Pericia Forense Computacional 2

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Perícia Forense 
Computacional
Tipos de Investigações com Uso da Perícia Forense Computacional
Responsável pelo Conteúdo:
Me. Marcelo Carvalho
Revisão Textual:
Prof. Esp. Kelciane da Rocha Campos
Nesta unidade, trabalharemos os seguintes tópicos:
• Particularidades e Rotinas do Perito Forense Computacional;
• Descrição Geral da Atividade;
• Coleta de Evidências Computacionais;
• Exame de Evidências Computacionais.
Fonte: Getty Im
ages
Objetivo
• Descrever tipos de investigações comumente conduzidas por peritos forenses, tipos de 
evidências analisadas, a capacitação desses profissionais e o relacionamento de suas ati-
vidades com o gerenciamento de segurança da informação, em uma visão holística.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Tipos de Investigações com Uso 
da Perícia Forense Computacional
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Contextualização
O trabalho de um perito forense computacional pode ser demandado em diferentes 
circunstâncias e com propósitos distintos. Nesta unidade, você irá compreender, por 
meio de exemplos, o seu trabalho em casos onde houver a necessidade de sua atuação 
para realização de provas para sustentar acusações em âmbito criminal.
Neste sentido, é importante perceber que o trabalho do perito forense, que se inicia 
com a existência de incidentes de segurança, no escopo dessa unidade, concentra-se na 
análise da evidência computacional. O entendimento do papel do perito, neste escopo, 
se inicia compreendendo-se que ele, como agente investigador, não deve interferir na evi-
dência, mantendo-a o mais original possível, para que seja considerada válida e confiável.
Por isso, daremos atenção especial aos tipos de evidências e os cuidados para que es-
tas sejam aceitas como parte desses processos de investigação criminal nos quais ocorre 
a investigação por parte do perito.
6
7
Particularidades e Rotinas do
Perito Forense Computacional
Como vimos na unidade anterior, o perito forense computacional é um tipo de perito 
específico, diferenciado em razão dos objetos que ele examina. Em um cenário de crime, 
por exemplo, dependendo das especialidades periciais requeridas para a coleta de evi-
dências, diferentes peritos podem ir a campo. Por exemplo, um perito realizará a análise 
documentoscópica, avaliando petrecho de falsificação documental, enquanto outro realiza 
a análise do local do crime e avalia evidências de arrombamento. Já o perito forense com-
putacional avalia um dump de memória do aparelho celular da vítima. Nesta seção, vamos 
verificar os ambientes e atividades que representam a rotina deste perito em especial.
Descrição Geral da Atividade
Envolve a busca, coleta e análise dos vestígios deixados em objetos computacionais 
contidos em mídias diversas, dispositivos de hardware, incluindo os de armazenamento 
eletrônico. Também envolve a análise dos sistemas, aplicativos, redes de computadores e 
links de telecomunicações envolvidos no armazenamento, processamento e/ou envio de 
informações. Este profissional avalia não só o conteúdo em si, mas também proprieda-
des, configurações e estado físico dos equipamentos de informática em geral, quando se 
refere à sua natureza, funcionalidade, histórico de utilização, entre outras características.
É importante notar que este profissional exerce sua atividade em um contexto de 
múltiplas pressões e influências externas, que podem influenciá-lo negativamente se mal 
administradas. Não se trata apenas de pressão de tempo ou qualidade nos resultados, 
como vemos em várias outras profissões. Como retratado na Figura 1, aqui estamos 
falando de uma vasta cadeia de influenciadores, principalmente em casos notórios 
e com divulgação da imprensa. Permanecer alheio a essas pressões e influências 
para a conclusão de um trabalho isento e idôneo é um grande desafio para o perito.
Perícia
forense
computacional
Juízes
promotores
delegados
de polícia
Médicos
legistas
e papilos-
copistas
Universidades
e centros de
pesquisa
Fornecedores
de
tecnologias Policiais civis,
militares e
rodoviários;
corpo de
bombeiros
Vítimas,
suspeitos
e/ou familiares;
testemunhas
Organizações
de direitos
humanos
Imprensa
Grande
público
Presidentes
de comissões
parlamentares
de inquéritos e de
inquéritos
policiais-
militares
Advogados
e assistentes
técnicos
Fi gura 1 – Ilustração das infl uências externas ao trabalho do perito forense computacional
Fonte: Adaptada de TOLEDO & RODRIGUES, 2017
7
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Exemplos de atividades
Todas as atividades pressupõem que o perito recebeu a autorização/mandado para 
realização das coletas e análises nos locais indicados. Trâmites processuais e detalhes 
estão omitidos para dar foco a exemplos contendo passos principais.
Exame de sites e servidores de internet
• Objetivo: Análise de vestígios diretamente relacionados a eventos/incidentes ocor-
ridos na Internet;
• Exemplo de contexto (criminal): Pedofilia e exploração sexual;
• Exemplo de rotina: Perito faz uma cópia da página Web, conservando o estado 
atual da mesma (possivelmente útil na comparação com artefatos encontrados no 
computador sob investigação, como URLs, imagens, CSS, etc.). Em seguida, visita 
o local do evento e coleta ou copia os dados em disco e em memória do computa-
dor a ser investigado. Observa indícios de compartilhamento, cópia ou reprodução.
Em caso de recuperação de imagens, procura por informações de GPS ou da câme-
ra fotográfica usada, comprovação de cenas sexuais e estima a idade dos envolvidos. 
Analisa o cenário de conectividade da infraestrutura identificando equipamentos, 
provedor de acesso, número da linha telefônica ou ID do modem usado na conexão, 
etc. e extrai logs, quando possível, desses elementos envolvidos na comunicação.
Por último, recebe os dados de acesso do provedor de internet envolvido na comu-
nicação, contendo os dados de acesso e logs de ações realizadas no período;
• Observações e dificuldades: O processo de coleta de evidências de rede e ob-
tenção de dados do(s) provedor(es) de internet que hospedam o site envolvido no 
escopo da investigação representa uma dificuldade, à medida que pode apresentar 
resistência ou impossibilidade técnica para disponibilização de dados daquele usuá-
rio (ex.: criptografia de dados fim a fim). Mesmo encontrando imagens de boa qua-
lidade e resolução, em que apareçam os investigados e que estes sejam conhecidos, 
a sua identificação unívoca depende do tipo das imagens disponíveis, colocando-os 
no contexto do ilícito e possibilidade de reconhecimento facial.
Correio eletrônico
• Objetivo: Examinar mensagens de correio eletrônico (e-mails);
• Exemplo de contexto (criminal): Envio de mensagens envolvendo difamação
e ameaça;
• Exemplo de rotina: Perito copia a(s) mensagem(s) para identificação de origem e/
ou autoria, extração do conteúdo textual/html do correio eletrônico, endereços de 
e-mail envolvidosna comunicação, anexos e endereço de servidores de envio pre-
sentes nas propriedades da mensagem;
• Observações e dificuldades: As mensagens podem ter sido codificadas ou não 
possuírem elementos textuais que claramente exibam conteúdo inteligível. Técnicas 
de esteganografia podem ter sido aplicadas. Os anexos podem ser protegidos por 
8
9
senha ou criptografados. Os endereços de envio são proxies montados apenas 
para envio temporário, com serviço SMTP não mais existente e, portanto, não 
mais rastreáveis.
Dispositivo de armazenamento portátil ou removível (inclusive BYOD)
• Objetivo: Identificação de conteúdo e rastreio de último uso;
• Exemplo de rotina: Perito recolhe/desconecta mídia do local (ex.: disco rígido, 
SD, cartão-chip, pen-drive, disco óptico, disco flexível, fita DAT, CD, DVD, ROM, 
RAM, etc.) e leva para exame laboratorial, procurando por indícios de uso recente 
e eventual conteúdo remanescente. Identifica resíduos de manuseio, impressões 
digitais e restos orgânicos. Verifica trilhas, discos e memórias com informações em 
meio digital presentes. Extrai conteúdos, tabelas de endereçamento, etc. Categoriza 
tipos e formatos de arquivos encontrados e identifica palavras-chave de interesse 
para rastreio e correlacionamento (ex.: números telefônicos, endereços de e-mail, 
nome de usuários, apelidos virtuais, Crawl Stats e tokens de rastreio Search Engi-
ne Optimizers – SEO, cookies, etc.);
• Exemplo de contexto (criminal): Roubo de informação;
• Observações e dificuldades: Mídias não magnéticas deixam pouca informação 
remanescente quando formatadas.
Computador pessoal
• Objetivo: Identificar características particulares que possam ligá-lo a um evento ilícito;
• Exemplo de rotina: Perito coleta o computador e leva ao laboratório para análise. 
Identifica resíduos de manuseio, impressões digitais e restos orgânicos. Desmonta, 
fotografa partes móveis, identifica componentes com informações de rastreio fabril 
e realiza a análise de dispositivo de armazenamento portátil ou removível. Procura 
por indícios específicos de documentos relacionados ao tema e/ou de vantagens 
para si ou outros, documentada;
• Exemplo de contexto (criminal): Espionagem industrial;
• Observações e dificuldades: Equipamentos de uso coletivo ou público. Equipa-
mentos destruídos deliberadamente pelo autor. Não há arquivos contendo progra-
mas ou códigos-fontes capazes de capturar informações (Ex. informações bancá-
rias), caracterizando o roubo de informações sob análise. Provas de materialidade 
e de autoria de crime foram removidas (dispositivo de armazenamento portátil ou 
removível) ou as que foram usadas residiam em servidor remoto, apenas comanda-
das no computador sob análise.
Periféricos, equipamentos de rede e telecomunicações conectados
• Objetivo: Exames em equipamentos computacionais auxiliares (periféricos);
• Exemplo de rotina: Perito mede a potência de sinal e abrangência da cobertu-
ra da rede Wi-fi sob análise para determinar locais possíveis de acesso e realiza-
ção da ação sob análise. Recolhe e analisa em laboratório os equipamentos Wi-fi
9
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
envolvidos no contexto, extraindo logs e informações presentes em disco/SD/
ROM e memória. Avalia o roteador Wi-fi, comprovando a possibilidade de conexão 
anônima no equipamento e/ou existência de senhas fracas ou autenticação por 
meio de provedores (neste último caso, solicita autenticações realizadas no período 
de tempo investigado aos provedores);
• Exemplo de contexto (criminal): Rastreio de invasão de sites apontou como ori-
gem um Hot-Spot Wi-fi em aeroporto local;
• Observações e dificuldades: Equipamentos recebem milhares de conexões e não 
utilizam Syslog ou outra forma de registro e envio de ações monitoradas para re-
positório centralizado. Equipamento Wi-fi não possui autenticação ou não guarda 
registros de conexão (ex.: impossibilidade física de guarda de registro interno ou 
evidência de senha de administração default/conhecida com possibilidade de ter 
sido manipulado para deleção de evidências).
Ambiente computacional (data center)
• Objetivo: Exames em ambientes computacionais de corporações;
• Exemplo de rotina: Perito visita o data center e localiza servidores envolvidos no 
evento sob análise, após verificar os registros de entrada e direcionamento de tráfego IP 
(considerando o IP rastreado como origem para o caso sob análise) para a rede interna 
a partir do endereço de entrada (WAN) no(s) gateway(s) do data center. Perito solicita a 
retirada ou cópia de informações de disco e memória dos servidores envolvidos;
• Exemplo de contexto (criminal): Ataques de negação de serviço (DOS) rastreados 
a partir de endereço IP de responsabilidade de uma organização;
• Observações e dificuldades: Data center opera com conceitos de virtualização, 
computação em nuvem com alocação distribuída e dinâmica de recursos e balance-
amento de carga (load-balance), dificultando a localização de um servidor específico 
envolvido na ação. É impraticável, nesses casos, a retirada ou cópia de informações 
de disco e memória de todos os servidores existentes, devido ao tamanho da infra-
estrutura de TI.
Aplicativo ou sistema de informação
• Objetivo: Exame de aplicativos ou sistemas de informação (freeware, comerciais/
proprietários, ou códigos/rotinas desenvolvidas de forma experimental (códigos 
maliciosos, ransomware, malwares e vírus, trojans, etc.);
• Exemplo de rotina: Perito identifica a presença do programa (em execução ou 
não) por meio da verificação de serviços/threads do sistema operacional. Caso es-
teja em execução, extrai os dados de memória. Em seguida, extrai o código do pro-
grama para análise laboratorial. Identifica dependência de componentes, existência 
de backdoor ou componentes antiforenses no código. Após identificar a intenção 
do código, executa-o em ambiente isolado (sand-box) e observa seu comportamen-
to, conexões abertas e tráfego de informação;
10
11
• Exemplo de contexto (criminal): Sequestro de bancos de dados (ransomware) e 
pedido de resgate com preço fixado em moeda virtual;
• Observações e dificuldades: Códigos ofuscados e codificados dificultam a iden-
tificação de conteúdo e propósito. Técnicas antiforenses podem agir ativamente 
contra equipamentos e ferramental de análise usados pelo perito, modificando ou 
eliminando evidências.
Registro histórico, logs e trilhas de auditoria
• Objetivo: Exames nos registros de alertas e eventos gerados por um sistema;
• Exemplo de rotina: Perito analisa logs de eventos locais e/ou disponíveis em servi-
dor centralizado. Combina visualizações de múltiplas fontes (ex.: por meio de Secu-
rity Information and Event Management – SIEM) para reconstrução de ações em 
linha do tempo. Com base nas ações capturadas, estabelece um roteiro de ações e 
atores envolvidos;
• Exemplo de contexto (criminal): Genérico. Crimes virtuais, envolvendo qualquer 
tipo de interação computacional;
• Observações e dificuldades: Logs não apresentam sincronia em relação à refe-
rência temporal, impossibilitando a visualização em sequência ou determinação do 
conjunto de eventos e alertas pertinentes ao escopo da avaliação.
Telefone móvel (celulares)
• Objetivo: Exames de extração de dados armazenados em aparelhos de telefonia celular;
• Exemplo de rotina: Perito coleta o(s) telefone(s) sob investigação e leva para análise 
laboratorial. Identifica registro de chamadas recebidas, perdidas e realizadas. Identi-
fica IMEI ou ESN/HEX ESN e obtém dados de uso junto à operadora de telefonia. 
No caso de smartfone, verifica registros de acesso à Internet, redes sociais e e-mail. 
Realiza a cópia de dados em disco e memória. Dependendo do sistema operacional 
e/ou recursos de guarda de mídia na nuvem associados, solicita dados ao fornecedor 
do telefone (fabricante e/ou responsável pelo serviço de nuvem associado);
• Exemplo de contexto (criminal): Prisão após escuta telefônica;
• Observações e dificuldades:Telefones com facilidades de bloqueio e reset remoto 
podem impossibilitar a extração de dados.
Coleta de Evidências Computacionais
Tipos de evidência
Dependendo do escopo do incidente sob investigação ou mesmo do acesso do perito 
(escopo de usuário autenticado, por exemplo), diferentes tipos de cópias das evidências 
podem ser realizados na auditoria.
11
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
• Imagem física: informações de todos os segmentos e fragmentos do disco (cópia 
binária), também conhecidas como RAW;
• Imagem lógica: cópia de arquivos de diretórios (equivalente aos arquivos que são 
exibidos pelo gerenciador de arquivos, ex.: Windows Explorer);
• Cópia seletiva: seleção de documentos ou arquivos de interesse para a investigação.
Classificações de evidência
Dependendo da acessibilidade dada ao perito, algumas classificações de evidência 
podem não estar acessíveis. Por exemplo, a impossibilidade de recolher fisicamente o 
servidor envolvido no incidente (pois ele pertence a serviços de outros usuários, por 
exemplo) pode forçar o perito a realizar exames apenas com a cópia do original.
• Evidência digital: informações digitais (dados) guardadas ou transmitidas, relacio-
nadas ao incidente e que possuem valor probatório;
• Itens físicos: objetos que podem ter sido envolvidos no processo de guarda ou 
transmissão das informações digitais (dados) relacionadas ao incidente;
• Evidência digital original: objetos físicos que guardavam as informações (dados) 
relacionadas ao incidente no momento da coleta (ex.: servidores, computadores, etc.);
• Evidência digital duplicada: uma réplica exata da evidência digital original (nor-
malmente efetuada pelo perito no local da coleta).
Requisitos para apresentação em juízo
Como você viu na unidade anterior, quando caracterizamos as habilidades do perito, 
tanto as características técnicas quanto as de tradução das percepções obtidas nas evi-
dências para produção do laudo serão necessárias para a validade desses dados como 
prova material em um processo.
• Admissível: coletada de forma legal, com procedimentos aceitáveis, devidamente 
documentados e autorizados;
• Autêntica: deve permitir ligar o incidente ao material de evidência coletado;
• Completa: deve contar a história completa do incidente, não apenas a perspectiva 
de interesse de uma parte específica (sem viés);
• Confiável: não pode haver nada sobre a evidência que ponha em dúvida sua veracidade;
• Acreditável: deve ser entendida pela corte no tribunal.
Exemplos de evidências não admissíveis são “grampos telefônicos”, como os que ve-
mos em reportagens, que mesmo revelando ilícitos não são aceitas como prova.
12
13
Já em relação à característica de autenticidade, o perito deve comprovar que as evi-
dências possuem associação ao incidente. Por exemplo, demonstrando informações de 
data-hora e usuários nos eventos e alertas anexados como evidência ao processo em 
que estes são acusados. Ainda nesse sentido, o perito deve comprovar que os eventos e 
alertas anexados contam toda a sequência temporal sob investigação, ou justifique hiatos 
em caso de impossibilidade da reconstrução total, sendo considerada completa (com o 
máximo de dados possível).
Ao avaliarmos a propriedade de confiabilidade, o que normalmente se vê (na maioria 
das vezes produzida automaticamente pelas ferramentas usadas na coleta de evidências) 
é a geração de HASH para a comprovação de integridade do arquivo/conteúdos copia-
dos na investigação.
Por fim, a habilidade de tradução e contar a história de eventos suportados pelas 
evidências técnicas de forma a propiciar o entendimento de leigos é o que confere a 
característica de ser acreditável.
Uma última propriedade ou característica, relacionada ao ciclo de vida da evidência 
(desde o momento que foi coletada até o momento da apresentação e anexo como 
prova material), é chamada de cadeia de custódia. Como parte da cadeia de custódia, 
devemos observar:
• onde, quando e por quem (perito) a evidência foi recolhida;
• onde, quando e por quem a evidência foi examinada ou manipulada;
• quem possui a custódia da evidência (todos os profissionais que manipularam a 
evidência durante todo seu ciclo de vida);
• como foi guardada a evidência (locais e datas).
A coleta de evidências forenses computacionais possui uma característica importan-
te, relacionada à contaminação dos dados (interferências) causada pelo próprio processo 
de perícia, que pode impossibilitar ou causar viés nos dados analisados. Ao inserir equi-
pamentos adicionais no objeto em análise, dependendo da interface usada, o simples 
fato de gerar I/O ao SO é suficiente para alterar o estado deste objeto e interferir na 
possibilidade de conclusões e laudo. Quando um perito observa a evidência coletada, 
pode não ser possível reconhecer o estado daquele ativo computacional na época do 
evento em análise, pois dependendo do equipamento, as informações novas, geradas 
pela interferência do perito, são em quantidade suficiente para sobrepor aquelas que es-
tavam presentes originalmente. O simples fato de “logarmos” em um SO, reiniciarmos 
o servidor ou iniciarmos novos aplicativos para visualização de conteúdo e informação 
são suficientes para alterar dramaticamente o estado da máquina e, portanto, interferir 
na observação do estado original do objeto computacional em análise.
13
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Figura 2 – Ferramentas para coleta de evidências computacionais
Fonte: archives.fbi.gov
Fenômenos de interferência na coleta de evidências
Aspectos físicos ligados ao fenômeno de interferência e contaminação dos objetos 
computacionais pelo observador (perito) são aplicáveis na compreensão desse conceito, 
um relacionado ao contato direto (Locard) e o outro quântico (Heisenberg), justificando 
a influência pelo simples fato da observação.
Fi gura 3 – Teóricos da infl uência do observador: Locard e Heisenberg
Fonte: Adaptado de Wikimedia Commons
O princípio de incerteza na mecânica quântica de Heisenberg (conceito estabelecido 
por ele em 1925) fala da impossibilidade de medição conjunta sem que haja interferência 
do segundo objeto. Extrapolando para a observação do perito, durante a auditoria, signi-
ficaria dizer que se ele não estivesse observando aquele objeto em particular ele estaria 
diferente do modo que se apresenta. Ou seja, o observador interferiu na evidência so-
mente por observá-la. Vale lembrar, no entanto, que essa teoria é percebida em objetos 
pequenos e não tem proporção perceptível na escala macro. Dessa forma, ainda que 
conheçamos e aceitemos os efeitos, eles podem ser considerados desprezíveis na escala 
do trabalho do perito forense computacional. Essa teoria é usada como justificativa por 
Heisenberg para explicar a incerteza quântica como “uma influência do observador”.
14
15
A teoria de Locard diz que o contato de dois itens produzirá uma permuta/transferên-
cia, referindo-se à característica eletrônica (no caso do ativo computacional) em que dois 
elementos precisam estar em contato e comunicação para que haja a interação, dessa 
forma caracterizando a interferência.
Programa em memory stick (USB)
nCASE ou outro equipamento
especializado
Netcat e remote code execution (RCE)
Auditor
Auditando
nc -l -vvv -p <porta> >
<arquivo de destino>
nc <ip investigador>
<porta> -e /dev/pmem
Figura 4 – Comparação da interferência gerada por uma análise
usando conexão remota ou inserção local de ferramenta
Fonte: Adaptado de Getty Images
Comparando dois exemplos de coleta, uma em que o perito conecta seu equipamen-
to diretamente e extrai o conteúdo (gerando I/O e usando os recursos da CPU para o 
acesso à memória no sistema operacional ou, dependendo da ferramenta, interagindo 
com o Direct Memory Access – DMA) e outra em que ele se conecta via rede para 
acessar o conteúdo do ativo computacional em análise, temos dois tipos de interferên-
cias distintas sendo geradas.Como o acesso via interface física não requer login no SO, 
dependendo da arquitetura da ferramenta, a interrupção de I/O pode prover acesso 
à comunicação DMA e acesso aos dados em memória. Já se o mesmo acesso não 
fornecer acesso, provavelmente a ferramenta precisará executar algum aplicativo para 
só então acessar a memória, interferindo em maior proporção na evidência. No outro 
exemplo, via Net Car (nc), o acesso pela rede também pode obter acesso aos dados 
de arquivos em disco, mas raramente diretamente na memória. Normalmente, o único 
componente que acessa a memória RAM da máquina é a CPU (processador). O recurso 
15
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
DMA permite que outros componentes também acessem a memória, sem que a CPU 
tenha que realizar uma “cópia” para entregar aos solicitantes das interrupções, assim, 
gerando menor interferência na evidência.
Ordem de coleta
Outro fator especialmente importante é a ordem de coleta. Chamado de “volatili-
dade” ou ordem de volatilidade (OOV), este conceito está relacionado diretamente ao 
tipo de ativo e sua capacidade interna de guarda de informações. Ativos que retêm por 
menos tempo a informação e, portanto, precisam receber prioridade na coleta de evi-
dências computacionais são chamados altamente voláteis.
A volatilidade é, no contexto do perito, a propriedade do ativo que pode impedir que 
ele consiga ter acesso e analisar a evidência de um dado momento. Ou seja, quanto mais 
tempo se passa entre o incidente de segurança relacionado e o momento da investigação 
do perito, maior a chance de os dados que seriam necessários para a observação do 
perito se perderem devido ao efeito de sobrescrever, conforme citado.
∙ Registradores, cache;
∙ Routing table, ARP cache, process table,
estatísticas de Kernel, memória;
∙ Arquivos temporários deKernel, memória;
∙ Arquivos temporários e logs temporários;
∙ Mídias estáticas (HD e SD, SAN, BD, etc).
Volatility Order
Figura 5 – Ilustração de ordem de volatilidade para coleta em relação aos tipos de ativos
Fonte: Adaptado de RFC 3227
Dilema forense
Considerando-se a capacidade de interferência do perito na evidência e sabendo-se 
que o fator tempo joga contra o profissional forense no sentido de que a sua capacidade 
de análise tende a decair a medida que mais tempo se passa entre o incidente de se-
gurança e a investigação, há uma escolha de procedimento de coleta que é conhecida 
como dilema forense na literatura especializada. 
De um lado, têm-se a urgência e completude da evidência, que conduzem ao pensa-
mento de que quanto mais rápido e mais dados se puder obter sobre um caso, maior será 
a capacidade de análise e de se reproduzir o que se tinha à época do evento, levando, as-
sim, o perito a observar, por exemplo, a OOV para o estabelecimento de prioridades nas 
16
17
coletas e seleção de todos os ativos envolvidos no incidente. Neste cenário, a prioridade 
é manter os ativos em seu funcionamento normal, de forma a não interferir na evidência 
e coletá-la em sua completude, na ordem de prioridade em relação à volatilidade de seus 
componentes (ex.: HS/SD e memória RAM), o mais rapidamente possível.
De outro lado, temos a abordagem focada em preservação e isolamento, com o in-
tuito de segregar e conter o ambiente de forma que ele não “propague” o sintoma para 
o restante da rede, aceitando que ao “desplugar” a máquina da rede e desligá-la, muitos 
dados serão perdidos e o processo de investigação será impactado. Perceba que, nessa 
abordagem, temos o foco no isolamento do incidente e não no processo de produção de 
provas e coleta de evidências.
As técnicas antiforenses, envolvendo métodos utilizados para evitar (ou agir contra) ferra-
mentas de extração/análise de evidências, afetam diretamente a capacidade do perito forense 
computacional em coletar essas evidências e produzir provas aceitas e anexas ao processo. 
Mais informações sobre essa técnica e exemplos podem ser vistos em: http://bit.ly/2WRl567
Exame de Evidências Computacionais
Como você observou, grande parte das análises do perito forense está relacionada a 
evidências de logs de equipamentos de rede, arquivos provenientes de disco ou presen-
tes em memória. Vimos também que, dependendo do tipo de abordagem para a coleta 
de evidências, haverá uma interferência maior ou menor do perito forense, realizando 
“transferência” e “contaminação” da prova.
Nesta seção, vamos falar um pouco sobre as diferenças conceituais das análises de 
informação em disco e em memória, pois na próxima unidade já teremos uma explora-
ção prática nesse sentido. Então, você poderá vivenciar a experiência de um caso de uso 
explorando a coleta e a análise de dados contidos nas duas mídias.
Como vimos nos tipos de evidência, na seção anterior, quando falamos de análise 
de arquivos em disco, nos referindo a dados armazenados, seja em HD, SD ou mídia 
equivalente, utilizamos basicamente dois tipos de cópia: uma cópia RAW, também cha-
mada de “bit-a-bit”, que nos proporciona uma cópia do estado em que o arquivo se 
encontra na mídia de armazenamento e, portanto, pode ser considerada mais “fiel”; 
e outra, utilizando os recursos do SO e sistema de gerenciamento de arquivos deste, 
que interpreta as tabelas de alocação e formato configurados, organiza os dados distri-
buídos por meio do visualizador e exibe os arquivos e pastas de forma que possamos 
copiá-los. Quando realizamos a cópia, via gerenciador de arquivos, além de receber 
este “tratamento” de visualização e interpretação pelo SO e aplicativos, a evidência em 
questão estará sujeita aos seus controles e restrições. Por exemplo, em uma auditoria 
envolvendo um computador conectado à rede corporativa (conectada em um Active 
Directory – AD), por exemplo), haverá restrições de autorização e características de 
compartilhamento impostas por esses controles. Neste cenário, tanto o Discretionary 
17
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Access Control (DAC) quanto o Role-based Access Control (RBAC) podem influenciar 
a capacidade do auditor, caso haja permissões insuficientes, diretórios com acesso exclu-
sivo a um usuário, bitlocker ativo, etc.
Como vimos, uma importante tarefa do auditor é construir uma linha de tempo, as-
sociando eventos às evidências encontradas. Em relação aos arquivos, além do conteúdo 
em si, o perito avalia várias propriedades de metadados que podem auxiliar na constru-
ção da linha do tempo. Uma propriedade de interesse do perito forense computacional 
é a análise dos MAC times. Como todos os metadados de sistemas de arquivos, eles 
podem ser alterados pelo próprio perito ao observá-los. Usar o próprio visualizador do 
SO, portanto, não é o método mais adequado, pois causa essa “interferência” e “conta-
minação” na evidência. Alguns utilitários de cópia de arquivos irão explicitamente setar 
os MAC times da nova cópia. Já outros vão alterar a propriedade ctimes, que não será 
idêntica à do arquivo original que está sendo copiado. A maioria dos SO Linux não 
irá setar a propriedade ctimes, por exemplo; já o Windows usando New Technology 
File System (NTFS) sim. Normalmente as ferramentas de cópia utilizadas pelos peritos 
forenses computacionais não causam essa interferência, mas é importante que você 
saiba desse aspecto técnico e tenha essa preocupação com a preservação das provas.
O conjunto completo de propriedades MAC times é composto de:
• mtime (tempo de modificação);
• atime (tempo de acesso);
• ctime (tempo de alteração de metadados e tempo de criação).
Os MAC times, assim como outros metadados de arquivos, podem servir ao perito forense compu-
tacional para complementar sua percepção de ações registradas em logs de eventos, por exem-
plo. Mais detalhes sobre a estrutura e propriedades podem ser vistos em: http://bit.ly/2WQoYs6 
Porém, nem sempre o perito terá acesso aos arquivos objeto de sua busca. Aliás, o 
mais correto seria dizer que quase nunca terá, na medida queum atacante ou mesmo 
um usuário corporativo raramente deixará para trás rastros tão óbvios de seus ilícitos. 
Mas, então, onde mais procurar por evidências?
Dois locais particularmente interessantes são a memória virtual e espaços de memó-
ria tradicionais, o heap e o stack.
Como o recurso de memória foi um componente caro e limitado a baixas capacida-
des, historicamente, os SOs utilizaram subterfúgios para driblar problemas relacionados 
a desempenho e capacidade de carregar grandes quantidades de dados que iriam ser uti-
lizadas sob demanda por programas, mas que não seriam possíveis de alocar no espaço 
tradicional da RAM. Neste cenário, a memória secundária (memória virtual) é arquiteta-
da usando-se o disco do computador (HD ou SD, por exemplo). Programas complexos, 
que precisam de vários dados, filtros, parâmetros, templates, etc., raramente os usam 
ao mesmo tempo e para todas as atividades. Por isso, convém o uso de memória virtual, 
permitindo a otimização de recursos.
18
19
A paginação é implementada em Sos, normalmente, por hardware específico con-
trolado pela CPU: Memory Management Unit (MMU). A paginação é obtida através de 
consulta a tabelas que contêm os endereços das páginas de memória e os endereços 
correspondentes das referências na RAM. Para diminuir a necessidade constante des-
sa consulta e cópia, há um recurso que funciona como uma cache especial, chamada 
Translation Look-Aside Buffer (TLB). Nela, são guardados endereços mais utilizados, 
para maximizar o tempo de acesso, já que o acesso a esse buffer é muito mais rápido 
quando comparado à memória principal (você já deve ter notado diferença de desempe-
nho na primeira vez que iniciamos uma tarefa em aplicativo complexo e as vezes subse-
quentes quando vamos repetir o trabalho). O “page size”, usado nas tabelas, podem ser 
configurados Erro! Fonte de referência não encontrada., mas muito comumente vemos 
o tamanho default do SO durante as investigações.
Figur a 6 – Ilustração de page size em SO Linux Ubuntu
Quando acessamos um desses programas, então, além de acessar e salvar novos ar-
quivos em disco e, no contexto da análise forense, deixar rastros em forma de arquivos, 
há também uma porção de outros rastros em disco que dizem respeito ao uso desse 
programa, mas no contexto de memória virtual Erro! Fonte de referência não encon-
trada., que também devem ser coletados e analisados. Cabe ao perito associar esses 
fragmentos de informação em memória virtual, baseado nas referências de memória dos 
programas em uso na RAM, à época do delito sob investigação.
CPU
limit base
yes
no
s d
s{
segment
table
< +
physical memorytrap; addressing error
Figura 7 – Ilustração de CPU e processo de segmentação e construção de tabela de referência
Fonte: Aadaptada de HENDLER et. al; 2015
19
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Memória compartilhada (virtual)
Memória
Endereços
Page table
Endereços
Page table
Figu ra 8 – Ilustração de mapeamento da memória virtual na tabela
Fonte: Adaptada de TANENBAUM et. al; 2014
Há também a situação em que o perito terá que rastrear as informações ou estados e 
resíduos de uso de programa nas porções de memória heap e stack. Exemplos práticos 
serão abordados nas próximas unidades, mas, por ora, imagine que não há arquivos e 
o que resta é a memória RAM e uma possível evidência de que o usuário (computador 
investigado que era usado pelo usuário réu da ação) abriu e visualizou aquele arquivo.
O perito, então, procura por visualizadores comuns para aquele arquivo (ex.: PDF 
reader) e procura por evidências de seu uso em processos de memória. A partir de 
endereços EIP (Ponteiro de instrução), EBP (Ponteiro para a base da memória) e ESP 
(Ponteiro para o stack), é possível procurar por referências na memória. Caso estes não 
tenham sido alocados para novos processos e programas, posteriormente (por isso a 
importância em obtermos rapidamente a evidência e contaminarmos o mínimo possível 
com novas requisições ao SO) podemos encontrar resíduos desse PDF e seu conteúdo, 
suportando a evidência de acusação, por exemplo.
Entender o processo de alocação de memória em pilha para instruções de programas du-
rante sua compilação e variáveis globais no stack e dinâmica para variáveis e dados criados 
durante a execução do programa (runtime) pode ajudar a entender como o perito pode 
atuar em certos casos. Mais detalhes sobre a estrutura e propriedades podem ser vistos 
em: http://bit.ly/2WWjex3 
20
21
Falamos sobre exemplos de atividades do perito forense no contexto corporativo.
Nesta abordagem, diferenciamos cenários de atuação, com contextos práticos em casos de 
investigação forense em que o perito (acompanhado ou não de outros profissionais peritos 
de áreas correlatas) realiza o seu trabalho de acordo com a evidência computacional em 
questão e o cenário criminal sob investigação.
Observamos características de tipos de evidências e condições para que estas sejam aceitas 
em tribunal como prova material.
Concluímos com esta unidade uma visão do papel do perito forense computacional na loca-
lização e análise de diferentes tipos de informação residente nos computadores sob análise.
Esperamos que você tenha gostado e adquirido esses novos conhecimentos. 
21
UNIDADE 
Tipos de Investigações com Uso da Perícia Forense Computacional
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Livros
Perícia forense computacional: teoria e prática aplicada
FARMER, D. Perícia forense computacional: teoria e prática aplicada. 1ª ed. Pearson: 
São Paulo, 2006.
 Vídeos
DMA controller basic operation
Entenda, sem muitos detalhes técnicos, qual a função do DMA e como este influencia o 
estado da memória (em inglês)
https://youtu.be/ltvpkuQRZao
Virtual Memory: 3 What is Virtual Memory?
Memória virtual (em inglês)
https://youtu.be/qlH4-oHnBb8
 Leitura
Perícia digital: estratégias para analisar e manter evidências íntegras em forense computacional
SILVA, TBF. Perícia digital: estratégias para analisar e manter evidências íntegras em 
forense computacional. TCC – Unisul Digital, 2017.
http://bit.ly/2WMBNDA
22
23
Referências
HENDLER, D.; ADLER, M.; ZIVAN, R. Operating systems. 5ª ed. Negev, Israel: Ben 
Gurion University, 2015. 445 p.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2ª ed . Rio 
de Janeiro: Elsevier, 2014. 172 p.
TANENBAUM, A. S.; BOS, H. Modern operating systems. 4ª ed. Englewood Cliffs, 
NJ, USA: Prentice Hall Press, 2014. 1136 p.
TOLEDO, J. C.; RODRIGUES, C. V. A value based method for measuring performance 
on Forensic Science service. Gest. Prod., São Carlos, v. 24, n. 3, p. 538-556, 2017.
23