COMPUTAÇÃO FORENSE Livro-Texto - Unidade I

Prévia do material em texto

Autor: Prof. Anderson Aparecido Alves da Silva
Colaboradores: Prof. Ricardo Sewaybriker
 Prof. Tiago Guglielmeti Correale
Computação Forense
Professor conteudista: Anderson Aparecido Alves da Silva
Doutor em Engenharia Elétrica – Sistemas Eletrônicos (USP, 2016), mestre em Engenharia da Computação 
(IPT, 2010), pós-graduado (lato sensu) em Administração de Empresas com ênfase em Análise de Sistemas (Fecap, 
1993) e graduado em Processamento de Dados (Fieo, 1991). Trabalhou como gerente de TI na inciativa privada por 
23 anos. Participou como pesquisador bolsista do Programa de Pós-doutorado da USP como coordenador técnico do 
projeto Campus Inteligente – Testbed para Conceitos e Tecnologias Aplicados a Cidades em 2017 e atualmente está no 
Programa de Pós-doutorado no projeto Internet do Futuro. É professor do curso de Mestrado Profissional em Ciência da 
Computação do IPT. Também ministra nos cursos de graduação tecnológicos da UNIP e do Senac e de pós-graduação 
do Senac (presencial e EaD), da Unoeste (onde exerce ainda a função de coordenador técnico pedagógico), da Wyden 
Metrocamp e da Universidade Anhembi Morumbi. Sua principal linha de pesquisa inclui segurança da informação, 
redes de sensores IoT, o conceito de smart cities, cloud/fog computing, métodos de aprendizado de máquina para 
previsão de ataques e técnicas de análise estratégica baseadas nos conceitos sobre Teoria dos Jogos e estatística.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
S586c Silva, Anderson Aparecido Alves da.
Computação Forense / Anderson Aparecido Alves da Silva. – São 
Paulo: Editora Sol, 2021.
216 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Exames. 2. Arquivos. 3. Análise. I. Título. 
CDU 340:681.3
U511.24 – 21
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy 
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial: 
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Lucas Ricardi
 Vitor Andrade
Sumário
Computação Forense
APRESENTAÇÃO ......................................................................................................................................................9
INTRODUÇÃO ...........................................................................................................................................................9
Unidade I
1 INTRODUÇÃO À COMPUTAÇÃO FORENSE ............................................................................................. 11
1.1 Justificativas para a computação forense .................................................................................. 11
1.2 Termos básicos da computação forense ..................................................................................... 13
1.3 Normas técnicas e procedimentos em computação forense ............................................. 15
1.4 Evidências em crimes cibernéticos ................................................................................................ 16
1.5 Identificação, isolamento, registro, coleta e preservação de evidências 
cibernéticas .................................................................................................................................................... 17
1.6 Etapas para tratamento das evidências ...................................................................................... 17
1.6.1 Identificação ............................................................................................................................................. 18
1.6.2 Isolamento ................................................................................................................................................. 21
1.6.3 Registro ....................................................................................................................................................... 24
1.6.4 Coleta ........................................................................................................................................................... 26
1.6.5 Preservação ............................................................................................................................................... 26
2 EXAMINANDO SISTEMAS DE ARQUIVOS ............................................................................................... 27
2.1 Introdução aos sistemas de arquivos ........................................................................................... 28
2.2 Armazenamento ................................................................................................................................... 28
2.3 Principais sistemas de arquivos ...................................................................................................... 36
2.3.1 File Allocation Table (FAT) .................................................................................................................... 36
2.3.2 New Technology File System (NTFS) ................................................................................................ 38
2.3.3 Extended File System: Ext, Ext2, Ext3 e Ext4 ............................................................................... 40
2.3.4 Flash-Friendly File System (F2FS) ..................................................................................................... 42
2.3.5 Hierarchical File System Plus (HFS+) .............................................................................................. 43
2.3.6 Google File System (GFS) e Hadoop Distributes File System (HDFS) ................................. 44
2.4 Preservando, extraindo e analisando dados das mídias ....................................................... 44
2.4.1 Preservando ............................................................................................................................................... 45
2.4.2 Extraindo .................................................................................................................................................... 48
2.4.3 Analisando ................................................................................................................................................. 50
Unidade II
3 EXAMES NA INTERNET .................................................................................................................................. 56
3.1 Protocolos ................................................................................................................................................ 56
3.2 Endereçamento IPv4 ........................................................................................................................... 58
3.3 O IP como evidência ............................................................................................................................ 60
3.4 O e-mail como evidência .................................................................................................................. 62
3.5 O Domain Name System (DNS) como evidência .....................................................................64
3.6 Os sites como evidências ................................................................................................................... 65
3.7 Os browsers como evidências .......................................................................................................... 67
3.8 A navegação anônima como evidência ...................................................................................... 69
3.9 As redes sociais como evidência .................................................................................................... 72
3.9.1 Facebook ..................................................................................................................................................... 72
3.9.2 Twitter ......................................................................................................................................................... 74
3.10 Investigando as redes computacionais e de telefonia ........................................................ 75
3.11 A leitura de pacotes........................................................................................................................... 75
3.12 Exames em equipamentos de rede ............................................................................................. 77
3.13 Exames em servidores ...................................................................................................................... 77
3.14 Exames no tráfego de rede ............................................................................................................ 82
3.15 Exames em controles de segurança ........................................................................................... 84
4 INVESTIGANDO IMAGENS E IDENTIFICANDO PORNOGRAFIA INFANTIL ................................... 84
4.1 Formatos de arquivos ......................................................................................................................... 85
4.2 Exames em imagens digitais ............................................................................................................ 86
4.3 Técnicas para melhorias em imagens .......................................................................................... 89
4.4 A ciência forense aplicada contra a pornografia infantil .................................................... 95
4.5 A visão da lei .......................................................................................................................................... 97
4.6 Técnicas para a identificação de pornografia infantil ........................................................... 99
4.6.1 Hash de arquivos ..................................................................................................................................... 99
4.6.2 Análise dos nomes de arquivos .......................................................................................................100
4.6.3 Análises automáticas...........................................................................................................................100
4.7 Análises mais avançadas .................................................................................................................101
4.8 Documentação de pornografia infantil ....................................................................................104
Unidade III
5 INVESTIGANDO SISTEMAS EMBARCADOS ..........................................................................................109
5.1 Desafios da computação forense nos sistemas embarcados............................................111
5.2 Registradores embarcados em veículos ....................................................................................112
5.3 Investigando equipamentos mobile ...........................................................................................116
5.4 Contextualizando os dispositivos mobile .................................................................................116
5.5 Identificando dispositivos mobile ................................................................................................117
5.6 Coletando evidências em dispositivos mobiles ......................................................................120
5.6.1 Mobile ligado e desbloqueado........................................................................................................ 125
5.6.2 Mobile ligado e bloqueado .............................................................................................................. 125
5.6.3 Mobile desligado .................................................................................................................................. 126
5.7 Documentação das evidências de um mobile ........................................................................127
5.8 Ferramentas forenses recomendadas .........................................................................................127
5.9 Ataques lógicos comuns contra dispositivos mobile ...........................................................128
6 INVESTIGANDO NUVENS COMPUTACIONAIS .....................................................................................131
6.1 Desmistificando os ambientes de nuvem computacional .................................................131
6.2 Desafios forenses nas nuvens computacionais ......................................................................135
6.3 Examinando controles de segurança .........................................................................................141
6.3.1 Examinando SDPI ................................................................................................................................. 142
6.3.2 Examinando firewalls, sniffers e softwares de varredura .................................................... 144
6.3.3 Examinando alguns ataques clássicos ........................................................................................ 145
6.4 O correlacionamento de logs ........................................................................................................150
6.5 Ferramentas para coleta de dados de controles de segurança .......................................152
Unidade IV
7 EXAMINANDO OS MALWARES .................................................................................................................156
7.1 Contextualizando os malwares .....................................................................................................156
7.2 Identificação e análise de malwares ...........................................................................................158
7.3 Formas para a análise de malwares ............................................................................................161
7.3.1 Análise estática ......................................................................................................................................161
7.3.2 Análise dinâmica .................................................................................................................................. 165
7.4 Examinando dados criptografados .............................................................................................168
7.5 Contextualizando a criptografia ..................................................................................................168
7.6 Identificando dados criptografados ...........................................................................................169
7.7 Decifrando dados criptografados ................................................................................................171
8 TÉCNICAS ANTIFORENSES E O DIREITO DIGITAL ...............................................................................174
8.1 Ocultação em arquivos ....................................................................................................................175
8.2 Esteganografia .....................................................................................................................................1788.3 Apagando dados .................................................................................................................................180
8.4 Falsificando dados ..............................................................................................................................181
8.5 Inviabilizando as análises ................................................................................................................184
8.6 O direito digital ...................................................................................................................................185
8.7 Histórico de leis voltadas para a proteção de dados ...........................................................186
8.8 Provas ......................................................................................................................................................189
8.9 A prova em relação à perícia .........................................................................................................191
8.10 Relações de trabalho ......................................................................................................................194
8.11 Crimes cibernéticos .........................................................................................................................195
9
APRESENTAÇÃO
O conteúdo abordado neste livro-texto tem por objetivo capacitar o leitor a entender e utilizar 
os principais conceitos e recursos tecnológicos voltados para a computação forense. Trata-se de um 
conteúdo bastante amplo que se estende para muitos ambientes e cenários e, ao mesmo tempo, contém 
muitas especificidades técnicas que podem ser extremamente úteis aos profissionais da área.
O conteúdo está dividido em tópicos que abordarão a computação forense tradicional, os principais 
exames da computação forense, os exames em equipamentos e controles de segurança e a computação 
forense na segurança e no direito.
A abordagem usada é bastante linear, com fundamentações teóricas entre os capítulos, recomendações 
baseadas em normas e exemplos práticos que posicionam o leitor sobre a utilização dos recursos citados.
Os textos em negrito indicam pontos de relevância sobre o assunto e as observações em links 
adicionados procuram complementar o entendimento técnico e prático do leitor.
Boa leitura!
INTRODUÇÃO
Alguns eventos e situações que ocorrem em sistemas cibernéticos e equipamentos precisam ser muito 
bem entendidos. Há contextos nos quais investigações à procura de evidências que possam reconstituir 
dados ou atividades são realmente necessárias. Delitos cometidos com o auxílio da tecnologia são 
bons exemplos.
A junção das palavras delito e evidência remete à investigação legal, aquela responsável por provar, 
acusar, inocentar ou condenar. Em se tratando de crimes cibernéticos, esse é justamente o ambiente no 
qual é aplicada a computação forense.
A computação ou análise forense pode ser considerada uma ferramenta da investigação, aplicada 
sobre os ambientes, sistemas e dispositivos tecnológicos. Um dos seus principais objetivos é rastrear os 
eventos desde as origens, provendo entendimento sobre o que aconteceu.
Na verdade, a análise forense não se limita simplesmente à rastreabilidade dos fatos. O escopo 
é bem mais amplo: a busca é pela descoberta de dados escondidos ou apagados (muitas vezes de 
forma proposital), pela correlação de fatos e situações que aparentemente não estão relacionados, pela 
identificação de responsáveis, pela validação de provas e procedimentos executados e pela proteção de 
sistemas, equipamentos e pessoas.
Neste livro-texto, as diversas formas de aplicação da análise forense computacional são detalhadas. 
São abordadas: (1) a parte teórica, com conceitos e explicações baseadas no estado da arte atual sobre o 
assunto; (2) a parte técnica, com ferramentas e conceitos bem específicos de segurança e investigação 
cibernética; (3) a parte gerencial, com as sugestões relatadas nas principais normas e padrões; e (4) a 
10
parte legal, deixando claro o que pode e o que não pode ser feito. Por ser permeado por exemplos, o 
resultado é bastante amplo e permite que você tenha uma boa ideia do significado e das vantagens da 
aplicação da computação forense.
11
COMPUTAÇÃO FORENSE
Unidade I
1 INTRODUÇÃO À COMPUTAÇÃO FORENSE
Área que abrange vários aspectos da ciência forense, a computação ou análise forense é um 
ramo da criminalística voltado para a análise e o estudo de evidências cibernéticas, seus aspectos e 
consequências, preservando, dentro do possível, tanto os vestígios levantados como o objeto de estudo 
para fins de reprodutibilidade. É uma área multidisciplinar, já que congrega peritos de diversas áreas que 
interagem: tecnologia da informação (TI), criminal, contabilidade e multimídia, entre outras.
Neste tópico introdutório, os termos básicos são apresentados em conjunto com algumas normas 
que tratam sobre a análise forense.
1.1 Justificativas para a computação forense
A razão de existir da computação forense é a própria evolução da tecnologia e, consequentemente, 
a necessidade de acompanhamento dessa evolução por parte da investigação. Exames e investigações 
que antes tinham por base relatórios escritos, fitas VHS ou quaisquer dados em formato analógico 
atualmente têm por orientação a busca em documentos digitais, imagens, redes sociais, dispositivos 
com sensores e programas, entre outros. A própria forma de interação da sociedade mudou com o 
advento das mídias sociais e a velocidade de comunicação. Some-se a esses aspectos a revolução em 
curso (2020) trazida pela inteligência artificial (IA) epela evolução da internet of things (IoT), com seus 
dispositivos inteligentes que interagem e tomam decisões sem a interferência de pessoas.
Mesmo em áreas que parecem não fazer parte do ramo tecnológico, as técnicas de investigação 
têm avançado. Exames balísticos precisam se debruçar sobre a fabricação de armas e munição 
em impressoras 3D. Médicos podem se valer das informações repassadas por sensores instalados em 
dispositivos dentro de pacientes, como marca-passos, ou comandar cirurgias remotas em pacientes a 
muitos quilômetros de distância, assim como juízes podem atender audiências distantes simplesmente 
usando recursos de videoconferência.
Com todos esses recursos disponíveis, o aparecimento de ameaças e vulnerabilidades com efeito para 
causar prejuízos, fraudes e crimes de toda a espécie aumenta consideravelmente. Por isso, a necessidade 
de atualizações nas técnicas investigativas se faz tão premente.
Alguns números de 2019, retirados de O’Gorman et al. (2019), estão colocados no quadro a seguir:
12
Unidade I
Quadro 1 – Números sobre o crescimento de ameaças cibernéticas no mundo em 2019
Ameaça Descrição Números
URL maliciosa
Quantidade de uniform resource locator (URL) 
executada com fins maliciosos de invasão, 
indisponibilidade, espionagem e roubo e destruição 
de dados, entre outros
1 em 10
Ataques web Ataques diversos a servidores web ↑ 56% em relação a 2018
Ataques de formjaking Ataques relacionados a pagamentos realizados com cartões eletrônicos
4.800 websites são 
comprometidos mensalmente
Cryptojacking Ataques nos quais o processamento da máquina vítima é usado indevidamente para mineração de criptomoedas
↓ 52% nos bloqueios deste tipo 
de ocorrência (jan.-dez. de 2018)
Ransomware
Ataques que encriptam ou travam o sistema 
operacional de máquinas mediante extorsão em 
criptomoedas 
↓ 20% da prática
Porém:
↑ 33% em mobile
↑ 12% em empresas
Ataques supply chain
Ataques que exploram vulnerabilidades em 
aplicativos, sistemas operacionais e serviços para 
gerar ataques a terceiros
↑ 78%
E-mails maliciosos E-mails com anexos ou scripts maliciosos
48% contêm anexos maliciosos
↑ 100% scripts de powershell
Ataques de malwares destrutivos Scripts maliciosos que destroem dados e sistemas ↑ 25%
Adaptado de: O’Gorman et al. (2019).
Os números do quadro mostram como as motivaçõescriminais continuam em expansão na área 
tecnológica. De certa forma, acompanham o ritmo de desenvolvimento e disseminação tecnológica. 
Um detalhe importante é que, pelo menos no Brasil, o crescimento na quantidade de profissionais 
qualificados para lidar com ameaças cibernéticas não avança no mesmo ritmo do desenvolvimento nem 
do surgimento de ameaças. Há um déficit tecnológico no país, e para os que pensam em trilhar essa 
área, pelo menos três fatores se mostram essenciais:
• Fator humano: diz respeito à capacidade do homem de raciocinar, analisar, entender e tecer 
conclusões sobre as evidências e os exames realizados. Este fator sofre em consequência de 
diversas variáveis, como estresse, cansaço, distração, sono e calor, entre outros.
• Fator tecnológico: diz respeito ao conhecimento necessário sobre a tecnologia vigente, assim 
como às dificuldades (atualizações ultrarrápidas, limitações de armazenamento e dependência de 
baterias, entre outras) que essa mesma evolução técnica exerce sobre o profissional forense.
• Fator legal: diz respeito aos aspectos legais que devem ser respeitados no levantamento de 
evidências, na análise dos vestígios cibernéticos e nas conclusões apresentadas.
13
COMPUTAÇÃO FORENSE
Diante de todas essas justificativas, é importante frisar que o avanço das investigações não deve 
ser construído apenas nos recursos tecnológicos, que são ferramentas importantes nessa área, mas não 
são as únicas. O profissional forense deve estender seu trabalho de forma meticulosa a todos os ramos 
possíveis – direito, contabilidade, medicina, relações interpessoais, engenharia, química, entre outras – 
para compreender e solucionar investigações.
1.2 Termos básicos da computação forense
Para que fiquem claros todos os pontos cobertos nesta unidade, alguns termos básicos, utilizados com 
frequência na computação forense e que podem ser encontrados em Shirey (2000), são detalhados aqui:
• Algoritmo (ou função) de hash: função matemática irreversível que, a partir de uma string 
(um texto qualquer) de entrada, gera como saída uma outra string de tamanho fixo totalmente 
diferente da entrada. Hashes são utilizados na garantia de integridade, permitindo que se verifique 
se há mudanças entre dois arquivos diferentes.
• Análise live (a quente, viva ou on-line): ocorre quando a análise de investigação forense é realizada 
diretamente com o dispositivo ou equipamento de estudo funcionando. É necessária porque muitas 
vezes os resultados da análise devem ser obtidos em tempo real de execução, por exemplo, quando 
se deseja preservar dados voláteis presentes apenas durante a execução. Contudo, deve ser realizada 
de acordo com as recomendações de segurança para que não danifique nem o objeto de estudo 
(equipamento), nem as evidências e os resultados colhidos.
• Análise post mortem (a frio, morta ou off-line): ocorre quando a investigação está centrada 
em preservar evidências sem alterá-las. A recomendação é que se crie uma cópia do objeto de 
estudo para a realização das investigações – o objetivo é justamente protegê-lo contra alterações 
e contaminações indevidas.
• Auditoria: serviço de segurança implementado quando existe a necessidade de se rastrear um 
comportamento, evento ou evidência. Em geral, um controle de segurança que permite a auditoria 
é a geração de logs ou registros de um sistema ou equipamento.
• Análise forense computacional: abrange a investigação computacional realizada em hardware 
e software com base no levantamento de evidências cibernéticas que ajudem na solução de 
crimes ou auditorias, buscando, ainda, tanto quanto possível, a preservação tanto dos vestígios 
levantados como do objeto de estudo, para fins de reprodutibilidade.
• Técnicas antiforenses: técnicas usadas por investigados para dificultar as análises das evidências, 
por meio de métodos de ocultação e ofuscamento dos vestígios computacionais.
• Arquivos compostos (containers): arquivos binários compostos por outros arquivos. Um bom 
exemplo são os arquivos compactados, que podem conter em seu conteúdo diversos outros 
arquivos e diretórios.
14
Unidade I
• Arquivo imagem (pericial ou imagem forense): trata-se de uma cópia da mídia investigada 
que garante a reposição do objeto investigado em caso de danos. Pode ser dividida em porções 
menores ou compactada e, em geral, tem sua integridade garantida por meio de funções hash.
• Programas peer-to-peer: são programas usados para o compartilhamento de arquivos de 
forma descentralizada pela internet. Programas deste tipo, também chamados de P2P, permitem 
que usuários recebam pedaços de arquivos espalhados em várias máquinas diferentes, fato que 
dificulta o rastreamento. São muito usados na obtenção de programas e arquivos piratas.
• Cadeia de custódia: trata-se de um registro que contém detalhes de diversas operações e objetos 
relacionados à análise forense, como pessoas, mídias, informações sobre o ambiente e quaisquer 
dados relacionados com a investigação. É uma documentação que dá sustentação ao processo 
legal da investigação e foi estabelecida pela Portaria n. 82, de 16 de julho de 2014, da Secretaria 
Nacional de Segurança Pública do Ministério da Justiça (Senasp/MJ).
• Computação na nuvem (cloud computing): termo que caracteriza a oferta de serviços 
tecnológicos, principalmente computacionais, geralmente através da internet, como e-mail, 
armazenamento, processamento avançado de tarefas, serviços de IA e aprendizado de máquinas, 
análises diversas e ferramentas IoT, entre outros.
• Criptografia: métodos de transformação, baseados em algoritmos matemáticos e uso de chaves 
secretas, aplicados em arquivos ou conteúdo armazenado que escondem ou autenticam informações. 
É usada com frequência quando se deseja obter os serviços de segurança relacionados à confidencialidade 
e autenticação de dados, sendo que a integridade pode ser alcançada com o uso conjunto de hashes.
• Deep web: páginas web não indexadas pelos principais mecanismos de busca, como o Google, 
por exemplo. Não é uma regra, mas muitos sites encontrados na deep web contêm conteúdo 
ilegal ou impróprio, como pornografia infantil, incentivo ao racismo, apologia ao terrorismo e 
comércio ilegal de drogas, entre outros assuntos. A darknet é a porção da deep web voltada para 
a pornografia infantil.
• Duplicação pericial (forense): cópia bit a bit de uma evidência digital, que resulta em um 
arquivo imagem (backup) da evidência.
• Imagem digital: arquivo de imagem criado em geral por máquinas fotográficas digitais e editável 
a partir de softwares de manipulação de imagens.
• Intrusão: ataque de origem local ou remota, que viola o controle de acesso de um objeto (computador 
ou smartphone, por exemplo), de forma voluntária e geralmente com intenções maliciosas.
• Laudo (parecer técnico): documentação técnica científica com o resultado de uma análise 
pericial. Deve ser elaborado por um perito de forma compreensível tanto aos interessados quanto 
aos responsáveis pelo julgamento do mérito da investigação, de forma que estes não precisem de 
conhecimento técnico aprofundado para entender os termos adicionados ao documento. Pode 
15
COMPUTAÇÃO FORENSE
conter fotos, vídeos ou outros elementos que ajudem a melhorar sua compreensão a fim de que 
equívocos não sejam cometidos no julgamento.
• Malwares: categoria de programas maliciosos que incluem os vírus, os worms e os trojans. Além 
de serem causas dos problemas bem conhecidos dos usuários, como lentidão e perda de dados, 
esses scripts maliciosos podem ser utilizados para fraudes, como a abertura de conexões externas, 
chamadas de backdoors, que permitem conexões externas não autorizadas.
• Mídia de prova (questionada): é a mídia (pen drives, discos rígidos, DVD etc.) que contém os 
dados que estão sendo investigados.
• Mídia de destino: local para onde as mídias de prova são copiadas para fins de backup e preservação.
• Evidência cibernética (vestígio): informações armazenadas ou transmitidas quepossuam caráter 
probatório e podem ser utilizadas no julgamento de mérito de um objeto investigado. Diversas 
informações ou eventos coletados podem servir como vestígios cibernéticos, logs, arquivos ou 
processos executados, entre outros.
• Evento: qualquer ação executada em sistemas ou equipamentos. Em geral, eventos deixam 
marcas que podem ser registradas nos logs e podem ser utilizadas como evidências. Um ataque 
computacional pode ser considerado um evento malicioso.
• Wipe: trata-se de uma técnica que garante o apagamento seguro de dados contidos em mídias. 
Em geral, é empregada para limpar o conteúdo de determinadas mídias, evitando contaminações 
futuras em caso de novas gravações, mas também pode ser utilizada como uma técnica 
antiforense com o objetivo de dificultar a coleta de dados apagados.
 Observação
O foco nesta unidade é apresentar o conteúdo básico sobre 
computação forense.
1.3 Normas técnicas e procedimentos em computação forense
A legislação brasileira não exige o uso de normas e regulamentações, assim como não expressa 
explicitamente a titulação e as certificações que o profissional forense deve ter. Porém, o Código de 
Processo Penal (CPP) exige curso superior para esses profissionais e sugere o uso de técnicas conhecidas 
e recomendadas pela comunidade científica.
Como está incluída em uma área multidisciplinar, a computação forense tem como guia principal 
a legislação constitucional brasileira. Adicionalmente também se espelha em normas técnicas e 
regulamentações infraconstitucionais como o Procedimento Operacional Padrão (POP), regido pelo 
Senasp/MJ, e a norma ABNT NBR ISO/IEC 27037:2013.
16
Unidade I
É importante destacar que a obediência a normas ou padrões não é um item obrigatório. Espera-se 
que o profissional forense siga as recomendações exigidas nas normas, já que representam as melhores 
práticas testadas e homologadas sobre o assunto de estudo.
Um regulamento técnico é um documento obrigatório emitido por autoridades municipais, 
estaduais ou federais que contém regras sobre processos, técnicas, métodos e procedimentos 
administrativos. Ou seja, deve ser seguido. O objetivo do regulamento técnico é, basicamente, o mesmo 
das normas: padronizar as atividades, proteger os ativos e disseminar a forma correta de trabalho.
Por sua vez, um POP tem por objetivo padronizar o trabalho, minimizando os riscos da execução das 
análises forenses, evitando as falhas e erros do processo.
Publicado pelo Ministério da Justiça, um POP de destaque no Brasil é o Procedimento Operacional 
Padrão: Perícia Criminal. Esse documento traz alguns padrões sobre as perícias criminais:
• Exame pericial de mídia de armazenamento computacional: orienta o profissional de perícia 
forense na realização de exames em mídias de armazenamento, como discos rígidos, pen drives e 
cartões de memória, entre outros.
• Exame pericial de equipamento computacional portátil e de telefonia móvel: contém 
orientações sobre o tratamento que deve ser dado em exames executados em dispositivos 
portáteis, como notebooks, smartphones, tablets e dispositivos com sensores.
• Exame pericial de local de informática: orienta os profissionais sobre análises realizadas em um 
determinado ambiente. Perícias que são executadas no local (in loco) ou que busquem levantar 
detalhes do ambiente se enquadram nessa categoria de recomendações.
• Exame pericial de local de internet: orienta os profissionais na investigação de ocorrências e 
crimes ocorridos na internet.
1.4 Evidências em crimes cibernéticos
Os crimes cibernéticos podem ser enquadrados como delitos que utilizam computadores, redes 
ou algum outro hardware qualquer. Como esses delitos têm aumentado principalmente devido a 
facilidade e disseminação tecnológica, é importante dividi-los em duas categorias: (1) aquela na qual 
os computadores e dispositivos tecnológicos são meras ferramentas para a execução do delito – neste 
caso, mesmo sem o computador, o delito até poderia acontecer; e (2) aquela na qual o computador é 
preponderante para a prática do crime, como fraudes em comércio eletrônico ou ataques para tirar um 
site de atividade.
Na verdade, há uma ampla gama de delitos que podem ser enquadrados como crimes cibernéticos. 
A esse respeito, a lei brasileira n. 12.737, de 30 de novembro de 2012, acrescentou dois artigos no Código 
Penal Brasileiro, que tipifica e define a punição para o crime de invasão computacional:
17
COMPUTAÇÃO FORENSE
• Art. 154-A: invadir dispositivo informático alheio, conectado ou não à rede de computadores, 
mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou 
destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo 
ou instalar vulnerabilidades para obter vantagem ilícita. Pena: detenção, de três meses a um 
ano e multa.
• Art. 154-B: nos crimes definidos no art. 154-A, somente se procede mediante representação, 
salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos 
poderes da União, estados, Distrito Federal ou municípios ou contra empresas concessionárias de 
serviços públicos (BRASIL, 2012b).
Crimes cibernéticos, assim como qualquer evento computacional, deixam vestígios quando ocorrem. 
Esse é o passo inicial para a execução da análise forense.
1.5 Identificação, isolamento, registro, coleta e preservação de 
evidências cibernéticas
Seja como meio ou como fim, a simples utilização de recursos computacionais para a execução 
de crimes digitais (ou outra atividade qualquer) produz evidências (vestígios) cibernéticas 
físicas ou lógicas.
Este tópico apresenta quais são as cinco principais etapas para tratamento das evidências levantadas 
em uma análise forense.
1.6 Etapas para tratamento das evidências
As evidências são informações geradas pela utilização de um sistema que podem servir para apuração 
de fatos e rastreamento de atividades, sendo que também estão incluídos nessa definição os elementos 
físicos usados para armazenar, transmitir ou dar algum tipo de suporte a essa atividade.
A definição sobre a geração de evidências cibernéticas tem por base o princípio de Locard: “Todo 
contato deixa vestígios”.
 Saiba mais
Edmond Locard foi um cientista forense francês que em 1920 definiu 
o princípio de Locard, base da ciência forense moderna. Detalhes em:
RAMOS, M. G. Do valor probatório do arquivo digital. 2011. Trabalho de 
Conclusão de Curso (Bacharelado em Direito) – Universidade de Brasília, 
Brasília, 2011. Disponível em: https://bit.ly/3rZUpuy. Acesso em: 8 fev. 2021.
18
Unidade I
Sendo assim, tendo em vista que as operações executadas em sistemas cibernéticos são em sua 
maioria realizadas por pessoas, o tratamento e análise das evidências geradas pode identificar os 
indivíduos que cometeram crimes digitais. Para isso, cinco etapas primordiais da atividade forense 
devem ser discutidas: (1) identificação; (2) isolamento; (3) registro; (4) coleta; e (5) preservação.
1.6.1 Identificação
O princípio proposto por Locard (“Todo contato deixa vestígios”) é antigo (de 1920) e está relacionado 
com evidências físicas, como sangue e pegadas na cena de um crime. Uma análise apressada sugere 
que em crimes cibernéticos esse tipo de evidência (física) não exista ou que evidências lógicas sejam 
impossíveis de serem detectadas. Isso não é verdade, pois há dois contextos usados na identificação de 
evidências cibernéticas:
• Contexto físico: formado pelo hardware (circuitos eletrônicos, periféricos e dispositivos físicos 
do cenário investigado). Trata-se da parte tangível do ambiente.
• Contexto lógico: formado pelo software (bits, instruções, comunicação e códigos usados). 
Trata-se da parte intangível do ambiente.
Apesar de haver uma separação bem conhecida entre os conceitos de hardware e software, do ponto 
de vista prático ambos podem ser associados. Tudo que um software faz pode ser executado diretamente 
em um hardware, de forma embarcada, por exemplo. Da mesma forma,tudo que um hardware faz pode 
ser virtualizado e/ou simulado por um software.
 Observação
Um software embarcado é um código ou programa inserido em 
um equipamento que vai executar as funções programadas no código 
como um hardware.
Algo que pode ser diferenciado entre os dois conceitos (hardware e software) é o fato de as relações 
quantitativas entre eles nem sempre acontecerem de forma igual 1:1.
Imagine um servidor que abriga diversas máquinas virtuais e possui diversos sistemas operacionais 
sendo executados ao mesmo tempo. Pelo contexto físico, há apenas um único servidor funcionando. 
Pelo contexto lógico, há diversas máquinas virtuais funcionando. Temos uma relação 1:N do ponto de 
vista físico. Se o servidor tivesse apenas um sistema operacional, a relação seria 1:1.
Pense em um servidor que realiza um processo de redundant array of independent disks (Raid) físico 
com diversos discos sendo entendidos pelo sistema operacional como um único disco. Pelo contexto 
físico, há diversos discos rígidos. Pelo contexto lógico, o sistema operacional entende que há apenas um 
disco rígido. Temos uma relação N:1 do ponto de vista físico.
19
COMPUTAÇÃO FORENSE
Um Raid físico é um arranjo com diversos discos rígidos funcionando como se fossem um único 
disco, provendo aumento no tamanho do armazenamento. Também há opções de Raid que provêm 
redundância no armazenamento, gravando e lendo dados a partir de discos rígidos diferentes.
Se o servidor tivesse um único disco rígido, seria entendido pelo sistema operacional como um único 
disco (relação 1:1).
Mas qual a importância dessa discussão entre contexto? Simples: a correta identificação da relação 
entre os contextos físico e lógicos é importante para a identificação das evidências. Isso leva a uma 
constatação: é preciso conhecer bem o que se pretende investigar.
Identificar todos os itens de um cenário cibernético como vestígios pode saturar a investigação com 
uma avalanche de evidências de pouca relevância. Por outro lado, identificar poucas evidências pode 
deixar lacunas que atrapalham ou inviabilizam a investigação. Para se chegar a um equilíbrio saudável, é 
preciso que o profissional forense conheça o máximo possível o objeto e os contextos lógico e físico dele.
Em geral, evidências físicas têm mais apelo visual. A identificação de marca e modelos de 
equipamentos, periféricos, dispositivos e entrada/saída (E/S) ou mídias de armazenamento, como pen 
drives, é importante (veja a figura a seguir).
Figura 1 – Receptor USB para mouse e para pen drive
A figura denota como a identificação visual pode falhar. O dispositivo da esquerda (Logitech) é um 
receptor USB para mouse, enquanto o da direita (Scandisk) é um pen drive.
Outra preocupação é a pluralidade que os dispositivos de TI possuem. Isso muitas vezes leva a análise 
de evidências a saltar de um contexto para outro.
 Observação
Um switch deveria trabalhar apenas na camada 2 (enlace) do modelo 
TCP/IP; contudo, é bastante comum o uso de switches de camada 3 (rede) 
que executam funções de roteamento.
20
Unidade I
Como é possível perceber, todos esses fatores atrapalham a localização e a identificação das evidências 
no contexto físico. Para melhorar esses aspectos, a análise forense computacional adota elementos dos 
princípios de localidade de referência temporal e espacial.
 Saiba mais
Os dois princípios de localidade de referência (temporal e espacial) 
foram descritos pelo cientista da computação Peter J. Denning em 1968. 
Detalhes em:
BRITO, A. V. Introdução a arquitetura de computadores. UFPB, [s.d.]. 
Disponível em: https://bit.ly/3mxXDEE. Acesso em: 5 jan. 2021.
O princípio de localidade de referência temporal diz que se um elemento foi acessado 
recentemente, a probabilidade de ser acessado novamente é grande.
Exemplo: as últimas ligações realizadas em seu telefone celular, em geral, serão repetidas em um 
futuro próximo.
Em sistemas operacionais, páginas de memória pouquíssimo usadas são descarregadas 
da memória, justamente para que as páginas que são usadas frequentemente ocupem mais 
posições de memória.
Já o princípio de localidade de referência espacial diz que recursos espacialmente próximos têm 
grande probabilidade de serem acessados de forma paralela, sequencial ou em conjunto.
Exemplo: em um guarda-roupas organizado, as gravatas são guardadas próximas às camisas, pois 
são usadas em conjunto.
Em sistemas operacionais, algumas páginas de memória são carregadas para a memória mesmo 
sem terem sido solicitadas. A probabilidade de uso dessas páginas não solicitadas é alta, simplesmente 
porque estão próximas ou inter-relacionadas com outras que estão em uso.
Quanto à identificação de evidências, ambos os princípios de localidade são aplicáveis. 
O profissional de forense deve estar atento, pois há relações temporais e espaciais com as evidências 
(físicas e lógicas) de um ambiente cibernético.
Há métodos, ferramentas e técnicas para realizar a identificação de evidências. Eles serão discutidos 
nas seções posteriores.
21
COMPUTAÇÃO FORENSE
1.6.2 Isolamento
A ideia de isolar as evidências se deve à necessidade de garantir a integridade dos vestígios – evitar 
alterações, inserções, destruições, limitações etc. Porém, muitas vezes essa etapa é executada em 
conjunto com a identificação.
• Isolamento físico: deve-se buscar isolar a maior área física possível em um cenário de crime, pois 
assim é possível abranger a maior quantidade de evidências relevantes possível. Um isolamento 
físico insuficiente pode acarretar a baixa identificação de evidências com a perda de vestígios 
importantes, além da manipulação (pessoas mal-intencionadas, por exemplo) e contaminação de 
evidências (fatores climáticos, por exemplo). O isolamento pode ser classificado:
— Quanto à região:
– Imediata: é a região que concentra a maior parte das evidências. Assim, pelo princípio da 
localidade de referência espacial, nesta região devem ser realizados os exames mais precisos. 
Pode haver mais de uma região imediata, por exemplo, o local onde ocorreu o evento e o 
local onde foram gerados resultados.
– Mediata: trata-se da periferia da região imediata. É o entorno da região principal, que pode 
também conter evidências, por isso muitas vezes precisa de isolamento. Também podem 
existir múltiplas regiões mediatas.
— Quanto à preservação:
– Idônea: nesta situação, as evidências não sofreram alteração alguma, desde a ocorrência 
dos eventos até o isolamento feito pelos peritos.
– Inidônea: ocorre quando as evidências sofreram manipulação, desde o momento em que os 
eventos aconteceram até o isolamento.
— Quanto à área:
– Interna: é a área que oferece proteção contra a chuva, sol ou qualquer outro fator climático 
ou natural. Galpões abertos (mesmo sem paredes), casas e coberturas são exemplos.
– Externa: é a área não protegida e sujeita aos fatores climáticos e naturais. Nessas áreas as 
evidências, em geral, são coletadas de cabos, antenas e outros dispositivos externos.
– Virtual: é a área que não possui ligações com o contexto físico, apenas com o lógico. 
Um ambiente de nuvem e um conjunto de máquinas virtuais são exemplos.
• Isolamento lógico: este isolamento depende bastante da natureza do dispositivo que vai 
ser isolado. Em computadores desktop e notebooks, em geral, o isolamento das mídias de 
22
Unidade I
armazenamento (discos rígidos, pen drive) é suficiente. Em casos nos quais a máquina utiliza Raid 
físico (dependente de uma placa controladora) com vários discos envolvidos, a integridade do 
Raid é essencial, por isso é preciso isolar todo o equipamento.
Deve-se levar em conta também o estado atual da máquina.
Se durante o isolamento lógico o computador estiver desligado, é importante para a análise pericial 
que ele assim permaneça. O processo de inicialização contamina bastante as evidências das mídias de 
armazenamento (pen drives e discos rígidos). Se houver a necessidade de análise in loco, uma solução 
bastante utilizada é iniciaro disco rígido da máquina investigada como um disco secundário de outro 
sistema operacional ou pen drive, fato que diminui bastante a contaminação.
Em casos nos quais é preciso iniciar a máquina investigada com outro sistema operacional, é muito 
importante verificar as configurações de inicialização do equipamento, gravadas na Basic Input/Output 
System (Bios) (veja a figura a seguir).
Localização da BIOS na placa-mãe de 
um computador e tela de configuração 
acessível quando o computador é ligado
Figura 2 – Localização na placa-mãe e tela da Bios
Em geral, a maioria dos computadores permite que isso seja feito assim que a máquina é ligada. 
As configurações devem ser alteradas para que o boot (inicialização do sistema operacional) seja 
direcionado para uma mídia externa, como um pen drive ou outro disco rígido. Dessa forma, a máquina 
inicializa com um sistema operacional diferente, e os discos rígidos originais, que são o objeto da 
investigação, permanecem mais preservados para análise.
 Observação
A Bios é um espaço de memória adicionado ao hardware de computadores 
que guarda algumas configurações iniciais do equipamento, inclusive 
informações usadas para o boot (inicialização do sistema operacional).
23
COMPUTAÇÃO FORENSE
Há diversos sistemas operacionais que se adaptam a pen drives ou a mídias só leitura, como CD e 
DVD, chamados de distribuições live. Entre os exemplos estão distribuições do sistema operacional Linux, 
que contêm ferramentas forenses úteis para investigação.
Se o computador estiver ligado durante o isolamento lógico, a primeira coisa a se fazer é verificar 
se é possível registrar as evidências lógicas da máquina: se o conteúdo volátil da memória principal está 
acessível, quais são e onde estão os arquivos compartilhados, quais são os processos ou programas em 
execução, janelas abertas, sessões de comunicação estabelecidas e informações momentaneamente 
decriptografadas (que estão criptografadas nas mídias secundárias), entre outras.
Fechar um notebook ou desligar uma máquina da forma convencional muitas vezes não é o ideal 
em casos de isolamento, pois isso contamina bastante o objeto investigado. Caso se precise desligar 
abruptamente o computador, deve haver um cuidado extra. O botão de desligar nem sempre cumpre 
essa tarefa, pois pode hibernar ou suspender a atividade da máquina indevidamente. O melhor seria tirar 
da fonte de energia. Se houver baterias, é melhor retirá-las de uma única vez.
Todos os processos lógicos precisam ser precedidos de uma análise física minuciosa do cenário para 
que a análise forense seja validada. Fotos do ambiente, registro escrito dos fatos, assinaturas, dados 
sobre os métodos usados e testemunhas são importantes para o sucesso da análise.
Apesar de não serem coletados em todas as ocasiões, periféricos também podem demandar cuidados 
durante o isolamento. Cabos, carregadores, fontes e outros apetrechos possuem padrões que podem 
ser utilizados como evidência. Por exemplo, em algumas impressoras do tipo jato de tinta, pequenos 
detalhes sobre as impressões permanecem na cabeça de impressão. Muitas vezes, análises sobre esse 
tipo de equipamento podem revelar evidências importantes que valem o isolamento do periférico.
As mídias de armazenamento, sejam internas ou externas, como discos rígidos, discos ópticos, 
cartões de memória e pen drives, em geral, precisam de isolamento. Mesmo a memória interna de 
alguns equipamentos pode precisar ser identificada e isolada como evidência.
Alguns equipamentos que possuem memória interna passam facilmente despercebidos. Entre os 
exemplos estão filmadoras, relógios, canetas espiãs, gravadores digitais, celulares antigos, óculos com 
conexão à internet, entre outros.
Convém proteger as mídias que permitem escrita e regravação de dados, como discos rígidos, DVD 
regraváveis ou pen drives. Elas são mais sujeitas a alterações indevidas que as mídias não alteráveis 
(só leitura) que incluem alguns tipos de CD, DVD e cartões de memória. Apesar de também estarem 
sujeitas ao isolamento, as mídias do tipo só leitura podem ser manuseadas de forma mais tranquila, sem 
preocupações mais severas com a perda de dados.
A própria análise das mídias requer cuidados. O ideal é que a retirada de discos rígidos internos 
de computadores e notebooks aconteça de forma tranquila em laboratório, porém, muitas vezes é 
necessário que essa operação seja realizada in loco. Esse procedimento requer uma avaliação criteriosa 
das formas como a mídia está plugada ao equipamento. Como já foi dito, discos rígidos que funcionam 
24
Unidade I
em Raid muitas vezes não podem ser extraídos, por isso os cuidados devem ser redobrados quando uma 
extração é inevitável.
No que se refere às cópias de dados in loco, quando houver necessidade, cópias do objeto de 
investigação podem ser realizadas com fins de preservação do objeto original. Esse procedimento é 
recomendável quando um objeto, rotulado como importante na fase de identificação, permite a extração 
de evidências sem que ocorram contaminações. Outra vantagem desse procedimento é que os dados 
copiados podem ser analisados com mais tranquilidade posteriormente.
Cópias de dados, diretórios, partições, logs, configurações de aplicativos ou do sistema operacional, 
arquivos do sistema e de usuários, entre outros, podem ajudar na preservação da integridade de 
estrutura de diretórios e na conservação de metadados dos arquivos (data de modificação, hora 
de criação, permissões etc.). A recomendação é que todas essas evidências sejam documentadas e 
hashes de integridade sejam criados.
Quanto aos equipamentos em rede, há uma série de elementos de rede que devem ser analisados 
em caso de uma investigação (switches, roteadores, repetidores, access point, gateways etc.). Todos 
devem ser documentados e isolados de acordo com a necessidade, sendo que a própria configuração 
desses equipamentos pode conter evidências importantes. Caso seja preciso desconectá-los da rede de 
forma imediata, pode-se desligar o aparelho ou desconectar o cabo.
As redes sem fio merecem atenção especial, já que a falta de meios guiados muitas vezes dificulta a 
identificação de todos os pontos de rede e das configurações que estão sendo utilizadas.
1.6.3 Registro
Na verdade, antes mesmo de coletar as evidências identificadas e isoladas, o ideal é registrá-las. 
Há vários métodos utilizados para o registro de evidências.
A descrição narrativa corresponde a um relatório com descrição sobre tudo que for identificado 
como evidência, atributos e estado dos equipamentos, interconexões utilizadas, métodos usados etc.
Danos, desgaste e o estado de conservação de equipamentos são elementos importantes em uma 
descrição narrativa, pois podem indicar razões para a ocorrência dos eventos investigados. Mesmo 
detalhes lógicos de atualização e configurações que estiverem aparentes podem ser adicionados.
Uma prática bastante comum é gravar a descrição narrativa por voz. Tendo em vista que a gravação 
de voz é um processo mais rápido que a anotação progressiva das evidências, essa prática evita que 
evidências se percam por falta de anotação.
Gravações de vídeo usando os recursos de smartphones são mais frequentes ainda. A vantagem 
dessa prática é que a geração do som e do vídeo ocorrem simultaneamente. Assim, o profissional pode 
narrar exatamente o que filma, sendo o próprio vídeo uma evidência visual extremamente valiosa para 
a investigação.
25
COMPUTAÇÃO FORENSE
Uma das vantagens de manter registros escritos é que muitas informações presentes em formulários 
de descrição narrativa podem deixar de ser registradas durante as gravações por esquecimento dos 
peritos. Uma solução relativamente simples para o problema é realizar gravações de descrições narrativas 
com um formulário à mão.
Atualmente, devido ao avanço tecnológico, gravações de áudio e vídeo são mais sujeitas à 
manipulação maliciosa que registros escritos (que também não são infalíveis). A geração de hashes paragarantir a integridade das gravações é imprescindível.
Outro tipo de registro é a fotografia. O registro fotográfico – de preferência em alta resolução 
– é uma das formas mais utilizadas pela perícia, pois pode se iniciar com a chegada dos peritos 
ao local do crime cibernético e se estender até a liberação do isolamento. Apesar de as evidências 
baseadas em fotos terem como vulnerabilidade a possibilidade de manipulação maliciosa por meio 
do uso de softwares de edição de imagens, recomenda-se a prática pela rapidez proporcionada pelos 
recursos atuais.
Também é um exemplo de registro o croqui. Trata-se de um desenho da cena do crime, criado para 
registrar a posição das evidências. Pode ser feito manualmente ou por meio de softwares. Dentro do 
possível, o croqui deve seguir uma escala de proporcionalidade de distâncias. Contudo, isso é bem difícil 
quando o desenho é feito à mão in loco (veja a figura a seguir).
Os nove 
principais 
vestígios
Vizinho Vizinho
Fachada
Cadáver
Mancha
Pegada
PegadaManchaProjétil
Projétil
Escarificação
Escarificação
Figura 3 – Croqui feito à mão de uma cena de crime
Existem programas que transformam croquis criados em software em representações 3D. Contudo, 
para crimes cibernéticos, em geral, o posicionamento 3D não é tão importante quanto a descrição 
apurada dos objetos físicos e lógicos e suas ligações.
É difícil tentar definir exatamente quais (e quantos) atributos devem ser descritos em apenas uma 
evidência a fim de que seja possível identificá-la de forma única no contexto de um crime. O importante 
26
Unidade I
é garantir que o registro de evidências lógicas e físicas registre a maior quantidade possível de atributos 
relevantes, ainda que também seja difícil dizer em um cenário de crime quais são os atributos mais 
importantes de cada evidência. Essa prática depende muito da experiência do corpo de peritos, mas seu 
resultado serve como uma documentação que facilita a solução da investigação.
1.6.4 Coleta
A coleta corresponde à extração das evidências identificadas, isoladas e registradas em um cenário de 
crime. Historicamente, essa prática é muito mais relacionada ao contexto físico, por isso recomenda-se 
cuidado no manuseio de equipamentos e dispositivos sensíveis na cena do crime.
Contudo, como dito anteriormente, exageros na coleta podem gerar a necessidade de análise de um 
número muito grande de evidências, prejudicando a qualidade da análise.
Há elementos externos e necessidades humanas que influem sobremaneira coletas complexas que 
contam com muitas evidências. Fatores como sono, estresse, calor, frio ou pressão imposta por prazos 
pode dificultar a fase de coleta. A aproximação do horário das refeições gera um relaxamento natural 
nas pessoas, fato que costuma tornar mais lenta a coleta.
Uma saída para esse tipo de situação é criar uma equipe pericial multidisciplinar de boa qualidade. 
A junção de várias especializações – profissionais de tecnologia, do direito, da química e da matemática, 
entre outras áreas – tende a melhorar os resultados das fases de identificação, isolamento e registros, 
melhorando o desempenho geral de um time de peritos.
1.6.5 Preservação
Além de cuidados, computadores, sensores e outros equipamentos em fase de coleta requerem 
acondicionamento e transporte adequado, que devem ser pensados com o objetivo de proteger as 
evidências. Há muitos agentes causadores de danos nesses processos:
• Choques mecânicos: quedas, batidas, pressão por empilhamento e desacoplamento de 
componentes são alguns dos exemplos de choques mecânicos que podem ocorrer no 
acondicionamento ou no transporte de equipamentos considerados como evidências. É importante 
proteger adequadamente as evidências lógicas também. Adicionar mídias de armazenamento, 
como discos rígidos, em caixas ou pacotes que impedem interferências eletromagnéticas é uma 
boa recomendação.
• Temperatura: algumas evidências computacionais, como sensores, mídias de armazenamento 
externas e dispositivos sensíveis, precisam ser acondicionados em receptáculos que consigam 
manter a temperatura da evidência controlada. A simples variação de temperatura (frio/calor) 
causa contrações e dilatações em alguns materiais, como circuito de placas eletrônicas ou DVD, 
fato que resulta na perda de dados.
27
COMPUTAÇÃO FORENSE
• Umidade: é um fator danoso para as evidências, pois causa oxidações e a proliferação de fungos 
e diminui a vida útil de aparelhos, estragando circuitos elétricos e mídias ópticas. Em alguns casos, 
no próprio isolamento das evidências é preciso preservar objetos da ação da umidade com o uso 
de ambientes climatizados ou embalagens resistentes à ação da umidade.
• Magnetismo: algumas mídias têm o magnetismo como base para o armazenamento e são 
suscetíveis à ação de campos eletromagnéticos e correntes elétricas. Para esses casos, o ideal é 
afastar os objetos investigados de ímãs presentes em alto-falantes, motores e outras fontes de 
eletromagnetismo.
• Campos elétricos: além dos já citados problemas, com a geração de campos eletromagnéticos a partir 
dessas correntes elétricas, campos elétricos podem provocar interferências diversas nas transmissões 
de redes cabeadas e no funcionamento de equipamentos eletrônicos. Entre as recomendações estão 
o uso de bancadas emborrachadas e embalagens antiestática para mídias de armazenamento 
(veja a figura 4).
Figura 4 – Disco rígido em embalagem antiestática
Embalagens antiestática, como a mostrada na figura anterior, podem impedir a interferência por 
campos elétricos e magnéticos e aumentar a duração dos objetos investigados. Como muitas vezes não 
se sabe quanto tempo uma investigação vai demorar, a etapa de preservação garante que as evidências 
levantadas estejam sempre prontas para utilização.
2 EXAMINANDO SISTEMAS DE ARQUIVOS
Este tópico tem como foco os sistemas de arquivos usados pelos sistemas operacionais para a 
gravação e leitura de dados e como o conhecimento desses elementos de armazenamento é importante 
para a computação forense.
28
Unidade I
2.1 Introdução aos sistemas de arquivos
As informações geradas por um sistema computacional são voláteis – se perdem após o desligamento 
ou corte de energia do aparelho, por isso precisam ser gravadas em mídias de armazenamento para 
recuperação e uso posterior. É assim que gravamos arquivos que permanecem disponíveis quando o 
equipamento é reinicializado.
Um sistema de arquivos é um conjunto de estruturas lógicas e de rotinas que permitem ao 
sistema operacional controlar o acesso às mídias de armazenamento e a segurança, estruturando 
hierarquicamente a distribuição de arquivos e diretórios. Deve funcionar independentemente de qual 
mídia de armazenamento estiver em uso.
Além disso, o sistema de arquivos é uma das funções do sistema operacional mais próximas ao 
usuário e mais utilizadas. E apesar de diferentes sistemas operacionais usarem diferentes sistemas de 
arquivos, em geral, eles reconhecem uns aos outros.
Para o profissional forense, o conhecimento e a interpretação das minúcias de cada sistema de 
arquivos são essenciais para a identificação, isolamento, registro, coleta e preservação de evidências 
lógicas, mas se faz importante também para a eventual tarefa de recuperação de dados apagados em 
mídias de armazenamento.
2.2 Armazenamento
Um sistema de arquivos organiza, protege e representa os dados de forma estruturada em 
conjunto com uma série de atributos (metadados) que compõem uma estrutura para gerenciamento 
e uso de arquivos e diretórios. Tanto é que quando se fala sobre sistemas de arquivos, a primeira 
lembrança é justamente a manipulação de arquivos de texto, planilhas, imagens, vídeos e diretórios. 
Basicamente, a mídia só armazena os dados, enquanto todo o gerenciamento deles é função do 
sistema de arquivos.
Como dito, diferentes sistemas operacionais utilizam diferentes sistemas de arquivos, cada um com 
suas próprias características, mas que, em geral, se reconhecem. O quadro a seguirmostra uma relação 
de sistemas operacionais e de arquivos.
Quadro 2 – Relação entre sistemas operacionais e sistemas de arquivos
Sistema operacional Sistema de arquivos
Microsoft Windows FAT, FAT16, FAT32, ExFAT, NTFS
Unix (Solaris, Linux, FreeBSD) UFS, Ext, Ext2, Ext3, Ext4, SWAP, Reiser, HPFS, JFS, XFS, ZFS
iOS HFS, HFS+
Android F2FS, Ext4
BigData – SAP/SAD HDFS, GDFS, LustreFS
29
COMPUTAÇÃO FORENSE
No quadro, os sistemas de arquivos mais usados para cada sistema operacional estão 
destacados em negrito.
Os dados digitais são binários, representados na forma de bits (0 ou 1), que são usados como 
valores lógicos (0 = falso e 1 = verdadeiro). Para facilitação de uso, os bits são tratados em conjuntos, 
como mostra o quadro a seguir:
Quadro 3 – Conjuntos de bits utilizados
Quantidade de bits Nome do conjunto
4 Nibble
8 Byte
16 Word
32 Dword
64 Qword
Caracteres são representados por bytes. Assim, um byte corresponde a uma letra, número ou 
caractere que vai formar as palavras. Contudo, é bastante comum a representação das palavras 
no formato hexadecimal (16 símbolos: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F), que usa menos 
caracteres para representar uma palavra que a binária.
 Saiba mais
Há uma extensa discussão sobre os formatos binários e hexadecimais 
na obra a seguir:
TANENBAUM, A. S.; BOS, H. Sistemas operacionais modernos. 4. ed. 
São Paulo: Pearson Education, 2016.
Uma mídia muito usada nos computadores e notebooks é o disco rígido, mas pen drives e cartões 
de memória também são muito utilizados, este último principalmente em smartphones, além das 
mídias ópticas (CD, DVD e Blu-ray). Discos rígidos podem ser mecânicos ou de estado sólido, do inglês 
solid-state drive (SSD), tecnologia usada em pen drives.
Discos mecânicos são dispositivos que aceitam a gravação magnética de informações. Possuem 
formato de caixa com vários pratos (discos) internos, montados sobre um eixo giratório e acessíveis por 
cabeças eletromagnéticas em braços móveis (veja a figura a seguir).
30
Unidade I
Figura 5 – Disco rígido aberto com prato (disco) acessado por cabeça eletromagnética
A figura mostra um dos pratos (discos) internos sendo acessado por uma cabeça eletromagnética 
que faz leitura, inserção, eliminação e alteração dos dados na superfície do disco. Isso tudo depende da 
velocidade de rotação do disco. Quanto mais rápida a rotação, melhor o desempenho de acesso, leitura, 
gravação e alteração.
Um disco rígido pode conter vários pratos internos, como mostra a figura a seguir. Os pratos 
internos são chamados de discos, por isso deve-se ter cuidado para não confundir com a nomenclatura 
disco rígido.
Figura 6 – Pratos internos em um disco rígido
Os pratos podem ser de face simples ou dupla, sendo que cada superfície tem sua cabeça de leitura 
e escrita. Uma mesma trilha, ao longo de todas as superfícies, forma um cilindro.
31
COMPUTAÇÃO FORENSE
Um prato interno consiste em um disco de material rígido recoberto com material magnetizável 
(óxido de ferro). A gravação dos dados é realizada como partículas micrométricas na superfície do prato, 
por uma cabeça eletromagnética similar a um eletroímã. A leitura é feita por sensor magnetorresistivo 
(MR). A cabeça não encosta no prato, ela flutua sobre a superfície a uma distância mínima produzida 
pelo giro do disco – contatos da cabeça com o prato podem danificá-lo. A figura a seguir mostra as 
divisões existentes nos pratos internos.
Setor
Existem lacunas 
entre as trilhas e 
entre os setores
Setor
Trilha
Trilha
Trilha
Figura 7 – Layout de um prato interno de um disco rígido
Um prato é dividido em trilhas (anéis). Trilhas são divididas em setores. O setor é o bloco de dados 
mínimo de um disco magnético, mas um conjunto de setores também é um agrupamento válido 
denominado cluster. Existem lacunas separando uma trilha de outra e um setor de outro (veja a 
figura a seguir).
Setor
Lacuna Lacuna Dados ECCIdentificação
Figura 8 – Divisão em setores e trilhas de um prato interno de um disco rígido
Vale ressaltar que, buscando o desempenho, quando um arquivo é apagado de um disco rígido, o 
sistema operacional apenas marca a área como disponível para uso, sem sobrepor a informação antiga 
com novos dados. Isso é vital para a análise forense, pois trata-se de um registro que pode ser recuperado, 
se novos dados não forem gravados naquela posição. Outro trecho de importância para os peritos é o 
slack space. Em geral, os clusters (conjuntos de setores) são usados para armazenar um único arquivo. 
Caso esse arquivo não tenha como tamanho um múltiplo do cluster, sobra um trecho não usado que 
é justamente o slack space. A figura a seguir mostra como o trecho pode conter dados antigos 
que podem servir para a perícia.
32
Unidade I
Setor 1
Arquivo_1
Setor 2
Arquivo_1
Setor 3
Arquivo_1
Setor 4
Arquivo_1
Setor 5
Arquivo_1
Setor 6
Arquivo_1
Setor 7
Arquivo_1
Setor 8
Arquivo_1
Setor 1
Arquivo_1
Setor 2
Arquivo_1
Setor 3
Arquivo_1
Setor 4
Arquivo_1
Setor 5
Arquivo_1
Setor 6
Arquivo_1
Setor 7
Arquivo_1
Setor 8
Arquivo_1
Setor 1
Arquivo_1
Setor 2
Arquivo_1
Setor 3
Arquivo_1
Setor 4
Arquivo_1
Setor 5
Arquivo_1
Setor 6
Arquivo_1
Setor 7
Arquivo_1
Setor 7
Arquivo_1
Setor 8
Arquivo_1
1
1
2
2
3
3
Cluster
O Arquivo_1 ocupa todos os setores do cluster.
O Arquivo_1 é apagado e o cluster é marcado como livre.
Fragmentos do Arquivo_1 permanecem nos setores.
O Arquivo_2 é gravado na região.
Fragmentos do Arquivo_1 permanecem no slack space.
Slack
space
Figura 9 – Exemplo de dados antigos que permanecem no slack space
Na figura há três eventos acontecendo:
• Os dados iniciais gravados no cluster contêm o Arquivo_1, que preenche inteiramente os oito 
setores do cluster.
• Em uma segunda etapa, o Arquivo_1 é marcado como apagado, e apesar de todo o cluster ficar 
disponível, vestígios do Arquivo_1 permanecem no cluster.
• Um novo arquivo (Arquivo_2) é gravado no cluster. O Arquivo_2 é menor que o Arquivo_1 e 
ocupa até a metade do Setor 7. Note que o espaço remanescente do cluster (metade do setor 7 
e todo o setor 8) continua ocupado pelos dados antigos do Arquivo_1 – este espaço do cluster 
é o slack space que permanece “sujo” com dados antigos que podem ser recuperados em uma 
análise forense.
33
COMPUTAÇÃO FORENSE
Erros físicos podem acontecer em discos rígidos. O chamado bad sector ocorre quando o 
prato interno tem uma falha física e um determinado setor não pode ser lido nem gravado. 
Apesar de a grande maioria dos sistemas operacionais contar com ferramentas de diagnóstico 
e correção de problemas para os sistemas de arquivos, um erro lógico comum é o chamado lost 
cluster, que acontece quando um cluster é marcado como alocado, quando na verdade deveria 
ser marcado como livre.
Os discos SSD, baseados em memória flash, são discos de alto desempenho, porém, bem 
mais caros, que usam componentes eletrônicos em vez de um esquema mecânico. Em relação 
aos discos rígidos mecânicos, possuem resistência a batidas e choques, não vibram, consomem 
menos energia, são mais leves e possuem um desempenho muito melhor, mas, como dito, o custo 
é maior, além de a capacidade de armazenamento ser menor. Os SSD também possuem uma 
limitação de gravação de dados (1 a 5 milhões de vezes) em relação aos mecânicos, que podem 
ser regravados indefinidamente.
Por sua vez, os discos ópticos são mídias feitas para armazenamento de dados digitais com material 
industrial (policarbonatos) que contêm uma camada de material reflexivo e uma cobertura protetora. 
Os melhores exemplos são os CDs, DVDs e Blu-rays. Os dados são representados por sulcos ou elevações 
na camada reflexiva. A leitura acontece por meio da reflexão de um raio laser na superfície do disco. 
Há discos do tipo só leitura, graváveis (que permitem uma única gravação) e regraváveis (que permitem 
diversas regravações).
Os sistemas de arquivos mais usados nas mídias ópticas são o ISSO-9660, o Joliet, o Red Book, o Rock 
Ridge e oUniversal Disk Format (UDF), muito usado em DVD de filmes.
Para que uma mídia seja utilizada para leitura e gravação, é preciso previamente que sejam criadas 
áreas lógicas dentro dela. Esse processo é chamado de particionamento. Cada partição criada é 
independente e pode até conter sistemas de arquivos diferentes.
Um sistema de particionamento diz respeito à forma como essas partições são criadas e 
gerenciadas. Os dois principais sistemas são o Master Boot Record (MBR) e o Globally Unique Identifier 
(Guid) Partition Table (GPT).
O Master Boot Record (MBR) já é um sistema de particionamento antigo (é de 1983). Armazena 
na própria mídia de armazenamento, em uma área chamada de MBR, informações sobre as partições e 
um código de boot usado para a inicialização do sistema operacional.
A MBR permite a criação de apenas quatro partições primárias ou três primárias e uma estendida. 
Dentro da única partição estendida podem ser criadas diversas partições lógicas, como pode ser visto 
na figura a seguir:
34
Unidade I
Código da MBR
1ª Partição primária (C:)
Tabela de entrada 
da 1ª partição
2ª Partição primária (D:)
Tabela de entrada 
da 2ª partição
3ª Partição primária (E:)
Tabela de entrada 
da 3ª partição
1ª Partição lógica (G:)
Tabela de entrada 
da 4ª partição
2ª Partição lógica (H:)
:
:
N˚ Partição lógica
Partição estendida 
criada na 
4ª Partição primária
Tabela de partiçõesMBR
Figura 10 – Esquema de particionamento da MBR
A área de boot (inicialização) fica em uma partição única na MBR. Por isso, em caso de problemas 
nessa partição, muitas vezes os danos são irreversíveis. Além das limitações na quantidade de partições 
primárias, há limites de tamanho das partições – 16 TB para discos rígidos com setores de 4096 bytes.
Já o Guid Partition Table (GPT) é um sistema de particionamento mais recente. Ele procura 
solucionar várias limitações do MBR, utilizando o conceito de identificador único global, do inglês 
global unique identifier (Guid).
 Observação
Apesar de o GPT fazer parte do padrão unified extensible firmware 
interface (Uefi), ele pode ser usado com equipamentos com Bios. 
O padrão Uefi foi criado para substituir o padrão atual de Bios com mais 
desempenho e segurança.
35
COMPUTAÇÃO FORENSE
O Guid é um número de identificação aleatório em uma faixa muito grande (2128) que possui grandes 
chances de ser único. Um esquema do particionamento GPT pode ser visto na figura a seguir:
Código da MBR
Cabeçalho da tabela de 
petições de Guid primária
Tabela de entrada 
da 1ª partição
1ª entrada da partição 
Guid
Tabela de entrada 
da 2ª partição
2ª entrada da partição 
Guid
Tabela de entrada 
da 3ª partição
:
:
Tabela de entrada 
da 4ª partição
128ª entrada da partição 
Guid
1ª partição primária
2ª partição primária
:
:
N. partição primária
1ª entrada de 
partição Guid
2ª entrada de 
partição Guid
:
:
128ª entrada de 
partição Guid
Backup do cabeçalho da 
tabela de partições Guid
Backup da 
sequência de 
entradas da 
partição Guid
Sequência 
de entradas 
de partição 
primária Guid
MBR protegida
Figura 11 – Esquema de particionamento GPT
36
Unidade I
Entre as vantagens do GPT em relação ao MBR, estão:
• permite mais partições (por padrão 128);
• permite partições maiores (até 9 ZB);
• possui tolerância a falhas com redundância de dados;
• realiza checagens de erros do próprio cabeçalho GPT e dos registros das partições;
• por questões de segurança e compatibilidade, gera uma MBR de proteção no primeiro setor do 
disco, que impede sistemas operacionais ou aplicativos não compatíveis com GPT de apagar 
dados do sistema;
• o desempenho é superior ao MBR.
 Saiba mais
Para mais detalhes sobre MBR e GPT, leia a obra a seguir:
VELHO, J. A. et al. Tratado de computação forense. Campinas: Millenium, 2016.
2.3 Principais sistemas de arquivos
Tanto os discos rígidos com estrutura MBR quanto os GPT possuem tabelas de índice que contêm os 
nomes e atributos de todos os arquivos e diretórios do volume. Para cada sistema de arquivo específico, 
essas tabelas de índice estão localizadas em uma parte do volume. Os principais sistemas de arquivos 
são detalhados nesta subseção: FAT, NTFS, Ext2-4, F2F, HFS e GFS/HDFS.
2.3.1 File Allocation Table (FAT)
Criado em 1977, o File Allocation Table (FAT) é um dos padrões mais utilizados como sistemas de 
arquivos em diversos sistemas operacionais. Desenvolvido inicialmente para ser usado em disquetes, 
possui bom desempenho em sistemas operacionais mais básicos, justamente por ser simples. Contudo, 
fica aquém dos sistemas de arquivos mais modernos e complexos em relação à desempenho.
Possui três variantes principais, geradas pela necessidade de evolução: FAT12, FAT16 e FAT32, que 
diferem na quantidade de bits usados no endereçamento de dados. O FAT é dividido em quatro regiões:
• Região reservada (reserved region): está localizada no primeiro setor de uma partição, onde 
está gravado o setor de boot. O setor de boot contém instruções para a inicialização (bootstrap) 
e funcionamento do sistema operacional.
37
COMPUTAÇÃO FORENSE
• Tabelas de alocação de arquivos (file allocation tables): contêm duas tabelas redundantes 
(primária e secundária) com informações sobre a estrutura de arquivos e diretórios.
• Região do diretório raiz (root directory region): trata-se do primeiro diretório (raiz), que 
contém entradas separadas para cada arquivo e diretórios presentes, com limitação de tamanho 
(32 setores no máximo). Por exemplo, se cada setor tiver 512 bytes x 32 setores = 16 KB de 
tamanho total para essa região.
• Região de dados (data region): ocupa a maior parte da partição com o armazenamento de 
arquivos e diretórios.
Um dos problemas do FAT é um certo desperdício no armazenamento. Como há limitações na 
quantidade de clusters, eles são ampliados para conter todos os dados, gerando desperdício no slack 
space. Há, portanto, muita fragmentação em sistemas FAT, que realmente são limitados. Os registros 
na tabela de alocação de arquivos possuem 32 bytes para exibir todas as informações e atributos dos 
arquivos e diretórios, como mostra o quadro a seguir:
Quadro 4 – Estrutura de registros na tabela de alocação de arquivos (FAT)
Tamanho do registro (bytes) Descrição
8 Nome do arquivo
3 Extensão do arquivo
1 Atributos
10 Reservado
2 Hora da criação ou última atualização
2 Data da criação ou última atualização
2 Número do cluster inicial do arquivo
4 Tamanho do arquivo em bytes
Total = 32 bytes
 Saiba mais
Exemplos do posicionamento de arquivos no formato FAT podem 
ser vistos com prints da tela do aplicativo FTK Imager (accessdata.com/
products-services/forensic-toolkit-ftk) em:
VELHO, J. A. et al. Tratado de computação forense. Campinas: 
Millenium, 2016.
38
Unidade I
2.3.2 New Technology File System (NTFS)
Desenvolvido nos anos 1990 pela Microsoft para substituir o padrão FAT, trouxe novas funcionalidades, 
sendo mais confiável, robusto e seguro. Em contrapartida ao FAT, permite o endereçamento de até 
264 clusters que permitem até 16 TB de armazenamento.
O NTFS possui uma tabela que contém os atributos dos arquivos e diretórios, chamada de master 
file table (MFT), armazenada no início do disco. Os registros da MFT possuem, em geral, 1024 bytes 
para o armazenamento de atributos como nomes curto e longo do arquivo, datas e horários de criação, 
último acesso e modificação, permissões de acesso, entre outros. A estrutura de uma partição NTFS e o 
conteúdo parcial de um registro da MFT podem ser vistos na figura a seguir:
Estrutura da partição NTFS
Registro simplificado da MFT com 1024 bytes
Setor de 
boot MFT
Zona 
MTF Dados
Cópia 
parcial da 
MFT
Dados
Cabeçalho Nome do atributo
Valor do 
atributo
Nome do 
atributo
Valor do 
atributo ...
Espaço 
livre
Figura 12 – Estrutura da partição NTFS e registro da MFT
A zona MFT, vista na figura, corresponde a uma área reservada para o eventual crescimento da MFT. 
Já o setor de boot é a única