COMPUTAÇÃO FORENSE Livro-Texto - Unidade IV

Prévia do material em texto

156
Unidade IV
Unidade IV
7 EXAMINANDO OS MALWARES
A grande disseminação de scripts (softwares) maliciosos encontra explicação na ampla utilização de 
dispositivos e aplicações tecnológicas pela sociedade. É natural que criminosos cibernéticos procurem 
se aproveitar de vulnerabilidades presentes nesses gadgets para implantar malwares cujos resultados 
revertam em vantagens para eles mesmos – muitas vezes a intenção nem é financeira, já que acontece 
por inconsequência, vandalismo ou ideologia.
7.1 Contextualizando os malwares
Um malware é qualquer programa malicioso cujo objetivo é obter acesso e/ou uso não autorizado 
dos recursos de um sistema. Esse acesso e/ou uso não autorizado pode ser entendido como invasão 
de privacidade, roubo de informações, instalação de rotinas não autorizadas e outros malefícios. 
Caracterizado por contaminar arquivos, redes e ambientes de forma automática, esse tipo de programa 
pode ser de difícil solução, já que a grande maioria busca se infiltrar e se esconder da ação dos controles 
de segurança. Conexões com atacantes virtuais, para os quais são enviados dados privados, mostram 
que os malwares também podem ser encarados como elementos de comunicação maliciosa. Assim, o 
termo malware se estende a uma grande categoria de scripts maliciosos, de vírus a backdoors, passando 
por trojans, rootkits, adwares, spywares, keyloggers, sniffers, screenloggers, worms, bots, ransomwares e 
outras pragas virtuais.
 Saiba mais
Para saber mais sobre os diversos tipos de malwares citados aqui, vale 
a pena consultar:
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE 
SEGURANÇA NO BRASIL. 4. Códigos maliciosos (Malware). CERT.br, [s.d.]. 
Disponível em: https://cartilha.cert.br/malware/. Acesso em: 26 jan. 2021.
Há muitas formas pelas quais um malware pode infectar um sistema: por meio da exploração de 
vulnerabilidades, execuções automáticas de mídias externas, recebimento de e-mails e mensagens 
contaminadas, engenharia social e até usuários mal-intencionados.
Contudo, pode-se perceber que devido às suas características, ao mesmo tempo que causam 
problemas diversos, os malwares podem, em certa maneira, representar uma fonte de evidências 
valiosíssima para o profissional forense que conseguir desvendar suas conexões e funcionalidades. 
157
COMPUTAÇÃO FORENSE
Sendo assim, quando adequadamente realizada, a análise dos malwares pode ser até benéfica para 
a atividade forense. Em pelo menos três condições a análise de malwares pode ser essencial:
• Durante a execução de um software malicioso que seja suspeito de estar infectado com algum 
malware, como um vírus, ou que seja suspeito de estar executando funções não autorizadas, como 
roubo de dados ou modificações. Em casos como este é importante que o profissional forense 
tente primeiro identificar o programa que está executando as atividades e se sua assinatura 
binária é igual à do software de uma instalação original – isso pode determinar se o software 
foi comprometido. Em seguida devem ser levantadas as funcionalidades do malware, se ocorre o 
envio de dados para endereços externos, se acontecem downloads de arquivos provenientes de 
sites suspeitos, se o script registra informações como teclas pressionadas ou dados do sistema e 
se há portas lógicas abertas pelo software.
• Depois da execução de um malware. A análise post mortem diz respeito a auditorias e exames 
que ocorrem depois que o evento malicioso aconteceu e o ambiente foi comprometido. Portanto, 
são análises que se restringem a entender os efeitos que o malware gerou no sistema após sua 
execução. Um exame post mortem está mais focado em determinar o comportamento e identificar 
as ações executadas pelo script malicioso. O profissional deve buscar levantar evidências que 
permitam identificar o autor (pessoa ou software) envolvido no problema, se há portas abertas 
ou eventuais backdoors que permitam a repetição do incidente, se os logs do sistema registraram 
algum evento que ajude no rastreamento da fonte da ameaça (multicorrelacionamento é uma 
metodologia bastante útil nestes casos), se outros equipamentos foram comprometidos e se 
existem conexões reversas instaladas pelo malware que permitem a passagem de novos elementos 
maliciosos por controles de segurança, como firewall e SDPI. Como, em geral, uma análise desse 
tipo é demorada, já que se trata de uma detecção – o problema está ocorrendo naquele momento –, 
em muitas ocasiões o resultado sai depois que a ameaça já gerou um prejuízo.
• Em muitos casos, o malware é um elemento secundário, atuando apenas como um provedor de 
informações para um ataque mais elaborado. Neste caso, o foco do profissional forense está em 
rastrear as ligações entre os recursos envolvidos no ataque, como entender as funcionalidades 
do malware, identificar as principais ações realizadas no ataque e se há novos arquivos criados 
durante o ataque.
Scripts que capturam telas, teclas ou eventos realizados em um sistema para obtenção de informações, 
como spywares e adwares, são exemplos de malwares usados como elementos secundários. Apesar 
de maliciosos, esses programas não são o foco principal do ataque, mas simples meio de os atacantes 
obterem informações.
Em casos nos quais as ações desses scripts são evidentes, há mais facilidade para o profissional 
forense desvendar conexões maliciosas. Muitas vezes, entretanto, esses programas agem de forma 
escondida e são difíceis de serem descobertos. Outra dificuldade está no fato de alguns desses programas 
funcionarem ligados a outros aplicativos, enganando o usuário. Por exemplo, um aplicativo instalado 
em um smartphone pode conter spywares que enviam informações privadas do usuário ou adwares 
que funcionam capturando preferências. A dificuldade, neste caso, reside no fato de o usuário não ver 
problemas aparentes neste tipo de ação.
158
Unidade IV
7.2 Identificação e análise de malwares
Uma das principais maneiras de se identificar um malware atuando em um sistema é por meio da 
simples execução de um antivírus. Em termos forenses, essa execução deve seguir algumas premissas, 
já que a preservação dos elementos investigados é uma prioridade e pelo menos dois fatos indesejados 
podem ocorrer nesse processo: (1) a eliminação automática do malware pelo antivírus (lembrando que 
o malware é, antes de tudo, uma evidência que deve ser preservada na investigação); e (2) mudanças 
de comportamento ou ofuscação realizadas pelo próprio script malicioso quando abordado por um 
controle de segurança como o antivírus. Um roteiro recomendável para a execução de um antivírus para 
a detecção de malwares é o seguinte:
• Criar uma imagem física (cópia completa) do disco que está sob a análise. Há diversas ferramentas 
que podem ser usadas para esse fim, entre elas o utilitário dd, presente em distribuições Linux, 
e o FTK Imager (já recomendado) para o Windows.
• Montar a imagem física em uma máquina no formato só leitura. Isso impede alterações indesejadas 
no conteúdo analisado.
• Executar o antivírus na imagem só como leitura montada.
Existem malwares que podem estar fisicamente localizados em uma máquina, mas que podem 
nunca ter sido executados. Estão, por alguma razão, inativos. O melhor é que sejam eliminados, porém, 
a presença desses malwares inativos pode confundir o perito forense. É importante que o foco sejam 
os malwares em execução, mas muitas vezes é difícil saber quais estão sendo executados, por exemplo, 
na inicialização do sistema operacional e quais estão inativos.
Uma alternativa bastante interessante em relação a antivírus é o serviço oferecido pelo site VirusTotal 
(veja figura 72), que analisa um arquivo executável enviado por mais de 50 antivírus.
Figura 72 – Tela de análise do site VirusTotal
159
COMPUTAÇÃO FORENSE
Na figura pode ser vista a análise de um arquivo que contém malwares embutidos que não foram 
detectados por todos os antivírus justamente por estarem em um esquema de packing.
Além da análise múltipla, o serviçogera um relatório com diversas informações do binário (executável), 
como um hash do arquivo, verificando sua autenticidade/integridade. O relatório é bastante completo e 
serve plenamente aos propósitos de um profissional forense (veja a figura 73).
Figura 73 – Relatório exibido no site VirusTotal
Outra fonte de preocupação quando o assunto é a identificação de malwares são os programas 
inicializados de forma automática pelos sistemas operacionais. Diversos serviços essenciais ao 
funcionamento do sistema operacional são iniciados dessa forma a partir de locais específicos, como 
160
Unidade IV
diretórios, chaves de registro e arquivos. É muito comum que malwares se aproveitem disso para 
automatizar seu funcionamento. No Windows, por exemplo, a detecção dessa prática pode ser complexa, 
visto que há uma série de locais de onde os malwares podem ser inicializados.
Uma ferramenta bastante útil para analisar os programas de inicialização automática no Windows é 
o Autoruns, presente na suíte de aplicativos Sysinternals da Microsoft (veja a figura 74).
Figura 74 – Tela do utilitário Autoruns
A suíte Sysinternals é um conjunto com diversos utilitários e controles (aplicativos) de segurança 
disponibilizado gratuitamente pela Microsoft em docs.microsoft.com/en-us/sysinternals/downloads/
sysinternals-suite (acesso em: 27 jan. 2021). Ele se divide entre utilitários de disco, de rede, de processos, 
de segurança, de sistemas e variados.
Entre outras coisas, o Autoruns verifica a assinatura de arquivos binários com entradas de inicialização, 
marca arquivos automáticos não encontrados (amarelo) ou suspeitos (rosa), possui integração com o 
site VirusTotal, salva registros do Windows em formato texto para posterior verificação e permite a 
verificação dos programas automatizados de forma off-line, a partir de imagens só leitura, facilitando 
o trabalho do perito forense.
Ainda dentro do universo Microsoft Windows, os arquivos de prefetch também são fonte valiosa de 
informações para identificação de malwares, já que contêm informações sobre quais foram os scripts 
executados, quais os diretórios, data da última execução e quantidades, e até de arquivos binários 
já apagados.
161
COMPUTAÇÃO FORENSE
Um procedimento bastante interessante durante a busca por malwares em arquivos de prefetch 
é a verificação dos diretórios onde os arquivos são executados. Em geral, para se esconderem e não 
despertarem suspeitas, scripts maliciosos se hospedam em diretórios conhecidos, usados por programas 
normais, como C:\ARQUIVOS DE PROGRAMAS.
 Lembrete
Arquivos de prefetch (pré-busca) são arquivos criados pelo Windows 
sempre que um aplicativo é executado. Eles contêm informações sobre os 
arquivos carregados pelos aplicativos.
7.3 Formas para a análise de malwares
Em relação à análise, basicamente, há dois procedimentos que podem ser executados nos malwares: 
a análise estática e a dinâmica.
7.3.1 Análise estática
A análise estática é o processo de análise do código ou da estrutura de um script maliciosos para 
determinar a sua função. Todo o exame é realizado sem que o malware seja executado no sistema. 
Uma análise estática pode ser básica ou avançada.
Na análise estática básica são utilizadas técnicas de identificação como o uso de programas 
de antivírus, análises de hashes, verificação de cabeçalho de arquivos suspeitos e funções. Ela também 
envolve a análise da estrutura de arquivos binários (executáveis) em busca de trechos que 
representem padrões de inicialização e funcionamento do executável. Um exemplo que pode ser 
acentuado é a análise da estrutura de arquivos executáveis do Microsoft Windows que contêm 
informações para inicialização e execução. O uso de programas de antivírus é um dos recursos 
mais utilizados na análise estática básica por ser facilmente encontrado para aquisição e por ser 
amplamente divulgado.
O utilitário Strings, presente na já referida suíte Sysinternals, permite a exibição de trechos de um 
arquivo binário no formato ASCII ou UNICODE. Por exemplo, a presença de diversas pequenas strings, 
aparentemente sem razão, pode significar o uso de compactadores no binário.
Há arquivos binários (executáveis) nos quais a consulta a informações é menos complexa. 
Um exemplo são os arquivos do tipo portable executable (PE), que possuem cabeçalhos bem estruturados 
com metadados detalhados sobre o executável analisado. Além dos cabeçalhos, esses arquivos possuem 
seções repletas de informações – as seções mais comuns estão listadas no quadro a seguir:
162
Unidade IV
Quadro 16 – Seções mais comuns em arquivos do tipo PE
Seções Descrição
.data Dados diversos sobre o programa
.rdata Bibliotecas e funções relacionadas principalmente à importação e exportação do binário
.idata Contém dados de importação do binário
.edata Contém dados de exportação do binário
.rsrc Contém recursos externos, que não são parte do programa, como menus, ícones, strings etc.
.text Contém instruções usadas pelo processador – literalmente contém o código executado
Apesar de sofrerem alterações em seus nomes, devido às diferenças presentes nos compiladores 
e mesmo devido à ofuscação, as seções mostradas no quadro são bastante comuns. Dois programas 
muito utilizados para analisar arquivos PE são o PEview e o Resource Hacker, cujas telas estão 
ilustradas nas figuras a seguir:
Figura 75 – Tela do utilitário de análise de arquivos PEview
163
COMPUTAÇÃO FORENSE
Figura 76 – Tela do utilitário de análise de arquivos Resource Hacker
As bibliotecas de software, como as dynamic link library (DLL), usadas pelos programadores, podem ser 
utilizadas por diferentes programas. Isso facilita o trabalho desses profissionais, que podem reaproveitar 
códigos padronizados durante o desenvolvimento. Para que isso ocorra, as bibliotecas devem estabelecer 
ligações com os programas executáveis que as usam.
A forma como ocorre a ligação entre uma biblioteca e um arquivo executável pode ser encontrada 
principalmente nas seções que tratam sobre as funções de importação e exportação (r.data, .idata e 
.edata) de um PE. O conhecimento sobre esse tipo de ligação pode ajudar bastante o profissional forense, 
pois a complexidade da análise de um arquivo pode estar diretamente relacionada a isso.
Quando um executável copia (carrega) as bibliotecas externas para dentro do próprio código 
dele, a operação estabelecida é chamada de ligação estática. Esse tipo de ligação é mais raro e mais 
complexo para análise, pois somam-se ao código do binário outras informações externas vindas 
da biblioteca.
Se em vez de carregá-las para dentro do próprio código um programa carregar todas as bibliotecas 
externas no momento da execução, a análise tende a se tornar menos complexa e pode revelar funções 
que o programa executa. Boa parte dos programas funciona dessa forma. Essa operação recebe o nome 
de ligação dinâmica.
164
Unidade IV
Por fim, um binário também pode carregar as bibliotecas em tempo de execução, ou seja, no 
momento em que precisar delas, durante a execução. Muito usadas por compactadores e programas 
com ofuscação, esse tipo de ligação é realizado de forma manual pelos programadores. Isso dificulta a 
análise das funções executadas pelo programa, já que a seção .rdata revela poucas informações sobre as 
bibliotecas externas executadas.
A ferramenta Dependency Walker (veja a figura 77) permite a análise das ligações dinâmicas de 
um arquivo PE.
Figura 77 – Tela do utilitário Dependency Walker
 Saiba mais
Mais informações sobre as seções dos arquivos PE podem ser 
encontradas em:
PIETEREK, M. Peering inside the PE: a tour of the Win32 Portable 
Executable File Format. Microsoft Docs, 30 jun. 2010. Disponível em: 
https://bit.ly/31RYHcN. Acesso em: 26 jan. 2021.
165
COMPUTAÇÃO FORENSE
7.3.2 Análise dinâmica
Já na análise estática avançada, o recurso mais utilizado é a execução da técnica de engenharia 
reversa, que analisa o arquivo suspeito e extrai comandos do código fonte para estudo dasfunções dele. 
Para isso são utilizadas técnicas de desmontagem (disassembler) de arquivos binários, que permitem ao 
profissional forense o aprendizado sobre o que exatamente é realizado pelo malware. Infelizmente esse 
procedimento é bastante complexo, chegando a ser inviável em alguns casos, tendo em vista que um 
código executável possui diversas camadas encapsuladas que podem ter sido criadas por compiladores 
proprietários com bibliotecas diversas. Além da dificuldade de encontrar programas que automatizem 
esse processo, o profissional que lida com esse tipo de análise deve ter um nível de conhecimento 
avançado de linguagem de montagem (assembly) e programação.
Na análise dinâmica executa-se o arquivo e, baseado em seu comportamento, determina-se sua 
função. A análise dinâmica também pode ser classificada em básica e avançada.
Na análise dinâmica básica, o arquivo suspeito é executado em um ambiente separado (sandbox), 
que evita a contaminação de outros recursos e serviços. Em geral, isso pode ser realizado a partir da 
cópia dos scripts maliciosos para um ambiente virtualizado, criado especificamente para isso, que simule 
as mesmas condições do ambiente real. Nesse sandbox, as rotinas e instruções de execução do malware 
são monitoradas, permitindo a construção de um histórico que represente as instruções que estão sendo 
executadas e suas características. As características do ambiente sandbox devem ser observadas antes e 
depois da execução do malware para definir se o arquivo suspeito é benigno ou maligno. Muitas dessas 
análises têm por base o estudo das API e bibliotecas dos scripts.
 Saiba mais
Na obra a seguir é possível ver uma tabela (Apêndice A, Quadro 1) com 
uma série de API comumente estudadas em casos da ação de malwares:
OLIVEIRA, L. R. Aplicação de algoritmos de aprendizado de máquina na 
unificação das técnicas de análise estática e dinâmica para classificação de 
ransomware. 2018. Dissertação (Mestrado em Engenharia da Computação) 
– Instituto de Pesquisas Tecnológicas do estado de São Paulo, São Paulo, 
2018. Disponível em: https://bit.ly/3wyKiAs. Acesso em: 26 jan. 2021.
Já na análise dinâmica avançada, o foco é examinar cada instrução aplicada pelo malware. Assim 
como na análise dinâmica básica, o script malicioso deve ser executado, de preferência, em um ambiente 
controlado. Para isso, utiliza-se a técnica de debugging (depuração) para verificar o código do arquivo 
suspeito, geralmente em modo assembly. Esse modo também é complexo e exige conhecimentos bastante 
específicos, principalmente quando os malwares são mais sofisticados e utilizam técnicas antiforenses 
e antianálises. Em ambas as técnicas, em geral, o malware busca se esconder e prejudicar o andamento 
da identificação de suas funcionalidades.
166
Unidade IV
Os métodos antiforenses como a ofuscação serão bem explicados adiante, por isso aqui são 
detalhadas algumas das diversas técnicas antianálises usadas pelos scripts maliciosos.
Uma das técnicas antianálises mais usadas é a detecção de ambiente virtual. Um ambiente virtual, 
por mais parecido que seja de um ambiente real, possui características próprias, que podem ser utilizadas 
pelo malware, por exemplo, para se esconder de uma identificação ou análise. Por isso, scripts maliciosos 
sofisticados tentam detectar em que ambiente estão. Dependendo do ambiente em que estiver inserido, 
um script pode modificar seu comportamento a fim de impedir a sua detecção.
Uma forma de o malware detectar se está ou não em um ambiente virtualizado é verificar o 
endereço físico (conhecido por MAC) das placas de rede virtuais. Constituídos por 3 bytes iniciais que 
indicam o fabricante e 3 bytes finais que indicam uma sequência (6 bytes no total), os endereços físicos 
são utilizados para comunicação em uma rede local (camada 2 do modelo TCP/IP). Endereços MAC 
virtuais contêm números específicos, de fácil reconhecimento, que são criados para que não aconteça 
duplicação com os MAC usados pelo host (máquina pai). Assim, um script malicioso, de posse desse tipo 
de informação, pode mudar seu comportamento quando está em um ambiente virtual, se adequando 
ao ambiente e se escondendo da análise da forma mais apropriada possível.
Outra forma de detecção é por meio de ferramentas que adicionam funcionalidades aos gerenciadores 
de máquinas virtuais (hypervisors). Há ferramentas que podem ser instaladas no hypervisor que, entre 
outras funcionalidades, aprimoram o desempenho das máquinas virtuais, o gerenciamento de memória 
e recursos, assim como melhoram o uso de periféricos como mouse e vídeo.
Um exemplo é o VMWare Tools (vmware.com/br.html), conjunto de softwares opcionais que podem ser 
instalados no hypervisor do VMWare. Porém, apesar das vantagens, essas ferramentas instalam bibliotecas 
e manipulam portas que podem ser facilmente detectadas por malwares em execução na máquina virtual.
O packing ou empacotamento consiste em compactar um arquivo executável e seus componentes, 
como bibliotecas e arquivos de apoio, dentro de um arquivo de descompressão automática (executável 
autoextraível). A vantagem da técnica é a diminuição considerável do tamanho do arquivo 
executável original, que só retorna ao tamanho original quando o arquivo de descompressão automática 
for executado. Além disso, é uma técnica transparente que não depende de interação do usuário (acontece 
de forma automática) e não depende de programas compactadores de terceiros, como WinRAR, ZIP e 7-ZIP.
O problema com o packing é que se um malware for compactado entre os arquivos, devido à 
compactação, o único código aparente é o do executável autoextraível. Isso dificulta bastante a detecção 
do script malicioso por meio de busca de padrões em strings, análise de recursos, edição de hexadecimais 
ou qualquer outra prática de análise estática. Além disso, como o processo de extração é automático e 
transparente para o usuário, muitas vezes a instalação do malware passa despercebida.
O PEiD é um aplicativo gratuito que conta com sua interface amigável (veja a figura a seguir) para detectar 
malwares que passaram pelo processo de packing, criptografia ou compilação. De acordo com a página do 
desenvolvedor (https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml, 
acesso em: 27 jan. 2021), a taxa de detecção do aplicativo é de cerca de seiscentas assinaturas diferentes.
167
COMPUTAÇÃO FORENSE
Figura 78 – Interface do aplicativo PEiD
Há ainda outros programas indicados para a realização de análise dinâmica básica:
• Process Explorer: presente na suíte de aplicativos Sysinternals (docs.microsoft.com/pt-br/
sysinternals/downloads/process-explorer, acesso em: 27 jan. 2021), traz informações sobe os 
processos em execução. Permite que sejam reconhecidas as bibliotecas utilizadas pelos processos 
e seus respectivos handles. Handles são os recursos manipulados pelos processos em tempo real, 
como diretórios, arquivos, threads e chaves de registros, entre outros. O utilitário também permite 
a pesquisa de bibliotecas e handles por nome.
• Process Monitor (ProcMon): sua execução é similar a um sniffer voltado para eventos, capturando 
um conjunto de processos em execução por um tempo determinado. Suas verificações se estendem 
ao registro do Windows, sistema de arquivos, rede, processos e threads. Não é recomendado para 
captura de pacotes de rede, pois sua precisão se restringe à captura de eventos. A ferramenta 
pode ser encontrada na suíte Sysinternals em docs.microsoft.com/pt-br/sysinternals/downloads/
procmon (acesso em: 27 jan. 2021):
• Network Monitor (NetMon): fornecido gratuitamente pela Microsoft em microsoft.com/en-us/
download/details.aspx?id=4865 (acesso em: 27 jan. 2021), trata-se de um sniffer de rede com 
uma característica bastante prática e útil: consegue capturar o tráfego de um processo específico, 
ignorando outros pacotes de rede. Com isso, o entendimento dos processos fica menos complexo, 
já que diversos dados sobre os processossão levantados em conjunto com o tráfego de rede.
• TCPView: uma forma para verificar o estado das conexões TCP e UDP das máquinas é por meio 
do comando netstat, que exibe as portas e conexões estabelecidas. Contudo, esse comando 
funciona de forma estática, ou seja, não consegue exibir as conexões atualizadas à medida que 
são alteradas. Uma alternativa é o utilitário TCPView, que permite a identificação das portas e 
conexões abertas por um processo, mesmo se este não estiver enviando ou recebendo dados. 
O TCPView faz parte da suíte Sysinternals da Microsoft e pode ser encontrado em docs.microsoft.
com/pt-br/sysinternals/downloads/tcpview (acesso em: 27 jan. 2021).
168
Unidade IV
Para a análise dinâmica avançada, os seguintes programas podem ser utilizados:
• Interactive Disassembler (IDA): trata-se de um aplicativo misto de debugger (depurador) com 
disassembler (desmontador) que funciona para diversos sistemas operacionais. Contém funções 
que permitem a busca por variáveis, identificação de funções, rotulagem de dados, visualização de 
fluxos, armazenamento de logs e análise de pilha, entre outras. Como lida com códigos de diversos 
compiladores, durante a execução do programa analisado é possível a identificação de algumas 
funções e bibliotecas em tempo real. O IDA possui versões comerciais e gratuitas que podem ser 
encontradas em hex-rays.com/products/ida/ (acesso em: 27 jan. 2021).
 Lembrete
Um debugger é um aplicativo usado para analisar funcionalidades e 
erros de programas por meio da execução passo a passo. Já um disassembler 
converte código de máquina em linguagem assembly (de montagem).
• OllyDbg: trata-se de um debugger gratuito que pode ser usado na engenharia reversa de 
programas e malwares. O utilitário permite o reconhecimento de strings e procedures, análise 
de pilha e modificações no arquivo executável através da introdução de patches. O OllyDbg pode 
ser encontrado em http://www.ollydbg.de/ (acesso em: 27 jan. 2021).
7.4 Examinando dados criptografados
Este tópico se debruça sobre como a criptografia pode ser, ao mesmo tempo, uma aliada e uma 
inimiga da computação forense. É aliada quando permite que as evidências tenham garantias de 
confidencialidade, autenticação e integridade, mas também inimiga, já que o problema mais evidente 
que a criptografia pode trazer a um trabalho de perícia forense é que os dados criptografados não 
podem ser lidos com facilidade pelo perito. Trataremos agora justamente sobre as formas possíveis que 
um profissional forense tem em mãos para tentar obter informações a partir de dados criptografados.
7.5 Contextualizando a criptografia
Os elementos principais de um processo criptográfico são o texto claro (texto sem criptografia), o 
algoritmo de criptografia, a chave e o texto cifrado (criptograma). Apesar de existirem algoritmos muito 
bons e alguns nem tanto (principalmente por causa do envelhecimento), a segurança de um processo 
criptográfico se concentra na chave. É a quebra ou descoberta da chave o meio mais simples para 
a quebra de um texto criptografado (encriptado).
Contudo, um detalhe relevante a ser levado em conta é o aspecto legal. No Brasil – ao contrário de 
outros países, como Reino Unido, Austrália e França – não se pode obrigar alguém a entregar uma chave 
criptográfica, por pior que seja o crime.
169
COMPUTAÇÃO FORENSE
 Saiba mais
A base para essa prática está no princípio da não autoincriminação, 
presente no art. 5°, LXIII, da Constituição Federal:
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, 1988. 
Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. 
Acesso em: 27 jan. 2021.
Além da Constituição, outros documentos oficiais tratam do assunto.
Art. 8°, § 2g da Convenção Americana sobre Direitos Humanos:
COMISSÃO INTERAMERICANA DE DIREITOS HUMANOS. Convenção 
Americana sobre Direitos Humanos. San José, 1969. Disponível em: 
https://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm. 
Acesso em: 27 jan. 2021.
Art. 14, § 3g do Pacto Internacional Sobre Direitos Civis e Políticos:
BRASIL. Decreto n. 592, de 6 de julho de 1992. Brasília, 1992. Disponível 
em: http://www.planalto.gov.br/ccivil_03/decreto/1990-1994/d0592.htm. 
Acesso em: 27 jan. 2021.
7.6 Identificando dados criptografados
Arquivos ditos “normais” possuem a mesma aparência de arquivos criptografados. Isso é importante 
porque, em geral, não há tempo hábil para um profissional abrir o conteúdo de todos os arquivos 
investigados apenas para checar se estão criptografados. Por isso, é importante que o perito forense saiba 
identificar de forma ampla e rápida arquivos encriptados. O quadro a seguir mostra alguns programas 
usados para criptografar arquivos e mídias (acessos em: 27 jan. 2021).
Quadro 17 – Alguns programas usados para criptografia
Utilitário Descrição
EFS Utilitário de criptografia para sistemas Microsoft Windows (docs.microsoft.com/en-us/previous-versions/tn-archive/cc700811(v=technet.10)?redirectedfrom=MSDN) 
eCryptfs Utilitário de criptografia para sistemas Linux (ecryptfs.org/) 
EncFS Utilitário de criptografia (vgough.github.io/encfs/) 
Truecrypt Utilitário de criptografia descontinuado (truecrypt.sourceforge.net/) 
PGP Drive Encrypton Utilitário para encriptar arquivos virtuais (broadcom.com/products/cyber-security) 
170
Unidade IV
Utilitário Descrição
LUKS Cryptsetup Utilitário para encriptar discos (gitlab.com/cryptsetup/cryptsetup) 
FileVault Utilitário para criptografar discos no MAC (support.apple.com/pt-br/HT204837) 
LiFTeR Utilitários forenses com funções de criptografia para Linux (forensics.cert.org/) 
BitLocker Utilitário de criptografia para o Microsoft Windows (support.microsoft.com/pt-br/help/4028713/windows-10-turn-on-device-encryption) 
No quadro podem ser vistos alguns utilitários que podem criptografar arquivos e mídias para 
diversos sistemas operacionais.
Alguns programas usados para manipular arquivos, como editores de texto, possuem funções 
de criptografia. Na grande maioria desses casos, o arquivo encriptado por aplicativos mantém 
decifrados seus atributos (metadados), como data de criação ou modificação. Nesta categoria 
também há arquivos que podem ser criptografados em conjunto com outros ou mesmo compactados 
com senha. Em todos esses casos, ferramentas de análise podem detectar a criptografia nos arquivos.
Discos virtuais criptografados também são comuns. Nesse caso, um arquivo que contém 
uma imagem virtual de um sistema operacional só pode ser montado como uma partição se a sua 
senha for fornecida. Depois de montado, dados podem ser inseridos normalmente. No processo 
de desmontagem, todos os dados do disco virtual voltam a ser encriptados. Em geral, esse tipo de 
arquivo-virtual-criptografado contém arquivos contêineres grandes que podem indicar seu uso.
No caso de discos totalmente criptografados (full disk encryption), todo o conteúdo é 
encriptado, exceto pelos primeiros setores e a partição de boot. Para a detecção desse tipo de 
disco, algumas ferramentas podem indicar assinaturas específicas nos primeiros setores (veja 
o quadro 18).
Quadro 18 – Códigos identificadores de programas full disk encryption
Utilitário Código identificador
Apple Filevault encrdsa
Check Point Full Disk Encryption Protect
GardianEdge e Symantec Endpoint Encryption PCGM
McAfee Safeboot e Endpoint Encryption SafeBoot
Microsoft BitLocker e BitLocker To Go FVE-FS
PGP (versões antigas) e Symantec PGP While Disk Encryption PGPGUARDBootGuard
Sophos SafeGuard Enterprise e SafeGuard Easy 
SGE400
SGM400
UTICRYPT
TrueCrypt Full Disk Encryption TrueCrypt
WinMagic SecureDoc Full Disk Encryption WMSD
Adaptado de: Velho et al. (2016).
171
COMPUTAÇÃO FORENSE
O quadro mostra alguns códigos identificadores encontrados nos primeiros setores em full 
disk encryption.
A mesma prerrogativa – análise de códigos identificadores – pode ser utilizada para pen drives 
criptografados. No caso de pen drives, em geral,o aplicativo usado na criptografia muitas vezes pode 
ser encontrado no desktop do usuário. A análise de códigos identificadores leva à criação de listas 
usadas como dicionários para identificação de criptografia. Dentro das melhores práticas forenses, o 
ideal é que seja criada uma cópia/imagem do objeto de estudo (memória RAM e ROM) em uma máquina 
virtual, principalmente se a máquina ainda estiver ligada durante a investigação – assim diminuem-se 
as chances de perda de conteúdo na sua reinicialização.
7.7 Decifrando dados criptografados
Apesar de existirem métodos de criptoanálise e vulnerabilidades conhecidas em alguns algoritmos, 
como a segurança do processo criptográfico está na chave, a busca pela quebra do código de segurança 
é o processo ideal para decifrar um arquivo encriptado. Há algumas formas conhecidas para tentar 
recuperar o conteúdo de um arquivo criptografado.
Muitos aplicativos guardam a chave usada pelo usuário com codificações não tão complexas, como 
base64 ou XOR. Outros utilizam uma senha simétrica para encriptar a chave usada pelo usuário. Essa 
senha, utilizada pelo aplicativo, pode ser mais simples de descobrir do que uma chave grande e complexa 
escolhida pelo usuário. A recuperação direta consiste em tentar recuperar a chave manuseada por um 
aplicativo de criptografia. Essa chave criptografada pode estar na memória RAM ou virtual (neste caso, 
a recuperação pode ser extremamente rápida com os programas apropriados), no registro do Windows, 
em browsers e em programas de mensagens ou de e-mails.
O método pré-computado utiliza tabelas, chamadas de rainbow tables (RT), com textos claros seguidos 
do respectivo criptograma. A ideia é associar partes do texto criptografado ao texto claro presente na 
tabela e com isso descobrir o conteúdo cifrado ou até a chave. As RT também podem armazenar textos 
claros seguidos dos respectivos hashes – base para autenticação de logins em muitos sistemas.
Apesar de terem como funcionalidade básica a garantia da integridade, hashes também podem ser 
usados para autenticação, principalmente em funcionalidades envolvendo logins e senhas de usuários. 
Por exemplo, diversas distribuições do sistema operacional Linux guardam uma tabela com o nome dos 
usuários e os respectivos hashes das senhas no arquivo /etc/shadow (veja a tabela a seguir).
Tabela 6 – Tabela com os hashes das senhas dos usuários
Usuário Separação Algoritmo (MD5) Hash da senha
root : $1$ 0Zw3i8LO$rVUECSv0oVwyuacCNqynw1
aluno : $1$ 3GRiEOj8$thyvafd/sCnNLXZliJfZu.
user1 : $1$ ZLtE5Apt$n1yTkuBpC2vrRMtdFH74Z/
user2 : $1$ PUPrv2Il$0X6uHvTK0.fdT1V6mJCXQ.
jose : $1$ 3/rObr8Z$kZfz2dbObnir7vedg41SE1
172
Unidade IV
Quando um usuário faz login no sistema e entra com a senha, o sistema operacional geral um 
hash da senha digitada e compara com o hash daquele usuário, contido no arquivo /etc/shadow. 
Se o hash for igual, o sistema supõe que a senha digitada está correta e abre o acesso. Perceba que 
uma senha errada, cujo hash seja idêntico ao armazenado em /etc/shadow (processo conhecido 
como colisão de hashes), permite que o acesso seja aberto.
 Saiba mais
RT podem ser encontradas na internet ou em programas decifradores, 
como o Ophcrack:
ophcrack.sourceforge.io/
O método pré-computado para decifração com RT é bastante útil quando o perito se depara com 
sistemas mais antigos ou com processos criptográficos que utilizam algoritmos de criptografia (DES, por 
exemplo) ou hash (MD4, MD5 e SHA, por exemplo) mais fracos, que usam chaves menores que 56 bits.
Um método parecido com a pré-computação de criptogramas é o ataque por dicionário. O método 
toma por base o fato de boa parte das senhas definidas por usuários ser extremamente simples. Com isso, 
um ataque de dicionário utiliza tabelas com inúmeras opções de strings para simplesmente quebrar uma 
chave. O nome “dicionário” é usado porque as strings utilizadas como opções de senha são baseadas em 
palavras comuns da língua, contidas em dicionários.
O ataque por dicionário é bastante eficaz e pode ser aplicado por ferramentas encontradas na 
internet. É importante que o perito saiba que há dicionários disponíveis em diversas línguas.
O método de força bruta consiste na busca exaustiva de todas as possibilidades de uma chave. 
Em geral, essa busca é feita por meio das sequências possíveis dos bits de uma chave. Por esse motivo, a 
descoberta do tamanho de uma chave (em bits) é algo benéfico para o perito forense.
O cálculo para as variações possíveis (V) de uma chave, dado seu tamanho (n) em bits, é indicado por:
V = 2n
Por exemplo, uma chave com 4 caracteres possui 4 bytes, que equivalem a 4 x 8 = 32 bits. Portanto, 
a quantidade de variações dessa chave chega a 232 = 4.294.967.296. Em geral, só se recorre a um ataque 
de força bruta quando outros métodos já foram aplicados.
Métodos probabilísticos também podem ser adotados para decifrar dados encriptados. É possível, 
com base na frequência com que determinados vocábulos acontecem em uma língua, calcular a 
probabilidade de esses vocábulos aparecerem. Isso pode ajudar na decifração de partes de um texto. 
Por exemplo, suponha que textos criptografados com o mesmo par chave/algoritmo ao longo do tempo 
173
COMPUTAÇÃO FORENSE
repitam constantemente um par específico de caracteres diferentes. Se os textos claros estiverem em 
português, a probabilidade que os caracteres sejam “gu”, “qu”, “em”, “ch” ou “nh” (comuns na língua 
portuguesa) é alta. Essa simples matemática não decifra o texto, mas apresenta indícios que podem 
ser seguidos.
A análise de uma gramática especializada usada pelo investigado na composição de senhas 
também pode ser útil. Em geral, alguns usuários mantêm padrões de senhas, muitas vezes com 
tamanhos próximos ou com letras iguais permutadas entre si. Se o perito forense, com base em 
senhas antigas ou por outro meio qualquer, conseguir entender qual padrão é usado por um usuário, 
a possibilidade de descoberta da chave aumenta. Por exemplo, suponha que um usuário utilize senhas 
diferentes de 10 caracteres em diversos serviços com um padrão de números e letras. Usando um 
dicionário de dados com senhas personalizadas para aquele usuário – por exemplo, datas ou nomes 
importantes para o investigado –, um perito forense pode realmente quebrar a senha e decifrar as 
mensagens encriptadas.
Em geral, o perito forense pode utilizar várias das técnicas descritas aqui. O uso de clusters 
computacionais é bastante comum, já que o poder computacional exigido para quebrar chaves é 
bastante alto. Placas com aceleradores gráficos – graphic processing units (GPU) – também são 
muito utilizadas para aumentar o poder de processamento e quebrar senhas. Apesar de apresentarem 
desempenhos inferiores aos das GPU mais poderosas, implementações de hardware para tarefas 
específicas, chamadas de field programmable gate array (FPGA), também são comuns para aumentar 
o processamento.
 Saiba mais
O trabalho a seguir compara o desempenho de algoritmos de criptografia 
leve em computer processor unit (CPU), GPU e FPGA em relação a diferentes 
tamanhos de textos criptografados. O desempenho mais baixo é observado 
com o uso de CPU. Os testes com FPGA obtiveram bons desempenhos 
para textos menores, enquanto as GPU obtiveram bons desempenhos para 
textos maiores.
VENUGOPAL, V.; SHILA, D. M. High throughput implementations of 
cryptography algorithms on GPU and FPGA. In: 2013 IEEE INTERNATIONAL 
INSTRUMENTATION AND MEASUREMENT TECHNOLOGY CONFERENCE 
(I2MTC). IEEE, 2013.
Há diversos programas usados para decifragem de arquivos que utilizam variações e combinações 
das formas citadas para quebra de senhas. Entre eles, John the Ripper (openwall.com/john/), Hashcat 
(hashcat.net/hashcat/) e Passware (passware.com/) (acessos em: 27 jan. 2021).
174
Unidade IV
Tendo como base a ideia de que a combinação de técnicas para decifrar textos encriptados é 
realmente a mais eficaz, Velho et al. (2016) recomendam um fluxo de processos para decifrar textos 
encriptados,mostrado na figura 79:
Dado criptografado
Documentação 
final do processo
Aplicar método 
de decifragem
Aplicar método 
de decifração
Decifragem Justificativa
NÃO
NÃO
NÃO
NÃOSIM
SIM
SIM
SIM
Criptoanálise 
possível?
Chave 
descoberta?
Limite de tempo 
atingido?
Recuperação direta 
ou pré-computada?
Figura 79 – Fluxo de processos sugerido por Velho et al. (2016) para decifragem de dados
A figura mostra um fluxo de processo que pode ser utilizado para decifrar arquivos ou mídias que 
passam por perícia. Dois detalhes que não foram mencionados ao longo deste conteúdo são (1) a 
definição de um tempo arbitrário pré-determinado para que o processo de decifração termine, já que 
ele não pode se prolongar indefinidamente; e (2) a elaboração de uma justificativa sobre o insucesso do 
procedimento de decifração, que serve como uma prova da dificuldade do processo.
8 TÉCNICAS ANTIFORENSES E O DIREITO DIGITAL
Para os que estão habituados a lidar com segurança da informação, é de conhecimento que ameaças 
e vulnerabilidades cibernéticas surgem todos os dias. Para cada controle de segurança projetado, podem 
aparecer inúmeros meios de burlar a proteção ou aumentar o risco de uma ameaça. É bastante comum, 
portanto, que técnicas antiforenses, voltadas para dificultar a perícia forense computacional, também 
estejam em desenvolvimento constante, em conjunto com a análise forense.
175
COMPUTAÇÃO FORENSE
O princípio básico da criminalística, também conhecido como princípio da troca de Locard, diz: 
“Todo contato deixa vestígios”. Chega-se à conclusão, portanto, que qualquer evento em um computador 
ou sistema deixa alguma marca. Seja por meio de logs, abertura de processos, variáveis de memória, 
trações de rede, enfim, sempre há um registro. O problema é que muitas vezes não se sabe onde esse 
registro está ou ele pode até ser apagado antes da análise.
 Saiba mais
Nascido em 1877, Edmond Locard era francês e é considerado o Pai da 
Moderna Criminologia. Mais detalhes podem ser encontrados em:
RAMOS, M. G. Do valor probatório do arquivo digital. 2011. Trabalho 
de Conclusão de Curso (Bacharelado em Direito) – Universidade de 
Brasília, Brasília, 2011. Disponível em: https://bit.ly/3uukzXW. Acesso em: 
8 fev. 2021.
De forma geral, o princípio da troca de Locard é extremamente útil para a análise forense, mas 
indica o caminho pelo qual as técnicas antiforenses devem atuar: a busca pela ocultação, ofuscação, 
destruição, falsificação e obstrução de todos os processos realizados pela forense – identificação, 
isolamento, registro, coleta e preservação.
Há um paradoxo, já que a intenção de um atacante é executar algo malicioso ou esconder algo, 
sendo que isso implica necessariamente a criação de vestígios, que podem ser investigados. Assim, a 
busca por apagar rastros é muito intensa. Na verdade, esse princípio pode até ser utilizado contra um 
atacante que esteja desenvolvendo métodos para atrapalhar uma análise forense, já que a própria 
execução de técnicas antiforenses ou ocultação de algo também pode deixar vestígios.
8.1 Ocultação em arquivos
Há muitas técnicas que podem ser utilizadas para ocultação de informações em arquivos. Uma delas 
é a ocultação em metadados de arquivos. Há um atributo chamado $Extended Attribute ($EA), 
presente em alguns arquivos gravados em NTFS – os atributos de um arquivo podem ser listados 
com os utilitários icat e istat, ambos presentes no kit de ferramentas Sleuthkit (sleuthkit.org/, acesso 
em: 27 jan. 2021). Como nem todos os arquivos contêm esse atributo, com o auxílio de algumas 
ferramentas, como o EaInject, presente no kit de ferramentas EaTools (github.com/jschicht/EaTools, 
acesso em: 27 jan. 2021), é possível inserir dados nesse atributo. Para que um perito não seja forçado 
a listar os atributos de todos os arquivos conhecidos, uma opção é a utilização do software Eaquery, 
do EaTools, ou o comando fsstat do Sleuthkit. Veja a seguir a listagem de metadados de um drive com 
a ferramenta fsstat:
176
Unidade IV
root@kali:~# fsstat -o 2048 /dev/sdb
Ouput:
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: NTFS
Volume Serial Number: 82CC40D7CC40C75F
OEM Name: NTFS
Volume Name: KALI LIVE
Version: Windows XP
METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 786432
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 256
Root Directory: 5
CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 3796734
Total Sector Range: 0 - 30373886
$AttrDef Attribute Values:
$STANDARD_INFORMATION (16) Size: 48-72 Flags: Resident
$ATTRIBUTE_LIST (32) Size: No Limit Flags: Non-resident
$FILE_NAME (48) Size: 68-578 Flags: Resident,Index
$OBJECT_ID (64) Size: 0-256 Flags: Resident
$SECURITY_DESCRIPTOR (80) Size: No Limit Flags: Non-resident
$VOLUME_NAME (96) Size: 2-256 Flags: Resident
$VOLUME_INFORMATION (112) Size: 12-12 Flags: Resident
$DATA (128) Size: No Limit Flags:
$INDEX_ROOT (144) Size: No Limit Flags: Resident
$INDEX_ALLOCATION (160) Size: No Limit Flags: Non-resident
$BITMAP (176) Size: No Limit Flags: Non-resident
$REPARSE_POINT (192) Size: 0-16384 Flags: Non-resident
$EA_INFORMATION (208) Size: 8-8 Flags: Resident
$EA (224) Size: 0-65536 Flags:
$LOGGED_UTILITY_STREAM (256) Size: 0-65536 Flags: Non-resident
177
COMPUTAÇÃO FORENSE
Acabamos de ver os metadados de um drive. Perceba na penúltima e na antepenúltima linha 
informações sobre o $EA.
O file tunneling é uma função descontinuada, porém presente em algumas versões mais antigas 
do Windows, como o Windows XP. Essa função permite que em um intervalo de 15 segundos um 
arquivo recém-criado herde os atributos de um arquivo com o mesmo nome apagado dentro do 
intervalo citado no mesmo diretório. O objetivo é melhorar o desempenho, já que evita a criação de 
novas entradas na tabela de alocações, facilitando o uso de funções de recuperação de arquivos. Porém, 
o resultado pode ser perigoso, já que um atacante pode alterar um arquivo com novas informações 
sem que os atributos dele sejam alterados. Essa funcionalidade do Windows é configurável através 
da chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem. Assim, 
é importante que o perito forense verifique se a funcionalidade está ativa para checar com mais 
cuidado esse tipo de ocultação.
Também é possível esconder informações, ou mesmo arquivos, dentro de outros arquivos por 
meio do Object Linking and Embedding (OLE). O OLE permite que um objeto – arquivo, função, 
programa – com todas as funcionalidades seja introduzido dentro de um arquivo. As duas principais 
funções do OLE são:
• Criar vínculos (links) para objetos armazenados dentro de um arquivo, garantindo que apenas 
o necessário para o uso do objeto seja disponibilizado. Por exemplo, quando se adiciona uma 
imagem a um documento do Microsoft Word (.docx), o OLE garante que atualizações no objeto 
(imagem) sejam automaticamente replicadas para a imagem contida dentro do arquivo .docx.
• Permitir que o objeto seja incorporado ao arquivo, passando a fazer parte dele. Neste caso, quando 
se insere um ícone do Excel em um documento do Word, no momento em que o usuário clicar 
sobre o ícone no texto, automaticamente o Excel é aberto, exibindo a planilha.
Os recursos oferecidos pelo OLE podem ser usados de forma maliciosa para ocultar informações. 
Além de recursos como copiar, colar e recortar, o OLE permite que uma aplicação controle partes 
da outra. Além disso, essas incorporações não são facilmente visíveis em aplicativos como o 
Windows Explorer.
Além disso, versões mais antigas do Microsoft Office usavam um formato de arquivo conhecido 
como Structure Storage, que permitia a incorporação de diversas estruturas de arquivos (.doc, .xls, .ppt, 
entre outras).
Potencializadas por ferramentas como merge stream (github.com/grncdr/merge-stream),essas incorporações podem ser bastante danosas para a análise forense, escondendo informações. 
Por exemplo, um arquivo do Word (.docx) pode ser “fundido” com um arquivo do Excel (.xlsx). 
Neste caso, quando o usuário trocar a extensão do arquivo para .docx, o arquivo será aberto pelo 
Word, exibindo um texto. Quando a extensão estiver com .xlsx, o arquivo será aberto pelo Excel, 
exibindo uma planilha.
178
Unidade IV
Uma forma de o perito forense identificar esse tipo de alteração em arquivos é por meio da 
análise dos metadados dos arquivos com programas como o SSViewer (mitec.cz/ssv.html) ou a rotina 
olemergesearch.pl, encontrada no projeto ByteInvestigator (sourceforge.net/projects/byteinvestigato/) 
na distribuição forense-Linux Caine (caine-live.net/page5/page5.html) (acessos em: 27 jan. 2021).
Evidentemente, a criptografia é uma arma potencial para aqueles que querem esconder alguma 
coisa de uma investigação, visto que a confidencialidade obtida é de difícil solução para um perito 
forense. Como o assunto foi explorado de forma razoavelmente detalhada anteriormente, aqui há 
apenas uma menção ao fato.
8.2 Esteganografia
A esteganografia é a arte ou técnica de esconder informações (dados) dentro de outros recipientes – 
arquivos de texto, som, vídeo e imagem, entre outros. Trata-se claramente de uma técnica de ocultação, 
já que busca manter as características do arquivo original quase imutáveis – mudanças muitas vezes são 
praticamente imperceptíveis, como pode ser visto na figura a seguir:
(a) (b)
Figura 80 – Técnica de esteganografia com ocultação de uma imagem dentro da outra
A figura exibe o poder que a técnica de esteganografia possui. A imagem à direita estava escondida 
e foi extraída da imagem à esquerda.
Uma das técnicas esteganográficas mais utilizadas é a do bit menos significante, do inglês least 
significant bit (LSB). A ideia é utilizar o bit menos significativo de um determinado byte (em geral, o 
último) para armazenar informações. Para entender melhor como isso funciona é preciso uma noção 
básica sobre pixels e esquema de cores.
Um código de cores Red, Green, Blue é uma representação da intensidade do trio de cores (vermelho, 
verde, azul), que varia entre 0 e 255 – em valores binários, essa variação corresponde a valores de 
179
COMPUTAÇÃO FORENSE
00000000 a 11111111. Por exemplo, o código RGB(255,0,0) corresponde ao vermelho “puro”, pois o 
primeiro canal do pixel tem o valor de 255 (ou 11111111 em binário), enquanto os canais verde e azul 
têm valores 0.
Imagens baseadas em RGB possuem 3 canais de cores. Uma imagem RGB de 8 bits por pixel tem 
256 valores possíveis para cada canal (0 a 255). Como são 3 canais, isso significa mais de 16 milhões de 
valores de cores possíveis. As imagens RGB de 8 bits por canal às vezes são chamadas de imagens 
de 24 bits (8 bits x 3 canais = 24 bits de dados para cada pixel).
A figura a seguir mostra como mudanças no último bit de um pixel podem ser sutis:
Figura 81 – Mudança sutil nos últimos bits de um pixel
Na figura, o pixel original é vermelho “puro”, sendo formado por 3 canais RGB(1111111, 0000000, 
0000000) – em decimal, esse código corresponde ao RGB(255,0,0). Perceba que os últimos bits dos 
3 canais do pixel original são 100. Por sua vez, o pixel falso tem uma cor diferente, já que possui 
uma pequena modificação nos últimos bits, que geram o valor 111 – na verdade, o primeiro bit 
do pixel falso (1) coincide com o primeiro bit (1) do pixel original, fato que dificulta ainda mais 
a detecção da alteração. Pode-se dizer que a “informação” 111 foi inserida por esteganografia no 
pixel falso de forma praticamente imperceptível. Se esse tipo de modificação foi praticamente 
imperceptível em um único pixel – e uma imagem possui milhões de pixels –, isso significa que 
mais informações além do 111 inserido no pixel falso da figura podem ser inseridas sem causar 
alarde com a técnica de LSB.
Variações da esteganografia podem ser perigosas. Um ataque de steganosploit consiste, basicamente, 
na exploração de uma vulnerabilidade presente em alguns navegadores que suportam o recurso 
HTML5 Canvas.
Nesse ataque, códigos de javascript são adicionados nas imagens. À medida que essas imagens são 
carregadas pelos browsers vulneráveis, o código pode ser executado com consequências imprevisíveis.
180
Unidade IV
 Saiba mais
Detalhes sobre o steganosploit podem ser conseguidos em:
SHAH, S. Stegosploit: hacking with pictures. [s.d.]. Disponível em: 
https://bit.ly/3uGV7Pl. Acesso em: 27 jan. 2021.
A esteganografia pode ser bem difícil de ser detectada, mesmo com o uso de utilitários como o 
Stegdetect (github.com/abeluck/stegdetect).
8.3 Apagando dados
Apagar dados é sempre uma opção para aqueles que querem esconder uma informação. Contudo, 
são conhecidas diversas ferramentas usadas para a recuperação de arquivos e diretórios apagados, como 
o software comercial RecoverMyFiles (recovermyfiles.com/pt/, acesso em: 27 jan. 2021). Por essa razão, 
criminosos cibernéticos podem se valer de programas especializados em apagar arquivos e diretórios de 
forma definitiva, sem deixar rastros que possibilitem a recuperação.
Para o perito forense, a análise de arquivos de preftch, buscas em chaves nos registros do 
sistema ou até mesmo verificações nos arquivos de paginação são sempre possibilidades de 
encontrar rastros do uso de alguns “limpadores” executados no Microsoft Windows. Por exemplo, o 
programa CCleaner (ccleaner.com/pt-br/ccleaner, acesso em: 27 jan. 2021) costuma deixar rastros 
na chave HKCU\Software\Piriform\CCleaner. A identificação do uso é o primeiro passo e o mais 
difícil é recuperar os arquivos, já que muitos desses “limpadores” realizam funções de wipe (limpeza 
completa de cache e configurações).
Os próprios sistemas operacionais possuem recursos que podem dificultar a recuperação dos dados. 
Bastante comum nas distribuições Linux, o comando dd, por exemplo, pode ser utilizado para repassar 
todos os bits de um HD com zeros. Isso dificulta substancialmente tarefas de recuperação. Mesmo os 
componentes de armazenamento já contam com recursos com essas características. Os HD do tipo SSD 
contêm um recurso voltado para o aumento de desempenho chamado Trim, que informa ao sistema 
operacional que blocos antes ocupados por arquivos apagados estão livre para uso. Isso dificulta a 
recuperação de uma informação apagada.
Há várias opções de “recuperadores” de arquivos, sistemas e diretórios, para todos os sistemas 
operacionais. As opções incluem o DiskDigger (diskdigger.org/), o Stellar Data Recovery (stellarinfo.
com/), o Disk Drill (cleverfiles.com/) e o Recuva (ccleaner.com/recuva), este último da mesma empresa 
que fabrica o CCleaner (acessos em: 27 jan. 2021).
181
COMPUTAÇÃO FORENSE
8.4 Falsificando dados
Um invasor sofisticado busca sempre apagar seus rastros ao sair de um ambiente, seja ele físico ou 
computacional/virtual. Sendo assim, adulterar atributos de arquivos e diretórios é uma das formas mais 
comuns de falsificação de dados.
 Lembrete
Os atributos são as propriedades de arquivos e diretórios, como data de 
criação, data de modificação, tamanho, nome e tipo, entre outros.
A adulteração de datas de criação, modificação ou acesso dos arquivos e diretórios (MAC times) 
é um dos passos mais importantes para esconder rastros. Há dois atributos presentes na MFT que 
contêm informações sobre datas: (1) $Standard_Information, que é mais usado pelo sistema 
operacional Windows; e (2) $File_Name, que, além do nome, também possui informações sobre 
datas. Alterações em arquivos e diretórios podem ser mascaradas com mudanças nesses atributos 
por meio de ferramentas presentes no Sleuth Kit, como o ifind e o istat, já anteriormente descritos, 
ou com o utilitário timestomp (offensive-security.com/metasploit-unleashed/timestomp/, acesso em: 
27 jan. 2021).
 Lembrete
A MFT é uma tabela, armazenada no início do disco, que contém os 
atributos dos arquivos e diretórios usados pelo sistemade arquivos NTFS.
A fim de perceber modificações em datas, possíveis discrepâncias entre os atributos $Standard_Information 
e $File_Name podem ser observadas, mas mesmo esse tipo de verificação pode ser falho, já que o 
atributo $File_Name também pode ser alterado.
Buscas pela execução de aplicativos que modificam atributos, como o timestomp, podem ser 
realizadas nos registros do Windows, no USN Journal do NTFS e nos arquivos de prefetch. Por fim, 
utilitários como o Plaso (github.com/log2timeline/plaso/, acesso em: 27 jan. 2021), que cria um histórico 
de datas para conferência, também podem identificar modificações nos atributos.
Outra forma de falsificação que pode interferir diretamente no trabalho do perito forense ocorre 
devido à colisão de hashes. Uma colisão é a geração de hashes iguais para arquivos de conteúdo 
diferente. Apesar de difícil de ser conseguida, já que em tese requer inúmeras tentativas, para algoritmos 
mais fracos essa possibilidade existe. O MD5, apesar de ainda utilizado, é um exemplo, já que foi quebrado 
em 2005 no trabalho de Wang e Yu (2005).
182
Unidade IV
 Saiba mais
Informações e utilitários como o evelize, que promovem a colisão de 
hashes de algoritmos mais fracos, podem ser encontrados em:
mathstat.dal.ca/~selinger/md5collision/
Programas como o evelize permitem a criação de executáveis falsos com hashes idênticos aos de 
programas verdadeiros. Isso pode induzir o perito a falsas identificações ou execuções indevidas 
de malwares.
Apesar dos problemas que pode causar, esse tipo de colisão “induzida” por um software pode ser 
identificada por meio de técnicas de fuzzy hashing, que consiste em calcular hashes de pequenos 
trechos (sequências de bits) de arquivos com colisão. Em tese, todos os trechos deveriam gerar 
hashes iguais, mas em arquivos que sofreram uma colisão “induzida” por software, não é o que 
acontece. Uma ferramenta para isso é a SSdeep (ssdeep-project.github.io/ssdeep/, acesso em: 
27 jan. 2021).
Outra forma de perceber isso é por meio da comparação – e, se possível, uso padronizado – de 
algoritmos de hash mais fortes e recomendados, como os da família SHA-256 e SHA-512, que não são 
(pelo menos até aqui) vulneráveis a ataques por software.
Neste exemplo há três arquivos executáveis, adquiridos em mathstat.dal.ca/~selinger/md5collision/ 
(acesso em: 27 jan. 2021).
• hello.exe é um executável que gera uma mensagem na tela (veja a figura 82).
• hello2.exe é uma cópia perfeita de hello.exe e gera o mesmo resultado visto na figura 82.
• erase.exe é um executável que finge apagar todo o conteúdo do HD, cujo resultado pode ser visto 
na figura 83.
C:\ipt\unip\livro\Forense>hello.exe
Hello, world!
(press enter to quit)
Figura 82 – Resultado do executável hello.exe (é o mesmo para hello2.exe)
183
COMPUTAÇÃO FORENSE
C:\ipt\unip\livro\Forense>erase.exe
This program is evil!!!
Erasing hard drive...1Gb...2Gb... just kidding!
Nothing was erased.
(press enter to quit)
Figura 83 – Resultado do executável erase.exe
O executável erase.exe teve seu hash modificado para uma colisão com os executáveis hello.exe e 
hello2.exe pelo programa evelise, como pode ser visto nos cálculos realizados com o utilitário Openssl, 
na figura 84:
C:\>openssl dgst -md5 hello.exe
MD5(hello.exe)= cdc47d670159eef60916ca03a9d4a007
C:\>openssl dgst -md5 erase.exe
MD5(erase.exe)= cdc47d670159eef60916ca03a9d4a007
C:\>openssl dgst -md5 hello2.exe
MD5(hello2.exe)= cdc47d670159eef60916ca03a9d4a007
Figura 84 – Cálculo de hash dos três executáveis
Sendo assim, como pode ser visto na figura, apesar de o executável erase.exe ser diferente 
dos executáveis hello.exe e hello2.exe, não há diferenças detectáveis entre eles, já que os hashes 
são iguais.
Na página Demo do utilitário Ssdeep (ssdeep-project.github.io/ssdeep/demo.html, acesso em: 
27 jan. 2021) é possível testar os três executáveis com fuzzy hashing. As mudanças entre eles podem ser 
observadas na figura a seguir:
184
Unidade IV
Figura 85 – Diferença no fuzzy hash do executável erase.exe
Na figura pode-se perceber que o fuzzy hash do executável erase.exe é diferente dos arquivos hello.
exe e hello2.exe.
8.5 Inviabilizando as análises
Algumas técnicas são implementadas unicamente com o objetivo de atrapalhar e inviabilizar a 
análise forense. Em geral, os atacantes procuram formas de impedir o acesso ou uso de algum recurso 
como a memória ou algum dispositivo de armazenamento.
Um exemplo são as operações de abort factor. Tratam-se de operações fundamentais necessárias 
para que dumps de memória (espécie de log capturado diretamente da memória) sejam analisados pelas 
principais ferramentas e utilitários de análise – entre outras, Volatility (volatilityfoundation.org/, acesso em: 
27 jan. 2021) e Memoryze. Algumas variáveis presentes nos dumps concentram informações sobre três 
operações fundamentais da memória: (1) a tradução do virtual para o físico; (2) a identificação do 
sistema operacional e da arquitetura; e (3) a obtenção de alguns objetos do kernel.
185
COMPUTAÇÃO FORENSE
Assim, o abort factor inviabiliza o dump de memória, procedendo, por exemplo, mudança de bytes 
no dump. A consequência disso é a impossibilidade de leitura de variáveis do dump e a inviabilização 
da análise de memória. Atualmente já são conhecidas técnicas e ferramentas que permitem que 
algumas dessas informações sejam obtidas a partir de outras variáveis e recursos, mesmo se um dump 
tiver sido comprometido.
O processo de transmogrify é outra classe de problemas que prejudica a análise forense. Muitas vezes 
a análise em busca de evidências é demorada. Quando partes dela podem ser automatizadas, ganha-se 
tempo. Uma automatização bastante comum é gerar hashes de arquivos conhecidos (arquivos de 
sistema, por exemplo) e compará-los com um banco de hashes padronizados de versões desses 
mesmos arquivos. Esse processo separa de forma automatizada os arquivos verdadeiros (cujo hash 
confere com o banco de dados) e ajuda o profissional na busca por arquivos suspeitos ou com 
assinaturas inválidas. Diante disso, o transmogrify – alteração proposital de cabeçalhos de arquivos – 
pode prejudicar tanto a automação da conferência de arquivos de uma máquina ou rede como a 
análise de arquivos com assinatura suspeita, que podem passar despercebidos devido a alterações 
nos cabeçalhos.
Por exemplo, um arquivo de sistema pode passar por alterações mínimas no cabeçalho que o 
deixem com uma assinatura de executável. Isso prejudica um perito que esteja buscando planilhas 
para levantamento de evidências. Da mesma forma, uma biblioteca padrão do sistema pode passar por 
alterações mínimas no cabeçalho, para deixar a automação da perícia lenta e incompleta.
Nesse contexto, destaca-se que técnicas de transmogrify podem prejudicar até mesmo a conferência 
de hashes, pois mínimas alterações propositais no cabeçalho geram digests (hashes) diferentes que não 
passam pela conferência.
Utilitários como o Encase Forensic (forensedigital.com.br/product/encase®- forensic-v7/, acesso em: 
27 jan. 2021) podem ser utilizados para identificar esse tipo de problemas ou mesmo para automatizar a 
classificação de arquivos. Porém, quando muito bem feito, o transmogrify pode realmente ser de difícil 
detecção. Busca em links que apontam para arquivos alterados de forma maliciosa e técnicas de fuzzy 
hashing também são alternativas válidas para tratar do problema.
Outras técnicas voltadas para a inviabilização das análises forenses incluem rootkits que protegem e 
filtram os arquivos suspeitos durante a análise e malwares que atacam utilitários forenses.
 Lembrete
Um rootkit é um grupo de programas e técnicas usadas para ocultar um 
programa malicioso ou um invasor dos controles de segurança.
186
Unidade IV
8.6 O direito digital
A relação entre direito e tecnologia pode ser vista por pelo menos dois ângulos: (1) a tecnologia 
aplicada ao direito e (2) o direito aplicado à tecnologia.
No primeiro, é bem claro que assimcomo outros setores, o direito pode se valer dos recursos e 
ferramentas oferecidos pela tecnologia. Desde a comunicação provida pelos gadgets e softwares, que 
agilizam os trâmites burocráticos, passando pelos sistemas de gestão e chegando até o uso de técnicas 
de aprendizado de máquina (ramo da inteligência artificial) no auxílio de tomada de decisão, há muitas 
formas de o direito se valer da tecnologia. As consequências diretas é que processos legais podem fluir 
com mais rapidez, audiências remotas podem encurtar as distâncias e leis podem ser disponibilizadas 
ao público de forma mais efetiva.
Da mesma forma, a utilização de recursos tecnológicos está tão disseminada e inserida na vida 
das pessoas que algum tipo de regulamentação se torna inevitável. É importante entender que 
regulamentação não significa necessariamente uma ação de restrição; em muitos casos, é justamente 
o oposto. Leis que garantem a liberdade de expressão das pessoas em redes sociais funcionam em 
conjunto com outras que impedem que direitos fundamentais, como privacidade, sejam violados por 
opiniões e comentários compartilhados pelas pessoas em redes sociais. Leis trabalhistas que regulam o 
trabalho em casa também se fazem necessárias nos dias atuais.
Por isso, cresce em relevância e abrangência o conceito de direito digital: ele diz respeito ao 
conjunto de regras que regula o comportamento e as relações sociais e virtuais estabelecidas a partir 
da TI. Em resumo, o direito digital é amplo o bastante para cercar tudo que a TI define como relação. 
Não é pouca coisa, tanto que Velho et al. (2016) citam quatro pilares de atuação do direito digital 
dentro da TI:
• Pilar 1: junção de mobilidade, rede sem fio, processamento e armazenamento.
• Pilar 2: social e business networking.
• Pilar 3: computação em nuvem.
• Pilar 4: processo de BigData Analytics.
É uma via de mão dupla: assim como os profissionais de direito precisam saber um pouco mais sobre 
tecnologia, para julgarem corretamente novas situações, profissionais de TI – principalmente os peritos 
forenses – devem saber um pouco mais sobre direito para trabalharem em conformidade legal.
Vale destacar que, por suas características peculiares, o direito digital tem por base tanto as leis 
(direito codificado) como os costumes (direito costumeiro) e tende a ser mais técnico, estratégico e 
dinâmico que o direito tradicional. Um dos objetivos do direito digital é propor novas soluções jurídicas 
para novas e inesperadas situações que surgem no dia a dia.
187
COMPUTAÇÃO FORENSE
8.7 Histórico de leis voltadas para a proteção de dados
A criação de leis relacionadas ao direito digital é relativamente nova no Brasil. Na figura a seguir há 
um histórico com datas de criação de leis importantes nessa área:
2010
Consulta pública, do 
Ministério da Justiça, 
sobre anteprojeto de 
lei de proteção de 
dados pessoais
2012
• Sancionada a Lei 
Carolina Dieckman 
(tipificação de 
crimes cibernéticos, 
como compartilhar 
dados pessoais sem 
autorização)
• Proposto, na Câmara, 
o PL n. 4.060, sobre o 
tratamento de dados 
pessoais
2014
Entra em vigor o 
Marco Civil 
da Internet
2016
• Promulgação do 
Regulamento Geral 
de Proteção de Dados 
(GDPR, na sigla em 
inglês), na Europa
• Nova consulta 
pública, pelo MJ, que 
resulta no 
PL n. 5.276/16, 
anexado ao 
PL n. 4.060/2012
2018
• Em março: escândalo 
“Facebook-Cambridge 
Analytica” (de uso 
ilícito de dados de 
usuários da rede social 
pela empresa 
de consultoria)
• Em maio: entra em 
vigor o GDPR na 
Europa
• Em agosto: 
sancionada a LGPD 
após unificação dos 
textos da Câmara e do 
Senado no PLC n. 53
MP: Medida Provisória
PEC: Proposta de Emenda à Constituição
PLC: Projeto de Lei Complementar
2020
Entra em 
vigor a LGPD, 
em agosto
2011
• Sancionada a Lei de 
Acesso à Informação – LAI 
(trata sobre dados 
pessoais de acesso 
público)
• Proposto projeto de lei 
n. 2.126, sobre o Marco 
Civil da Internet (direitos 
e deveres de usuários e 
provedores)
2013
Proposto, no Senado, 
o projeto de lei (PLS) 
n. 330, sobre a proteção, 
o tratamento e o uso 
dos dados pessoais
2015
Aprovação, no Senado, 
do projeto substitutivo 
ao PLS n. 330/13
2017
Tramitação no Congresso 
de dois projetos: 
o PL n. 5.276/2016, na 
Câmara, e o PLS 
n. 330/2013, no Senado
2019
• Aprovada a criação da 
Autoridade Nacional de 
Proteção de Dados (ANPD), 
pela MP n. 869
• Em discussão a PEC no 17, 
que inclui a proteção de 
dados pessoais, inclusive 
digitais, entre os direitos 
fundamentais do cidadão
Figura 86 – Histórico de leis relacionadas ao direito digital
As leis que constam no histórico da figura são a Lei de Transparência, a Lei de Crimes Informáticos, a 
Lei de Informática, o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD).
Promulgada em novembro de 2011, a Lei de Transparência trata sobre os procedimentos que a 
União, estados, Distrito Federal e municípios devem observar para garantir o acesso a informações de 
interesse público. Está determinado na lei que qualquer indivíduo pode solicitar acesso a informações, 
desde que estas não representem risco ao Estado ou à integridade de indivíduos, como disposto nos 
arts. 24 e 25.
 Saiba mais
Conheça a Lei de Transparência em:
BRASIL. Lei n. 12.527, de 18 de novembro de 2011. Brasília, 2011. 
Disponível em: planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm. 
Acesso em: 19 jan. 2021.
188
Unidade IV
A Lei de Informática é um conjunto de leis para alavancar a indústria de TI nacional. Funciona 
por meio de uma série de incentivos fiscais para as empresas de tecnologia do setor de hardware e 
componentes eletrônicos que investem em pesquisa e desenvolvimento (P&D). A lei determina alguns 
requisitos para o enquadramento das empresas beneficiárias, como conformidade com determinadas 
classes de produtos e emissão de relatórios técnicos.
 Saiba mais
Conheça a Lei de Informática:
BRASIL. Lei n. 8.248, de 23 de outubro de 1991. Brasília, 1991. Disponível em: 
planalto.gov.br/ccivil_03/LEIS/L8248.htm. Acesso em: 19 jan. 2021.
Promulgada em novembro de 2012, a Lei de Crimes Informáticos visa oferecer segurança contra 
os crimes cibernéticos ataques e uso indevido da comunicação e dos sistemas cibernéticos. Trata, entre 
outros assuntos, sobre crimes de modificação, observação, fabricação e acesso não autorizado a dados. 
Também engloba crimes sobre falsificações no ambiente digital e define as penas.
 Saiba mais
Conheça a Lei de Crimes Informáticos:
BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Brasília, 2012b. 
Disponível em: https://bit.ly/3dJq91M. Acesso em: 18 jan. 2021.
O Marco Civil da Internet é uma lei sancionada em junho de 2014 que define as diretrizes para o 
uso da internet no Brasil. Basicamente, o Marco Civil regulamenta o uso e a relação da internet entre 
usuários, operadoras e empresas de serviços. Além disso, inovou ao permitir a participação popular 
em sua elaboração. O Marco Civil define direitos e obrigações a cada um dos elementos envolvidos na 
disponibilização da internet: (1) os provedores de conexão são as empresas responsáveis por fornecer 
conexão com a internet e (2) os provedores de aplicação são as empresas que fornecem serviços como 
sites, nuvem computacional e e-mail, por exemplo.
Há três princípios muito bem estabelecidos dentro do Marco Civil da Internet:
• A neutralidade da rede busca garantir o tratamento igualitário dos usuários, coibindo os excessos 
praticados pelos provedores na prestação dos serviços da internet.
189
COMPUTAÇÃO FORENSE
• O princípio da privacidade da rede busca garantir a inviolabilidade da comunicação através da 
internet. A lei estabelece que os provedores, inclusive os estrangeiros, devem garantir o sigilo e a 
segurança das informações que trafegam pela rede.
• O princípio da fiscalização de acessos determina que um provedor deve armazenar os dados 
sobre o tráfego de rede de um usuário por no mínimo um ano, para fins de solicitaçãolegal.
O Marco Civil foi o primeiro a estabelecer uma série de premissas importantes do uso da internet, 
como as responsabilidades aos usuários na rede, a necessidade de autorização desses usuários para que 
seus dados sejam utilizados e a liberdade de expressão.
 Saiba mais
Conheça o Marco Civil da Internet:
BRASIL. Lei n. 12.965, de 23 de abril de 2014. Brasília, 2014. Disponível em: 
planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 
18 jan. 2021.
A Lei Geral de Proteção de Dados (LGPD) age diretamente sobre o direito à privacidade, pois 
procura garantir que o dono dos dados passe a ter controle sobre o conteúdo que ele compartilhou 
na internet. Essa lei – que deveria ter sido promulgada em 2020, mas passou por adiamentos até por 
conta da pandemia gerada pelo Covid-19 – dispõe sobre o tratamento de dados pessoais, protegendo 
os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da 
pessoa natural.
 Saiba mais
Conheça a LGPD:
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Brasília, 2018. Disponível em: 
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 
29 jan. 2021.
8.8 Provas
Provas são meios diretos ou indiretos para estabelecer a veracidade de um fato ou circunstância. 
Busca-se saber se a verdade relacionada com uma determinada prova existe. Dentro de um processo, 
isso acaba por consolidar e dar veracidade a uma série de fatos.
190
Unidade IV
Tendo em vista que um dos principais objetivos da análise forense é estabelecer a autoria de certos 
atos, os resultados das perícias são de suma importância para a elucidação de crimes.
A definição de prova no direito brasileiro possui raízes nos doutrinadores Malatesta (direito 
italiano) e Mittermaier (direito alemão), do século XIX, e possui significado gramatical com 
três concepções:
• Ato de provar: é a ação pela qual se verifica a exatidão ou verdade do fato alegado pela parte no 
curso do processo. Um exemplo que pode ser citado é a fase probatória de um processo.
• Meio de prova: trata-se do instrumento por meio do qual se demonstra a verdade de algo, como 
uma prova testemunhal, pericial ou documental.
• Resultado da ação de prova: é o elemento extraído da análise das provas oferecidas. A priori 
também demonstra a verdade de um fato. Um exemplo é a sentença que um juiz profere a partir 
das provas aceitas na decisão final de um julgamento.
Em relação a todas essas definições, aumenta em importância a precisão do resultado obtido em 
uma perícia forense, pois muitas vezes é o único meio que se tem para provar a inocência ou a culpa de 
alguém – já que, na dúvida, o direito é sempre a favor do réu.
A busca pela garantia da verdade é tão importante que há dois requisitos fundamentais para garantir 
o valor de uma prova: (1) a autenticidade é a garantia que uma informação, vestígios, dado, evidência 
ou prova provém do autor nela indicado; e (2) a integridade é a certeza de que a informação não 
foi objeto de alteração, proposital ou não, desde sua configuração original. De forma complementar, 
também existe o requisito da preservação de cadeia de custódia, que envolve a documentação de dois 
aspectos: (1) a cronologia dos vestígios; e (2) o controle de acesso a eles.
Em relação às provas, o direito digital contém uma categoria bem específica: a prova digital ou 
telemática. De acordo com Velho et al. (2016), trata-se do procedimento de elaboração das informações 
a distância através de terminais inteligentes, capazes de transmitir e receber dados. Assim, as provas 
digitais reúnem características únicas de portabilidade, reprodutibilidade e volatilidade, bastante comuns 
no mundo conectado atual. São arquivos, documentos eletrônicos, programas, mensagens, enfim, dados 
cibernéticos que são objeto de estudo da análise forense.
Com o passar dos anos, a produção de provas digitais se tornou mais sofisticada. 
Consequentemente, a ciência forense também precisou evoluir em relação à análise de provas. 
Se antes era prática comum a análise de um volume imenso de páginas e documentos físicos, ou 
mesmo uma quantidade absurda de arquivos eletrônicos de forma quase manual (leitura literal), 
hoje esse tipo de análise se tornou mais assertiva, eficiente e direcionada com a ajuda de sistemas 
próprios. Contudo, pelo lado do direito, toda essa evolução tem um preço, já que exige uma 
legislação mais sofisticada e regulamentada. Há diversos exemplos, desde as ferramentas digitais 
criadas por empresas internacionais que se recusam a se enquadrar em alguns aspectos legais até 
sistemas que não permitem a quebra de sigilo dos dados.
191
COMPUTAÇÃO FORENSE
É importante esclarecer que para que haja a busca dessas provas, ou seja, para inspecionar ou 
revistar um dispositivo particular, é necessário que a infração penal chegue até a autoridade policial por 
meio de um expediente escrito, podendo ele ser um boletim de ocorrência, uma denúncia, uma queixa 
ou um flagrante.
A administração pública é dotada de fé publica, o que ajuda a evitar questionamentos quanto à 
integridade do isolamento, preservação, coleta, processamento, análise e custódia do vestígio. Porém, 
na iniciativa privada isso não ocorre e muitas vezes é preciso recorrer a procedimentos jurídicos para 
demonstrar que determinado vestígio existiu. Isso ocorre na possibilidade de perda, modificação ou 
problemas na coleta de dados. Para esses casos utiliza-se a ata notarial, criada pela Lei Federal n. 8.935/94 
e positivada também no art. 384 do Código de Processo Civil.
A volatilidade das informações tem ganhado importância no âmbito do direito. A demora na 
liberação de uma ordem judicial, necessária para coleta de provas, pode comprometer a obtenção de 
provas. O princípio da ordem de volatilidade determina a hierarquia dos vestígios mais voláteis para 
os menos voláteis. Também estabelece a justificativa da urgência do pedido judicial, determinando a 
busca e apreensão, inspeção ou revista de forma rápida e até imediata. Em resumo, a importância da 
volatilidade dos dados está relacionada diretamente à possibilidade de perda dos dados. 
8.9 A prova em relação à perícia
O Código de Processo Civil (CPC) brasileiro (BRASIL, 2015) contém as normas do processo judicial civil 
que regem os acontecimentos que envolvem o homem em sociedade. O CPC tem grande importância 
para a elucidação de provas e fatos que envolvem o perito, conforme visto em seus arts. 156 a 159. 
Os peritos são profissionais legalmente habilitados técnica e cientificamente, devidamente inscritos em 
cadastro mantido por um tribunal e submetido a um juiz. Em um processo investigativo, o juiz tem a 
liberdade de nomear não apenas o profissional, mas também universidades ou institutos de pesquisa 
para a investigação.
A prova pericial está prevista nos arts. 464 a 480 do CPC. A lei preceitua quatro efeitos práticos: 
(1) simplificação da produção da prova técnica; (2) requisito de apresentação de currículo do perito; 
(3) perícia consensual; e (4) requisitos do laudo oficial. Todos podem ser aplicados no processo de 
acordo com a necessidade. Pode haver também inspeções judiciais, cabendo ao magistrado assumir 
uma posição ativa e podendo deixar seu gabinete para inspecionar pessoas e coisas. De forma geral, o 
ajuste pelo qual passou o CPC em 2015 trouxe mais visibilidade e prestígio para o trabalho da perícia, 
reforçando a necessidade de conhecimento técnico especializado, para assim auxiliar o juiz na busca 
pela verdade.
No Brasil, a intimidade e a vida são direitos fundamentais de todos os brasileiros e estrangeiros 
residentes no país, garantidos pela Constituição Federal de 1988 e Código Civil de 2002. Sendo assim, a 
motivação de revelação de uma prova ou evidência somente será efetuada em prol do interesse público. 
Por isso, o profissional forense sempre deverá estar a par dos limites da privacidade e segurança coletiva. 
O quadro a seguir mostra em quais leis estão descritos os principais indicadores