Computação_forense_03

Prévia do material em texto

AN02FREV001/REV 4.0 
 58 
PROGRAMA DE EDUCAÇÃO CONTINUADA A DISTÂNCIA 
Portal Educação 
 
 
 
 
 
 
CURSO DE 
COMPUTAÇÃO FORENSE 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Aluno: 
 
EaD - Educação a Distância Portal Educação 
 
 
 
 AN02FREV001/REV 4.0 
 59 
 
 
 
 
 
 
 
 
 
 
CURSO DE 
COMPUTAÇÃO FORENSE 
 
 
 
 
 
 
MÓDULO III 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Atenção: O material deste módulo está disponível apenas como parâmetro de estudos para este 
Programa de Educação Continuada. É proibida qualquer forma de comercialização ou distribuição 
do mesmo sem a autorização expressa do Portal Educação. Os créditos do conteúdo aqui contido são 
dados aos seus respectivos autores descritos nas Referências Bibliográficas. 
 
 
 
 AN02FREV001/REV 4.0 
 60 
 
 
MÓDULO III 
 
 
25 PRINCIPAIS EXAMES FORENSES EM INFORMÁTICA 
 
 
A computação Forense é uma grande ferramenta de auxílio nas investigações 
de crimes digitais ou cibernéticos, pois podemos perceber que essa prática vem 
crescendo cada vez mais, com o surgimento, desenvolvimento e acesso as novas 
tecnologias. Com certeza esse crescimento desenfreado também tem seu lado 
negativo, pois muitas pessoas e empresas não conhecem nada ou não tem 
informação nenhuma sobre o processo de configuração de um sistema de segurança, 
muitas empresas enxergam esse processo como uma despesa, que ao contrário 
serve para proteger seus dados e informações, isso sim custará muito caro se não 
tiver uma proteção correta e eficaz. 
Agora vamos ao nosso objetivo que é conhecer os principais exames 
Forenses da computação, onde esses podem auxiliar os profissionais a identificar 
esses sistemas, sites e criminosos digitais. Vamos aqui destacar nesses estudos 
cinco principais exames forense da computação, iniciando por Exames e 
procedimentos em locais de crime de informática, Exames em dispositivos de 
armazenamento computacional, Exames em sites da Internet, Exames em 
mensagens eletrônicas (e-mails), Exames em aparelhos eletrônicos móveis. 
Exame e procedimento em locais de crime de Informática: este exame 
tem a responsabilidade de analisar, identificar, localizar os equipamentos sejam os 
que foram invadidos ou os invasores. Todo esse processo pode ocorrer por mandatos 
de busca e apreensão, solicitados pela justiça para realizar investigação em 
equipamentos de informática. 
Exames em dispositivos de armazenamento computacional: este exame 
por sua vez tem a responsabilidade de analisar todos os arquivos, sistemas, 
aplicativos que estejam instalados e armazenados em um determinado equipamento 
de informática, possui quatro passos para sua composição, como preservação dos 
 
 
 AN02FREV001/REV 4.0 
 61 
arquivos, extração dos dados, análise e formalização dos indícios do crime. 
Geralmente nesse exame são examinados crimes relacionados à pornografia infantil, 
sonegação fiscal, fraude de documentos, tráfego de pessoas e busca encontrar no 
disco rígido, no HD, Pen drive, cartão de memória, HD externo documentos, dados, 
informações, provas e indícios relevantes para comprovar o ato de delito. 
Exames em sites da Internet: este exame tem como objetivo verificar o 
conteúdo existente em um site ou página da internet, analisando e identificando se 
tem conteúdos relacionados à pornografia infantil, calúnia e difamação de pessoas e 
empresas e informações enganosas. Esse exame analisa e identifica os responsáveis 
pelas publicações no site da internet, identificação do domínio de internet, o endereço 
IP que está sendo utilizado, como também realiza cópia e armazenamento das 
informações encontradas nesses sites. 
Exames em mensagens eletrônicas (e-mails): neste exame se consegue 
identificar o responsável pelo envio do e-mail ou mensagem, essas mensagens que 
contêm calúnia, difamação que estão de certa forma denegrindo a imagem de uma 
pessoa ou empresa. Nesses, conseguem ser identificados dados e informações do 
remetente, como endereço IP, endereço DNS, horário e data da mensagem 
encaminhada. 
Exames em aparelhos eletrônicos móveis: neste exame são analisados e 
identificados dados extraídos das mensagens enviadas pelo remetente, tais como 
número de telefone, endereço, horário e data, dados relacionados à chamada, dados 
relacionados às mensagens de SMS. 
Caro(a) estudante, agora que você já conhece os principais exames da 
computação Forense na informática, vamos estudar sobre as Fases do Exame 
Forense em Computação? 
 
 
26 FASES DO EXAME FORENSE EM COMPUTAÇÃO 
 
No conteúdo anterior nós já mencionamos essas fases do Exame Forense na 
informática, mas vamos relembrar para você! 
Os exames Forenses servem para que os peritos criminais possam analisar e 
identificar possíveis evidências e provas em uma investigação criminal, dentro da 
 
 
 AN02FREV001/REV 4.0 
 62 
computação é possível destacar que o objetivo do profissional é buscar provas digitais 
referentes a dados e informações contidas no HD de um computador, no disco rígido, 
nas mídias, cartão de memória, HD externo, Pen drive, onde podem ser encontrados 
vestígios e dados do invasor. Para realizar os exames da Computação Forense são 
seguidas quatro fases principais: Prevenção, Extração, Análise e Formalização. 
Iniciando pela Fase de Prevenção, essa por sua vez possui como objetivo 
armazenar e fazer cópias de todos os dados, informações e indícios encontrados nos 
equipamentos de informática para que não sejam alterados e não sofram nenhum 
dano que possa alterar sua condição original. 
 
 
FIGURA 12 - ESPELHAMENTO E IMAGEM DE DADOS 
 
 
 
 
 
 
 
 
 
FONTE: Disponível em: <http://www.comutadores.com.br/tag/3com/>. Acesso em: 01 out. 2013. 
 
Na segunda fase do exame Forense vamos encontrar a Extração, esse possui 
como objetivo recuperar os dados e informações que estavam registrados em um 
equipamento de informática, pois geralmente quando um dado é apagado de um 
computador, esse pode ser encontrado em sua memória principal, no disco rígido ou 
no HD, em muitas empresas que possuem servidor Backup, também podem ser 
encontrados dados perdidos, danificados, alterados e apagados. 
 
 
 
 
 
http://www.comutadores.com.br/tag/3com/
 
 
 AN02FREV001/REV 4.0 
 63 
FIGURA 13 - BACKUP DE ARQUIVOS 
 
 
 
 
 
 
 
FONTE: Disponível em: <http://www.ibm.com/developerworks/br/library/l-backup/>. Acesso em: 01 out. 
2013. 
 
 
Na terceira fase do exame Forense que é a Análise, podemos verificar que o 
procedimento consiste em analisar e identificar possíveis registros de evidências 
digitais, como dados do intruso, vestígios deixados ao invasor o computador. 
Na quarta e última fase vamos analisar a Formalização, essa possui como 
objetivo o desenvolvimento do laudo pericial, nessa fase devem ser registrados todos 
os dados e informações imprescindíveis para a investigação como os métodos e 
técnicas utilizadas, metodologias utilizadas para extrair os dados e informações do 
equipamento de informática, levando em conta que cada processo possui uma 
metodologia para ser utilizada. 
 
FIGURA 14 - LAUDO PERICIAL 
 
 
 
 
 
 
 
 
 
FONTE: Disponível em: <http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos-
modelos-de-laudo-pericial.html>. Acesso em: 01 out. 2013. 
 
http://www.ibm.com/developerworks/br/library/l-backup/
http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos-modelos-de-laudo-pericial.html
http://periciacriminalalagoana.blogspot.com.br/2013/02/estrutura-dos-modelos-de-laudo-pericial.html
 
 
 AN02FREV001/REV 4.0 
 64 
 
27 CRIMES COMETIDOS COM O USO DE EQUIPAMENTOS COMPUTACIONAIS 
 
Com o salto que houve ao acesso as novas tecnologias, muitas pessoas têm 
acesso a computadores, Notebooks, Smartphones e Tablets o aumento da 
criminalidade na era digital também cresce consideravelmente. Analisando uma 
pesquisa da Agência Brasil de Comunicação, divulgada no mês de agosto desteano 
de 2013, podemos observar quais os pontos mais relevantes referentes à invasão de 
sites, sistemas aplicativos e equipamentos de informática vem aumentando cada vez 
mais. Vamos analisar a seguir alguns pontos dessa pesquisa: 
 
 
TABELA 3 - PESQUISA SOBRE CRIMES DIGITAIS 
São Paulo – O número de pessoas que já sofreram ou conhecem alguém que tenha sido 
vítima de crime digital passou de 12,7%, no ano passado, para 17,9% este ano, revela a 
quinta edição da pesquisa O Comportamento dos Usuários na Internet, feita pela 
Federação do Comércio de Bens, Serviços e Turismo no Estado de São Paulo 
(FecomercioSP). 
Segundo a pesquisa, apresentada hoje, os homens continuam sendo os mais atingidos, 
com 20,6% dizendo já ter sido vítima, contra 15,2% das mulheres. Feita em maio, a 
pesquisa fez 33 perguntas a 1.000 pessoas na capital paulista. 
Mesmo com os riscos frequentemente apontados para operações na internet, a pesquisa 
mostra que, no ano passado, 79,8% dos usuários usavam alguma ferramenta de prevenção 
e que, neste ano, o número caiu para 65,4%. Entre os entrevistados, 66,6% disseram 
conhecer a nova lei de crimes cibernéticos e 16,3% acreditam que ela será suficiente. 
Perguntados sobre conteúdos ilegalmente espalhados pela rede, 65,9% disseram que o 
material irregular deve ser removido imediatamente, a pedido da vítima, e 34,1% 
responderam que isso deve ser feito por ordem judicial. 
FONTE: Adaptado de Agência Brasil. Disponível em: <http://agenciabrasil.ebc.com.br/noticia/2013-08-
12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais>. Acesso em: 01 out. 2013. 
 
 
Há vários meios para praticar crimes via internet, pois muitas vezes tanto 
sites, como redes de empresas e computadores pessoais não estão protegidos com 
http://agenciabrasil.ebc.com.br/noticia/2013-08-12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais
http://agenciabrasil.ebc.com.br/noticia/2013-08-12/pesquisa-mostra-aumento-do-numero-de-vitimas-de-crimes-digitais
 
 
 AN02FREV001/REV 4.0 
 65 
sistemas de segurança, podemos destacar alguns exemplos de crimes que ocorrem 
com objetivo de realizar, por exemplo, fraude eleitoral, tráfico de drogas, falsificação 
de documentos, falsificação de identidade, sonegação fiscal, roubo de dados e 
informações, invasão de sites, roubo de senhas, acesso a contas bancárias alheias, 
disseminação de material pornográfico infantil, tráfego de pessoas, neste caso 
principalmente para prostituição e tráfego de crianças, esses são alguns exemplos de 
práticas criminosas que ocorrem na era digital, muitas vezes, os criminosos usam 
computadores de pessoas inocentes para praticar esses crimes e a pessoa ou 
usuário nem acaba sabendo que está servindo várias espécies de criminosos, por 
isso a importância de obter e ter configurado sistemas de segurança e proteção dos 
dados. 
Vamos destacar a seguir algumas explicações sobre os atos criminosos 
decorrentes de invasão de máquinas e equipamentos eletrônicos, isso ocorre 
geralmente para prejudicar uma pessoa, usuário ou empresa, seja ela privada ou 
pública. 
 
TABELA 04 - DELITOS DIGITAIS 
 
 
FONTE: LAMPERT, Edna. Delitos Digitais, 2013. 
 
 
 AN02FREV001/REV 4.0 
 66 
 
 
Estudante, agora que já exercitou sobre a prática dos crimes digitais, vamos 
juntos para o próximo estudo, sobre o Processo de Investigação! 
 
28 O PROCESSO DE INVESTIGAÇÃO 
 
Toda investigação precisa passar por fases ou podemos chamar de 
processos, esses servem para definir, analisar e identificar as causas de um crime, 
encontrar as evidências e realizar exames e aplicar técnicas e métodos de 
investigação criminal. A investigação tem como principal função buscar respostas que 
subsidiem o porquê de um crime ou fato tenha ocorrido, quais os motivos, quem 
realizou bem como vários outros fatores que ao realizar uma análise e investigação 
pode ser encontrado em uma cena de crime. 
Além das respostas a serem respondidas em referência ao fato ocorrido um 
investigador ou perito criminal deve formular as possíveis hipóteses sobre o 
acontecido, essas hipóteses são desenvolvidas em cima dos indícios e provas 
encontradas e a partir delas são realizadas deduções do que pode ter acontecido ou 
do que ainda podem ocorrer. Por isso, a importância da análise e desenvolvimento 
das hipóteses, em que essas confirmam as ideias e confirmações das deduções feitas 
acerca de um determinado crime. 
Outro fator muito importante para o desenvolvimento de uma investigação são 
as formas de divulgação, pois isso precisa ser feito para auxiliar no desenvolvimento 
do trabalho dos outros investigadores, pesquisadores e peritos envolvidos em uma 
investigação. Essa divulgação deve ser feita por meio de publicações, seminários, 
eventos, congressos e apresentações dos relatos e hipóteses já encontradas e 
realizadas. 
Como já mencionamos anteriormente a investigação também possui 
processos, a investigação não deixa de ser um desenvolvimento de um estudo e 
como todo estudo deve ser delimitado o tema. Esse tema precisa ser delimitado e 
separado em partes, isso acontece para que o pesquisador possa estudar, analisar e 
desenvolver o estudo especificamente na sua área de atuação. 
 
 
 AN02FREV001/REV 4.0 
 67 
Vamos agora apresentar alguns pontos muito importantes para o 
desenvolvimento de um processo de investigação, iniciando pela coleta dos dados e 
fatos encontrados, cuidados com a cena ou equipamentos envolvidos no crime, bem 
como cuidados para coletar os indícios, são pontos muito importantes em um 
processo investigativo. 
Etapas para o desenvolvimento do Processo de Investigação, podemos citar 
que fazem parte os itens a seguir: 
 
 
FIGURA 15 - PROCESSOS DE INVESTIGAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
FONTE: LAMPERT, Edna. Processos de Investigação, 2013. 
 
 
O Projeto de Pesquisa aparece como a primeira etapa, pois nesta fase são 
identificados e desenvolvidos a delimitação de tema, os objetivos da pesquisa, 
desenvolvimento do tema, ponto de partida e ponto de finalização, a contextualização, 
as referências bibliográficas, os autores envolvidos no desenvolvimento da pesquisa, 
são vários fatores a serem considerados e incluídos dentro dessa fase. 
Na segunda etapa sobre a Coleta dos Dados, lembrando que todas as fontes 
devem ser citadas corretamente, conforme normas da ABNT - Associação Brasileira 
de Normas Técnicas, pois toda informação deve ter autoria, mesmo as referentes a 
dados extraídos da internet também devem seguir esse procedimento, para que não 
corra o risco de se apropriar de conteúdos e ideias de terceiros, até mesmo para 
 
 
 AN02FREV001/REV 4.0 
 68 
evidenciar os dados extraídos de outros pesquisadores. Essa etapa é muito 
importante, pois são registrados e coletados todos os dados para embasar o 
desenvolvimento da contextualização do tema de pesquisa, bem como são coletados 
o máximo possível de indícios da cena do crime ou do equipamento invadido. 
Na terceira etapa de Análise dos Dados, esses são analisados os dados 
registrados na coleta dos dados, são comparados com outros conteúdos 
bibliográficos, feita análise dos dados encontrados referentes ao crime em estudo, 
geralmente este processo é desenvolvido por vários pesquisadores, especialistas na 
área de conhecimento do tema estudado e desenvolvido. 
Na quarta e última fase vem a Elaboração da Escrita, devem conter todas as 
fases anteriores incluídas, pois cada uma servirá para todo o desenvolvimento da 
escrita da pesquisa, como coleta dos dados, análise dos dados, embasamento 
bibliográfico e por fim desenvolvimento textual ou podemos chamar de 
contextualização sobre o tema de pesquisa. 
Todas essas fases do processo de investigação servem para o 
desenvolvimento da pesquisa, em que o objetivo é identificar as possíveis hipóteses 
encontradas em uma cena de crime ou encontrado em máquinas e equipamentos 
eletrônicos, essashipóteses servem para comprovar ou demonstrar que todo o 
estudo foi embasado em cima de estudos e pesquisas já existentes e comprovados e 
provados por meios legais de sua legalidade. Após esses processos de investigação 
desenvolver as hipóteses, será realizada a análise e identificação das possíveis 
deduções sobre a pesquisa, deduzindo quais são as hipóteses ou a hipótese correta 
para solucionar o crime, a dedução nada mais é do que identificar a causa ou o 
problema da pesquisa. 
Caro(a) estudante agora que você já conhece as Etapas do Processo de 
Investigação, podemos seguir a diante sobre o tema a seguir EVIDÊNCIA DIGITAL! 
 
 
29 EVIDÊNCIA DIGITAL 
 
 
Esse procedimento de analisar, identificar e recolher evidências digitais é um 
processo realizado por um perito Forense, que possui capacidade e especificidade 
 
 
 AN02FREV001/REV 4.0 
 69 
para estudar casos de crimes digitais, pois para isso o profissional precisa ser 
especializado em encontrar evidências e indícios dos invasores em um determinado 
sistema, site, computador ou equipamento eletrônico. 
Vamos apresentar a partir de agora alguns procedimentos para a realização 
da coleta das evidências em uma investigação, isto porque a coleta possui alguns 
processos que devem ser seguidos minuciosamente para que nenhum dado seja 
perdido e muito menos sofra alguma alteração, vamos ver esses procedimentos de 
coleta a seguir: 
Material Aprendido: neste procedimento devem ser identificados quais os 
equipamentos que foram invadidos, se for um caso de uma rede, deve ser aprendido 
o equipamento como o servidor de rede, essa é uma máquina considerada normal, 
mas a mesma realiza o controle e gerenciamento das informações que circulam e 
trafegam pela rede. 
Máquinas e Computadores Ligados: neste procedimento a análise será em 
cima apenas das máquinas que já estão ligadas, pois o perito Forense não tem 
liberação judicial nenhuma para ligar computadores ou fazer desligamento dos 
mesmos. Essa indicação não é apenas porque o perito não pode ligar uma máquina, 
mas porque ao ligar um equipamento ele vai estar alterando as evidências de provas, 
e em cenas de crimes não pode ser alterada nenhuma evidência. 
Desligamento do Computador Aprendido: este procedimento deve ser feito 
com muito cuidado, pois em muitas situações não é recomendado que o computador 
aprendido seja desligado antes de fazer uma análise prévia para identificar 
evidências, pois têm muitas informações que são apagadas ao desligar a máquina, 
porque estão armazenadas temporariamente na memória RAM do computador e ao 
desligar pode perder as informações que ali estão gravadas. 
Esses são alguns dos procedimentos que devem ser realizados ao fazer uma 
busca e apreensão de computadores, tomar cuidado com o material apreendido e 
coletado, não ligar e desligar nenhum equipamento na cena do crime. 
 
 
 
 
 AN02FREV001/REV 4.0 
 70 
 FIGURA 16 - EVIDÊNCIAS DIGITAIS 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
FONTE: LAMPERT, Edna. Evidências Digitais, 2013. 
 
Ainda podemos destacar mais dois processos no desenvolvimento da coleta 
das evidências digitais, como por exemplo o Projeto de Evidência Digital e a Produção 
de Provas. 
O Projeto de Evidência Digital: deve ser analisado as seguintes questões, 
identificar e organizar os dados e informações relevantes para o caso; estipular uma 
data ou duração em que o equipamento apreendido ficará retido junto com os peritos 
e com a justiça; realizar pedidos de auditoria; realizar a validação e autenticidade dos 
dados, informações e evidências encontradas nos equipamentos investigados; 
analisar e identificar os sistemas que serão utilizados para examinar o equipamento, 
como sistemas de criptografia, sistemas de rastreamento e identificação do que foi 
cometido com o computador ou das evidências deixadas pelo invasor. 
A Produção de Provas, nesse processo são realizados os seguintes 
procedimentos como identificação dos sistemas para analisar os logs e registros das 
evidências encontradas no equipamento; registrar e documentar formalmente todos 
os testes e dados coletados; validar os dados, arquivos e documentos encontrados 
por meio do certificado digital; analisar, identificar e documentar dados de acessos em 
um servidor, como data, horário e login de quem criou os arquivos, salvou, alterou, 
copiou ou transferiu os mesmos em uma rede; aplicar testes de auditoria nos dados 
 
 
 AN02FREV001/REV 4.0 
 71 
encontrados; e por fim manter a integridade e autenticidade dos registros 
encontrados, copiados e arquivados, pois esses serviram como evidências tanto para 
a conclusão de uma investigação, quanto para solucionar um caso de crime digital. 
Caro(a) estudante agora que tem uma prévia noção de como manipular e 
quais processos devem ser realizados ao coletar as Evidências Digitais, a seguir 
vamos apresentar os procedimentos para Coletar Evidências. 
 
 
30 COLETANDO EVIDÊNCIAS 
 
 
A coleta das evidências em uma cena de crime ou em um equipamento de 
informática é um processo muito importante para o bom desenvolvimento de uma 
investigação, este processo exige muito cuidado na hora de coleta das evidências, 
pois essas não podem sofrer alterações e nem perder a autenticidade. 
Para realizar uma coleta de evidências é preciso seguir métodos e 
procedimentos, essas coletas devem ser classificadas em nível de volatilidade, do 
mais para o menos volátil, outro processo muito importante para o desenvolvimento 
da coleta das evidências é documentar todos os dados e indícios encontrados, esta 
documentação garante a autenticidade dos dados coletados, como estamos tratando 
sobre computação Forense, outro processo muito importante na coleta é criar 
arquivos com os dados encontrados, criar um acervo dos dados encontrados e obter 
um certificado digital para que essas evidências não corram o risco de serem 
alteradas. 
Para realizar a coleta das evidências podemos utilizar procedimentos, como 
Análise das Evidências, Desenvolvimento do Relatório e Apresentação dos resultados 
encontrados na investigação ou pesquisa feito pelo perito Forense. 
 
 
 Análise das Evidências: 
 Fazer cópia e armazenamento dos dados e informações coletadas. 
 Autenticar todas as cópias dos documentos encontrados. 
 Criar um certificado Digital; 
 
 
 AN02FREV001/REV 4.0 
 72 
 Analisar e encontrar os registros eletrônicos. 
 Identificar os sistemas e programas utilizados. 
 Analisar e identificar quais danos foram causados. 
 
 Desenvolvimento do Relatório: 
 Manter salvo e arquivados com cópia e certificado digital das evidências 
encontradas. 
 Mandado de um juiz para poder realizar a investigação, fazer busca e 
apreensão e análise dos dados encontrados. 
 Identificar as irregularidades das evidências encontradas. 
 
 Apresentação: 
 Desenvolvimento da apresentação conforme metodologias da ABNT. 
 Divida a apresentação em partes. 
 Contextualização dos dados. 
 Apresentação das evidências encontradas. 
 Apresentação da Análise. 
 Apresentação da identificação de indícios. 
 Apresentação dos resultados das análises dos fatos encontrados. 
 Relatório em formato de Análise das evidências. 
 
Cada processo de coleta das evidências digitais precisa passar por algumas 
etapas, essas descrevem quais são os comportamentos que um perito deve fazer em 
estar presente em uma cena de crime, isso vai garantir o sucesso ou não de uma 
investigação. Vamos apresentar três etapas para a coleta e observação das 
evidências digitais, como Coleta de Dados Online, Dispositivos de Armazenamento e 
Alterações causadas nos Sistemas. 
Coleta de Dados Online: podemos iniciar pelos Históricos, registradores, 
histórico em Cache, dados nas memórias dos periféricos, dados na memória RAM, 
tráfego de dados da rede, transmitidos e recebidos, funcionamento do Sistema 
Operacional, últimos programas e sistemasutilizados, Log dos usuários, análise do 
disco rígido, periféricos de mídia, tempo de vida de cada dado ou equipamento 
coletado. 
 
 
 AN02FREV001/REV 4.0 
 73 
Dispositivos de Armazenamento: nesta etapa podemos analisar os seguintes 
itens, como analisar o histórico e registros dos dados em cache, identificar os dados 
relevantes dentro do histórico dos registros e cache, analisar os dados e informações 
contidos na memória principal, analisar dados, senhas e dados criptografados na 
memória RAM, extrair os dados do disco rígido, HD e periféricos de mídia. 
Alterações causadas nos Sistemas: esta fase de coleta das evidências é um 
processo muito importante, pois nele podem ser identificados quais foram os danos 
causados pelo invasor, identificar quais sistemas e programas utilizados, quais 
comandos foram utilizados, análise dos drivers, do Kernel, e das bibliotecas de dados 
do equipamento 
Agora que conhece alguns processos para realizar a coleta das evidências 
digitais, vamos conhecer os Sistemas de Arquivos? 
 
 
31 SISTEMAS DE ARQUIVOS 
 
 
O sistema de arquivos possuem a responsabilidade de gerenciar todos os 
dados e informações que trafegam dentro de um computador, podendo ser divididos 
em estruturas lógicas ou de rotina. 
Essas estruturas como a lógica são arquivos que podem ser transmitidos ou 
trafegar entre os sistemas de um equipamento de informática, já a estrutura de rotina 
tem a função de gerenciar a utilização dos arquivos utilizados diariamente. 
A função principal de um sistema de arquivos é gerenciar a organização dos 
dados e listar como esses serão gravados em disco, o mesmo organiza tanto a parte 
ou forma de como esses dados serão armazenados e como esses poderão ser 
acessados pelos usuários. O sistema de arquivos cria lista de armazenamento dos 
dados, para que esses sejam identificados e acessados com mais facilidade, esse 
controle existe também para aumentar a rapidez do acesso aos dados no disco de um 
computador, se não tiver esse controle e gerenciamento ficará mais difícil encontrar 
os dados armazenados. 
É o sistema de arquivos que define para um sistema operacional onde os 
dados e arquivos estão localizados, isso permitirá uma melhor performance para o SO 
 
 
 AN02FREV001/REV 4.0 
 74 
devolver as solicitações para seus usuários, esse processo também permite ao 
sistema operacional o que o usuário irá acessar, quais dados, e onde esses estão 
localizados dentro do disco. Analisando todo esse contexto podemos perceber a 
importância de um sistema de arquivos, pois ele controla todo o tráfego de dados que 
serão armazenados e acessados em um computador, esse processo também permite 
a configuração de acesso para cada usuário de uma rede por exemplo, pois nem 
todos os usuários possuem o mesmo perfil de acesso e cada um vai acessar os 
arquivos que possuem liberados em seu perfil de usuário, seja de uma rede ou de um 
computador. 
 
 
FIGURA 17 - SISTEMA DE ARQUIVOS 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
FONTE: Disponível em: <http://technet.microsoft.com/pt-br/library/cc787066%28v=ws.10%29.aspx>. 
Acesso em: 01 out. 2013. 
 
Há vários tipos de sistemas de arquivos, como o FAT16, FAT32, NTFS, 
EXT2, EXT3, XFS, JFS e ReiserFS, no entanto cada um é de um Sistema 
Operacional diferente, antes de explicarmos cada um deles vamos separar em 
grupos. 
http://technet.microsoft.com/pt-br/library/cc787066(v=ws.10).aspx
 
 
 AN02FREV001/REV 4.0 
 75 
Os sistemas de arquivos FAT16, FAT32, NTFS, são sistemas que trabalham 
e executam suas funções dentro do Sistema Operacional Windows, esses são 
utilizados a várias décadas pela empresa Microsoft. 
Do outro lado também possuem sistemas de arquivos direcionados para os 
Sistema Operacional Linux, como EXT2, EXT3, EXT4, XFS, JFS e ReiserFS, são 
mais opções e cada um com sua especificidade. 
Agora que conhece quais pertencem ao sistema operacional Windows e 
Linux, vamos explicar cada um deles e suas responsabilidades dentro de um 
computador, relembrando o sistema de arquivos é muito importante para o bom 
desempenho e funcionamento de um disco rígido de um computador. 
Vamos iniciar pelos sistemas de arquivos do Sistema Operacional 
WINDOWS, esses sistemas de arquivos disponibilizam para o usuário utilizar e 
organizar seus dados no disco rígido da melhor forma possível: 
FAT16: este sistema de arquivos por ser um dos mais antigos, possui 
algumas limitações, como suas partições possuem a capacidade máxima de 2GB, por 
cada partição criada. Para a criação do nome do arquivo, também possui limitações 
de até 8 caracteres para cada nome de arquivo criado e 3 caracteres para o nome da 
extensão do arquivo. 
FAT32: este sistema de arquivo é dos sistemas mais utilizados atualmente 
pelo mundo, este possui maior capacidade de armazenamento, para cada unidade 
particionada equivale a 16TB por arquivo criado e para o tamanho de cada arquivo 
pode ser até 4GB. Para o nome dos arquivos, os caracteres o aumentaram 
significativamente foi muito revolucionário passou de 8 caracteres para 256 
caracteres. Este sistema de arquivo o FAT32 é o sistema mais indicado para ser 
utilizado em dispositivos móveis, como HD externo, Pendrive e cartões de memória 
por exemplo. 
NTFS: este sistema de arquivos é utilizado para armazenar dados de 
servidores, isso porque o mesmo possui bastante instabilidade, segurança e 
confiabilidade dos arquivos armazenados. Este sistema de arquivos também permite 
 
 
 AN02FREV001/REV 4.0 
 76 
a criação de perfis de usuários e também não possui limitações de tamanho para os 
arquivos, nem para caracteres e nomes de arquivos. 
Agora vamos apresentar os sistemas de arquivos que servem para o Sistema 
Operacional LINUX, esses sistemas de arquivos para Linux são os sistemas mais 
utilizados atualmente. 
EXT2: este sistema de arquivos é muito utilizado para dispositivos móveis, 
como HD externo, Pendrive e cartão de memória, possui sua limitação de 
armazenamento de até 2TB por partição e para até 255 caracteres para o nome dos 
arquivos. 
EXT3: este sistema de arquivos possui um recurso muito interessante, pois o 
mesmo consegue armazenar log dos arquivos gravados, copiados e alterados em 
disco pelo usuário, pois este procedimento auxilia na recuperação dos dados, quando 
existe a necessidade de recuperação. 
EXT4: este sistema de arquivos possui um grande desempenho de 
processamento, possui uma diversificação no armazenamento dos dados, 
disponibilizando locais mais propícios para cada dado, aumentando assim o 
desempenho da fragmentação dos dados. 
XFS: neste sistema de arquivos sua capacidade e desempenho são muito 
altos, para armazenamento de arquivos comporta até 16 TB, com tamanho para cada 
arquivo de até 8 TB e sua estrutura suporta milhares de entradas de diretórios, podem 
ser desfragmentados, enquanto estão sendo gravados. 
ReiserFS: Neste sistema de arquivos também é possível implantar o suporte 
Journaling, que é um suporte ao sistema, onde os dados inseridos, armazenados e 
alterados após um problema de perca de dados pode recuperar as informações 
através de um Log dos registros feitos. 
Agora que conhece alguns sistemas de arquivos tanto do sistema 
Operacional Windows e Linux, vamos conhecer sobre Recuperação de Dados e E-
mails. 
 
 
 AN02FREV001/REV 4.0 
 77 
 
32 RECUPERAÇÃO DE DADOS E E-MAILS 
 
 
Vamos tratar essas recuperações em partes, primeiramente vamos falar sobre 
a recuperação dos dados e posteriormente vamos tratar da recuperação de e-mails, 
pois cada um é tratado de uma forma diferente para a recuperação da informação. 
Iniciando pela recuperação dos dados, primeiramente deve ser observado se 
o hardware não possui nenhuma peça quebrada ou danificada, pois precisa ser 
concertado a parte física antes de mexer na parte lógica de um computador, pois para 
que o mesmo ligue precisa do hardware em plenas condições. Depois de verificara 
parte física partimos para a recuperação dos dados que ficam armazenados na parte 
lógica de um computador. Para a recuperação alguns procedimentos devem ser 
analisados, como a estrutura dos arquivos e em quais partições no disco rígido esses 
arquivos podem estar armazenados. Podemos listar duas ferramentas que podem 
realizar a recuperação de dados seja de um computador, rede ou servidor, como 
RecoverMyFiles e EnCase. 
Para a recuperação de e-mail geralmente essa forma de recuperação é mais 
fácil e rápido de se fazer, pois os e-mails geralmente estão alocados em um servidor e 
pertencem a algum domínio, como pertencem a alguma empresa, como por exemplo 
o Gmail, seu domínio pertence a empresa Google. Se existe um investigação criminal, 
pode ser solicitado um mandado de investigação para essa empresa e a mesma terá 
que fornecer todos os dados que um determinado usuário possui neste domínio. 
Podemos destacar duas ferramentas que podem auxiliar na recuperado de e-mails e 
de dados que esse continha, como Smartwhois e EmailTracker. 
Na computação Forense os peritos na maioria das vezes encontram situações 
que necessitam fazer a recuperação de dados, informações e e-mails, pois os 
criminosos sempre se preocupam em apagar os rastros e não deixar vestígios algum 
por onde passa. 
 
 
 
 
 
 
 AN02FREV001/REV 4.0 
 78 
33 EQUIPAMENTOS E SOFTWARES 
 
Em se tratando de Computação Forense existe a necessidade de conhecer e 
trabalhar com os equipamentos e softwares que são destinados a auxiliar a 
investigação Forense a encontrar evidências criminais nos equipamentos 
tecnológicos. Os equipamentos para auxílio de análise e investigação de dados deve 
ser executado por meio de equipamentos específicos para cada caso de investigação. 
Uma das principais ferramentas de auxílio aos peritos Forenses em sua investigação 
são os equipamentos de armazenamento móvel, como HD externo, mídias, aos quais 
se possa armazenar e copiar as evidências encontradas em uma cena de crime ou 
em equipamentos de informática. 
Para a utilização de Softwares também precisa ser trabalhado com programas 
e aplicativos específicos para o estudo e investigação Forense, pois os softwares 
realizam a análise dos dados capturados nos equipamentos apreendidos e 
investigados, analisando todo o tráfego dos dados dentro de uma máquina ou rede, 
verificando quais sistemas foram utilizados para cometer o crime, bem como entrar 
dados camuflados e criptografados, para isso existem softwares específicos para 
cada caso em questão. Podemos destacar o software Logicube que possui o objetivo 
de extrair dados de aparelhos eletrônicos móveis, como celulares, Smartphones e 
Tablets, esse sistema realiza uma cópia dos dados encontrados para um disco rígido 
ou outra ferramenta de hardware por exemplo. Também podem ser encontrados 
outros dois softwares de suporte a Computação Forense, esses são distribuídos de 
forma gratuita, como o Backtrack 5 R3 e FDTK, o software Forensic Tool Kit, realiza a 
recuperação dos dados. 
Agora que sabemos da importância dos equipamentos e software em uma 
investigação de crime digital, vamos apresentar o conteúdo sobre Tópicos de Análise 
Forense em Análise e de Gravação de Áudio! 
 
 
34 TÓPICOS DE ANÁLISE FORENSE EM ANÁLISE E DE GRAVAÇÃO DE ÁUDIO 
 
 
 
 
 AN02FREV001/REV 4.0 
 79 
Existe uma grande preocupação com relação aos processos desenvolvidos 
por um profissional especialista em Computação Forense, pois são várias as tarefas e 
responsabilidades de um perito, incluindo nesta área a análise e gravação de áudio 
como uma evidência de um crime. Analisando todo esse contexto vamos iniciar 
nossos estudos sobre esse tema análise e gravação de áudio, em que o perito possui 
como objetivo analisar trechos de áudio, com fim de criar provas concretas para 
solucionar um caso de investigação. 
A execução dessa prática de gravação de áudio deve contemplar práticas da 
Computação Forense, essas metodologias e práticas envolvem arquivos contendo 
algoritmos, dados de áudio criptografados, como também devem ser feito 
armazenamento e cópias desses dados, que garantam efetivamente a autenticidade 
dessas informações gravadas. Lembrando que não apenas uma gravação de vídeo, 
mas uma gravação de áudio também é uma prova eminente para uma apresentação 
judicial. 
Como essa prática de utilizar áudio como uma prova perante a justiça 
referente a um processo ou crime, exige um amplo conhecimento a respeito do uso 
dessa tecnologia pelo profissional Forense, que deve analisar o material, fazer 
tratamento e edição desse áudio, analisar e fazer identificação das vozes. Esse 
procedimento pode ser chamado de DEGRAVAÇÃO, é uma técnica que possui como 
pressuposto fazer a transcrição integral de todas as falas gravadas, observamos que 
esse processo de gravação para utilizar como prova, em muitos casos precisa se 
autorização judicial para acontecer. Depois de fazer o processo de Degravação o 
perito poderá Transportar o áudio capturado para um computador, para que seja 
analisado se existe alguma sobreposição de voz, retirar as vozes do público, do ruído 
existentes na gravação e que não auxiliam os peritos em nada em uma investigação. 
Há no mercado alguns sistemas e programas que auxiliam os profissionais 
Forense nessa análise de gravação de áudio, como podemos citar o Programa Noise 
Reduction, Sound Forge e Audacity, que podem auxiliar um perito a transportar as 
informações de uma gravação de áudio. Dentre esses sistemas que auxiliam os 
peritos, possuem alguns processos em que esse profissional deve ficar atento em 
uma análise, como Autenticidade do áudio, melhorias da Inteligibilidade realizadas 
com o transportar de dados, definição da Audibilidade dos sons do áudio, e por último 
e um dos mais importantes nesse processo é a Identificação das vozes da gravação e 
 
 
 AN02FREV001/REV 4.0 
 80 
a transcrição das falas do áudio, essa transcrição também pode ser realizada por 
meio de sistemas que realizam esse processo. 
Caro(a) estudante agora que conhece algumas práticas de análise e gravação 
de áudio, vamos estudar a seguir sobre os Tópicos de Análise Forense em Imagens 
Digitais! 
 
 
35 TÓPICOS DE ANÁLISE FORENSE EM IMAGENS DIGITAIS 
 
 
Neste item também vamos observar que existem procedimentos a serem 
seguidos pelo profissional Forense ao realizar uma análise de imagens digitais, esse 
processo deve garantir a autenticidade dos dados analisados e capturados como 
provas em um caso de investigação. Este processo de análise de imagens digitais 
precisa passar por técnicas e métodos para recuperar os dados, preservar os dados 
armazenados em um computador ou equipamento eletrônico. 
Vamos apresentar a seguir alguns processos que podem garantir a 
autenticidade dos dados capturados das imagens digitais. 
 Detecção de cópia e colagem. 
 Inconsistência em referência a iluminação e estrutura. 
 Identificação da fonte e manipulações realizadas. 
 Tipo de equipamento utilizado. 
 Tipo de imagem, resolução. 
 Métricas de Qualidade de Imagem – IQM. 
 Métricas de Similaridade entre Planos de Bits – BSMs. 
 Descritores Wavelet de Alta Ordem – HOWS. 
 
Alguns cuidados devem ser tomados quanto a análise de imagens digitais, em 
relação a autenticidade dos dados copiados e armazenados, enumerar os dados que 
foram copiados por ordem de relevância, cuidados ao manipular as imagens para não 
alterar as evidências, identificar o melhor sistema e prática para analisar as imagens, 
profissionais envolvidos, registrar se possui alterações nas imagens, são esses 
 
 
 AN02FREV001/REV 4.0 
 81 
alguns pontos a serem observados pelos peritos Forense ao manusear e fazer análise 
em imagens digitais. 
Caro(a) estudante, vamos agora conhecer sobre os Tópicos de Análise 
Forense em Dispositivos Móveis? 
 
 
36 TÓPICOS DE ANÁLISE FORENSE EM DISPOSITIVOS MÓVEIS 
 
 
Este temaé muito importante, pois atualmente a maioria dos acessos dos 
usuários na internet também são realizados por meio de aparelhos eletrônicos, como 
celulares, Tablets e Smartphones, por outro lado a maioria desses usuários não 
utilizam sistemas de segurança, aumentando assim o problema de invasão de 
equipamentos, roubo de dados, dados danificados, roubo de identidade e roubo de 
senhas de banco. O uso desses equipamentos eletrônicos vem crescendo cada vez 
mais, são utilizados para atividades sejam elas para o trabalho ou para atividades 
pessoais, até mesmo pela grande disponibilidade de acesso a informações, para 
baixar aplicativos dos mais diversos, como jogos, redes sociais entre uma infinidade 
de aplicativos que estão disponíveis para qualquer área de interesse. 
Para analisar dispositivos móveis são utilizadas várias técnicas e 
metodologias para identificar e investigar problemas com crimes digitais, podemos 
destacar duas formas de técnicas, como análise estática, análise dinâmica e análise 
via depurador. A análise Estática envolve a averiguação dos bytes e dos códigos da 
máquina ou equipamento, para realizar esse processo é feito o processo de 
descompilação. Na análise Dinâmica seu objetivo é realizar o monitoramento dos 
dados que trafegam no equipamento, tanto dados de entrada, quanto de saída, como 
também realiza a identificação dos aplicativos que estão em execução, ou podemos 
dizer aplicativos que estavam em funcionamento. Na análise Via Depurador além de 
possuir as outras duas funções das análises anteriores, realiza tanto análise dos 
bytes e dados, quanto faz o monitoramento dos dados que trafegam e identificam 
quais aplicativos estão sendo utilizados. 
Os usuários precisam tomar alguns cuidados com esses dispositivos móveis, 
tanto para acessar a internet, cuidar para não acessar páginas desconhecidas, 
 
 
 AN02FREV001/REV 4.0 
 82 
sempre pesquisar a reputação do site, cuidados com os arquivos e aplicativos 
baixados, muitas vezes, dependendo do aparelho, esse possui seu próprio site para 
ser acessado e fazer atualizações e também para compra de aplicativos. Sempre 
fazer bloqueio da tela com uma senha específica, se o aparelho permite realizar a 
encriptação dos dados do aparelho, fazer backup dos contatos e dos dados, deixar 
desativado o Bluetooth e GPS, se possível fazer configuração de um sistema antivírus 
e de um Firewall, são pequenos cuidados e detalhes que podem garantir a segurança 
dos seus dados. 
 
 
 
 
 
FIM DO MÓDULO III