COMPUTAÇÃO-FORENSE

Prévia do material em texto

1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 
 
SUMÁRIO 
1 INTRODUÇÃO ..................................................................................... 4 
2 CONCEITOS DE FORENSE COMPUTACIONAL ............................... 5 
2.1 Isolamento, coleta e preservação ................................................. 5 
2.2 Coleta ............................................................................................ 7 
2.3 Exame ........................................................................................... 8 
2.4 Análise .......................................................................................... 9 
2.5 Resultado .................................................................................... 10 
2.6 Exames e documentos processuais ............................................ 11 
2.7 Computador ................................................................................ 12 
2.8 Sites ............................................................................................ 13 
2.9 Mensagens eletrônicas (e-mails) ................................................ 13 
2.10 Aparelhos móveis (celulares) ...................................................... 14 
2.11 Redes de computadores ............................................................. 15 
2.12 Internet das Coisas (IoT) ............................................................ 16 
2.13 Banco de dados .......................................................................... 16 
3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS .......... 20 
3.1 Aspectos Jurídicos em Computação Forense ............................. 23 
3.2 Lab de Computação Forense: Preservação e Análise da Prova 
Digital 26 
3.3 Duplicação de dados de forma forense ....................................... 27 
3.4 Processamento e Análise dos Dados ......................................... 28 
3.5 The Sleuth Kit e Autopsy ............................................................. 29 
3.6 Princípios da Recuperação de Evidências Digitais ..................... 32 
3.7 Técnicas de Recuperação de Arquivos Apagados ...................... 32 
 
 
3 
 
3.8 Perícias em Dados Voláteis ........................................................ 35 
3.9 Técnicas Antiforenses e Anti-Antiforenses .................................. 37 
3.10 Wipe ou Sanitarização de Dados ................................................ 37 
3.11 Criptografia e Quebra de Senhas ............................................... 39 
3.12 Ataques a Dados Criptografados ................................................ 39 
3.13 Esteganografia e Esteganálise ................................................... 42 
4 BIBLIOGRAFIA .................................................................................. 44 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4 
 
1 INTRODUÇÃO 
 
Prezado aluno! 
 
 O Grupo Educacional FAVENI, esclarece que o material virtual é 
semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase 
improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor 
e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado. 
O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos 
ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar, 
as perguntas poderão ser direcionadas ao protocolo de atendimento que serão 
respondidas em tempo hábil. 
Os cursos à distância exigem do aluno tempo e organização. No caso da 
nossa disciplina é preciso ter um horário destinado à leitura do texto base e à 
execução das avaliações propostas. A vantagem é que poderá reservar o dia da 
semana e a hora que lhe convier para isso. 
 A organização é o quesito indispensável, porque há uma sequência a ser 
seguida e prazos definidos para as atividades. 
 
Bons estudos! 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
2 CONCEITOS DE FORENSE COMPUTACIONAL 
2.1 Isolamento, coleta e preservação 
 
Com a evolução da internet, as pessoas ao redor do mundo passaram a 
usar a maior rede de computadores mundial não apenas para se comunicar, mas 
também para realizar tarefas do seu dia a dia. Atualmente, as pessoas fazem 
compras on-line em supermercados, farmácias e grandes redes varejistas, além de 
realizar diversas transações financeiras pela internet, relativas a serviços públicos 
e privados. Tudo isso acontece por meio de computadores pessoais, corporativos, 
celulares e tablets. Assim, embora tenha muitos pontos positivos, esse novo 
comportamento abre uma grande janela para o crime digital, tornando as pessoas 
mais vulneráveis (KOZCIAK, 2020). 
Os vestígios de um crime são a chave que permite aos peritos criminais 
buscar informações que se tornem evidências e, posteriormente, provas judiciais. 
Nos casos de crimes digitais, o analista ou perito forense é o profissional 
responsável pela preservação, pelo levantamento de dados e pela análise de 
evidências, por meio do uso de técnicas e ferramentas. Apesar da vasta quantidade 
de crimes realizados no ambiente digital, não existem no mercado muitos 
profissionais especializados para atuar na área forense. Isso ocorre principalmente 
devido à qualificação exigida para a realização dessa atividade e à necessidade de 
o profissional forense ter dispositivos similares aos utilizados pelos criminosos 
digitais (KOZCIAK, 2020). 
Segundo Eleutério e Machado (2011, p. 16), diversos profissionais podem 
estar envolvidos em um procedimento forense computacional: “peritos particulares, 
auditores de sistemas, profissionais de TI e outros. Além disto, juízes, advogados, 
delegados, promotores e demais profissionais da área de Direito”. O analista ou 
perito forense deve conhecer profundamente as leis e ter conhecimentos técnicos 
relativos a sistemas operacionais, redes, programação e técnicas de coleta e 
análise de dados. 
 
 
6 
 
Apesar de o crime digital ocorrer em um ambiente virtual, ele é um crime 
como outro qualquer. Em todos os tipos de crime, parte-se da seguinte premissa: 
havendo vestígios a serem analisados, o exame pericial é obrigatório. É o que 
consta no Código Penal Brasileiro, art. 158: “Quando a infração deixar vestígios, 
será indispensável o exame de corpo de delito, direto ou indireto, não podendo 
supri-lo a confissão do acusado” (BRASIL, [1940]). 
Além dos conhecimentos técnicos, é de suma importância que o profissional 
forense tenha uma excelente postura comportamental, realizando análises isentas 
e imparciais. Como afirma Tomás (2009), o perito não deve ter antecedentes que 
possam levantar suspeitas a respeito do seu caráter e da sua ética profissional. 
Na investigação de crimes computacionais, há a necessidade intrínseca de 
busca e apreensão dos equipamentos. Para isso, é fundamental a prévia emissão 
de mandados de busca e apreensão pelos órgãos públicos competentes. Com o 
mandado em mãos, o perito faz a identificação do local, conduz a ele, seleciona os 
equipamentos e os apreende (KOZCIAK, 2020). 
 Durante todo o procedimento de investigação forense, o manuseio das 
informações deve ser realizado dentro de padrões, garantindo que os vestígios 
criminais sejam preservados para a correta análise (KOZCIAK, 2020). Para que o 
processo investigativo se inicie, é necessário: 
 
 possuir mídias esterilizadas ou uma nova mídia instalada, evitando 
possíveis contaminações; 
 utilizar ferramentas/softwares para análise forense devidamente 
licenciadas; 
 garantir que nenhuma fonte de dados seja alterada até a chegada 
do perito (caso haja alterações no ambiente, isso deve ser reportado 
no laudo); 
 fazer toda a análise por meio de imagem ou de disco duplicado, ou 
seja, o material original jamais deve ser manipulado (deve 
permanecer intacto); 
 
 
7 
 
 caso o equipamento esteja ligado, mantê-lo ligadopara evitar 
possíveis perdas de dados; 
 apresentar o resultado do exame pericial de forma clara, elucidativa 
e em uma linguagem acessível; 
 providenciar fotos e filmes do local onde ocorreu o crime, assim 
como cópias dos sites, para garantir a coleta de mais detalhes. 
 
Conforme Sousa (2016) apud Kozciak (2020)., as boas práticas em 
procedimentos periciais recomendam as fases listadas a seguir. 
 
2.2 Coleta 
 
O ambiente que receberá os dados coletados deve ser adequado a 
parâmetros que permitam a transferência fidedigna para a posterior análise. A parte 
de infraestrutura, como discos, deve estar funcionando corretamente. Em casos 
específicos, quando há orçamento suficiente, é possível copiar as informações. 
Para isso, podem ser utilizados duplicadores de disco ou soluções de software 
específicas para perícia (KOZCIAK, 2020). 
Ao final da fase de coleta, o dispositivo para o qual os dados foram copiados 
deve ser devidamente lacrado e armazenado em local apropriado até a Justiça 
autorizar o seu descarte ou a sua devolução. Nesse momento, deve ser preenchido 
o formulário de cadeia de custódia, com os dados dos equipamentos apreendidos, 
como: mídia, marca, modelo, número de série e disco rígido. A data, a hora e o 
responsável pelo manuseio e pelo processo forense também devem ser registrados 
(KOZCIAK, 2020). 
Na Figura 1, a seguir, veja um exemplo de um formulário de cadeia de 
custódia. A cadeia de custódia é uma das principais obrigações do perito e é um 
documento exigido nas análises forenses computacionais, funcionando como uma 
garantia de autenticidade do processo (KOZCIAK, 2020). 
 
 
8 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.3 Exame 
 
Essa etapa é considerada a mais trabalhosa da investigação. Isso se deve 
à quantidade de dados para análise, que geralmente têm diferentes formatos, como: 
arquivos criptografados, áudios, vídeos, imagens, arquivos compactados, entre 
outros. Os dados coletados na fase anterior devem ser recuperados e catalogados, 
 
 
 
 
9 
 
permitindo uma análise científica que não seja posteriormente questionada 
(KOZCIAK, 2020). 
O perito deve realizar uma investigação profunda dos fatos no sistema 
operacional, assim como considerar todas as hipóteses possíveis, como buscar 
arquivos que já tenham sido eliminados do sistema. Esse procedimento se chama 
data carving. De acordo com o National Institute of Standards and Technology 
(2014, p. 3, tradução nossa), carving é 
 
o processo de reconstrução de arquivos deletados, de um espaço de 
armazenamento não alocado, ou extração de arquivos embutidos em um 
contêiner de arquivos, baseada no conteúdo do arquivo; metadados do 
sistema de arquivos devem ser considerados de forma secundária ou 
completamente ignorados. 
 
2.4 Análise 
 
Nessa fase, o perito analisa os dados coletados e examinados nas fases 
anteriores. O objetivo é encontrar evidências que comprovem o crime digital. A 
análise pode ser a fase mais demorada de todas as que compõem a investigação 
(KOZCIAK, 2020). 
Dependendo do número de dados e arquivos envolvidos, é necessário 
identificar prioridades e definir o que será analisado. Caso contrário, o processo de 
análise pode ser inviável, devido ao tempo que se levará para analisar todos os 
documentos (KOZCIAK, 2020). 
Para analisar os arquivos criptografados, o perito deve utilizar algum 
programa de quebra de senha. Ele também pode fazer buscas na memória de 
acesso aleatório (Random Access Memory [RAM]) a fim de localizar as senhas 
digitadas. Além disso, existem fontes de consulta como a Biblioteca Nacional de 
Referência do Software (RDS), que consiste em assinaturas digitais de arquivos 
conhecidos e rastreáveis até sua origem. Esse tipo de ferramenta facilita o 
 
 
10 
 
procedimento e pode diminuir o número de arquivos que deverão ser analisados 
(KOZCIAK, 2020). 
 
2.5 Resultado 
 
Nessa etapa final, o perito redige o laudo pericial, apresentando provas e 
evidências, que deverão ser utilizadas nos processos judiciais. O laudo deve conter 
todos os detalhes que auxiliem o Judiciário na análise do crime. Ele deve ser claro 
e apresentar todas as evidências necessárias (KOZCIAK, 2020). 
No Quadro 1, a seguir, veja uma síntese dos procedimentos periciais 
 
 
 
 
 
 
  
  
  
  
  
  
 
  
  
  
  Documentar 
 
 
  
  
  
  Documentar 
 
 
  Redigir laudo 
  Anexar evidências e demais documentos 
 
 
 
11 
 
2.6 Exames e documentos processuais 
Na etapa de exames, o perito deve definir o modelo ideal de abordagem 
para cada tipo de caso, preservando sempre as condições iniciais, que vão garantir 
a melhor análise dos vestígios. Nessa etapa, os peritos têm acesso aos 
equipamentos apreendidos que foram violados ou que aplicaram qualquer tipo de 
violação legal. Assim, o objetivo dos profissionais é analisar, identificar e localizar 
todos os arquivos, sistemas e aplicativos que podem conter indícios de crimes 
(KOZCIAK, 2020). 
Veja o que Eleutério e Machado (2011, p. 51) destaca a respeito dos 
materiais questionados, ou seja, dos materiais apreendidos e submetidos a exames 
forenses: 
Os materiais questionados mais comuns nesse tipo de exame são os 
discos rígidos, seguidos pelos CDs e DVDs. No entanto, tais 
procedimentos devem ser seguidos para qualquer tipo de equipamento de 
armazenamento computacional, incluindo pen drives, cartões de memória, 
disquetes, blu-rays, entre outros a serem ainda inventados pelo homem. 
 
Um dos itens mais importantes em uma investigação criminal computacional 
é a identificação do IP (Internet Protocol) do criminoso. O IP é o número atribuído 
durante o tempo de conexão à internet. Esse número pertence a determinado 
acesso durante a conexão na rede de computadores mundial, porém, após a 
desconexão, ele é utilizado por outro usuário da internet. Por esse motivo, o perito 
precisa identificar a data e o horário da conexão, além do fuso horário e do provedor. 
Com base na identificação desses dados, o perito deve providenciar um mandado 
judicial para buscar, junto ao provedor, o responsável pela conexão no dispositivo 
em que foi cometido o crime (KOZCIAK, 2020). 
Para identificar o dispositivo utilizado para o crime, o perito precisa descobrir 
o endereço de controle de acesso à mídia, também chamado de “endereço MAC” 
(Media Access Control). Esse número identifica a placa de rede e é único para cada 
dispositivo (KOZCIAK, 2020). 
 
 
12 
 
 Independentemente do dispositivo utilizado para a realização do crime, 
durante a fase de exame, o perito deve buscar responder a quatro perguntas: o 
quê? Quando? Onde? Como? O exame pode ser realizado em diferentes tipos de 
dispositivos, com seus respectivos tipos de análise. A seguir, veja quais são os 
principais dispositivos (KOZCIAK, 2020). 
 
2.7 Computador 
 
 
Nesse caso, é necessário analisar toda a estrutura do equipamento, 
plataformas físicas ou servidores, buscando arquivos, dados e acessos que podem 
caracterizar vestígios de crimes digitais. O grande desafio é o acesso aos 
computadores utilizados, que podem estar em território nacional ou em outros 
países. Também é desafiador identificar os usuários e atentar ao sincronismo de 
horário e ao uso de criptografia complexa para manter o anonimato (FILHO, 2001). 
 
 
https://wmsit.com.br/ 
 
 
13 
 
O perito deve buscar: mensagens eletrônicas, imagens, planilhas, 
programas de computador, rastros de navegação, etc. Os principais tipos de crimes 
cometidos por meio desses dispositivos são: compartilhamento de arquivos de 
pornografia infantojuvenil, roubo de senhas (malware) e instalação de programas 
de roubo de dados bancários (FILHO, 2001). 
 
2.8 Sites 
 
Nesse caso, os peritos analisam sites existentes, avaliando conteúdos, 
publicações, domínio da internet e endereçoIP. Conforme Eleutério e Machado 
(2011, p. 20) apud Filho (2001)., o exame em sites consiste “principalmente na 
verificação e cópia de conteúdo existente na Internet, em sites e servidores remotos 
dos mais variados serviços. Além disso, trata-se da investigação do responsável por 
um domínio de um site e/ou endereço IP”. 
 O perito deve: identificar o serviço web, identificar o site hospedeiro, 
preservar as evidências, analisar as logs e analisar os aplicativos e serviços da rede. 
Os principais tipos de crimes cometidos por meio desses dispositivos são: ataques 
a sites, invasões, plágio, phishing (páginas falsas), malware, pornografia e furto de 
dados (FILHO, 2001). 
 
2.9 Mensagens eletrônicas (e-mails) 
 
 
A análise de mensagens eletrônicas envolve mensagens transmitidas, 
remetentes, endereços IP, domínios da internet e conteúdos. Conforme Eleutério e 
Machado (2011, p. 20), o exame em e-mails corresponde “basicamente à análise 
 
 
14 
 
das propriedades das mensagens eletrônicas, a fim de identificar hora, data, 
endereço IP e outras informações do remetente da mensagem”. 
Nesses casos, o grande desafio é relativo à disponibilidade de registros 
(logs) suficientes. O perito ainda precisa garantir que os horários estejam 
sincronizados e lidar com diversos tipos de tecnologias. Em síntese, o perito deve: 
identificar a mensagem eletrônica, identificar o ambiente, preservar as evidências, 
verificar a origem da mensagem (cabeçalho) e analisar o corpo do e-mail. Os 
principais tipos de crimes cometidos por meio desses dispositivos são: questões 
trabalhistas, calúnia, difamação, desonra, concorrência desleal, ameaças anônimas 
e espionagem (FILHO, 2001). 
 
2.10 Aparelhos móveis (celulares) 
 
 Os aparelhos celulares, devido à sua amplitude tecnológica, já podem ser 
comparados a computadores portáteis. Assim, a análise de celulares é similar à 
análise realizada em computadores. Ela envolve a análise de mensagens enviadas, 
incluindo remetentes, números de telefone, datas, horários e dados relacionados a 
chamadas. Os dados analisados dizem respeito a mensagens enviadas por Short 
Message Service (SMS) e WhatsApp, por exemplo. Além disso, o perito deve buscar 
dados deletados (FILHO, 2001). 
Conforme Eleutério e Machado (2011, p. 20) apud Filho (2001)., o exame 
em celulares abrange “basicamente a extração dos dados desses aparelhos, a fim 
de recuperar e formalizar as informações armazenadas em suas memórias (lista de 
contatos, ligações, fotos, mensagens etc.), de acordo com a necessidade de cada 
caso”. 
 
 
 
15 
 
 
https://www.zoom.com.br/ 
O grande desafio aqui é manter-se atualizado em relação às ferramentas 
mobile, que estão em constante modificação. É necessário possuir os 
equipamentos adequados para a análise (software e hardware) e atentar à 
diversidade de funcionalidades existentes. Os principais tipos de crimes cometidos 
por meio desses dispositivos são: invasões, espionagem, calúnia, difamação e 
pornografia (FILHO, 2001). 
 
2.11 Redes de computadores 
 
A análise de dados trafegados na rede tem foco no trânsito da informação, 
e não no armazenamento, independentemente do dispositivo emissor e do 
dispositivo receptor. Nesse caso, é necessário utilizar técnicas e ferramentas para: 
reconstrução de sessões, análise de protocolos, manipulação de arquivos, 
identificação de origem e destino, identificação de protocolos e dados, além de 
recuperação de arquivos capturados no tráfego (FILHO, 2001). 
Os grandes desafios são: o acesso aos computadores conectados dentro 
de uma rede, a identificação dos usuários e o sincronismo de horários. Os principais 
 
 
16 
 
tipos de crimes cometidos por meio de redes são: invasões, plágio, pornografia e 
furto de dados (FILHO, 2001). 
 
2.12 Internet das Coisas (IoT) 
 
Essa área é muito recente. Ela tem crescido bastante à medida que os 
dispositivos conectados à internet (televisão, carros, refrigeradores, etc.) abrem 
uma gama de possibilidades de crimes digitais. A investigação forense para tratar 
da IoT (do inglês Internet of Things) está sendo desenvolvida para coletar e analisar 
evidências nesses dispositivos (FILHO, 2001). 
Nesses casos, o desafio é imenso, pois está em jogo uma tecnologia 
emergente: não existe um único dispositivo, e sim uma rede hiperconectada. O 
perito deve: identificar o dispositivo, preservar as evidências, analisar as logs e 
analisar os aplicativos e serviços da rede. Os principais tipos de crimes cometidos 
por meio desses dispositivos são: invasões, furto de dados e malware (FILHO, 
2001). 
2.13 Banco de dados 
 
A análise ocorre em dados e metadados armazenados em bancos de 
dados, disponibilizados ou não em servidores. O objetivo é identificar a manipulação 
de dados armazenados, como possíveis fraudes financeiras e fiscais praticadas em 
uma empresa (FILHO, 2001). 
 Nesses casos, os grandes desafios são a identificação das tabelas, a busca 
por dados excluídos e a identificação das transações realizadas. O perito deve: 
identificar as bases de dados envolvidas, preservar as evidências e analisar as logs. 
Os principais tipos de crimes cometidos por meio desses dispositivos são: invasões, 
furto de dados e vazamento de informações (FILHO, 2001). 
 
 
17 
 
 
2.14 Algumas considerações 
 
 
Conforme Freitas (2003) apud Filho (2001)., em todos os tipos de 
dispositivos digitais, a análise pode ser física e/ou lógica. A seguir, veja como cada 
uma dessas análises se caracteriza. 
 Análise física: tem como objetivo analisar os dados do dispositivo 
de armazenamento. Isso ocorre da seguinte forma: pesquisa de 
sequência, busca e extração, inclusive de espaço subaproveitado e 
livre de arquivos. Esse tipo de análise consiste em buscar todas as 
URLs, e-mails encontrados e partes inacessíveis do disco. 
 Análise lógica: essa análise é feita arquivo por arquivo. O perito 
analisa o conteúdo dos arquivos com o apoio de aplicativos que 
ajudam nesse tipo de extração de dados. 
 
A análise forense exige o uso de algumas ferramentas, como: 
 
 software de imagem de disco; 
 software ou hardware de escrita; 
 ferramentas de hashing; 
 software de recuperação; 
 software de peneira; 
 software de decodificação de criptografia. 
 
O volume de crimes digitais tem crescido diariamente; percebe-se um 
aumento significativo de um ano para outro. Isso demonstra uma mudança 
comportamental, ou seja, as vítimas têm denunciado os crimes. Para compreender 
 
 
18 
 
melhor esse contexto, veja o trecho de uma matéria publicada pelo jornal Correio 
Braziliense em 4 de agosto de 2019: 
 
Diariamente, são registrados pelo menos 366 crimes cibernéticos em todo 
o país. O levantamento mais recente, feito em 2018 pela associação 
SaferNet Brasil, em parceria com o Ministério Público Federal (MPF), 
contabilizou 133.732 queixas de delitos virtuais, como pornografia infantil, 
conteúdos de apologia e incitação à violência e crimes contra a vida e 
violência contra mulheres ou misoginia e outros. Em comparação ao ano 
anterior, a quantidade de ocorrências deu um salto de quase 110% — em 
2017, a associação registrou 63.698 denúncias. Um fator que contribui 
para a ação criminosa, na visão de especialistas, é o descuido da 
população quanto à utilização de ferramentas que protejam os aparelhos 
celulares das invasões de hackers. Apesar de ser impossível estar 100% 
protegido, o mínimo de precaução pode reduzir as ameaças à privacidade 
de cada um (FERNANDES, 2019, documento on-line). 
 
Na Figura 2, a seguir, você pode ver um mapa mental (diagrama que 
representa, a partir de um tema central, todos os itens envolvidos) que exemplifica 
a variedade de elementos implicados em uma análise forense computacional. A 
profissão de um perito criminal é muito ampla, envolvendo conhecimentos técnicos 
e legais em uma grande variedade de assuntos (FILHO, 2001). 
 
 
 
1920 
 
3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS 
 
A defesa de crimes digitais é um processo complexo pelo fato de a internet 
não possuir fronteiras, ou seja, qualquer conteúdo é acessado de qualquer lugar do 
mundo. O termo ciberespaço surge pela primeira vez no romance “Neuromancer”, 
de William Gibson (CIBERESPAÇO, 2019 apud FILHO, 2001). O ciberespaço (ou 
espaço cibernético) é uma metáfora que descreve o espaço não físico criado por 
diversas redes de computadores (a internet), onde as pessoas podem se comunicar 
de muitas formas, seja por mensagens, e-mails, salas de bate-papo, grupos de 
discussão, aplicativos de mensagens, dentre outros. 
Esse espaço cibernético proporciona muitos serviços e no seu ambiente 
transitam informações sigilosas que estão sujeitas a muitas ameaças, devido ao seu 
valor e importância. Neste sentido, Nye Junior (2011) apud Filho (2001). observa 
que nos países com a internet mais desenvolvida, além dessa gama de recursos e 
soluções, também existe uma forte insegurança para governos, empresas e todas 
as pessoas dessas nações. 
Conforme Rachel (2009), Silveira (2018) e Caldeira (2011) apud Filho 
(2001)., um bom ponto a se considerar em crimes cibernéticos é a distinção entre 
crimes a distância e crimes plurilocais. Veja: 
 
 nos crimes a distância, a ação e a consumação do crime ocorrem 
em lugares distintos, um deles fora do território nacional; 
 nos crimes plurilocais, a ação e a consumação também ocorrem em 
lugares diversos, mas ambos no território nacional. 
 
Qualquer medida que envolva outros países depende de acionamentos 
entre países para coleta, análise e validação de vestígios de crimes digitais. É o 
caso, por exemplo, da abertura de dados por empresas como Facebook, Instagram 
e WhatsApp. Existem também conflitos dentro do território nacional, geralmente 
relativos à competência de cada foro: o foro do local de onde partiu a ofensa, o foro 
 
 
21 
 
de domicílio do ofendido e do infrator e ainda o foro do local onde o ofendido toma 
ciência da ofensa (FILHO, 2001). 
 No Brasil, têm ocorrido evoluções no âmbito legal. A defesa de ataques 
cibernéticos ganhou reforço com a aprovação do Decreto nº. 10.222, de 5 de 
fevereiro de 2020, que estabelece a Estratégia Nacional de Segurança Cibernética. 
O objetivo desse decreto é tornar o Brasil mais próspero e confiável no meio 
digital, aumentando a resiliência local para ameaças cibernéticas e fortalecendo a 
segurança do País em âmbito internacional (FILHO, 2001).. Veja o que o decreto 
diz a respeito: 
 
Desse modo, estes objetivos estratégicos visam a nortear as 
ações estratégicas do País em segurança cibernética, e representam 
macrodiretrizes basilares para que o setor público, o setor produtivo e a 
sociedade possam usufruir de um espaço cibernético resiliente, confiável, 
inclusivo e seguro. São os objetivos estratégicos: 
1. Tornar o Brasil mais próspero e confiável no ambiente digital; 
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e 
3. Fortalecer a atuação brasileira em segurança cibernética no 
cenário internacional. 
(BRASIL, 2020, documento on-line). 
O Decreto nº. 10.222/2020 descreve 10 ações que precisam ser 
implementadas (BRASIL, 2020): 
 
1. fortalecer as ações de governança cibernética; 
2. estabelecer um modelo centralizado de governança em nível nacional; 
3. promover um ambiente participativo e colaborativo entre setor público e 
privado; 
4. elevar o nível de proteção do governo; 
5. elevar a proteção das infraestruturas críticas nacionais; 
6. aprimorar o arcabouço legal sobre segurança cibernética; 
7. incentivar a concepção de soluções inovadoras em segurança 
cibernética; 
8. ampliar a cooperação internacional do Brasil em segurança cibernética; 
 
 
22 
 
9. ampliar a parceria, em segurança cibernética, entre setor público, setor 
privado, academia e sociedade; 
10. elevar o nível de maturidade da sociedade no que diz respeito à 
segurança cibernética. 
Outra iniciativa em andamento é a Lei Geral de Proteção de Dados 
Pessoais (LGPD), Lei nº. 13.709, de 14 de agosto de 2018. Essa lei tem como 
objetivo contribuir para a governança da segurança cibernética nacional por meio 
de normas e políticas públicas relativas à proteção de dados pessoais e à 
privacidade, considerando a coleta, o armazenamento, o tratamento e o 
compartilhamento de dados pessoais. A previsão é que a LGPD entre em vigor no 
Brasil no dia 16 de agosto de 2020 (FILHO, 2001).. 
A LGPD tem como base a GDPR europeia: “Seguindo os passos da GDPR 
(General Data Protection Regulation), que vale para todos os países da União 
Europeia, a LGPD já engatinhava com a criação do Marco Civil da Internet em 2014” 
(LGPD..., 2019, documento on-line). A LGPD determina que o usuário tem o direito 
de acessar seus dados a qualquer momento, conferindo como eles são tratados e 
compartilhados. A lei também determina que o usuário pode atualizar ou corrigir 
dados incorretos, deletar dados e transferir dados para outras organizações 
(públicas ou privadas) (FILHO, 2001). 
As penalizações previstas pela LGPD consideram multas, bloqueios e 
sanções para as empresas que descumprirem ou não se adequarem à nova lei. 
Além disso, a LGPD extravasa o território brasileiro. Ela pode ser aplicada a 
qualquer empresa, e mesmo as empresas estrangeiras que não têm sede no local 
estão sujeitas a sanções. A não aplicação da LGPD pode acarretar multas de até 
R$ 50 milhões. Por esse motivo, observa-se uma corrida das organizações desde 
2018, quando a lei foi aprovada, para adaptar seus sistemas e bancos de dados ao 
novo cenário, o que cria muitas oportunidades para profissionais com conhecimento 
nesse assunto (FILHO, 2001). 
Referindo-se às evoluções legais, Souza Junior (2013, p. 32) ressalta o 
empenho dos órgãos governamentais: 
 
 
 
23 
 
A Administração Pública Federal apresenta o real empenho e precaução 
na criação de um modelo de segurança cibernética para proteção do 
ciberespaço e dos serviços e informações nele existentes, assim se 
adaptando ao cenário atual de crimes cibernéticos. 
 
É notável que os órgãos governamentais têm atuado de forma mais enfática 
em relação aos crimes digitais. Como você viu, tal atuação se dá por meio da criação 
e da aprovação de leis e decretos que suportem judicialmente direitos e deveres no 
universo digital. Porém, é nítido que a defesa em processos criminais cibernéticos 
tem um caminho longo a percorrer, seguindo a constante evolução do mundo digital 
(FILHO, 2001). 
 
3.1 Aspectos Jurídicos em Computação Forense 
 
Por ser uma ciência que mira reportar suas análises e resultados a 
determinada instância da justiça, é estreita sua relação com as leis. Algumas delas 
afetam diretamente o trabalho dos peritos, pesquisadores e profissionais da área e 
precisam ser de conhecimento desse grupo (FILHO, 2001). 
Basicamente, quem sabe como a lei fundamental que garante o exame 
pericial, temos no Código de Processo Penal - Do exame do corpo de delito e das 
perícias em geral- Art. 158 e159 que dizem: 
 
Art. 158. Quando a infração deixar vestígios, será indispensável o exame 
de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do 
acusado. 
Art. 159. O exame de corpo de delito e outras perícias serão realizados por 
perito oficial, portador de diploma de curso superior. 
§ 1o Na falta de perito oficial, o exame será realizado por 2 (duas) pessoas 
idôneas, portadoras de diploma de curso superior preferencialmente na 
área específica, dentre as que tiverem habilitação técnica relacionada com 
a natureza do exame. 
§ 2o Os peritos não oficiais prestarão o compromisso de bem e fielmente 
desempenhar o encargo. 
anderson.oliveira
Realce
 
 
24 
 
§ 3o Serão facultadas ao Ministério Público, ao assistente de acusação, ao 
ofendido, ao querelante e ao acusado a formulação de quesitos e indicação 
de assistente técnico.§ 4o O assistente técnico atuará a partir de sua admissão pelo juiz e após 
a conclusão dos exames e elaboração do laudo pelos peritos oficiais, 
sendo as partes intimadas desta decisão. 
Dessa forma, no campo criminal, é obrigatório o exame pericial em todo 
crime que deixar resquício. Outro ponto relevante, é a probabilidade do perito da 
defesa, denominado assistente técnico. Esse profissional pode fazer seu próprio 
exame pericial e expor as suas conclusões em relatório próprio para a análise do 
judiciário (FILHO, 2001). 
Outra lei importante, com relação próxima a um tipo de perícia em 
informática, é a que aborda do crime de pedofilia. Tipificado no ECA (Estatuto da 
Criança e do Adolescente), nos artigos 240 e 241. 
 
Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por 
qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança 
ou adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. 
Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que 
contenha cena de sexo explícito ou pornográfica envolvendo criança ou 
adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. 
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou 
divulgar por qualquer meio, inclusive por meio de sistema de informática 
ou telemático, fotografia, vídeo ou outro registro que contenha cena de 
sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – 
reclusão, de 3 (três) a 6 (seis) anos, e multa. 
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, 
vídeo ou outra forma de registro que contenha cena de sexo explícito ou 
pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 1 
(um) a 4 (quatro) anos, e multa. § 1o A pena é diminuída de 1 (um) a 2/3 
(dois terços) se de pequena quantidade o material a que se refere o caput 
deste artigo. 
 
É relevante observar algumas das condutas que são crimes em relação à 
pedofilia e qual o papel do perito em computação forense nesses eventos. 
Inicialmente, destaca-se que o simples fato de registrar, ou seja, ter fotos de 
pedofilia no computador ou smartphone já é crime. A função do perito em relação a 
esse episódio é encontrar tais imagens, que podem estar ocultas, apagadas ou 
criptografadas. Caso essas imagens sejam localizadas, o próximo passo natural é 
 
 
25 
 
determinar se o proprietário do dispositivo estava compartilhando essas imagens 
com outros usuários, o que compõe um crime mais grave. Esse compartilhamento 
pode acontecer especialmente por aplicativos de redes ponto a ponto (P2P). Cabe 
ao perito, examinar essa circunstância e documentar todo o cenário localizado 
(FILHO, 2001). 
A lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da 
Internet estipula determinadas regras, das quais as que mais interessam à 
computação forense são as que regulam o armazenamento dos registros de acesso 
(logs) dos usuários, como demonstrado a seguir. 
 
Art. 1o Esta Lei estabelece princípios, garantias, direitos e deveres para o 
uso da internet no Brasil e determina as diretrizes para atuação da União, 
dos Estados, do Distrito Federal e dos Municípios em relação à matéria. 
 … 
 Subseção I 
 Da Guarda de Registros de Conexão 
 
Art. 13. Na provisão de conexão à internet, cabe ao administrador de 
sistema autônomo respectivo o dever de manter os registros de conexão, 
sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) 
ano, nos termos do regulamento. 
§ 2o A autoridade policial ou administrativa ou o Ministério Público poderá 
requerer cautelarmente que os registros de conexão sejam guardados por 
prazo superior ao previsto no caput. 
 § 5o Em qualquer hipótese, a disponibilização ao requerente dos registros 
de que trata este artigo deverá ser precedida de autorização judicial, 
conforme disposto na Seção IV deste Capítulo. 
 
 Subseção II 
 
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão 
de Conexão 
Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os 
registros de acesso a aplicações de internet 
 
 Subseção III 
 
 Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão 
de Aplicações 
Art. 15. O provedor de aplicações de internet constituído na forma de 
pessoa jurídica e que exerça essa atividade de forma organizada, 
profissionalmente e com fins econômicos deverá manter os respectivos 
registros de acesso a aplicações de internet, sob sigilo, em ambiente 
controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do 
regulamento. 
 
 
26 
 
 
A lei nº 12.737, de 30 de novembro de 2012, conhecida como lei Carolina 
Diekmann, tipifica, ou seja, torna crime, vários comportamentos relacionados a 
atividades de invasão de sistemas de computador, conforme segue. 
 
Art. 1o Esta Lei dispõe sobre a tipificação criminal de delitos informáticos 
e dá outras providências. 
 ... 
 “Invasão de dispositivo informático“ 
 Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede 
de computadores, mediante violação indevida de mecanismo de 
segurança e com o fim de obter, adulterar ou destruir dados ou 
informações sem autorização expressa ou tácita do titular do dispositivo ou 
instalar vulnerabilidades para obter vantagem ilícita: 
 Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. 
 § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou 
difunde dispositivo ou programa de computador com o intuito de permitir a 
prática da conduta definida no caput. 
 Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede 
mediante representação, salvo se o crime é cometido contra a 
administração pública direta ou indireta de qualquer dos Poderes da União, 
Estados, Distrito Federal ou Municípios ou contra empresas 
concessionárias de serviços públicos. ” 
Resumidamente, essa lei trata das invasões de sistemas e composição e 
uso de software maliciosos (malware). É função do perito, avaliar os computadores 
em que sucederam as invasões, gerar como elas ocorreram e se provável apontar 
na direção do responsável por tais crimes (FILHO, 2001). 
 
3.2 Lab de Computação Forense: Preservação e Análise da Prova Digital 
 
O laboratório de computação forense deve ter hardware e software 
especializado que proporcione as condições técnicas, de maneira hábil, para se 
conseguir e processar os dados digitais, transformando-os em destaques. Essas 
tecnologias estão disponíveis em produtos comerciais, softwares desenvolvidos por 
peritos e softwares livres (FILHO, 2001). 
 
 
 
27 
 
3.3 Duplicação de dados de forma forense 
 
Uma das primeiras atividades a ser concretizada no laboratório é a cópia 
dos dados dos equipamentos originais. É nessas cópias que os exames serão 
realizados (FILHO, 2001). 
 Para consolidar uma cópia de forense, todos os bits do equipamento 
original devem ser copiados, inclusive de áreas não alocadas do sistema de arquivo. 
Bem longe dessa necessidade, a ênfase digital deve ser acessada de maneira que 
tenha proteção contra escrita na interface em que ela for conectada. Essa cautela 
é precisa para que, ao se conectar a mídia original, nenhum dado seja modificado. 
Conectar a mídia original sem proteção de escrita pode alterar dados ou metadados 
de arquivos e essas mudanças podem ser questionadas pelas partes envolvidas. 
Outra atividade essencial ao fazer a cópia é calcular o hash dos dados originais e o 
da cópia. Esses valores precisam coincidir, garantindo-se, com isso, a integridade 
e a cadeia de custódia dos destaques digitais (FILHO, 2001).Têm equipamentos especializados em duplicação pericial. Esses 
equipamentos consentem que as cópias sejam feitas de forma bastante simplificada 
e garantem as sugestões mencionadas. Determinadas alternativas de 
equipamentos que podem ter em um laboratório de computação forense são o Solo 
IV, da empresa ICS e o Tableaut TD3 da empresa Guidence Software. Esses 
equipamentos têm entradas protegidas contra escrita para conexão das ênfases 
originais, vários tipos de adaptadores para as interfaces mais comuns de mídias de 
armazenamento, entre elas, adaptadores para conexões IDE, SATA, SAS, USB, 
cartões de memória SDCard, entre outros. Possuem também a vantagem de serem 
portáteis, podendo ser levados a campo. As figuras 1 e 2 ilustras os equipamentos 
(FILHO, 2001). 
Se usar um equipamento comercial especializado em duplicação de dados 
não for uma alternativa, existem soluções de baixo custo para esse processo. Uma 
maneira de concretizar essa cópia é empregar uma distribuição Linux montada para 
análises forenses. Estas distribuições consentem que se monte o disco original do 
 
 
28 
 
suspeito no modo “somente leitura”. Uma vez montado o disco das ênfases, as 
cópias podem ser cometidas por programas que seguem essas distribuições, como, 
por exemplo, o dd, dc3dd, dcfldd, entre outros. Esses programas farão uma cópia 
de todos os bits do disco de origem, inclusive áreas não alocadas. Alguns deles já 
realizarão também o cálculo do hash dos dados originais e do arquivo de destino 
(FILHO, 2001). 
Duas distribuições que fornecem ferramental forense são a Deft Linux 
(http://www.deftlinux.net/) e Caine (http://www.caine-live.net/). 
 
3.4 Processamento e Análise dos Dados 
 
Uma fez feita a duplicação pericial dos dados e tendo garantido a sua 
integridade por meio do hash, o próximo passo é o processamento e análise de 
dados. Essa fase consiste na recuperação dos dados que estão nas mídias, muitos 
deles apagados, e a disponibilização desses dados aos peritos de modo que 
possam ser feitas pesquisas sobre eles. Dessa forma, as principais ferramentas 
dessa etapa do processo deverão entender os sistemas de arquivos envolvidos, 
executar técnicas de recuperação de dados apagados, indexar esses dados para 
futuras pesquisas e interpretar essas informações de modo que o grande volume 
de dados possa ser organizado em subgrupos e tipos para facilitar a análise dos 
peritos (FILHO, 2001). 
http://www.caine-live.net/
 
 
29 
 
https://csprojetos.com 
Para essa tarefa, os principais softwares comerciais são 
Encase(https://www.guidancesoftware.com/encase-forensic), FTK 
(http://accessdata.com/solutions/ digital-forensics/ forensic-toolkit-ftk), entre outros. 
Alternativamente, o IPED (Indexador e Processador de Evidências Digitais) é uma 
solução desenvolvida porperitos criminais da Polícia Federal que tem se mostrado 
bastante importante e está disponível para o modo de peritos de outras instituições 
de segurança pública. Por fim, têm as alternativas livres, como The Sleuth Kit - TSK 
- e Autopsy ( http://www .sleuthkit.org/). Avaliaremos esses dois últimos com mais 
detalhes na próxima seção (FILHO, 2001). 
 
3.5 The Sleuth Kit e Autopsy 
 
The Sleuth Kit (TSK) é um conjunto de instrumentos de linha de comando e 
bibliotecas em C para análise de disco rígidos e recuperação de arquivos. O 
Autopsy é um ambiente gráfico que proporciona uma interface mais amigável sobre 
o TSK. Ambas as ferramentas são livres, de código aberto e estão em constante 
desenvolvimento pelos seus mantenedores (FILHO, 2001). 
https://www.guidancesoftware.com/encase-forensic
anderson.oliveira
Realce
 
 
30 
 
A relevância didática de ferramentas livres é ressaltada por Fagundes, 
Neukamp e Silva (2011), que apontam que o software de código aberto é um modelo 
didático, pois promove o pensamento crítico, conta com uma capacidade de 
adaptação independente, conta com uma comunidade, na qual possui 
compartilhamento de conhecimento e permite ao aluno, mesmo fora do ambiente 
acadêmico, acesso às ferramentas de maneira legal. 
Segundo Carrier (2006), o TSK é composto por mais de 20 programas, 
estilo linha de comando, organizados em grupos. Os grupos em que os programas 
são divididos são fundamentados nas entidades das estruturas dos sistemas de 
arquivos. São eles: categoria de sistemas de arquivos, categoria de conteúdo, 
categoria de metadados, categoria de aplicação e categorias múltiplas. 
Pelos comandos do TSK, é possível observar cada uma das entidades do 
sistema de arquivos. Para usá-los em sua plenitude, é preciso um entendimento de 
como os disco rígidos são estruturados e como as estruturas lógicas dos sistemas 
de arquivos trabalham (FILHO, 2001). 
Os programas do TSK são excelentes instrumentos para destrinchar os 
dados de um disco. Tem um papel didático relevante e servem como os blocos de 
construção para ferramentas mais associadas, porém são pouco eficientes para 
lidar com vários episódios, nos quais o interesse é a recuperação do maior número 
de dados possível e a apropriada visualização deles, em tempo hábil (FILHO, 2001). 
Dessa forma nasce a necessidade de se empregar um instrumento que 
integre os vários programas do TSK e forneça uma interface mais produtiva. Uma 
alternativa é o Autopsy (FILHO, 2001). 
O Autopsy emprega as bibliotecas do TSK e oferece uma interface gráfica 
intuitiva para o processamento dos dados a constituírem avaliados. Após introduzir-
se com determinados dados sobre o caso, deve-se informar o arquivo de imagem, 
que é a cópia forense concretizado conforme narrado antes. Este arquivo pode estar 
no formato bruto, também conhecido com raw ou dd ou em algum outro formato 
aproveitado por determinado software ou equipamento de duplicação de dados. Um 
formato muito popular é o formato E01, introduzido pela EnCase e empregado por 
diversos outros programas (FILHO, 2001). 
 
 
31 
 
As figuras 3 e 4 ilustram duas telas do Autopsy. 
 
 
 
 
 
 
 
 
 
Figura 3 : Autopsy 
Figura 4 : Autopsy 
 
 
32 
 
3.6 Princípios da Recuperação de Evidências Digitais 
 
Essa seção tem como desígnio exibir conceitos técnicos que aceitem 
compreender como as ferramentas frequentes no laboratório de computação 
forense conseguem chegar aos resultados que se propõem. 
Ter o saber técnico do que está sendo feito e não somente confiar nessas 
ferramentas e equipamentos como verdadeiras caixas-pretas, que somente 
proporcionam o resultado, permitirá ao perito uma melhor explanação técnica 
acerca do que se está periciando, além de ajuda-lo com saberes satisfatórios para 
responder a possíveis questionamentos das partes ou do juízo (FILHO, 2001). 
 
3.7 Técnicas de Recuperação de Arquivos Apagados 
 
Apesar das peculiaridades de cada sistema de arquivos e das técnicas para 
recuperá-los, essencialmente a recuperação de dados apagados é possível porque 
ao se apagar um arquivo, ele é apagado somente logicamente do sistema de 
arquivos, ou seja, o espaço ocupado por aquele arquivo é possibilitado para 
reutilização, mas por questões de execução o seu conteúdo permanece intacto até 
que aquele espaço seja necessário para alocar outro arquivo (FILHO, 2001). 
Determinadas técnicas de recuperação de dados levam em conta a 
estrutura de dados providas pelos sistemas de arquivos. Para compreender como 
esse tipo de recuperação de dados é possível, devemos entender, primeiramente, 
o que ocorre em cada sistema de arquivos quando um arquivo é apagado (FILHO, 
2001). 
Como mostrado por Carrier (2006), nos sistemas de arquivos FAT ao se 
extinguir um arquivo, o primeiro caractere na tabela de entrada de diretório é suprido 
por 0xe5 e os endereços na tabela FAT são zerados. Para recuperá-lo, deve-se 
localizar o nome dele na tabela de diretório, o endereço do primeiro bloco e os 
 
 
33 
 
metadados que informam o tamanho do arquivo. De posse da informação de qual éo primeiro bloco e o tamanho do arquivo, a recuperação é trivial. Porém, arquivos 
fragmentados podem inviabilizar a recuperação pelo uso somente dessa técnica. 
No NTFS, quando um arquivo é apagado, a entrada de diretório na MFT 
desse arquivo é marcada como não alocada e os blocos desse arquivo são 
adicionados na tabela de blocos livres. Com isso, a estrutura de alocação de 
arquivos permanece praticamente intacta, permitindo a recuperação do arquivo até 
que a entrada de diretório seja reutilizada (FILHO, 2001). 
No Ext2, o i-node do início de diretório é apagado. Para recuperar arquivos 
apagados, deve-se observar por i-nodes não alocados. Encontrando-se um i-node 
não alocado, ele conterá a lista de blocos daquele arquivo apagado. No Ext3 e Ext4, 
o inode da entrada de diretório não é apagado, contudo, os campos com os 
endereços dos blocos no i-node são apagados. Assim, tem-se o i-node de 
determinada entrada de diretório (nome do arquivo), entretanto não se consegue 
obter a lista de blocos que compunham esses arquivos. A recuperação de arquivos 
no Ext3 e Ext4 é mais difícil que no Ext2 (FILHO, 2001). 
Uma outra técnica promissora de recuperação de arquivos apagados é o 
data carving. No processo clássico de data carving, as estruturas do sistema de 
arquivos não são levadas em consideração (FILHO, 2001). 
Merola (2008) menciona o exemplo de arquivos PDF e JPEG. Os arquivos 
PDF têm uma assinatura inicial, ou seja, iniciam sempre da mesma maneira, o que 
admite distingui-los de outros tipos de arquivos examinado somente seu conteúdo. 
Dessa forma, todos os arquivos PDF principiarão com os caracteres “%PDF”. Essa 
assinatura também é conhecida como cabeçalho do arquivo. Alguns arquivos, além 
do cabeçalho, têm também um rodapé, ou seja, sempre terminarão com o mesmo 
caractere. No caso dos PDFs será “%EOF”. Para arquivos JPEG, teremos os 
padrões “0xFFD8” para o cabeçalho e “0xFFD9” para o rodapé. 
É com embasamento nas assinaturas dos arquivos que as técnicas 
fundamentais de data carving laboram. Uma ferramenta usando essa técnica terá 
uma larga base de assinaturas dos mais variáveis tipos de arquivos. Uma vez 
identificado o princípio de um arquivo, a ferramenta irá avaliando que tudo o que 
 
 
34 
 
virá depois dessa assinatura é o corpo do arquivo. Ao localizar o rodapé, a 
ferramenta conclui a recuperação daquele arquivo e o processo de repete a partir 
do próximo byte, até que todos os bytes não alocados da mídia de armazenamento 
sejam processados (FILHO, 2001). 
Entretanto, dificuldades podem ser localizadas nesse processo. Arquivos 
podem ter cabeçalho, mas não rodapé. Arquivos podem estar também 
despedaçados, compactados ou incompletos. Para lidar com essas questões, as 
técnicas mais avançadas de data carving fundamentam-se não somente nas 
assinaturas dos arquivos, mas também possuem conhecimento das estruturas 
internas de cada tipo de arquivo, o que permite às ferramentas tentar encaixar todas 
as peças, num verdadeiro quebra-cabeça de bytes e fragmentos de estruturas de 
arquivos (FILHO, 2001). 
Em relação à recuperação de arquivos nos discos de estado sólido (SSDs), 
deve-se observar que a dinâmica de leitura e escrita de dados difere dos discos 
rígidos magnéticos tradicionais, impactando nas técnicas de recuperação de 
ênfases digitais (FILHO, 2001). 
Conforme esclarecido por Gomes (2012), diferentemente dos discos 
rígidos, nos quais os dados podem ser apagados e sobrescritos de forma 
independente, nos SSDs as páginas na memória flash não podem ser simplesmente 
regravadas. Sempre que se necessita gravar dados em uma página já ocupada, a 
controladora do SSD precisa primeiro apagar os dados anteriores, levando a célula 
ao seu estado original, para só então, realizar a nova intervenção de escrita. Além 
disso, não é possível apagar apenas uma página, necessita apagar um bloco de 
páginas. Se tiver dados válidos nessas páginas, elas necessitam ser copiadas e 
depois reescritas. Todas essas operações podem comprometer a performance do 
SSD. 
Para lidar com essas características, os SSDs empregam técnicas de coleta 
de lixo (garbage collection). O coletor de lixo será executado em segundo plano, pelo 
próprio hardware do SSD e será responsável por garantir que sempre possua blocos 
livres, em estado original, prontos para escrita. Para garantir isso, uma de suas 
tarefas é movimentar dados, realizando uma espécie de desfragmentação do disco. 
 
 
35 
 
Essa característica tem um impacto negativo sobre a recuperação de arquivos 
apagados, tendo em vista que a chance de sobreposição de dados não alocados é 
bem maior por conta do coletor de lixo (FILHO, 2001). 
 
3.8 Perícias em Dados Voláteis 
Informações importantes podem estar armazenadas somentes na memória 
RAM. Se o conteúdo do disco rígido estiver criptografado, fazer a extração e análise 
dos dados voláteis pode permitir a obtenção da chave empregada para proteger os 
dados do disco. Outras informações como processos em execução e bibliotecas de 
software carregadas também podem ser alcançadas por meio desse tipo de análise 
(FILHO, 2001). 
Silva e Lorens (2009) discorrem sobre a necessidade de um exame pericial 
em memória RAM, também conhecido como live forensics, tendo em vista que 
circunstâncias específicas justificam a realização de procedimentos de coleta de 
vestígios digitais no local em que se encontram instalados os equipamentos 
computacionais, enquanto ligados e em funcionamento normal. Instalações de 
equipamentos de amplo porte, não convencionais, ou que provoquem o risco de 
perda de informações significativas ou ainda, as inviabilizações das perícias são 
exemplos dessas situações. Destaca-se, também, a situação cada vez mais 
frequente do uso de criptografia nas mídias de armazenamento. 
A primeira tarefa a ser concretizada em uma perícia de dados voláteis é 
conseguir uma cópia da memória RAM. O termo dump de memória também é usado 
para se mencionar a este tipo de cópia. Existem diversas ferramentas que podem 
ser usadas para essa tarefa. É interessante que essa ferramenta possa ser 
executada na máquina alvo sem a precisão de instalação, para não escrever no 
disco e correr o risco de sobrescrever algum dado não alocado. Um exemplo de 
ferramenta livre para Windows que faz a cópia de memória é o FTK Imager Lite 
(figura 5) (FILHO, 2001). 
 
 
 
36 
 
 
 
 
 
 
 
 
 
 
 
 Figura 5 
Alcançada a cópia da memória RAM, é necessário saber interpretá-la. Para 
essa tarefa têm softwares que podem auxiliar o perito. Um deles é o framework livre 
Volatility (http://www.volatilityfoundation.org/) (figura 6) (FILHO, 2001). 
 
 
 Figura 6 
 
http://www.volatilityfoundation.org/
http://www.volatilityfoundation.org/
http://www.volatilityfoundation.org/
 
 
37 
 
O Volatility é um conjunto de ferramentas abertas, escritas em Python, 
destinado à extração de conteúdos digitais armazenados em memória volátil de 
sistemas operacionais Windows. Realiza interpretação (parser) de dump de 
memória, crash dump, arquivo de hibernação, snapshot de máquinas virtuais etc. 
Com o uso desse framework, podem ser alcançados dados referentes a 
processos em execução, soquetes de rede abertos, DLLs carregadas para cada 
processo, arquivos abertos para cada processo, chaves de registro para cada 
processo, memória endereçável de um processo, módulos do kernel do sistema 
operacional, chaves criptográficas, entre outros (FILHO, 2001). 
 
3.9 Técnicas Antiforenses e Anti-Antiforenses 
 
Em uma definição de técnicas antiforenses localizada em Velho et al (2016), 
os autores classificam-na como um conjunto de técnicas que objetivam inviabilizar, 
dificultar, iludir ou impossibilitar quea análise forense suceda de maneira 
satisfatória. 
Necessariamente, trata-se de formas de manipular os dados digitais de tal 
maneira que esses dados sejam destruídos de forma irrecuperável, ou, de 
determinada maneira, não possam ser acessados pelo perito, ou ainda, que iludam 
o perito em suas conclusões. 
Assim, cabe ao perito conhecer sobre essas técnicas, saber identificá-las e 
contorná-las sempre que possível. No restante dessa seção são exibidas as 
principais técnicas antiforenses e possíveis maneiras de lidar com elas (FILHO, 
2001). 
 
3.10 Wipe ou Sanitarização de Dados 
 
 
 
38 
 
Ao se apagar um arquivo, os dados desse arquivo não são verdadeiramente 
apagados, são feitas algumas alterações nas estruturas de controle de alocação de 
arquivos e aquele espaço ocupado pelo arquivo fica disponível para ser reutilizado, 
mas especialmente por motivo de performance, os dados desse arquivo apagado 
continuam na mídia de armazenamento, até o momento em que forem reutilizados 
por outro arquivo. A partir dessa ocasião, quando os dados são sobrescritos por um 
arquivo novo, a recuperação torna-se inviável (FILHO, 2001). 
É por isso que há uma maneira de apagar um arquivo de forma 
irrecuperável. Para isso, além de ser marcado nas estruturas do sistema 
operacional como apagado, o seu conteúdo em todo o disco deve ser sobrescrito. 
Existem até mesmo protocolos para realizar essa técnica, conhecida como wipe ou 
sanitização de dados. Dependendo da sensibilidade e relevância dos arquivos a 
serem apagados, esses protocolos sugerem que a área da mídia de 
armazenamento em que os dados estavam armazenados seja sobrescrita várias 
vezes. A figura 7 ilustra o programa Disk Wipe, que entrega a técnica de sanitização 
de dados em uma mídia completa. Nota-se que se pode propor qual protocolo de 
wipe empregar. Na figura, são expostos de cima para baixo os protocolos do menos 
para o mais seguro (FILHO, 2001). 
 
 
 
 Figura 7 
 
 
39 
 
3.11 Criptografia e Quebra de Senhas 
Criptografia acontece a ser cada vez mais popularizada, sendo que vários 
sistemas já estão sendo configurados por padrão com seus dados criptografados. 
Existe também diversos softwares que podem ser habituais para criptografar 
arquivos, partes de uma mídia de armazenamento ou a mídia inteira (FILHO, 2001). 
Esses recursos, ressaltantes para a segurança do usuário, concebem um 
desafio técnico para os peritos, que necessitam tentar ao máximo localizar 
evidências digitais, mesmo que estas permaneçam protegidas por criptografia. 
Desse cenário pericial, aparece a necessidade de técnicas de quebra de 
criptografia e senhas, tornando essa área mais uma área da computação que deve 
ser dominada pelos peritos (FILHO, 2001). 
Mas como quebrar a criptografia, tendo em vista que a maior parte dos 
sistemas usam criptografia forte, com algoritmos robustos e chaves grandes? A 
resposta encontra-se em atacar o elo mais fraco da segurança da informação, o 
usuário. Segundo Velho et al (2016), pesquisas mostram que a maioria dos usuários 
usa senhas fracas. A capacidade humana de memorização não facilita que usuários 
guardem como senhas sequências muitos grandes e aleatórias. Na maioria das 
vezes serão usadas expressões que são familiares aos usuários e as senhas 
tendem a se repetir em vários sistemas. 
Com isso, ao se deparar com conteúdo criptografado, o perito deve ao 
menos tentar as técnicas básicas de recuperação de senhas, restringindo-se aos 
recursos computacionais e a um prazo de tempo de tentativa estipulado (FILHO, 
2001). 
3.12 Ataques a Dados Criptografados 
 
Podemos determinar os ataques a sistemas com senha em dois tipos. Os 
ataques on-line, que visam sistemas que estão em funcionamento no momento dos 
 
 
40 
 
ataques. Esse tipo de ataque é menos promissor, já que o tempo de resposta em 
que diversas senhas podem ser testadas é alto (FILHO, 2001). 
Os ataques offline ou post-mortem, buscam decifrar os dados já adquiridos 
das mídias de armazenamento, mas que ainda não estão acessíveis por estarem 
criptografados. É um ataque mais promissor que o anterior, pois a taxa de senhas 
que podem ser testadas é muito superior. Para a computação forense, esse é o tipo 
de ataque que mais interessa e é esse tipo que será discutido no restante da seção 
(FILHO, 2001). 
Para se quebrar a criptografia no ataque offline deve-se descobrir qual foi a 
senha usada pelo usuário para criptografar os dados. Para tanto, as possíveis 
senhas são testadas uma a uma. Porém, essa tarefa computacional é altamente 
paralelizável. Dessa maneira, quanto mais processadores o perito tiver a disposição 
para a tarefa, mais rápido ela poderá ser desempenhada. Hoje em dia, as duas 
maneiras mais empregadas para paralisar essa tarefa são por meio de cluster de 
computadores ou por meio de placas de processamento gráfico (GPUs) (FILHO, 
2001). 
Na alternativa de cluster de computadores, usa-se várias máquinas 
trabalhando em paralelo e em cooperação para o processamento dos ataques ao 
conteúdo criptografado. 
Na maioria das vezes usa-se um esquema em que uma das máquinas é um 
ponto central que gerencia todas as demais, distribuindo a carga de processamento. 
Outra maneira de conseguir elevado nível de paralelização é por meio do 
uso de GPUs. As GPUs são projetadas com vários núcleos de processamento para 
atividades específicas. Essa arquitetura pode ser usada para paralelizar as 
computações necessárias para quebra de senhas. Uma GPU voltada para jogos, 
pode ter até aproximadamente 3.000 núcleos (cores). A figura 8 ilustra uma 
comparação da arquitetura multicore de uma CPU e de uma GPU (FILHO, 2001). 
 
 
 
41 
 
 
 Figura 8 
A figura 9 expõe um teste de desempenho de quatro configurações de 
máquinas utilizando GPUs processando quebra de criptografia em vários algoritmos 
(FILHO, 2001). 
 
 Figura 9 Fonte: www.hashcat.com, acesso em 22/09/2016 
http://www.hashcat.com/
http://www.hashcat.com/
 
 
42 
 
Mesmo com todo poder de processamento dos clusters e das GPUs, testar 
todas as combinações, num ataque designado força bruta, não é viável para senhas 
com um tamanho e complexidade razoáveis (mais de 8 caracteres começa a 
inviabilizar a força bruta). 
Por conta disso, deve-se tentar antes ataques mais inteligentes, nos quais 
a chance de se encontrar a senha seja melhor do que o acaso. O ataque de força 
bruta deve ser o último a ser empregado, somente quando todos os outros tiverem 
falhado (FILHO, 2001). 
Um dos ataques que pode alcançar sucesso é o ataque de dicionário. Nesse 
ataque, tenta-se todas as senhas de um determinado dicionário (lista de palavras), 
como por exemplo, um dicionário com todas as palavras da língua portuguesa. É 
um ataque rápido de ser concretizado. Nesse tipo de ataque, a criatividade é o 
limite. Pode-se tentar dicionários temáticos, palavras que sejam da lista de 
interesses do alvo e até mesmo procurar dicionários de dados recuperando todas 
as palavras de outros dispositivos de informática do alvo que não estejam 
criptografados. Não alcançando sucesso, pode-se tentar a abordagem híbrida. 
Nesse ataque, cada palavra do dicionário padecerá determinada variação, como 
por exemplo, colocar o primeiro caractere em maiúsculo, adicionar números ao final 
de cada palavra etc. Novamente, a criatividade é o limite. Vale observar que, quanto 
mais variedade for adicionada, maior será o tempo necessário para completar o 
ataque (FILHO, 2001). 
3.13 Esteganografia e Esteganálise 
 
Esteganografia, ou escrita oculta, pode ser empregada como uma técnica 
antiforense. Segundo Velho et al (2016), esteganografia é o estudo de técnicas para 
esconder a existência de uma mensagem dentro de outra, uma forma de segurança 
por obscurantismo. Ainda segundo essesautores, a informação a ser escondida é 
inserida em um arquivo hospedeiro, que precisará ser capaz de sofrer pequenas 
alterações em seus bytes e, ainda assim, reter suas principais características. 
 
 
43 
 
A esteganálise tem como objetivo descobrir e revelar mensagens ocultas 
por técnicas esteganográficas. Sua base é a análise estatística, procurando padrões 
de ocorrência do uso de técnicas de esteganografia nas mídias suspeitas (FILHO, 
2001). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
44 
 
4 BIBLIOGRAFIA 
BRASIL. Decreto Nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia 
Nacional de Segurança Cibernética. Brasília: Casa Civil da Presidência da 
República, 2020. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-
2022/2020/decreto/D10222.htm. Acesso em: 11 abr. 2020. 
 
BRASIL. Ministério da Justiça. Decreto-Lei Nº 2.848, de 7 de dezembro de 1940. 
Código Penal. Brasília: Casa Civil da Presidência da República, [1940]. Disponível 
em: http://www. planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. Acesso em: 
11 abr. 2020. 
 
CALDEIRA, S. Qual a diferença entre crime plurilocal e crime à distância? Sandro 
Caldeira, [S. l.], 19 maio 2011. Disponível em: 
http://www.sandrocaldeira.com/plus/modulos/ 
noticias/ler.php?cdnoticia=22&cdcategoria=1. Acesso em: 11 abr. 2020. 
 
CIBERESPAÇO. In: GLOSSÁRIO da Sociedade da Informação. Lisboa: Associação 
para a Promoção e Desenvolvimento da Sociedade da Informação, 2019. 
Disponível em: https://apdsi.pt/glossario/c/ciberespaço. Acesso em: 11 abr. 2020. 
 
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São 
Paulo: Novatec, 2011. 200 p. 
 
FERNANDES, A. Crimes virtuais e ataques cibernéticos mais do que dobram em 
um ano. Correio Braziliense, Brasília, 4 ago. 2019. Disponível em: 
https://www.correiobraziliense. 
com.br/app/noticia/politica/2019/08/04/interna_politica,775357/crimes-virtuais-e-
ataques-ciberneticos-mais-do-que-dobram-em-um-ano.shtml. Acesso em: 
11 abr. 2020. 
 
FREITAS, A. R. Perícia forense aplicada à informática. Orientador: Duval Costa. 
2003. 58 f. Trabalho de Conclusão de Curso (Pós-Graduação “Lato Sensu” em 
Internet Security) – Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2003. 
Disponível em: https:// rl.art.br/arquivos/120158.pdf. Acesso em: 11 abr. 2020. 
 
FILHO, W. L. S. Crimes Cibernéticos e Computação Forense. Disponível em: 
http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf. Acesso em: 04/01/2001. 
 
 
LGPD: O manual para compreender a lei geral de proteção de dados. TOTVS, São 
Paulo, 26 set. 2019. Disponível em: https://www.totvs.com/blog/negocios/lgpd-o-
manual- -para-compreender-a-lei-geral-de-protecao-de-dados/. Acesso em: 
11 abr. 2020. 
 
http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf
 
 
45 
 
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Forensic File 
Carving Tool Specification: Draft Version 1.0 for Public Comment. Gaithesburg: 
NIST, 2014. 12 p. Disponível em: 
https://www.nist.gov/system/files/documents/2017/05/09/fc-req- -public-draft-01-of-
ver-01.pdf. Acesso em: 11 abr. 2020. 
 
 NYE JUNIOR, J. S. The future of power. New York: PublicAffairs, 2011. 320 p. 
 
PROCESSO de Investigação. Forense Computacional, [S. l.], [20--]. (Projeto 
desenvolvido por alunos da disciplina “Direito e Informática” – DIR410011, 
ministrada pelo professor Aires J. Rover para alunos do programa de mestrado em 
Ciências da Computação da Universidade Federal de Santa Catarina). Disponível 
em: https://sites.google.com/a/ cristiantm.com.br/forense/forense-
computacional/processo-de-investigacao. Acesso em: 11 abr. 2020. 
 
RACHEL, A. R. O que se entende por crime à distância? Jusbrasil, Salvador, 
25 set. 2009. Disponível em: https://lfg.jusbrasil.com.br/noticias/1912334/o-que-se-
entende-por- -crime-a-distancia-andrea-russar-rachel. Acesso em: 11 abr. 2020. 
REIS, F. M. Forense computacional: técnicas para preservação de evidências em 
coleta e análise de artefatos. Orientadora: Ana Cristina Azevedo Pontes de 
Carvalho. 2013. Monografia (Aperfeiçoamento/Especialização em Computação 
Forense) – Universidade Presbiteriana Mackenzie, São Paulo, 2013. Disponível em: 
https://monografias.brasilescola.uol.com.br/computacao/forense-computacional-
tecnicas-para-preservacao- -evidencias-coleta-analise-artefatos.htm. Acesso em: 
11 abr. 2020. 
 
RIOS, A. Brainstorming para Estudos Forenses. Estudos Forenses – Site de Estudo 
de Computação Forense, [S. l.], 7 maio 2012. Disponível em: 
https://4en6br.wordpress. com/2012/05/07/brainstorming-para-estudos-forenses/. 
Acesso em: 11 abr. 2020. 
 
SILVEIRA, W. P. Como se define o local do crime nos crimes plurilocais e nos 
crimes à distância? Jusbrasil, Salvador, 16 abr. 2018. Disponível em: 
https://wesl.jusbrasil.com.br/ artigos/566936270/como-se-define-o-local-do-crime-
nos-crimes-plurilocais-e-nos- -crimes-a-distancia. Acesso em: 11 abr. 2020. 
 
SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de 
Ciências e Saúde, Taguatinga, v. 5, n. 2, p. 99–111, 2016. Disponível em: 
http://www2.ls.edu.br/ actacs/index.php/ACTA/article/view/138. Acesso em: 
11 abr. 2020. 
 
SOUZA JUNIOR, A. F. Segurança Cibernética: Política Brasileira e a Experiência 
Internacional. Orientador: Rosalvo Ermes Streit. 2013. 120 f. Dissertação (Mestrado 
em Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica 
de Brasília, Brasília, 2013. Disponível em: 
https://bdtd.ucb.br:8443/jspui/bitstream/123456789/1417/1/ 
Alcyon%20Ferreira%20de%20Souza%20Junior.pdf. Acesso em: 11 abr. 2020. 
 
 
46 
 
 
TOMÁS, E. M. C. Crimes informáticos: legislação brasileira e técnicas de forense 
computacional aplicadas à essa modalidade de crime. Orientador: Mauro Cesar 
Sobrinho. 2009. 42 f. Monografia (Especialização em Gestão e segurança em redes 
de computadores) – Centro Universitário Euro-Americano, Brasília, 2009. 
Disponível em: https://artigos. etc.br/crimes-informaticos-legislacao-brasileira-e-
tecnicas-de-forense-computacional- -aplicadas-a-essa-modalidade-de-crime.html. 
Acesso em: 11 abr. 2020. 
 
KOZCIAK, P. C. Conceitos de forense computacional. SAGAH – Soluções 
Educacionais Integradas, 2020.