Boas Práticas para Perícia Forense

Prévia do material em texto

Daniel Moraes da Costa 
R.A. 0502017 - 8º Semestre A 
 
 
 
 
 
 
 
 
 
 
BOAS PRÁTICAS PARA PERÍCIA FORENSE 
 
 
 
 
 
 
 
 
 
 
 
 
Jaguariúna 
2008
 
Daniel Moraes da Costa 
R.A. 0502017 - 8º Semestre A 
 
 
 
 
 
 
 
 
 
 
BOAS PRÁTICAS PARA PERÍCIA FORENSE 
 
 
 
 
Monografia apresentada à disciplina Trabalho de 
Graduação III, do Curso de Ciência da 
Computação da Faculdade de Jaguariúna, sob a 
orientação do Prof. Ms. Sílvio Petroli Neto, como 
exigência parcial para conclusão do curso de 
graduação. 
 
 
 
 
 
Jaguariúna 
2008 
 
COSTA, Daniel Moraes da. Boas Práticas para Perícia Forense. Monografia defendida e 
aprovada na FAJ em 08 de dezembro de 2008 pela banca examinadora constituída pelos 
professores: 
 
 
 
__________________________________________________________________________ 
Prof. Ms. Sílvio Petroli Neto - Orientador 
Faculdade de Jaguariúna 
 
 
__________________________________________________________________________ 
Prof. MS. Peter Jandl Jr. 
Faculdade de Jaguariúna 
 
 
__________________________________________________________________________ 
Luis Antonio Lopes da Silva 
Motorola do Brasil S/A 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Dedico esta monografia aos meus queridos pais, 
João Geraldo da Costa e Maria O. Moraes da 
Costa, e meu irmão Giovani Moraes da Costa, 
por sempre me apoiarem e acreditarem em 
minhas escolhas. 
A todos os amigos que acreditaram em mim e 
me apoiaram sempre. 
 
AGRADECIMENTOS 
Primeiramente, agradeço a Deus por minha vida, saúde, família, por me guiar pelos 
caminhos e sempre estar ao meu lado nas horas difíceis e nunca me deixar desistir. 
Agradeço aos meus pais, João Geraldo da Costa e Maria O. Moraes da Costa, por 
todas as lições ensinadas, pela compreensão e dedicação em toda a minha vida. 
Ao meu irmão Giovani por sempre me incentivar a chegar a mais esta conquista e por 
acreditar em minhas escolhas. 
Em especial ao meu orientador Prof. Ms. Sílvio Petroli Neto, pela orientação, por toda 
paciência e atenção, confiança, seriedade, críticas, profissionalismo o qual se tornou um 
grande amigo. 
Agradeço imensamente ao grande profissional Marcello Zillo Neto, por aceitar me 
ajudar em todo este trabalho, pelo empenho e disposição, materiais, revisões e críticas. Sua 
ajuda fez este trabalho de um sonho se tornar uma realidade. 
Agradeço a grande pessoa e profissional Eduardo Becker Tagliarini, por toda a ajuda, 
leitura, paciência e por compartilhar muito de sua vivencia e experiência profissional comigo. 
Agradeço ao meu grande amigo José Luiz da Costa pelas dicas, críticas, sugestões, 
por todo o empenho e dedicação em me ajudar nesta conquista. 
Ao profissional Tony Rodrigues pelas dicas sobre análise de memória e ferramentas 
utilizadas. 
A coordenação do curso e todos os professores que no decorrer de todo o curso se 
empenharam compartilhando o conhecimento e contribuindo imensamente para meu 
crescimento intelectual, pelas sugestões, críticas e dedicação. 
A todos os meus amigos pelos momentos de conversa, convivência, compreensão, 
ajuda, companheirismo e pela troca de experiências em especial meus amigos Diego, 
Evandro, Pedro, Fábio, Bruno, Lawrence e Thiago. 
A todos que de alguma forma participaram desta minha conquista. 
Muito obrigado! 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“A luta pela verdade deve ter precedência 
sobre todas as outras.” 
 
(Albert Einstein) 
 
COSTA, Daniel Moraes da. Boas Práticas para Perícia Forense. 2008. Monografia 
(Bacharelado em Ciência da Computação) – Curso de Ciência da Computação da 
Faculdade de Jaguariúna, Jaguariúna. 
 
 
 
RESUMO 
 
Com a evolução das tecnologias e o uso cada vez maior da informática na 
sociedade, os crimes também atualmente fazem uso desta tecnologia. A cada dia 
torna-se mais primordial a análise de computadores pela perícia forense 
computacional, já que muitos criminosos utilizam recursos de criptografia como 
métodos anti-forenses visando assim retardar e até mesmo impedir a investigação 
de um equipamento. A perícia forense computacional preza muito pela integridade e 
preservação dos dados, ou seja, nada pode ser alterado e neste caso o uso do 
conteúdo da memória seria invalidado já que o mesmo deixa de existir assim que o 
equipamento é desligado. O objetivo deste trabalho é demonstrar a possibilidade ou 
não de se obter o conteúdo da memória do equipamento no momento da apreensão 
baseado em metodologias de pericia convencional como a balística forense e a 
papiloscopia forense onde as provas são manuseadas para se obter a veracidade 
dos fatos, ou seja, tal fato só é permitido devido à metodologia poder ser 
comprovada e aceita perante um tribunal. No caso da perícia forense computacional 
o conteúdo da memória deixando de existir assim que o equipamento for desligado é 
necessário que algo possa validar esta investigação já que no conteúdo da memória 
podem existir arquivos descriptografados. Atualmente existem ferramentas que 
permitem realizar uma cópia do conteúdo da memória, porém para tal fato ser aceito 
e validado é necessário que o mesmo possua fé pública e para isso faz-se 
necessário a utilização de um recurso muitas vezes esquecido pelos profissionais a 
Ata Notarial que possibilita que um procedimento seja todo documentado por um 
tabelião o qual é dotado de fé pública fazendo assim com que o procedimento 
realizado pelo profissional também tenha fé pública perante o tribunal. 
 
 
Palavras-chave: PERÍCIA, FORENSE, COMPUTACIONAL, ANÁLISE, MEMÓRIA. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SUMÁRIO 
 
LISTA DE FIGURAS.............................................................................................................. 9 
LISTA DE ABREVIATURAS E SIGLAS ............................................................................... 10 
1. INTRODUÇÃO................................................................................................................. 11 
2. CRIMINALÍSTICA ............................................................................................................ 13 
3. CRIMES........................................................................................................................... 14 
4. CRIMES COMPUTACIONAIS ......................................................................................... 15 
5. PERÍCIA FORENSE ........................................................................................................ 23 
6. PERÍCIA FORENSE COMPUTACIONAL ........................................................................ 26 
7. TÉCNICAS DE PERÍCIA FORENSE................................................................................ 30 
7.1. Confronto microbalístico ............................................................................................... 30 
7.2. Papiloscopia ................................................................................................................. 34 
7.3. Análise de memória ...................................................................................................... 35 
8. FERRAMENTAS DE PERÍCIA COMPUTACIONAL......................................................... 37 
8.1. Ferramenta Helix .......................................................................................................... 37 
8.2. Ferramenta Helix e DD ................................................................................................. 38 
8.3. Ferramenta Volatility ..................................................................................................... 40 
8.4. Os perigos da análise de memória online ..................................................................... 42 
9. CONCLUSÃO..................................................................................................................43 
10. REFERÊNCIAS BIBLIOGRÁFICAS............................................................................... 44 
 
 
LISTA DE FIGURAS 
 
Figura 1: SPAM enviado por e-mail ..................................................................................... 16 
Figura 2: Falsa tela de site do homebank ............................................................................ 17 
Figura 3: Tela falsa questionando usuário ........................................................................... 18 
Figura 4: Cracker solicita as letras do cartão do usuário...................................................... 18 
Figura 5: Cracker solicita todas as combinações do cartão da vítima .................................. 19 
Figura 6: Cracker solicita senha pessoal da vítima .............................................................. 19 
Figura 7: Comunicado ao usuário sobre manutenção do site............................................... 20 
Figura 8: Certificado de segurança clonado......................................................................... 20 
Figura 9: Cartucho de munição de arma de fogo (SATO, 2003) .......................................... 31 
Figura 10: Cartucho na câmara pronto para o disparo (SATO, 2003). ................................. 32 
Figura 11: Comparação microbalística de projéteis (SATO, 2003)....................................... 33 
Figura 12: Cápsulas percutidas pela mesma arma apresentando marcas da culatra em 
forma de linha paralela (SATO, 2003).................................................................................. 33 
Figura 13: Confronto das marcas de culatra estampadas à esquerda do sinal de percussão. 
As setas indicam que as marcas coincidem em ambas as cápsulas (SATO, 2003). ............ 34 
Figura 14: Ferramenta Helix ................................................................................................ 37 
Figura 15: Listagem dos aplicativos executando.................................................................. 38 
Figura 16: Ferramenta para recuperar o conteúdo da memória ........................................... 39 
Figura 17: Listagem dos processos pela ferramenta Volatility.............................................. 41 
Figura 18: Relação das conexões ativas pela ferramenta Volatility...................................... 41 
 
 
 
 
 
 
 
 
 
 
 
 
LISTA DE ABREVIATURAS E SIGLAS 
CD Compact Disk 
DoS Denial of Service 
DVD Digital Vídeo Disk 
HD Hard Disk 
IEEE Institute of Electrical and Electronics Engineers 
IOCE The International Organization of Computer Evidence 
IP Internet Protocol 
MS-DOS MicroSoft Disk Operating System 
PDA Personal Digital Assistant 
PFC Perícia Forense Computacional 
PID Process ID 
SWGDE Scientific Working Group on Digital Evidence 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 11 
1. INTRODUÇÃO 
Desde os primórdios a sociedade convive com os crimes e a violência, a sociedade 
evoluiu, com isso também os crimes e a violência. Para tentar manter a ordem foram 
estabelecidas leis pelas autoridades. 
A evolução da sociedade foi acompanhada pelo avanço tecnológico que cada vez 
mais atinge as diferentes camadas da sociedade. Os crimes crescem a cada dia e para que 
um indivíduo seja condenado é necessário que todo o rito processual seja cumprido. 
Parte desse rito é a materialização do crime cometido, a qual será feita através da 
criminalística, quando da realização dos exames periciais. 
De acordo com Zarzuela (1996, p. 9), 
Para a criminalística, o delito, como um ato humano, deve ser apontado e 
comprovado de forma científica ou técnica, não importando as causas, 
circunstâncias ou peculiaridades que conduziram o indivíduo à sua prática. 
Esse é o papel da Perícia Forense, que tem como objetivo demonstrar, através de 
métodos científicos, a verdade, auxiliando na tomada de decisão final nos casos judiciais. 
Atualmente a perícia forense é utilizada em praticamente todos os casos, porém com 
metodologias e exigências diferentes para cada tipo de crime investigado. 
Este trabalho visa realizar uma comparação entre as metodologias de perícia forense 
convencionais de outras áreas e a Perícia Forense Computacional (PFC), mostrando se é 
possível quebrar alguns paradigmas da PFC, reproduzindo a metodologia de perícia forense 
convencional para o mundo computacional. 
Com a constante evolução das tecnologias na área computacional, a PFC tem sido 
cada vez mais dificultada, pois, existem atualmente alguns paradigmas que muitas vezes 
tornam a análise e levantamento de evidências menos útil e ágil do que poderiam ser. 
Vale destacar a utilização cada vez maior de técnicas e ferramentas que venham a 
dificultar a prática delituosa e seu autor, tornando ainda mais necessário o desenvolvimento 
de novos métodos de busca por evidências digitais. 
De acordo com Zillo Neto (2008), 
Todos os dias novas tecnologias surgem e daí a necessidade de novas 
preocupações com segurança, novas especificações, novos padrões, e antes 
mesmo de implementarmos novas tecnologias seguras, aparecem outras, 
depois outras e sucessivamente, realmente vira uma corrida contra o tempo [...] 
A PFC atualmente zela muito pela coleta e guarda das provas de forma a evitar 
alterações e quebra de integridade das mesmas, ou seja, as provas analisadas devem 
permanecer da forma que foram encontradas (SHINDER, 2002). Porém, muitas provas 
como ameaças digitais que cada vez mais se utilizam de mecanismos de criptografia, só 
podem ser analisadas quando estão em execução ou com o equipamento ligado, onde 
 12 
sofrem pequenas “alterações” (SECURITYFOCUS, 2007). Nestes casos só é possível 
analisar a prova se ocorrer uma pequena alteração. 
Em outras áreas da perícia, como a criminal, a prova é "alterada" sem contestação, 
desde que o método utilizado seja cientificamente comprovado e reconhecido. No 
procedimento de perícia de uma arma de fogo, por exemplo, deve ocorrer o disparo com a 
arma em ambiente de laboratório para analisar a prova do possível crime, ao ser efetuado o 
disparo da arma ocorre uma “alteração” de provas. Isso não diz que a prova seja modificada 
a ponto de tornar inadmissível a perícia, porém a mesma precisa ser manuseada e 
preparada para a análise. E por que isso não é contestado? Devido ao método utilizado 
poder ser cientificamente comprovado e reconhecido, a prova é examinada em suas 
condições originais, fazendo com que o mesmo seja aceito (U.S. Departament of Justice – 
FBI, 1994). 
Isso também ocorre na coleta de digitais que estão presentes na cena do crime de 
forma latente, onde só é possível a coleta através do uso de elementos químicos, os quais 
são utilizados para perpetuar a prova, mas não comprometendo a análise ou danificando-a. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 13 
2. CRIMINALÍSTICA 
A criminalística é considerada uma disciplina nascida da Medicina Legal, esta quase 
tão antiga quanto a própria humanidade. Isto porque nas épocas passadas o médico era 
pessoa de grande saber sendo, portanto sempre consultado, mas com os avanços dos 
diversos ramos das ciências, como a Química, a Biologia e a Física, houve a necessidade 
de especialização, o que fez com que outros profissionais passassem a ser consultados. 
Afirma-se que a criminalística nasceu com HANS GROSS, o qual é considerado o pai, 
já que foi ele quem cunhou este termo, juiz de instrução e professor de direito penal 
austríaco, autor da obra “System Der Kriminalistik”, em 1893. Considerada um manual de 
instruções dos juízes de direito, a qual definia a criminalística como “O estudo da 
fenomenologia do crime e dos métodos práticos de sua investigação”. 
Criminalística é definida como disciplina cujo objetivo é o reconhecimento e 
interpretação dos indícios materiais que não fazem parte do corpo humano ou à identidade 
das pessoasenvolvidas no delito. 
Englobando conhecimentos estruturados em várias outras disciplinas como a 
Matemática, Química, Tecnologia, a criminalística tem como objetivo principal, a ampliação 
do conhecimento e desenvolvimento de novas técnicas para o aperfeiçoamento da 
evidência, fornecendo assim a justiça provas objetivas. 
A criminalística pode ser dividida em duas fases, sendo a primeira aquela em que se 
buscava a verdade através de métodos primitivos, mágicos ou através da tortura, 
considerando que na maioria das vezes não se conseguia obter uma confissão do acusado 
de forma espontânea. A segunda fase procurava a verdade através de métodos racionais, 
surgindo assim os fundamentos científicos da criminalística deixando de lado as crenças nos 
milagres e mágicas. Paralelamente verificou-se que através das ciências naturais é possível 
interpretar os vestígios do delito através da analise das evidências do fato e sua autoria. 
Desde o seu surgimento a criminalística visa estudar o crime de forma a não distorcer 
os fatos, zelando pela integridade e sempre perseguindo a evidência de forma a oferecer a 
justiça, um meio de obter os argumentos decisórios para a prolação da sentença 
(ZARZUELA, 1996). 
 
 
 
 
 14 
3. CRIMES 
Crime é definido como toda a ação ou omissão, típica, antijurídica, tal que: 
 
a) Ação ou omissão: Significa que o crime é sempre praticado através de uma 
conduta positiva (ação). Ou através de uma forma negativa (omissão). 
b) Típica: Significa que a ação ou omissão praticada pelo criminoso deve ser 
tipificada, isto é, descrita em lei como delito. 
c) Antijurídica: Significa que a conduta sendo ela positiva ou negativa, além de típica, 
deve ser antijurídica, isto é, contrária ao direito. Será antijurídica a conduta que 
não encontrar uma causa que venha a justificá-la. 
d) Culpável: Significa o que se passa na mente do criminoso que praticou um delito, 
podendo ter desejado um resultado criminoso (agiu com dolo direto); ter se 
arriscado e produzido um resultado criminoso (agiu com dolo direto eventual); ou, 
ainda não ter desejado aquele resultado criminoso, mas o mesmo ocorreu por 
imprudência, negligência ou imperícia (agiu com culpa) (ELEUTÉRIO, 2008). 
 
Para que um crime seja considerado, é necessário percorrer toda uma rota de 
evidências, apreciando e analisando todas as características que o delito deve apresentar e 
apenas depois disso chegar a uma conclusão. O conceito de crime ainda esta em evolução, 
porém acredita-se que o conceito adotado perdurará por muito tempo (ELEUTÉRIO, 2008). 
 
 
 
 
 
 
 15 
4. CRIMES COMPUTACIONAIS 
Os crimes computacionais, crimes eletrônicos, crimes informáticos, entre outros 
termos utilizados surgiram no final do século XX e compreendem todas as formas de 
conduta consideradas ilegais realizadas utilizando o computador, como a pirataria de 
softwares, manipulação de dados ou informações, espionagem, acesso não autorizado a 
redes e computadores, abusos nos sistemas de telecomunicação entre muitos outros. 
Desde o seu surgimento os crimes computacionais têm preocupado o mundo, porém, não 
há um consenso para a classificação dos crimes computacionais. 
Para ARAS (2008) “na doutrina brasileira, tem-se asseverado que os crimes 
informáticos podem ser puros (próprios) e impuros (impróprios)”. Porém, atualmente no 
Brasil não existe uma lei especifica que trate dos crimes de informática, o que existe é 
apenas um projeto de lei, o qual está em trâmite no congresso e o que ocorre é o uso de 
equipamentos de informática para a prática de delitos tipificados como: extorsão, difamação, 
calúnia, injúria, furto. 
Os crimes considerados puros ou próprios são aqueles praticados através do 
computador os quais se realizam também por meio eletrônico, onde a informática é o objeto 
jurídico tutelado. Já nos crimes considerados impuros ou impróprios são aqueles em que 
para se produzir o resultado naturalístico que atue no mundo físico ou o espaço “real”, 
lesando outros bens não-computacionais da informática (DAMÁSIO apud ARAS, 2008). 
Muitos crimes realizados com o uso da internet podem ser considerados como 
próprios ou impróprios, como o pishing, trojan e spam. Atualmente estes crimes geram 
prejuízos enormes, os bancos estipulam valores em centenas de milhões de reais. 
O pishing é um tipo de fraude eletrônica com o objetivo de se obter dados valiosos 
para posteriormente realizar uma fraude ou um roubo. Estas informações são obtidas 
através de sites falsos, e-mails falsos usando sempre de pretextos falsos para enganar a 
quem recebe a mensagem. 
No caso do trojan ou cavalo de tróia, tem como principal objetivo entrar no computador 
e liberar o acesso do mesmo através de uma porta para que o criminoso possa acessá-lo 
posteriormente e procurar por senhas no computador da vítima. 
O spam é toda mensagem enviada para vários destinatários que não solicitaram a 
mesma. O termo spam é nome de um tipo de carne enlatada da empresa norte-americana 
Hormel Food, este termo tornou-se sinônimo de incomodo na década de 70 em um dos 
episódios de um grupo humorístico inglês Monty Pyton, no qual o grupo de vikings repetia 
incansavelmente a palavra “spam”, importunando a todos que estavam em um bar. Com o 
 16 
surgimento da internet o termo spam virou sinônimo de mensagens indesejadas. Muitas 
vezes estas mensagens trazem links para pishing e trojans. 
A Figura 1 retrata um e-mail com a intenção de fazer com que a vítima execute um 
programa que será instalado no computador para posteriormente obter seus dados, um 
cavalo de tróia. 
 
 
Figura 1: SPAM enviado por e-mail 
 
De acordo com Zillo Neto (2006) o SPAM é, 
[...] Um problema de segurança e até mesmo de produtividade que continua 
sendo explorado, afinal ainda existem usuários que "clicam" nos e-mails 
indesejados. Se o "recurso" de Spam continua sendo utilizado, com certeza ele 
ainda dá "lucros". Fica comprovado que as "caixinhas" não resolvem esses 
problemas definitivamente, a educação e conscientização de usuários deve ser 
uma estratégia complementar. 
No mundo digital é adotado o termo hacker para descrever o criminoso que atua neste 
meio, apesar de não haver um consenso entre autores estes são divididos em vários outros 
termos de acordo com o tipo de crime cometido (NOGUEIRA, 2001). 
Hackers em geral são simples invasores de sistemas, os quais realizam tais invasões 
como forma de desafiar seus próprios conhecimentos e segurança de sistemas 
informatizados do governo ou grandes empresas privadas, tendo como objetivo o 
reconhecimento de suas habilidades mesmo que agindo de forma anônima, apenas por 
assim dizer para alimentar o seu ego. No inicio foram recebidos como os grandes heróis da 
 17 
informática, pois através de seus atos teriam contribuído diretamente para o 
aperfeiçoamento dos computadores pessoais e corporativos, a segurança dos sistemas 
informáticos bem como para o desenvolvimento da indústria do software. Estes hackers por 
sua contribuição e também por não terem como objetivo o abuso ou furto de informações ou 
prejuízo a empresas e governo são considerados os hackers éticos. 
Os crackers são considerados os “hackers antiéticos”, pois agem como os hackers, 
porém utilizam o seu conhecimento para invadir sistemas informáticos, furtar informações, 
adulterar dados, prejudicar pessoas, empresas, governos e o que mais for necessário para 
obter o que desejam, causando os mais diversos tipos de prejuízo as vitimas e também a 
sociedade. 
A Figura 2 exibe a tela fraudada do site de um banco, esta tela é exibida logo após o 
usuário efetuar o seu login na página principal do banco. Como nota-se o nome do usuário 
não é informado e falta a comunicação de que se o nome não estiver correto é necessário 
entrar em contato com a equipe técnica. Nota-se que o site possui um certificado se 
segurança pelo cadeado exibido no browser.Figura 2: Falsa tela de site do homebank 
 
Na Figura 3 após o usuário informar os dados de sua agência e conta, o correto seria 
abrir uma página com o menu principal do homebank, porém ao invés desta página, é 
exibida uma página em que o usuário é questionado sobre o recebimento de um cartão que 
contendo dados que servem como uma chave de segurança. Dependendo da opção em que 
o usuário clicar, SIM ou NÃO, a seqüência de obtenção de dados será diferente, neste caso 
optou-se por clicar em SIM. 
 18 
 
Figura 3: Tela falsa questionando usuário 
 
A Figura 4 é a tela exibida ao usuário após o mesmo clicar na opção SIM na Figura 3, 
nesta página o cracker, solicita que a vítima informe as letras que estão em seu cartão, fato 
este que não é solicitado no site verdadeiro do banco. 
 
Figura 4: Cracker solicita as letras do cartão do usuário 
 
Na Figura 5 nota-se que o cracker novamente solicita que a vítima informe todas as 
combinações possíveis descritas em seu cartão. Este procedimento não deveria ser 
solicitado, já que essa combinação tem por função oferecer segurança, e tal solicitação vai 
diretamente contra tal função. 
 19 
 
Figura 5: Cracker solicita todas as combinações do cartão da vítima 
 
Na Figura 6 é solicitado que a vítima informe sua senha pessoal de transação bancária 
pelo homebank, nota-se que não é a senha para acesso ao homebank, e sim a senha que 
permite a realização de transações bancárias. 
 
Figura 6: Cracker solicita senha pessoal da vítima 
 
Após informar a sua senha, a vítima recebe um comunicado de que no momento o site 
do homebank, se encontra em manutenção e solicita que a vítima acesse o site 
posteriormente, conforme a Figura 7. Aqui é observado outro ponto importante, os avisos de 
manutenção do site são feitos antes de o usuário inserir qualquer tipo de senha bloqueando 
o acesso ao site. Essa comunicação nunca é feita após a inserção de todos os dados, 
ficando claro que se trata de um site falso. 
 20 
 
Figura 7: Comunicado ao usuário sobre manutenção do site 
 
Alguns especialistas dizem que um modo de se identificar um site bancário falso é 
clicando no cadeado que aparece na lateral direita da extremidade inferior da página. Tal 
informação tem como embasamento de que ao se clicar no cadeado do site falso, este não 
abrirá uma nova janela contendo os dados do certificado. Mas como se pode observar na 
Figura 8, isto não é verdade. 
 
Figura 8: Certificado de segurança clonado 
 
 21 
Os phreakers são os hackers por assim dizer especializados em fraudar sistemas de 
telecomunicação, fraudando linhas de telefone convencionais e celulares para fazer uso 
destas de forma gratuita. 
O Lamer é o indivíduo que realiza seus ataques baseado em informações encontradas 
em sites e livros de hackers para invadir redes ou computadores pessoais com segurança 
frágeis. 
O Wannabe é o indivíduo que se intitula hacker ou cracker, porém ainda não possui o 
conhecimento necessário para denominar-se assim. De posse de programas para realizar 
invasão a computadores apenas sabe como utilizá-los e não os conhece a fundo o 
funcionamento dos mesmos. 
O Wizard é tido entre os criminosos como o mestre dos hackers, seus conhecimentos 
são profundos e variados, não sendo necessariamente mal-intencionado. Tem o status de 
mito, com direito a lendas e casos sobre ele (NOGUEIRA, 2001). 
No mundo computacional ainda existem várias outras definições para os criminosos 
eletrônicos, como os cyberpunks e os cyberterrorists que aplicam seus conhecimentos para 
o desenvolvimento de vírus de computador com objetivos de sabotar redes de 
computadores, roubar dados confidenciais e em alguns casos realizar ataques de negação 
de serviço. 
Apesar de todas as definições utilizadas para os criminosos eletrônicos a grande 
maioria das pessoas utiliza a palavra hacker para identificar o criminoso. 
Os crimes computacionais podem ocorrer de diversas formas utilizando-se de recursos 
como a Engenharia Social onde nem mesmo é necessário conhecimento técnico, mas o 
importante é ter o conhecimento do comportamento humano afim de que se consigam as 
informações do alvo atingido de forma que ele mesmo não perceba que estas foram 
passadas. 
Quebras de senha também são ataques comuns, pois nesses casos os hackers 
tentam obter as senhas de redes as quais estão conectados utilizando-se de vários métodos 
como, por exemplo, o ataque de força bruta onde são efetuadas várias tentativas até que se 
consiga descobrir a senha e credencial correta ou através de programas quebradores de 
senha os quais também utilizam tentativa e erro para a descoberta de credenciais. Existem 
também os ataques de backdoor, ou porta dos fundos, onde os programadores deixam 
portas abertas em programas para futuras manutenções. Os ataques DoS (Denial of 
Service), ou seja, um ataque com o objetivo de realizar solicitações a um mesmo 
computador através de uma rede de computadores, fazendo com que o mesmo não consiga 
atender a todos os chamados onde o computador atacado fica inoperante (NOGUEIRA, 
2001). 
 22 
Não são incomuns atualmente casos de perseguição, ameaças, pedofilia, violação de 
privacidade, crimes contra a honra, liberdade individual através de computadores. Nestes 
casos então o computador serve como o instrumento do crime, ou seja, são diversos crimes 
já conhecidos executados através de um computador (SHINDER, 2002). 
Todos estes crimes mostram o quanto é inevitável e imprescindível a atuação da 
Justiça Penal na informática, porém para assessorar a mesma são necessárias 
metodologias científicas capazes de identificar seus autores e é neste momento em que a 
perícia forense entra para auxiliar a Justiça. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 23 
5. PERÍCIA FORENSE 
O termo Perícia vem do latim e significa destreza, competência e habilidade, e 
Forense se refere ao foro judicial, relativo aos tribunais. Pode-se dizer então, que a perícia 
forense é o termo adotado para identificar os métodos científicos da criminalística para se 
identificar e obter a evidências necessárias para o auxilio da justiça. 
A perícia forense trabalha investigando o fato de um crime buscando materializar o ato 
criminoso, por meio da confecção de provas de ordem técnico-científica, que comprovem a 
veracidade do fato, de forma a não deixar dúvida sobre as evidências investigadas. 
Tal função deve-se ao fato de que o juiz, pessoa dotada de grande conhecimento 
jurídico, não dispõe de grande saber científico, o que torna obrigatório a presença dos 
Peritos, profissionais detentores de grande conhecimento em áreas científicas e de 
confiança do juiz, o qual utilizará de seus conhecimentos para realização da perícia no 
objeto questionado (indício), sendo que o resultado de seu trabalho será exposto por meio 
de um laudo, o qual deve ter uma linguagem simples, mas sem omitir dados técnicos, que 
possam ser compreendidos por não especialistas (BUSTAMANTE, 2006). 
O perito é um profissional altamente capacitado e atualizado o qual possui a 
habilidade necessária para tal tarefa, utilizando meios científicos, técnicos ou artísticos para 
provar a veracidade do fato em questão elaborando após a análise de todas as evidências 
um laudo técnico pericial o qual passa a ser uma das provas que compõem um processo 
judicial. Um exame pericial pode consistir em perícia realizada em móveis, pessoas, 
equipamentos, entre muitos outros. 
O cargo de Perito Criminal é dotado de fé pública, ou seja, o que é constatado no 
laudo pericial é tido como verdade, afinal o perito é uma pessoa idônea e imparcial. 
De acordo com Rezende (2008), 
[...] a fé pública não abriga apenas o significado de representação exata e 
correta da realidade, de certeza ideológica, mas também de um sentido 
altamente jurídico, ou seja, fornece evidência e força probante atribuída pelo 
ordenamento,quanto à intervenção do oficial público em determinados atos ou 
documentos. 
O valor jurídico e a certeza implicam que a fé pública pressupõe a 
correspondência da realidade, cuja firmeza é tutelada pelo Direito. 
Nos casos em que um perito não possua fé pública ligada diretamente ao seu cargo, 
como no caso de um perito nomeado pelo juiz ou até mesmo um perito particular, o mesmo 
poderá ter seu laudo validado com fé pública através de um recurso no meio do direito a Ata 
Notarial. O recurso consiste na presença de um Tabelião junto ao perito o qual irá lavrar a 
ata narrando os fatos observados imparcialmente através dos seus sentidos durante a 
perícia. 
 24 
De acordo com Silva Neto (2008), 
A ata notarial nada mais é do que a narração de fatos verificados pessoalmente 
pelo Tabelião e compreende: Local, data de sua lavratura e hora; Nome e 
qualificação do solicitante; Narração circunstanciada dos fatos; Declaração de 
haver sido lida ao solicitante, e, sendo o caso, às testemunhas; Assinatura do 
solicitante, ou de alguém a seu rogo, e, sendo o caso, das testemunhas e 
Assinatura e sinal público do Tabelião. 
O poder certificante do notário é uma faculdade que a lei lhe dá para, com sua 
intervenção, evitar o desaparecimento de um fato antes que as partes o possam utilizar em 
proveito de suas expectativas. A fé pública é, em todo o momento do negócio jurídico, o 
caminho mais efetivo para a evidência [...]. Tudo se reduz à intervenção notarial que, com 
sua presença ou sua atuação, soleniza, formaliza e dá eficácia jurídico ao que ele manifesta 
ou exterioriza por instrumento público, seja este escriturado ou não. Isto se relaciona, 
também, com o poder certificante do notário, o que permite às partes em forma voluntária, 
escolher a forma e o modo de resolver seus negócios [...]; neste caso, como afirma Gatán, a 
função notarial pode considerar-se como jurisdicional. O notário, dentro de sua ampla gama 
de faculdades, logrará, com sua intervenção, estabelecer a prova preconstituída, que há de 
servir de pauta legal, no momento em que seja necessário solicitá-la (YAÑES apud SILVA 
NETO, 2008). 
A ata notarial é um documento público e tem o mesmo valor que uma escritura pública 
e tudo isso se encontra na legislação brasileira (SILVA NETO, 2008): 
� Artigo 364, CPC - O documento público faz prova não só da sua formação, mas 
também dos fatos que o escrivão ou o tabelião, ou o funcionário declarar que 
ocorreram em sua presença. 
� Artigo 217, CC/2002 - Terão a mesma força probante os traslados e as certidões, 
extraídos por tabelião ou oficial de registro, de instrumentos ou documentos 
lançados em suas notas. 
� Artigo 223, CC/2002 - A cópia fotográfica de documento, conferida por tabelião 
de notas, valerá como prova de declaração da vontade, mas, impugnada sua 
autenticidade, deverá ser exibido o original. 
Parágrafo único. A prova não supre a ausência do título de crédito, ou do original, nos 
casos em que a lei ou as circunstâncias condicionarem o exercício do direito à sua exibição. 
A Perícia Forense existe nos dois ramos básicos do direito, o penal e o cível, aqui 
incluído o trabalhista. No ramo penal atua no estudo dos indícios produzidos pela prática 
delituosa, seja de engenharia, ambiental, identificação de ossada, computacional, etc, e na 
 25 
cível, em todo litígio que podem ser dirimidos por meio de estudos técnico-científicos, como 
os casos de investigação de paternidade, ou seja, atua nos mais variados campos onde se 
vê necessário conhecimento técnico especializado. 
No meio criminal observa-se o emprego da perícia em análises balísticas, exames de 
DNA, a papiloscopia que é o processo de identificação através de impressões digitais, 
exames médicos e análises toxicológicas de drogas. Nos crimes ambientais podemos 
observar o uso da perícia no tráfico de animais silvestres, desmatamentos, entre outros. Na 
engenharia o campo de atuação é muito vasto, são cabíveis em desapropriações, usucapião, 
busca e apreensões. 
 No mundo computacional observa-se a crescente demanda por este tipo de perícia, 
com os crimes tomando novas formas e utilizando-se de novos meios, porém não deixando 
de existir e sim crescendo na mesma proporção do avanço da tecnologia. Para o combate a 
estes crimes é necessário um profissional que esteja em aprimoramento técnico-científico 
constante. Os crimes computacionais possuem também uma área de atuação muito vasta, 
como a recuperação de dados, análise de dados na internet, análise de tráfego de redes, 
análise de vírus, análise de ataques entre outras muitas possibilidades. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 26 
6. PERÍCIA FORENSE COMPUTACIONAL 
A PFC é a área da criminalística que trabalha em busca da veracidade dos fatos em 
delitos realizados com uso ou através de computadores. Com o avanço da tecnologia e o 
aumento destes crimes na mesma proporção torna-se cada vez mais necessário o emprego 
desse tipo de perícia. 
Para realizar a análise e coleta de evidências são seguidos procedimentos rígidos 
para que não exista nenhuma irregularidade durante a investigação do fato, o que pode 
fazer com que o juiz considere a prova inadmissível. 
O processo de coleta de evidências é regido por leis, toda a evidência deve ser 
autenticada, o que significa que alguma testemunha tem o dever de testemunhar sua 
autenticidade. No caso da evidência digital este poderá ser um testemunho pessoal, no qual 
o individuo tenha conhecimento dos elementos de prova como um perito, por exemplo. 
Também existem as evidências as quais não necessitam de testemunho como documentos 
públicos e publicações oficiais (SHINDER, 2002). 
Existem três categorias de provas: 
 
� Provas físicas: consiste em objetos materiais que podem ser vistos e tocados; 
� Provas de testemunho direto: o depoimento de uma testemunha que pode 
narrar os fatos de acordo com sua experiência pessoal através dos cinco 
sentidos; 
� Provas circunstanciais: não baseadas em observação pessoal, mas em 
observação ou conhecimento de fatos que tendem a apoiar uma conclusão 
indiretamente, mas não provam isto definitivamente. 
 
Em casos de crimes computacionais as provas são classificadas pelas normas 
SWGDE (Scientific Working Group on Digital Evidence) / IOCE (The International 
Organization of Computer Evidence ) (SHINDER, 2002): 
 
� Provas digitais: informação de valor para um processo penal que está 
armazenada ou transmitida de forma digital; 
� Dados objetos: consiste em objetos de valor para um processo penal o qual 
está associado a itens físicos; 
� Itens físicos: consiste nas mídias físicas onde a informação digital é 
armazenada ou pelo qual é transmitido ou transferido. 
 
 27 
Para se iniciar um processo de perícia computacional é necessário seguir 
procedimentos rigorosos, visando à integridade das provas. São estes requisitos que tornam 
a prova admissível em um tribunal. 
Primeiramente a prova deve ser obtida de forma legal através de um mandato de 
busca e apreensão. A maior parte dos profissionais que trabalham obtendo as provas 
necessárias para investigação concorda com alguns princípios básicos (SHINDER, 2002): 
 
� A prova original deve ser preservada em um estado tão próximo quanto 
possível do estado em que estava quando foi encontrado. 
� Se possível, uma cópia exata (imagem) do original deve ser feita, sendo que 
esta será utilizada para análise de forma a não prejudicar a integridade do 
original. 
� A cópia dos dados deve ser realizada em uma mídia que esteja sem nenhuma 
informação pré-existente, ou seja, totalmente “limpa” e verificada que a mesma 
está livre de vírus e defeitos. 
� Todas as evidências devem ser etiquetadas, documentadas e preservadas, e 
cada passo da análise forense deve ser documentado em detalhes. 
 
Os primeiros a chegar a cena do crime devem tomar algumas precauções para que se 
possa garantira integridade das evidências, tentando não modificar, desligar equipamentos 
ou obter provas, a menos que os mesmos sejam treinados em forense computacional, afinal, 
muitos criminosos podem deixar cavalos de tróia e outros mecanismos que programem a 
destruição das provas do equipamento, assim que sejam desligados ou manipulados 
incorretamente. Os primeiros a chegar a cena do crime devem se preocupar com 
(SHINDER, 2002): 
 
� Identificar a cena do crime: Verificar a extensão da cena do crime e definir 
um perímetro. Isso pode incluir desde uma sala, várias salas ou ainda edifícios 
inteiros se o suspeito estiver atuando em uma complexa configuração de 
computadores em rede. 
� Proteger a cena do crime: quando se pretende obter evidências digitais todos 
os equipamentos laptops, notebooks, desktops, PDA’s (Personal Digital 
Assistant) entre outros devem ser protegidos. Estes itens podem ser limitados 
devido ao mandado mas até que o investigador do caso chegue não deve ser 
descartado nenhum equipamento. 
� Preservar as evidências frágeis e temporárias: no caso de evidências que 
possam desaparecer antes dos investigadores chegarem, como informações 
 28 
sendo exibidas no monitor e mudando constantemente, os primeiros a chegar 
ao local do crime devem tomar quaisquer medidas possíveis para preservar ou 
gravar estas evidências. Se uma câmera estiver disponível, fotos devem ser 
tiradas e na ausência desta os presentes na cena do crime devem tomar notas 
detalhadas e estarem dispostos a testemunharem em um tribunal, sobre o que 
foi observado na cena do crime. 
 
Os investigadores ao chegarem a cena do crime podem se deparar com uma equipe já 
trabalhando na mesma, porém, a partir deste momento os mesmos devem ser coordenados 
pelo investigador policial, o qual também desempenha o seguinte papel (SHINDER, 2002): 
 
� Estabelecer a cadeia de comando: o investigador sênior deve garantir que 
todos estão cientes da cadeia de comando e as decisões importantes são 
filtradas por ele. Computadores e demais equipamentos não devem ser 
desligados ou manuseados sem instruções diretas do investigador sênior. Se o 
investigador a cargo da investigação precisar deixar a cena do crime deve 
designar um membro da equipe para que fique em seu lugar e também manter 
contato freqüente com este durante toda sua ausência. 
� Conduzir a pesquisa na cena do crime: deve direcionar a pesquisa e análise 
das evidências na cena do crime, se o mandado de busca permitir deve-se 
verificar todo o hardware, software, manuais, notas escritas e tudo que se 
relacione ao uso dos equipamentos como computadores, notebooks, scanners, 
PDA’s, disquetes, CD’s (Compact Disk), DVD’s (Digital Vídeo Disk), fitas, 
discos removíveis e todos os demais discos que possam ser vistos ao redor. 
� Manter a integridade da evidência: os investigadores devem continuar a 
proteger as evidências, como a preparação para preservar evidências voláteis, 
duplicando os discos e desligando os sistemas corretamente. O investigador 
deve supervisionar todas as ações técnicas na cena do crime e transmitir todas 
as considerações que devem ser tomadas com base na natureza do caso e 
conhecimento do suspeito. 
 
De acordo com Shinder (2002, p. 554), 
Os técnicos em crimes informáticos devem ser treinados em computação 
forense possuindo uma sólida experiência na área de tecnologia computacional, 
conhecer como discos são estruturados, como trabalha o sistema de arquivos e 
como e onde os dados são gravados. 
 29 
Geralmente os técnicos em crimes informáticos ou peritos em crimes informáticos, são 
responsáveis pelo seguinte (SHINDER, 2002): 
 
� Preservar evidências voláteis e duplicar discos: informações que estão na 
memória do equipamento, processos sendo executado, duplicar discos antes 
de desligar o equipamento. 
� Desligar sistemas para transporte: desligar o equipamento de forma correta 
é muito importante para que se possa garantir à integridade da prova em 
alguns métodos a forma correta é encerrar todos os programas e desligar o 
computador normalmente, em outros se desliga o equipamento tirando o cabo 
de energia para evitar que algum programa destrua os dados durante o 
processo de desligar o equipamento normalmente. Este último método não 
deve ser adotado em sistemas baseados em UNIX, já que este procedimento 
pode danificar dados, alguns profissionais indicam mudar de conta de usuário 
através do comando su se a senha do usuário root for conhecida e utilizar o 
comando halt antes de desligar o equipamento. 
� Etiquetar e anotar as evidências: todas as provas devem ser marcadas com 
as iniciais do técnico ou perito, hora e data em que foi coletada, número do 
processo e dados de identificação. 
� Embalar os elementos de prova: evidências digitais, principalmente as que 
possuem circuitos expostos como discos rígidos, devem ser embalados em 
sacos antiestáticos para o transporte. Documentos e manuais devem ser 
embalados em sacos plásticos ou protegidos de outra forma. 
� Transportar os elementos de prova: todas as evidências devem ser 
transportadas o mais rápido possível para sala de armazenamento de provas. 
Durante o transporte as evidências não devem entrar em contato com campos 
magnéticos (inclusive rádios policiais ou equipamentos eletrônicos no veículo), 
ficar expostas ao sol ou em locais com temperatura acima de 24º C. 
� Processar os elementos de prova: a partir da cópia realizada dos discos 
deve-se realizar a perícia no equipamento através de ferramentas forenses. 
 
Atualmente as técnicas utilizadas pela PFC atentem aos requisitos necessários para 
que se consiga a evidência e a veracidade dos fatos de forma íntegra, porém o conceito de 
realizar uma cópia do conteúdo da memória ainda não é um procedimento padrão não 
sendo adotado usualmente. 
 30 
7. TÉCNICAS DE PERÍCIA FORENSE 
Independente da área em que será realizada a pericia será necessário utilizar técnicas 
que possam tornar possível a análise dos elementos de prova. As técnicas empregadas 
atualmente são de grande auxílio e tornam possível observar a veracidade aos fatos. 
Para cada tipo de análise existe uma técnica específica a qual torna possível através 
de analises identificar e evidenciar a veracidade dos fatos. 
7.1. Confronto microbalístico 
No local de um crime onde foram efetuados disparos com arma de fogo o trabalho da 
perícia é coletar as evidências destes disparos, ou seja, projéteis, armas e cápsulas para 
realizar posteriormente a análise das evidências e descobrir de que arma foram realizados 
os disparos. Para isso é utilizada a técnica de confronto microbalístico ou balístico a qual 
tem como objetivo identificar a arma que realizou o disparo de determinado projétil. 
Exames em armas de fogo podem demonstrar se a mesma é mecanicamente 
funcional ou se poderia ser realizada um disparo não intencional, para isso são realizados 
exames no gatilho para que possa identificar a pressão necessária para realizar o disparo, 
para isso são identificadas as características microscópicas dos projéteis (FBI, 2003). 
Os projéteis examinados são chamados de projétil incriminado e projétil padrão. O 
projétil incriminado é aquele que foi encontrado na cena do crime ou corpo da vítima, e o 
projétil padrão é o projétil obtido através de disparo em ambiente de laboratório, onde será 
efetuada posteriormente o confronto microbalístico. 
Para Sato (2003, p. 26), para que se possa compreender de melhor forma o confronto 
microbalístico é ”[...] necessário conhecer a munição de arma de fogo e os fenômenos 
envolvidos durante o disparo.” 
No momento do disparo ocorre o que é chamado de Dinâmica de Tiro, onde ocorrem 
quatro fases em uma fração de segundo (ZARZUELA, 1996): 
� 1 – Fase mecânica: onde ocorre a percussão da cápsula de espoletamento que 
contém a mistura iniciadora; 
� 2 – Fase química: neste ponto ocorre a reação de detonação damistura 
iniciadora seguida da reação de deflagração da pólvora; 
� 3 – Fase física: esta fase é representada pelos gases formados no interior do 
estojo, sob elevada pressão e temperatura 
� 4 – Fase mecânica: aqui ocorre o desalojamento do projétil do estojo, o 
encaminhamento à culatra, passagem pelo cano e saída pela “boca” em 
direção ao alvo, segundo uma trajetória. 
 31 
Na Figura 9 observa-se que o cartucho de arma de fogo é composto por quatro partes: 
projétil, estojo (ou cápsula), o propelente (ou pólvora) e a espoleta (SATO, 2003). 
 
Figura 9: Cartucho de munição de arma de fogo (SATO, 2003) 
 
O projétil atravessa o cano da arma e atinge o alvo, para isso a força com que 
o mesmo é acelerado dentro do cano da arma é proveniente da pólvora, pois a 
queima da pólvora gera grande quantidade de gás, aumentando a pressão interna e 
o projétil é empurrado para frente. Para que a pólvora queime é necessário que haja 
uma chama iniciadora, a qual é fornecida pela espoleta que contém uma pequena 
quantidade de explosivo sensível ao choque mecânico, ou seja, detona com 
percussão. A cápsula (ou estojo) é o recipiente que contém o projétil na ponta, a 
pólvora dentro e a espoleta na base (SATO, 2003). 
A Figura 10 demonstra como o cartucho fica alojado na câmara pronto para 
ocorrer o disparo. 
 
 32 
 
Figura 10: Cartucho na câmara pronto para o disparo (SATO, 2003). 
 
O que torna possível o confronto microbalístico é o contato da superfície lateral 
do projétil durante o disparo com a superfície interna do cano da arma de fogo o qual 
produzirá marcas e micro-estriamentos sobre a superfície do projétil, marcas estas 
macroscópicas e microscópicas. Estas marcas são únicas, ou seja, estas marcas só 
podem ser geradas pela mesma arma nunca por outra (SATO, 2003). 
Para realizar a comparação balística a arma apreendida é manuseada e 
preparada em ambiente de laboratório para que possa efetuar os disparos 
experimentais. 
De acordo com Zarzuela (1996, p. 40), 
Na prática rotineira dos Institutos de Criminalística do país, para proceder-se à 
identificação individual de uma arma de fogo, realizam-se tiros experimentais 
em desaceleradores como água, cinzas, serragem, algodão, glicose etc. 
Após os disparos experimentais os projéteis experimentais são comparados 
com a evidência lado a lado por um microscópio com câmera fotográfica acoplada 
podendo verificar pequenas áreas de um projétil mesmo que bastante deformado 
devido ao impacto. 
A Figura 11 mostra a superfície lateral de dois projéteis disparados pela mesma 
arma e comparados por microscópio. 
 
 33 
 
Figura 11: Comparação microbalística de projéteis (SATO, 2003). 
 
Os cartuchos também podem ser verificados microscopicamente em busca de 
evidencias que comprovem que o mesmo foi marcado por determinada arma de fogo 
(FBI, 2003). 
A cápsula da munição também adquire marcas da arma, quando o percurtor se 
choca contra a espoleta, deixando marcas no local do contato e também a queima 
de pólvora que aumenta a pressão interna do cartucho faz com que o mesmo seja 
empurrado para trás, chocando-se com a culatra, fazendo com que o mesmo tenha 
as imperfeições da culatra impressas na base o cartucho, observadas na Figura 12 e 
Figura 13 (SATO, 2003). 
 
Figura 12: Cápsulas percutidas pela mesma arma apresentando marcas da culatra em forma de linha 
paralela (SATO, 2003). 
 34 
 
Figura 13: Confronto das marcas de culatra estampadas à esquerda do sinal de percussão. As setas 
indicam que as marcas coincidem em ambas as cápsulas (SATO, 2003). 
 
Este mesmo procedimento se aplica a instrumentos como alicates, chaves-de-
fenda, etc. O que se faz é sempre comparar as marcas deixadas (SATO, 2003). 
7.2. Papiloscopia 
A papiloscopia é a técnica utilizada para identificação humana através de 
impressões digitais, coleta de fragmentos em locais de crimes ou acidentes, análise 
de retratos falados. Para isso através de reveladores papilares tornam possíveis as 
identificações. 
De acordo com Zarzuela (1996, p. 78), 
Reveladores, sob o ponto de vista genérico, são substâncias puras ou misturas 
capazes, física ou quimicamente de tornar visíveis impressões papilares 
latentes. [...] São reveladores de impressões papilares latentes as substâncias 
químicas ou meios idôneos capazes de torná-las visíveis sem que ocorra reação 
química entre o revelador e os produtos de perspiração. 
Para realizar a coleta de impressões digitais é necessário que a cena do crime 
esteja intacta, ou seja, sem nenhuma modificação garantindo a integridade das 
evidências. Devem ser seguidos procedimentos que preservem a evidência (FBI, 
2003): 
� Fotografar impressões latentes antes de qualquer tratamento; 
� Examinar todas as evidências visuais com uma luz laser ou outra fonte 
luminosa antes de usar qualquer outro processo de identificação latente; 
� Quando utilizar processos para obter impressões latentes, consultar as 
instruções do fabricante e as fichas de segurança. Usar equipamento de 
proteção individual (por exemplo, óculos de segurança, máscaras, luvas, 
etc); 
 35 
Para se obter as impressões latentes de uma cena de crime podem ser 
utilizados reveladores compostos de várias substâncias químicas puras ou misturas 
(ZARZUELA, 1996). 
Estas substâncias químicas ou misturas funcionam como ferramentas que 
tornam possível obter as provas, como procedimentos que garantem a integridade 
da evidência, fazendo com que a mesma seja aceita em um tribunal pelo juiz. 
7.3. Análise de memória 
Os dados contidos na memória do equipamento são tidos como dados voláteis, 
ou seja, dados que dependem da energia elétrica para existirem, pois assim que a 
energia faltar ou o equipamento for desligado estes dados deixam de existir. 
De acordo com o IEEE (Institute of Electrical and Electronics Engineers) devem ser 
coletados primeiramente os dados mais voláteis, porém a coleta dos dados voláteis 
apresenta um problema já que este procedimento altera o estado do sistema, ou 
seja, o conteúdo da memória e alguns especialistas recomendam que os peritos em 
computação capturem dados de processos em execução, estado da rede e um 
“dump” dos dados da memória, ou seja, uma cópia do conteúdo da memória. Todas 
as operações realizadas durante o processo de investigação do equipamento devem 
ser documentadas. Para este tipo de análise podem ser utilizados comandos como 
netstat, ipconfig, ifconfig (no Linux), arp, etc, desde que os mesmos sejam todos 
documentados (SHINDER, 2002). 
A análise de memória é uma forma de se pesquisar o que esta ocorrendo no 
equipamento no exato momento em que o mesmo esta em operação, pois os 
processos em execução alocam espaços na memória para que possam ser 
executados no equipamento. Isso torna possível análise de malwares, vírus, ou seja, 
os programas em execução, este tipo de análise é denominado com análise 
dinâmica. 
De acordo com Farmer e Venema (2007, p. 103), 
Com a análise dinâmica, estudamos um programa à medida que ele executa. [...] 
A análise dinâmica tem a vantagem da velocidade. Mas ela tem a desvantagem 
de que “o que você vê é tudo o que você obtém”. [...] é impossível fazer com 
que um programa não trivial percorra todos os caminhos no seu código. 
A forma mais simples de se descobrir como um programa se comporta é 
executá-lo e observar o que acontece, porém este procedimento pode comprometer 
 36 
toda a investigação afinal o programa pode vir a destruir todas as informações do 
equipamento. 
Para executar este programa seria mais seguro que o mesmo fosse executado 
em um ambiente onde o mesmo não pudesse causar grandes danos, um ambiente 
controlado, ou como adotado pela balística executar em uma caixa de areia, este 
termo é emprestado da balística, pois os peritos em balística efetuam disparos de 
testes em caixas de areia fazendo com que os projéteis não causem nenhum dano 
(FARMER e VENEMA,2007). 
Como nas perícias de armas de fogo e papiloscopia, na computação são 
utilizadas ferramentas para auxiliar o desenvolvimento da investigação bem como 
para obter a veracidade dos fatos, estas ferramentas são softwares específicos para 
este fim. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 37 
8. FERRAMENTAS DE PERÍCIA COMPUTACIONAL 
As ferramentas para PFC são muito diversas, sendo definido pelo profissional 
que realizará a análise qual é a mais adequada para cada caso. Dentre tantas 
ferramentas podem-se identificar ferramentas para recuperação de dados, análise 
de memória, engenharia reversa, análise de dados em uma rede entre muitas outras. 
8.1. Ferramenta Helix 
Este trabalho aborda uma ferramenta de uso gratuito disponível na internet o 
Helix (http://www.e-fense.com/helix/) e algumas outras opções de ferramentas. 
A ferramenta Helix é uma ferramenta que possui opções para recuperação de 
dados, listagem de processos, análise de memória, recuperação de credenciais de 
acesso como logins e senhas, cookies entre diversos outros itens importantes 
durante uma análise pericial. 
O Helix executa a partir de um CD, pode tanto ser executado com o 
computador ligado como pode ser utilizado de forma inicializável, ou seja, pode ser 
iniciado ao ligar o computador, onde é carregado no equipamento sua versão em 
Linux, onde se pode utilizar as ferramentas disponíveis para análises dos casos e 
alguns programas que não estão disponíveis em sua versão Windows, como o 
Autopsy. 
A Figura 14 mostra o Helix em execução a partir do CD no ambiente Windows, 
a partir desta janela do programa é possível executar os programas disponíveis para 
realizar a análise forense. 
 
Figura 14: Ferramenta Helix 
 38 
Estas ferramentas são indispensáveis e contribuem imensamente na solução 
dos casos, agilizando o processo de investigação e garantindo a integridade da 
análise desenvolvida pelo profissional. 
Através do Helix é possível descobrir quais aplicativos estão sendo executados 
no momento em que a perícia no equipamento é realizada, isso é de grande 
importância no caso de o que se esteja procurando é um malware, tornando possível 
uma análise no aplicativo através de ferramentas que possibilitam descobrir o que 
este aplicativo faz e como ele se comporta, buscando um entendimento mais 
profundo, o que também consome um tempo maior de investigação. Na Figura 15 é 
possível observar a listagem dos aplicativos que estão executando no momento da 
perícia pela ferramenta. 
 
Figura 15: Listagem dos aplicativos executando 
 
8.2. Ferramenta Helix e DD 
Para se coletar os dados da memória com o Helix é necessário uma ferramenta 
chamada “DD” que está inclusa no CD do Helix, esta ferramenta torna possível 
 39 
realizar um dump da memória, ou seja, realizar uma cópia do conteúdo da memória. A 
Figura 16 demonstra onde esta a ferramenta, deve-se selecionar a opção 
“\\.\PhysicalMemory” em seu campo “Source” após selecionar esta opção é 
necessário informar onde o arquivo gerado deverá ser gravado, para evitar maiores 
alterações no conteúdo do HD (Hard Disk) do equipamento este arquivo deve ser 
gravado em uma mídia diferente do mesmo, ou seja, um pen drive ou HD externo ou 
outro computador através da opção “NetCat”, a qual torna possível enviar este 
arquivo pela rede a um equipamento que esteja executando o “NetCat”, para isto 
basta informar o endereço IP (Internet Protocol) do computador remoto e a porta 
utilizada para a comunicação. Após estas opções selecionadas é necessário clicar no 
botão “Acquire”. 
 
 
Figura 16: Ferramenta para recuperar o conteúdo da memória 
 
Após o arquivo “image.dd” ser gerado este arquivo pode ser analisado através 
de ferramentas que possibilitem visualizar o conteúdo do arquivo. 
 40 
Live Acquisition é a forma de se obter uma imagem do computador quando o 
mesmo está ligado, afinal o equipamento que esta sendo auditado pode ser um 
servidor que não pode ser desligado. 
Live Analysis é utilizada quando o profissional evita desligar o equipamento 
devido ao receio de perder dados importantes para a investigação, ou seja, os dados 
voláteis, neste caso é realizada a captura do conteúdo da memória do computador e 
se faz necessário uma Ata Notarial. 
8.3. Ferramenta Volatility 
A ferramenta Volatility é capaz de analisar o conteúdo coletado da memória de 
um computador. Esta ferramenta é gratuita e pode ser obtida através de um 
download, é necessário também que seja instalado previamente no computador que 
executará a ferramenta o Python na sua versão mínima 2.5. 
Através de comandos no prompt do MS-DOS (MicroSoft Disk Operating System) é 
possível analisar o arquivo “image.dd” gerado anteriormente pela ferramenta “DD”. 
É possível através destes comandos obter os processos que estão em execução na 
memória do equipamento, arquivos utilizados, conexões entre outras diversas 
informações. A Figura 17 mostra como é possível através do comando “python 
volatility pslist –f d:\tst\image\image.dd” obter a listagem dos processos em execução 
na memória, sendo possível observar também as identificações de PID (Process ID) 
dos processos e a data e hora em que foram iniciados. 
 
 41 
 
Figura 17: Listagem dos processos pela ferramenta Volatility 
Após listar os processos em execução na memória é possível obter o arquivo 
executável com o comando “python volatility procdump –m disk –p 1700 –f 
d:\tst\image\image.dd”, o arquivo executável será gravado no diretório onde esta 
sendo executado o Volatility e pode ser posteriormente analisado com uma 
ferramenta desassembler, possibilitando investigar o que o programa faz. 
Também é possível obter as conexões que estavam estabelecidas no 
equipamento quando a memória foi coletada. Para isso basta utilizar o comando 
“python volatility connections –f d:\tst\image\image.dd”, conforme a Figura 18 mostra. 
 
 
Figura 18: Relação das conexões ativas pela ferramenta Volatility 
 
 42 
O conteúdo deve ser analisado da forma que se encontra pelo perito, a análise 
pode levar um bom tempo, porém pode trazer dados muito importantes para a 
investigação. 
Existem diversas ferramentas algumas pagas e outras sem nenhum custo, 
entre as ferramentas pagas uma das mais destacadas é a ferramneta EnCase 
(http://www.guidancesoftware.com/products/ef_index.asp), a qual é uma solução 
muito completa e com muitos recursos e também as ferramentas F-Response 
(http://www.f-response.com), esta última com a proposta de realizar a análise de 
memória remotamente somente apenas como leitura, ou seja, é realizado um 
acesso remoto ao computador investigado apenas lendo o conteúdo da memória 
sem nenhuma escrita. 
8.4. Os perigos da análise de memória online 
A análise de memória online, ou seja, enquanto o equipamento está ligado e 
com processos em execução pode ser muito vantajosa, pois através dela pode-se 
obter um conteúdo muito precioso para a investigação. Porém, esta análise é um 
tanto quando perigosa já que um atacante pode utilizar métodos anti-forenses. 
De acordo com Branco e Balestra (2008, p. 28) 
Quando um auditor se depara com um ambiente completamente hostil, (por 
exemplo, quando a máquina auditada é propriedade de um criminoso) sabe-se 
que a memória do sistema pode ser realmente importante (principalmente 
porque existem muitos arquivos do sistema criptografados [...]). 
Um atacante que possua um rootkit adequado, ou seja, um conjunto de 
ferramentas adequadas pode realizar diversas modificações na memória do 
equipamento até mesmo provocando uma limpeza dessa memória antes do perito 
realizar um dump do conteúdo, ou seja, uma cópia do conteúdo da memória o que 
poderia comprometer toda as evidências contidas na memória. 
Cada rootkit tem uma forma diferente de ocultar a presença de um malware, 
fazendo assim com que para cada caso seja adotada outra forma de se efetuar a 
detecçãoda presença do rootkit mesmo que seja uma pequena diferença na forma 
de esconder a presença do programa (FARMER e VENEMA, 2007). 
 
 
 
 43 
9. CONCLUSÃO 
Assim como na perícia forense convencional a perícia forense computacional 
deve se adequar a cada dia buscando novas formas de se obter as evidências 
necessárias para a investigação dos crimes, já que existe uma crescente demanda 
dos crimes realizados com o uso de computadores e pela internet. 
Como nos casos de perícia microbalística onde a arma é manuseada para 
efetuar o disparo em ambiente de laboratório, assim por dizer modificando o seu 
estado desde a apreensão e para a coleta de impressões digitais, em sua forma 
latente são utilizados elementos químicos como ferramentas que tornam possível a 
coleta destas evidências. O que se observa é que é possível a coleta do conteúdo 
da memória do equipamento no momento da apreensão e após realizar a perícia 
através de ferramentas que podem obter os dados contidos na memória do 
equipamento. 
Como mostrado neste trabalho existem ferramentas que tornam possível a 
coleta dos dados contidos na memória do equipamento, porém para que a evidência 
seja aceita em um tribunal como prova válida de um crime é necessário que o 
procedimento desde sua coleta até sua perícia não tenha falhas. Para isso o 
profissional que realizar a perícia deve estar certo de que o procedimento realizado 
é o mais adequado para cada caso. Ainda para contribuir muito para que esta 
evidência seja aceita existe a Ata Notarial, um recurso que muitas vezes é 
esquecido pelos profissionais, por exemplo, em um caso que envolva um risco 
grande de ser invalidado durante o processo de coleta das evidências. 
 
 
 
 
 
 
 
 
 
 
 44 
10. REFERÊNCIAS BIBLIOGRÁFICAS 
ARAS, Vladimir. Crimes em informática. Disponível em: <http://www.informatica-
juridica.com/trabajos/artigo_crimesinformticos.asp>. Acesso em: 28 de mar. 2008. 
 
BRANCO, R. R.; BALESTRA, F. A. Kernel Hacking & Anti-forensics: Evading Memory 
Analysis. Hackin9, maio de 2008. Disponível em: 
<http://www.kernelhacking.com/rodrigo/docs/AntiForense.pdf>. Acesso em: 07 de nov. 2008. 
 
BUSTAMANTE, Leonardo. Computação Forense: Novo campo de atuação do profissional 
de informática. Disponível em: 
<http://imasters.uol.com.br/artigo/4288/forense/computacao_forense_-
_novo_campo_de_atuacao_do_profissional_de_informatica>. Acesso em: 02 de jun. de 
2008. 
 
ELEUTÉRIO, Fernando. Análise do conceito de crime: Disponível em: 
<http://www.uepg.br/rj/a1v1at09.htm>. Acesso em: 20 de fev. 2008. 
 
FARMER, D.; VENEMA, W. Perícia forense computacional: Teoria e prática aplicada. 
Tradução Edson Furmankiewicz, Carlos Schafranski, Docware Traduções Técnicas. São 
Paulo: Pearson Prentice Hall, 2007. Título original: Forensic Discovery. 
 
FBI. Handbook of Forensic Science, Revised 2003. Disponível em: 
<http://www.fbi.gov/hq/lab/handbook/forensics.pdf>. Acesso em: 08 de nov. de 2007. 
 
NOGUEIRA, José Helano Matos. A nova face do crime. Revista Perícia Federal. Ano III nº 
9, julho 2001. 
 
REZENDE, A. C. F. Sobre a Fé Pública. Disponível em: 
<http://www.irib.org.br/biblio/Rezende.asp>. Acesso em: 07 de jun. de 2008. 
 
SATO, Eduardo Makoto. O que é e como funciona o confronto microbalístico?. Revista 
Perícia Federal. Ano IV nº 15, Setembro/Outubro de 2003. 
 
SECURITYFOCUS, S. G. Masood. Malware Analysis for Administrators: Disponível em: 
<http://www.securityfocus.com/infocus/1780 >. Acesso em: 08/11/2007. 
 
SHINDER, Debra Littlejohn. Syngress Scene of Cybercrime: Computer Forensics 
Handbook. Rockland: Syngress Publishing, Inc, 2002. 
 
SILVA NETO, Amaro Moraes e. A Importância da Ata Notarial para as Questões 
Relativas ao Ciberespaço. Disponível em: 
<http://www.buscalegis.ufsc.br/arquivos/ciberespa%E7o.pdf>. Acesso em: 01 de set. de 
2008. 
 
U.S. Departament of Justice, Federal Bureal of Investigation. Handbook of Forensic 
Science, 1994. 
 
ZARZUELA, José Lopes. Temas fundamentais de criminalística. Porto Alegre: Sagra – 
Luzzatto, 1996. 
 
ZILLO NETO, Marcello. Segurança da Informação e Tecnologia: Disponível em: 
<http://mzillo.blogspot.com/>. Acesso em: 08 de nov. de 2007.