Logo Passei Direto
Buscar

Apostila Módulo 4 Bootcamp Analista Cybersecurity

Material didático sobre Análise de Rede e Forense Computacional. Inclui sumário e capítulos sobre criminalística e perícia (INC, princípio de Locard), tratamento de evidências (First Responder, cadeia de custódia), aquisição/coleta de dados (live analysis, dump de memória, aquisição de disco) e análise forense.

Material
páginas com resultados encontrados.
páginas com resultados encontrados.

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Prévia do material em texto

Análise de Rede e Forense Computacional 
 
 
 
 
 
Bootcamp Online: Analista em Cibersecurity 
Fabrício Lana Pessoa 
 
 
 
 
 
 
 
2020 
 
 
 Análise Computacional Forense – Página 2 de 38 
 
 
 
 
Análise de Rede e Forense Computacional 
Fabrício Lana Pessoa 
© Copyright do Instituto de Gestão e Tecnologia da Informação. 
Todos os direitos reservados. 
 
 
 
 
 
 
 Análise Computacional Forense – Página 3 de 38 
Sumário 
Capítulo 1. Criminalística, Perícia e Computação Forense ................................... 4 
1.1. Perícia e Ciência Forense ................................................................................ 4 
1.2. Crimes virtuais ................................................................................................. 6 
1.3. Peritos: tipos e funções .................................................................................. 10 
1.4. Provas, vestígios, indícios e evidências ......................................................... 13 
Capítulo 2. Tratamento de Evidências ................................................................. 18 
2.1. First Responder ............................................................................................. 19 
2.2. Coletando a evidência.................................................................................... 20 
2.3. Aquisição ....................................................................................................... 21 
2.4. Cadeia de custódia ........................................................................................ 23 
Capítulo 3. Adquirindo e Coletando dados .............................................................. 26 
3.1. Live Analysis .................................................................................................. 26 
3.2. Dump de memória.......................................................................................... 28 
3.3. Aquisição de disco ......................................................................................... 29 
Capítulo 4. Análise Forense ................................................................................ 33 
4.1. Dump de Memória.......................................................................................... 33 
4.3. Analise forense de imagem de disco ............................................................. 34 
4.3. Forense na nuvem ......................................................................................... 35 
4.4. Análise de redes ............................................................................................ 36 
4.5. Análise de malware ........................................................................................ 37 
Referências......... ..................................................................................................... 38 
 
 
 
 Análise Computacional Forense – Página 4 de 38 
Capítulo 1. Criminalística, Perícia e Computação Forense 
1.1. Perícia e Ciência Forense 
O órgão central de criminalística, responsável pela perícia criminal federal no 
Brasil, é o Instituto Nacional de Criminalística (INC), situado em Brasília. Vinculado a 
Polícia Federal, ele é responsável por coordenar as atividades de polícia científica da 
União, por meio de unidades em todas as capitais do Brasil. O INC é o órgão de 
investigação da polícia Federal. 
Figura 1 – INC, referência em criminalística. 
 
Fonte: https://www.apcf.org.br/pericia-criminal/pericia-criminal. 
Em seus Estados, cada unidade da federação conta com sua equipe de 
polícia técnica ou científica para apoiar e fornecer suporte as investigações das forças 
policiais estaduais. 
Um dos grandes contribuidores para a área de criminalística foi Edmond 
Locard. Podemos dizer até que todo trabalho de perícia decorre da base estabelecida 
pelo princípio de Locard. Segundo esse princípio, o indivíduo sempre interage ou 
deixa marcas no ambiente com o qual se relaciona, conforme detalhado a seguir. 
 
 
https://www.apcf.org.br/pericia-criminal/pericia-criminal
 
 
 Análise Computacional Forense – Página 5 de 38 
Princípio de Locard 
Em meados do ano de 1910, Edmond Locard, conhecido também como o 
Sherlock Holmes da França, um dos pioneiros da Ciência Forense moderna, 
estabeleceu o famoso princípio de Locard, segundo o qual “todo o contato deixa um 
traço (vestígio)”. Segundo ele, é impossível que tenha havido uma interação entre 
dois “corpos”, sem que qualquer evidência tenha sido deixada ou modificada1. 
Quaisquer que sejam os passos, quaisquer objetos tocados, o que 
quer que seja deixado, mesmo que inconscientemente, servirá como 
uma testemunha silenciosa. Não apenas as suas pegadas ou digitais, 
mas o seu cabelo, as fibras das suas calças, os vidros que ele 
porventura parta, a marca da ferramenta, a tinta, o sangue ou sémen 
que se deixe. Tudo isto, e muito mais, carrega um testemunho[...]. Esta 
prova não se esquece. É distinta da excitação do momento. Não é 
ausente como as testemunhas humanas são. Constituem, per se, 
numa evidência factual. A evidência física não pode estar errada, não 
pode cometer perjúrio por si própria, não se pode tornar ausente. Cabe 
aos humanos, procurá-la, estudá-la e compreendê-la, apenas os 
humanos podem diminuir o seu valor. (LOCARD, 1910) 
Desde então e com o estrondoso desenvolvimento científico/tecnológico do 
século XX, várias iniciativas e publicações relevantes foram realizadas, 
impulsionando o desenvolvimento das ciências e perícia forense, tal qual como 
conhecidos hoje.2 
 
1 Kirk, Paul (1953). Crime Investigation: Physical Evidence and the Police Laboratory. 
2 Paul Leland Kirk, bioquímica na área forense (1934). “Physical evidence and the police laboratory” 
Técnicas para análise na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas 
de fogo etc. 
Roland Menzel (1970). Identificação de digitais. “Fingerprint Detection With Laser”. 
Alec Jeffreys (1985). Primeiro teste de DNA publicado na revista “Nature”, revolucionando os métodos 
de identificação forense. 
https://books.google.com.br/books/about/Crime_investigation.html?id=WYZtAAAAIAAJ&redir_esc=y
 
 
 Análise Computacional Forense – Página 6 de 38 
1.2. Crimes virtuais 
Em geral, por natureza, crimes virtuais são considerados crimes de meio. Isso 
quer dizer que não se enquadram em uma nova modalidade ou tipo penal limitado ao 
ambiente virtual. Em geral, a materialização da conduta é virtual, mas o crime não. 
Todavia, vemos que os crimes cibernéticos podem ainda ser classificados como 
puros, comuns ou mistos34: 
1. Crimes cibernéticos puros ou próprios: tem como alvo uma rede, sistema 
ou computador, tendo como objetivo danificar equipamentos ou obter acesso 
a dados sigilosos. “A informática (segurança dos sistemas, titularidade das 
informações e integridade dos dados, da máquina e periféricos) é o objeto 
jurídico tutelado”5. Exemplo: Ransonware, construído para criptografar 
arquivos do servidor de banco de dados de uma determinada empresa. 
2. Crimes cibernéticos comuns, impuros ou impróprios: utilizam a internet 
apenas como meio. Correspondem, portanto, a crimes já tipificados, 
realizados agora com auxílio do computador. Exemplo: compartilhamento de 
fotos de pornografia infantil. Ou ainda, calúnia, injuria, difamação, ameaça, 
furto, extorsão, estelionato etc. 
3. Crimes cibernéticos mistos: o uso da internet ou de dispositivos digitais é 
uma condição indispensável para a efetivação do crime, embora o objeto 
visado seja outro. Exemplo: fraude de acesso a conta bancária por meio da 
internet. 
 
³ https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-
o-problema-na-tipificacao/ 
4 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos 
5 JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998. 
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
 
 
 Análise Computacional Forense – Página 7 de 38 
Muitas vezes os delitos cometidos na internet não definem, portanto, a prática 
de novos crimes, mas somente um local ou meio para realização de atos já existentes 
e cometidos no mundo real, conforme ilustrado e relacionado a seguir6: 
▪ Calúnia: Insultar a honra de alguém (artigo138 CP). 
▪ Difamação: espalhar boatos eletrônicos sobre pessoas (difamação artigo 139 
CP). 
▪ Injúria: insultar pessoas considerando suas características ou utilizar 
apelidos grosseiros (artigo 140 CP). 
▪ Ameaça (artigo 147 CP). 
▪ Furto de dados: utilizar dados da conta bancária de outrem para desvio ou 
saque de dinheiro (furto artigo 155 CP). 
▪ Preconceito ou discriminação: comentar em chats, e-mails e outros, de 
forma negativa, sobre raças, religiões e etnias (artigo 20 da Lei n. 7.716 /89). 
▪ Pedofilia: enviar ou trocar fotos de crianças nuas (artigo 247 da Lei n. 8.069 
/90, o Estatuto da Criança e do Adolescente - ECA). 
▪ Furto estelionato, violação do direito autoral, tráfico de drogas ou armas, 
incitação ao crime, formação de quadrilha. 
A figura abaixo retrata uma prática criminosa bastante comum no ano de 
2019, utilizada para obtenção de depósitos de bitconins, a partir de extorsão realizada 
por e-mail. 
 
 
 
6 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual 
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
 
 
 Análise Computacional Forense – Página 8 de 38 
Figura 2 – Exemplo de “Sextorsion” - Crime de extorsão. 
 
Fonte: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash. 
Apesar de todos os esforços para punir a prática desses crimes, hackers 
vendem serviços abertamente na internet, ironizando as leis e punições existentes 
para os crimes virtuais descritas anteriormente: 
 
 
https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash
 
 
 Análise Computacional Forense – Página 9 de 38 
Figura 3 – Oferta de serviços para crimes virtuais. 
 
Fonte: https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-
combater-crime-virtual. 
 
 
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
 
 
 Análise Computacional Forense – Página 10 de 38 
1.3. Peritos: tipos e funções 
Diferentes tipos de perito podem realizar o procedimento de perícia, de 
acordo com sua atuação, conforme detalhado a seguir: 
I. Perito criminal: é um membro da polícia técnica/científica. Ele examina e 
analisa tecnicamente vestígios de um crime para apoiar a polícia no processo 
de investigação. O perito criminal é um servidor público, concursado, que atua 
para auxiliar na solução de diferentes tipos de crime, em diversas áreas de 
conhecimento. Tendo sido nomeado em concurso e atuando, portanto, em 
nome do Estado, ele é também chamado de perito oficial ou perito natural. 
II. Perito judicial: é um apreciador técnico, assessor do juiz. É a pessoa 
encarregada de esclarecer, por meio de um laudo, uma questão que pode ser 
apreciada em detalhes por seus conhecimentos técnicos especializados.7 Ao 
contrário do perito criminal, ele não é um servidor do Estado e atua, portanto, 
somente de modo pontual e especifico, no caso para o qual foi designado. 
Deste modo, pode-se dizer que o perito judicial é também um tipo de perito 
Ad Hoc. 
III. Assistente técnico: é “o profissional contratado por uma das partes para 
auxiliá-la no decorrer de um processo judicial, com a elaboração de um 
laudo técnico especializado. Em causas cíveis e trabalhistas, ele acompanha 
a realização da perícia junto com o perito oficial, mas no processo penal o 
assistente técnico atua somente após a sua conclusão. Neste caso, ele pode 
fornecer um novo laudo, apresentar novos elementos e argumentos, ou 
contestar os procedimentos realizados pela perícia oficial.8 
 
7 MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas, 2000. 
8 Art. 159 do CPP §3º. Serão facultadas ao Ministério Público, ao assistente de acusação, ao ofendido, 
ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico. (Incluído pela 
 
 
 Análise Computacional Forense – Página 11 de 38 
Há que se destacar aqui que, em qualquer caso, mesmo quando não houver 
contestação, com ou sem a participação de um assistente técnico, o Juiz não é 
obrigado a acatar ou aceitar as conclusões da perícia, sendo livre, soberano e 
independente para decidir conforme seu próprio convencimento9 
IV. Perito extrajudicial: é o indivíduo contratado, independente de uma 
ação judicial ou investigação criminal. Diferencia-se do assistente técnico por 
atuar de modo independente, sem a necessidade da existência de um 
processo em curso. Atua com a finalidade de realizar uma análise técnica de 
determinado fato, o qual demanda conhecimentos específicos para 
esclarecimento. Muitas vezes, o perito extrajudicial pode ser contratado para 
realização de uma análise, que de suporte a advogados na abertura de um 
processo, auxiliando na fundamentação do seu pedido inicial no judiciário, ou 
na formulação de quesitos a serem apresentados no processo. De outro 
modo, também pode ser um recurso útil para auxiliar na solução de conflitos 
sem demandar a Justiça, servindo como apoio técnico para esclarecimentos 
que possam conduzir partes com interesses contrários a um acordo 
extrajudicial. Em geral, este é inclusive um procedimento mais rápido e de 
menor custo que o acionamento do poder judiciário e a respectiva nomeação 
de um perito para atuar no processo. Vale ressaltar por fim que, conforme 
descrito acima, a respeito da autonomia do Juiz em relação a perícia, este 
pode utilizar o parecer ou relatório de um perito extrajudicial como 
fundamentação para sua sentença, mesmo que em contraposição a perícia 
oficial ou judicial. 
 
V. Testemunha técnica: apesar do nome sugerir outro entendimento, a 
testemunha técnica não pode ser um indivíduo indicado pelos envolvidos em 
 
Lei no. 11.690, de 2008) §4º. O assistente técnico atuará a partir de sua admissão pelo juiz e após a 
conclusão dos exames e elaboração do laudo pelos peritos oficiais. 
9 “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte” Art 182 CPP. 
 
 
 Análise Computacional Forense – Página 12 de 38 
um processo. Ao contrário disso, ainda que apresentada a partir de 
requerimento das partes, trata-se de um perito nomeado pelo juízo para 
prestar testemunho em audiência, dispensando apresentação de laudo 
pericial. Neste sentido, no momento em que um perito judicial for dispensado 
da apresentação do seu relatório e prestar testemunho a respeito de suas 
análises e conclusões, estará realizando o papel de uma testemunha técnica 
no processo. 10 
A figura a seguir ilustra as diferentes formas de atuação do perito, conforme 
descrito acima. Cabe ressaltar uma exceção ao esquema apresentado abaixo, a qual 
refere-se à nomeação de dois peritos para atuar de modo Ad Hoc, em processos 
criminais, na ausência de perito Oficial. 
Figura 4 – Formas de atuação de um perito. 
 
 
10 “Art. 464. (...) § 2o De ofício ou a requerimento das partes, o juiz poderá, em substituição à perícia, 
determinar a produção de prova técnica simplificada, quando o ponto controvertido for de menor 
complexidade.” 
 
 
 Análise Computacional Forense – Página 13 de 38 
Em qualquer situação, independente do papel ou do momento em que atuar, 
o perito deverá apresentar sempre dados objetivos e precisos, em todos os casos sobsua responsabilidade. Cabe a ele conduzir seu trabalho pautado sempre pelo método 
científico, sem ocultar ou distorcer fatos, mantendo sempre o seu compromisso com 
a verdade. Esse é o dever e papel ético de um perito. 
 
1.4. Provas, vestígios, indícios e evidências 
O objetivo principal de uma perícia deve ser, a partir da identificação e análise 
de evidências, esclarecer fatos, a autoria e a dinâmica de um crime, identificando e 
relacionando elementos que possam servir como prova válida em juízo. 
Provas 
Representam o conjunto de meios idôneos, utilizados para afirmar ou 
negar a existência de um fato11. Podem ser do tipo testemunhal, documental ou 
material (corpo de delito, exames, vistorias). Muitas vezes, provas apresentadas a 
partir da observação de testemunhas ou dos próprios envolvidos apresentam falhas, 
o que reforça a importância da prova material, baseada em exames técnicos e 
científicos. 
Todavia, em diversas circunstâncias não é possível obter uma comprovação 
cabal que indique o cometimento de um crime, como por exemplo a localização de 
um corpo ou logs de computadores. Neste sentido, dizemos que mesmo não sendo 
possível a obtenção deste tipo de prova, a perícia ou o conjunto probatório por ela 
apresentado tem como função “fornecer ao juiz o conhecimento da verdade, a fim de 
 
11 Da prova no processo penal, 7ª. ed., rev., São Paulo, Ed. Saraiva, 2006. 
 
 
 Análise Computacional Forense – Página 14 de 38 
gerar sua convicção quanto à existência ou inexistência dos fatos.”18 O juiz formará 
sua convicção pela livre apreciação da prova.12 
Vestígios/Evidências 
 Vestígios são decorrentes da conduta humana e do princípio de Locard, 
segundo o qual todo contato deixa um traço ou evidência. Como sempre existirá a 
troca entre pessoas e ambiente, um criminoso sempre deixa ou leva algo consigo. Os 
termos vestígios e Evidência são frequentemente utilizados como sinônimos. 
Todavia, evidências representam vestígios que, após analisados, mostram-se 
relevantes ou relacionados com o fato investigado. Nesse sentido, diz-se que o 
vestígio abrange e a evidência restringe. 
No campo dos crimes virtuais podemos, por exemplo, detectar vestígios de 
uma invasão a partir da assinatura de um ataque. Ela é encontrada em padrões de 
conexão, tráfego e logs ou reconhecidas por mecanismos de detecção de intrusão. 
Como exploram em sua maioria vulnerabilidades conhecidas, boa parte também 
deixa um rastro ou registros dos procedimentos utilizados para explorar estas 
vulnerabilidades. É desta maneira inclusive que mecanismos de antivírus ou de 
detecção de intrusão (IDS) alertam ou bloqueiam ferramentas maliciosas ou tentativas 
de invasão a uma rede. Neste ponto, vale dizer então que malwares ou exploits13 
“também podem ser pegos em função do seu comportamento”, já que, em algumas 
vezes, seguem procedimentos ou padrões conhecidos e comuns. O famoso 
ransoware wannacry, por exemplo, segue uma sequência de etapas no seu 
funcionamento, que inclui acesso a sites e alterações de chave no registro, 
mecanismos de persistência e conexões de rede e específicos, conforme ilustrado na 
figura a seguir. Nela podemos observar o acesso a URL específica, com tentativas de 
 
12 Art 155. CPP. 
13 Exploits: ferramentas maliciosas que exploram uma vulnerabilidade da rede ou sistemas para realizar 
uma invasão ou ataque de rede. 
 
 
 Análise Computacional Forense – Página 15 de 38 
conexão no compartilhamento IPC$, via protocolo SMB, a criação de serviços e 
alguns registros do Windows tipicamente, modificados pelo malware.14 
 
 
14 Detalhamento completo do funcionamento do WannaCry, incluindo toda a engenharia reversa do 
seu código podem ser obtidos em artigo o Sans Institute. Disponível em: https://digital-
forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-
rules_5549. 
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549
 
 
 Análise Computacional Forense – Página 16 de 38 
Figura 5 – Assinaturas do WannaCry. 
 
Mesmo outros crimes tecnologicamente mais simples deixam vestígios 
materiais no computador, telefone ou outro dispositivo digital, que podem ser 
resgatados a partir da perícia. Exemplo: Logs de acesso a páginas na internet, e-
mails, pesquisas no Google, localização e posicionamento, transações bancárias, etc. 
Indícios 
Indícios são decorrentes de fatos, sinais, marcas ou vestígios, conhecidos e 
provados, que por sua relação necessária com outro fato provam ou levam a presumir 
a sua existência15. São circunstâncias conhecidas e provadas que, tendo relação com 
um fato, permitem concluir a seu respeito.16 
 
15 RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra / Luzzatto, 1996. ISBN 8524104910. 
16 Art.239 CPP. 
 
 
 Análise Computacional Forense – Página 17 de 38 
Espera-se, portanto, que perícia possa demonstrar possíveis relações entre 
vestígios ou evidências de um crime, e deste ponto possibilite a compreensão da sua 
dinâmica e execução. Ainda que não se permita fornecer prova cabal do seu 
cometimento, que ela forneça indícios suficientes que possam levar a comprovação 
da sua autoria 
Exame de Corpo de Delito 
Ao contrário do que popularmente se pensa sobre o termo, exame de Corpo 
de Delito não se refere a autópsia ou análise física de um cadáver. Ainda que este 
exame possa fazer parte do conceito, Corpo de Delito compreende o conjunto de 
elementos ou evidências materiais (aquilo que se pode ver, tocar, medir etc.), que, a 
partir de exame pericial, servirão como suporte para estabelecer materialidade e 
autoria de um crime. Refere-se ao exame pericial, realizado sobre vestígios materiais. 
Nos casos em que houver vestígios, a ausência do exame de corpo de delito pode 
até causar a nulidade do processo.17 Além disso, deve-se cuidar para que exames 
realizados no local do crime não alterem o “estado das coisas” até a chegada do 
perito.18 Este é o motivo pelo qual inclusive não se deve, por exemplo, instalar 
programas em um computador para sua análise forense, preservando assim o 
máximo possível, o seu estado original, conforme demonstraremos nas sessões 
seguintes. 
 
17 Art 564 - CPP. 
18 Art 160 - CPP. 
 
 
 Análise Computacional Forense – Página 18 de 38 
Capítulo 2. Tratamento de Evidências 
Neste momento é importante apresentar a norma ISO 27037. Ela traz 
diretrizes para identificação, coleta, aquisição e preservação de evidência digital e 
outras definições importantes como a distinção entre o processo de coleta e 
aquisição, conforme demonstrado a seguir: 
▪ Coleta: processo de recolhimento dos objetos e ou itens que possam conter 
potencial evidência digital. 
▪ Aquisição: processo de criação de cópia de dados. Imagem ou 
espelhamento do conteúdo de dispositivos de armazenamento. Utilizada para 
gerar uma cópia digital da evidência, garantindo a preservação do dispositivo 
em análise no seu estado original19. 
▪ Dispositivo digital: qualquer mídia ou equipamento eletrônico/telemático 
utilizado para armazenar ou processar dados digitais 
▪ Dados voláteis: dados que são especialmente propensos a alteração e que 
podem ser facilmente modificados 
Um dos principais tópicos abordados pela norma, refere-se aos 
procedimentos a tomar no primeiro contato com uma evidência. Esse é o trabalho do 
First Responder, conforme detalhado a seguir. 
 
 
 
19 Estritamente falando, conforme demonstrado acima, coleta e aquisição são termos distintos que se 
referem a obtenção da evidência por meio físico ou digital. No decorrer deste texto, algumas vezes 
você vai encontrar estes termosutilizados, coloquialmente, como sinônimos, referindo-se 
indistintamente a extração dos dados ou remoção de um dispositivo. 
 
 
 Análise Computacional Forense – Página 19 de 38 
2.1. First Responder 
Tal qual o próprio nome sugere, First Responder é a primeira pessoa a chegar 
à cena do crime ou local de uma emergência. Também conhecido pela sigla em inglês 
DEFR (Digital Evidence First Responder), ele é o responsável por identificar, isolar e 
proteger este ambiente, para garantir a preservação de evidências, que muitas vezes 
podem ser frágeis ou temporárias. O DEFR é a pessoa que realiza os primeiros 
procedimentos a serem executados no tratamento de um incidente. É o responsável 
pela coleta, aquisição e manuseio das evidências. Ele pode ser um 
policial/investigador, perito ou mesmo o administrador de uma rede. 
Os principais papeis do First Responder são: 
▪ Isolar, identificar e proteger ativos, um local ou ambiente. 
▪ Fotografar ou filmar equipamentos e a “cena do crime”. 
▪ Preservar as evidências, especialmente as mais frágeis ou voláteis. 
▪ Coletar e documentar informações iniciais sobre o incidente. 
▪ Garantir a correta coleta e transporte de evidências. 
Sua atuação é muito importante para não comprometer os trabalhos da 
perícia, já que tal qual o próprio criminoso, ao interagir com o ambiente pode 
involuntariamente gerar ou alterar vestígios e modificar aspectos importantes das 
evidências, invalidando até mesmo a prova pericial. 
Em contato com as evidências, muitas vezes o First Responder pode cometer 
erros pequenos, que geram, porém, grande impacto na perícia, por exemplo: 
▪ Desligar ou reiniciar o computador/dispositivo da vítima. 
▪ Manusear incorretamente ou utilizar programas nos dispositivos sob análise. 
▪ Não documentar suas ações ou o processo de coleta de dados. 
 
 
 Análise Computacional Forense – Página 20 de 38 
Em sua análise inicial, o perito deve, portanto, atentar-se para estes cuidados, 
documentando todos os seus procedimentos para evitar a modificação ou a 
destruição de evidências. A relação abaixo apresenta os passos que o perito deve 
seguir em seu “contato” inicial com a evidência: 
▪ Remover cabo de rede ou colocar dispositivos móveis em modo avião, para 
garantir que nenhum procedimento de wipe ou exclusão de dados possa ser 
acionado remotamente. 
▪ Analisar se há algum processo suspeito em execução que possa estar 
realizando a criptografia ou exclusão dos dados. 
▪ Realizar um dump ou coleta dos dados armazenados em memória RAM. 
▪ Analisar logs, estado de conexões de rede, programas e processos em 
execução. 
▪ Se não for possível a coleta (remoção do dispositivo), realizar a aquisição dos 
dados através de imagem bit a bit com geração do seu respectivo hash. 
▪ Jamais instalar programas no dispositivo, ou mesmo executar/abrir arquivos 
diretamente no equipamento. 
▪ Executar programas somente a partir do seu “flash drive forense”. 
▪ Utilizar preferencialmente um checklist para orientar suas ações sempre, 
detalhando e documentando todos os passos e procedimentos realizados. 
 
2.2. Coletando a evidência 
Conforme apresentado anteriormente, o processo de coleta compreende a 
obtenção de objetos que possam conter potencial evidência digital. Trata-se 
efetivamente do recolhimento dos itens físicos, que serão posteriormente submetidos 
a análise em laboratório. Caberá ao First Responder avaliar e decidir o melhor 
procedimento, considerando sua capacitação para remover o dispositivo, além de 
 
 
 Análise Computacional Forense – Página 21 de 38 
outras variáveis como custo, tempo e preservação da evidência, ou optar pelo 
processo de aquisição dos dados. 
Além da coleta dos dispositivos digitais, deverão ser recolhidos do local outros 
objetos, observando-se sempre os cuidados necessários para preservação das 
evidências. Toda abordagem deve ser documentada. 
Caso o dispositivo seja encontrado ligado, independente da realização da 
coleta, sempre que possível recomenda-se a realização do procedimento de 
aquisição dos dados, sobretudo para preservação das informações voláteis, conforme 
detalhado a seguir. 
 
2.3. Aquisição 
Segundo a ISO 27037, o processo de aquisição envolve a geração de uma 
cópia digital da evidência, com a respectiva documentação dos métodos e 
procedimentos realizados neste processo. Estes procedimentos devem ser 
reproduzíveis por outro perito e gerar a menor alteração possível na evidência. 
O procedimento de aquisição deve produzir uma cópia digital da evidência, 
certificada através do uso de funções de verificação, de modo tal que produza um 
mesmo hash que a evidência original. Em situações em que esse processo de 
verificação não puder ser realizado, o First Responder deverá documentar o método 
utilizado, justificar o fato e eventuais procedimentos escolhidos. 
Em algumas situações, pode não ser possível a criação de uma cópia digital 
da evidência, em função do volume de dados nela contido. Neste caso, o DEFR 
deverá realizar uma “aquisição lógica” dos dados, tendo como objetivo o registro e a 
preservação de dados específicos de determinadas partes de um disco ou diretório, 
por exemplo. Em qualquer caso, não sendo possível o vínculo do hash entre a 
evidência e a sua cópia digital, todo o procedimento e motivos deverão ser 
documentados e justificados. 
 
 
 Análise Computacional Forense – Página 22 de 38 
Live Aquisition: desligar ou não desligar 
Diante da prática inicial de uma coleta ou aquisição, é frequente o 
questionamento sobre manter ou não um dispositivo ligado. Isso porque desligá-lo 
pode significar a perda de dados voláteis ou até mesmo impossibilitar um acesso 
posterior, já que em uma nova inicialização, o dispositivo pode ser protegido por 
senha ou criptografia. Por outro lado, não desligar o equipamento pode implicar em 
permitir a exclusão ou modificação de algum dado, por meio de procedimento remoto 
ou programa/script local em andamento. 
Encontrando o sistema ligado e com acesso ao sistema operacional, é 
importante o perito coletar, por exemplo: 
▪ Data e hora do sistema. 
▪ Conexões de rede. 
▪ Portas abertas. 
▪ Usuários logados. 
▪ Processos, serviços ou aplicativos em execução. 
▪ Tarefas agendadas. 
▪ Arquivos abertos. 
▪ Cookies e histórico navegação. 
▪ Cache e outras informações do browser. 
▪ Favoritos. 
▪ Logs em geral. 
▪ Wipe da memória RAM. 
 
 
 Análise Computacional Forense – Página 23 de 38 
A simples, mas muitas vezes negligenciada, inspeção por exemplo, do 
histórico de comandos e conteúdo armazenado na área de transferência, pode revelar 
detalhes importantes sobre o recente uso do dispositivo, incluindo eventuais 
tentativas de ocultar provas. 
Mesmo suspeitando-se de algum procedimento de wipe em execução, que 
não possa ser interrompido por outro meio, não se deve desligar o computador 
através dos procedimentos habituais. Isso porque o desligamento a partir de 
procedimentos comandados pelo sistema operacional, ocasiona a limpeza e remoção 
dos dados armazenados na área de swap do disco. O swap é uma área de memória 
disponível nos discos rígidos, utilizada como um recurso adicional do sistema para 
armazenar temporariamente, conteúdos que estariam guardados na RAM, mas que 
foram movidos para o HD em função da necessidade de espaço. Comportando-se 
como uma extensão da RAM no disco, esta área pode conter importantes informações 
sobre o estado atual da máquina, que se perdem com o desligamento tradicional. 
Nesses casos, portanto, a recomendação é remover o cabo de força, o que 
ocasionaria a manutenção dos dados de swap no disco para posterior análise. Vale 
lembrar que o procedimento de remoção do cabo pode causar outros problemas, 
devendo, portanto, ser utilizado somente em situações extremas, quando por exemplo 
o perito suspeitar de criptografia, wipe ou exclusão de dados em andamento. 
 
2.4. Cadeia decustódia 
Segundo a ISO 27037, a cadeia de custódia compreende o registro 
documental de toda a cronologia de movimentação de um vestígio. Este documento 
deve ser criado no momento seguinte a coleta ou aquisição da evidência, e deverá 
conter todo o seu histórico de localização e manuseio, desde o momento em que foi 
obtido até o seu estado atual. Ele detalha os responsáveis pela sua guarda ou 
retirada, mantendo o registro completo de sua movimentação desde a coleta. “O 
 
 
 Análise Computacional Forense – Página 24 de 38 
propósito de manter o registro de cadeia de custódia é manter a identificação do 
acesso e movimento da potencial evidência digital a qualquer tempo”20. 
Segundo a ISO 27097, o registro da cadeia de custódia deverá conter as 
seguintes informações: 
▪ Identificador único da evidência;. 
▪ Quem acessou a evidência e o tempo e local em que ocorreu. 
▪ Quem checou a evidência interna e externamente nas instalações de 
preservação da evidência e quando isto ocorreu. 
▪ Motivo de a evidência ter sido verificada (qual caso e propósito) e a 
autoridade relevante, se aplicável. 
▪ Quaisquer alterações inevitáveis da potencial evidência digital, assim como o 
nome do indivíduo responsável para tanto e a justificativa para a introdução 
da alteração. 
 
 
 
 
 
 
 
 
20 ISO 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital 
evidence, página 11, tradução livre. 
 
 
 Análise Computacional Forense – Página 25 de 38 
Figura 6 – Formulário de cadeia de custódia. 
 
Fonte: http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-
importancia.html. 
http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html
http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html
 
 
 Análise Computacional Forense – Página 26 de 38 
Capítulo 3. Adquirindo e Coletando dados 
3.1. Live Analysis 
A Live Analysis ou análise ao vivo acontece no momento do contato inicial 
com a evidência. Tem como objetivo obter sua “fotografia” e compreensão da tal qual 
o estado em que foi encontrada. Na Live Analysis, as evidências são obtidas com o 
sistema em execução. 
Neste tipo de trabalho, o perito poderá obter importantes informações sobre 
o dispositivo em análise, através os seguintes recursos: 
▪ Análise de logs, processos e informações obtidas a partir do Sistema 
Operacional. 
▪ Dump de memória. 
▪ Dados do disco, obtidos por meio de uma aquisição lógica. 
Conforme mencionado acima, para evitar o cometimento de erros 
recomenda-se que o perito observe uma cronologia de passos nas suas atividades. 
A construção dessa rotina pode ser feita individualmente, mas recomenda-se no 
mínimo observar as seguintes práticas: 
Documentar data e hora: ao iniciar sua atividade, o perito deverá 
documentar a data e hora local, bem como gravar um registro com a hora do sistema. 
Utilizar um flash drive forense: no momento em que iniciar a análise de um 
dispositivo, o perito deverá utilizar sempre programas que modifiquem o mínimo 
possível o estado da memória. Além disso, em hipótese alguma deverá instalar ou 
executar programas diretamente no objeto que será periciado. 
Realizar um dump da memória: durante a sua execução, os programas 
carregam muitos dados importantes na memória RAM. Coletar esses dados para 
posterior análise pode representar uma parte vital da perícia. 
 
 
 Análise Computacional Forense – Página 27 de 38 
Utilize uma mídia completamente limpa: para gravar os dados coletados, 
recomenda-se utilizar uma mídia completamente limpa. Isso é, um dispositivo que 
tenha tido todos os dados excluídos, com a sobrescrita de zeros no seu conteúdo. 
Registre o hash: somente o registro do hash dos programas utilizados, dos 
arquivos e conteúdos extraídos, scripts e dump de memória, pode garantir a 
inquestionável correspondência entre os dados periciados e aqueles contidos no 
dispositivo em análise. 
No procedimento de “live aquisition”, popularmente muitas vezes chamado de 
aquisição “a quente” ou “online”, deve-se priorizar a coleta das evidências, segundo 
a sua volatilidade, conforme recomendações da RFC 3227. 
▪ CPU, cache de memória e registros. 
▪ Tabelas de roteamento. 
▪ Cache ARP. 
▪ Estado do processo e processos em execução. 
▪ Módulos e estatísticas do kernel. 
▪ Memória principal (RAM). 
▪ Arquivos de sistema temporários. 
▪ Arquivos de swap. 
▪ Configuração e conexões de rede. 
▪ Configurações do sistema. 
▪ Histórico de comandos. 
▪ Arquivos abertos, dados da área de transferência e usuários conectados. 
▪ O sistema de arquivos. 
 
 
 Análise Computacional Forense – Página 28 de 38 
3.2. Dump de memória 
Dados contidos na RAM são considerados voláteis, já que são perdidos 
quando a máquina/dispositivo é desligada. Por sua natureza dinâmica e temporária, 
também são apagados ou sobrescritos de acordo com o próprio uso do sistema, 
motivo pelo qual até mesmo o programa utilizado para coletar o conteúdo da RAM 
deve ser o mais leve e menos intrusivo possível, para não modificar de modo 
relevante o conteúdo já existente em memória. Essas alterações devem ser bem 
documentadas para evitar a destruição de suas evidências legais. A aquisição ao vivo 
geralmente faz as seguintes modificações em qualquer máquina Windows: 
▪ Alterações no registro. 
▪ Entradas de memória. 
▪ Gravação de pequena de dados em uma unidade de disco. 
No Windows, uma ferramenta fácil de usar e pouco intrusiva é o Dumpit. Ela 
é uma fusão de duas ferramentas confiáveis, win32dd e win64dd, combinadas em um 
único executável, que pode ser executado a partir de um pendrive. 
Outra ferramenta bastante utilizada é o FTK Imager. Todavia, mesmo em sua 
opção “portable”, por ser uma ferramenta gráfica, acabará modificando um pouco 
mais o estado da memória, quando executada. 
Em sistemas Linux mais antigos, o comando dd pode ser usado para ler o 
conteúdo da memória física no arquivo do dispositivo /dev/mem. Entretanto, em 
sistemas Linux recentes (kernel 2.6 em diante), o /dev/mem fornece acesso apenas 
a um intervalo restrito de endereços, em vez da memória física completa do 
sistema. Para tal é necessário utilizar o fmem, um módulo do kernel que cria o 
dispositivo /dev/fmem, semelhante ao /dev/mem, mas sem limitações 
 
http://www.forensicswiki.org/wiki/Physical_memory
 
 
 Análise Computacional Forense – Página 29 de 38 
3.3. Aquisição de disco 
Antes de prosseguirmos, é importante destacarmos dois procedimentos 
distintos para tratamento/obtenção de dados não voláteis: “Live Aquisition” e “Dead 
Aquisition”. 
Na primeira situação, o perito coleta os dados a partir do computador ligado, 
tal qual ele foi oportunamente encontrado no momento da apreensão ou do trabalho 
do First Responder. Na “dead/offline aquisition”, o dispositivo é desligado, removido 
e coletado para análise em laboratório. 
A escolha entre um método ou outro deve ser baseada na análise do perito. 
Um dos principais parâmetros a ser considerado neste caso é a presença ou não de 
criptografia, volume dos dados e criticidade dos sistemas. 
Atualmente existe uma grande variedade de ferramentas, inclusive de uso 
livre, para aquisição de dados: 
▪ Imager FTK. 
▪ Encase Forensics. 
▪ X-Ways Forensics. 
▪ ProDiscover. 
▪ Guymager. 
▪ SMART Linux. 
▪ Macquisição. 
Na escolha da ferramenta, a recomendação é utilizar aquela que menos 
modificar dados na memória. Atualmente, as duas principais ferramentas para 
geração de imagens de disco são o EnCase Enterprise, da Guidance Software, ou o 
http://www.accessdata.com/
http://www.guidancesoftware.com/
http://www.x-ways.net/
http://www.techpathways.net/
http://guymager.sourceforge.net/
http://www.asrdata.com/
http://www.blackbagtech.com/
 
 
 Análise Computacional Forense – Página 30 de 38 
FTK Imager , do AccessData.21 Apresentamos a seguiruma breve descrição do FTK 
Imager.35 
FTK IMAGER: 
O FTK Imager é uma ferramenta desenvolvida pela AccessData 
(www.accessdata.com), que permite a criação e posterior visualização de uma 
imagem forense dos dados. Usando o FTK, você pode visualizar imagens forenses 
de discos rígidos, disquetes, CDs, DVDs e outras mídias de armazenamento criadas 
com o próprio FTK Imager, ou pode visualizar imagens criadas com outras 
ferramentas em diferentes formatos. Isso significa que, mesmo que outra organização 
ou pessoa com software diferente tenha criado uma imagem forense, você ainda 
poderá visualizar o arquivo de imagem e determinar se ele contém alguma evidência. 
Com o FTK Imager você poderá escolher entre a geração de uma imagem 
física ou lógica do dispositivo. No primeiro caso, o programa vai gerar uma cópia 
completa, bit a bit de todo os clusters ou conteúdo do HD. Imagens lógicas, por sua 
vez, são geradas a partir de partes especificas do disco, selecionadas pelo usuário 
no momento da sua geração, e que são, portanto, reconhecidas pelo sistema de 
arquivo em uso, por exemplo, uma unidade lógica a:\, b:\ ou c:\. 
O FTK Imager possibilita os seguintes tipos de imagem, conforme relacionado 
abaixo e ilustrado a seguir: 
▪ Unidade física: permite escolher uma unidade física como fonte, com todas 
as partições e espaço não alocado. 
▪ Unidade lógica: permite escolher uma unidade lógica como fonte, por 
exemplo, E: \ drive. 
 
21 https://www.sciencedirect.com/topics/computer-science/forensic-acquisition. 
file:///C:/Users/Usuario/Documents/igti/www.accessdata.com
https://www.sciencedirect.com/topics/computer-science/forensic-acquisition
 
 
 Análise Computacional Forense – Página 31 de 38 
▪ Arquivo de imagem: permite escolher um arquivo de imagem como fonte, 
por exemplo, se você precisar converter sua imagem forense de um formato 
para outro. 
▪ Conteúdo de uma pasta: permite escolher uma pasta como fonte. 
Obviamente nenhum arquivo excluído será incluído. 
▪ Dispositivo Fernico: permite restaurar imagens de vários CD / DVDs. 
Figura 7 – Tipos de imagem. 
 
Dead/Offline Aquisition: 
Conforme discutido anteriormente, em muitas situações pode não ser 
possível ou recomendado realizar uma “live Aquisition”. Nestes casos, o perito deverá 
coletar a mídia/dispositivo e realizar a aquisição dos dados para geração da imagem 
em laboratório. 
 
 
 Análise Computacional Forense – Página 32 de 38 
Este procedimento geralmente é feito conectando-se o dispositivo que será 
analisado a uma estação forense. Este equipamento pode ter diferentes 
configurações e sistemas operacionais, sendo que alguns fabricantes comercializam 
appliances especificamente construídos para essa finalidade. São os chamados 
FREDs (Forensic Recovery of Evidence Device). Trata-se de hardwares com 
softwares e recursos especiais para facilitar o trabalho de duplicação e extração de 
discos, telefones etc. Estes equipamentos possuem hardwares de última geração e 
uma série de interfaces para captura de discos SATA, IDE, SSD etc. Vale lembrar 
sempre a importância de se utilizar entre a estação forense e a evidência objeto da 
extração dos dados, um dispositivo bloqueador de escrita. Com este procedimento, 
garante-se a preservação da evidência em seu estado original, evitando possíveis 
acessos de escrita aos dispositivos feitos pelo Sistema Operacional, sem o 
conhecimento ou consentimento do usuário. 
A figura a seguir ilustra alguns dispositivos duplicadores de mídia. 
Figura 8 – FRED. 
 
Fonte: http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/. 
https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en. 
http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/
https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en%20/
 
 
 Análise Computacional Forense – Página 33 de 38 
Capítulo 4. Análise Forense 
Nessa unidade apresentamos as ferramentas utilizadas na disciplina22. Nas 
próximas sessões, você conhecerá alguns exemplos de softwares utilizados para 
geração da imagem forense, dump de memória, análise de redes, forense de disco 
etc. Vale lembrar que, por questões didáticas, detalhes de funcionamento, 
operação, comandos e uso das ferramentas são apresentados nos vídeos da 
disciplina.23 
 
4.1. Dump de Memória 
Para realização do dump de memória RAM, apresentamos dois aplicativos: 
Ftk Imager Lite e o Dumpit. 
FTK Imager Lite: 
O FTK Imager é um produto da accessdata, presente na suíte FTK. Segundo 
o próprio fabricante, seu Foresic ToolKit permite aumentar a velocidade das análises. 
“Poderoso e comprovado, o FTK processa e indexa dados antecipadamente para uma 
pesquisa mais rápida. Diferentemente de outras soluções, o FTK usa um banco de 
dados de casos compartilhados, reduzindo o custo e a complexidade de vários 
conjuntos de dados.” 
O FTK Imager é especificamente a aplicação que faz a geração da imagem 
de disco também, sendo utilizado para dump de memória. A versão Lite refere-se a 
sua apresentação portable, portanto executável a partir de mídia externa. Há de se 
 
22 As descrições das ferramentas são baseadas nas apresentações e comentários da internet, de seus 
próprios fabricantes oficiais, acrescidas de observações práticas complementares, realizadas pelo 
autor da disciplina. 
 
 
 
 Análise Computacional Forense – Página 34 de 38 
destacar, porém, que se tratando de uma aplicação gráfica, para a atividade de dump 
de memória, a sugestão é avaliar o uso de ferramentas o mais leves quanto possível, 
como por exemplo o DUMPIT. https://accessdata.com/. 
Dumpit: 
“Este utilitário é usado para gerar um despejo de memória física de máquinas 
Windows. Ele funciona com máquinas x86 (32 bits) e x64 (64 bits). O despejo de 
memória bruta é gerado no diretório atual, apenas uma pergunta de confirmação é 
solicitada antes de iniciar. Perfeito para flash drives forense, para obter respostas 
rápidas a incidentes.” 
Volatility: 
Para análise dos dumps coletados, utilizamos nesta disciplina o Volatility. 
Volatility é um framework forense para análise de memória, de código aberto para 
resposta a incidentes e análise de malware. Está escrito em Python e suporta 
Microsoft Windows, Mac OS X e Linux. O Volatility é mantido pela Volatility 
Foundation, uma organização sem fins lucrativos, independente, que mantém e 
promove a análise forense de memória de código aberto. 
https://www.volatilityfoundation.org/. 
Diversos exemplos de casos e materiais para análise de memória podem ser 
encontrados em: https://github.com/volatilityfoundation/volatility/wiki. 
 
4.3. Analise forense de imagem de disco 
Para análise da imagem de disco, utilizamos na disciplina o Authopsy. Trata-
se de uma ferramenta gráfica, extensível, que suporta a adição de diversos plugins 
específicos para análises do histórico de navegação, arquivos recentes, chaves de 
registro, contatos de telefone, e-mail, WhatsApp etc. 
Por permitir o uso centralizado, os peritos podem trabalhar simultaneamente, 
“tagueando” arquivos/evidências e compartilhando observações sobre os casos. 
https://accessdata.com/
https://www.volatilityfoundation.org/
https://github.com/volatilityfoundation/volatility/wiki
 
 
 Análise Computacional Forense – Página 35 de 38 
Segundo o fabricante, o Autopsy® é a principal plataforma forense digital de 
código aberto de ponta a ponta. Criada pela Basis Technology com os principais 
recursos que você espera em ferramentas forenses comerciais, a Autopsy é uma 
solução rápida, completa e eficiente de investigação em disco rígido, que evolui de 
acordo com suas necessidades. 
 
4.3. Forense na nuvem 
Para forense de dados armazenados na nuvem, três abordagens principais 
são possíveis: 
▪ Obtenção dos dados a partir de requisição judicial ao provedor do serviço. 
▪ Verificação dos itens de sincronismo com a nuvem nas estações de trabalho.▪ Acesso as plataformas com suporte de senhas e ferramentas. 
A análise a partir da requisição realizada ao provedor do serviço, quase 
sempre é a mais complexa e demorada. Isso porque além de todos os trâmites legais 
necessários à sua realização, muitas vezes os provedores não têm mais os dados 
requisitados ou até mesmo se negam a fornecê-los. É verdade que tratados 
internacionais forneceram acordos para o fornecimento dos dados, na mesma medida 
que o marco civil da internet previu o tempo mínimo em que os dados e logs devem 
ser armazenados pelos provedores. Todavia, em muitos casos, pelos motivos 
expostos, o que se vê, sobre tudo em plataformas globais ou internacionais, é que o 
fornecimento destes dados pelos próprios provedores, embora viável e possível, não 
é uma solução trivial. 
A obtenção dos dados contidos na nuvem a partir das pastas de 
sincronização do usuário, muito provavelmente é o método mais fácil para obtenção 
dos dados armazenados nestes serviços. Todavia, embora representem um espelho 
do conteúdo, dependem da manutenção de um sincronismo e não representam 
 
 
 Análise Computacional Forense – Página 36 de 38 
efetivamente uma forense na nuvem, uma vez que o conteúdo obtido tem origem no 
próprio dispositivo do suspeito. 
Por fim, a análise forense em nuvem pode ser obtida através do suporte de 
ferramentas, que acessam os serviços e organizam os dados em uma apresentação 
amigável ao perito. Neste caso, a maioria dos softwares necessita da senha de logon 
nos serviços para realizar este trabalho. Esta foi a abordagem utilizada nesta 
disciplina. Para obtenção da senha, recorreu-se a uma análise hexadecimal ao dump 
de memória. Tendo-se obtido login e password dos serviços do Google, a ferramenta 
Elcomsoft Cloud Explorer foi utilizada para gerar um “takeout archive” dos dados do 
usuário contidos no Google. 
 
4.4. Análise de redes 
A principal ferramenta utilizada para captura de tráfego de rede atualmente é 
o Wireshark. O Wireshark é o analisador de protocolo de rede mais utilizado e 
amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo 
na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure) em 
muitas empresas comerciais e sem fins lucrativos, agências governamentais e 
instituições educacionais. O desenvolvimento do Wireshark prospera graças às 
contribuições voluntárias de especialistas em redes ao redor do mundo, e é a 
continuação de um projeto iniciado por Gerald Combs em 1998. 
O Wireshark possui um rico conjunto de recursos que inclui o seguinte24: 
▪ Inspeção profunda de centenas de protocolos, com mais sendo adicionados o 
tempo todo. 
▪ Captura ao vivo e análise off-line. 
 
24 https://www.wireshark.org/ 
https://www.wireshark.org/
 
 
 Análise Computacional Forense – Página 37 de 38 
▪ Navegador de pacotes de três painéis padrão. 
▪ Multiplataforma: executa no Windows, Linux, macOS, Solaris, FreeBSD, 
NetBSD e muitos outros. 
▪ Os dados de rede capturados podem ser navegados por uma GUI ou pelo 
utilitário TShark no modo TTY. 
▪ Os filtros de exibição mais poderosos do setor. 
▪ Análise de VoIP avançada: 
‒ (...) 
‒ A saída pode ser exportada para XML, PostScript®, CSV ou texto sem 
formatação. 
 
4.5. Análise de malware 
Dentre as atividades mais desafiadores da forense, a análise de malware 
pode ser feita de duas formas básicas: estática ou dinâmica. 
A análise estática é feita a partir de amostras do malware, porém apenas se 
executar o código. O objeto de estudo ou exame neste caso é o hash e outras 
assinaturas do arquivo. O malware é avaliado em engenharia reversa por meio da 
linguagem assembly e seu código hexadecimal. Deste modo, são avaliadas as 
instruções e operações de memória, empacotamento do código, entre outras. 
Na análise dinâmica envolve a avaliação do malware durante a sua execução, 
em um ambiente controlado. O malware é executado em uma sandbox e todos os 
desdobramentos de sua operação são estudados e avaliados neste ambiente, com o 
propósito de entender o seu funcionamento e comportamento. 
No contexto da disciplina, será realizada uma análise estática, utilizado o 
volatility para identificar um malware carregado na memória. 
 
 
 Análise Computacional Forense – Página 38 de 38 
Referências 
ELEUTÉRIO, Pedro M. da Silva; MACHADO, Márcio Pereira. Desvendando a 
Computação Forense. 1. ed. São Paulo: Novatec, 2011. 
PESSOA, Fabrício Lana. Descomplicando a Perícia Computacional Forense. Belo 
Horizonte: Edição Própria, (no prelo). 
VELHO, Jesus Antônio. Org. Tratado de Computação Forense. São Paulo, Millennium 
Editora, 2016

Mais conteúdos dessa disciplina