 
funcionamento: 
Registro – coleção de arquivos contendo informações do usuário e do sistema; 
Editor de registro – Conjunto de ferramentas do próprio sistema para visualizar e 
modificar dados no registro, como REGEDIT e REGEDIT32; 
HKEY – O Windows divide o registro em categorias como o prefixo HKEY, dependendo 
da versão do sistema podendo variar de 5 a 6 categorias; 
KEY – Cada HKEY contém pastas que fazem referências às chaves. Cada chave (KEY), 
pode conter pastas ou valores; 
SUBKEY – Trata-se de uma chave abaixo de outra chave, similar a um subdiretório; 
BRANCH – Uma chave (KEY) e o seu conteúdo que fazem um ramo em um registro; 
VALUE (Valor) – Trata-se do nome e do valor de uma chave similar a um arquivo e 
ao seu conteúdo; 
DEFAULT VALUE – Todas as chaves possuem um valor padrão, que pode ou não 
conter dados; 
 
 
COMPUTAÇÃO FORENSE 41 
HIVES (zonas) – são ramos (BRANCHES) específicos em chaves HKEY_USER e 
HKEY_LOCAL_MACHINE. São exemplos de HIVES em 
HKEY_LOCAL_MACHINE\Software, SAM, SECURITY, COMPONENTS e SYSTEM. 
 
É importante reconhecer alguns dos arquivos de registro, sua localização e função, 
podendo haver diferenças entre as versões do SO; por exemplo, no Windows 9X, os 
arquivos system.dat e user.dat, são arquivos de registro. 
Da mesma forma, reconhecer algumas das HKEYS e suas funções irá economizar muito 
tempo do trabalho do investigador forense. As principais são: 
• HKEY_CLASS_ROOT; 
• HKEY_CURRENT_USER; 
• HKEY_LOCAL_MACHINE; 
• HKEY_USERS; 
• HKEY_CURRENT_CONFIG; 
• SPOOL DE IMPRESSÃO. 
 
Em algumas investigações, as atividades de impressão de um suspeito podem ser 
relevantes. A impressão também pode deixar algumas pistas para os investigadores 
seguirem. Você provavelmente já percebeu que há um pouco de atraso depois que 
você clica em “Imprimir”. Este atraso é uma indicação de um processo chamado spool. 
Essencialmente, o spool armazena temporariamente o trabalho de impressão até que 
ele possa ser impresso em um momento que é mais conveniente para a impressora 
(TechTarget). 
 
Durante este procedimento spool, o Windows cria um par de arquivos 
complementares. Um é o arquivo de Meta Dados avançado (EMF), que é uma imagem 
de documento a ser impresso, o outro é o arquivo de spool, que contém informações 
sobre o próprio trabalho de impressão. Há um arquivo de cada tipo para cada trabalho 
de impressão. Que tipo de informação podemos recuperar a partir do arquivo de spool? 
O arquivo de spool (.spl) nos diz coisas como o nome da impressora, nome do 
computador, bem como a conta de usuário que enviou o trabalho para a impressora. 
 
 
COMPUTAÇÃO FORENSE 42 
 
METADADOS 
Metadados é mais frequentemente definido como dados sobre dados. É provável que 
você já tenha visto metadados em algum ponto, mesmo que você possa não ter 
reconhecido o que estava olhando. Existem dois tipos de metadados: aplicação e 
arquivo de sistema. 
 
Lembre-se, o sistema de arquivos mantém o controle de nossosarquivos e pastas, 
bem como de algumas informações sobre eles. Metadados do sistema de arquivos 
incluem a data e quando um arquivo ou pasta foi criado, acessado ou modificado. Se 
você clicar com o botão direito em "Propriedades" de algum arquivo, poderá ver as 
datas/ horas de criação e acesso. 
 
 
 
 
THUMBNAIL CACHE 
Para tornar mais fácil de procurar as imagens no seu computador, o Windows cria 
versões menores de suas fotos chamado thumbnails, que são apenas versões menores 
de suas contrapartes maiores. Estas miniaturas são criadas automaticamente pelo 
Windows quando o usuário seleciona a visualização de "Thumbnail" ao usar o Windows 
Explorer. O Windows cria um par de diferentes tipos de arquivos em miniatura, 
dependendo da versão que está sendo usado. O Windows XP cria um arquivo chamado 
thumbs.db., o Microsoft Vista e o Windows 7costumam criar um arquivo semelhante 
chamado thumbcache.db. O interessante é que mesmo após o arquivo ter sido 
deletado a miniatura permanece no disco, podendo servir de evidência. 
 
MOST RECENTLY USED – MRU 
O MRU são links que servem como atalhos para aplicativos ou arquivos que têm sido 
recentemente utilizados. Você pode ver isso em ação clicando no botão “Iniciar” do 
Windows, ou através do menu “arquivo” em muitas aplicações. 
 
 
 
COMPUTAÇÃO FORENSE 43 
ARQUIVOS DE LINKS 
Arquivos de link são simplesmente atalhos que apontam para outros arquivos. Arquivos 
de link podem ser criados por nós, ou mais frequentemente pelo computador. Você 
pode ter criado um atalho na sua área de trabalho para o seu programa favorito ou 
pasta. O próprio computador os cria em vários lugares diferentes. 
 
Arquivos de ligação têm as suas próprias data e hora mostrando quando foram criados 
e usados pela última vez. A existência de um arquivo de ligação pode ser importante. 
Ele pode ser usado para mostrar que alguém realmente pode ter aberto o arquivo em 
questão, e também pode ser usado para refutar a afirmação de que um arquivo ou 
pasta nunca existiu. Arquivos de ligação também podem conter o caminho do arquivo 
completo, mesmo se o dispositivo de armazenamento não está ligado, como um pen 
drive. 
 
 
 
 
 
AULA 08 - PRINCIPAIS FONTES DE DADOS PERICIAIS E COLETA DE 
EVIDÊNCIAS DIGITAIS 
 
Nenhuma evidência descoberta em uma cena de crime chegará a um júri a menos que 
tenha sido devidamente recolhida pelo responsável por investigar a cena do crime, 
com o devido mandado e auto de apreensão. Tão importante quanto localizar a 
evidência é documentar todo o processo. Esta documentação servirá de prova em 
tribunal. 
 
Localizar a evidência na cena do crime é o início de tudo e pode ser difícil; 
especialmente quando as evidências podem estar ocultas em dispositivos menores que 
cartões de memória e semelhantes, podendo estar escondidas em uma infinidade de 
lugares. O perito pode ser confrontado com uma variedade de dispositivos e 
 
 
COMPUTAÇÃO FORENSE 44 
armazenamentos de mídia, podendo encontrar um ou mais computadores com e sem 
fio, ou dispositivos como telefones celulares. 
 
Todas as ações durante o processo de coleta devem ser bem documentadas. Notas, 
fotos, vídeo e esboços para gravar nossas ações e refrescar nossas lembranças. Como 
a evidência digital é extremamente volátil, a preservação é primordial, por isso uma 
imagem forense ou clone é feita da mídia suspeita quando possível, e o exame é 
realizado no clone e não no arquivo original. 
 
Existem dois tipos de aquisição de dados: aquisições estáticas e aquisições ao vivo 
(live). 
 
Os processos e os requisitos de integridade de dados para aquisições estáticas e ao 
vivo são os mesmos. A única desvantagem com aquisições ao vivo é não permitir 
executar processos repetitivos, que são fundamentais para a coleta de evidências 
digitais. Com aquisições estáticas, se preservada a mídia original, fazer uma segunda 
aquisição estática deve produzir os mesmos resultados. O objetivo deve ser o de 
manter os dados no disco original inalterados, não importa quantas vezes uma 
aquisição for feita. 
 
Muitas vezes, o perito tem apenas uma chance para criar uma cópia confiável de 
evidência de dados do disco com uma ferramenta de aquisição. Embora essas 
ferramentas sejam geralmente confiáveis, devem tomar-se medidas para adquirir uma 
imagem que possa ser verificada e evitar possíveis falhas, sendo comum o uso de 
várias ferramentas e métodos de aquisição. 
 
FORMATOS DE ARMAZENAMENTO DE EVIDÊNCIAS DIGITAIS 
As ferramentas de aquisição realizam uma cópia ou clonagem (que pode ser por setor 
bit-por-bit) e o escreve para um arquivo de imagem. Os dados coletados por uma 
ferramenta de aquisição de computação forense são armazenados como um arquivo 
de imagem em um dos três formatos mais conhecidos. Dois formatos são de código 
aberto e o terceiro é proprietário. Cada fornecedor inclui características únicas, por 
 
 
COMPUTAÇÃO FORENSE 45 
isso vários formatos proprietário diferentes estão disponíveis. Dependendo do formato 
proprietário, muitas ferramentas de análise de computação forense podem ser capazes 
de ler outros formatos proprietários, mas a maioria delas consegue criar uma imagem 
do disco em um formato open-source mais antigo, conhecido como RAW. Um novo 
formato de código-fonte aberto, Formato Forense Avançado (AFF), está começando a 
ganhar o reconhecimento na computação forense. 
 
No passado, havia apenas uma maneira prática de copiar dados para efeitos de prova, 
preservação e análise. Examinadores realizavam uma cópia bit-a-bit de um disco para 
um outro disco do mesmo tamanho ou maior. Como uma maneira prática para 
preservar evidências digitais, fornecedores (e alguns utilitários do sistema operacional, 
como o Linux comando / UNIX dd) tornaram possível a escrita de dados em fluxo de 
bits para arquivos. Esta técnica de cópia cria arquivos planos sequenciais simples de 
um drive suspeito ou de um conjunto de dados. A saída destes arquivos é conhecida 
como formato RAW. 
 
As vantagens do formato RAW são as transferências de dados mais rápidas e a 
capacidade de ignorar pequenos erros de leitura de dados na unidade de origem. Além 
disso, a maioria das ferramentas de computação forense pode ler o formato RAW, 
tornando-se um formato universal de aquisição para a maioria das ferramentas. Uma 
desvantagem do formato RAW é que ele requer espaço de armazenamento, tanto 
quanto o disco original ou conjunto de dados. Outra desvantagem é que algumas 
ferramentas de formato RAW, tipicamente versões freeware, podem não coletar (bad 
sectors) na unidade de origem, o que significa que têm um baixo nível de repetição 
de leitura nos pontos falhos da mídia em uma unidade. Muitas ferramentas comerciais 
têm um nível muito maior de repetição de leitura, o que dá maior garantia que todos 
os dados são coletados. 
 
Diversas ferramentas de aquisição comercial podem produzir aquisições no formato 
RAW e normalmente fornecem uma verificação de validação usando as seguintes 
funções de hash, Verificação de Redundância Cíclica (CRC-32), Message Digest 5 
 
 
COMPUTAÇÃO FORENSE 46 
(MD5) e Secure Hash Algorithm (SHA-1 ou mais recente). Esta validação, no entanto, 
costuma criar um arquivo separado que contém o valor hash. 
 
FORMATOS PROPRIETÁRIOS 
A maioria das ferramentas de computação forense comerciais têm seus próprios 
formatos para coleta de evidências digitais. Formatos proprietários normalmente 
oferecem vários recursos que complementam a ferramenta de análise do fornecedor, 
tal como as seguintes: 
• A opção para comprimir ou não compactar arquivos de imagem de uma unidade 
suspeita, poupando espaço na unidade de destino; 
• A capacidade de dividir uma imagem em arquivos menores segmentados para 
fins de arquivamento, tal como em CDs ou DVDs, com verificações de integridade de 
dados integrados em cada segmento; 
• A capacidade de integrar metadados para