Foren.sys - Curso de introdução à computação forense

Prévia do material em texto

Marcelo Antonio Sampaio Lemos Costa Página 1 de 107 
 
 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 2 de 107 
 
INTRODUÇÃO A COMPUTAÇÃO FORENSE 
1. Histórico 
ƒ Conceito de Perícia 
ƒ Computação – a atividade 
ƒ História da computação 
2. Crimes por computador 
ƒ Conceito de Computação Forense 
ƒ Diferença entre Perícia e Resposta a incidentes 
ƒ Primeiros Crimes 
ƒ Panorama Atual 
ƒ Principais Modalidades 
ƒ Local de crime 
ƒ Os Computadores 
9 Hardware 
9 Software 
1. Sistema operacional 
2. Utilitários 
3. Aplicativos 
3. Terminologia Pericial 
ƒ Mídia de provas 
ƒ Mídia de destino 
ƒ Imagem restaurada 
ƒ Sistema operacional nativo 
ƒ Análise ao vivo 
ƒ Análise off-line 
 
OBJETOS DE PERÍCIA 
4. Os computadores 
ƒ Hardware 
9 Memória 
9 Drives, discos e volumes 
9 O disco rígido 
1. Geometria do disco 
2. Cabeças de leitura/escrita 
3. Trilha 
4. Setor 
5. Cilindro 
6. Setor absoluto 
9 O layout do disco rígido 
1. Master Boot Record (MBR) 
2. Partition Table (Tabela de Partição) 
3. Extended DOS Partition (Partição Estendida do DOS) 
4. Volume Sector Boot (Setor de Inicialização do Volume) 
5. Inter-Partition Space (Espaço Entre Partições) 
ƒ Software 
9 Sistemas operacionais 
9 Sistemas de arquivos 
1. FAT (File Allocation Table) 
2. NTFS (New Technology File System) 
3. EXT2 
4. CDFS 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 3 de 107 
 
5. HFS e HFS+ 
6. UFS 
9 Conceitos em sistema de arquivos 
1. Clusters 
2. Cluster Bitmaps 
3. Root Folder (Pasta Raiz) 
4. File Entries (Entrada de Arquivos) 
5. File Slack (Folga do Arquivo) 
6. Logical File Size (Tamanho Lógico do Arquivo) 
7. Physical File Size (Tamanho Físico do arquivo) 
8. RAM Slack (Folga da RAM) 
ƒ Conceitos Básicos de rede 
9 Arquitetura 
9 Protocolos – Conceitos 
9 Recursos 
9 Sistemas Operacionais de Rede 
9 Meio físico 
9 TCP/IP 
 
NORMAS E PROCEDIMENTOS 
 
5. Procedimentos Gerais para a Investigação e Perícia de Informática 
ƒ Coleta de evidências 
9 Busca e apreensão; 
9 Identificação do material apreendido; 
9 Estabelecimento da “Cadeia de custódia”; 
ƒ Manipulação 
9 Acondicionamento; 
9 Transporte; 
9 Guarda; 
9 Remessa para perícia; 
ƒ Exames periciais 
9 Recebimento do material; 
9 Identificação do material; 
9 Exames “a quente”; 
9 Duplicação pericial de mídias; 
9 Inicialização segura; 
9 Exames em mídia; 
9 Documentação dos exames; 
ƒ Elaboração do Laudo Pericial 
9 Abordagem; 
9 Metodologia; 
9 Padrão do documento; 
 
PERÍCIA DOS CRIMES DE INFORMÁTICA 
 
6. Duplicação pericial 
ƒ Introdução 
ƒ Duplicação Pericial 
ƒ Linha de Tempo – Timeline 
ƒ Imagens Periciais 
ƒ Soma de Verificação 
ƒ Cuidados Iniciais 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 4 de 107 
 
9 Discos SCSI 
9 Discos IDE 
ƒ Criando um disco de sistema com inicialização controlada e bloqueio 
de escrita 
ƒ Ferramentas 
9 O Encase 
1. Trabalhando com o Encase 
2. Adquirindo uma imagem via DOS 
9 O Data Dumper (dd) 
1. Trabalhando com o dd 
9 O Ghost 
1. Trabalhando com o Ghost 
9 O Safeback 
1. Trabalhando com o Safeback 
 
IDENTIFICAÇÃO DE AUTORIA 
 
7. Identificação de autoria 
ƒ Evidências 
9 Evidências do usuário 
1. Analisando arquivos 
9 Evidências do sistema 
1. Evidências do sistema na máquina de origem 
2. Evidências do sistema na máquina alvo 
9 Senhas e Proteções 
1. Passando pelo BIOS 
2. Acessando o sistema operacional 
3. Imagem do LC 
4. Alterando permissões e criptografia nativa 
5. Arquivos com senha de proteção 
6. Ataque força bruta 
7. Ataque dicionário 
8. Softwares 
9. Elcomsoft Co. Ltd. 
10. Accessdata Corp. 
11. LostPassword 
ƒ Protocolo TCP/IP 
ƒ O endereço IP 
ƒ Máscara de sub-rede 
ƒ Características do TCP/IP 
ƒ Identificando a autoria pela análise de registros (LOG) 
ƒ Atribuindo um endereço IP 
ƒ Identificando o autor 
ƒ Camuflando o IP 
ƒ IP Spoofing 
ƒ Proxies 
ƒ Redes de IP privado 
ƒ Contas de acesso roubadas 
ƒ Quiosques e cyercafés 
ƒ Identificando a autoria em análise de pacotes 
ƒ A perícia 
ƒ Confirmando a autoria 
ƒ Identificando a autoria em análise de arquivos 
ƒ Ataques via web 
ƒ Defacement 
ƒ Detectando ataques 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 5 de 107 
 
ƒ Logs do IIS 
ƒ Logs do Apache 
ƒ Analisando logs de ataque 
ƒ Outros logs 
ƒ IDS 
 
8. Análise ao vivo 
ƒ Direcionando a saída de comandos para um arquivo 
9 Nunca no disco examinado 
9 No floppy 
9 Num dispositivo USB (se suportado) 
9 Netcat 
9 Criando um arquivo - > 
9 Acrescentado a um arquivo existente - >> 
ƒ Dump de memória 
9 Linux 
9 Windows 
ƒ Examinando processos ativos 
ƒ Dominando os comandos executados no equipamento 
9 Doskey /history (DOS, Win9x, W2k e WXP) 
9 History (_nix) 
ƒ Aplicação de comandos no console (prompt) 
9 Iniciando o console (prompt) 
9 Data, usuários logados, portas, conexões, etc. 
 
O RELATÓRIO E A LEGISLAÇÃO 
 
9. O laudo pericial 
ƒ Documentando o exame 
ƒ Recebendo os equipamentos 
ƒ Iniciando os exames 
ƒ Duplicação Pericial 
ƒ Encadeamento de ações 
ƒ Definido a metodologia 
ƒ Arquivando a documentação 
ƒ O Laudo Pericial 
 
10. Legislação 
ƒ Normas e Políticas 
ƒ Legislações 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 6 de 107 
 
Introdução a Computação Forense 
 
Histórico 
Computação – A computação nos dias atuais é responsável pela automatização de 
praticamente todas as nossas atividades, que vão desde o processamento nos 
sistemas governamentais ao simples controle de batimentos cardíacos em um 
relógio de pulso. Quase tudo que nos cerca, que envolva componentes eletrônicos 
está intimamente relacionado com a atividade computacional. De forma bastante 
resumida podemos dizer que a computação é a organização e execução de rotinas e 
métodos de caráter repetitivo e sua relação com a informação. 
Conceito de Perícia – Perícia é ato traduzido por relatório, laudo, documento ou 
outra forma de expressão, emitido por profissional que detém conhecimento 
específico, em matéria a ser discutida. No caso da perícia criminalística a perícia 
será realizada por perito oficial ou, na ausência deste, por perito nomeado pelo juiz 
do caso. 
História da computação 
ƒ No século XVII, Blaise Pascal constrói a primeira calculadora 
mecânica com capacidade de operar somas e subtrações; 
ƒ 1801 - Joseph Marie Jacquard criou um tear mecânico cujos padrões 
dos tecidos eram “desenhados” num cartão perfurado, representando 
o primeiro programa para o primeiro processador; 
ƒ Em meados do século XIX Charles Babage concebeu um calculador 
mecânico que era capaz de somar com precisão números com até 50 
casas decimais além de um dispositivo que lia cartões com instruções 
para manipulação dos dados e um conjunto de cerca de mil 
registradores que “memorizavam” os resultados que por fim eram 
impressos. 
ƒ 1941 - O primeiro computador apareceu em Konrad Zuse, Alemanha, 
o Z3. Era programável e construído com componentes 
eletromecânicos; 
ƒ 1942 - Apareceu nos Estados Unidos, o primeiro protótipo de 
calculador eletrônico, conhecido como ABC Computer em 
homenagem a seus idealizadores, John V. Atanasoff e Clifford Berry; 
ƒ 1943 - Construído em Bletchley Park, Inglaterra o primeiro 
computador eletrônico programável, criado por Alan Turing para uso 
em criptografia e quebra de códigos; 
ƒ 1944 - No final da segunda guerra mundial, a Marinha Americana em 
conjunto com a Universidade de Harvard e a IBM criaram o Mark I, 
um computador composto por componentes eletromagnéticos e que 
ocupava uma área de 120 m2. 
ƒ 1946 - Quase ao mesmo tempo aparecia um computador 
desenvolvido pelo exército, totalmente baseado em válvulas, 
chamado ENIAC (Eletronic Numeric Integrator and Calculator) 
projetado por J. Presper Eckert e John Mauchly. Assim como o Mark 
I, foi desenvolvido com fins militares, no auxílio ao cálculo de 
trajetórias balísticas; 
ƒ 1951 - O UNIVAC que foi o primeiro computador produzido em escala 
comercial; 
ƒ 1953 – A IBM Corporation lança o IBM 701; 
ƒ 1957 – Lançado o IBM 305 e o NCR 304 (O primeiro construídocom 
transistores); 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 7 de 107 
 
ƒ 1959 – Surgiu o PDP1 o primeiro mini-computador. 
ƒ 1960 – É criada a primeira linguagem de programação voltada para 
aplicações comerciais, conhecida como COBOL (Common Business 
Oriented Language). 
ƒ 1961 – Criado o primeiro circuito integrado de distribuição comercial. 
ƒ 1971 – Surge o Intel 4004 de 4 bits, os primeiros 
microprocessadores comerciais, criados pela Intel Corporation, 
composto por cerca de 2000 transistores. 
ƒ 1972 – A Micro Instrumentation and Telemetry Systems lança o 
primeiro microcomputador para uso pessoal. 
ƒ 1973 – A Xérox lança o ALTO, um microcomputador completo que 
incluía o monitor. 
ƒ 1975 - Edward Roberts, William Yates e Jim Bybee produzem o 
ALTAIR 8800 que eram microcomputadores para vendas ao público. 
ƒ 1976 - Steve Jobs e Steve Wozniak lançam o APPLE I, o primeiro 
microcomputador a fazer sucesso comercialmente. 
ƒ 1977 – Lançado o APPLE II, o PET (Personal Eletronic Transactor) e o 
TRS-80 (Tandy Radio Shack's). 
ƒ 1980 – A Seagate produz o primeiro Hard Disk com capacidade para 
cinco megabytes. 
ƒ 1981 – A IBM lança o IBM PC, precursor dos atuais microcom-
putadores pessoais (PC – Personal Computer) com o MS-DOS como 
sistema operacional. Surge também o Osborne I, o primeiro 
computador portátil. 
ƒ No fim dos anos cinqüenta, o Departamento de Defesa dos Estados 
Unidos criou a ARPA - Advanced Research Projects Agency, com a 
função de conduzir as pesquisas de ciência e tecnologia aplicáveis às 
forças armadas. 
ƒ Em 1969 foi criada a ARPANET com o objetivo de interligar várias 
unidades militares por todo os Estados Unidos. Nos anos seguintes 
novas unidades foram incorporadas, abrindo espaço também para as 
universidades. 
ƒ Em 1971 surgiu de forma experimental o email, mas somente em 
1972 apareceu o primeiro software de correio eletrônico. 
ƒ No começo da década de 80, mais precisamente em 1982 surgiu o 
protocolo TCP/IP, protocolo este utilizado até hoje. 
ƒ A rede experimenta um crescimento brutal e em 1983 surge a 
MILNET, composta pelas unidades militares que se separavam da 
ARPANET. Foram então criados os primeiros domínios em 1985. Eram 
o edu, org e gov. A partir daí a rede começou a ser chamada de 
Internet, contendo várias conexões internacionais. 
ƒ Nessa época apareceram outras redes internacionais que mais tarde 
foram integradas à Internet. Começava uma expansão inimaginável. 
ƒ Em 1990 o termo ARPANET foi oficialmente deixado de ser utilizado e 
a partir dessa época seu uso passou a ser disseminado e com o 
surgimento do WWW, ficando ao alcance de toda a população. Surgiu 
então o Mosaic, o primeiro browser e logo em seguida vieram o 
Netscape e o Internet Explorer. O lado comercial explodiu. Surgiram 
os provedores de acesso para reforçar a estrutura. 
 
Crimes por computador 
Computação Forense - Computação Forense é a ciência que trata do exame, 
análise e investigação de um incidente computacional, ou seja, que envolvam a 
computação como meio, sob a ótica forense, sendo ela civil ou penal. Na 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 8 de 107 
 
criminalística a Computação Forense trata o incidente computacional na esfera 
penal, determinando causas, meios, autoria e conseqüências. 
Diferença entre Perícia e Resposta a incidentes - Diferentemente da perícia, a 
resposta a incidentes envolve todo o processo de atendimento ao incidente em si, 
desde sua comunicação até as determinações finais envolvendo ajustes na política 
de segurança, etc. A resposta a incidentes está mais diretamente voltada às 
corporações que têm em seus sistemas a condição de sua sobrevivência. A perícia 
atinge a todos os segmentos, das corporações ao usuário doméstico. Podemos 
considerar a perícia como uma das etapas que constituem a resposta a incidentes, 
quando se pretende identificar autoria e ressarcimento dos danos provocados. 
Como já dissemos, na criminalística a perícia visa determinar causas, meios, 
autoria e conseqüências e sua relação aos tipos penais em vigor. Para nós a 
computação forense abrange todo o trabalho de caráter investigativo e pericial, 
desenvolvido nos crimes que envolvem a computação como meio. 
Primeiros Crimes – As primeira fraudes eram na contabilidade bancária, 
cometidas por funcionários responsáveis pela área de informática da instituição, 
fraudes contra o governo, fraudes contra o usuário. 
Em Crime by computer, o autor Donn B. Parker cita o primeiro caso que se teve 
notícia nos EUA, mais precisamente no estado de Minnesota, noticiado através do 
Minneapolis Tribune do dia 18 de outubro de 1966, sob o título "PERITO EM 
COMPUTADOR ACUSADO DE FALSIFICAR SEU SALDO BANCÁRIO". 
Panorama atual - O Gartner Group, estima que os PHISHING SCAMS, e-mails 
falsos criados para "pescar" dados financeiros dos internautas (como os que 
circulam por aqui usando os nomes dos bancos, de empresas e lojas conhecidas ou 
do Banco Central) custaram 1,2 bilhão de dólares às administradoras de cartão de 
crédito e bancos americanos no ano passado diz também que cerca de 57 milhões 
de americanos estiveram sujeitos a este tipo de fraude online em 2003 (Fonte: Info 
online). No Brasil não temos estatísticas sobre o fato, mas somente a uma 
quadrilha que atua no Pará atribui-se fraudes num montante de R$ 500.000.000,00 
Principais Modalidades 
ƒ Defacement (Violação de sites); 
ƒ Difamação em sites; 
ƒ Ataque a servidores; 
ƒ Falso email; 
9 Roubo de dados (PHISHING SCAM) 
9 Difamação 
9 Ameaças 
 
Local de crime 
Os crimes de informática são erroneamente chamados de crimes virtuais, uma 
vez que não são irreais e deles decorrem, efetivamente, danos à vida e ao 
patrimônio das pessoas. Ao contrário do que possam acreditar os leigos, eles 
também ocorrem em um determinado tempo e espaço, dando origem a um "local" 
que necessita cuidados, visando à sua preservação. 
O que mais diretamente diferencia a constatação da ocorrência de um crime de 
Informática é que as provas do seu cometimento são extremamente frágeis e a 
falta dos conhecimentos necessários à preservação dos locais desse novo tipo de 
delito, costuma destruir indícios da maior importância para a sua elucidação. 
Por outro lado, a diferença mais marcante entre a prática dos crimes de Informática 
e os demais crimes é que naqueles o autor pode cometer a infração sem a 
necessidade de se defrontar com a vítima ou com a polícia. Não há a necessidade 
de usar armas, empreender fugas espetaculares, nem se expor a riscos de vida. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 9 de 107 
 
 O crime de informática se dá através do uso de um computador, uma linha 
telefônica e conhecimentos específicos que permeiam o universo da Tecnologia da 
Informação. 
Carlos Kedhy1 conceitua local de crime como sendo “... toda área onde tenha 
ocorrido qualquer fato que reclame as providências da polícia”. Eraldo Rabelo2, 
por sua vez, define aquela área como sendo “... a porção de espaço compreendida 
num raio que tendo por origem o ponto no qual é constatado o fato, se estenda de 
modo a abranger todos os lugares em que, aparente, necessária ou 
presumivelmente, hajam sido praticados, pelo criminoso, ou criminosos, os atos 
materiais, preliminares ou posteriores, à consumação do delito e com este 
diretamente relacionados”. 
De forma objetiva podemos considerar um local de crime como sendo qualquer 
área interna, externa ou mista onde tenha sido registrada uma infração penal e que 
guarde os indícios de sua ocorrência. 
O local de crime neste tipo específico de delito, onde computadores foram utilizados 
como meio, será discutido aqui por analogia, observadas as definições formais dos 
autores inicialmente referidos, cujos conceitos continuam válidos na atualidade. 
Imaginemos um crime de homicídio onde o autor, após cometer o seu ato, 
empreende fuga, passando por uma determinada área descarta a arma do crime, e 
alguns quilômetros após abandona o veículo.Este crime possui um local composto por uma área imediata, que é a área onde foi 
encontrado o corpo, e duas áreas mediatas que são os pontos de encontro da arma 
utilizada e do abandono do veículo, que poderão conter elementos identificadores 
do autor. Outras áreas relacionadas poderão surgir no decorrer das investigações – 
como a residência do autor – onde pode ter ocorrido o planejamento do crime. 
Os crimes de informática seguem uma lógica bastante semelhante, como veremos 
a seguir. Imaginemos um crime onde o autor, que reside em São Paulo, adotando 
uma técnica de camuflagem de IP, retira de forma fraudulenta dinheiro da conta 
bancária de um indivíduo residente em Manaus (AM) e camufla sua operação 
através de um proxy3 situado na China. Em seguida imaginemos outro crime onde 
um ataque de DDOS4 (Distributed Denied of Service – Negação de Serviço 
Distribuído) é cometido a partir de 100.000 computadores conectados a Internet, 
contra um organismo governamental ligado à segurança nacional, deixando-os fora 
de operação por horas consecutivas e causando prejuízos de grande monta. 
As 100.000 máquinas encontravam-se contaminadas por um vírus que permitiam 
que fossem utilizadas sem o conhecimento de seus donos, e estavam situadas em 
vários continentes. O local de crime de ambos os casos envolve áreas espalhadas 
por todo o mundo, sendo no primeiro o Brasil e a China, e no segundo, 
praticamente toda a superfície do planeta. As situações que pedi que 
imaginássemos são na verdade casos reais, ocorridos com grande intensidade a 
partir deste início de século. 
Nesses casos expostos, o local de crime seria todo o planeta, com áreas imediatas, 
mediatas e relacionadas, locais físicos e locais virtuais. 
 
1 KEHDY, Carlos – Elementos de Criminalística, 1ª. Ed. São Paulo: Luzes Gráfica Editora Ltda. 1968. 
2 RABELO, Eraldo – Contribuição ao Estudo dos Locais de Crime – Revista de Criminalística do Rio 
Grande do Sul, ano 6, no. 7. 1968. 
3 Proxy – Um agente do software que age em nome de um usuário. Ao tentar uma conexão com um 
determinado website, o proxy troca o IP do usuário pelo seu IP e ao receber o pacote o redireciona para 
o usuário requisitante. 
4 DDOS – Distributed Denied of Service ou Ataque de negação de serviço distribuído – Modalidade e 
ataque que provoca a interrupção de um serviço fazendo com que um servidor pare de cumprir com 
uma determinada tarefa 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 10 de 107 
 
Em consonância com os conceitos utilizados para local de crime, podemos dizer que 
em um crime de Informática esta área compreende todo e qualquer espaço 
utilizado para planejar e cometer o crime, mesmo que abranja uma grande 
extensão territorial e que extrapole jurisdições, limites geográficos, fronteiras 
políticas, etc. Dentro desta definição mantemos ainda os conceitos referentes a 
áreas imediatas e áreas mediatas, que poderemos definir como: 
Áreas imediatas – São as áreas relacionadas diretamente ao fato. Podemos citar 
como exemplo o equipamento e instalações da vítima, caso tenha contribuído 
de alguma forma para a execução do crime, equipamentos e instalações-alvo, 
caso o crime seja o dano a um serviço, a um servidor ou a seu conteúdo, e o 
equipamento e instalações do autor. Nos crimes de informática a vítima estará em 
um local e o autor quase sempre estará em outro, que pode ser uma residência ou 
escritório na mesma cidade ou ainda no lado oposto do planeta. 
Áreas mediatas – São as áreas com vinculação indireta ao crime, que contenham 
equipamentos e instalações que possam ter contribuído de forma indireta para a 
execução do crime, registrando a ação de forma a contribuir para sua elucidação. 
Nesta categoria podemos incluir servidores de registros (logs5) e suas instalações, 
roteadores, equipamentos de backup, servidores espelho de ataques, etc. 
Algumas considerações devem ainda ser feitas com relação aos locais de crime de 
Informática, as áreas imediatas e mediatas, quanto ao fato de serem locais físicos 
ou locais virtuais. O local físico é considerado o espaço real que abriga as 
evidências e o local virtual é onde se abrigam as informações voláteis, sem registro 
definitivo. 
Pode parecer um contra-senso, mas os locais virtuais estão situados em espaços 
físicos reais: os circuitos internos dos computadores. A sua qualificação se dá em 
função de não existirem de forma perene naqueles ambientes e pelo fato de que só 
podem ser acessado ali através de comandos executados pelos Peritos em 
Informática. Estes locais virtuais guardam informações sobre a prática de um crime 
de informática, que são os indícios da sua existência. São dados extremamente 
frágeis e certamente virão a ser perdidos, caso cuidados especiais não sejam 
tomados. 
Como local virtual pode-se citar como exemplo o sistema operacional ativo dos 
equipamentos da vítima e do autor, que guardam nas suas memórias as lista dos 
comandos executados. Desligando esses equipamentos todos os dados serão 
perdidos de forma irremediável. 
Como locais físicos podem ser referidas as áreas onde estão instalados os 
equipamentos da vítima e autor, ou os equipamentos usados como meio, que 
registraram a ação do autor, locais onde estejam armazenadas mídias que 
contenham as evidências do crime, mídias de suporte físico que contenham dados e 
evidências do crime, roteadores, servidores, etc. 
Por fim podemos dizer que nos locais de crime de Informática, pelas características 
especiais das quais se reveste este tipo de delito, a fragilidade dos indícios é de tal 
ordem que, como a nenhum outro, a ele se aplica a analogia de Eraldo Rabelo, para 
quem um local de crime é “...um livro extremamente frágil e delicado, cujas 
páginas por terem a consistência de poeira, desfazem-se, não raro, ao simples 
toque de mãos imprudentes, inábeis ou negligentes, perdendo-se desse modo para 
sempre, os dados preciosos que ocultavam, à espera da argúcia dos peritos". 
Os computadores – Os computadores podem ser divididos de forma bem 
simplória em: 
 
5 Logs – São registros efetuados por sistemas, relacionando a atividade do mesmo em função do tempo, 
usuário, etc., dependendo de como estejam configurados. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 11 de 107 
 
ƒ Hardware - Qualquer componente físico de um computador. A 
palavra hardware poderia ser livremente traduzida como 
equipamento. Na categoria de hardware enquadram-se monitores, 
teclados, placas-mãe, mouses, scanners, modems, discos rígidos, 
etc. 
ƒ Software - Um programa de computador. O software consiste de um 
conjunto de instruções em linguagem de máquina que controlam e 
determinam o funcionamento do computador e de seus periféricos. 
9 Sistema operacional - Software destinado a a controlar a 
alocação de recursos do computador, como comunicação 
com os usuários, espaço em discos, uso de memória, tempo 
que cada programa pode rodar, distribui tarefas e controla 
os softwares aplicativos e utilitários e o funcionamento das 
placas de vídeo, de som, CD-ROM, impressoras, etc. Como 
exemplos temos o OS2, BeOS, MacOS, o Unix, o Linux, o 
MS-DOS, PC-DOS e os Windows 95/98/NT/2000/XP/2003. 
9 Utilitários - Software destinado a preencher alguma lacuna 
de gerenciamento desprezada pelo Sistema Operacional ou 
pelos programas aplicativos. Geralmente cada utilitário tem 
uma função específica relacionada ao hardware ou à tarefas 
correlacionadas com os demais programas. Como exemplo 
de utilitários temos os programas antivírus, os conjuntos de 
ferramentas como o Norton System Works, firewalls, IDS, 
particionadores, etc. 
9 Aplicativos - Software com alguma função prática para o 
computador. Por exemplo, os Editores de Texto, Planilhas, 
Programas Gráficos, etc. 
Terminologia Pericial 
ƒ Mídia de provas – O suporte original (disco rígido) que precisa ser 
investigado, seja o sistema de um suspeito ou a vítima de um 
ataque. 
ƒ Mídiade destino – O suporte no qual a mídia de provas é 
duplicada. Em outras palavras, a imagem pericial de uma unidade de 
provas é transferida à mídia de destino. 
ƒ Imagem restaurada – Cópia da imagem pericial devolvida a sua 
forma original, inicializável. 
ƒ Sistema operacional nativo – Sistema operacional usado quando a 
mídia de provas (ou a duplicação pericial) é inicializada para análise. 
ƒ Análise ao vivo (Análise a quente) – A análise feita quando estão 
se tomando medidas de investigação (pesquisando ou acessando 
arquivos, examinando logs, etc.) com a mídia de provas em 
funcionamento. 
ƒ Análise off-line (Análise a frio) – Análise feita quando se examina 
a mídia de provas ou a duplicação pericial em um disquete de 
inicialização controlada ou outro sistema. A mídia de prova e a 
imagem restaurada não são o suporte primário usado durante o 
processo de inicialização. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 12 de 107 
 
Objetos de perícia 
 
Os computadores - Os computadores são compostos de dois componentes 
essenciais. O hardware e o software. 
Hardware – O hardware é a porção física do equipamento, composto por uma 
série de componentes eletrônicos e mecânicos (cada vez em menor quantidade). 
São componentes de hardware: o processador, a memória, discos rígidos, placas de 
funções diversas, teclado, mouse, monitor, scanners, impressoras, etc. 
• Memória - A memória é a parte do hardware responsável pelo 
armazenamento dos dados que estão sendo utilizados pelo processador 
de forma mais imediata. Nela são carregados os programas enquanto 
estão sendo executados. A memória RAM (random access memory – 
memória de acesso aleatório) de um computador é volátil, ou seja, se o 
equipamento é desligado seu conteúdo é perdido. No campo pericial 
faremos acesso a dados armazenados em memória apenas em exames 
“a quente”, ou seja, com a máquina alvo da perícia ainda ligada, ou 
ainda em arquivos com o conteúdo da memória. 
• Disco rígido – O disco rígido é um hardware formado por um conjunto 
de discos, utilizados para armazenar dados. O disco rígido é o principal 
alvo de nossos exames. É nos discos que encontraremos a maioria das 
evidências de arquivos. 
• Drives, discos e volumes - Drives são hardwares, ou seja, são 
componentes físicos e podemos citar como exemplo o disco rígido, o 
floppy disk, o zip disk, etc. O disco é também hardware, mas a 
denominação é dada ao suporte da mídia, seja ótico, magnético, etc. O 
volume é um conceito e não um dispositivo físico. Chamamos de volume 
a uma partição montada. 
O Disco rígido 
• Geometria do disco - O disco rígido possui discos em números 
variáveis, sendo que cada disco é acessado por um conjunto de cabeças 
de leitura/escrita. Cada disco possui uma série de anéis concêntricos 
chamados de trilhas, e cada trilha é dividida em setores e cada setor 
dividido em bytes. O número e posição dessas estruturas fazem parte da 
geometria do disco. 
• Cabeças de leitura/escrita - Para cada lado de um disco, existe uma 
cabeça correspondente de leitura/escrita, que varre a superfície a uma 
distância muito pequena permitindo escrita e leitura de dados na mídia. 
• Trilha - Cada disco é dividido em círculos concêntricos chamados de 
trilhas. Não é uma estrutura física, e é definida quando o disco sofre uma 
formatação física, também chamada de formatação de baixo nível. As 
trilhas são numeradas seqüencialmente iniciando em zero para a trilha 
situada na parte mais externa do disco, sendo incrementada de um para 
cada trilha que se avança em direção ao centro do disco. 
• Setor - O setor é um grupo de bytes dentro de uma trilha e é o menor 
grupo de bytes que pode ser endereçado em um disco rígido. O número 
de bytes varia, mas normalmente são de 512 bytes. No caso do CD-ROM 
o tamanho do setor é de 2048 bytes. Os setores são numerados 
seqüencialmente, começando por um, entretanto setores com mesmo 
número, em trilhas distintas, não implicam que estejam alinhados. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 13 de 107 
 
• Cilindro - O cilindro é também uma estrutura lógica formada pelas 
trilhas situadas em cada lado de cada disco, acessados simultaneamente 
pelas cabeças de leitura/escrita. Como os braços estão no mesmo 
alinhamento, as trilhas sobrepostas formam uma espécie de cilindro 
virtual. 
• Setor absoluto – Discos rígidos mais antigos contêm um número de 
cilindros, cabeças e setores (CHS) definidos e presentes nos disco rígido 
e lidos através do BIOS. O BIOS endereçava um setor utilizando o CHS 
como referência. Nos discos atuais estes números não se referem 
diretamente a estrutura do hardware. Estes números são lidos pelo BIOS 
que por sua vez os leu partir do driver de baixo nível do disco, que 
devem fazer sentido com a estrutura física do hardware. Os BIOS atuais 
referenciam o setor por apenas um número 
O layout do disco rígido 
• Master Boot Record (MBR) – O primeiro setor absoluto do disco (setor 
0) é assim denominado. Ele contém informações que habilitam o 
computador a encontrar a tabela de partição e o sistema operacional. A 
primeira coisa que o computador faz quando é ligado é ler o código 
presente na MBR, carregá-lo na memória e executá-lo. A tarefa é 
bastante simples, lê-se a tabela de partição situada ao fim do setor zero 
para definir que disco e que partição contém a inicialização do sistema 
operacional. 
• Partition Table (Tabela de Partição) – A tabela de partição descreve 
as quatro primeiras partições, sua localização no disco e qual partição é 
inicializável. Esta informação ocupa apenas um byte e todo o layout 
lógico de um disco está contido em apenas 64 bytes. 
• Extended DOS Partition (Partição Estendida do DOS) - 
Normalmente cada tabela de partição descreve um volume a ser 
montado pelo sistema de arquivos. A tabela de partição pode abrigar até 
quatro partições chamadas de partições primárias, inicializáveis se 
estiverem marcadas como ativas. Se a tabela de partições possui mais 
de quatro partições, a partição excedente é criada com a denominação 
de partição estendida. Nesta configuração o primeiro setor de cada 
partição estendida é um setor de inicialização com outra tabela de 
partição. 
• Volume Sector Boot (Setor de Inicialização do Volume) – Desde 
que cada partição contenha um sistema de arquivos diferente, cada 
partição conterá um setor de inicialização do volume que é utilizado para 
descrever o tipo de sistema de arquivos da partição e abrigar o código de 
inicialização necessário para montar o sistema de arquivos. Este código é 
diferente do MBR descrito anteriormente. A tarefa do volume sector boot 
é encontrar um arquivo na pasta raiz (io.sys no caso do DOS) que é 
carregado e dará continuidade ao processo de inicialização até o final do 
processo. No linux o LILO boot loader serve para o mesmo propósito. Ele 
localiza o Super Block que descreve o resto do sistema de arquivos. 
• Inter-Partition Space (Espaço Entre Partições) – Os setores da 
trilha entre o início de uma partição e o setor de inicialização da partição, 
normalmente não são utilizados pelos sistemas de arquivos. Isto resulta 
em dezenas ou centenas de setores desperdiçados. Entretanto, desde 
que esta área é inacessível a todos os visualizadores de disco de baixo 
nível, teoricamente será possível ocultar informação ali. O EnCase rotula 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 14 de 107 
 
estas áreas como Unused Partition Área (área não utilizada da partição) 
e permite que seu conteúdo seja inspecionado. 
Software – O software é o componente que em forma de um código processa 
dados e informações, utilizando os vários componentes físicos do equipamento. 
A interação entre software e o hardware é o objeto do trabalho pericial, portanto é 
de extrema importância compreender como funciona a memória, disco rígido, 
mídias magnéticas e óticas, softwares, protocolos de comunicação e tudo o mais 
que possa funcionar como evidência da execução de um crime. 
Sistemas operacionais• Sistemas operacionais – São sistemas responsáveis pelo 
funcionamento dos computadores, pela interação entre seus 
componentes, etc. É o sistema operacional que faz interface entre o 
hardware e as demais aplicações, escreve e lê arquivos nos discos, 
carrega e descarrega conteúdo na memória do equipamento. 
Dentre as funções básicas, pode-se citar: 
ƒ Definição da interface com o usuário; 
ƒ Compartilhamento de hardware entre usuários; 
ƒ Compartilhamento de dados entre usuários; 
ƒ Gerenciamento dos dispositivos de entrada e saída; 
ƒ Tratamento e recuperação de erros 
Sistemas de arquivos 
• Sistemas de arquivos – Um sistema de arquivos é um conjunto de 
estruturas lógicas e de rotinas, que permitem ao sistema operacional 
definir regras de proteção e manipulação de arquivos no disco rígido. 
Diferentes sistemas operacionais usam diferentes sistemas de arquivos. 
Para ilustrar este quadro, suponha que duas pessoas são incumbidas de 
organizar vários documentos, de modo que possam localizar qualquer 
um deles com facilidade. As duas deverão trabalhar isoladamente e cada 
uma delas irá organizar os documentos da maneira que achar 
pessoalmente mais conveniente e provavelmente uma não entenderá a 
forma de organização da outra. De forma análoga, os sistemas 
operacionais organizam o espaço do disco rígido para permitir armazenar 
e acessar os dados de maneira eficiente, de acordo com os recursos, 
limitações e objetivos do sistema. É de fundamental importância 
conhecer os conceitos sobre os diversos sistemas de arquivos base dos 
sistemas operacionais, pois é desse conhecimento que poderemos nos 
preparar para analisar o conteúdo de um disco. Temos a seguir alguns 
dos sistemas operacionais e seus respectivos sistemas de arquivos: 
Microsoft Windows 9x, Me, DOS FAT16 / FAT32 
Microsoft Windows NT NTFS, NTFS4, NTFS5 
Microsoft Windows 2K e XP FAT16/FAT32/NTFS4/NTFS5 
Linux Minix, EXT, EXT2, EXT3 
OS/2 HPFS 
Unix UFS 
• FAT (File Allocation Table) – A FAT é uma matriz de números que fica 
situada próximo do início de um volume DOS. Estes números podem ser 
de 1½ bytes (12 bits), 2 bytes (16 bits) ou 4 bytes (32 bits) de 
comprimento, dependendo do tamanho do volume. É por isso que os 
sistemas de arquivos FAT são comumente denominados de FAT12, 
FAT16 e FAT32. Cada entrada na FAT corresponde diretamente a um 
cluster e há sempre uma entrada na FAT para cada cluster. Cada entrada 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 15 de 107 
 
possui um código que indica se o cluster está livre, se o cluster está 
danificado ou se este é o último cluster em um arquivo. Se não for um 
destes códigos, o número fará referência ao cluster seguinte na 
seqüência do arquivo. O primeiro cluster na seqüência é gravado nas 
propriedades do arquivo, que são armazenados na pasta pai. A FAT é 
conseqüentemente uma lista ligada de sentido único dos clusters para 
cada arquivo em um volume. As pastas em um volume FAT são 
armazenadas como um arquivo especial. O conteúdo destes arquivos é 
gravado cada pasta como uma pasta filho. As “pastas arquivos” ocupam 
espaço no volume junto com outros arquivos normais. 
• NTFS (New Technology File System) – O NTFS possui uma estrutura 
avançada, desenvolvida para superar as limitações de outros sistemas de 
arquivos desenvolvidos anteriormente. Desenvolvido para concorrer com 
o sistema de arquivos do Unix e baseado nos conceitos funcionais do 
HPFS (High Performance File System), sistema de arquivos do OS/2, 
desenvolvido em conjunto pela Microsoft e IBM. O descritor dos arquivos 
para cada arquivo é armazenado na Master File Table (MFT) ou “Tabela 
Mestre de Arquivos”, incluindo a referência sobre a própria MFT. Cada 
descritor de arquivo contém o nome e outros atributos do arquivo, 
resultando numa extensa lista. A lista contém a localização de cada 
arquivo no volume. Outro arquivo chamado de Volume Bitmap descreve 
os clusters livres no volume. As pastas são armazenadas em uma 
estrutura b-tree6 (árvore b) para um rápido acesso ao disco. 
• EXT2 – O sistema de arquivos EXT2 foi o primeiro sistema de arquivos 
utilizado no sistema operacional Linux. Partições EXT2 são divididas em 
uma série de grupos. Cada grupo contém uma série de inodes e blocos. 
A tabela de inodes descreve os arquivos que estão localizados em cada 
grupo, indicando atributos dos arquivos como o usuário e grupo 
proprietário do arquivo, modo de acesso ao arquivo (leitura, escrita, 
executável). Para se saber o número do inode do arquivo basta dar o 
comando num shell unix, # ls –i. 
• CDFS – O padrão ISO9660 é utilizado para descrever a estrutura de 
arquivos em um CD. Existe um grande número de variações da estrutura 
básica. A mais conhecida é ao padrão Joliet que é utilizado pelo Microsoft 
Windows para permitir nome de arquivos unicode. 
• HFS e HFS+ – Este é o sistema de arquivos do Macintosh e Power 
Macintosh. 
• UFS – Este é o sistema de arquivos comum aos Unix. Entretanto, como 
sorvete e basic, o Unix possui diversos sabores. 
Conceitos em sistema de arquivos 
• Clusters – O cluster é um grupo de setores em um volume lógico e é 
utilizado para armazenar arquivos e pastas. Os clusters devem conter 
um número de setores em potência de dois (como 2, 4, 8, 16, etc.). O 
DOS mantém as informações sobre cada cluster na File Alocation Table 
(Tabela de Alocação de Arquivos). Partições NTFS guardam o mesmo 
tipo de informação na File Extents Table (Tabela de Extensões de 
Arquivo) e no Volume Bitmap (Mapa de Bits do Volume). Partições EXT2 
 
6 B-Trees são árvores de busca desenvolvidas para trabalharem em discos magnéticos ou qualquer 
outro dispositivo de armazenamento de acesso direto em memória secundária. Em uma aplicação 
comum de uma B-Tree, a quantidade de dados é tão grande que provavelmente não caberia na memória 
principal. A B-Tree copia blocos específicos para a memória principal quando necessário e os grava no 
disco se os blocos tiverem sido alterados. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 16 de 107 
 
armazenam informações no Inode Table (Tabela Inode) e no Block 
Bitmaps (Mapa de Bits do Bloco). Os inodes são estruturas de dados do 
Unix que contém informações sobre os arquivos. Cada arquivo possui um 
inode number que informa sua localização, o usuário e grupo do seu 
proprietário, seu modo de acesso, etc. Os CDS normalmente possuem 
uma un-fragmented file extensions (extensões de arquivos não 
fragmentadas) e por isso não necessitam de um Cluster Bitmap ou FAT. 
• Cluster Bitmaps – Cada cluster em um sistema de arquivos está 
alocado ou disponível para alocação. No DOS o estado dos clusters é 
mantido na FAT. Uma entrada de valor zero indica que o cluster está 
disponível, de outro modo existem diferentes códigos para indicar a que 
parte do arquivo o cluster pertence. No NTFS o mantém uma trilhas dos 
clusters livres com um bitmap (mapa de bits). É um arquivo que contém 
um bit para cada cluster existente no volume, colocado no ato da 
formatação do drive. Partições EXT2 contêm um bloco de bitmaps para 
cada grupo, mas o conceito é o mesmo. 
• Root Folder (Pasta Raiz) – Todos os sistemas de arquivos possuem 
uma estrutura de árvore que suporta arquivos e pastas dentro de pastas, 
até um nível predeterminado. A raiz dessa estrutura é sempre 
armazenada em um local conhecido. 
a. Em volumes FAT 12 e FAT16 a pasta raiz fica localizada em uma 
posição fixa e contém um número máximo de entradas 
determinado quando o volume é formatado. O número de 
arquivos e pastas na pasta raiz é limitado, mas o número e o 
tamanho do resto das pastas no disco é essencialmente ilimitado, 
porque eles são tratados como arquivos normais e podem ser 
expandidos se houver espaço disponível no volume; 
b. Em volume FAT32 a pasta raiz é tratada como um arquivo e pode 
conter qualquer número de arquivos ou pastas. Sua localização é 
armazenada no volume boot record; 
c. Em partições NTFS a pasta raiz fica armazenada como umarquivo especial na master file table (tabela de arquivos master); 
d. Em partições EXT2 a pasta raiz fica armazenada como um Inode 
especial no primeiro setor; 
e. CDFS armazena pasta raiz no setor de inicialização. 
• File Entries (Entrada de Arquivos) – Em volumes FAT e EXT2, um 
folder é tratado exatamente como um arquivo. Cada folder contém um 
cluster de partida que pode ser expandido ou contraído a medida que vai 
se copiando ou excluindo arquivos de seu interior. Cada arquivo em uma 
pasta é representado por uma entrada de 32 bytes na tabela. Em outras 
palavras, o conteúdo de um arquivo “pasta” é uma matriz de dados 
contendo informações sobre os arquivos da pasta. Cada entrada na pasta 
pode ser um arquivo ou uma pasta. Desta forma a estrutura da árvore 
de pastas vai se definindo. Uma entrada de 32 bytes contém espaço 
suficiente para um arquivo com nome do tipo 8.3. O Windows 95 
implementou nomes longos para arquivos utilizando o espaço restante 
para armazenar os caracteres adicionais. 
• File Slack (Folga do Arquivo) - O espaço existente entre o fim lógico 
do arquivo e o fim físico é chamado de file slack. Suponhamos que um 
arquivo qualquer ocupa dois clusters de 1024 bytes. Seu tamanho físico 
é de dois clusters, ou seja 2048 bytes, mas seu tamanho lógico é menor 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 17 de 107 
 
que 2048 e maior que 1024 bytes. O espaço remanescente do segundo 
cluster fica livre e pode conter dados de um arquivo ou pasta gravado 
anteriormente naquela área física do disco. No diagrama seguinte vemos 
um esquema do exemplo dado onde a região cinza representa o file 
slack. 
 
 
 
 
 
• Logical File Size (Tamanho Lógico do Arquivo) – Todos os sistemas 
de arquivos mantêm uma lista com o tamanho exato dos arquivos em 
bytes, que é o número que você consegue ver nas propriedades do 
arquivo, como o tamanho, conforme imagem a seguir. 
• Physical File Size (Tamanho Físico do arquivo) – O tamanho físico 
do arquivo é a quantidade total de espaço alocado para o arquivo no 
 
Cluster 1 Cluster 2 
Final lógico do 
Final físico do arquivo 
File Slack Dados do arquivo X
Cluster 1 Cluster 2 
 
Final lógico do 
Final físico do arquivo 
Dados do arquivo X no File Slack 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 18 de 107 
 
disco. Um arquivo ou uma pasta sempre ocupam um número inteiro de 
clusters mesmo que eles não preencham totalmente o espaço em disco 
dos clusters. Um arquivo ocupa pelo menos um cluster mesmo que 
esteja vazio. Conseqüentemente mesmo que um arquivo tenha somente 
5 bytes, o tamanho físico é de um cluster. O EnCase mostra para todos 
arquivos ambos os tamanhos, físico e lógico. 
 
 
Tamanho ocupado em disco de 698 Mb 
 
 
Tamanho ocupado em disco de 24,4 Gb 
 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 19 de 107 
 
• RAM Slack (Folga da RAM) – Antes de um arquivo ser escrito no disco 
ele será colocado em um buffer em algum lugar da memória RAM. Se o 
buffer for preenchido parcialmente com informação antes de o conteúdo 
ser escrito no disco, os espaços livres remanescente do buffer serão 
escritos no disco. Desta forma informação que nunca foi salva pode ser 
encontrada na RAM slack, no disco. O EnCase busca por padrão, dados 
nestas áreas. 
Redes – Redes são estruturas físicas e lógicas voltadas para a integração de 
comutadores, facilitando o compartilhamento e acesso a dados e informações. As 
redes permitem um gerenciamento de recursos mais eficiente, ajudam a manter os 
dados atualizados, permite a comunicação de grupos de trabalhos e indivíduos. 
Atualmente podem ser domésticas ou coorporativas, de pequeno, médio e grande 
porte, pode ser uma LAN (local area network, ou rede local), que é uma rede que 
une os micros de um escritório, prédio, ou mesmo um conjunto de prédios 
próximos, usando cabos ou ondas de rádio, pode ser uma WAN (wide area network, 
ou rede de longa distância), que interliga micros situados em cidades, países ou 
mesmo continentes diferentes, usando links de fibra óptica, microondas ou mesmo 
satélites. Geralmente uma WAN é formada por várias LANs interligadas. 
ƒ Arquiteturas - A arquitetura de rede mais utilizada é a Ethernet, mas 
existem outras como a Token Ring, Arcnet, etc. Uma arquitetura de rede 
define como os sinais irão trafegar através da rede. Todo o trabalho é 
feito de maneira transparente pela placa de rede, que funciona de 
maneira diferente de acordo com a arquitetura para a qual tenha sido 
construída. 
ƒ Protocolos – Cabos e placas de rede servem para estabelecer uma 
ligação física entre os micros, a fim de permitir a transmissão de dados. 
Os protocolos, por sua vez, constituem um conjunto de padrões usados 
para permitir que os micros “falem a mesma língua” e possam se 
entender. Os protocolos mais usados atualmente são o TPC/IP (protocolo 
padrão na Internet), NetBEUI e IPX/SPX. Podemos fazer uma analogia 
com o sistema telefônico: veja que as linhas, centrais, aparelhos, etc. 
servem para criar uma ligação que permite a transmissão de voz. Mas, 
para que duas pessoas possam se comunicar usando o telefone, existem 
vários padrões. Por exemplo, para falar com um amigo você discará seu 
número, ele atenderá e dirá “alô” para mostrar que está na linha. Vocês 
se comunicarão usando a língua Portuguesa, que também é um conjunto 
de códigos e convenções e, finalmente, quando quiser terminar a 
conversa, você irá despedir-se e desligar o telefone. 
ƒ Recursos – Tudo que é compartilhado através da rede, seja um arquivo, 
um CD-ROM, disco rígido ou impressora, é chamado de recurso. O micro 
que disponibiliza o recurso é chamado de servidor ou host, enquanto os 
micros que usam tal recurso são chamados de clientes, ou guests. 
ƒ Sistemas Operacional de Redes – Conhecido por N.O.S. (Network 
Operational System) é o último componente de uma rede e permitirá a 
comunicação entre os diversos componentes. São N.O.S. o Windows 
3.11/95/98/Me/NT/2K/2003, Novell Netware, Linux, Solaris, entre vários 
outros. Cada sistema possui seus próprios recursos e limitações, sendo 
mais adequado para um tipo específico de rede. 
ƒ Meio físico – Aqui estão incluídos o cabeamento, as placas de rede e 
equipamentos ativos como hubs, switches, roteadores, bridges, modems, 
conversores de mídia, etc. A arquitetura e a topologia da rede é que 
definirão que tipo de meio físico deverá ser utilizado. As características 
dos cabos são deter. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 20 de 107 
 
Protocolos TCP/IP – Transmission Control Protocol/Internet Protocol – É um 
conjunto de protocolos que foi desenvolvido para permitir aos computadores 
compartilharem recursos numa rede. Toda a família de protocolos inclui um 
conjunto de padrões que especificam os detalhes de como comunicar 
computadores, assim como também convenções para interconectar redes e 
rotear o trafego. 
ƒ O TCP e o IP são protocolos individuais, mas eles não são os únicos 
protocolos que compõem essa família. A família de protocolos é 
composta por: 
ƒ ARP (Address Resolution Protocol) 
ƒ ICMP (Internet Control Message Protocol) 
ƒ UDP (User Datagram Protocol) 
ƒ RIP (Routing Information Protocol) 
ƒ HTTP (Hypertext Transfer Protocol) 
ƒ NNTP (Network News Transfer Protocol) 
ƒ SMTP (Simple Mail Transfer Protocol) 
ƒ SNMP Simple Network Management Protocol 
ƒ FTP File Transfer Protocol 
ƒ TFTP Trivial File Transfer Protocol 
ƒ INET PHONE Telephone Services on Internet 
ƒ IRC Internet Relay Chat 
ƒ RPC Remote Procedure Call 
ƒ NFS Network File System 
ƒ DNS Domain Name System 
Uma transferência se inicia com um pedido de leitura ou escrita de um 
arquivo, o qual também serve para pedir uma conexão. Se o servidor 
reconhece o pedido, a conexão é aberta e o arquivo é enviado num bloco 
de tamanho fixo de 512 bytes. Cada pacote de dados contem um bloco 
de dados e deve ser reconhecido por um pacote de acknowledgment 
(ACK) antes que o próximo pacote possa ser enviado. Um pacote dedados menor que 512 bytes sinaliza a terminação de uma transferência. 
Se um pacote consegue se perder na rede, o receptor indicara time-out e 
poderá retransmitir seu ultimo pacote (o qual pode ser dados ou um 
reconhecimento). Isto motiva ao transmissor do pacote perdido a 
retransmitir o pacote perdido. O transmissor tem que guardar apenas 
um pacote para retransmissão, pois cada passo de reconhecimento 
garante que todos os pacotes anteriores tenham sido recebidos. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 21 de 107 
 
Normas e Procedimentos 
 
Introdução 
Considerando as recentes técnicas, meios e problemas que envolvem os crimes de 
informática e a ação de perícia criminal sobre evidências de delitos desta natureza, 
se faz necessário a adoção de protocolos para a coleta, manipulação, exame e 
preparação do laudo pericial, visando a integridade da prova e sua aceitação 
perante a justiça. Em muitos casos, os locais de crime podem apontar a presença 
de computadores e mídias que possam estar relacionados ao crime em análise, ou 
ainda, munidos de uma ordem judicial, proceder a uma busca e apreensão de 
equipamentos e mídias que possam estar ligados a um caso qualquer. A observação 
a certos procedimentos pode significar a diferença entre o sucesso e o fracasso da 
perícia a ser realizada. 
É sabido que, em se tratando de crimes que envolvam computadores como meio, a 
coleta, manipulação e exame de provas sem os devidos cuidados podem acarretar 
na falta de integridade da prova. A coleta e manipulação de equipamentos e mídias 
sem a observação de condições mínimas de segurança no manuseio podem 
acarretar danos irrecuperáveis no material coletado. Discos rígidos não suportam 
golpes, mídias magnéticas podem apresentar perda de dados se submetidas a 
campos magnéticos, a superfície pode apresentar desgaste se exposta a calor, 
umidade e poeira, e assim por diante. 
O acesso aos dados de forma não controlada também pode impor alterações 
irrecuperáveis nos dados, seja nos próprios arquivos ou nos metadados destes 
arquivos. Visando evitar tais problemas o trabalho a seguir sugere a adoção de 
critérios e metodologias para a realização destas atividades. Portanto as seguintes 
condições deverão ser rigorosamente observadas para a coleta, manipulação e 
exames de equipamentos e mídias. 
Inicialmente vamos dividir o trabalho em tópicos de forma a estruturar os 
protocolos e facilitar a busca pelos procedimentos a serem adotados em cada caso. 
1. Coleta de evidências 
1.a. Busca e apreensão; 
1.b. Identificação do material apreendido; 
1.c. Estabelecimento da “Cadeia de custódia”; 
2. Manipulação 
2.a. Acondicionamento; 
2.b. Transporte; 
2.c. Guarda; 
2.d. Remessa para perícia; 
3. Exames periciais 
3.a. Recebimento do material; 
3.b. Identificação do material; 
3.c. Exames “a quente”; 
3.d. Duplicação pericial de mídias; 
3.e. Inicialização segura; 
3.f. Exames em mídia; 
3.g. Documentação dos exames; 
4. Elaboração do Laudo Pericial 
4.a. Abordagem; 
4.b. Metodologia 
4.c. Padrão do documento; 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 22 de 107 
 
1. COLETA DE EVIDÊNCIAS 
1.a. Busca e apreensão 
1.a.1. Os equipamentos objetos da apreensão, como computadores, devem 
ser desligados através dos comandos apropriados a cada situação, 
observadas as diferença entre os diversos sistemas operacionais; 
1.b. Identificação do material apreendido 
1.b.1. Todo material apreendido deve ser relacionado em relatório 
apropriado, constando data e hora da operação de apreensão, local 
da apreensão, nome do proprietário do equipamento, descrição e 
quantificação do material apreendido, nome dos integrantes da 
ação e outras informações que se entenda ser pertinentes; 
1.b.2. Deverá acompanhar o relatório, uma cópia da ordem judicial, caso 
exista; 
1.c. Estabelecimento da “Cadeia de Custódia” 
1.c.1. Assim como em todo e qualquer objeto apreendido em local de 
crime, os materiais de informática apreendidos deverão ter anotado 
em seu relatório de apreensão, o nome de todas as pessoas que 
estejam de posse dos mesmos e a situação envolvendo o referido 
material. Um modelo de “Cadeia de custódia” com a estrutura do 
documento e relação de situações encontra-se no anexo I; 
 
2. MANIPULAÇÃO 
2.a. Acondicionamento 
2.a.1. Todos os equipamentos e mídias apreendidos deverão, se possível, 
estar acondicionados em suas embalagem originais ou em 
embalagens apropriadas de forma a que se evite danos aos mesmos; 
2.b. Transporte 
2.b.1. O material resultante da apreensão deve ser transportado de forma a 
manter uma distância mínima de cinqüenta centímetros de fontes de 
calor com temperatura entre 45ºC e 70ºC, fonte emissora de ondas 
eletromagnéticas como aparelhos de telefonia móvel e rádios VHF 
portáteis que estejam operativos ou ainda de campos magnéticos tais 
como caixas acústicas, imãs, etc.; 
2.b.2. O material deverá estar posicionado de maneira que não se 
desloquem verticalmente em função de impactos no veículo de 
transporte e horizontalmente em função de ação de forças 
centrípetas presentes em manobras de curvas e evasão na condução 
do veículo transportador; 
2.c. Guarda 
2.c.1. Caso não seja possível a remessa imediata para a perícia, os 
materiais apreendidos devem ficar armazenados em local livre de 
umidade, calor excessivo, campos magnéticos e eletromagnéticos 
como os citados no item 2.b.1.; 
2.c.2. Os equipamentos apreendidos não deverão, sob nenhuma hipótese, 
serem ligados antes da realização da perícia; 
 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 23 de 107 
 
2.d. Remessa para perícia 
2.d.1. Os materiais deverão ser encaminhados para a perícia, 
acompanhados do relatório da busca e apreensão, da ordem judicial 
(se houver) e da guia de requisição de exames periciais; 
2.d.2. Utilizando-se de novo transporte deverão ser observados os 
procedimentos do item 2.b.; 
 
3. EXAMES PERICIAIS 
3.a. Recebimento do material 
3.a.1. O material deve ser conferido e observado a existência dos 
documentos citados no item 2.d.1.; 
3.a.2. O transporte interno deverá obedecer a todos os critérios 
estabelecidos no item 2.b.; 
3.b. Identificação do material 
3.b.1. O material encaminhado para a perícia deverá ser identificado 
individualmente no caso de equipamentos mídias, exceto no caso de 
lotes grandes deste último material onde o objetivo da perícia seja a 
pesquisa de conteúdo relacionado ao caso, sendo que nesse caso a 
identificação do material se dará após identificação da mídia 
questionada; 
3.b.2. A identificação deverá conter as informações básicas do relatório de 
apreensão, tais como data e hora da operação de apreensão, local 
da apreensão, nome do proprietário do equipamento, descrição 
sucinta, data e hora do recebimento do equipamento no 
laboratório, nome do perito que recebeu o material, nome do 
perito responsável pelos exames, status do exame (a iniciar, em 
andamento e concluído), tipo de mídia (se original ou duplicação) e 
data de conclusão dos exames, conforme modelo constante do 
anexo II; 
3.c. Exames “ao vivo” 
3.c.1. Exames só deverão ser realizado com o equipamento ainda ativo (“a 
quente”) em casos de total impossibilidade, tais como os casos de 
identificação de entradas ARP, histórico de comandos, etc.; 
3.d. Duplicação pericial de mídias 
3.d.1. Toda mídia que não possua possibilidade de bloqueio de escrita 
deverá sofrer um processo de duplicação bit-a-bit, de forma a 
permitir a preservação integral de todo o conteúdo da mídia, 
incluindo os espaços não referenciados nas tabelas de arquivos 
específicas dos sistemas de arquivos que já tenham sido utilizados 
anteriormente e que possam ter algum conteúdo; 
3.d.2. A duplicação pericial deverá ser realizada em conjunto com recurso 
de bloqueio de escrita em disco, podendo este ser um recurso de 
hardware ou de software, ou ainda presente no próprio software de 
duplicação. Estes softwares por sua vez, deverão ser homologados 
pelo mercado ou por instituiçãovoltada para o trabalho pericial e/ou 
jurídico, desde que os aspectos técnicos básicos sejam respeitados; 
A realização de uma duplicação pericial depende de uma série de fatores que 
aumentarão ou diminuirão o grau de dificuldade para realizar a operação em 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 24 de 107 
 
questão. O fator preponderante é a escolha da ferramenta que será utilizada 
para a tarefa, visto que esta determinará os procedimentos a serem seguidos. 
Adotaremos como ferramenta de análise e criação de imagens, o EnCase, 
produzida pela Guidance Software, baseando os procedimentos e instruções de 
trabalho de acordo com as situações listadas a seguir: 
 
Situação 1. A máquina suspeita possui disco rígido compatível com os 
padrões tecnológicos de mercado, no caso atual, os padrões ATA 
66/100/133. 
• Na condição mais favorável retira-se o disco rígido e o instala na 
estação pericial; 
• Instala-se um disco rígido compatível e procede-se a criação da 
imagem disco a disco (on fly), observando os procedimentos para 
inicialização segura. 
 
Situação 2. A máquina suspeita possui disco rígido incompatível com os 
padrões tecnológicos de mercado (discos IDE antigos, discos SCSI), mas o 
disco apresenta compatibilidade com os recursos da estação pericial. 
• Retirar o disco rígido e o instalar na estação pericial. 
 
Situação 3. A máquina suspeita possui disco rígido incompatível com os 
padrões tecnológicos de mercado (discos IDE antigos, discos SCSI), e não 
apresenta compatibilidade com os recursos da estação pericial. 
• Deve-se verificar o estado de funcionamento do equipamento, 
observando sempre os procedimentos para inicialização segura; 
• No caso do equipamento suspeito estar funcionando adequadamente, 
deve-se verificar se sua interface de rede é compatível com os 
drivers de rede fornecidos com os discos de boot do EnCase; 
• Não sendo compatível deve-se instalar uma nova interface 
compatível ou criar um disco de boot com os drivers adequados; 
• Caso o equipamento suspeito não apresente condições de 
funcionamento, deve-se preparar uma estação que atenda as 
condições mínimas necessárias para instalar o disco rígido e realizar 
a duplicação pericial. 
3.e. Inicialização segura 
3.e.1. Nos casos em que a duplicação seja realizada no equipamento 
questionado, os seguintes passos deverão ser seguidos para uma 
inicialização segura: 
• Desconecte o cabo de força do equipamento questionado caso esteja 
conectado a alguma tomada; 
• Abra o gabinete do mesmo e verifique a configuração e as conexões 
da placa mãe com os dispositivos de mídia, tais como discos rígidos, 
dispositivos de disquetes, CD-ROMs, etc; 
• Desconecte o cabo de força de todos os discos rígidos existentes; 
• Conecte ou reconecte, conforme for, o cabo de força do equipamento 
em questão, observando os valores de tensão da fonte estão 
ajustados para a tensão das tomadas do laboratório, ajustando-os, 
nos casos de fontes com ajuste manual, se necessário; 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 25 de 107 
 
• Ligue o equipamento e acesse o CMOS setup através dos comandos 
adequados, verificando no BIOS o dispositivo preferencial de boot e 
alterando-o, se necessário, para o tipo de mídia a ser utilizada para o 
boot, podendo ser o drive de disquetes, CD-ROM, etc.; 
• Saia do BIOS e salve as alterações e documente as alterações 
realizadas e ainda se necessário, a geometria apresentada na 
configuração dos discos rígidos, se não estiver com a opção “auto” 
marcada; 
• Coloque a mídia de boot com o software de duplicação e inicialize o 
equipamento, verificando se o dispositivo ajustado para o “boot” está 
em condições de inicializar o sistema operacional da mídia; 
• Em caso negativo, providencie a substituição do drive danificado por 
outro em bom estado; 
• Em caso positivo reconecte os cabos de força de todos os discos 
rígidos existentes ligue o equipamento permitindo a inicialização pela 
mídia do duplicador; 
• Proceda a duplicação de acordo com recursos existentes no seu 
software de duplicação, anexando um disco rígido para receber a 
duplicação ou enviando a mesma via rede para uma estação pericial; 
3.f. Exames em mídia; 
3.f.1. Após a duplicação, as mídias contendo as provas originais deverão 
ser preservadas e isoladas. Os exames serão realizados nas mídias 
duplicadas que deverão estar devidamente identificadas e 
etiquetadas, como as originais; 
3.f.2. Os exames poderão ser realizados com softwares aplicativos e 
utilitários de uso comum, como visualizadores para imagens, texto 
formatado, ilustrações vetoriais, e de conteúdo diverso; 
3.g. Documentação dos exames; 
3.g.1. A realização dos exames deverá ser totalmente documentada de 
forma a permitir que qualquer outro perito tenha condições de 
realizar os exames solicitados obtendo resultados idênticos; 
 
4. ELABORAÇÃO DO LAUDO PERICIAL 
4.a. Abordagem 
4.a.1. O laudo deverá ser elaborado utilizando a linguagem técnica sem 
excessos e evitando ao máximo expressões complexas muito comuns 
no meio da computação; 
4.b. Metodologia 
4.b.1. Deverá ser informada a metodologia de trabalho utilizada durante a 
realização dos exames, incluindo aí as técnicas empregadas, os 
softwares e hardwares empregados; 
4.c. Padrão do documento 
4.c.1. O laudo deverá seguir as recomendações técnicas constantes das 
NBR 10719 - Apresentação de Relatórios Técnicos-científicos. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 26 de 107 
 
 Duplicação Pericial 
 
A preservação da evidência na Computação Forense 
 
Introdução 
A preservação de evidências nas análises criminalísticas é de fundamental 
importância na perícia, já que, quanto menos inalterado o estado das coisas em um 
local de crime maior é a chance de sucesso na produção das provas. Na 
computação forense não podia ser diferente, a não preservação pode implicar em 
provas produzidas após a apreensão das evidências, prejudicando de forma 
irreversível a comprovação de autoria. 
Vamos supor que durante a prisão de um suspeito de crime, foi apreendido seu 
notebook e o mesmo foi levado a uma delegacia e recolhido para perícia. Antes do 
envio do equipamento para a perícia e após dois dias da apreensão resolve-se ligá-
lo e verificar seu conteúdo. Vários arquivos são abertos, imagens são visualizadas, 
revelando conteúdo de interesse para o caso e que irá se constituir em única prova 
contra o suspeito. Envia-se então o equipamento para perícia solicitando o exame e 
que se faça a análise das imagens e dos documentos identificados na delegacia. A 
perícia constatará a existência do material citado, entretanto as datas de último 
acesso aos arquivos são posteriores a data da prisão do suspeito. Como poderia o 
suspeito ter acessado seu computador se tinha sua liberdade restringida na época 
do último acesso? Como se poderia garantir a autoria dos arquivos pelo suspeito? 
Como se garantiria que não houve acréscimo, supressão ou alteração no conteúdo 
dos arquivos encontrados na máquina do suspeito? 
As provas nos crimes de informática são extremamente voláteis e questionáveis se 
não se seguir algumas regras para sua obtenção. Antes, porém falemos sobre 
algumas diferenças entre a perícia criminalística e a resposta a incidentes. 
A resposta a incidentes está mais diretamente voltada às corporações que têm em 
seus sistemas a condição de sua sobrevivência e a necessidade de garantir-se a sua 
integridade e funcionamento. Envolve todo o processo de atendimento ao incidente 
em si, desde sua comunicação inicial até as determinações finais envolvendo 
ajustes na política de segurança, etc. A perícia é uma das etapas que constituem a 
resposta a incidentes, quando se pretende identificar autoria e ressarcimento dos 
danos provocados. A perícia criminalística tem ainda uma ótica ainda mais 
específica, ficando seu campo de atuação restrito a esfera penal, quando a 
informática foi meio para a prática do ilícito penal ou abriga evidências da 
motivação,do planejamento e da execução de um crime. 
Portanto trataremos daqui em diante da perícia do equipamento, mas como nunca 
é demais lembrar, apreendendo-se computadores de qualquer natureza, sejam de 
mesa ou portáteis, não os ligue, aguarde a realização da perícia. 
Duplicação pericial 
Como dissemos antes, a preservação da prova é essencial e ligar o equipamento 
pode ser o maior erro que se pode cometer neste tipo de perícia, portanto em 
mídias que não possuam proteção contra escrita, devemos duplicá-las para depois 
examina-la. A duplicação pericial consiste em criar uma cópia da mídia de provas 
para que nela se faça os exames necessários. A duplicação pericial consiste na 
cópia bit a bit de um disco ou partição, sem que durante o processo a ferramenta 
utilizada proceda qualquer ação de escrita na mídia de prova. A cópia deverá 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 27 de 107 
 
abranger todos os clusters e seu conteúdo mesmo que não exista alocação de 
dados, os seja deverá copiar os dados gravados, espaços sub-aproveitados e 
espaços não alocados (espaços livres). 
Os espaços livres são clusters que não possuem dados alocados e estão livres para 
serem sobrescritos. Como sabemos um arquivo apagado permanece no disco, 
apenas a área em disco ocupada e colocada em disponibilidade para a gravação de 
outros arquivos, mas enquanto isto não ocorre os dados daqueles clusters estarão 
disponíveis para recuperação. Os espaços sub-aproveitados são folgas de um 
cluster que não esteja totalmente ocupado, também conhecido como file slack. Ao 
formatarmos um disco, o sistema de arquivos utilizado determinará, em função do 
tamanho do disco ou partição, o tamanho do cluster. Vamos supor que temos um 
disco com 20 gigabytes com sistema de arquivo FAT32, logo cada cluster terá 16 
Kbytes pois a FAT32 adota valores padrão conforme a tabela a seguir: 
 
Tamanho da partição Tamanho do cluster 
Até 8 Gb 4 kb 
Entre 8 Gb e 16 Gb 8 Kb 
Entre 16 Gb e 32 Gb 16 Kb 
Maior que 32 Gb 32 Kb 
 
Neste disco é gravado um arquivo X de 19 Kb que ocupará dois clusters, visto que 
cada cluster só comporta 16 Kb o segundo cluster terá 3 kb de dados do arquivo e 
a marcação de fim do arquivo, conforme ilustração a seguir. 
 
 
 
Num segundo momento o arquivo foi apagado e em seu lugar foi gravado um ícone 
com 700 bytes, que consequentemente só ocupará o cluster n, conforme a próxima 
ilustração. 
 
 
 
 
Cluster n Cluster n+1 
Final lógico do arquivo
Final físico do arquivo
File Slack Dados do arquivo X – 16 Kb 3Kb 
Cluster n Cluster n+1 
 Ícone 
Final lógico do arquivo 
Final físico do arquivo 
Dados do arquivo X no File Slack 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 28 de 107 
 
O espaço em amarelo possui parte dos dados do arquivo X que pode ser 
recuperado com as ferramentas corretas. A computação forense já possui um 
número grande de ferramentas de duplicação e análise de evidência, tanto para o 
ambiente Windows quanto para o Linux. 
A escolha da ferramenta é um passo decisivo para o sucesso do trabalho pericial, 
devendo-se observar nesta etapa a facilidade de uso, o custo, a necessidade de 
ferramentas auxiliares, etc. 
A Forensic Focus (http://www.forensicfocus.com) possui no seu site uma enquete 
para determinar a ferramenta mais utilizada para fazer duplicação pericial (imaging 
evidence), cujo resultado podemos ver no gráfico abaixo: 
 
Fonte: Forensic Focus 
Se utilizarmos um software de duplicação pericial como do dd, o Ghost, o Safeback, 
certamente obteremos o resultado esperado na duplicação, mas teremos de utilizar 
ferramentas de terceiros para recuperar arquivos apagados, visualizá-los, etc. 
O Linux apresenta algumas particularidades úteis para o exame. É gratuito, o dd é 
excelente para realizar a duplicação dos discos e partições, a montagem destes 
dispositivos podem ser realizadas em modo de leitura, preservando os dados nelas 
contidos. 
No DOS o processo é feito através de uma mídia inicializável, com um bloqueador 
de escrita em disco, utilizando-se algumas ferramentas para seu ambiente como o 
Ghost, como o Safeback ou como o Encase para DOS. 
No Windows o processo de duplicação é mais rápido, mas diversos cuidados devem 
ser adotados. O primeiro deles é bloquear a mídia de provas contra escrita, pois o 
Windows quando detecta uma mídia portando um sistema de arquivos compatível, 
promove uma série de alterações como criação de uma lixeira (pasta recycler), 
dados da última inicialização etc. Nestes casos a recomendação é que se utilize 
hardwares específicos para bloqueio de escrita. 
Como vimos acima na pesquisa da Forensic Focus, o Encase é líder de preferência 
para a criação de uma duplicação pericial. Acontece que o Encase não é um 
software de duplicação pericial e sim uma solução das mais completas para análise 
pericial de provas digitais. 
Linha de tempo (timeline) 
Mas porque os exames devem ser realizados em uma cópia e não na mídia original? 
Essa resposta decorre da necessidade de se estabelecer o que se chama na 
Computação Forense de timeline ou linha de tempo, que é uma cronologia de 
eventos relacionados ao caso em avaliação. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 29 de 107 
 
Os arquivos possuem características que permitem identificar sua data de criação, 
última alteração e último acesso, conhecidos como metadados7. O simples fato de 
abrirmos um arquivo de computador, altera seu estado, que pode ser desde a data 
do último acesso, como informações relativas à máquina em que o mesmo foi 
trabalhado. 
Ao anexarmos uma mídia de prova em uma estação pericial contendo Microsoft 
Windows e essa mídia for reconhecida pelo sistema operacional como um sistema 
de arquivos compatível, ocorrerão alterações nos metadados dos arquivos do disco, 
comprometendo a integridade das provas. 
Com uma mídia de prova duplicada podemos fazer os exames com tranqüilidade 
pois uma nova cópia pode ser gerada a qualquer momento restaurando todas as 
características e status originais. Existem softwares comerciais que permitem 
acessar os dados de uma mídia, com a visualização de seu conteúdo, sem 
promover uma alteração sequer do material examinado. 
Lembremos a realidade brasileira, onde os laboratórios de criminalística são 
obrigados a efetuar adaptações de técnicas e metodologias para efetuar alguns 
exames. Muitas vezes procedemos a análise de arquivos e dados utilizando um 
gerenciador de arquivos padrão como o Windows Explorer, Ztree (clone do Xtree), 
entre outros, que apesar de não ser o ideal, muitas vezes são utilizados em virtude 
de não dispormos de uma grande variedade de ferramentas de software e hardware 
que nos permita um exame perfeito do material em questão. Entretanto com a 
duplicação pericial, onde uma cópia perfeita da mídia de prova pode ser realizada 
com relativa facilidade e quantas vezes forem necessárias, o uso dos gerenciadores 
de arquivos pode ser permitido com os devidos cuidados de se estabelecer a 
timeline antes de manipularmos material existente. 
A timeline pode mostrar toda a evolução de um caso, desde seu início até o seu 
desfecho final, que será de grande utilidade para demonstrar a premeditação, 
organização e metodologia utilizada no cometimento do ilícito. 
Estabelecer a timeline antes dos exames dos arquivos pode ser complexo. Nesse 
caso recomendo que em uma midia de destino os arquivos sejam pesquisado e 
verificado o seu conteúdo, etc. Depois, em uma nova imagem, estabelecemos a 
timeline dos arquivos encontrados examinando as datas de criação, alteração e 
acesso dos mesmos. 
Imagens periciais 
As imagens podem ser produzidas de formas diferentes, dependendo diretamente 
do tipo de exame a ser realizado, da infra-estrutura disponível, da metodologia a 
ser empregada. Adiante abordaremos a questão do laboratório de Computação 
Forense, seu mobiliário, sistemas, equipamentos de apoio, mídias, ferramentas e 
instalaçõesfísicas, pois esses fatores estarão intrinsecamente ligados às condições 
de produzir perícias de qualidade e determinar a forma de execução dos exames. 
Tratando-se de mídias como os discos rígidos, as imagens podem ser produzidas de 
três formas básicas: 
• Removendo a mídia do equipamento questionado, transferindo-a para uma 
estação apta a recebê-la e promover a duplicação pericial; 
• Produzindo a imagem no próprio equipamento a ser examinado, inserindo no 
mesmo um novo disco e utilizando ferramentas apropriadas para esse tipo 
de duplicação; 
 
7 Metadados – São dados dos arquivos. Indicam status dos dados como data de criação, data de acesso, 
data de modificação, tamanho, atributos, etc. 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 30 de 107 
 
• Promover a produção da imagem através de uma comunicação com canal de 
dados protegido, em rede, para uma estação pericial previamente preparada 
para executar esse processo; 
Tratando-se de perícias criminais, normalmente os equipamentos ficam de posse 
dos peritos forenses até o final dos exames e expedição do laudo pericial, dessa 
forma quase sempre se terá tranqüilidade necessária para escolher a forma com 
que será realizada a duplicação pericial. 
Em mídias avulsas ou removíveis a duplicação é mais simples e fácil de ser 
realizada e existem softwares específicos para tal fim. No caso de uma mídia que 
teve arquivos apagados ou que pelo menos se suspeita que esse fato tenha 
ocorrido, a duplicação deve ser integral. Chamada no meio técnico de cópia “bit-a-
bit”, esta duplicação copia setor a setor, bloco a bloco, com seu conteúdo, mesmo 
que um arquivo já não faça parte da tabela de alocação de arquivos. 
Mas antes de qualquer ação, deve-se estar atento a alguns fatores de extrema 
importância para a execução da duplicação. O principal deles refere-se às 
características e geometria dos discos rígidos, como tamanho, número de cilindros, 
cabeças e setores de forma que haja compatibilidade e capacidade da nova mídia 
de armazenar a imagem da mídia questionada. No caso de mídias removíveis como 
disquetes, zip disks, cds, etc., basta se utilizar uma mídia com as mesmas 
características. 
Existem diversos softwares e até mesmo hardwares para facilitar a execução de 
duplicações periciais, entretanto deve-se tomar muito cuidado quando da escolha 
da solução a ser empregada e sua confiabilidade. A escolha deve ser precedida de 
alguns cuidados e devem cumprir alguns requisitos para que possa ser utilizado. O 
primeiro e mais importante ponto a ser observado é que a ferramenta adotada não 
poderá de forma alguma fazer alterações na mídia original que contém as provas e 
o motivo é mais que óbvio. Essa característica precisa ser real e poderá ser 
necessário fazer a comprovação durante uma ação judicial através de uma soma de 
verificação. Pode ser solicitada aos peritos a repetição do processo de cópia de 
forma a assegurar a metodologia empregada. Lembremos que trata-se de um 
trabalho cientifico e a metodologia empregada deve ser clara de forma a permitir 
que qualquer outro técnico tenha condições de repetir o trabalho, nas mesmas 
condições. 
Por fim, se durante a duplicação de uma mídia acontecer de encontrarmos algum 
setor danificado, o utilitário deve ser capaz de reservar uma área idêntica e 
continuar o processo de cópia. 
Soma de verificação 
A soma de verificação é uma assinatura digital resultante da utilização de um 
algoritmo sobre a mídia de prova e sobre a mídia de destino, que resultará numa 
identificação única e que poderá ser verificada a qualquer momento. Se houver 
qualquer alteração sobre a mídia de prova essa assinatura será alterada e não 
coincidirá com a assinatura original. Logo, se fizermos uma soma de verificação de 
uma mídia de prova antes e depois de sua duplicação e, mantido os resultados, 
poderemos afirmar que não houve alterações de estado na mídia de prova 
questionada. 
Utilizamos um algoritmo MD5 para efetuar somas de verificação, pois sua 
confiabilidade e aceitação já vêm de um longo tempo. Em abril de 1992 foi 
publicada a RFC 1321 (ftp://ftp.isi.edu/in-notes/rfc1321.txt) por Ron Rivest do MIT 
Laboratory for Computer Science and RSA Data Security, Inc., que descreve suas 
características. É possível encontrar pela Internet diversos softwares baseados 
nesse algoritmo, inclusive gratuitos, como MD5Summer de Luke Pascoe de 
Auckland, na Nova Zelândia (http://homepages.ihug.com.ng/~floydian/md5) 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 31 de 107 
 
desenvolvido para o ambiente operacional Windows em todas as suas versões 
atuais 95, 98, Me, NT, 2000 e XP, compatível também para ler somas geradas sob 
o ambiente Linux. 
Cuidados iniciais 
No ato de uma duplicação pericial devemos tomar alguns cuidados essenciais para 
garantir a total integridade da mídia de prova. Isso implica que não poderá haver 
em nenhuma hipótese, escrita de dados na mídia a ser duplicada. Os dados dela 
constante, assim como os metadados não poderão sofrer qualquer alteração. 
Tratando-se de mídia removíveis, a proteção contra escrita normalmente é de fácil 
execução. Podemos citar como exemplos os disquetes e as fitas DAT, que possuem 
dispositivos físicos contra escrita, como podemos ver nas imagens a seguir. 
Os CDs normalmente possuem acesso direto somente leitura, sendo necessário um 
utilitário para promover a escrita no disco, o que implica que é praticamente 
impossível uma escrita acidental. Os ZIP disks possuem proteção eletrônica contra 
escrita, o que faz ser necessário, além da instalação do hardware(ZIP Drive) na 
estação pericial, a instalação dos drivers e utilitários fornecido pelo fabricante, que 
permitem a ativação e desativação da proteção. 
Nos casos dos discos rígidos, o problema da proteção contra escrita adquire outros 
contornos. O tipo, marca e o modelo do disco rígido influirá diretamente na forma 
de proteção. Mesmo assim dividimos a solução em duas categorias, com soluções 
distintas. 
DISCOS RÍGIDOS SCSI 
Os discos rígidos SCSI8 normalmente apresentam proteção física contra escrita e 
sua configuração varia entre marcas e modelos. Nos casos em que não houver 
indicação clara no próprio disco rígido, pode-se consultar a documentação do 
equipamento no site do fabricante, indicados no anexo III. 
Essa proteção está normalmente localizada na placa controladora do disco rígido, 
em um bloco de pinos e seu ajuste se dá através de jumpers fechando o par 
apropriado, como podemos ver nas imagens a seguir. 
 
Etiqueta do disco rígido indicando a posição dos pinos que ajustam a proteção 
 
8 SCSI - Small Computer System Interface 
 
 
Marcelo Antonio Sampaio Lemos Costa Página 32 de 107 
 
 
Bloco de pinos que ajustam a proteção 
DISCOS RÍGIDOS IDE 
Os discos rígidos IDE9 não possuem recurso para bloqueio de escrita por meio 
físico. Mas podemos utilizar um disco de boot10, montados em um disquete ou um 
CD com sistema de inicialização controlada, que veremos mais adiante 
Mas ainda assim não estaremos 100% seguros, pois o modo como se processa a 
escrita, varia de acordo com o sistema operacional. 
Uma segunda opção fica com a utilização de um hardware específico para tal fim. O 
mais conhecido deles é o FastBlock da Guidance Software, Inc. 
(www.guidancesoftware.com), que descreveremos adiante. 
Manipulando os discos 
Ao instalarmos a mídia de prova na estação pericial ou colocarmos a mídia de 
destino na estação a ser analisada, devemos tomar o cuidado de configurar 
corretamente a geometria dos discos e a ordem de inicialização. A geometria dos 
discos pode ser efetuada no setup do BIOS (Basic Input Output System). Os BIOS 
mais novos possuem recursos de autodetecção de discos rígidos, mas caso haja 
dúvidas podemos consultar a documentação do disco no site do fabricante (anexo 
III). Outra forma de verificar a geometria do disco é examinando o adesivo situado 
na parte superior