perícia forense computacional

Prévia do material em texto

FACULDADE GOVERNADOR OZANAM COELHO 
 
 
 
 
 
 
 
 
 
 
 
 
PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para 
obtenção de evidências digitais em sistemas operacionais Microsoft 
Windows 
 
 
 
 
 
 
 
ROBSON MARCHIONI GRÔPPO 
 
 
 
 
 
 
 
 
 
 
 
 
UBÁ 
MINAS GERAIS 
2011 
i 
 
 
 
 
 
 
 
ROBSON MARCHIONI GRÔPPO 
 
 
 
 
 
 
PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para 
obtenção de evidências digitais em sistemas operacionais Microsoft 
Windows 
 
 
 
 
 
 
 
Monografia apresentada como parte 
das exigências para obtenção do 
título de Bacharel em Ciência da 
Computação da Faculdade 
Governador Ozanam Coelho, 
FAGOC. 
 
 
 
Orientador: Prof. M. Sc. Marcelo Daibert. 
 
 
 
 
 
 
UBÁ 
MINAS GERAIS 
2011 
 
ii 
 
 
 
 
 
 
ROBSON MARCHIONI GRÔPPO 
 
 
 
 
 
 
PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para 
obtenção de evidências digitais em sistemas operacionais Microsoft 
Windows 
 
 
 
 
 
Monografia apresentada e aprovada em 12 de 
Julho de 2011. 
 
 
 
 
______________________ 
Saulo Campos 
(Examinador) 
 
______________________ 
Sérgio Murilo Stempliuc 
(Examinador) 
 
______________________ 
Marcelo Santos Daibert 
(Orientador) 
 
______________________ 
Waldir Andrade Trevizano 
(Coordenador) 
 
 
iii 
 
 
 
 
 
 
 
 
 
AGRADECIMENTOS 
 
 
Gostaria de deixar meus sinceros agradecimentos, primeiramente, a Deus 
pela saúde e por ter me abonado de conhecimento, capacidade e força para concluir 
a graduação. 
Aos meus pais e minha irmã pelo exemplo, incentivo e carinho, pois sem eles 
a conclusão deste trabalho não seria possível. 
Ao amigo, professor e mestre, Marcelo Santos Daibert, pelo incentivo e pela 
dedicação com a qual orientou esse trabalho, tornando assim viável seu término. 
E a todos aqueles que, direta ou indiretamente, contribuíram para a realização 
desse trabalho. 
 
 
 
 
 
 
 
 
 
 
 
iv 
 
 
 
 
 
 
RESUMO 
 
 
O presente trabalho propõe a descrição e utilização de algumas técnicas e 
ferramentas existentes que auxiliam peritos digitais, administradores de redes, 
profissionais da área de segurança e tecnologia da informação entre outros 
profissionais na obtenção de evidências digitais em sistemas Microsoft Windows, 
além de proporcionar uma base teórica para quem tem interesse na área de perícia 
em computadores. Tais técnicas e ferramentas são muito úteis para peritos digitais, 
policiais, delegados, juízes entre outros profissionais na luta contra o crime digital. 
Neste trabalho serão abordadas técnicas desde o momento em que o equipamento 
a ser periciado é apreendido pelo perito digital até a fase de confecção do laudo 
pericial para ser usado em juízo. Juntamente com as técnicas também serão 
apresentadas ferramentas disponíveis que auxiliam peritos na obtenção de 
evidências. No final deste trabalho ainda será apresentado um estudo de caso de 
um crime fictício. 
 
Palavras-chave: Crime Digital, Perito Digital, Perícia Forense Computacional, 
Microsoft Windows. 
 
 
 
 
 
 
v 
 
SUMÁRIO 
 
RESUMO.................................................................................................................... iv 
LISTA DE FIGURAS ................................................................................................. vii 
LISTA DE TABELAS .................................................................................................. ix 
LISTA DE SIGLAS ...................................................................................................... x 
1. INTRODUÇÃO ...................................................................................................... 1 
1.1. O problema e sua importância ....................................................................... 3 
1.2. Objetivos ........................................................................................................ 7 
1.2.1. Objetivo geral........................................................................................... 7 
1.2.2. Objetivos específicos ............................................................................... 7 
1.3. Metodologia .................................................................................................... 7 
1.4. Organização do trabalho ................................................................................ 9 
2. REFERENCIAL TEÓRICO ................................................................................. 10 
2.1. A Internet ...................................................................................................... 10 
2.2. Ciência Forense ........................................................................................... 12 
2.3. Forense Computacional ............................................................................... 13 
2.4. Aspectos Legais ........................................................................................... 15 
2.4.1. Brasil ...................................................................................................... 16 
2.4.1.1. Projetos de Leis ..................................................................................... 23 
2.4.1.1.1.Projeto de lei Eduardo Azeredo ........................................................... 23 
2.4.1.1.2.Projeto de lei 89/2003 .......................................................................... 25 
2.5. Obtenção de Evidências Digitais .................................................................. 26 
2.5.1. Aquisição ou Coleta e Preservação ....................................................... 28 
2.5.2. Identificação ou Exame ......................................................................... 30 
2.5.3. Análise ................................................................................................... 30 
2.5.4. Apresentação......................................................................................... 31 
2.6. Microsoft Windows ....................................................................................... 31 
3. TRABALHOS RELACIONADOS ......................................................................... 39 
3.1. Computação Forense com Software Livre: Conceitos, Técnicas, 
Ferramentas e Estudos de Casos .......................................................................... 39 
3.2. Forensic Examination of Digital Evidence: A Guide for Law Enforcement 
(Exame Forense de Evidência Digital: Um Guia para Aplicação da Lei)................ 39 
3.3. Perícia Forense Computacional baseada em Sistema Operacional Windows 
XP Profissional ....................................................................................................... 40 
3.4. Técnicas Forenses ....................................................................................... 40 
4. FERRAMENTAS FORENSES ............................................................................ 41 
vi 
 
4.1. Softwares ..................................................................................................... 41 
4.1.1. EnCase Forensic ................................................................................... 41 
4.1.2. FTK ........................................................................................................ 44 
4.1.3. Helix ....................................................................................................... 45 
4.1.4. CallerIP .................................................................................................. 47 
4.1.5. eMailTrackerPro .................................................................................... 48 
4.1.6. Recover My Files ................................................................................... 49 
4.1.7. Symantec Norton Ghost ........................................................................ 50 
4.1.8. Process Monitor ..................................................................................... 52 
4.1.9. COFEE.................................................................................................. 53 
4.1.10. MD5 Check Utility .................................................................................. 54 
4.1.11. NuDetective ........................................................................................... 55 
4.2. Hardwares .................................................................................................... 57 
4.2.1. FRED ..................................................................................................... 57 
4.2.2. Forensic Talon e Forensic Quest ........................................................... 62 
4.2.3. Espion Forensics FastBlock 3 FE .......................................................... 64 
5. ELABORAÇÃO DO LAUDO PERICIAL .............................................................. 65 
5.1. Preâmbulo .................................................................................................... 69 
5.2. Histórico ....................................................................................................... 69 
5.3. Material ........................................................................................................ 70 
5.4. Objetivo ........................................................................................................ 73 
5.5. Considerações técnicas/periciais ................................................................. 73 
5.6. Exames ........................................................................................................ 74 
5.7. Respostas aos quesitos/conclusões ............................................................ 75 
6. ESTUDO DE CASO ............................................................................................ 78 
6.1. Introdução ao caso ....................................................................................... 78 
6.2. Laudo Pericial .............................................................................................. 78 
6.2.1. Preâmbulo ............................................................................................. 79 
6.2.2. Histórico ................................................................................................. 79 
6.2.3. Material .................................................................................................. 79 
6.2.4. Objetivo ................................................................................................. 81 
6.2.5. Considerações técnicas/periciais........................................................... 81 
6.2.5.1. Captura de dados voláteis ..................................................................... 82 
6.2.5.2. Integridade do disco rígido (HD) questionado ....................................... 82 
6.2.5.3. Algoritmo MD5 ....................................................................................... 84 
6.2.5.4. Verificação da integridade da mídia óptica ............................................ 85 
6.2.5.5. Visualização do conteúdo da mídia óptica ............................................. 86 
6.2.6. Exames .................................................................................................. 86 
6.2.7. Respostas aos quesitos ....................................................................... 102 
7. CONSIDERAÇÕES FINAIS .............................................................................. 105 
7.1. Trabalhos Futuros ...................................................................................... 106 
REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 107 
vii 
 
 
LISTA DE FIGURAS 
 
 
Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. ............................ 4 
Figura 1.2: 10 Categorias que Receberam mais Reclamações. ................................. 5 
Figura 1.3: Prejuízo e Porcentagem. ........................................................................... 6 
Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação 
Forense. .................................................................................................................... 13 
Figura 2.2: Surgimento do Perito em Forense Computacional. ................................. 14 
Figura 2.3: Fases de um processo de investigação. ................................................. 28 
Figura 2.4: Exemplo de um formulário de cadeia de custódia. .................................. 29 
Figura 2.5: Interface gráfica do Windows 2.03. ......................................................... 32 
Figura 2.6: Interface gráfica do Windows 3.1 ............................................................ 32 
Figura 2.7: Interface gráfica do Windows 95. ............................................................ 33 
Figura 2.8: Interface gráfica do Windows ME. ........................................................... 35 
Figura 2.9: Interface gráfica do Windows XP. ........................................................... 36 
Figura 2.10: Interface gráfica do Windows Vista. ...................................................... 37 
Figura 2.11: Interface gráfica do Windows 7. ............................................................ 38 
Figura 4.1: Funcionamento básico do EnCase. ......................................................... 42 
Figura 4.2: Tela principal do EnCase. ....................................................................... 43 
Figura 4.3: Tela principal do FTK. ............................................................................. 45 
Figura 4.4: Tela de abertura do software Helix. ......................................................... 46 
Figura 4.5: Tela principal do Helix. ............................................................................ 47 
Figura 4.6: Tela principal da ferramenta CallerIP. ..................................................... 48 
Figura 4.7: Tela principal da ferramenta eMailTrackerPro. ....................................... 49 
Figura 4.8: Interface principal da ferramenta Recover My Files. ............................... 50 
Figura 4.9: Processo de espelhamento ou imagem de dados................................... 51 
Figura 4.10: Tela principal do software Symantec Norton Ghost. ............................. 52 
Figura 4.11: Tela onde a imagem ou espelhamento está sendo realizada. .............. 52 
Figura 4.12: Tela do Process Monitor. ...................................................................... 53 
Figura 4.13: Tela do software COFEE. ..................................................................... 54 
Figura 4.14: Tela da ferramenta MD5 Check Utility. .................................................. 55 
Figura 4.15: Tela da ferramenta NuDetective. ........................................................... 57 
Figura 4.16: Hardware FRED. ................................................................................... 59 
Figura 4.17: Hardware FREDC. ................................................................................ 60 
Figura 4.18: Hardware FRED-L e o UltraKit. ............................................................. 61 
Figura 4.19: Hardware FREDDIE. ............................................................................. 61 
Figura 4.20: Hardware FREDM. ................................................................................ 62 
Figura 4.21: Forensic Talon....................................................................................... 63 
Figura 4.22: Forensic Quest. ..................................................................................... 63 
Figura 4.23: FastBlock 3 FE instalado entre o disco rígido questionado e o 
computador. .............................................................................................................. 64 
Figura 5.1: Principais informações a serem inseridas no preâmbulo do laudo. ........ 69viii 
 
Figura 5.2: Exemplo de texto contido na seção histórico. ......................................... 70 
Figura 5.3: Disco rígido questionado. ........................................................................ 71 
Figura 5.4: Disco rígido questionado com as informações detalhadas. .................... 72 
Figura 5.5: Exemplo de texto contido na seção objetivo de um laudo. ...................... 73 
Figura 5.6: Exemplo de texto contido na seção considerações técnicas/periciais de 
um laudo.................................................................................................................... 74 
Figura 5.7: Exemplo finalização de laudo, incluindo devolução do material lacrado e 
assinaturas ................................................................................................................ 77 
Figura 6.1: Computador onde foi encontrado o disco rígido questionado. ................ 80 
Figura 6.2: Disco rígido apreendido. ......................................................................... 81 
Figura 6.3: Disco rígido de destino. ........................................................................... 83 
Figura 6.4: Arquivo antes de ser alterado e seu respectivo código hash. ................. 84 
Figura 6.5: Arquivo depois de ser alterado e seu respectivo código hash. ............... 84 
Figura 6.6: Verificação do arquivo hashes.txt da mídia óptica. ................................. 85 
Figura 6.7: Arquivos presentes na mídia óptica. ....................................................... 86 
Figura 6.8: Computador suspeito encontrado ligado. ................................................ 87 
Figura 6.9: Captura dos dados voláteis sendo feita com a ferramenta COFEE ........ 88 
Figura 6.10: Programa COFEE sendo executado no computador suspeito .............. 88 
Figura 6.11: Opção Execute runner.exe .................................................................... 89 
Figura 6.12: Pasta gerada ao final do processo. ....................................................... 90 
Figura 6.13: Categorias dos dados voláteis capturados. ........................................... 90 
Figura 6.14: Conteúdo do diretório network e de um documento. ............................. 91 
Figura 6.15: Gerando relatório dos dados voláteis. ................................................... 92 
Figura 6.16: Conteúdo da pasta Dados Voláteis. ...................................................... 92 
Figura 6.17: Conteúdo do arquivo index. .................................................................. 93 
Figura 6.18: Programa Process Monitor rodando no computador suspeito. ............. 94 
Figura 6.19: HD questionado e de destino conectados no computador para realizar o 
espelhamento. ........................................................................................................... 95 
Figura 6.20: Opção cópia do disco para outro disco. ................................................ 96 
Figura 6.21: Processo de espelhamento dos HDs em execução. ............................. 96 
Figura 6.22: Formulário de cadeia de custódia. ........................................................ 97 
Figura 6.23: Arquivos encontrados nos exames periciais. ........................................ 99 
Figura 6.24: Geração dos hashes criptográficos dos dados voláteis. ..................... 100 
Figura 6.25: Geração dos hashes criptográficos dos arquivos encontrados no 
computador suspeito. .............................................................................................. 101 
Figura 6.26: Código de integridade gerado do arquivo „hashes.txt‟. ........................ 102 
 
 
 
 
 
ix 
 
LISTA DE TABELAS 
 
 
Tabela 2.1: Ações comuns, tipo e artigo C.P. ........................................................... 22 
Tabela 5.1: Exemplo de descrição de um disco rígido em formato tabular. .............. 72 
Tabela 6.1: Características do disco rígido apreendido. ........................................... 80 
Tabela 6.2: O ciclo de vida esperado dos dados. ...................................................... 82 
Tabela 6.3: Características do disco rígido de destino. ............................................. 83 
Tabela 6.4: Arquivos encontrados nos exames periciais. ......................................... 98 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
x 
 
LISTA DE SIGLAS 
 
 
ABEAT - Associação Brasileira de Especialistas em Alta Tecnologia 
ABIN - Agência Brasileira de Inteligência 
ARPA - Advanced Research and Projects Agency 
CCB - Código Civil Brasileiro 
CERT.BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança 
no Brasil 
CPB - Código Penal Brasileiro 
CPC - Código de Processo Civil 
CPP - Código de Processo Penal 
ECA - Estatuto da Criança e do Adolescente 
EFE - Agência de Notícias Internacional 
FGV - Fundação Getúlio Vargas 
IBGE - Instituto Brasileiro de Geografia e Estatística 
IC3 - Internet Crime Complaint Center 
ONU - Organização das Nações Unidas 
OSCE - Organização de Segurança e Cooperação da Europa 
PF - Polícia Federal 
TI - Tecnologia da Informação 
 
 
 
 
 
 
 
1 
 
 
 
 
 
 
 
 
 
1. INTRODUÇÃO 
 
 
Com a grande expansão da Internet no mundo cotidiano assim como os 
demais avanços tecnológicos deu espaço ao aparecimento do que se conhece como 
os crimes digitais ou cibercrimes1. Hoje a Internet está presente, não só em casas e 
lan houses, mas também nos mais diversos estabelecimentos privados e/ou 
públicos, como por exemplo, shoppings, praças e supermercados, tornando-se 
acessível e indispensável na vida de milhares de pessoas. Tal revolução na 
acessibilidade se deu graças à tecnologia wireless (Internet sem fio), que permite 
que qualquer pessoa portadora de um dispositivo adequado acesse e navegue pela 
web, desde que o acesso à conexão não seja protegido por senha pelo 
administrador da rede wireless em questão. Essa medida de proteção, no entanto, 
pode ser facilmente burlada por alguém que detenha conhecimento suficiente na 
área. Além da tecnologia wireless descrita, a conectividade tem sido facilitada 
também por dispositivos cada vez mais portáteis com a capacidade de conexão à 
rede, como notebooks, netbooks e smart phones. Contra todos esses argumentos, 
contrapõe-se o fato de cerca de 65% da população brasileira ainda não ter acesso à 
Internet, de acordo com o Instituto Brasileiro de Geografia e Estatística (IBGE, 
2008). A contradição pode ser facilmente explicada pela má distribuição de renda da 
população brasileira que confronta com os preços relativamente altos de tais 
aparelhos tecnológicos. 
Os serviços que a Internet proporciona aos seus usuários são incontáveis, 
alguns deles são a possibilidade de fazer compras, pagar contas, realizar transações 
e atualizar dados bancários, realizar pesquisas, comunicar-se com pessoas ao redor 
do mundo, informar-se através de jornais, noticiários e até mesmo blogs pessoais, 
entre outros diversos serviços e facilidades sem precisar sair do conforto e 
segurança de sua residência. 
 
1
 São crimes cometidos no âmbito virtual. 
2 
 
A Internet deveria ser usada apenas para fins legais, mas infelizmente essa 
não é a realidade. Uma vez conectado se não houver a devida segurança 
necessária com o computador ou qualquer outro dispositivo que esteja sendo 
utilizado para acessar a Internet, como cuidados com o sistema de antivírus que 
deve estar sempre atualizado e/ou o firewall ativo, há sempre o risco de ser vítima 
de um criminoso digital motivado pela grande facilidade de ferramentas simples de 
serem manuseadas, pelo grande uso desses serviços, pela inexistência de 
legislação própria, pela impunidade, por contar com a falta de informação e/ou 
conhecimento de usuários que fazem uso desse tipo de serviços e que são presas 
fáceis para esses criminosos,e principalmente pelo lucro - de acordo com a 
Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT), e a Polícia 
Federal (PF), os crimes mais rentáveis no Brasil hoje são os digitais e os lucros são 
maiores até que os obtidos com o narcotráfico (BELCHIOR, 2008) - e pela crença no 
anonimato, uma vez que existem técnicas criadas para dificultar o trabalho dos 
peritos digitais na identificação dos infratores, técnicas denominadas de anti-
forenses. 
Em um passado saudado por muitas empresas, um incidente de segurança 
computacional só poderia acontecer dentro das dependências da mesma. Era a 
época de redes locais, onde havia soluções fantásticas (MELO, 2009). Porém, com 
o crescimento da Internet e das redes de computadores, por mais que uma empresa 
tenha uma estrutura de segurança física muito boa, não poderá ser dito que a 
mesma estará totalmente protegida contra esses criminosos, pois eles não precisam 
mais ir até o local do crime para que o mesmo possa ocorrer. Sandro Melo (2009) 
relata que com o crescimento da Internet os limites geográficos deixaram de ser um 
problema para esses criminosos digitais, ampliando-os para o tamanho máximo da 
própria rede, ou seja, qualquer computador ligado à Internet pode tanto ser vítima de 
um criminoso quanto ser o próprio. 
Antes do surgimento dos crimes computacionais as evidências e possíveis 
provas para resolução de um crime eram obtidas através de meios tradicionais 
como, por exemplo, impressões digitais, relatórios de toxicologia, documentos em 
papel, análise de rastro entre outros meios. Tais meios ainda são de suma 
importância para solucionar o quebra-cabeça em muitos crimes cometidos hoje, no 
entanto, o avanço da tecnologia e o surgimento do cibercrime trouxeram consigo 
outro tipo de prova, a evidência digital, provida do cibercrime (FREITAS, 2003). 
3 
 
Os incidentes cometidos por meio do uso de computadores vêm crescendo de 
forma muito rápida e os mesmos deixaram de ter como único objetivo a invasão e 
pichação de uma home page de um web site como acontecia antigamente. Hoje o 
objetivo maior desse tipo de incidente de segurança computacional é a obtenção de 
lucros, que podem ser conseguidos através de invasões nas redes das instituições, 
através de golpes entre outros diversos meios. Para combater tais ameaças surgiu 
uma nova área de atuação, denominada de computação forense ou forense 
computacional (MELO, 2009). A forense computacional é uma área ainda nova, 
porém, já necessita de muitos profissionais capacitados para atuar no combate a 
esses novos tipos de fraudes e criminosos. 
 
 
1.1. O problema e sua importância 
 
Paulo Quitiliano presidente da Abeat e coordenador-geral da Conferência 
Internacional de Perícias em Crimes Cibernéticos, relatou que a tendência é que 
essas ações criminosas aumentem, graças às novas formas de tecnologia e à já 
comentada falta de legislação própria (BELCHIOR, 2008). De acordo com o Centro 
de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil 
(CERT.BR), o crime digital cresceu de uma forma muito rápida. Os dados do 
CERT.BR (2010) confirmam que, em 1999, o total de incidentes reportados foi de 
3107, um número muito pequeno comparado com o total de incidentes reportados 
apenas uma década depois, já que no ano de 2009 houve um pouco mais de 358 mil 
no total de incidentes reportados, isso apenas no Brasil. No ano de 2010 esse 
número diminui consideravelmente, porém, no primeiro semestre de 2011 a 
quantidade de incidentes reportados já ultrapassam o ano de 2010 todo . É possível 
observar esses dados na Figura 1.1. 
 
4 
 
 
Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. 
Fonte: CERT.BR, 2010. 
 
É importante frisar que muitos incidentes não chegam ao conhecimento do 
CERT.BR, pois ainda vigora entre muitas empresas e instituições brasileiras a 
prática comum de não divulgarem quando sofrem algum tipo de incidente 
computacional, evitando assim exporem suas vulnerabilidades publicamente. Além 
disso, outro ponto que também deve ser levado em consideração é o fato de que a 
maioria das fraudes relacionadas à “Internet banking” não fazem parte dos totais 
apresentados na estatística divulgada periodicamente pelo CERT.BR, o que 
somente demonstra a gravidade deste problema em nosso país (ARAUJO, 2010). 
Ainda segundo o Delegado José Mariano de Araujo Filho (2010), o CERT.BR 
considera como um incidente de segurança qualquer evento adverso, confirmado ou 
sob suspeita, relacionado à segurança de sistemas de computação ou de redes de 
computadores, sendo que podem ser exemplificados como: 
 
● tentativas de ganhar acesso não autorizado a sistemas ou dados; 
● ataques de negação de serviço; 
● uso ou acesso não autorizado a um sistema; 
5 
 
● modificações em um sistema, sem o conhecimento, instruções ou 
consentimento prévio do dono do sistema; 
● desrespeito à política de segurança ou à política de uso aceitável de uma 
empresa ou provedor de acesso. 
 
Diferentemente do que acontece no Brasil, outros países mais desenvolvidos 
adotam a prática comum de divulgarem os incidentes que acontecem dentro de suas 
redes internas, além do prejuízo que tais ações criminosas acarretam (ARAUJO, 
2010). Pode-se observar na Figura 1.2 o número de incidentes por meio eletrônico 
na Internet americana no ano de 2009. A Figura 1.2 ilustra com sua respectiva 
porcentagem apenas as primeiras dez categorias que receberam o maior número de 
denúncias. 
 
 
Figura 1.2: 10 Categorias que Receberam mais Reclamações. 
Fonte: Elaborada pelo autor adaptada de Internet Crime Complaint Center (IC3), 2009. 
 
Na Figura 1.3, todos os incidentes reportados foram divididos em categorias 
levando em consideração o prejuízo (em dólar) que cada um causou. Vale lembrar 
que esses valores são os que foram relatados, tendo em vista que algumas ações e 
6 
 
seus respectivos prejuízos não tiveram seus dados divulgados o que torna esse 
número ainda maior. 
 
 
Figura 1.3: Prejuízo e Porcentagem. 
Fonte: Internet Crime Complaint Center (IC3), 2009. 
 
Como pode ser notado, o crime digital, é um problema que acontece não 
apenas no Brasil, mas também no Mundo. As autoridades precisam se preparar 
cada dia mais para lidar com esses cibercriminos2, que estão sempre desenvolvendo 
novas formas de cometer fraudes – de acordo a Agência Brasileira de Inteligência 
(ABIN, 2008), Mikko Hypponen, chefe de pesquisa da finlandesa F-Secure, relatou 
que, ao desenvolver uma nova ameaça, os fraudadores testam todas as ferramentas 
de segurança até que a ameaça não seja detectada; ele ainda afirma que é uma 
guerra desleal, pois “o inimigo tem acesso às nossas armas”. De fato essa é uma 
guerra bastante injusta, uma vez que além desses criminosos terem acesso aos 
meios de prevenção, as autoridades e outros profissionais que lutam para combater 
esses crimes precisam estar preparados para lidar com um novo tipo de ameaça, a 
qual eles ainda sequer detêm conhecimento. Desse modo é quase inevitável que 
haja as primeiras vítimas para só então as autoridades descobrirem como combater 
a ameaça. Para se ter uma ideia mais ampla do tamanho do problema que as 
autoridades especialistas devem enfrentar no combate às ameaças e no alerta aos 
usuários, o vírus que é somente uma das armas usadas por cibercriminosos, tem o 
surgimento de 200 novos tipos por mês, ou seja, são quase 7 vírus que surgem todo 
 
2
 Cibercriminosos ou criminosos digitais são pessoas que cometem algum tipo de infração no meio digital. 
7 
 
dia, conforme informações divulgadas pela Mcafee (2009), empresa especializada 
na criação de programas antivírus. 
O crime digital cresce a cada ano de forma exponencial e paralelamente a 
isso crescem os prejuízos - de acordo com Kilian Strauss da Organização de 
Segurança e Cooperação da Europa, OSCE, os danoscausados pelo crime digital 
estão estimados em cerca de US$ 100 bilhões anuais (REUTERS, 2008). As 
empresas precisam cada vez mais estarem preparadas para evitar serem vítimas 
desses criminosos, pois o que eles podem conseguir ao invadir uma rede de uma 
determinada empresa pode ser importante, pois, como já mencionado, a intenção 
deles não é somente a difamação de uma empresa pela pichação de seu web site 
como acontecia antigamente, atualmente os objetivos são focados no lucro. 
 
1.2. Objetivos 
 
1.2.1. Objetivo geral 
 
Desenvolver um estudo sobre Perícia Forense Computacional baseada no 
sistema operacional Microsoft Windows. 
 
1.2.2. Objetivos específicos 
 
● Proporcionar uma base teórica para quem tem interesse na área de perícia 
em computadores. 
● Apresentar as questões jurídicas relacionadas aos crimes digitais. 
● Descrever algumas técnicas e ferramentas existentes que auxiliam na 
obtenção de evidências digitais. 
● Conhecer como é feita a confecção do laudo pericial para ser usado em 
juízo. 
● Desenvolver um estudo de caso de um crime fictício na busca de evidências 
digitais. 
 
1.3. Metodologia 
 
A intenção do autor com o desenvolvimento deste trabalho é proporcionar 
uma base teórica para pessoas que tenham interesse no tema proposto, descrever 
funcionalidades de algumas ferramentas que podem ser utilizadas durante os 
exames periciais, expor as questões jurídicas relacionadas aos crimes digitais e 
8 
 
auxiliar profissionais na confecção do laudo pericial com um modelo de laudo 
proposto. 
Inicialmente, foi realizado um estudo teórico para que o autor tenha algum 
embasamento, alguma autoridade, para falar sobre o tema proposto. Feito isso, foi 
apresentada uma introdução sobre o tema, onde é descrito a evolução da 
tecnologia, o surgimento desse novo tipo de crime e sua real necessidade de 
combate. 
Adiante, são apresentadas as leis e os projetos de leis relacionados com os 
cibercrimes. Para isso, foi realizado um estudo minucioso sobre as leis e os futuros 
projetos de leis que regem os crimes computacionais, citando leis já existentes na 
legislação brasileira e que podem ser usadas para enquadrar um crime 
computacional, além de falar de alguns projetos de leis específicos para os crimes 
digitais. É de suma importância que o profissional responsável pela realização da 
perícia tenha conhecimentos jurídicos, para que o mesmo realize o exame de forma 
segura e não seja indiciado por qualquer tipo de crime. 
Dando sequência ao trabalho, foi feito um levantamento sobre as ferramentas 
(softwares e hardwares) existentes atualmente e que podem ser utilizadas durante o 
processo de análise forense. Foram citadas diversas ferramentas, suas 
funcionalidades e em que tipos de exames cada uma pode ser utilizada. 
Para finalizar o trabalho, o perito deve elaborar um laudo pericial, escrito de 
forma clara e concisa, que irá descrever todos os procedimentos, técnicas, métodos 
e softwares utilizados durante o exame e apresentar os resultados de forma 
imparcial. Ciente dessa necessidade, foram realizadas pesquisas buscando por 
modelos de laudos periciais. Durante tais pesquisas, foram encontrados pré-
requisitos presentes na legislação brasileira, que devem ser respeitados, para atuar 
como perito forense computacional e para confeccionar um laudo pericial. Tais pré-
requisitos foram citados e adiante foi apresentado um modelo padrão de laudo que 
pode ser seguido, explicando o que deve ser feito em cada uma das seções 
presentes nesse modelo de laudo pericial. 
 No final do trabalho monográfico, após estar ciente de quais técnicas e 
ferramentas utilizar em cada fase do processo de análise forense, conhecer as leis 
relacionadas aos crimes digitais e ter noção de como elaborar um laudo pericial, foi 
apresentado um estudo de caso e através dele foi possível apresentar o 
9 
 
funcionamento de algumas ferramentas que podem ser utilizadas para auxiliar o 
perito durante seu trabalho. 
 
1.4. Organização do trabalho 
 
Este trabalho está dividido em seis capítulos e o que foi feito em cada um 
desses capítulos é descrito a seguir: 
 
● Capitulo 1: No primeiro capítulo encontra-se a introdução do trabalho, onde 
é descrito a evolução da tecnologia, o surgimento desse novo tipo de crime e 
sua real necessidade de combate. A seguir são apresentados os sub 
capítulos, que esclarecem a importância do tema e os problemas 
relacionados, finalizando o primeiro capítulo desse trabalho, pode-se observar 
os objetivos da pesquisa. 
● Capitulo 2: No referencial teórico é abordado o conceito de alguns temas 
para que haja um melhor entendimento do trabalho, como por exemplo: A 
Internet, Ciência Forense, Forense Computacional, leis e projetos de leis 
relacionados a crimes computacionais entre outros. 
● Capitulo 3: Em trabalhos relacionados foram descritos os trabalhos que 
contribuíram para o desenvolvimento e aplicação deste trabalho. 
● Capitulo 4: Neste capítulo foi realizado um levantamento de algumas 
ferramentas (softwares e hardwares) forenses existentes que possam ser 
usadas durante uma análise pericial. 
● Capitulo 5: No quinto capítulo é descrito um modelo de laudo que pode ser 
seguido, além de citar os pré-requisitos necessários para atuar com perito 
forense computacional e para confeccionar um laudo pericial. 
● Capitulo 6: Neste último capítulo foi apresentado um estudo de caso 
utilizando ferramentas forenses específicas. 
 
 
 
 
 
 
 
 
 
 
10 
 
 
 
 
 
 
 
 
 
2. REFERENCIAL TEÓRICO 
 
 
2.1. A Internet 
 
“A Internet não é de modo algum uma rede, mas sim um vasto conjunto de 
redes diferentes que utilizam certos protocolos comuns e fornecem 
determinados serviços comuns. É um sistema pouco usual no sentido de 
não ter sido planejado nem ser controlado por ninguém” (TANENBAUM, 
2003). 
 
A Internet teve seu surgimento quase que ao acaso: foi desenvolvida pela 
empresa ARPA (Advanced Research and Projects Agency) em 1969, em plena 
Guerra Fria, com o objetivo de manter a comunicação das bases militares dos 
Estados Unidos. Na ocasião recebeu o nome de ArpaNet. 
Com o fim da Guerra, a ArpaNet tornou-se tão inútil que os militares já não a 
viam como ferramenta importante para mantê-la sob sua guarda. Por não 
considerarem a ArpaNet fundamental, o acesso aos cientistas foi permitido e, mais 
tarde, foi cedida a rede para as universidades nacionais as quais, sucessivamente, 
passaram-na para as instituições de ensino superior de outros países, permitindo 
que pesquisadores domésticos a acessassem, até que, quando se deu conta, mais 
de 5 milhões de pessoas já estavam conectadas à rede (BOGO, 2000). 
Com o surgimento do World Wide Web (WWW), esse meio foi enriquecido. O 
conteúdo da rede ficou mais atraente com a possibilidade de incorporar imagens e 
sons (BOGO, 2000). 
Como já foi descrito a Internet proporciona diversos serviços e facilidades, 
portanto não é difícil compreender porque o número de usuários cresce de forma 
exorbitante. Segundo o Ibope Nielsen em dezembro de 2009 o número de 
internautas era de 67,5 milhões, em setembro o número eram de 66,3 milhões, ou 
seja, em apenas três meses surgiram mais de 1 milhão de novos brasileiros na 
Internet (ANTONIOLI, 2010). De acordo com o Jornal Estado de São Paulo (2009) a 
Organização das Nações Unidas (ONU) relatou que o Brasil é o 5° país com o maior 
número de conexões com a Internet, mas se considerado o tempo médio de 
11 
 
navegação, o Brasil é o primeiro no ranking. Pesquisa realizada pelo Ibope Nielsen 
em julho de 2009 diz que o tempo médio de navegação dos brasileiros é maior que 
48 horas, considerando apenas navegação em sites. Se considerada a navegação 
em aplicativos como Orkut, MSN, Skype, Emule, Torrent e etc, o tempo médio sobe 
para 71 horas e 30 minutos. Se comparado com os Estados Unidos, que ocupam o 
segundo lugar no ranking divulgado pelo Ibope Nielsen Online,em relação ao tempo 
médio de navegação em apenas sites o Brasil está na frente com mais 6 horas já 
que os Estados Unidos aparecem com um pouco mais de 42 horas de tempo médio 
de navegação (CARPANEZ, 2009). 
Para que o acesso a Internet continue crescendo é necessário que a 
produção de aparelhos que podem acessá-la também cresça de forma gradativa. O 
computador, o principal desses aparelhos, terá um crescimento de 60 milhões de 
unidades em uso para 100 milhões até 2012 e 140 milhões até 2014, segundo 
estimativas do estudo da Fundação Getúlio Vargas (FGV) e divulgadas por 
Alexandro Cruz (2010). 
 De acordo com a agência de notícias internacional (EFE, 2009), no Mundo, 
segundo previsões da Dell (2007) o número de usuários de computadores vai dobrar 
até 2012. Michael Dell (2007), fundador e presidente da Dell Computers, relatou que, 
a cada dia 500 mil pessoas entram pela primeira vez na Internet. Segundo a agência 
(REUTERS, 2009) em uma pesquisa realizada em 11 países (Austrália, Brasil, 
Canadá, China, Espanha, Estados Unidos, Holanda, Hong Kong, Índia, Reino Unido 
e Taiwan) pelo grupo mundial de marketing Synovate e divulgada no dia 30 de 
novembro de 2009, onde foram entrevistadas quase 9 mil pessoas de cada país, a 
Internet superou a TV como mídia favorita. A web foi considerada indispensável por 
70% dos entrevistados. Com base nesses dados concluímos que a Internet e os 
dispositivos que podem acessá-la tendem a crescer de forma muita rápida não 
apenas no Brasil, mas no Mundo. 
Nota-se que atualmente a Internet é um meio que se tornou indispensável na 
vida de milhares de pessoas e a cada dia ganha mais adeptos. Ela revolucionou o 
meio da comunicação como nunca antes nenhum outro tipo de mídia conseguiu 
fazer. 
 
 
 
12 
 
2.2. Ciência Forense 
 
“A aplicação de princípios das ciências físicas ao direito na busca da 
verdade em questões cíveis, criminais e de comportamento social para que 
não se cometam injustiças contra qualquer membro da sociedade” 
(MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE PATOLOGISTAS 
AMERICANOS, 1990). 
 
Conforme o advogado Gustavo D‟Andrea (2007), a palavra forense3 tem uma 
definição bem simples de ser compreendida, Forense significa tudo aquilo relativo ao 
foro, ou aquilo que é jurídico, ou relativo a cortes ou tribunais. Porém, na língua 
inglesa a palavra que corresponde ao nosso forense é forensic. Mas é comum o uso 
da palavra forensics juntamente com science, que seria uma forma de dizer ciência 
forense4 em inglês. 
A prática forense é a aplicação de técnicas científicas dentro de um processo 
legal. Essas práticas envolvem profissionais altamente especializados que possam 
localizar vestígios. Porém, as evidências obtidas durante a perícia só podem 
proporcionar provas conclusivas quando testadas em laboratórios. Como os 
criminosos desenvolvem vias cada vez mais criativas de driblar a lei, entidades 
especialistas foram obrigadas a descobrir maneiras mais eficientes de levar esses 
infratores a julgamento. Mesmo que aparentemente eles não deixem pistas, os 
profissionais forenses descobriram a algum tempo que isto não é verdade. A ciência 
forense é uma área muito abrangente, envolvendo as áreas de: 
 
● Criminalística; 
● Medicina; 
● Química (análise de sangue, gota de saliva, fio de cabelo e etc.); 
● Matemática; 
● Física (balística de projéteis); 
● Biologia (análise de DNA); 
● Engenharia; 
● Informática (busca de evidências digitais); 
● entre outras diversas áreas. 
 
 
3
 Adjetivo correlato aos foros judiciais; o que se utiliza no foro ou nos tribunais. 
4
 Denomina, na maioria das vezes, o uso da ciência e da tecnologia para a reconstituição e obtenção de provas 
de crimes. 
13 
 
Como o foco do projeto é na área de informática, a ênfase será toda em cima 
da forense computacional ou computação forense. 
 
2.3. Forense Computacional 
 
Sandro Melo (2009, pg. 1,2.) chegou a seguinte conclusão para se referir ao 
termo Forense Computacional. 
 
“O termo Forense Computacional refere-se a uma ramificação da Ciência da 
Computação. Entretanto a mesma terminologia também pode ser vista 
como um ramo da Criminalística, compondo uma área de conhecimento 
comum entre a Ciência da Computação e a Criminalística (MELO, 2009, 
PG. 1,2.).” 
 
 
Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação Forense. 
Fonte: Sandro Melo (2009, pg. 2.). 
 
No decorrer dos anos, profissionais de Criminalística passaram a se deparar 
com computadores durante o processo de análise forense. Atualmente o número de 
crimes cometidos por intermédio deles só tem aumentado e a tendência é que 
continuem a crescer cada vez mais. Para que se pudessem auxiliar os peritos 
criminais durante a análise, profissionais com experiência na área de tecnologia 
eram contratados com o intuito de que eles realizassem uma análise nos 
computadores apreendidos em busca de evidências que pudessem ajudar a 
solucionar o caso. 
A tecnologia avançou de forma rápida e o uso de computadores cresceu 
trazendo consigo muitas vantagens. Porém, existem pessoas que tiram proveito 
dessa nova era tecnológica para cometerem crimes no âmbito virtual. Devido ao 
aumento significativo dos crimes relacionados ao mundo digital surgiu uma nova 
14 
 
área de atuação denominada de computação forense. Reynaldo Ng (2007) analisa o 
surgimento desse novo campo de atuação da seguinte forma: 
 
 
Figura 2.2: Surgimento do Perito em Forense Computacional. 
Fonte: Reynaldo Ng (2007, pg. 3.). 
 
Ou seja, a inserção da tecnologia para cometer crimes fez com que surgisse 
para dar apoio na investigação e no combate ao crime, seja ele organizado ou não, 
a Forense Computacional. Como ainda é uma área que está crescendo, faltam 
muitos profissionais capacitados para atuação. Segundo a visão de (QUEIROZ; 
VARGAS, 2010. pg. 10,11.) dentre as qualidades desejadas em um perito podem 
ser citadas as seguintes: 
 
● Ter formação superior em Ciência da Computação ou áreas afins; 
● Conhecimento em línguas estrangeiras é de grande valia (inglês e espanhol 
são as mais importantes, nessa ordem); 
● Boa redação é importante, pois o perito precisa documentar tudo que é feito 
além de produzir laudos periciais; 
● Conhecimento das leis que envolvem os crimes digitais; 
● Como o perito deve fazer a confecção do laudo pericial o conhecimento 
sobre os termos da linguagem de Direito e técnicas de redação jurídicas são 
importantes; 
● Mestrados, Doutorados e Especializações dentro da área são valorizados; 
● Experiência profissional; 
● Ter interesse aos assuntos relacionados à área é indispensável em 
qualquer profissão. Porém, na área de perito digital é preciso se atualizar 
constantemente e possuir um amplo domínio tecnológico. 
 
A arte e a ciência de coletar e analisar evidências digitais, rastrear invasores e 
reconstruir ataques está diretamente ligada a forense computacional, uma nova área 
de atuação que vêm se tornando cada vez mais importante, pois a prática dos 
crimes cibernéticos vem aumentando de forma muito rápida, dificultando assim a 
15 
 
vida de profissionais de TI (Tecnologia da Informação) e órgãos policiais e judiciários 
(FARMER; VENEMA, 2007). 
De acordo com a visão de Freitas (2006) a Forense Computacional está 
ligada a aquisição, prevenção, restauração e análise de evidências computacionais 
e pode ser vista como um ramo da criminalística. Tais evidências computacionais 
podem ser tanto os dados que foram processados eletronicamente e armazenados 
em mídias computacionais ou até mesmo os componentes físicos. 
 
2.4. Aspectos Legais 
 
O substancial aumento no número de crimes digitais cometidos obriga as 
instituições legais a buscarem meios que atuem em seu combate e/ou redução. A 
falta de lei própria para esse tipo de crime motiva os cibercriminosos a continuarem 
cometendo tais infrações.Essa falta de legislação contra os crimes digitais pode ser facilmente 
explicada pelas autoridades competentes, pois há alguns anos tais delitos 
inexistiam. Porém, tudo com o passar do tempo evolui e a legislação precisa 
adaptar-se a evolução e surgimento de novos meios de cometer crimes para que os 
infratores não saiam impunes. Paulo Marco Ferreira Lima (2005, pg. 3.) diz o 
seguinte: 
 
“A tecnologia muda o homem e o direito, não exatamente no mesmo 
compasso, provocando muitas vezes surpresa e perplexidade aos feitores e 
mantenedores do direito.” 
 
A frase citada pode ser adequada e comparada com o surgimento dos 
cibercrimes. Com o avanço tecnológico o homem viu uma nova possibilidade de tirar 
proveito cometendo delitos no âmbito virtual, porém o direito não acompanhou esse 
avanço no mesmo ritmo. Vladimir Aras (2002) e Paulo Marco Ferreira Lima (2005, 
pg. 9.) descrevem o seguinte: 
 
“Tanto a máquina quanto a rede são criações humanas e, como tais, têm 
natureza ambivalente, dependente do uso que se faça delas ou da 
destinação que se lhes dê. Do mesmo modo que aproxima as pessoas e 
auxilia a disseminação da informação, a Internet permite a prática de delitos 
à distância no anonimato, com um poder de lesividade muito mais 
expressivo que a criminalidade dita convencional. Em face dessa 
16 
 
perspectiva e diante da difusão da Internet no Brasil, o Estado deve prever 
positivamente os mecanismos preventivos e repressivos de práticas ilícitas.” 
 
Ambas as citações supracitadas reforçam que a legislação precisa ser 
adequar ao surgimento desses novos meios de delitos cometidos pelos seres 
humanos, assim como dito anteriormente. 
Antes de, o perito, iniciar o processo de captura das evidências digitais, é 
importante que o mesmo atue conforme a lei determina. No momento em que ele for 
realizar a perícia em um computador, deve-se tomar bastante cuidado, para que não 
corra o risco de ser indiciado por invasão de privacidade pelo usuário do sistema, 
exceto em casos em que há uma autorização judicial para que a perícia possa ser 
realizada em todos os arquivos da máquina e em casos em que o usuário o autoriza 
realizar a perícia em todos seus arquivos. 
 
2.4.1. Brasil 
 
O primeiro artigo do Código Penal Brasileiro (1940) retrata o seguinte: 
 
● “Art. 1º - Não há crime sem lei anterior que o defina. Não há pena sem 
prévia cominação legal.” 
 
De acordo com Leandro Martins de Jesus (2007) o 1° artigo do Código Penal 
contém dois princípios: Princípio da legalidade5 e princípio da anterioridade6. Ou 
seja, antes da prática de um crime não há uma lei que o descreva como punível, 
portanto, não há pena que possa ser aplicável. 
Como já dito, a legislação brasileira é falha no que se diz respeito à punição 
para os crimes cometidos no âmbito virtual. Devido à falta de leis próprias para tratar 
os crimes computacionais à legislação brasileira vem sendo alvo de grandes 
discursões. Porém, há um grande engano por parte daqueles que acreditam que por 
não existirem leis específicas para os crimes digitais, eles ficarão desta forma 
impunes. 
Mesmo não havendo legislação específica para os cibercrimes, alguns dos 
principais bens atingidos por delitos, que em tese, poderiam ser cometidos por 
 
5
 “Pelo princípio da legalidade, alguém só pode ser punido se, anteriormente ao fato por ele praticado, existir 
uma lei que o considere como crime.” 
6
 “Pelo princípio da anterioridade, somente poderá ser aplicada ao criminoso pena que esteja prevista 
anteriormente na lei como aplicável ao autor do crime praticado.” 
17 
 
intermédio do computador, já são protegidos por nossa lei penal (LIMA, 2005). No 
Código Penal Brasileiro (1940) existem diversos crimes que poderiam ser cometidos 
com uso do computador e, Paulo Marco Ferreira Lima (2005, pg. 53.) menciona os 
seguintes: 
 
● “Art. 151 - Devassar indevidamente o conteúdo de correspondência 
fechada, dirigida a outrem. Pena - detenção, de um a seis meses, ou multa.” 
● “Art. 152 - Abusar da condição de sócio ou empregado de estabelecimento 
comercial ou industrial para, no todo ou em parte, desviar, sonegar, subtrair 
ou suprimir correspondência, ou revelar a estranho seu conteúdo. Pena - 
detenção, de três meses a dois anos.” 
● “Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento 
particular ou de correspondência confidencial, de que é destinatário ou 
detentor, e cuja divulgação possa produzir dano a outrem. Pena - detenção, 
de um a seis meses, ou multa.” 
● “Art. 154 - Revelar alguém, sem justa causa, segredo, de que tem ciência 
em razão de função, ministério, ofício ou profissão, e cuja revelação possa 
produzir dano a outrem. Pena - detenção, de três meses a um ano, ou multa.” 
● “Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo 
alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou 
qualquer outro meio fraudulento. Pena - reclusão, de um a cinco anos, e 
multa.” 
● “Art. 172 - Emitir fatura, duplicata ou nota de venda que não corresponda à 
mercadoria vendida, em quantidade ou qualidade, ou ao serviço prestado. 
(Redação dada pela Lei nº 8.137, de 27.12.1990). Pena - detenção, de 2 
(dois) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 8.137, de 
27.12.1990)” 
● “Art. 297 - Falsificar, no todo ou em parte, documento público, ou alterar 
documento público verdadeiro. Pena - reclusão, de dois a seis anos, e multa.” 
● “Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar 
documento particular verdadeiro. Pena - reclusão, de um a cinco anos, e 
multa.” 
● “Art. 299 - Omitir, em documento público ou particular, declaração que dele 
devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da 
18 
 
que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou 
alterar a verdade sobre fato juridicamente relevante. Pena - reclusão, de um a 
cinco anos, e multa, se o documento é público, e reclusão de um a três anos, 
e multa, se o documento é particular.” 
 
De acordo com Reynaldo Ng (2007, pg. 122, 123.) no Código Civil Brasileiro (2002) 
existem artigos que podem ser interpretados no campo da computação forense, 
citando os seguintes itens: 
 
● “Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou 
imprudência, violar direito e causar dano a outrem, ainda que exclusivamente 
moral, comete ato ilícito.” 
● “Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-
lo, excede manifestamente os limites impostos pelo seu fim econômico ou 
social, pela boa-fé ou pelos bons costumes.” 
● “Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, 
fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o 
dano, independentemente de culpa, nos casos especificados em lei, ou 
quando a atividade normalmente desenvolvida pelo autor do dano implicar, 
por sua natureza, risco para os direitos de outrem.” 
● “Art. 1.016. Os administradores respondem solidariamente perante a 
sociedade e os terceiros prejudicados, por culpa no desempenho de suas 
funções.” 
 
A pedofilia é outro tipo de crime que gera muita polêmica na sociedade em 
geral. Mesmo havendo todo tipo de campanha para que sua incidência seja 
diminuída, é um tipo de delito que ainda ocorre muito na web. No Código Penal 
(1940) e no Estatuto da Criança e do Adolescente (1990) existem artigos que tratam 
a pedofilia no meio físico e podem se enquadrar na esfera computacional 
(ANDRADE, 2008). 
 
● “Art. 218 do CPB. Induzir alguém menor de 14 (catorze) anos a satisfazer a 
lascívia de outrem. (Redação dada pela Lei nº 12.015, de 2009) Pena - 
reclusão, de 2 (dois) a 5 (cinco) anos. (Redação dada pela Lei nº 12.015, de 
2009)” 
19 
 
● “Art. 218-A do CPB. Praticar, na presença de alguém menor de 14 (catorze) 
anos,ou induzi-lo a presenciar, conjunção carnal ou outro ato libidinoso, a fim 
de satisfazer lascívia própria ou de outrem. (Incluído pela Lei nº 12.015, de 
2009) Pena - reclusão, de 2 (dois) a 4 (quatro) anos.” (Incluído pela Lei nº 
12.015, de 2009)” 
● “Art. 218-B do CPB. Submeter, induzir ou atrair à prostituição ou outra forma 
de exploração sexual alguém menor de 18 (dezoito) anos ou que, por 
enfermidade ou deficiência mental, não tem o necessário discernimento para a 
prática do ato, facilitá-la, impedir ou dificultar que a abandone. (Incluído pela 
Lei nº 12.015, de 2009) Pena - reclusão, de 4 (quatro) a 10 (dez) 
anos. (Incluído pela Lei nº 12.015, de 2009)” 
● “Art. 240 do ECA. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, 
por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança 
ou adolescente. (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, 
de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 
2008)” 
 
Porém, no ano de 2008, houve uma alteração no artigo 241 do ECA (Estatuto 
da Criança e do Adolescente) e, a partir daí, tanto a distribuição, compartilhamento, 
divulgação e posse de arquivos com conteúdo pornográfico infanto-juvenil passaram 
a serem tipificados como ato ilícito. A seguir pode ser observado o artigo 241 do 
ECA. 
 
● “Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que 
contenha cena de sexo explícito ou pornográfica envolvendo criança ou 
adolescente: (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, de 
4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de 
2008)” 
● “Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou 
divulgar por qualquer meio, inclusive por meio de sistema de informática ou 
telemático, fotografia, vídeo ou outro registro que contenha cena de sexo 
explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela 
Lei nº 11.829, de 2008) Pena – reclusão, de 3 (três) a 6 (seis) anos, e 
multa. (Incluído pela Lei nº 11.829, de 2008)” 
20 
 
● “Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, 
vídeo ou outra forma de registro que contenha cena de sexo explícito ou 
pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, 
de 2008) Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela 
Lei nº 11.829, de 2008)” 
 
Quando o assunto são provas eletrônicas como provas válidas em um 
processo jurídico, o Brasil, também não conta com normas específicas, no entanto, o 
Art. 225 do Código Civil e os artigos 231 e 232 do Código de Processo Penal (1941) 
podem ser interpretados na esfera da forense computacional (NG, 2007). 
 
● “Art. 225. As reproduções fotográficas, cinematográficas, os registros 
fonográficos e, em geral, quaisquer outras reproduções mecânicas ou 
eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra 
quem forem exibidos, não lhes impugnar a exatidão.” 
● “Art. 231. Salvo os casos expressos em lei, as partes poderão apresentar 
documentos em qualquer fase do processo.” 
● “Art. 232. Consideram-se documentos quaisquer escritos, instrumentos ou 
papéis, públicos ou particulares. Parágrafo único. À fotografia do documento, 
devidamente autenticada, se dará o mesmo valor do original.” 
 
Apesar de várias leis se adaptarem aos cibercrimes muitos profissionais 
alertam para criação de leis exclusivas aos crimes de informática, sobretudo, para as 
evidências digitais apreendidas garantindo assim a autenticidade e integridade da 
evidência. Um fator que auxiliou a utilização de evidências eletrônicas foi à criação 
da Medida Provisória 2.200-2. O primeiro artigo dessa Medida Provisória diz o 
seguinte: 
 
● “Art. 1. Fica instituída a Infraestrutura de Chaves Públicas Brasileira - ICP-
Brasil, para garantir a autenticidade, a integridade e a validade jurídica de 
documentos em forma eletrônica, das aplicações de suporte e das aplicações 
habilitadas que utilizem certificados digitais, bem como a realização de 
transações eletrônicas seguras (MEDIDA PROVISÓRIA, 2001).” 
 
21 
 
Essa medida provisória reconhece assinaturas digitais por processos 
criptográficos assimétricos de chave pública ou privada atribuindo autenticidade e 
integridade a documentos eletrônicos. A ideia é comprovar a identidade de uma 
pessoa ou site evitando assim fraudes nas transações eletrônicas. Conforme o 
segundo parágrafo do décimo artigo não é impedida a utilização de outro meio além 
do ICP-Brasil de comprovação da autoria e integridade de documentos em formato 
eletrônico. 
 
● “Art. 10. Consideram-se documentos públicos ou particulares, para todos 
os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. 
Parágrafo 2: O disposto nesta Medida Provisória não obsta a utilização de 
outro meio de comprovação da autoria e integridade de documentos em forma 
eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, 
desde que admitido pelas partes como válido ou aceito pela pessoa a quem 
for oposto o documento (MEDIDA PROVISÓRIA, 2001).” 
 
A Tabela 2.1, elaborada por Reynaldo Ng (2007, pg. 123, 124.), possui 
informações importantes sobre ações que podem parecer simples e que sucedem 
muitas vezes no dia a dia, mas que acabam passando despercebidas na maioria das 
vezes, podendo, no entanto podem ser enquadradas em artigos do Código Penal. 
 
Ação Tipo Artigo C.P. 
Falar em um chat que alguém 
cometeu algum crime (ex. ele é 
um ladrão.) 
 
Calúnia 
 
Art. 138 do C.P. 
Encaminhar um e-mail para 
várias pessoas de um boato 
eletrônico 
 
Difamação 
 
Art. 139 do C.P. 
Enviar um e-mail para a pessoa 
dizendo sobre características 
dela (ex. gorda, feia, vaca, etc.) 
 
Injúria 
 
Art. 140 do C.P. 
Enviar um e-mail ameaçando 
uma pessoa 
Ameaça Art. 147 do C.P. 
Enviar um e-mail para terceiros 
com informação considerada 
confidencial 
 
Divulgação de segredo 
 
Art. 153 do C.P. 
Enviar um vírus que destrua 
equipamento ou conteúdos 
Dano Art. 163 do C.P. 
Copiar um conteúdo e não 
mencionar a fonte 
Violação ao direito autoral Art. 184 do C.P. 
Criar uma comunidade on-line 
que fale sobre pessoas e 
religiões 
 
Escárnio por motivo de religião 
 
Art. 208 do C.P. 
22 
 
Acessar sites pornográficos Favorecimento da prostituição Art. 228 do C.P. 
Criar uma comunidade com 
intuito de ensinar pessoas a 
cometerem ações ilícitas 
 
Apologia de crime ou criminoso 
 
Art. 287 do C.P. 
Enviar e-mail com remetentes 
falso (caso comum de spam) 
Falsa Identidade Art. 307 do C.P. 
Fazer cadastro com nome falso 
em uma loja virtual 
Inserção de dados falsos em 
sistema 
Art. 313-A do C.P. 
Entrar na rede da organização 
ou de concorrente e mudar 
informações 
Adulterar dados em sistema de 
informações 
 
Art. 313-B do C.P. 
Se você recebeu um spam e 
resolve devolver com um vírus, 
ou com mais spam 
Exercício arbitrário das próprias 
razões 
 
Art. 345 do C.P. 
Participar de cassino on-line Jogo de azar Art. 50 da L.C.P. 
Falar em um chat que alguém é 
isso ou aquilo por sua cor 
Preconceito ou discriminação 
raça. Cor, etnia 
Art. 20 da Lei 7.716/89 
Ver ou enviar fotos de crianças 
nuas on-line 
Pedofilia Art. 247 da Lei 8.069/90 
Usar logomarca de organização 
em um link na página da 
Internet, em uma comunidade, 
em um material sem 
autorização do titular, no todo 
ou em parte 
 
 
Crime contra a propriedade 
industrial 
 
 
Art. 195 da Lei 9.279/96 
Emprega meio fraudulento, 
para desviar clientela de 
outrem, por exemplo, uso da 
marca do concorrente como 
palavra-chave ou link 
patrocinado em buscador 
 
 
Crime de concorrência desleal 
 
 
Art. 195 da Lei 9.279/96 
Usar cópia de software sem ter 
licença para tanto 
Crimes contra software 
"Pirataria" 
Art. 12 da Lei 9.609/98 
Tabela 2.1: Ações comuns, tipo e artigo C.P. 
Fonte: ReynaldoNg, 2007. 
 
 A inexistência de leis próprias para os crimes computacionais acaba gerando 
uma falta de consenso entre os profissionais de Direito Eletrônico. Como 
supracitado, há uma divergência de opiniões sobre quais leis já existentes no Código 
Penal, Código Civil, dentre outros da Legislação Brasileira, possa-se enquadrar um 
determinado crime cometido por intermédio do computador. 
Alguns profissionais da área alertam para criação de um código exclusivo 
para os cibercrimes, já outros são da opinião que é preciso que haja apenas uma 
reformulação do Código Penal já existente alertando para lacunas na legislação, 
como a inexistência de leis específicas sobre proteção de dados, enquanto outros 
são favoráveis na manutenção deste, pois, entendem que a legislação para o mundo 
físico contempla praticamente todas as questões do mundo virtual, dispensando 
assim a criação de novas leis (PINHEIRO; CASTILHO, 2010). 
23 
 
José Antônio Milagre (2001) relata o seguinte: “Além das lacunas existentes 
para os crimes informáticos, o Brasil utiliza Código Penal de 1940, ou seja, da „era 
do rádio‟.” É notória a necessidade de criação de um Código Penal próprio para os 
cibercrimes ou no mínimo a restruturação no Código Penal em vigor, que já é 
bastante ultrapassado, para que se consiga ter um maior consenso entre os 
profissionais e principalmente para que nenhum crime computacional passe impune. 
 
2.4.1.1. Projetos de Leis 
Devido à necessidade de criação de legislação apropriada para os 
cibercrimes projetos estão sendo analisados e discutidos no congresso nacional, 
porém até o presente momento, nenhum projeto que agregue uma modernização na 
nossa legislação realizando as alterações necessárias foi sancionado. A seguir 
serão citados dois projetos de leis em tramitação no congresso nacional. 
 
2.4.1.1.1. Projeto de lei Eduardo Azeredo 
Elaborado pelo Senador Eduardo Azeredo, trata-se do projeto de lei mais 
importante sobre tramitação no congresso nacional brasileiro. Até o presente 
momento é o texto legislativo mais completo já produzido abordando crimes 
envolvendo computadores. De acordo com Eli Teixeira (2006), os crimes tipificados 
pelo projeto são os seguintes, com reclusão ou detenção que pode ir de um a quatro 
anos: 
 
● “Dano por difusão de vírus eletrônico ou digital;” 
● “Acesso indevido a dispositivo de comunicação;” 
● “Obtenção, guarda e fornecimento de informação eletrônica ou digital obtida 
indevidamente ou não autorizada;” 
● “Violação e divulgação não autorizada de informações depositadas em 
bancos de dados;” 
● “Permissão, com negligência ou dolo, do acesso a rede de computadores 
por usuário não identificado e não autenticado;” 
● “Atentado contra a segurança de serviço de utilidade pública;” 
● “Interrupção ou perturbação de serviço telegráfico, telefônico ou de rede de 
computadores;” 
● “Difusão maliciosa de código;” 
24 
 
● “Falsificação de cartão de crédito ou débito ou qualquer dispositivo 
eletrônico ou digital portátil de armazenamento e processamento de 
informações;” 
● “Falsificação de telefone celular ou meio de acesso a sistema eletrônico ou 
digital;” 
● “Furto qualificado com uso de dispositivo de comunicação, sistema 
informatizado ou rede de computadores;” 
● “Não guardar os dados de conexões realizadas em rede de computadores.” 
 
O ato de acessar conteúdos (vídeos, músicas e etc) que sejam protegidos por 
direitos autorais também é tipificado como delito pelo projeto, estabelecendo penas 
que vão de um a três anos e que podem ser dobrabas caso haja distribuição do 
material pelo usuário. Eli Teixeira (2006) alerta para outro ponto do projeto, que 
provedores de Internet devem exigir identificação de todas as pessoas que 
assinarem contrato para uso da Internet, além de terem que arquivar por três anos 
todos os acessos e conteúdos dos internautas, incluindo conversas em salas de 
bate-papo, messenger e etc. Tais medidas tem como objetivo identificar infratores 
que possam vir a cometer crimes computacionais, pois o provedores serão 
obrigados a entregar os dados em caso de processo judicial. Contudo o projeto 
recebeu críticas de universitários, especialistas em informática e direito, 
professosres, internautas e também pelos provedores de acesso à Internet. Para 
muitos esse projeto de lei é uma censura a Internet, controlando todos os passos 
dos usuários. O combate à pedofilia também é lembrado no projeto do Senador, 
além de produzir e divulgar material contendo pedofilia, também será crime o 
armazenamento destas imagens em computadores. 
Porém, o ponto mais polêmico do projeto está mesmo relacionado ao ato de 
que os provedores tem que armazenar por três anos todos os dados acessados 
pelos usuários para fins de investigação. Inicialmente os provedores além de 
armazenar todo o conteúdo eram obrigados a fiscalizar o uso e denunciar crimes 
para autoridades competentes. Eduardo Azeredo então resolveu ser mais flexisível e 
mudar as regras, então o texto aprovado prevê que os provedores de acesso a 
Internet não são mais obrigados a fiscalizar, tendo somente que repassar denúncias 
recebidas e, não era mais necessário arquivar todos os todos acessados pelos 
25 
 
usuários e, sim apenas os dados sobre a origem, hora e data de acesso 
(BRESCIANI, 2008). 
O projeto foi aprovado pelo senado federal, mas no presente momento 
encontra-se na câmara, sob análise da Comissão de Ciência e Tecnologia, o 
objetivo é realizar ajustes em pontos considerados polêmicos. 
2.4.1.1.2. Projeto de lei 89/2003 
Este projeto de lei foi confeccionado pelo deputado Luiz Piauhylino e, pode 
ser o primeiro projeto que trata de forma ampla e sistematizada os crimes cometidos 
no âmbito virtual por intermédio de computadores a se tornar lei. O projeto tipifica 
vários crimes que hoje já são cometidos contra sistemas informáticos ou por meio 
deles, dentre eles: 
 
● Acesso indevido a meio eletrônico; 
● Manipulação indevida de informação eletrônica; 
● Difusão de vírus eletrônico; 
● Pornografia infantil; 
● Atentado contra a segurança de serviço de utilidade pública; 
● Interrupção ou perturbação de serviço telegráfico ou telefônico; 
● Falsificação de cartão de crédito; 
● Falsificação de telefone celular ou meio de acesso a sistema eletrônico. 
 
Por entender que o projeto necessitava de alguns aperfeiçoamentos o 
Senador Marcelo Crivella, membro da Comissão de Constituição, Justiça e 
Cidadania do Senado Federal, apresentou duas novas emendas para esse projeto 
de lei: Falsidade Informática e Sabotagem Informática. Na primeira ele diz o 
seguinte: 
 
● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, 
de qualquer forma, interferir no tratamento informático de dados, com o fim de 
obter, para si ou para outrem, vantagem indevida de qualquer natureza, 
induzindo a erro os usuários ou destinatários. Pena - detenção, de um a dois 
anos, e multa (REINALDO FILHO, 2004).” 
 
Já na segunda ele relata: 
 
26 
 
● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, 
de qualquer forma, interferir em sistema informatizado, com o fim de 
desorientar, embaraçar, dificultar ou obstar o funcionamento de um sistema 
informatizado ou de comunicação de dados à distância. Pena - detenção, de 
um a dois anos, e multa (REINALDO FILHO, 2004)." 
 
 O artigo relativo à falsidade informática tem por objetivo coibir o envio de 
spams7 e scams8, já o artigo que abrange a sabotagem informática tem como intuito 
alcançar outras modalidades de cibercrimes, como por exemplo o denial-of-service 
attack9. A inserção desses dois novos itens ao projeto de lei trouxeram inegáveis 
avanços em relação aos crimes cometidos através de redes eletrônicas. Entretanto, 
esse projeto de lei assim como o elaborado pelo Senador Eduardo Azeredo foi alvo 
de críticas. 
Hoje existem dezenas de projetos de leis em trâmite no congressonacional 
com intuito de coibir e/ou combater os crimes cometidos por meio de computadores. 
Como os projetos são criados por políticos que na sua grande maioria não possuem 
conhecimento prévio na área e, portanto, acabam criando projetos de leis que geram 
muitas polêmicas e que ficam anos e anos sob análise a espera de aprovação. 
 
2.5. Obtenção de Evidências Digitais 
 
As evidências são o que de mais importante tem-se para a resolução de um 
crime, independente do gênero desse. A partir dela(s) pode-se chegar à conclusão 
que se uma determinada suspeita é verdadeira ou falsa, podendo assim incriminar 
ou absolver o réu em questão. Na informática quando se tem o intuito de resolver 
um crime não é diferente, as pistas são chamadas de evidências digitais, pois foram 
extraídas em meios computacionais. A captura das evidências digitais não é trivial, 
dessa forma, o perito deve seguir determinados princípios, que foram herdados de 
bases da Ciência Forense em geral, para que o mesmo garanta a integridade das 
evidências, que futuramente poderá tornar-se uma prova concreta, podendo assim 
 
7
 Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um 
grande número de pessoas, geralmente com divulgações de propagandas, mas não exclusivamente. 
8
 O scam é uma modalidade de spam que não pretende divulgar propaganda, mas causar prejuízo a quem o 
recebe. Tanto poderá propagar um vírus que danifique a instalação, abrir uma porta (backdoor) para 
possibilitar invasão ou mesmo instalar um keylogger para furtar informações bancárias. 
9
 O principal objetivo nesse tipo de ataque é impossibilitar a vítima (um sistema informático) de ter acesso a 
um particular recurso ou serviço. 
27 
 
ser utilizada em juízo. Wagner de Paula Rodrigues (2004) relatou que basicamente 
estes princípios estão fundamentados em métodos que buscam dar credibilidade 
aos resultados, fornecendo mecanismos para a verificação da integridade das 
evidências e da corretude dos procedimentos adotados. Alguns desses princípios 
segundo ele são: 
 
● Réplicas: Ao examinar, periciar uma evidência obtida, o examinador está 
sujeito a cometer erros que possam acarretar na invalidação de uma 
evidência. Dessa forma, realizar a duplicação completa (bit a bit) do 
dispositivo a ser analisado é sempre recomendável para que seja possível, se 
necessário, repetir os processos sem que ocorra dano à evidência original; 
● Garantia de Integridade: Para que uma evidência tenha sua integridade 
preservada é aconselhável que haja procedimentos previamente 
determinados que visem garantir a integridade das evidências coletadas. 
Enquanto no mundo real as evidências são armazenadas em ambientes cuja 
entrada é restrita, além de serem tiradas fotos e serem realizadas minuciosas 
descrições das evidências coletadas com o intuito de verificar sua 
autenticidade posteriormente, no mundo virtual, além de poder contar com 
esses procedimentos do mundo real, a autenticidade e a integridade de uma 
evidência também podem serem verificadas através de utilização de 
algoritmos de hash criptográfico10 como o MD5 e o SHA-1. Além disso, mídias 
para somente leitura como CD-ROM e DVD-ROM podem ser usadas para 
armazená-las; 
● Ferramentas Confiáveis: Para que o examinador tenha como garantir a 
confiabilidade dos resultados obtidos é importante que o mesmo faça uso de 
ferramentas comprovadamente idôneas. No mundo real não é diferente, os 
experimentos de uma análise laboratorial devem ser conduzidos em 
ambientes controlados e comprovadamente seguros a fim de que os 
resultados não possam ser contaminados por alguma influência externa. 
 
Do ponto de vista de organização de processos, a fase de obtenção de 
evidências digitais pode ser dividida em 4 fases: 
 
10
 A criptografia hash permite que, através de uma string de qualquer tamanho, seja calculado um 
identificador digital de tamanho fixo, chamado de valor hash. O valor hash geralmente é formado por 16 bytes 
(no caso do MD- 5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes. 
28 
 
1 – Aquisição ou Coleta e Preservação 
2 – Identificação ou Exame 
3 – Análise 
4 – Apresentação 
 
A Figura 2.3 apresenta cada uma das quatro fases citadas acima. 
 
 
Figura 2.3: Fases de um processo de investigação. 
Fonte: Elaborada pelo autor. 
 
2.5.1. Aquisição ou Coleta e Preservação 
Esta é a fase onde o processo tem início, é quando o perito chega ao local 
onde irá realizar a perícia, ela pode ser chamada de aquisição ou coleta (obter as 
evidências) e preservação (proteger as evidências), pois nela o perito deve ao 
mesmo tempo extrair e garantir a proteção das evidências. 
Na visão de Raffael Vargas (2007), um perito forense computacional 
experiente deve garantir a autenticidade e a integridade de todas as evidências 
capturadas pelo mesmo, assegurando-se assim que nenhuma evidência seja 
danificada, destruída ou mesmo comprometida pelos possíveis maus procedimentos 
usados durante a investigação, e que nenhum vírus ou código malicioso seja 
introduzido em um computador durante a análise forense, garantindo assim a 
legitimidade de todas as evidências. 
A preservação de uma evidência é muito importante para que a mesma tenha 
algum valor jurídico e possa ser utilizada posteriormente em um tribunal com devida 
segurança, pois, caso o juiz não aceite à evidência, a mesma não poderá mais ser 
reapresentada futuramente. 
29 
 
Na informática, assim como acontece em outros tipos de crimes, todo o 
material apreendido na cena do crime deverá ser mantido sob cadeia de custódia11. 
A Figura 2.4 mostra como seria um formulário de cadeia de custódia de uma 
evidência eletrônica. 
 
Figura 2.4: Exemplo de um formulário de cadeia de custódia. 
Fonte: Diego Tavares, 2007. 
 
No formulário apresentado acima, pode ser observado o código hash do 
dispositivo analisado, que nesse caso é um HD (Hard Disk) de um Notebook cuja 
capacidade de armazenamento é de 80GB (Giga Bytes). Como já foi dito 
anteriormente, o código hash serve para verificar se a integridade e a autenticidade 
da evidência não foram comprometidas, visto que as mesmas precisam estar 
intactas para que possam ter algum valor no tribunal. 
 
11
 Trata-se de um documento onde se encontra todas as informações da evidência apreendida. 
30 
 
2.5.2. Identificação ou Exame 
Nesta segunda fase, o perito vai examinar todas as evidências que o mesmo 
adquiriu na primeira fase e terá que extrair somente as informações relevantes para 
a investigação. É considerada uma fase muito trabalhosa e requer muita habilidade 
do perito. 
Os cibercriminosos, para dificultar o trabalho dos peritos na busca de 
evidências relevantes, fazem uso de algumas técnicas específicas. Uma dessas 
técnicas anti-forenses, é limpar rastros e eliminar possíveis evidências para que sua 
identificação possa ser dificultada ou inviabilizada. Nessa segunda fase, onde o 
perito deve analisar as evidências já adquiridas para determinar quais terão alguma 
relevância, o mesmo deverá estar atento a uma técnica conhecida como 
esteganografia12. A esteganografia pode ser usada por criminosos digitais, a fim de 
ocultar mensagens relevantes dentro de outras com nenhuma importância. Para que 
essas mensagens não passem despercebidas, o perito deve estar muito atento e 
apto para identificar e recuperar esses dados. 
Atualmente, existem muitas ferramentas13 de fácil manuseio para que possa 
ser feito o uso da técnica de esteganografia. O perito deve estar preparado para que 
não deixe nenhuma informação importante passar despercebida. 
 
2.5.3. Análise 
Nesta fase, o investigador detém consigo somente os elementos relevantes 
para o caso, pois