Buscar

Apostila Módulo 4 Bootcamp Analista de Ataque Cibernético

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 49 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 49 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 49 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Análise Forense
Bootcamp Analista de Ataque Cibernético
Fabrício Lana Pessoa
Análise Forense – Página 2 de 49
Análise Forense
Fabrício Lana Pessoa
© Copyright do Instituto de Gestão e Tecnologia da Informação.
Todos os direitos reservados.
Análise Forense – Página 3 de 49
Sumário
Capítulo 1. 4
1.1. Perícia e Ciência Forense 4
1.2. Crimes virtuais 6
1.3. Peritos: tipos e funções 10
1.4. Provas, vestígios, indícios e evidências 13
Capítulo 2. 18
2.1. First Responder 19
2.2. Coletando a evidência 20
2.3. Aquisição 21
2.4. Cadeia de custódia 24
Capítulo 3. 26
3.1. Live Analysis 26
3.2. Dump de memória 28
3.3. Aquisição de disco 29
Capítulo 4. 34
4.1. Dump de Memória 34
4.2. Análise forense de imagem de disco 35
4.3. Forense na nuvem 36
4.4. Análise de redes 37
Análise Forense – Página 4 de 49
4.5. Análise de malware 38
Referências......... 40
Análise Forense – Página 5 de 49
Capítulo 1. Criminalística, Perícia e Computação Forense
1.1. Perícia e Ciência Forense
O órgão central de criminalística, responsável pela perícia criminal federal
no Brasil, é o Instituto Nacional de Criminalística (INC), situado em Brasília.
Vinculado à Polícia Federal, ele é responsável por coordenar as atividades de
polícia científica da União, por meio de unidades em todas as capitais do Brasil. O
INC é o órgão de investigação da Polícia Federal.
Figura 1 – INC, referência em criminalística.
Fonte: https://www.apcf.org.br/pericia-criminal/pericia-criminal.
Em seus Estados, cada unidade da federação conta com sua equipe de
polícia técnica ou científica para apoiar e fornecer suporte às investigações das
forças policiais estaduais.
Um dos grandes contribuidores para a área de criminalística foi Edmond
Locard. Podemos dizer até que todo trabalho de perícia decorre da base
estabelecida pelo princípio de Locard. Segundo esse princípio, o indivíduo sempre
Análise Forense – Página 6 de 49
https://www.apcf.org.br/pericia-criminal/pericia-criminal
interage ou deixa marcas no ambiente com o qual se relaciona, conforme detalhado
a seguir.
Princípio de Locard
Em meados do ano de 1910, Edmond Locard, conhecido também como o
Sherlock Holmes da França, um dos pioneiros da Ciência Forense moderna,
estabeleceu o famoso princípio de Locard, segundo o qual “todo o contato deixa um
traço (vestígio)”. De acordo com ele, é impossível que tenha existido uma interação
entre dois “corpos”, sem que qualquer evidência tenha sido deixada ou modificada .1
Quaisquer que sejam os passos, quaisquer objetos tocados, o que
quer que seja deixado, mesmo que inconscientemente, servirá como
uma testemunha silenciosa. Não apenas as suas pegadas ou
digitais, mas o seu cabelo, as fibras das suas calças, os vidros que
ele porventura parta, a marca da ferramenta, a tinta, o sangue ou
sémen que se deixe. Tudo isto, e muito mais, carrega um testemunho
[...]. Esta prova não se esquece. É distinta da excitação do momento.
Não é ausente como as testemunhas humanas são. Constituem, per
se, numa evidência factual. A evidência física não pode estar errada,
não pode cometer perjúrio por si própria, não se pode tornar ausente.
Cabe aos humanos, procurá-la, estudá-la e compreendê-la, apenas
os humanos podem diminuir o seu valor. (LOCARD, 1910)
Desde então, com o estrondoso desenvolvimento científico/tecnológico do
século XX, várias iniciativas e publicações relevantes foram realizadas,
1 Kirk, Paul (1953). Crime Investigation: Physical Evidence and the Police Laboratory.
Análise Forense – Página 7 de 49
https://books.google.com.br/books/about/Crime_investigation.html?id=WYZtAAAAIAAJ&redir_esc=y
impulsionando o desenvolvimento das ciências e perícia forense, tal como
conhecemos hoje.2
1.2. Crimes virtuais
Em geral, por natureza, crimes virtuais são considerados crimes de meio.
Isso quer dizer que não se enquadram em uma nova modalidade ou tipo penal
limitado ao ambiente virtual. Via de regra, a materialização da conduta é virtual, mas
o crime não. Todavia, vemos que os crimes cibernéticos podem ainda ser
classificados como puros, comuns ou mistos :34
1. Crimes cibernéticos puros ou próprios: tem como alvo uma rede, sistema
ou computador, tendo como objetivo danificar equipamentos ou obter acesso
a dados sigilosos. “A informática (segurança dos sistemas, titularidade das
informações e integridade dos dados, da máquina e periféricos) é o objeto
jurídico tutelado” . Exemplo: Ransonware, construído para criptografar5
arquivos do servidor de banco de dados de uma determinada empresa.
5 JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva, 1998.
4 https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
3³
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-
problema-na-tipificacao/
2 Paul Leland Kirk, bioquímica na área forense (1934). “Physical evidence and the police laboratory”
Técnicas para análise na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas
de fogo etc.
Roland Menzel (1970). Identificação de digitais. “Fingerprint Detection With Laser”.
Alec Jeffreys (1985). Primeiro teste de DNA publicado na revista “Nature”, revolucionando os
métodos de identificação forense.
Análise Forense – Página 8 de 49
https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
2. Crimes cibernéticos comuns, impuros ou impróprios: utilizam a internet
apenas como meio. Correspondem, portanto, a crimes já tipificados,
realizados agora com auxílio do computador. Exemplo: compartilhamento de
fotos de pornografia infantil. Ou ainda, calúnia, injúria, difamação, ameaça,
furto, extorsão, estelionato etc.
3. Crimes cibernéticos mistos: o uso da internet ou de dispositivos digitais é
uma condição indispensável para a efetivação do crime, embora o objeto
visado seja outro. Exemplo: fraude de acesso à conta bancária por meio da
internet.
Muitas vezes, os delitos cometidos na internet não definem, portanto, a
prática de novos crimes, mas somente um local ou meio para realização de atos já
existentes e cometidos no mundo real, conforme ilustrado e relacionado a seguir :6
▪ Calúnia: insultar a honra de alguém (artigo 138 CP).
▪ Difamação: espalhar boatos eletrônicos sobre pessoas (difamação artigo 139
CP).
▪ Injúria: insultar pessoas considerando suas características ou utilizar
apelidos grosseiros (artigo 140 CP).
▪ Ameaça (artigo 147 CP).
▪ Furto de dados: utilizar dados da conta bancária de outrem para desvio ou
saque de dinheiro (furto artigo 155 CP).
6 https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
Análise Forense – Página 9 de 49
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
▪ Preconceito ou discriminação: comentar em chats, e-mails e outros, de
forma negativa, sobre raças, religiões e etnias (artigo 20 da Lei n. 7.716 /89).
▪ Pedofilia: enviar ou trocar fotos de crianças nuas (artigo 247 da Lei n. 8.069
/90, o Estatuto da Criança e do Adolescente - ECA).
▪ Furto estelionato, violação do direito autoral, tráfico de drogas ou armas,
incitação ao crime, formação de quadrilha.
A figura abaixo retrata uma prática criminosa bastante comum no ano de
2019, utilizada para obtenção de depósitos de bitcoins, a partir de extorsão
realizada por e-mail.
Figura 2 – Exemplo de “Sextorsion” - Crime de extorsão.
Fonte: https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash.
Apesar de todos os esforços para punir a prática desses crimes, hackers
vendem serviços abertamente na internet, ironizando as leis e as punições
existentes para os crimes virtuais descritos anteriormente:
AnáliseForense – Página 10 de 49
https://www.pcrisk.pt/guias-de-remocao/9666-sextortion-email-dash
Análise Forense – Página 11 de 49
Figura 3 – Oferta de serviços para crimes virtuais.
Análise Forense – Página 12 de 49
Fonte:
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-cr
ime-virtual.
1.3. Peritos: tipos e funções
Diferentes tipos de peritos podem realizar o procedimento de perícia, de
acordo com sua atuação, conforme detalhado a seguir:
I. Perito criminal: é um membro da polícia técnica/científica. Ele examina e
analisa tecnicamente vestígios de um crime para apoiar a polícia no
processo de investigação. O perito criminal é um servidor público,
concursado, que atua para auxiliar na solução de diferentes tipos de crime,
em diversas áreas de conhecimento. Tendo sido nomeado em concurso e
atuando, portanto, em nome do Estado, ele é também chamado de perito
oficial ou perito natural.
II. Perito judicial: é um apreciador técnico, assessor do juiz. É a pessoa
encarregada de esclarecer, por meio de um laudo, uma questão que pode
ser apreciada em detalhes por seus conhecimentos técnicos especializados.
Ao contrário do perito criminal, ele não é um servidor do Estado e atua,7
portanto, somente de modo pontual e específico, no caso para o qual foi
designado. Desse modo, pode-se dizer que o perito judicial é também um
tipo de perito Ad Hoc.
III. Assistente técnico: é o profissional contratado por uma das partes para
auxiliá-la no decorrer de um processo judicial, com a elaboração de um
7 MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas, 2000.
Análise Forense – Página 13 de 49
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
laudo técnico especializado. Em causas cíveis e trabalhistas, ele
acompanha a realização da perícia com o perito oficial, mas, no processo
penal, o assistente técnico atua somente após a sua conclusão. Nesse
caso, ele pode fornecer um novo laudo, apresentar novos elementos e
argumentos, ou contestar os procedimentos realizados pela perícia oficial.8
Há que se destacar aqui que, em qualquer caso, mesmo quando não houver
contestação, com ou sem a participação de um assistente técnico, o Juiz não é
obrigado a acatar ou aceitar as conclusões da perícia, sendo livre, soberano e
independente para decidir conforme seu próprio convencimento.9
IV. Perito extrajudicial: é o indivíduo contratado, independente de uma
ação judicial ou investigação criminal. Diferencia-se do assistente técnico
por atuar de modo independente, sem a necessidade da existência de um
processo em curso. Atua com a finalidade de realizar uma análise técnica
de determinado fato, o qual demanda conhecimentos específicos para
esclarecimento. Muitas vezes, o perito extrajudicial pode ser contratado para
realização de uma análise, que dê suporte a advogados na abertura de um
processo, auxiliando na fundamentação do seu pedido inicial no judiciário,
ou na formulação de quesitos a serem apresentados no processo. De outro
modo, também pode ser um recurso útil para auxiliar na solução de conflitos
sem demandar a Justiça, servindo como apoio técnico para esclarecimentos
9 “O juiz não ficará adstrito ao laudo, podendo aceitá-lo ou rejeitá-lo, no todo ou em parte” Art 182
CPP.
8 Art. 159 do CPP §3º. Serão facultadas ao Ministério Público, ao assistente de acusação, ao
ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de assistente técnico.
(Incluído pela Lei no. 11.690, de 2008) §4º. O assistente técnico atuará a partir de sua admissão pelo
juiz e após a conclusão dos exames e elaboração do laudo pelos peritos oficiais.
Análise Forense – Página 14 de 49
que possam conduzir partes com interesses contrários a um acordo
extrajudicial. Em geral, esse é inclusive um procedimento mais rápido e de
menor custo que o acionamento do poder judiciário e a respectiva
nomeação de um perito para atuar no processo. Vale ressaltar, por fim, que,
conforme descrito acima, a respeito da autonomia do Juiz em relação à
perícia, este pode utilizar o parecer ou relatório de um perito extrajudicial
como fundamentação para sua sentença, mesmo que em contraposição à
perícia oficial ou judicial.
V. Testemunha técnica: apesar do nome sugerir outro entendimento, a
testemunha técnica não pode ser um indivíduo indicado pelos envolvidos
em um processo. Ao contrário disso, ainda que apresentada a partir de
requerimento das partes, trata-se de um perito nomeado pelo juízo para
prestar testemunho em audiência, dispensando apresentação de laudo
pericial. Nesse sentido, no momento em que um perito judicial for
dispensado da apresentação do seu relatório e prestar testemunho a
respeito de suas análises e conclusões, estará realizando o papel de uma
testemunha técnica no processo. 10
A figura a seguir ilustra as diferentes formas de atuação do perito, conforme
descrito acima. Cabe ressaltar uma exceção ao esquema apresentado abaixo, a
qual refere-se à nomeação de dois peritos para atuar de modo Ad Hoc, em
processos criminais, na ausência de perito Oficial.
10 “Art. 464. (...) § 2o De ofício ou a requerimento das partes, o juiz poderá, em substituição à perícia,
determinar a produção de prova técnica simplificada, quando o ponto controvertido for de menor
complexidade.”
Análise Forense – Página 15 de 49
Figura 4 – Formas de atuação de um perito.
Em qualquer situação, independente do papel ou do momento em que atuar,
o perito deverá apresentar sempre dados objetivos e precisos, em todos os casos
sob sua responsabilidade. Cabe a ele conduzir seu trabalho pautado sempre pelo
Análise Forense – Página 16 de 49
método científico, sem ocultar ou distorcer fatos, mantendo sempre o seu
compromisso com a verdade. Esse é o dever e papel ético de um perito.
1.4. Provas, vestígios, indícios e evidências
O objetivo principal de uma perícia deve ser, a partir da identificação e da
análise de evidências, esclarecer os fatos, a autoria e a dinâmica de um crime,
identificando e relacionando elementos que possam servir como prova válida em
juízo.
Provas
Representam o conjunto de meios idôneos, utilizados para afirmar ou
negar a existência de um fato . Podem ser do tipo testemunhal, documental ou11
material (corpo de delito, exames, vistorias). Muitas vezes, provas apresentadas a
partir da observação de testemunhas ou dos próprios envolvidos apresentam falhas,
o que reforça a importância da prova material, baseada em exames técnicos e
científicos.
Todavia, em diversas circunstâncias, não é possível obter uma
comprovação cabal que indique o cometimento de um crime, como por exemplo a
localização de um corpo ou logs de computadores. Nesse sentido, dizemos que
mesmo não sendo possível a obtenção desse tipo de prova, a perícia ou o conjunto
probatório por ela apresentado tem como função “fornecer ao juiz o conhecimento
11 Da prova no processo penal, 7ª. ed., rev., São Paulo, Ed. Saraiva, 2006.
Análise Forense – Página 17 de 49
da verdade, a fim de gerar sua convicção quanto à existência ou inexistência dos
fatos.”18 O juiz formará sua convicção pela livre apreciação da prova.12
Vestígios/Evidências
Vestígios são decorrentes da conduta humana e do princípio de Locard,
segundo o qual todo contato deixa um traço ou evidência. Como sempre existirá a
troca entre pessoas e ambiente, um criminoso sempre deixa ou leva algo consigo.
Os termos vestígios e evidência são frequentemente utilizados como sinônimos.
Todavia, evidências representam vestígios que, após analisados, mostram-se
relevantes ou relacionados com o fato investigado. Nesse sentido, diz-se que o
vestígio abrange, e a evidência restringe.
No campo dos crimes virtuais podemos, por exemplo, detectar vestígios de
uma invasão a partir da assinatura de um ataque. Ela é encontrada em padrõesde
conexão, tráfego e logs ou reconhecidas por mecanismos de detecção de intrusão.
Como exploram, em sua maioria, vulnerabilidades conhecidas, boa parte também
deixa um rastro ou registros dos procedimentos utilizados para explorar estas
vulnerabilidades. É dessa maneira inclusive que mecanismos de antivírus ou de
detecção de intrusão (IDS) alertam ou bloqueiam ferramentas maliciosas ou
tentativas de invasão a uma rede. Nesse ponto, vale dizer, então, que malwares ou
exploits “também podem ser pegos em função do seu comportamento”, já que, em13
algumas vezes, seguem procedimentos ou padrões conhecidos e comuns. O
famoso ransoware wannacry, por exemplo, segue uma sequência de etapas no seu
funcionamento, que inclui acesso a sites e alterações de chave no registro,
13 Exploits: ferramentas maliciosas que exploram uma vulnerabilidade da rede ou sistemas para
realizar uma invasão ou ataque de rede.
12 Art 155. CPP.
Análise Forense – Página 18 de 49
mecanismos de persistência e conexões de rede e específicos, conforme ilustrado
na figura a seguir. Nela podemos observar o acesso a URL específica, com
tentativas de conexão no compartilhamento IPC$, via protocolo SMB, a criação de
serviços e alguns registros do Windows tipicamente, modificados pelo malware.14
Figura 5 – Assinaturas do WannaCry.
14 Detalhamento completo do funcionamento do WannaCry, incluindo toda a engenharia reversa do
seu código podem ser obtidos em artigo o Sans Institute. Disponível em:
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-ex
ploit-snort-rules_5549.
Análise Forense – Página 19 de 49
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549
https://digital-forensics.sans.org/community/papers/grem/reverse-engineering-wannacry-worm-anti-exploit-snort-rules_5549
Mesmo outros crimes tecnologicamente mais simples deixam vestígios
materiais no computador, telefone ou outro dispositivo digital, que podem ser
resgatados a partir da perícia. Exemplo: Logs de acesso a páginas na internet,
e-mails, pesquisas no Google, localização e posicionamento, transações bancárias
etc.
Indícios
Indícios são decorrentes de fatos, sinais, marcas ou vestígios, conhecidos
e provados, que por sua relação necessária com outro fato provam ou levam a
Análise Forense – Página 20 de 49
presumir a sua existência . São circunstâncias conhecidas e provadas que, tendo15
relação com um fato, permitem concluir a seu respeito.16
Espera-se, portanto, que a perícia possa demonstrar possíveis relações
entre vestígios ou evidências de um crime, e desse ponto possibilite a compreensão
da sua dinâmica e execução. Ainda que não se permita fornecer prova cabal do seu
cometimento, que ela forneça indícios suficientes que possam levar a comprovação
da sua autoria
Exame de Corpo de Delito
Ao contrário do que popularmente se pensa sobre o termo, exame de Corpo
de Delito não se refere a autópsia ou análise física de um cadáver. Ainda que esse
exame possa fazer parte do conceito, Corpo de Delito compreende o conjunto de
elementos ou evidências materiais (aquilo que se pode ver, tocar, medir etc.), que, a
partir de exame pericial, servirão como suporte para estabelecer materialidade e
autoria de um crime. Refere-se ao exame pericial, realizado sobre vestígios
materiais. Nos casos em que houver vestígios, a ausência do exame de corpo de
delito pode até causar a nulidade do processo . Além disso, deve-se cuidar para17
que exames realizados no local do crime não alterem o “estado das coisas” até a
chegada do perito . Esse é o motivo pelo qual inclusive não se deve, por exemplo,18
instalar programas em um computador para sua análise forense, preservando,
18 Art 160 - CPP.
17 Art 564 - CPP.
16 Art.239 CPP.
15 RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra / Luzzatto, 1996. ISBN
8524104910.
Análise Forense – Página 21 de 49
assim, o máximo possível, o seu estado original, conforme demonstraremos nas
seções seguintes.
Análise Forense – Página 22 de 49
Capítulo 2. Tratamento de Evidências
Nesse momento, é importante apresentar a norma ISO 27037. Ela traz
diretrizes para identificação, coleta, aquisição e preservação de evidência digital e
outras definições importantes, como a distinção entre o processo de coleta e
aquisição, conforme demonstrado a seguir:
▪ Coleta: processo de recolhimento dos objetos e ou itens que possam conter
potencial evidência digital.
▪ Aquisição: processo de criação de cópia de dados. Imagem ou
espelhamento do conteúdo de dispositivos de armazenamento. Utilizada para
gerar uma cópia digital da evidência, garantindo a preservação do dispositivo
em análise no seu estado original .19
▪ Dispositivo digital: qualquer mídia ou equipamento eletrônico/telemático
utilizado para armazenar ou processar dados digitais
▪ Dados voláteis: dados que são especialmente propensos a alteração e que
podem ser facilmente modificados
Um dos principais tópicos abordados pela norma, refere-se aos
procedimentos a serem tomados no primeiro contato com uma evidência. Esse é o
trabalho do First Responder, conforme detalhado a seguir.
19 Estritamente falando, conforme demonstrado acima, coleta e aquisição são termos distintos que se
referem a obtenção da evidência por meio físico ou digital. No decorrer deste texto, algumas vezes
você vai encontrar estes termos utilizados, coloquialmente, como sinônimos, referindo-se
indistintamente a extração dos dados ou remoção de um dispositivo.
Análise Forense – Página 23 de 49
2.1. First Responder
Tal qual o próprio nome sugere, First Responder é a primeira pessoa a
chegar à cena do crime ou local de uma emergência. Também conhecido pela sigla
em inglês DEFR (Digital Evidence First Responder), ele é o responsável por
identificar, isolar e proteger este ambiente, para garantir a preservação de
evidências, que muitas vezes podem ser frágeis ou temporárias. O DEFR é a
pessoa que realiza os primeiros procedimentos a serem executados no tratamento
de um incidente. É o responsável pela coleta, aquisição e manuseio das evidências.
Ele pode ser um policial/investigador, um perito ou mesmo um administrador de uma
rede.
Os principais papéis do First Responder são:
▪ Isolar, identificar e proteger ativos, um local ou ambiente;
▪ Fotografar ou filmar equipamentos e a “cena do crime”;
▪ Preservar as evidências, especialmente as mais frágeis ou voláteis;
▪ Coletar e documentar informações iniciais sobre o incidente;
▪ Garantir a correta coleta e transporte de evidências.
Sua atuação é muito importante para não comprometer os trabalhos da
perícia, já que tal qual o próprio criminoso, ao interagir com o ambiente pode
involuntariamente gerar ou alterar vestígios e modificar aspectos importantes das
evidências, invalidando até mesmo a prova pericial.
Análise Forense – Página 24 de 49
Em contato com as evidências, muitas vezes o First Responder pode
cometer erros pequenos, que geram, porém, grande impacto na perícia, por
exemplo:
▪ Desligar ou reiniciar o computador/dispositivo da vítima;
▪ Manusear incorretamente ou utilizar programas nos dispositivos sob análise;
▪ Não documentar suas ações ou o processo de coleta de dados.
Em sua análise inicial, o perito deve, portanto, atentar-se para esses
cuidados, documentando todos os seus procedimentos para evitar a modificação ou
a destruição de evidências. A relação abaixo apresenta os passos que o perito deve
seguir em seu “contato” inicial com a evidência:
▪ Remover cabo de rede ou colocar dispositivos móveis em modo avião, para
garantir que nenhum procedimento de wipe ou exclusão de dados possa ser
acionado remotamente;
▪ Analisar se há algum processo suspeito em execução que possa estar
realizando a criptografia ou exclusão dos dados;
▪ Realizar um dump ou coleta dos dados armazenados em memória RAM;
▪ Analisar logs, estado de conexões de rede, programas e processosem
execução;
▪ Se não for possível a coleta (remoção do dispositivo), realizar a aquisição dos
dados através de imagem bit a bit com geração do seu respectivo hash;
▪ Jamais instalar programas no dispositivo, ou mesmo executar/abrir arquivos
diretamente no equipamento;
Análise Forense – Página 25 de 49
▪ Executar programas somente a partir do seu “flash drive forense”;
▪ Utilizar preferencialmente um checklist para orientar suas ações sempre,
detalhando e documentando todos os passos e procedimentos realizados.
2.2. Coletando a evidência
Conforme apresentado anteriormente, o processo de coleta compreende a
obtenção de objetos que possam conter potencial evidência digital. Trata-se
efetivamente do recolhimento dos itens físicos, que serão posteriormente
submetidos à análise em laboratório. Caberá ao First Responder avaliar e decidir o
melhor procedimento, considerando sua capacitação para remover o dispositivo,
além de outras variáveis como custo, tempo e preservação da evidência, ou optar
pelo processo de aquisição dos dados.
Além da coleta dos dispositivos digitais, deverão ser recolhidos do local
outros objetos, observando-se sempre os cuidados necessários para preservação
das evidências. Toda abordagem deve ser documentada.
Caso o dispositivo seja encontrado ligado, independente da realização da
coleta, sempre que possível recomenda-se a realização do procedimento de
aquisição dos dados, sobretudo, para preservação das informações voláteis,
conforme detalhado a seguir.
2.3. Aquisição
Segundo a ISO 27037, o processo de aquisição envolve a geração de uma
cópia digital da evidência, com a respectiva documentação dos métodos e dos
Análise Forense – Página 26 de 49
procedimentos realizados neste processo. Esses procedimentos devem ser
reproduzíveis por outro perito e gerar a menor alteração possível na evidência.
O procedimento de aquisição deve produzir uma cópia digital da evidência,
certificada através do uso de funções de verificação, de modo tal que produza um
mesmo hash que a evidência original. Em situações em que esse processo de
verificação não puder ser realizado, o First Responder deverá documentar o método
utilizado, justificar o fato e eventuais procedimentos escolhidos.
Em algumas situações, pode não ser possível a criação de uma cópia digital
da evidência, em função do volume de dados nela contido. Nesse caso, o DEFR
deverá realizar uma “aquisição lógica” dos dados, tendo como objetivo o registro e a
preservação de dados específicos de determinadas partes de um disco ou diretório,
por exemplo. Em qualquer caso, não sendo possível o vínculo do hash entre a
evidência e a sua cópia digital, todo o procedimento e os motivos deverão ser
documentados e justificados.
Live Aquisition: desligar ou não desligar
Diante da prática inicial de uma coleta ou aquisição, é frequente o
questionamento sobre manter ou não um dispositivo ligado. Isso porque desligá-lo
pode significar a perda de dados voláteis ou até mesmo impossibilitar um acesso
posterior, já que em uma nova inicialização, o dispositivo pode ser protegido por
senha ou criptografia. Por outro lado, não desligar o equipamento pode implicar em
permitir a exclusão ou modificação de algum dado, por meio de procedimento
remoto ou programa/script local em andamento.
Encontrando o sistema ligado e com acesso ao sistema operacional, é
importante o perito coletar, por exemplo:
Análise Forense – Página 27 de 49
▪ Data e hora do sistema;
▪ Conexões de rede;
▪ Portas abertas;
▪ Usuários logados;
▪ Processos, serviços ou aplicativos em execução;
▪ Tarefas agendadas;
▪ Arquivos abertos;
▪ Cookies e histórico de navegação;
▪ Cache e outras informações do browser;
▪ Favoritos;
▪ Logs em geral;
▪ Wipe da memória RAM.
A simples, mas muitas vezes negligenciada, inspeção, por exemplo, do
histórico de comandos e conteúdo armazenado na área de transferência pode
revelar detalhes importantes sobre o recente uso do dispositivo, incluindo eventuais
tentativas de ocultar provas.
Mesmo suspeitando-se de algum procedimento de wipe em execução, que
não possa ser interrompido por outro meio, não se deve desligar o computador
através dos procedimentos habituais. Isso porque o desligamento a partir de
procedimentos comandados pelo sistema operacional, ocasiona a limpeza e
remoção dos dados armazenados na área de swap do disco. O swap é uma área de
Análise Forense – Página 28 de 49
memória disponível nos discos rígidos, utilizada como um recurso adicional do
sistema para armazenar temporariamente conteúdos que estariam guardados na
RAM, mas que foram movidos para o HD em função da necessidade de espaço.
Comportando-se como uma extensão da RAM no disco, esta área pode conter
importantes informações sobre o estado atual da máquina, que se perdem com o
desligamento tradicional.
Nesses casos, portanto, a recomendação é remover o cabo de força, o que
ocasionaria a manutenção dos dados de swap no disco para posterior análise. Vale
lembrar que o procedimento de remoção do cabo pode causar outros problemas,
devendo, portanto, ser utilizado somente em situações extremas, quando, por
exemplo, o perito suspeitar de criptografia, wipe ou exclusão de dados em
andamento.
2.4. Cadeia de custódia
Segundo a ISO 27037, a cadeia de custódia compreende o registro
documental de toda a cronologia de movimentação de um vestígio. Esse
documento deve ser criado no momento seguinte à coleta ou aquisição da evidência
e deverá conter todo o seu histórico de localização e manuseio, desde o momento
em que foi obtido até o seu estado atual. Ele detalha os responsáveis pela sua
guarda ou retirada, mantendo o registro completo de sua movimentação desde a
coleta. “O propósito de manter o registro de cadeia de custódia é manter a
identificação do acesso e movimento da potencial evidência digital a qualquer
tempo” .20
20 ISO 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital
evidence, página 11, tradução livre.
Análise Forense – Página 29 de 49
Segundo a ISO 27097, o registro da cadeia de custódia deverá conter as
seguintes informações:
▪ Identificador único da evidência;
▪ Quem acessou a evidência e o tempo e local em que ocorreu;
▪ Quem checou a evidência interna e externamente nas instalações de
preservação da evidência e quando isto ocorreu;
▪ Motivo de a evidência ter sido verificada (qual caso e propósito) e a
autoridade relevante, se aplicável;
▪ Quaisquer alterações inevitáveis da potencial evidência digital, assim como o
nome do indivíduo responsável para tanto e a justificativa para a introdução
da alteração;
Figura 6 – Formulário de cadeia de custódia.
Análise Forense – Página 30 de 49
Fonte:
http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.ht
ml.
Análise Forense – Página 31 de 49
http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html
http://atoxicologiaufsj.blogspot.com/2011/11/toxicologia-forense-uso-e-importancia.html
Capítulo 3. Adquirindo e Coletando dados
3.1. Live Analysis
A Live Analysis ou análise ao vivo acontece no momento do contato inicial
com a evidência. Tem como objetivo obter sua “fotografia” e compreensão da tal
qual o estado em que foi encontrada. Na Live Analysis, as evidências são obtidas
com o sistema em execução.
Nesse tipo de trabalho, o perito poderá obter importantes informações sobre
o dispositivo em análise através dos seguintes recursos:
▪ Análise de logs, processos e informações obtidas a partir do Sistema
Operacional;
▪ Dump de memória;
▪ Dados do disco, obtidos por meio de uma aquisição lógica.
Conforme mencionado acima, para evitar o cometimento de erros,
recomenda-se que o perito observe uma cronologia de passos nas suas atividades.
A construção dessa rotina pode ser feita individualmente, mas recomenda-se, no
mínimo, observar as seguintes práticas:
Documentar data e hora: ao iniciar sua atividade, o peritodeverá
documentar a data e hora local, bem como gravar um registro com a hora do
sistema.
Utilizar um flash drive forense: no momento em que iniciar a análise de
um dispositivo, o perito deverá utilizar sempre programas que modifiquem o mínimo
Análise Forense – Página 32 de 49
possível o estado da memória. Além disso, em hipótese alguma deverá instalar ou
executar programas diretamente no objeto que será periciado.
Realizar um dump da memória: durante a sua execução, os programas
carregam muitos dados importantes na memória RAM. Coletar esses dados para
posterior análise pode representar uma parte vital da perícia.
Utilize uma mídia completamente limpa: para gravar os dados coletados,
recomenda-se utilizar uma mídia completamente limpa. Isso é, um dispositivo que
tenha tido todos os dados excluídos, com a sobrescrita de zeros no seu conteúdo.
Registre o hash: somente o registro do hash dos programas utilizados, dos
arquivos e conteúdos extraídos, scripts e dump de memória, pode garantir a
inquestionável correspondência entre os dados periciados e aqueles contidos no
dispositivo em análise.
No procedimento de “live aquisition”, popularmente chamado de aquisição
“a quente” ou “online”, deve-se priorizar a coleta das evidências, segundo a sua
volatilidade, conforme recomendações da RFC 3227.
▪ CPU, cache de memória e registros;
▪ Tabelas de roteamento;
▪ Cache ARP;
▪ Estado do processo e processos em execução;
▪ Módulos e estatísticas do kernel;
▪ Memória principal (RAM);
Análise Forense – Página 33 de 49
▪ Arquivos de sistema temporários;
▪ Arquivos de swap;
▪ Configuração e conexões de rede;
▪ Configurações do sistema;
▪ Histórico de comandos;
▪ Arquivos abertos, dados da área de transferência e usuários conectados;
▪ O sistema de arquivos.
3.2. Dump de memória
Dados contidos na RAM são considerados voláteis, já que são perdidos
quando a máquina/dispositivo é desligada. Por sua natureza dinâmica e temporária,
também são apagados ou sobrescritos de acordo com o próprio uso do sistema,
motivo pelo qual até mesmo o programa utilizado para coletar o conteúdo da RAM
deve ser o mais leve e menos intrusivo possível, para não modificar de modo
relevante o conteúdo já existente em memória. Essas alterações devem ser bem
documentadas para evitar a destruição de suas evidências legais. A aquisição ao
vivo geralmente faz as seguintes modificações em qualquer máquina Windows:
▪ Alterações no registro;
▪ Entradas de memória;
▪ Gravação pequena de dados em uma unidade de disco.
Análise Forense – Página 34 de 49
No Windows, uma ferramenta fácil de usar e pouco intrusiva é o Dumpit. Ela
é uma fusão de duas ferramentas confiáveis, win32dd e win64dd, combinadas em
um único executável, que pode ser executado a partir de um pendrive. 
Outra ferramenta bastante utilizada é o FTK Imager. Todavia, mesmo em
sua opção “portable”, por ser uma ferramenta gráfica, acabará modificando um
pouco mais o estado da memória, quando executada.
Em sistemas Linux mais antigos, o comando dd pode ser usado para ler o
conteúdo da memória física no arquivo do dispositivo /dev/mem. Entretanto, em
sistemas Linux recentes (kernel 2.6 em diante), o /dev/mem fornece acesso apenas
a um intervalo restrito de endereços em vez da memória física completa do
sistema. Para tal, é necessário utilizar o fmem, um módulo do kernel que cria o
dispositivo /dev/fmem, semelhante ao /dev/mem, mas sem limitações
3.3. Aquisição de disco
Antes de prosseguirmos, é importante destacarmos dois procedimentos
distintos para tratamento/obtenção de dados não voláteis: “Live Aquisition” e “Dead
Aquisition”.
Na primeira situação, o perito coleta os dados a partir do computador ligado,
tal qual ele foi oportunamente encontrado no momento da apreensão ou do trabalho
do First Responder. Na “dead/offline aquisition”, o dispositivo é desligado, removido
e coletado para análise em laboratório.
A escolha entre um método ou outro deve ser baseada na análise do perito.
Um dos principais parâmetros a ser considerado neste caso é a presença ou não de
criptografia, volume dos dados e criticidade dos sistemas.
Análise Forense – Página 35 de 49
http://www.forensicswiki.org/wiki/Physical_memory
Atualmente, existe uma grande variedade de ferramentas, inclusive de uso
livre, para aquisição de dados:
▪ Imager FTK;
▪ Encase Forensics;
▪ X-Ways Forensics;
▪ ProDiscover;
▪ Guymager;
▪ SMART Linux;
▪ Macquisição.
Na escolha da ferramenta, a recomendação é utilizar aquela que menos
modifica dados na memória. Atualmente, as duas principais ferramentas para
geração de imagens de disco são o EnCase Enterprise, da Guidance Software, ou o
FTK Imager, do AccessData . Apresentamos a seguir uma breve descrição do FTK21
Imager.
FTK IMAGER:
O FTK Imager é uma ferramenta desenvolvida pela AccessData
(www.accessdata.com), que permite a criação e posterior visualização de uma
imagem forense dos dados. Usando o FTK, você pode visualizar imagens forenses
de discos rígidos, disquetes, CDs, DVDs e outras mídias de armazenamento criadas
com o próprio FTK Imager, ou pode visualizar imagens criadas com outras
ferramentas em diferentes formatos. Isso significa que, mesmo que outra
21 https://www.sciencedirect.com/topics/computer-science/forensic-acquisition.
Análise Forense – Página 36 de 49
http://www.accessdata.com
http://www.guidancesoftware.com
http://www.x-ways.net
https://www.techpathways.com/
http://guymager.sourceforge.net/
http://www.asrdata.com
http://www.blackbagtech.com
https://accessdata.com/
https://www.sciencedirect.com/topics/computer-science/forensic-acquisition
organização ou pessoa com software diferente tenha criado uma imagem forense,
você ainda poderá visualizar o arquivo de imagem e determinar se ele contém
alguma evidência.
Com o FTK Imager você poderá escolher entre a geração de uma imagem
física ou lógica do dispositivo. No primeiro caso, o programa vai gerar uma cópia
completa, bit a bit de todos os clusters ou conteúdo do HD. Imagens lógicas, por sua
vez, são geradas a partir de partes específicas do disco, selecionadas pelo usuário
no momento da sua geração, e que são, portanto, reconhecidas pelo sistema de
arquivo em uso, por exemplo, uma unidade lógica a:\, b:\ ou c:\.
O FTK Imager possibilita os seguintes tipos de imagem, conforme
relacionado abaixo e ilustrado a seguir:
▪ Unidade física: permite escolher uma unidade física como fonte, com todas
as partições e espaço não alocado.
▪ Unidade lógica: permite escolher uma unidade lógica como fonte, por
exemplo, E: \ drive.
▪ Arquivo de imagem: permite escolher um arquivo de imagem como fonte,
por exemplo, se você precisar converter sua imagem forense de um formato
para outro.
▪ Conteúdo de uma pasta: permite escolher uma pasta como fonte.
Obviamente nenhum arquivo excluído será incluído.
▪ Dispositivo Fernico: permite restaurar imagens de vários CD / DVDs.
Análise Forense – Página 37 de 49
Figura 7 – Tipos de imagem.
Análise Forense – Página 38 de 49
Dead/Offline Aquisition:
Conforme discutido anteriormente, em muitas situações pode não ser
possível ou recomendado realizar uma “live Aquisition”. Nesses casos, o perito
deverá coletar a mídia/dispositivo e realizar a aquisição dos dados para geração da
imagem em laboratório.
Esse procedimento geralmente é feito conectando-se o dispositivo que será
analisado a uma estação forense. Esse equipamento pode ter diferentes
configurações e sistemas operacionais, sendo que alguns fabricantes comercializam
appliances especificamente construídos para essa finalidade. São os chamados
Análise Forense – Página 39 de 49
FREDs (Forensic Recovery of Evidence Device). Trata-se de hardwares com
softwares e recursos especiais para facilitar o trabalho de duplicação e extração de
discos, telefones etc. Esses equipamentos possuem hardwares de última geração e
uma série de interfaces para captura de discos SATA, IDE, SSD etc. Vale lembrar
sempre a importância dese utilizar entre a estação forense e a evidência objeto da
extração dos dados, um dispositivo bloqueador de escrita. Com esse procedimento,
garante-se a preservação da evidência em seu estado original, evitando possíveis
acessos de escrita aos dispositivos feitos pelo Sistema Operacional, sem o
conhecimento ou consentimento do usuário.
A figura a seguir ilustra alguns dispositivos duplicadores de mídia.
Figura 8 – FRED.
Análise Forense – Página 40 de 49
Fonte: http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/.
https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en.
Análise Forense – Página 41 de 49
http://advanceit.biz/home/products/forensic-tools/forensic-systems/fred-l/
https://www.insectraforensics.com/Digital-Intelligences-FRED-DX/en%20//
Capítulo 4. Análise Forense
Nessa unidade, apresentamos as ferramentas utilizadas na disciplina . Nas22
próximas seções, você conhecerá alguns exemplos de softwares utilizados para
geração da imagem forense, dump de memória, análise de redes, forense de disco
etc. Vale lembrar que, por questões didáticas, detalhes de funcionamento,
operação, comandos e uso das ferramentas são apresentados nos vídeos da
disciplina.
4.1. Dump de Memória
Para realização do dump de memória RAM, apresentamos dois aplicativos:
Ftk Imager Lite e o Dumpit.
FTK Imager Lite:
O FTK Imager é um produto da accessdata, presente na suíte FTK.
Segundo o próprio fabricante, seu Foresic ToolKit permite aumentar a velocidade
das análises. “Poderoso e comprovado, o FTK processa e indexa dados
antecipadamente para uma pesquisa mais rápida. Diferentemente de outras
soluções, o FTK usa um banco de dados de casos compartilhados, reduzindo o
custo e a complexidade de vários conjuntos de dados.”
O FTK Imager é especificamente a aplicação que faz a geração da imagem
de disco também, sendo utilizado para dump de memória. A versão Lite refere-se a
22 As descrições das ferramentas são baseadas nas apresentações e comentários da internet, de
seus próprios fabricantes oficiais, acrescidas de observações práticas complementares, realizadas
pelo autor da disciplina.
Análise Forense – Página 42 de 49
sua apresentação portable, portanto executável a partir de mídia externa. Há de se
destacar, porém, que se tratando de uma aplicação gráfica, para a atividade de
dump de memória, a sugestão é avaliar o uso de ferramentas o mais leves quanto
possível, como por exemplo o DUMPIT. https://accessdata.com/.
Dumpit:
“Este utilitário é usado para gerar um despejo de memória física de
máquinas Windows. Ele funciona com máquinas x86 (32 bits) e x64 (64 bits). O
despejo de memória bruta é gerado no diretório atual, apenas uma pergunta de
confirmação é solicitada antes de iniciar. Perfeito para flash drives forense, para
obter respostas rápidas a incidentes.”
Volatility:
Para análise dos dumps coletados, utilizamos nesta disciplina o Volatility.
Volatility é um framework forense para análise de memória, de código aberto para
resposta a incidentes e análise de malware. Está escrito em Python e suporta
Microsoft Windows, Mac OS X e Linux. O Volatility é mantido pela Volatility
Foundation, uma organização sem fins lucrativos, independente, que mantém e
promove a análise forense de memória de código aberto.
https://www.volatilityfoundation.org/.
Diversos exemplos de casos e materiais para análise de memória podem
ser encontrados em: https://github.com/volatilityfoundation/volatility/wiki.
4.2. Análise forense de imagem de disco
Análise Forense – Página 43 de 49
https://accessdata.com/
https://www.volatilityfoundation.org/
https://github.com/volatilityfoundation/volatility/wiki
Para análise da imagem de disco, utilizamos na disciplina o Authopsy.
Trata-se de uma ferramenta gráfica, extensível, que suporta a adição de diversos
plugins específicos para análises do histórico de navegação, arquivos recentes,
chaves de registro, contatos de telefone, e-mail, WhatsApp etc.
Por permitir o uso centralizado, os peritos podem trabalhar
simultaneamente, “tagueando” arquivos/evidências e compartilhando observações
sobre os casos.
Segundo o fabricante, o Autopsy® é a principal plataforma forense digital de
código aberto de ponta a ponta. Criada pela Basis Technology, com os principais
recursos que você espera em ferramentas forenses comerciais, a Autopsy é uma
solução rápida, completa e eficiente de investigação em disco rígido, que evolui de
acordo com suas necessidades.
4.3. Forense na nuvem
Para forense de dados armazenados na nuvem, três abordagens principais
são possíveis:
▪ Obtenção dos dados a partir de requisição judicial ao provedor do serviço;
▪ Verificação dos itens de sincronismo com a nuvem nas estações de trabalho;
▪ Acesso às plataformas com suporte de senhas e ferramentas.
A análise a partir da requisição realizada ao provedor do serviço, quase
sempre é a mais complexa e demorada. Isso porque além de todos os trâmites
legais necessários à sua realização, muitas vezes, os provedores não têm mais os
dados requisitados ou até mesmo se negam a fornecê-los. É verdade que tratados
Análise Forense – Página 44 de 49
internacionais forneceram acordos para o fornecimento dos dados, na mesma
medida que o marco civil da internet previu o tempo mínimo em que os dados e logs
devem ser armazenados pelos provedores. Todavia, em muitos casos, pelos
motivos expostos, o que se vê, sobretudo, em plataformas globais ou internacionais,
é que o fornecimento desses dados pelos próprios provedores, embora viável e
possível, não é uma solução trivial.
A obtenção dos dados contidos na nuvem a partir das pastas de
sincronização do usuário, muito provavelmente, é o método mais fácil para obtenção
dos dados armazenados nestes serviços. Todavia, embora representem um espelho
do conteúdo, dependem da manutenção de um sincronismo e não representam
efetivamente uma forense na nuvem, uma vez que o conteúdo obtido tem origem no
próprio dispositivo do suspeito.
Por fim, a análise forense em nuvem pode ser obtida através do suporte de
ferramentas, que acessam os serviços e organizam os dados em uma apresentação
amigável ao perito. Nesse caso, a maioria dos softwares necessita da senha de
logon nos serviços para realizar este trabalho. Essa foi a abordagem utilizada nesta
disciplina. Para obtenção da senha, recorreu-se a uma análise hexadecimal ao
dump de memória. Tendo-se obtido login e password dos serviços do Google, a
ferramenta Elcomsoft Cloud Explorer foi utilizada para gerar um “takeout archive”
dos dados do usuário contidos no Google.
4.4. Análise de redes
A principal ferramenta utilizada para captura de tráfego de rede, atualmente,
é o Wireshark. O Wireshark é o analisador de protocolo de rede mais utilizado e
amplamente utilizado no mundo. Ele permite que você veja o que está acontecendo
Análise Forense – Página 45 de 49
na sua rede em um nível microscópico e é o padrão de fato (e geralmente de jure)
em muitas empresas comerciais e sem fins lucrativos, agências governamentais e
instituições educacionais. O desenvolvimento do Wireshark prospera graças às
contribuições voluntárias de especialistas em redes ao redor do mundo e é a
continuação de um projeto iniciado por Gerald Combs em 1998.
O Wireshark possui um rico conjunto de recursos que inclui o seguinte :23
▪ Inspeção profunda de centenas de protocolos, com mais sendo adicionados o
tempo todo;
▪ Captura ao vivo e análise off-line;
▪ Navegador de pacotes de três painéis padrão;
▪ Multiplataforma: executa no Windows, Linux, macOS, Solaris, FreeBSD,
NetBSD e muitos outros;
▪ Os dados de rede capturados podem ser navegados por uma GUI ou pelo
utilitário TShark no modo TTY;
▪ Os filtros de exibição mais poderosos do setor;
▪ Análise de VoIP avançada:
‒ (...)
‒ A saída pode ser exportada para XML, PostScript®, CSV ou texto sem
formatação.
23 https://www.wireshark.org/
Análise Forense – Página 46 de 49
https://www.wireshark.org/
4.5.Análise de malware
Dentre as atividades mais desafiadoras da forense, a análise de malware
pode ser feita de duas formas básicas: estática ou dinâmica.
A análise estática é feita a partir de amostras do malware, porém apenas se
executar o código. O objeto de estudo ou exame neste caso é o hash e outras
assinaturas do arquivo. O malware é avaliado em engenharia reversa por meio da
linguagem assembly e seu código hexadecimal. Desse modo, são avaliadas as
instruções e as operações de memória, empacotamento do código, entre outras.
Na análise dinâmica, envolve a avaliação do malware durante a sua
execução em um ambiente controlado. O malware é executado em uma sandbox e
todos os desdobramentos de sua operação são estudados e avaliados neste
ambiente, com o propósito de entender o seu funcionamento e comportamento.
No contexto da disciplina, será realizada uma análise estática, utilizado o
volatility para identificar um malware carregado na memória.
Análise Forense – Página 47 de 49
Referências
CARNEIRO, Adeneele Garcia. Crimes virtuais: elementos para uma reflexão sobre o
problema na tipificação. Âmbito Jurídico, 2021. Disponível em:
<https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-um
a-reflexao-sobre-o-problema-na-tipificacao/>. Acesso em: 13 abr. 2021.
CASE, Andrew. Volatility. GitHub, 2020. Disponível em:
<https://github.com/volatilityfoundation/volatility/wiki>. Acesso em: 13 abr. 2021.
ELEUTÉRIO, Pedro M. da Silva; MACHADO, Márcio Pereira. Desvendando a
Computação Forense. 1. ed. São Paulo: Novatec, 2011.
JESUS, Damásio E. de. Direito Penal. Parte Geral. 21.ed., São Paulo: Saraiva,
1998.
MIRABETE, J. F. Código de processo penal interpretado. 7. ed. São Paulo: Atlas,
2000.
PESSOA, Fabrício Lana. Descomplicando a Perícia Computacional Forense. Belo
Horizonte: Edição Própria, (no prelo).
RABELLO, Eraldo. Curso de Criminalística. Porto Alegre: Sagra/Luzzatto, 1996.
SCHMIDT, Guilherme. Crimes Cibernéticos. Jusbrasil, 2015. Disponível em:
<https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos>.
Acesso em: 13 abr. 2021.
STUMVOLL, Victor Paulo. Criminalística. Ed. Millennium, 2014.
Superior Tribunal de Justiça. Justiça usa Código Penal para combater crime virtual.
Jusbrasil, 2009. Disponível em:
Análise Forense – Página 48 de 49
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
https://ambitojuridico.com.br/edicoes/revista-99/crimes-virtuais-elementos-para-uma-reflexao-sobre-o-problema-na-tipificacao/
https://github.com/volatilityfoundation/volatility/wiki
https://gschmidtadv.jusbrasil.com.br/artigos/149726370/crimes-ciberneticos
<https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-
crime-virtual>. Acesso em: 13 abr. 2021.
VELHO, Jesus Antônio. Org. Tratado de Computação Forense. São Paulo,
Millennium Editora, 2016.
VELHO, Jesus Antonio; GEISER, Gustavo Caminoto; ESPÍNDULA, Alberi. Ciências
Forenses: uma introdução às principais áreas da criminalística moderna. Ed.
Millennium, 2012.
Análise Forense – Página 49 de 49
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual
https://stj.jusbrasil.com.br/noticias/234770/justica-usa-codigo-penal-para-combater-crime-virtual

Outros materiais