PERÍCIA FORENSE COMPUTACIONAL: Análise de Vestígios Voláteis e Não Voláteis para o Laudo Pericial

Prévia do material em texto

UFPI – UNIVERSIDADE FEDERAL DO PIAUÍ
GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
MATEUS TITO BURNETT
PERÍCIA FORENSE COMPUTACIONAL: ANÁLISE DE VESTÍGIOS VOLÁTEIS
E NÃO VOLÁTEIS PARA O LAUDO PERICIAL
TERESINA – PI
2020
Mateus Tito Burnett
PERÍCIA FORENSE COMPUTACIONAL: Análise de Vestígios Voláteis e Não
Voláteis para o Laudo Pericial
Trabalho de Conclusão de Curso apresentado ao
Curso de Ciência da Computação da
Universidade Federal do Piauí (UFPI) como
requisito parcial à obtenção do título de
Bacharel em Ciência da Computação.
Orientador: Prof. Dr. Carlos André Batista de
Carvalho
TERESINA – PI
2020
RESUMO
O avanço tecnológico nas últimas décadas proporcionou uma facilidade ao acesso às
máquinas e à Internet, ambas essenciais para a produtividade na sociedade moderna. Por outro
lado, são ferramentas férteis para criminosos cometerem delitos, permanecendo
frequentemente impunes. Entretanto, tais delitos podem deixar vestígios digitais, que, se
analisados de forma técnica, podem produzir evidências indispensáveis a uma investigação e
uma futura ação penal.
Este trabalho de conclusão de curso descreve as etapas da perícia forense
computacional e seus principais conceitos, apresentando de forma prática, ferramentas de
análise de vestígios em discos rígidos, memória RAM, arquivos e redes TCP/IP, fazendo
comparativos de desempenho, a fim de melhorar os resultados obtidos em uma investigação.
Por fim, documenta-se em um laudo pericial, garantindo dados íntegros que podem
influenciar em uma futura decisão judicial.
Palavras-chaves: forense computacional, vestígios digitais, laudo pericial.
ABSTRACT
Technological advances in recent decades have provided easy access to machines and
the Internet, both essential for productivity in modern society. On the other hand, they are
fertile tools for criminals to commit crimes, often remaining unpunished. However, such
offenses can leave digital traces, which, if analyzed in a technical manner, can produce
essential evidence for an investigation and future criminal action.
This course conclusion work describes the stages of computer forensic expertise and
its main concepts, presenting in a practical way tools, for analyzing traces on hard disks,
RAM, files and TCP/IP networks, making performance comparisons in order to improve the
results obtained in an investigation. Finally, it is documented in an expert report, guaranteeing
complete data that can influence a future judicial decision.
Keywords: computational forensics, digital traces, forensic report.
LISTA DE FIGURAS
Figura 1: Etapas da perícia forense computacional. Fonte: Traduzido de [7]..........................13
Figura 2: Equipamento Tableau T35u Forensic Bridge...........................................................18
Figura 3: Geração de códigos Hash sobre três arquivos de texto.............................................20
Figura 4: Captura de tráfego utilizando o tcpdump...................................................................21
Figura 5: Estado e informações das portas TCP e UDP com o uso do TCPView.....................23
Figura 6: Histórico de páginas web com o uso do BrowsingHistoryView................................24
Figura 7: Histórico de conexão de dispositivos com o uso do USBDeview..............................25
Figura 8: Abertura de um arquivo em hexadecimal..................................................................28
Figura 9: Execução do comando para extração dos dados do arquivo Thumbs.db...................31
Figura 10: Imagens extraídas pela ferramenta vinetto e o relatório “index.html”....................31
Figura 11: Exibição do relatório “index.html” gerado pelo vinetto..........................................32
Figura 12: Geração de um dicionário de palavras com a ferramenta Crunch...........................33
Figura 13: Carregamento dos arquivos com os Hashes das senhas..........................................35
Figura 14: Recuperação dos usuários e senhas de vários sites..................................................36
Figura 15: Execução do software MiniTool Partition Wizard para wipe de disco...................46
Figura 16: Execução do software Hide & Reveal para ocultação de uma mensagem..............48
Figura 17: (a) Imagem original; (b) Imagem hospedeira ocultando as mensagens secretas.....49
Figura 18: Análise em bytes da imagem original (“branquinha.bmp”) e da hospedeira 
(“hidden_branquinha.bmp”)......................................................................................................50
Figura 19: (a) Tamanho da imagem original e sua data de criação; (b) Imagem hospedeira.. .51
Figura 20: Geração do código Hash da imagem original e da hospedeira................................51
Figura 21: Exibição da mensagem secreta e dos comentários ocultados na imagem hospedeira 
por meio da esteganografia.......................................................................................................52
Figura 22: Criptografia de um arquivo com a ferramenta Ccrypt.............................................53
Figura 23: Descriptografia de um arquivo com a ferramenta Ccrypt.......................................54
Figura 24: Mídias presentes na máquina com o comando “fdisk -l”........................................59
Figura 25: Criação da imagem de mídia do HD e geração dos Hashes com a md5sum...........60
Figura 26: Criação da imagem de mídia do pendrive e geração do Hash.................................61
Figura 27: Abertura da imagem de mídia do HD no Autopsy...................................................63
Figura 28: Imagens recuperadas da imagem de mídia do HD pelo Autopsy............................64
Figura 29: Extração dos arquivos da imagem de mídia do HD utilizando o Foremost............65
Figura 30: Resultado da extração ao final da execução do Foremost.......................................66
Figura 31: Dados extraídos utilizando-se a ferramenta Photorec.............................................66
Figura 32: Arquivo de configuração da ferramenta Scalpel.....................................................67
Figura 33: Extração dos arquivos utilizando-se a ferramenta Scalpel......................................68
Figura 34: Resultado da extração ao final da execução do Scalpel..........................................68
Figura 35: Abertura da imagem de mídia do pendrive no Autopsy...........................................69
Figura 36: Dados do arquivo compactado bloqueados por senha.............................................70
Figura 37: Obtenção da senha em Hash do arquivo compactado.............................................70
Figura 38: Descoberta da senha por meio da ferramenta John The Ripper..............................71
Figura 39: Extração bem-sucedida dos dados presentes no arquivo “arq-secretos.zip”...........72
Figura 40: Análise dos eventos ocorridos nos sistemas referentes às conexões USB..............74
Figura 41: Dados recuperados, organizados em uma pasta referente ao caso..........................75
Figura 42: Imagens descompactadas do arquivo “zip” protegido por senha............................76
Figura 43: Geração do código de Hash para todas as imagens.................................................76
Figura 44: Documento de texto contendo os Hashes de todas as imagens ilícitas...................77
Figura 45: Geração do código de Hash do documento de texto que contém os Hashes..........77
Figura 46: Hash dos Hashes.....................................................................................................78
Figura 47: Análise de tráfego de uma sala de bate-papo utilizando o software Wireshark......83
Figura 48: Análise de tráfego em uma rede anônima Tor.........................................................84
Figura 49: Servidor Apache do relé da rede Tor.......................................................................85Figura 50: Captura dos processos em execução com o Process Explorer................................86
Figura 51: Estado das conexões TCP e UDP com o TCPView.................................................87
Figura 52: Uso do tcpdump na análise de tráfego TCP/IP do malware....................................88
Figura 53: Abertura da captura de tráfego no Wireshark..........................................................88
LISTA DE TABELAS
Tabela 1: Exemplo de formulário de cadeia de custódia [3].....................................................15
Tabela 2: O ciclo de vida esperado dos dados. Fonte: Extraído de [10]...................................16
Tabela 3: Comparativo das principais plataformas da deep web. Fonte: Extraído de [14].......26
Tabela 4: Arquivos recuperados / íntegros. Adaptado de [13]..................................................29
Tabela 5: Principais arquivos de log gerados nos sistemas Linux............................................39
Tabela 6: Chaves raízes do registro do Windows e suas descrições. Adaptado de [13]...........40
Tabela 7: Seções do laudo técnico pericial. Fonte: adaptado de [1].........................................43
Tabela 8: Ações antiforenses e suas categorias. Traduzido e adaptado de [20].......................44
Tabela 9: Início do formulário da cadeia de custódia...............................................................58
Tabela 10: Continuação do formulário de cadeia de custódia..................................................61
Tabela 11: Arquivos recuperados por ferramenta com base no formato..................................73
Tabela 12: Laudo técnico pericial do estudo de caso em questão.............................................78
Tabela 13: Acrescenta-se o evento à cronologia dos fatos no formulário de cadeia de custódia.
...................................................................................................................................................81
SUMÁRIO
INTRODUÇÃO 8
PRINCIPAIS CONCEITOS NA FORENSE COMPUTACIONAL 10
TRABALHOS RELACIONADOS 11
METODOLOGIA DA PERÍCIA FORENSE COMPUTACIONAL 13
4.1 ETAPA DE COLETA 14
4.1.1 Coleta em Dispositivos de Armazenamento 17
4.1.2 Coleta de Dados Voláteis (Live Forensics) 20
4.2 ETAPA DE EXTRAÇÃO 25
4.2.1 Recuperação de Dados Excluídos 26
4.2.2 Recuperação de Senhas 30
4.3 ETAPA DE ANÁLISE 33
4.3.1 Análise de Logs e Registros 34
4.3.2 Análise por Palavras-Chave 36
4.4 ETAPA DE FORMALIZAÇÃO 37
ANTIFORENSE COMPUTACIONAL 38
5.1 DESTRUIÇÃO 40
5.2 OCULTAÇÃO 42
5.3 PROTEÇÃO 46
PROPOSTA DE TRABALHO 47
6.1. DESIGN DO CENÁRIO 1 48
6.2. DESIGN DO CENÁRIO 2 49
ESTUDO DE CASO 1 50
7.1 COLETA 51
7.2 EXTRAÇÃO 54
7.3 ANÁLISE 63
7.4 FORMALIZAÇÃO 68
ESTUDO DE CASO 2 71
8.1 DADOS TRAFEGADOS EM REDE TCP/IP 71
8.2 ANÁLISE DE MALWARE NA MEMÓRIA RAM 74
CONCLUSÃO E TRABALHOS FUTUROS 77
REFERÊNCIAS 78
8
1. INTRODUÇÃO
A popularização dos computadores e a facilidade do acesso à Internet permitiram
que muitos criminosos passassem a utilizar esses meios para cometerem infrações
tipificadas no Código Penal (CP) brasileiro. “Crimes sempre deixam vestígios” [1] é uma
frase que ganha destaque no meio pericial, sendo usada como motivação, visto que nesse
campo dos vestígios se encaixa a perícia forense, cujo objetivo é coletar dados, em
conformidade ao artigo 158 do Código de Processo Penal (CPP) [2] e as inclusões da lei
13.964/19 (Pacote Anticrime) [3].
Atividades envolvendo aparelhos informáticos e redes aumentam de forma
bastante acelerada. Segundo o relatório do Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil (CERT), o número de fraudes na Internet cresceu
muito após o ano de 2008 [4]. Atingiu-se uma marca de 222.528 incidentes reportados
nesse mesmo ano; em 2014, 1.047.03, mantendo-se em altos índices até o ano de 2019
(875.327) [4].
Devido esse alavancado crescimento de crimes cibernéticos, há a necessidade de
técnicas investigativas eficazes para apuração dessas infrações, bem como o registro
formalizado em laudos periciais que contenham validade jurídica.
Em relação ao formalismo, há o artigo 473 da lei 13.105/15 do Código de
Processo Civil (CPC) [5] que descreve esse laudo pericial. Além disso, há a questão da
documentação cronológica dos fatos durante o processo investigativo, denominada
cadeia de custódia (artigo 158-A da lei 13.964/19) [3]. Tanto o laudo, quanto a cadeia de
custódia, são usados para garantir a veracidade dos eventos ocorridos no curso da
investigação, e, consequentemente, um julgamento justo nos tribunais judiciários.
A norma internacional ISO/IEC 27037:2013 [6], que também tem por finalidade
padronizar o tratamento de evidências digitais, assegura que os indivíduos possam
gerenciar a evidência digital por meio de métodos práticos aceitáveis internacionalmente,
com o objetivo de padronizar a investigação envolvendo dispositivos digitais de maneira
sistemática e imparcial, com o objetivo de preservar a integridade desses dispositivos.
Segundo essa norma, toda evidência digital válida é mantida por alguns aspectos
fundamentais, cabendo ressaltar o da repetibilidade, ou seja, quando os mesmos
9
procedimentos e métodos são utilizados sob as mesmas condições, sempre produzem os
mesmos resultados; e o aspecto da justificabilidade, onde deve-se justificar todas as ações
e métodos tomados no decorrer do processo de tratamento das evidências digitais [6].
A ISO/IEC 27037:2013 [6] também menciona o termo cadeia de custódia,
exigindo algumas informações mínimas na documentação, como: identificador único da
evidência; quem acessou tal evidência, o tempo e local que ocorreu; quem checou a
evidência interna e externamente nas instalações de preservação e quando o fato ocorreu;
documentar qualquer alteração inevitável da evidência digital, bem como o nome do
indivíduo responsável e a justificativa para a alteração [6].
A principal motivação deste trabalho é poder contribuir de alguma forma na
exposição do minucioso processo que é a perícia forense computacional, apresentando os
principais conceitos, etapas (coleta, extração, análise e formalização) [7] e ferramentas
utilizadas. São realizados comparativos entre essas ferramentas abordando suas
vantagens e limitações, além dos resultados obtidos por cada uma, o que pode influenciar
bastante nos vestígios obtidos e na agilidade do processo pericial.
Além disso, relata-se os empecilhos que podem ser encontrados pelos
profissionais que atuam na área, a fim de melhorar os resultados obtidos dentro da
investigação. Dois estudos de caso reforçam de maneira prática o processo forense: o
primeiro realizado sobre mídias de armazenamento (HD e pendrive), e o segundo sobre
redes TCP/IP e memória RAM.
Ao fim, realiza-se demonstrações de como esse procedimento pode ser
documentado formalmente, seguindo as leis e os pontos da norma ISO/IEC 27037:2013
[6], obtendo-se validade jurídica probatória.
O restante deste trabalho está organizado da seguinte forma: no Capítulo 2 são
apresentados os principais conceitos dessa área; no Capítulo 3, os trabalhos relacionados;
no Capítulo 4, a metodologia da perícia forense computacional e suas etapas, somado aos
principais conceitos e algumas ferramentas eficientes de cada uma; Capítulo 5, técnicas
antiforenses que acabam por dificultar o trabalho pericial; no Capítulo 6, as propostas de
trabalho; por fim, nos Capítulo 7 e 8, são realizados, respectivamente, dois estudos de
casos, um sobre dispositivos de armazenamento (HD e pendrive), e outro sobre redes
TCP/IP e memória RAM (análise de um software malicioso).
10
2. PRINCIPAIS CONCEITOS NA FORENSE COMPUTACIONAL
A abrangente área da forense computacional envolve alguns conceitos que são
abordados no decorrer deste trabalho, fazendo-se necessáriomencioná-los de forma
sucinta nesse Capítulo.
Inicialmente, a forense computacional pode ser conceituada como a área
destinada a determinar a materialidade e a autoria de ilícitos ligados à área de
informática, tendo como questão principal a identificação e o processamento de
evidências digitais em provas materiais de crimes, por meio de métodos técnico-
científicos, conferindo-lhe validade probatória em juízo [1].
Essas evidências digitais, encontradas em dispositivos informáticos diversos,
podem ser classificadas em dados voláteis e não voláteis [1], levando-se em consideração
o tempo que os dados permanecem disponíveis. Os voláteis têm um tempo de vida curto,
geralmente de segundos ou milissegundos, podendo estar em constante alteração, como
dados trafegados em uma rede ou em uma memória RAM. Já os não voláteis, têm um
tempo de armazenamento bem mais longo, podendo chegar a anos, como discos rígidos
(HDs), CD-ROMs e pendrives.
Na metodologia forense existem etapas [7] que têm o objetivo de tornar o
trabalho do profissional que realiza o exame pericial mais organizado e eficiente. A
seguir, essas etapas são descritas de modo breve, e estão mais detalhadas no decorrer
deste trabalho.
A etapa inicial é a fase de coleta, onde todos os equipamentos que armazenam
algum dado não volátil ou informações voláteis são colhidos e preservados, a fim de
manter os dados íntegros. As próximas etapas são a extração e a análise, onde,
respectivamente, esses dados são filtrados com base no objetivo da investigação e
analisados a fim de relacioná-los com o fato em questão. Na etapa final, a formalização, a
cronologia dos eventos deve ser detalhada na cadeia de custódia [3], registrando-se tudo
em um documento que contenha validade jurídica probatória, o laudo técnico pericial [5].
A metodologia completa está descrita no Capítulo 4.
Durante a realização das etapas do processo forense computacional, o profissional
pode deparar-se com uma ampla gama de ferramentas disponíveis e com procedimentos
antiforenses que podem ter sido empregados pela outra parte para embaraçar o
andamento da investigação, dificultando, assim, o acesso aos dados por parte do perito.
11
Dessa forma, conclui-se que é de notável importância ter conhecimento de
ferramentas que sejam eficientes e tragam bons resultados quanto à coleta, extração e
análise dos dados, bem como ter conhecimento das técnicas antiforenses e saber como
lidar em certas circunstâncias, documentando-se em um laudo técnico bem redigido.
3. TRABALHOS RELACIONADOS
Sobre os trabalhos relacionados e referencial teórico, há literaturas e artigos
científicos que descrevem de forma objetiva a metodologia que deve ser utilizada durante
os exames periciais, mencionando as ferramentas mais utilizadas em cada etapa do
processo.
Há uma grande diversidade dessas ferramentas, logo a utilização de cada uma fica
a critério do profissional que realiza o exame e de cada vestígio que está sendo analisado.
Também há divergências de desempenho entre elas, ou seja, uma ferramenta pode trazer
bons resultados sob certas circunstâncias e a outra não, e vice-versa. Assim, é relevante a
realização de experimentos comparativos, abordados com mais detalhes nos capítulos
posteriores.
A obra de Eleutério e Machado [1] aborda as fases que são executadas durante
uma análise forense computacional, bem como a correta preservação das evidências
encontradas. No decorrer da obra, os autores abordam as ferramentas mais comuns
utilizadas em cada etapa, além de mencionarem que a maior parte dos crimes da
atualidade utilizam dispositivos informáticos como meio.
Segundo Kent et al. [7], o objetivo mais comum de se realizar análises forenses é
entender melhor um evento de interesse e analisar os fatos relacionados a esse evento.
Para isso, o autor menciona quatro etapas que tornam o exame pericial mais organizado:
coleta, extração, análise e formalização; essa metodologia foi adotada neste trabalho por
ser a mais referenciada nos trabalhos e literaturas relacionados ao tema.
O artigo científico de Ling Tang [9], publicado no IEEE Xplore, faz um estudo a
respeito dos logs gerados pelo sistema operacional Linux, podendo ser utilizados como
material de coleta e análise durante o processo investigativo. Esses logs são registros
feitos pelo sistema operacional no decorrer do tempo com as ações do usuário.
12
Dan Farmer e Wietse Venema [10] fazem um estudo mais detalhado sobre
arquivos, metadados (informações sobre os dados) e sistemas operacionais, além de
apresentarem um tema bastante relevante: a análise de MACtimes, que são metadados
gerados pelo sistema de arquivos contendo as datas de modificação, acesso e alteração de
cada arquivo.
De acordo com João Eriberto Mota Filho [11], a análise de tráfego em rede é uma
forma essencial de se detectar anomalias dentro de uma rede, encontrar pontos de
bloqueio, detectar falhas de segurança e descobrir “tráfego pirata”, sendo um campo de
conhecimento fundamental aos profissionais da área forense. A ferramenta recomendada
pelo autor para esse fim é o tcpdump1, que além de gratuita, tem uma ampla gama de
funcionalidades.
Galvão [12] também realiza uma análise forense voltada à rede de computadores,
mas abordando ferramentas diferentes e em alguns casos mais eficientes dependendo do
cenário, introduzindo o conceito “grampo de rede” para a captura do tráfego em rede.
Evandro Della Vecchia [13], como diferencial, aprofunda conceitos da área
jurídica bem relevantes ao trabalho de um perito criminal, mostrando recomendações que
facilitam na formalização dos dados. Além disso, trata de forma mais técnica e prática a
investigação forense computacional, voltando-se aos profissionais da área da tecnologia,
apresentando as ferramentas mais utilizadas em cada etapa do processo.
Por fim, Alesandro Barreto e Hericson dos Santos [14] fazem um estudo
aprofundado sobre a deep web, ou seja, redes para interconexão de máquinas diferentes
da Internet comum, descrevendo o funcionamento das mais utilizadas. Também relatam o
processo investigativo nesse “submundo da Internet”, já que nesse meio há uma grande
quantidade de crimes sendo cometidos, como o tráfico de drogas e a pornografia
infantojuvenil, que são os mais comuns.
Dessa forma, este trabalho de conclusão de curso visa descrever os principais
conceitos relacionados à perícia forense computacional, aplicando a metodologia de Kent
et al. [7] de forma prática na análise de vestígios em discos rígidos, arquivos, memória
RAM e redes TCP/IP, fazendo comparativos de desempenho, a fim de melhorar os
resultados obtidos em uma investigação.
Além disso, demonstra-se como registrar formalmente os resultados obtidos,
seguindo os critérios exigidos no CPP [2] e nas alterações feitas pelo Pacote Anticrime
1 Disponível em: <https://www.tcpdump.org/manpages/tcpdump.1.html>. Acesso em 8 de março de 2020.
13
[3], que trouxe novas exigências referentes ao tratamento das evidências, objetivando-se
garantir uma maior integridade das provas.
4. METODOLOGIA DA PERÍCIA FORENSE COMPUTACIONAL
A perícia forense computacional é uma área que tem como objetivo entender
melhor um incidente e encontrar fatos relacionados a ele, levando-se em consideração a
gama de situações existentes, como malwares (malicious software, ou programas
maliciosos), coleta de evidências para procedimentos legais e ações disciplinares ou
problemas operacionais incomuns, seja dentro de um ambiente civil ou empresarial [1].
A fim de tornar o trabalho dos profissionais juridicamente seguro, há uma
metodologia que pode ser adotada no decorrer da perícia forense computacional. Essa
metodologiapode ter suas etapas adaptadas conforme a dinamicidade dos fatos do
incidente em questão. Como este trabalho trata do procedimento iniciado no local de
crime, com a descoberta do incidente, até o momento da formalização para o meio
jurídico, essa metodologia envolve todas as etapas integralmente.
De modo geral, independente da natureza das evidências, é recomendado
segmentar o processo pericial em quatro etapas, divididas com base nos exames
realizados em cada uma e nos dados obtidos, com o objetivo de torná-lo mais consistente:
coleta, extração, análise e formalização [7].
Observa-se esse processo e suas etapas na Figura 1, onde cada uma tem seu
respectivo material obtido (mídias, dados, informações e evidências). Sua usabilidade é
cíclica, pois pode ser repetido até que os recursos analisados se esgotem, ou conforme a
discricionariedade do profissional forense responsável pelo exame.
Figura 1: Etapas da perícia forense computacional. Fonte: Traduzido de [7].
14
Cada etapa retratada é apresentada no decorrer das subseções seguintes,
abordando-se o conceito e as principais ferramentas que podem ser utilizadas em cada
uma, a fim de se obter o conteúdo desejado (mídias, dados, informações e evidências).
4.1 ETAPA DE COLETA
A primeira etapa da perícia forense é denominada de coleta, sendo realizada sobre
uma variedade de dispositivos informáticos, onde as fontes mais comuns e óbvias são os
computadores de mesa, servidores, dispositivos de armazenamento em rede e laptops.
Outros dispositivos externos ou móveis também podem ser coletados, como telefones
celulares, câmeras digitais, gravadores e reprodutores de áudio. A escolha de quais
dispositivos vão ser apreendidos fica a critério do profissional que realiza a perícia [1].
Ocasionalmente, nessa fase, necessita-se também coletar dados em meios
voláteis, com a utilização de técnicas de interceptação de sinais informáticos e
eletromagnéticos, conforme a lei 9.296/96 [15], que regulamenta a obtenção dos dados
trafegados em uma rede de computadores ou dentro de um sistema telemático, com o
objetivo de buscar vestígios que possam sustentar a investigação, como: endereços IPs de
origem e destino, cabeçalho e payload dos pacotes.
Nesta etapa, procede-se o início da cadeia de custódia [3], definida como o
conjunto de todos os procedimentos utilizados para manter e documentar a história
cronológica dos vestígios coletados, permitindo rastrear sua posse e manuseio a partir de
seu reconhecimento até o descarte. Esse conceito está definido no artigo 158-B do CPP
[2], a fim de garantir a idoneidade dos resultados obtidos, refutando possíveis
contestações futuras.
No caso dos dispositivos de armazenamento, essa documentação se inicia no
próprio local de crime quando os equipamentos são identificados e apreendidos,
registrando-se todas as informações possíveis. As informações de identificação dos
equipamentos devem ser bem precisas para garantirem a identificação posterior
dirimindo qualquer dúvida. Um exemplo é não descrever somente a cor de um certo
dispositivo tendo vários com essa mesma cor.
15
Para exemplificar, em um caso de formulário envolvendo um disco rígido, deve-
se apresentar todos os detalhes da mídia, responsáveis e datas (comuns a todos os
formulários), bem como uma identificação particular, que no caso apresentado na Tabela
1, é um número de série (Serial Number), reforçado pela descrição, modelo e fabricante.
Tabela 1: Exemplo de formulário de cadeia de custódia [3].
FORMULÁRIO DE CADEIA DE CUSTÓDIA
Número do Caso: 70020091996
DETALHES DA MÍDIA OU EQUIPAMENTO
ITEM DESCRIÇÃO
1 HD do Notebook ‘X’ com 80 GB de Capacidade
FABRICANTE MODELO NÚMERO DE SÉRIE
Dell Inspiron 15 5000 ABC123456
CRONOLOGIA DOS FATOS
CÓDIGO ORIGEM DATA HORA DESTINO DATA HORA
1 Local 20/09/2019 16:10 Perícia 20/09/2019 16:55
Sobre a coleta realizada em meios voláteis, como em uma rede TCP/IP, onde os
dados obtidos não provêm de dispositivos de armazenamento que podem ser facilmente
identificados, algumas informações de descrição elencadas na Tabela 1 podem ser
inviáveis, como o modelo ou número de série. Logo, deve-se seguir o artigo 8-A da lei
9.296/96 [15] (incluído pela 13.964/19 [3]), onde se exige que, circunstanciadamente,
deve ser descrito o local e a forma de instalação do dispositivo de captação ambiental.
Uma das recomendações que devem ser levadas em consideração na coleta é o
plano de aquisição desses dados, visto que existem várias fontes de dados e algumas
devem ser priorizadas seguindo fatores como valor provável, volatilidade e esforço
necessário para aquisição [7].
O valor provável baseia-se no entendimento do analista da situação e experiência
anterior em situações semelhantes, podendo-se estimar o valor relativo de cada fonte de
dados [7]. A volatilidade refere-se ao tempo em que dos dados podem ser perdidos
16
devido ao desligamento do computador, ações executadas dentro do sistema ou no
simples decorrer do tempo, recomendando-se dar mais prioridade aos dados de natureza
mais volátil [7]. Já a quantidade de esforço necessário refere-se ao esforço para adquirir o
dado em questão, tanto relativo ao tempo gasto como ao custo com equipamentos e
serviços [7].
A ordem de volatilidade dos dados merece relevância, pois como alguns dados
têm maior propensão do que outros de serem perdidos, há uma maior probabilidade de
não ser mais possível recuperá-los [10]. A expectativa de vida desses dados pode variar
de nanossegundos a anos, como pode ser visto na Tabela 2.
Tabela 2: O ciclo de vida esperado dos dados. Fonte: Extraído de [10].
Tipo de dados Tempo de vida
Registradores, memória periférica, caches, etc. Nanossegundos
Memória principal Dez nanossegundos
Estado da rede Milissegundos
Processos em execução Segundos
Disco Minutos
Disquetes, mídia de backup, etc. Anos
CD-ROM, impressões, etc. Dezenas de anos
Seguindo essa ordem, sabe-se que há uma menor probabilidade de se conseguir
preservar os detalhes mais efêmeros (topo da tabela), mas tudo depende da situação
analisada, visto que não é possível realizar a captura de todos os dados de uma só vez,
pois quando se captura dados em uma determinada área de um computador, outra pode
estar sendo alterada. Tal princípio é descrito como princípio da incerteza de Heisenberg,
sendo essencialmente impossível a coleta de todos os dados de um computador para
análise, pois este é considerado um sistema determinístico [10].
Após identificar as fontes de dados e iniciar-se a cadeia de custódia [3], a equipe
pericial deve preservar as mídias originais encontradas no local de crime,
acondicionando-as de forma individualizada, com a data, hora e nome do responsável
pelo procedimento, garantindo que todas as informações ali presentes permaneçam
17
inalteradas durante o transporte até o laboratório, a fim de garantir a formalidade do
processo [1].
4.1.1 Coleta em Dispositivos de Armazenamento
Tratando-se de dispositivos de armazenamento de dados (não voláteis), ao receber
o equipamento e documentar formalmente sua posse, é necessário o perito realizar uma
cópia dessa mídia, garantindo que nenhum bit seja alterado (cópia fiel), que se dá através
de equipamentos de hardware ou software, como bloqueadores de escritas em disco e
duplicadores forenses [1]. Isso é necessário para que a mídia original fique sempre
preservada, podendo servir de prova nos tribunais judiciais.
Essa cópia pode ser realizada de duas maneiras, através de um backup lógico,
onde todos os diretórios e arquivos são capturados de um volume lógico, não copiando
arquivos excluídos nem fragmentos do disco; ou através de um fluxo de bits, mais
conhecido como backup físico, ondese gera uma imagem bit a bit, ou seja, uma cópia
idêntica do disco total, porém consumindo mais espaço e tempo que o backup lógico [7].
Os formatos mais comuns gerados são os “.dd” e os “.img”, conhecidos como imagens de
mídia.
Os bloqueadores de escrita evitam que gravações sejam realizadas no disco
durante o procedimento de cópia, garantindo a integridade dos dados originais. Esse
bloqueio também pode ser realizado simplesmente com algum código executável que
altera as variáveis de ambiente do sistema operacional.
Já os duplicadores forenses, geralmente, são mais completos, pois além de
realizarem o bloqueio de escrita, fazem o processo de geração de cópia. Os equipamentos
de hardware mais utilizados para esse fim são: o Espion Forensics Fast Block2 e o
Tableau T35u Forensic Bridge3.
Esses hardwares são independentes de qualquer outro dispositivo, sendo
necessário somente a mídia alvo (HD ou pendrive) e o destino. O Tableau T35u Forensic
Bridge possui compatibilidade para dispositivos de armazenamento com entrada IDE e
SATA, compatíveis também com entrada USB 3.0, apresentado na Figura 2.
2 Disponível em: <https://www.insectraforensics.com/FastBloc3>. Acesso em 19 de fevereiro de 2020.
3 Disponível em: <https://www.guidancesoftware.com/tableau/hardware/t35u>. Acesso em 19 de fevereiro de
2020.
18
Sobre os softwares, os mais comuns são: o Forensic ToolKit Imager4 (FTK
Imager) e o Encase5 (ambos compatíveis com o Windows) [1], sendo este último pago
em sua versão mais completa. Há também outros gratuitos, como: o Duplicate Disk (dd)
e o dc3dd6, que é uma versão aprimorada do dd, desenvolvido pelo Department of
Defense’s Cyber Crime Center (DC3), acrescentando-se algumas funcionalidades, como
geração instantânea do Hash7, gravação de erros e possibilidade de se fragmentar a saída
gerada.
Também existem sistemas operacionais gratuitos que oferecem suporte
semelhante, como o Linux CAINE8 (Computer Aided Investigative Environment) e o Kali
Linux9, ambos podendo funcionar em modo live, ou seja, com uma imagem do sistema
operacional montada em um CD-ROM ou USB pode-se inicializar a máquina alvo sem a
instalação do sistema no disco rígido.
A fim de garantir uma maior agilidade ao processo de geração da cópia e o
andamento das investigações, cabe dizer que o procedimento pode ser demorado se for
4 Disponível em: <https://accessdata.com/products-services/forensic-toolkit-ftk/ftkimager>. Acesso em 19 de
fevereiro de 2020.
5 Disponível em: <https://www.guidancesoftware.com/encase-forensic?cmpid=nav_r>. Acesso em 19 de
fevereiro de 2020.
6 Disponível em : <https://sourceforge.net/projects/dc3dd/>. Acesso em 2 de abril de 2020.
7 Um algoritmo de Hash recebe como entrada uma sequência de bits de qualquer tamanho e retorna uma saída
de tamanho fixo, unidirecionalmente, ou seja, a saída é única e irreversível.
8 Disponível em: <https://www.caine-live.net/>. Acesso em 24 de março de 2020.
9 Disponível em: <https://www.kali.org/>. Acesso em 24 de março de 2020.
Figura 2: Equipamento Tableau T35u Forensic Bridge.
19
realizado diretamente sobre o HD com o uso do Tableau T35u Forensic Bridge
(hardware), por exemplo, pois é realizado uma cópia completa do HD, bit a bit.
Em casos onde a extração do HD não é possível, faz-se necessário o uso dos
sistemas operacionais atuando no modo live, como o CAINE, por exemplo, que acessa o
disco diretamente mesmo havendo um bloqueio de senha no sistema operacional nativo
ou no próprio disco (senha de boot). Logo, pode-se levar um tempo ainda maior para
realizar o processo de geração da cópia, principalmente se o armazenamento for muito
grande.
Essa diferença de tempo se dá pelo fato de o Tableau T35u Forensic Bridge
acessar diretamente o hardware, já que o dispositivo alvo (HD ou USB) é conectado
diretamente nele. No entanto, utilizando-se um sistema operacional, há a necessidade do
intermédio de um software para acesso aos dados, retardando ainda mais o processo.
Uma forma bem eficiente e ágil de assegurar a integridade dos dados, além do
bloqueio de escrita, é por meio da geração de um código Hash sobre a mídia original e/ou
arquivos investigados antes e depois da realização da cópia, sendo que se ambos os
códigos Hashes gerados forem iguais pode-se garantir que não houve alteração dos bits
durante o procedimento, mantendo-se íntegro. Os códigos Hashes gerados devem ser
registrados na cadeia de custódia [3], para formalização.
O problema de se usar somente os algoritmos Hash para assegurar a integridade
da cópia dos discos de armazenamento é que eles identificam o problema, mas não
conseguem impedir que ele ocorra, ou seja, se após a cópia for identificado que a
integridade não foi mantida, a mídia original já haverá sofrido a alteração, danificando-se
o dado irreversivelmente.
Esses algoritmos de Hash podem ser utilizados, principalmente, sobre os arquivos
ilícitos obtidos na investigação, assegurando-os de que nenhuma alteração ocorreu,
garantindo-se a integridade desses dados obtidos.
Para exemplificar, utiliza-se o software HashMyFiles10, que aplica os algoritmos
mais utilizados, como MD5, SHA-1, SHA-256 e SHA-512, gerando-se o código sobre
três arquivos de texto: o primeiro, com o conteúdo “mateus”; o segundo, “mateust”; e o
terceiro, “mateus”. Ao exibir os códigos gerados, observa-se que o programa identificou
que o conteúdo (bits) do primeiro é igual ao terceiro, destacando-os em vermelho. A
Figura 3 exibe esse procedimento.
10 Disponível em: <https://www.nirsoft.net/utils/hash_my_files.html>. Acesso em 6 de março de 2020.
20
Em relação aos dispositivos de armazenamento móveis compatíveis com
tecnologia GSM (Global System for Mobile) e que permitem a conexão de um cartão
SIM (Subscriber Identity Module), como telefones celulares, os procedimentos de
preservação e coleta podem conter alguns detalhes específicos para se garantir a
integridade das evidências. Logo, tal conteúdo não é abordado por fugir do escopo deste
trabalho.
As próximas etapas do processo forense de investigação sobre esses dispositivos
de armazenamento são feitas sobre as cópias fiéis realizadas [1], deixando-se as mídias
originais resguardadas e todos os fatos registrados formalmente na cadeia de custódia [3].
4.1.2 Coleta de Dados Voláteis (Live Forensics)
Sobre a coleta de dados voláteis, como a realizada em redes TCP/IP, deve-se
levar em consideração a alta volatilidade do estado de rede (conforme a Tabela 2).
Assim, essa coleta pode ser chamada de “live forensics” (ou forense “ao vivo”), pois os
dados dos pacotes trafegados vão sendo capturados em tempo real, podendo ser salvos
em arquivos “pcap” para análise posterior [12].
Uma ferramenta que cumpre esse papel é o tcpdump, baseada na libcap, uma API
para captura de pacotes de rede durante o seu tráfego e disponibilizada nativamente em
sistemas operacionais Linux [11]. Uma outra ferramenta de análise de tráfego em rede
Figura 3: Geração de códigos Hash sobre três arquivos de texto.
21
bastante conhecida e eficiente é o Wireshark11, que apresenta uma interface bastante
amigável e permite capturar, filtrar e analisar os mais diversos tipos de pacotes de rede.
 A Figura 4 exibe um exemplo de uso do tcpdump, onde todos os pacotes com
destino ao IP 157.240.22.35 (Facebook), na interface wlan0, e que utilizam o protocolo
ICMP, são capturados e exibidos em tela.
Sabendo-se que essa forma de coleta em rede, geralmente, é realizada sem a
presença física do profissional no local do crime, logo, em alguns casos, como no de
pornografia infantojuvenil, cabe ao perito, se possível, verificar a máquina questionada
no próprio local do crime, pois há a possibilidade de haver o compartilhamento de
arquivos ilícitos para outros usuáriosvia Internet [1].
A forma mais comum desse compartilhamento é por meio de conexões “ponto a
ponto” (P2P), como eMule12, uTorrent13 e Ares Galaxy14, onde não existe a figura de um
servidor central, assim a comunicação entre os computadores é por meio de nós
descentralizados e interconectados [16]. Logo, faz-se necessário o perito verificar se
algum desses programas estão em execução na máquina, registrando o incidente em
forma de foto, vídeo ou uma captura de memória RAM (dump de memória).
11 Disponível em: <https://www.wireshark.org>. Acesso em 8 de março de 2020.
12 Disponível em: <https://www.emule-project.net/home/perl/general.cgi?l=33>. Acesso em 6 de março de 
2020.
13 Disponível em: <https://www.utorrent.com/intl/pt/>. Acesso em 6 de março de 2020.
14 Disponível em: <https://aresgalaxy.io>. Acesso em 6 de março de 2020.
Figura 4: Captura de tráfego utilizando o tcpdump.
22
Além desses dados relacionados ao estado da rede, pode ser útil a captura de
outros dados voláteis, como processos em execução, conexões de rede, arquivos abertos,
atividades recentes e histórico de navegação [13]. Essa coleta pode ser facilitada se
algum software específico for utilizado, garantindo que esses dados sejam gravados em
formatos de fácil visualização (como planilhas ou tabelas), para posteriormente serem
analisados com mais cautela [13].
Como exemplo de softwares, vale a pena destacar alguns por serem gratuitos e de
fácil utilização. Esses estão apresentados na seguinte ordem, com base nos dados
coletados: dump de memória RAM, processos em execução, portas TCP/UDP em
execução, histórico de navegação dos browsers e o histórico de hardwares conectados.
Para coleta do dump de memória, pode-se utilizar o BelkaSoftware Live RAM15,
pois é de fácil uso, por meio de interface gráfica, e armazena o conteúdo em um arquivo
no formato “mem”, nomeado de acordo com a data, seguindo o modelo
“AnoMêsDia.mem”. Outros exemplos, são as ferramentas mdd (ambiente Windows) e dd
(ambiente Linux), executados via linha de comando no terminal.
Sobre os processos em execução e os arquivos abertos relacionados a eles, há o
software Process Explorer16, que atua por meio de uma interface gráfica. É uma
ferramenta bem mais ampla que o Gerenciador de Tarefas, pois mostra até mesmos
processos configurados para não serem exibidos nele, como no caso de malwares. Essa
ferramenta também permite salvar a captura em um arquivo de texto, ou outro formato
mais conveniente.
Sobre a coleta de dados das portas TCP e UDP, pode-se utilizar o software
TCPView17. Nele, além de apresentar o estado das portas, pode-se observar também o
processo que está em execução nela, bem como o PID (número identificador de
processo), o número da porta, o endereço remoto da execução e o estado da conexão. Isso
é útil em caso de investigação de algum malware sendo executado em alguma porta que
não seja muito comum (por exemplo, 22: SSH; 80: HTTP; 25: SMTP), podendo enviar
dados remotamente a um atacante. A Figura 5 apresenta esse software em execução.
15 Disponível em: <https://belkasoft.com/ram-capturer>. Acesso em 30 de fevereiro de 2020.
16 Disponível em: <https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer>. Acesso em 6
de março de 2020.
17 Disponível em: <https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview>. Acesso em 6 de março
de 2020.
23
As buscas no histórico dos browsers também pode ser bastante eficaz para se ter
uma abordagem sobre os sites visitados pelo suspeito, na tentativa de criar alguma
relação com o fato investigado [13]. O empecilho é que há uma variedade desses
browsers, e cada um armazena suas informações em diretórios diferentes.
No entanto, a ferramenta BrowsingHistoryView18 auxilia buscando de forma
automatizada essas informações nos principais navegadores existentes, como Google
Chrome, Internet Explorer, Mozilla Firefox, Opera e Safari, agrupando-as em uma tela
para visualização.
Essa ferramenta agrupa a URL da página visitada, seu título, a data em que foi
realizado o acesso, a quantidade de vezes em que foi visitada, o browser utilizado e o
usuário que estava logado no momento. Observado na Figura 6.
18 Disponível em: <https://www.nirsoft.net/utils/browsing_history_view.html>. Acesso em 6 de março de 2020.
Figura 5: Estado e informações das portas TCP e UDP com o uso do TCPView.
24
O último software apresentado é o USBDeview19, responsável por exibir todos os
dispositivos de hardware atualmente conectados na máquina, incluindo todos que já
foram conectados, como pendrives, HDs externos e smart cards. Observa-se na Figura 7
o nome do dispositivo, tipo de equipamento, número serial, data que foi plugado, data da
última vez que havia sido plugado e se o dispositivo está conectado ou não no momento
(grifado na cor verde se estiver).
19 Disponível em: <https://www.nirsoft.net/utils/usb_devices_view.html>. Acesso em 6 de março de 2020.
Figura 6: Histórico de páginas web com o uso do BrowsingHistoryView.
25
Retornando à coleta dos dados voláteis relativos às redes, sabendo-se que essa
pode estar sendo usada para o compartilhamento de dados ilícitos por conexões P2P, é
importante ressaltar que podem haver distinções quanto a arquitetura da rede envolvida
na investigação. Doutrinariamente, pode-se dividir a Internet em surface web, deep web e
darknet [14].
A surface web, ou “internet comum”, é constituída, basicamente, por páginas,
sites e conteúdos que utilizam a arquitetura cliente/servidor, onde o conteúdo oferecido
está indexado em algum local e pode ser rapidamente encontrado pelos principais
buscadores, como Google, Bing e Yahoo!. Já a deep web, é caracterizada pelo
anonimato, criptografia e descentralização dos nós da rede, cujo identificar onde o
conteúdo está indexado é algo bastante árduo, pois a arquitetura predominante da rede é
P2P, onde todos os nós da rede podem servir de cliente/servidor, e os três pontos são
alcançados. A darknet é uma classificação de uma rede da deep web, ou parte dela, onde
há um alto grau de anonimato e segurança, pois necessita-se de uma verificação mais
criteriosa sobre todos os nós da rede [14].
As principais plataformas de acesso à deep web são a Tor20, Freenet21 e I2P22,
todas seguindo as principais características de uma rede anônima, descentralizada, segura
20 Disponível em: <https://www.torproject.org/>. Acesso em 27 de fevereiro de 2020.
21 Disponível em: <https://freenetproject.org/>. Acesso em 27 de fevereiro de 2020.
22 Disponível em: <https://geti2p.net/en/>. Acesso em 27 de fevereiro de 2020.
Figura 7: Histórico de conexão de dispositivos com o uso do USBDeview.
26
e criptografada. Em relação aos objetivos, denominação de páginas e nós, podem haver
algumas distinções, como pode ser observado na Tabela 3.
Tabela 3: Comparativo das principais plataformas da deep web. Fonte: Extraído de [14].
I2P Freenet Tor
Página Eepsite Freesite Site
Extensão .i2p Sequência de chaves
(SSK)
.onion
Nome do nó Roteador Node Relé
Objetivo Comunicação
anônima e segura
Armazenamento
Distribuído
Comunicação
anônima e segura
Comunicação Criptografada Criptografada Criptografada
Dessa forma, na investigação policial, a coleta e os registros dos conteúdos
ilícitos encontrados na surface web são diferentes dos encontrados na deep web, visto que
encontrar a autoria dos crimes cometidos na deep web é algo bastante difícil, pois os
meios de coleta em rede descritos anteriormente não são eficazes, como análise de
pacotes, sendo todo o tráfego anônimo, criptografado e descentralizado.
Nesse meio “obscuro”, o mecanismo mais utilizado para se tentar obter a autoria
delitiva é a infiltração policial na deep web [14], onde o profissional oculta suaidentidade e documenta os incidentes observados, previsto na lei 13.441/17 [8]. Algumas
operações realizadas pela Polícia Federal utilizaram esse método: a Darknet23, que
ocorreu no ano de 2014; a Darknet II24, em 2016; e a Undergroud 225, em 2017,
culminando no total em torno de 200 mandados de busca e apreensão em 18 estados
brasileiros.
Outra ferramenta de auxílio no combate à pornografia infantojuvenil é o
programa CPS (Child Protection System)26, o qual realiza uma identificação automática
23 Disponível em: <http://www.mpf.mp.br/rs/sala-de-imprensa/docs/outros-documentos/operacao-darknet>. 
Acesso em 27 de fevereiro de 2020.
24 Disponível em: <http://www.pf.gov.br/agencia/noticias/2016/11/pf-combate-crime-de-pornografia-infantil-
na-deep-web>. Acesso em 27 de fevereiro de 2020.
25 Disponível em: <http://www.pf.gov.br/agencia/noticias/2018/04/pf-combate-distribuicao-de-imagens-
pornograficas-com-criancas-na-deepweb>. Acesso em 27 de fevereiro de 2020.
26 Disponível em: <https://childrescuecoalition.org/law-enforcement/>. Acesso em 27 de fevereiro de 2020.
https://childrescuecoalition.org/law-enforcement/
27
baseada nos Hashes de arquivos ilícitos conhecidos, principalmente àqueles que
envolvem criança ou adolescente, sendo utilizado em 77 países [17].
Nos experimentos realizados no Capítulo 8, demonstra-se a análise de tráfego e
conexões em redes TCP/IP por meio de um estudo de caso prático com as ferramentas
tcpdump, Wireshark e TCPView, tanto na surface web quanto na deep web, comparando-
as. Sobre os dados voláteis da memória RAM e análise de malware, utiliza-se o
ProcessExplorer.
4.2 ETAPA DE EXTRAÇÃO
Na etapa de extração, o objetivo principal é extrair informações relevantes das
cópias fiéis realizadas na coleta. No início da etapa de extração é comum que exista uma
quantidade massiva de arquivos de dados [7], alguns até deletados ou bloqueados por
senha. A recuperação desses arquivos é um outro objetivo dessa etapa.
Para facilitar esse processo, existem algumas ferramentas e técnicas que podem
ser usadas para filtrar uma enorme quantidade de dados, recuperar arquivos excluídos e
até realizar a recuperação de senhas.
A filtragem dos dados pode ser baseada em busca por padrões, por exemplo,
realizar essa filtragem baseada no tipo ou formato de conteúdo relacionado à
investigação [1], como textos, imagens ou arquivos compactados. Por exemplo, no crime
de pornografia infantojuvenil, busca-se por imagens ilícitas como prova da infração. O
principal objetivo da filtragem é justamente descartar dados irrelevantes ao fato
investigado.
No entanto, o conteúdo dos arquivos precisam fazer sentido com o que está sendo
buscado, observando-se sua extensão, como por exemplo, uma extensão jpg indica um
arquivo gráfico, e um mp3 indica um arquivo de áudio. Porém, essa extensão do arquivo
pode ser alterada pelo usuário e essa informação ficar oculta ou inconsistente [7].
Logo, a forma mais precisa é analisar o cabeçalho dos arquivos abrindo-os com
uma ferramenta que faça a leitura dos dados em hexadecimal, exibido na Figura 8,
usando a ferramenta xxd nativa nos sistemas operacionais Linux.
28
Observando-se o retorno da execução dessa ferramenta, verifica-se que os
primeiros bytes do cabeçalho do arquivo (conhecido como magic number) são “FF D8”,
indicando que é um arquivo no formato JPEG. Esse procedimento pode ser realizado em
outros arquivos, a fim de extrair-se somente o que for realmente necessário à
investigação.
As próximas subseções tratam da recuperação de arquivos, abordando,
respectivamente, as ferramentas que auxiliam na recuperação de dados excluídos e na
recuperação de senhas.
4.2.1 Recuperação de Dados Excluídos
Os arquivos podem ser deletados de forma intencional por um usuário ou de
forma automática pelo próprio computador, como ocorre no caso de arquivos
temporários utilizados para uso interno da máquina e em caches dos navegadores Web
[10]. A recuperação é possível, pois ao ser apagado o sistema operacional não remove os
dados referentes a esse arquivo, mas apenas altera o status do espaço que antes estava
como ocupado para disponível, dessa forma os dados vão se sobrescrevendo. Assim,
quanto mais recente a exclusão, maior a probabilidade de sucesso na recuperação da
informação [1].
Figura 8: Abertura de um arquivo em hexadecimal.
29
Essa recuperação de arquivos apagados é também conhecida como data carving,
que ocorre através de uma busca por assinaturas conhecidas nos cabeçalhos dos arquivos,
como demonstrado na Figura 8, só que de maneira automatizada. Essa busca é realizada
em toda a área disponível do dispositivo de armazenamento, e ao ser encontrado, o
restante do arquivo é recuperado [1]. Algumas ferramentas de software que cumprem
essa função são o Foremost27, Recuva28, Photorec29, Autopsy30 e o Scalpel31.
Vale ressaltar que, na maioria dos casos, o perito não pode utilizar apenas um
único software para a recuperação de dados (data carving), mas sim utilizar uma
combinação deles para potencializar os efeitos, pois cada software apresenta distinções
no desempenho em determinadas áreas e sobre formatos diferentes [13].
Para exemplificar, observa-se na Tabela 4, uma comparação entre o Photorec e o
Foremost, ambos aplicados na recuperação de 90 arquivos excluídos (10 de cada tipo),
apresentando quantos destes arquivos foram recuperados e quantos estavam íntegros após
o carving, com a taxa percentual de rendimento total de cada um.
Tabela 4: Arquivos recuperados / íntegros. Adaptado de [13].
Tipo
Photorec Foremost
Recuperados Íntegros Taxa Recuperados Íntegros Taxa
DOCX 6 6 100% 9 0 0%
XLSX 6 6 100% 6 6 100%
PDF 10 10 100% 5 5 100%
JPG 8 8 100% 9 8 88,8%
PNG 10 9 90% 9 9 100%
RAR 10 10 100% 8 8 100%
ZIP 10 10 100% 8 3 37,5%
RTF 10 10 100% 0 0 -
BMP 10 10 100% 10 10 100%
Total 80 79 98,7% 64 49 76,6%
27 Disponível em: <http://foremost.sourceforge.net/>. Acesso em 3 de março de 2020.
28 Disponível em: <https://www.ccleaner.com/recuva>. Acesso em 19 de fevereiro de 2020.
29 Disponível em: <https://www.cgsecurity.org/wiki/PhotoRec>. Acesso em 19 de fevereiro de 2020.
30 Disponível em: <https://www.sleuthkit.org/autopsy/>. Acesso em 19 de fevereiro de 2020.
31 Disponível em: <https://github.com/sleuthkit/scalpel>. Acesso em 2 de abril de 2020.
30
Há outros meios além do data carving que podem ser utilizados para se recuperar
dados que foram apagados, como através do conhecimento do sistema operacional e
como ele trata determinados dados.
Um exemplo que vale citar é o armazenamento das miniaturas das imagens em
um arquivo no formato “.db” (database ou banco de dados) feito pelo sistema
operacional Windows com o objetivo de agilizar a exibição das imagens de uma pasta em
modo miniatura, atuando como um cache. Essas miniaturas das imagens são
armazenadas no arquivo “Thumbs.db”, presente na própria pasta, mas oculto ao usuário.
O fato é que mesmo as imagens originais sendo apagadas, suas miniaturas continuam
guardadas nesse arquivo.
Tomando conhecimento desse fato, em um caso de investigação de imagens
ilícitas, por exemplo, esse arquivo não pode ser esquecido pelo perito, pois o suspeito
pode ter excluídos as imagens a fim de ocultar provas, visto que as miniaturas podem ter
ficado armazenadas no “Thumbs.db”.
As ferramentas que podem ser utilizadas para extração dos dados presentes nesse
arquivo são: vinetto32 (disponível para Linux, MacOS e Windows, escrito em Python) e o
Thumbs Viewer33 (disponível somente para Windows). Ambas são gratuitas e auxiliam no
processo de documentação, pois geram um relatório em formato “.html” de fácil
visualização em qualquer browser, incluindo o código Hash (algoritmo MD5) para
garantia de integridade.
Para exemplificar a extraçãosobre esse tipo de arquivo de banco de dados de
miniaturas, realiza-se uma aplicação da ferramenta vinetto. A versão utilizada foi a
“0.8.0”, pois essa é compatível com os “Thumbs.db” gerados por todas as versões do
Windows até o Windows 10, sendo que sua versão anterior (“0.7.0”) só é compatível até
o Windows Server 2003. Já o Thumbs Viewer é compatível com todas suas versões. A
Figura 9 exibe a execução da vinetto.
32 Disponível em: <http://vinetto.sourceforge.net/>. Acesso em 31 de março de 2020.
33 Disponível em: <https://thumbsviewer.github.io/>. Acesso em 31 de março de 2020.
31
Nessa execução, utiliza-se um arquivo “Thumbs.db” referente ao sistema
operacional Windows 10. Passa-se “-H” como parâmetro para que o relatório em formato
“html” seja criado, indicando-se também o diretório de extração, especificado pelo
parâmetro “-o” (“/root/UFPI/TCC/vinetto_output”), além do diretório onde se encontra o
arquivo “Thumbs.db” (“/root/UFPI/TCC/Thumbs.db”). A Figura 10 exibe o resultado
dessa extração.
Figura 9: Execução do comando para extração dos dados do arquivo Thumbs.db.
Figura 10: Imagens extraídas pela ferramenta vinetto e o relatório “index.html”.
32
Para documentação, pode-se anexar somente o relatório “html” gerado, pois nele
estão contidas todas as imagens, o Hash MD5, sua data de criação, e informações sobre
os metadados dos arquivos (MACtimes), bem como a data de modificação do
“Thumbs.db”. Uma parte desse relatório, aberto no browser, pode ser visualizado na
Figura 11.
Mais experimentos a respeito do “Thumbs.db” não estão no escopo deste trabalho,
por isso não são abordados novamente nos estudos de caso.
Por fim, cabe ressaltar que, em alguns casos, esses dados podem ser
permanentemente perdidos devido às técnicas antiforenses, como a sanitização (“wipe”) e
a desmagnetização de discos, apresentadas com mais detalhes no Capítulo 5.
Figura 11: Exibição do relatório “index.html” gerado pelo vinetto.
33
4.2.2 Recuperação de Senhas
Outro caso que pode ocorrer dentro da etapa de extração é a necessidade de se
utilizar ferramentas que possibilitem o acesso ao conteúdo de arquivos protegidos por
senha. Essa recuperação de senha varia de acordo com o contexto e de onde a senha está
armazenada. Há algumas técnicas conhecidas para esse fim, como ataque por força bruta,
ataque de dicionário e Rainbow Tables, explicados nessa subseção, podendo realizar
descoberta dessa senha [1].
Esses ataques são por tentativa e erro, ou seja, onde várias senhas vão sendo
testadas até se encontrar a correta; um exemplo de ferramenta de ataque por força bruta é
a John the Ripper34.
Esse processo testa todas as senhas possíveis, podendo ser um processo bastante
custoso e até inviável, dependendo do tamanho e modelo de senha utilizado. Logo,
recomenda-se a criação de um dicionário de possíveis senhas para teste, através de
softwares específicos, como o Crunch35. Ele limita a ampla gama de possibilidades de
senhas para tornar o ataque mais ágil (ataque de dicionário). Esse procedimento é
demonstrado na Figura 12.
34 Disponível em: <https://www.openwall.com/john/>. Acesso em 19 de fevereiro de 2020.
35 Disponível em: <https://tools.kali.org/password-attacks/crunch>. Acesso em 19 de fevereiro de 2020.
Figura 12: Geração de um dicionário de palavras com a ferramenta Crunch.
34
Gera-se um dicionário de palavras que tenham tamanho mínimo de 9 dígitos
(parâmetro “9”) e máximo 9 (parâmetro “9”), além de especificar que as palavras devem
começar com “mateus” e possuir três dígitos no final (de 0 a 9), onde o “@” é substituído
pelo caractere ou conjunto de caracteres passados como parâmetro, que no caso é
“0123456789”. Após a execução, os dados são salvos em um documento de texto
(“dic_caso01.txt”) para que possam ser utilizados futuramente em um ataque de
dicionário com as possíveis senhas geradas. Os parâmetros podem ser moldados pelo
perito conforme a suspeita de senhas ou mediante algumas pistas que já tiverem sido
obtidas.
Já os ataques de RainBow Tables são utilizados sobre Hashes criptográficos com
o objetivo de revertê-las, por meio do uso de tabelas pré-computadas. Essas tabelas
contêm vários códigos Hashes com suas respectivas mensagens em claro. Os códigos da
tabela vão sendo comparados com o Hash que se deseja reverter, e assim que ambos
forem iguais, descobre-se também a mensagem original.
Há alguns empecilhos que dificultam o ataque por RainBow Tables, como a
necessidade de se ter o Hash da senha como condição obrigatória. Outro ponto, é a
possibilidade de uso de um salt, ou seja, um pequeno valor (aleatório ou não) que é
agregado à senha antes de gerar o Hash, a fim de aumentar a aleatoriedade da saída
produzida. Mais detalhes sobre esse assunto fogem do escopo deste trabalho.
Para aumentar a efetividade do processo, as tabelas de Hashes pré-computadas
devem ser criadas de acordo com características específicas do sistema alvo. Por
exemplo, se o sistema permite apenas senhas contendo letras e números, com tamanho
mínimo de cinco e máximo de oito, e utiliza o algoritmo MD5, os Hashes devem ser
criados a partir dessas características. Alguns softwares que podem ser utilizados para
esse fim são o Ophcrack36 e o FindMyHash37.
O software Ophcrack, disponível tanto para sistemas Windows quanto Linux,
pode ser utilizado, como exemplo, para a descoberta da senha de login do sistema. Para
exemplificar, utiliza-se o sistema operacional Windows 10, onde são extraídos os
arquivos “SAM” e “system” localizados em “C:/Windows/System32/config”, pois esses
arquivos armazenam os dados dos usuários incluindo a senha em código Hash,
carregando-os no programa. Observa-se esse processo na Figura 13.
36 Disponível em: <https://ophcrack.sourceforge.io/>. Acesso em 19 de fevereiro de 2020.
37 Disponível em: <https://code.google.com/archive/p/findmyhash/>. Acesso em 19 de fevereiro de 2020.
35
Conclui-se que há somente um único usuário, o “Administrador” de nome
“mateu”, pois apenas um único Hash foi identificado. As tabelas pré-computadas,
utilizadas no ataque, são disponibilizadas pelo próprio software.
A recuperação de senhas também pode ser realizada de forma direta quando
alguns softwares armazenam essas senhas com alguma codificação simples dentro do
registro do Windows ou as cifram utilizando uma chave conhecida e armazenam o
criptograma da senha concatenado-a ao arquivo criptografado. Nesse caso, utilizando-se
as ferramentas de recuperação adequadas, é possível obter-se a senha ou a chave de
maneira rápida e eficiente [13].
Um exemplo disso é o armazenamento de senhas realizado por parte da maioria
dos browsers quando o usuário opta por guardar suas senhas para poupar o esforço de ter
que digitá-las toda vez que for realizar o login em determinadas páginas. Assim,
recomenda-se que o perito tenha conhecimento de onde essas informações ficam
armazenadas no sistema, pois isso pode variar conforme o browser [13].
A maioria desses browsers, como o Google Chrome e o Opera, armazenam os
logins e senhas dos sites visitados em um arquivo no formato de banco de dados SQLite
Figura 13: Carregamento dos arquivos com os Hashes das senhas.
36
denominado Login Data no armazenamento local. No Windows, as senhas encontram-se
criptografadas por meio de uma API própria desse sistema, podendo ser
descriptografadas por meio dela se for utilizada a mesma máquina e o mesmo usuário
que a criptografou (possuidor da chave).
Para auxiliar nessa tarefa, há o site SecurityXploded38, que especifica o caminho
onde esses arquivos de senhas de diversos browser são salvos localmente, além de
disponibilizar softwares responsáveispor extrair e descriptografar essas senhas por meio
dessa mesma API do Windows.
Utilizando-se o browser Opera como exemplo, os arquivos de senhas registradas
são salvos em “C:/Users/[Nome_do_Usuário]/Appdata/Roaming/Opera Software/Opera
Stable/Login Data” (sistema operacional Windows 10), podendo ocorrer pequenas
variações de nomes e diretórios dependendo do sistema operacional em questão.
Tomando conhecimento desse fato, o perito pode extrair esse arquivo (“Login
Data”) e utilizá-lo no software específico que realiza a recuperação das senhas, no caso,
o Opera Password Decryptor39, que é destinado ao Opera, observado na Figura 14.
38 Disponível em: <https://securityxploded.com/passwordsecrets.php>. Acesso em 6 de março de 2020.
39 Disponível em: <https://securityxploded.com/download-software.php?id=4281>. Acesso em 6 de março de 
2020.
Figura 14: Recuperação dos usuários e senhas de vários sites.
37
Assim, são exibidas as URLs (coluna “Website URL”) dos sites com seus
respectivos dados de usuário (coluna “Username”) e senhas salvas em texto claro, na
coluna “Password”.
4.3 ETAPA DE ANÁLISE
A análise consiste em um exame realizado sobre as informações extraídas do
material apreendido buscando a identificação de evidências digitais que possuam relação
com o fato investigado [1], podendo ser feita por meio de arquivos de logs e de registros
efetuados pelos sistemas operacionais. Assim, o perito deve estudar os dados para tirar
conclusões a partir deles, como identificação de pessoas, lugares, itens, eventos e qual a
relação desses dados com o incidente em questão [7].
Embora a etapa de extração tenha recuperado e identificado informações mais
relevantes atuando como uma espécie de filtro, a quantidade de dados permanece grande,
como por exemplo, um disco de 80 Gigabytes (80GB) — uma capacidade pequena
comparada aos discos mais atuais de 1 Terabyte (1TB) — após ser peneirado ainda pode
conter milhares de arquivos [1].
Analisar visualmente todo o conteúdo filtrado é uma tarefa árdua, visto que o
tempo é um fator importante no processo investigativo, pois existem prazos para sua
conclusão. Dessa forma, ferramentas como filtros de palavras-chave podem ser utilizados
a fim de poupar esse tempo.
Cabe distinguir os filtros utilizados na etapa anterior, a extração, dos utilizados na
análise. Os filtros da etapa anterior atuam de modo mais genérico, filtrando dados em sua
maioria, baseados em formatos, por exemplo. Nessa etapa, busca-se por dados de
maneira mais específica, como por exemplo, o próprio conteúdo do dado, verificando-o
como sendo ilícito ou não.
Outro ponto relevante da etapa de análise é que há a possibilidade de alguns
arquivos extraídos conterem informações ocultas, ou seja, tem-se um arquivo ocultando
outro arquivo (ou uma mensagem). O exemplo de técnica antiforense mais comum para
ocultação de informação é a esteganografia, podendo ser aplicada sobre imagens, áudios,
vídeos ou textos [18]. Essa técnica é apresentada com mais detalhes no Capítulo 5.
38
Dessa forma, o perito deve estar apto na utilização de ferramentas que auxiliem
na busca e organização dos dados extraídos, poupando-se o tempo de investigação.
As próximas subseções abordam, respectivamente, ferramentas para análise de
logs e registros gerados pelos sistemas operacionais Linux e Windows; e para análise
baseada em filtros de palavras-chave.
4.3.1 Análise de Logs e Registros
Em alguns casos, saber quando algo aconteceu pode ser mais valioso do que saber
o que aconteceu [7], por isso que as relações dos dados com o tempo são bem
importantes, e uma forma de se utilizar esse fator na análise é a partir da observação dos
MACtimes [10].
Teoricamente, essa denominação a esses metadados é uma maneira abreviada de
se referir aos três atributos do tempo: Atime (última data/hora que o arquivo ou diretório
foi acessado), Mtime (tempo que o conteúdo do arquivo foi modificado) e Ctime (tempo
da alteração das permissões ou propriedades do arquivo) [10].
A análise baseada em logs gerados pelo sistema operacional Linux tem seu
sistema de registro dividido em três componentes: eventos de conexão, logs de auditoria
e registros do sistema [9].
No primeiro, os logs armazenam os usuários que acessaram o sistema e a data
desse acesso; nos de auditoria, registra-se as informações sobre os recursos usados na
execução dos processos, como memória e uso da CPU; já nos registros de sistema (em
/var/log) tem-se vários dados sobre alterações gerais da máquina [9].
A Tabela 5 elenca alguns desses principais arquivos de log dos sistemas
operacionais Linux encontrados, geralmente, na pasta “/var/log” (alguns ocultos ao
usuário), acompanhados de seu respectivo conteúdo.
39
Tabela 5: Principais arquivos de log gerados nos sistemas Linux.
Arquivos de log Descrição
utmp Registra os usuários conectados no sistema. Pode ser acessado
por meio dos comandos w, who ou finger.
wtmp Registra os eventos de login e logout do sistema. Pode ser
acessado através do comando lastlog.
btmp Registra as falhas de conexão ao sistema. Pode ser acessado
através do comando lastb.
sulog Registra os usos do comando su (superusuário ou root).
syslog Registra os eventos ocorridos no sistema, como falhas ou
tentativas de invasão.
Logs de histórico Arquivos como .history, .bash_history, que registram o
histórico de comandos executados por usuário.
Algumas ferramentas desse sistema operacional facilitam o acesso e a
visualização desses logs no próprio terminal, via linha de comando. Alguns exemplos são
a netstat, que exibe as conexões ativas na rede; history, que exibe o histórico de
comandos que foram utilizados no terminal; e lastlog, que exibe todos os acessos dos
usuários à máquina com a data correspondente [9].
Em sistemas operacionais Windows, esses registros consistem em hives40,
armazenados em diferentes arquivos, porém são mostrados como se fossem um único
arquivo. Sua funcionalidade é centralizar o armazenamento de informações, como
parâmetros, configurações de dispositivos e preferências de usuários [13].
Essa estrutura lógica pode ser observada acessando-se o editor do registro do
Windows (Regedit.exe). Suas chaves raízes, com a respectiva descrição, são apresentadas
na Tabela 6.
40 Do inglês, “colmeia”. Definido como um grupo de vários nodos em formato de árvore, hierarquicamente,
contendo chaves, valores e ponteiros.
40
Tabela 6: Chaves raízes do registro do Windows e suas descrições. Adaptado de [13].
Chave Descrição
HKEY_CLASSES_ROOT Link simbólico para HKEY_LOCAL_MACHINE\
SOFTWARE\Classes.
HKEY_CURRENT_USER Link simbólico para uma chave sob
HKEY_USERS, representando um hive de perfil de
usuário.
HKEY_LOCAL_MACHINE Espaço reservado sem hive físico correspondente.
Essa chave contém outras chaves que são hives.
HKEY_USERS Espaço reservado que contém os hives de perfis de
usuários de contas em uso (usuários com sessão de
login aberta).
HKEY_CURRENT_CONFIG Link simbólico para a chave do perfil de hardware
atual sob HKEY_LOCAL_MACHINE\
SYSTEMCurrentControlSet\Control\IDConfigDB\
Hardware Profiles.
Para análise automática desses hives do Windows, há um software bastante
eficiente e de fácil uso, o Windows Registry Recovery41, utilizado para analisar os
seguintes dados: nome da máquina (hive “default”), informações sobre os grupos e contas
dos usuários (hive “SAM”), e informações sobre a instalação do Windows e de outros
softwares (hive “software”) [13].
Os logs gerados no ambiente Windows têm objetivos semelhantes aos do
ambiente Linux, que, de modo geral, é registrar os eventos ocorridos na máquina como
um todo, podendo ser divididos em cinco categorias: logs de aplicativos, sobre os eventos
relacionados aos programas instalados; de segurança, sobre os relacionados às auditorias(se habilitado), como tentativas de logon com/sem sucesso; de instalação, sobre os
processos de instalação e remoção de aplicações; de sistema, sobre os eventos de erros,
avisos e informações do próprio Windows; e de eventos encaminhados, sobre os eventos
de outros servidores [13].
Essa análise de logs é demonstrada de forma prática no estudo de caso no
Capítulo 7, em um sistema operacional Linux, por meio da análise de eventos ocorridos
nesse sistema.
41 Disponível em: <http://www.mitec.cz/wrr.html>. Acesso em 9 de março de 2020.
41
4.3.2 Análise por Palavras-Chave
A pesquisa por palavras-chave nos dispositivos de armazenamento é uma técnica
bastante utilizada no meio pericial, sendo realizada sobre os inúmeros dados extraídos na
etapa anterior (extração) [1]. Ela consiste em aplicar filtros baseados em palavras-chave
ou Hashes de arquivos conhecidos para descartar os dados irrelevantes e destacar os que
têm relações com o filtro aplicado.
Uma ferramenta que pode auxiliar nesse processo é o Known File Filter42 (KFF),
que compara os Hashes de arquivos conhecidos com os dos arquivos extraídos, sendo
que esses Hashes são baseados no conteúdo do arquivo e não no nome ou extensão,
evitando-se análises errôneas. O KFF pode auxiliar a encontrar arquivos ilícitos e até
malwares, além de identificar e ignorar de 40% a 70% dos arquivos irrelevantes ou do
sistema operacional, aperfeiçoando a análise [1].
Os softwares Forensic Toolkit (FTK) e o Encase são exemplos de ferramentas
que auxiliam essa análise aplicando filtros KFF, filtros por palavras-chave e buscas
dentro do sistema de arquivos [1].
Em sistemas operacionais Linux, há outras ferramentas que podem ser úteis para
a reconstrução ou rastreio de um incidente, como os comandos básicos grep e find, que
filtram dados por palavras-chave [9]; ou o sed e awk, que também realizam esse filtro,
mas permitindo o uso de expressões regulares avançadas para refinar ainda mais a busca
[9].
Outro ponto importante nessa etapa é no âmbito da busca de pacotes em redes de
computadores através de técnicas e ferramentas que identificam e separam do tráfego
protocolos desejados, endereços IP de origem/destino ou portas.
Essa análise de dados em pacotes TCP/IP apresenta algumas peculiaridades,
como por exemplo, a forma e o momento em que é realizada. Ela pode ser feita em um
tráfego sendo analisado em tempo real pelo próprio perito ou sobre uma captura de
tráfego realizada em um momento anterior (modo offline). No primeiro caso, pode não
haver etapa de coleta e extração, iniciando-se diretamente na etapa de análise. No
segundo caso, todas as etapas se fazem presentes.
42 Disponível em: <https://ad-pdf.s3.amazonaws.com/ftk/6.3.x/KFF_Install.pdf>. Acesso em 19 de fevereiro de
2020.
42
As ferramentas Wireshark, tcpdump e ngrep43 são alguns exemplos. Essa última
permite uma filtragem em rede baseada no foco de cada investigação, criando-se “listas
de palavras sujas” (dirty word lists), vulgarmente conhecidas assim por serem palavras
suspeitas e que na maioria dos casos têm relação com o incidente em questão [12].
4.4 ETAPA DE FORMALIZAÇÃO
A última etapa do procedimento forense computacional é a formalização, onde
um laudo técnico pericial deve ser elaborado contendo idônea validade probatória, ou
seja, ser incontestável quanto a sua integridade, assegurando que se os experimentos
forem realizados novamente, os mesmos resultados serão obtidos com a mesma precisão.
Esse laudo deve seguir as especificações do artigo 473 do Código de Processo
Civil [5], relatando-se a cronologia dos fatos na cadeia de custódia [3], esclarecendo-se
os procedimentos e métodos utilizados para a obtenção dos vestígios, além de responder
aos quesitos apresentados pelo juiz, pelas partes e pelo Ministério Público [5].
Insta ressaltar, que esse laudo passa por uma análise de um delegado e de um juiz,
ambos não sendo, necessariamente, conhecedores de informática e nem das ferramentas
ou técnicas empregadas pelo profissional que atua na área de tecnologia, sendo
responsabilidade do perito que elabora o laudo ser o mais claro e sucinto possível, ou
seja, evitar a utilização de termos técnicos e evitar descrever em detalhes a tecnologia
utilizada, a fim de dirimir dúvidas [13].
Assim, todas as informações obtidas nas etapas anteriores, como os elementos de
materialidade do crime, devem ser anexadas ao laudo de modo objetivo. Geralmente,
esse anexo é um CD-ROM contendo os dados obtidos, por ser de fácil acesso às
autoridades do direito e terem um custo relativamente baixo.
Por fim, essa etapa é fundamental para manter a segurança, a transparência e a
validade de eventuais evidências digitais encontradas nos materiais examinados. Em
geral, a estrutura seguida nos laudos técnicos periciais apresentam os seguintes tópicos:
preâmbulo, histórico, material, objetivo, considerações técnicas ou periciais, exames e
respostas aos quesitos ou conclusões [1]. Um exemplo dessa estrutura de laudo está
exemplificado na Tabela 7.
43 Disponível em: <http://ngrep.sourceforge.net/usage.html>. Acesso em 19 de fevereiro de 2020.
43
Tabela 7: Seções do laudo técnico pericial. Fonte: adaptado de [1].
Laudo Técnico Pericial (Forense Computacional)
Preâmbulo Identificação do laudo: título, subtítulo, número, data de emissão, etc.
Histórico Fatos anteriores ao laudo (opcionais).
Material Descrição detalhada do material questionado, como marca, modelo,
número de série, valor hash, etc.
Objetivo Objetivos principais do exame pericial.
Considerações 
técnicas ou periciais
Onde o perito pode descrever conceitos para facilitar o entendimento
do laudo (opcional).
Exames Descrição dos métodos e técnicas utilizadas para localização das
evidências.
Respostas aos 
quesitos/conclusões
Resumo objetivo dos resultados obtidos.
5. ANTIFORENSE COMPUTACIONAL
O termo antiforense computacional pode ser definido como qualquer tentativa de
comprometimento à disponibilidade ou à utilidade de evidências para o processo forense.
O comprometimento dessa disponibilidade de evidências inclui quaisquer tentativas de
impedir que elas estejam evidentes, ocultando-as ou manipulando-as, a fim de garantir
que não esteja mais ao alcance do investigador [20].
Assim, preliminarmente, pode-se julgar esse termo como sendo os métodos
utilizados para impedir a aplicação da ciência às leis civis e criminais utilizadas pelas
agências policiais em um sistema de justiça criminal, comprometendo a disponibilidade
ou utilidade de evidências para o processo forense [20].
As ações antiforenses podem ser classificadas em grupos de acordo com suas
finalidades em relação aos dados: destruição, ocultação, proteção, eliminação da fonte e
falsificação [13][20]. A Tabela 8 reúne essas ações correlacionando-as com seu(s)
objetivo(s), dentro de uma categoria.
44
Tabela 8: Ações antiforenses e suas categorias. Traduzido e adaptado de [20].
Ações
Categorias
Eliminação
da fonte
Falsificação Destruição Ocultação Proteção
Alterações no
MACtimes
(Modification
, Access,
Creation
time)
-
Reescrever
com dados
aleatórios
Deletar as
informações
sobre
MACtimes ou
reescrevê-las
- -
Exclusão /
sanitização
(wipe) dos
dados
- -
Sobrescrever o
conteúdo com
dados
aleatórios ou
pôr zero em
todos os bits 
Excluir o
arquivo -
Destruição
física ou
desmagnetiza
ção do disco
- -
Destruir
fisicamente a
mídia de
armazenamento
- -
 Ataque
Hijacking —
sequestro de
conta ou
sessão
-
Criar
evidências
falsas
através da
conta/sessão
de outro
usuário
- - -
Desabilitação
de logs
Não são
disponibiliza
das
informações
sobre
atividades
realizadas
- - - -
45
Criptografia - - - -
Codificar os
dados de
forma que
apenas o
detentor da
chave correta
consiga
decodificar
Encapsulame
nto dos dados - - -
Ocultar um
arquivo em
outro
-