Computação Forense 2

Prévia do material em texto

10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 1/23
Introdução
Autoria: Marcelo Ferreira Zochio - Revisão técnica: Rita de Cássia Cordeiro de Castro
Computação Forense
UNIDADE 2 - METODOLOGIA DA PROVA
PERICIAL
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 2/23
Caro (a) estudante, nesta unidade, você terá a
oportunidade de aprender como colher provas
periciais com eficiência e quais os métodos
usados internacionalmente. Aprenderá também
como garantir a integridade dos materiais
coletados para perícia desde a coleta até o
descarte ou devolução no final do processo.
Você terá respostas para perguntas, tais como:
como é possível recuperar arquivos apagados? Como provar os acontecimentos
dentro de um sistema de computação?
Bons estudos!
2.1      O que é cadeia de custódia e seu papel na
garantia da integridade de vestígios digitais
Em um trabalho pericial, há várias fases a serem executadas. Para se obter as provas de um
fato, o perito deve colher o material em campo. No caso de perícia forense computacional,
normalmente, o profissional acompanha uma diligência policial na casa do suspeito, autorizada
por uma ordem judicial, e faz uma cópia forense do conteúdo dos dispositivos informáticos
encontrados, sejam celulares, computadores, discos rígidos externos, pen drives ou outro tipo
de mídia. Muitas vezes, esses dispositivos são apreendidos no local e as cópias feitas em
laboratórios. Porém, o trâmite dos materiais colhidos em campo precisa ser documentado, pois
passa por várias pessoas e locais, e sua integridade deve ser garantida. Para que isso seja
possível, estabeleceu-se a cadeia de custódia. E o que isso significa? Veja a resposta.
A cadeia de custódia deve prover a possibilidade de rastreamento da prova pericial em toda
vida útil, que inclui o período compreendido desde a coleta até a devolução ou descarte
(CASEY, 2004). Veja um exemplo de registro de cadeia de custódia.
Cadeia de custódia pode ser definida como a metodologia adotada para
registrar a tramitação dos materiais coletados para perícia. Isso inclui o
registro da coleta, transferência de posse, manuseio e guarda desses
materiais, até o descarte ou a devolução, no final do processo.
O que é a
cadeia de
custódia? 
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 3/23
#PraCegoVer: imagem traz um formulário cujo título é evidência eletrônica – formulário de
cadeia de custódia. Há quatro partes a serem preenchidas: a identificação do número do caso e
responsável; mídia eletrônica e detalhes do equipamento; detalhes sobre a imagem dos dados;
e cadeia de custódia.
 
No caso de perícias forenses computacionais, em que as informações estão em meio digital,
vários cuidados devem ser tomados desde o primeiro procedimento, isto é, a coleta. Um dos
procedimentos que garante a integridade do material coletado para perícia é o cálculo do hash
toda vez que ele for tramitado. Mas o que é isso? Vamos conhecer mais no tópico a seguir.
Figura 1 - Exemplo de registro de cadeia de custódia
Fonte: MATHEUS et al., 2020.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 4/23
2.2    Uso de hash na manutenção da integridade
de vestígios coletados
Hash pode ser definido como um resumo criptográfico de um conteúdo digital específico. Não
deve ser confundido com criptografia, pois esta possui reversão por meio de chaves
criptográficas, e o hash não possui reversibilidade. É um cálculo de via única. Não é possível
saber, por meio do resultado de um cálculo de hash, o conteúdo original.
Portanto, matematicamente falando, um hash é inquebrável. A única possibilidade de descobrir
seu conteúdo original, caso seja uma string (cadeia de caracteres), é aplicar um ataque de
dicionário, que veremos mais adiante, mesmo assim sem garantia de sucesso.
Você pode calcular o hash de qualquer conteúdo digital: pode ser de uma string, de um HD
(hard disk) inteiro, do conteúdo de um pen drive, de um documento de texto, de uma imagem.
Tudo o que for digitalizado pode ter o hash calculado.
E como fazemos esse cálculo? O hash pode ser calculado usando vários algoritmos. Existem
diversos deles, como MD5, SHA1, SHA256, SHA512, Whirlpool e outros, cada um fornecendo
uma saída hexadecimal de tamanho fixo, variando esse tamanho conforme suas
características. O MD5, por exemplo, fornece sempre uma saída de tamanho fixo de 16 bytes,
independentemente do tamanho da entrada; o SHA1 fornece uma saída de 20 bytes; o SHA256
obtém uma saída de 32 bytes, ou seja, cada um tem um tamanho específico de sua saída,
independente da entrada. A forma de calcular é o que varia entre eles.
Uma das características do hash é que ele é único para cada conteúdo digital calculado com
determinado algoritmo. Teoricamente, não existem dois conteúdos digitais diferentes com o
mesmo hash. Se for alterado um bit sequer daquele conteúdo, e o hash for recalculado, o
resultado será completamente diferente do anterior. Essa é a característica que faz do hash
uma excelente ferramenta para verificação de integridade. Veja alguns exemplos de hash de
variadas strings.
“Estou estudando perícia forense computacional”:
MD5 = cda062f89306d22c0e0453da94f3710c
SHA1= cd404de396592a1162783f0be64f5f458824ef8c
SHA256 = 5d02580f3c9cca5b162e2d109a78c9b303cd7d9d6380e14c08dcc3fd58 7f6c7c
 
“estou estudando perícia forense computacional”:
MD5 = a7fdc08bf69953af7e769e354eb816a9
SHA1= 190645b624d555b7f336c66970b98dade3ee543a
SHA256 = fadb79eac55916d8e09f9128194765905e21dad18b321303f78c1afdcc f073d3
 
“Faço uma faculdade em modo presencial”.
MD5 = 9b998956709f103af4d32815dc54142b
SHA1= cdf8256723ee7d1a1b51e53b51861544a91ed733
SHA256 = 505b6a00d91b6e26a3e198c7078abb9105f2da26f77258e36410cafa02
4f1711
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 5/23
 
Note que ao mudar a primeira letra da primeira string de maiúscula para minúscula, houve
grande alteração no hash da string modificada, embora informe o mesmo conteúdo. Logo,
quando você calcula o hash de um conteúdo digital, se ele mantiver sua integridade, o hash
deverá permanecer o mesmo.
No caso das provas periciais, isso evita que elas sejam adulteradas no decorrer do processo,
ao serem manipuladas por peritos ou outros participantes do processo judicial, pois qualquer
adulteração será detectada na transferência de posse durante a cadeia de custódia, já que ao
transferir essas provas, é calculado o hash para verificar a coincidência com o anterior.
Geralmente, é usado o algoritmo SHA256 ou outro equivalente para calcular hashes de
materiais a serem periciados; algoritmos como SHA1 e MD5 são sujeitos a colisão de hash, isto
é, quando dois conteúdos digitais diferentes possuem o mesmo hash quando calculados com o
mesmo algoritmo (STALLINGS, 2015).
Teste seus conhecimentos
(Atividade não pontuada)
Paulo Sérgio Licciardi Messeder Barreto é pesquisador
brasileiro na área de segurança da informação que criou o
algoritmo de hash Whirlpool, junto com o belga Vincent
Rijmen, criador do algoritmo criptográfico AES, presente de
modo nativo em todas as distribuições Linux.
Você o conhece?
Em 2005, uma equipe de pesquisadores chineses publicou
um artigo provando ser possível não só encontrar colisões
no algoritmo de hash MD5 mas também forjá-las, forçando
dois arquivos digitais a terem o mesmo hash quando
calculados usando esse algoritmo (XIAOYUN; HONGBO,
2005).
Você sabia?
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=…6/23
Portanto, evite o uso de MD5 e SHA1 em atividades periciais, para não levantar
questionamentos dos assistentes técnicos com relação à garantia de integridade dos vestígios
coletados e analisados.
2.3    Levantamento de informações preliminares
à perícia
Uma perícia bem-feita precisa ser planejada com antecedência. Para tal, é necessário levantar
algumas informações e providenciar alguns itens.
Obtenção de autorização para a perícia
No caso de uma perícia judicial, ela só pode ser feita mediante ordem judicial. Portanto, o juiz
responsável por julgar a causa precisa expedir um mandado judicial ordenando a perícia. No
caso de uma perícia extrajudicial, será necessária uma autorização dos representantes legais
da empresa.
Idoneidade do perito
Os peritos responsáveis pela investigação, tanto no âmbito judicial como no extrajudicial, não
podem ter qualquer interesse no resultado da perícia, nem na investigação e no processo
judicial. Eles devem ser totalmente neutros, portanto, sem qualquer ligação com as partes
envolvidas.
Confidencialidade
No âmbito extrajudicial, um acordo de confidencialidade sobre a perícia deve ser assinado entre
as partes. Essa iniciativa geralmente parte do contratante do perito. No âmbito judicial, essa
confidencialidade está garantida pelo segredo de justiça.
Análise do caso
O perito precisa entender o que ele tem que investigar, então deve analisar as alegações das
partes para entender o cenário em que irá atuar.
Políticas corporativas
Em caso de atuar no âmbito extrajudicial, o perito precisa saber quais as políticas corporativas
adotadas, para estabelecer quais os limites de sua perícia.
Teste seus conhecimentos
(Atividade não pontuada)
Caso
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 7/23
Um advogado criminalista é suspeito de colaborar com o crime
organizado, indo além dos limites legais de sua atuação como
advogado. Seu computador pessoal com dados e informações
sobre seus clientes é apreendido pela polícia, e é feita uma
cópia forense do disco rígido para perícia, com mandado judicial.
Caso sejam encontradas evidências que corroborem a suspeita,
não poderão ser usadas em juízo. O sigilo profissional entre
cliente e advogado é garantido pela lei e, nesse caso, para que
as provas tenham validade jurídica, o juiz deverá decretar a
quebra da inviolabilidade de que trata o inciso II do artigo 7 da lei
nº 11.767/2008 (BRASIL, 2008), expedindo mandado de busca e
apreensão, específico e pormenorizado, cumprido na presença
de representante da OAB (Ordem dos Advogados do Brasil).
Legislação
Toda perícia precisa estar dentro da lei, para não ser reprovada como prova por ser “fruto de
árvore podre”, expressão usada no direito para provas obtidas por meios ilegais, não sendo
admitidas em juízo.
Levantamento de informações tecnológicas
A arquitetura do sistema a ser periciado, tecnologia, manuais desse sistema, entre outras
características, devem ser consideradas, pois a abordagem adotada na perícia pode mudar de
acordo com a tecnologia a ser periciada.
2.3.1   Análise quantitativa e qualitativa da perícia
Quando se faz uma análise quantitativa de uma perícia, ela avalia o que pode ser medido. Por
exemplo, quantas horas provavelmente serão gastas no exame pericial, quantidade de peritos
necessária para a realização da perícia, custos dessa perícia, quais equipamentos e softwares
serão usados, cálculo dos honorários, entre outros. Em uma análise qualitativa, procura-se
obter resultados a respeito das necessidades e expectativas dessa perícia: o que precisa ser
obtido? O que se espera com essa perícia?
2.3.2   Dimensionamento da equipe
Dimensionar a equipe corretamente para o trabalho pericial traz um benefício muito importante:
rapidez. Veja um exemplo. Durante uma diligência policial para cumprimento de mandado de
busca e apreensão de equipamentos suspeitos de serem usados para prática de fraudes em
uma empresa, nem sempre é possível a retirada desses equipamentos, sendo necessário fazer
uma cópia forense no local (quando não dá para remover um servidor de intranet da empresa,
pois outros setores que não têm nada a ver com a investigação seriam prejudicados). Se o
número de dispositivos for grande, é necessário um número maior de peritos de campo para
fazer as cópias forenses, para dar andamento mais rápido à investigação. Policiais que
trabalham com investigação não ficam muito tempo em campo por questão de segurança,
então, quanto mais rápida for a coleta, melhor.
2.3.3   Identificação
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 8/23
Uma vez coletados, os materiais destinados à perícia devem ser identificados. Eles devem ser
lacrados em recipientes apropriados em que são colocadas as informações sobre o material,
como nome do caso, nome do material, hash, data de coleta e perito responsável pela coleta.
Veja um exemplo de material coletado e identificado, que aqui se trata de uma cápsula de
projétil de arma de fogo.
#PraCegoVer: imagem, de fundo branco, traz um saco plástico transparente, em que há vários
campos para preenchimento de informações a respeito de seu conteúdo, no caso, uma cápsula
de projétil de arma de fogo.
Perícia criminal: uma abordagem de serviços
Ano: 2010
Autores: Cláudio Vilela Rodrigues, Márcia Terra da Silva
e Oswaldo Mário Serra Truzzi
Comentário: quer conhecer o trabalho pericial como um
todo, saindo um pouco do mundo da informática? É
importante para o perito saber como funcionam as
coisas dentro do Poder Judiciário e neste artigo você
verá um estudo de caso sobre o serviço de perícia
criminal de Minas Gerais.
Acesse
(https://www.scielo.br/pdf/gp/v17n4/a16v17n4.pdf)
Você quer ler?
Figura 2 - Exemplo de material coletado para perícia
Fonte: Shawn Hempel, Shutterstock, 2020.
https://www.scielo.br/pdf/gp/v17n4/a16v17n4.pdf
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd=… 9/23
Vamos passar agora a colocar em prática o que foi planejado nessa etapa, que é adquirir o
material para a perícia, por meio da coleta de material a ser periciado.
2.4    Coleta e tratamento de
vestígios
Ao coletar o material para análise forense, é primordial que se garanta sua integridade. Não
pode haver mudanças em seu estado desde a coleta até o descarte ou a devolução. No caso
de materiais informáticos, não devem ser alterados, ou seja, não podem ter seus atributos MAC
(modificação, acesso e criação) modificados. O simples fato de você ligar um computador que
estava desligado já cria novos arquivos e altera outros. Então, alguns cuidados devem ser
tomados.
Ao fazer a cópia forense de um dispositivo informático, você deve levar em consideração a
tecnologia, por exemplo, qual o particionamento de discos, qual mídia de armazenamento o
equipamento possui, o sistema operacional, entre outros.
Vamos começar pelos discos rígidos. Eles são o principal meio de armazenamento de um
computador, e possuem meio de armazenamento magnético, consistindo em discos metálicos
divididos em trilhas e setores. Cada setor possui 512 bytes. Esses setores são agrupados em
clusters de 4 KB cada um. Discos rígidos são sensíveis a impactos mecânicos, a distância entre
os cabeçotes de leitura e gravação de dados e o disco em que são gravados é muito pequena,
geralmente 0,5 micropolegadas. Logo, precisa de cuidados extras no seu transporte, pois se os
cabeçotes riscarem o disco, isso pode inutilizar a extração de dados dos setores danificados.
Existem também as memórias flash, que não precisam de alimentação para armazenar dados.
Podem ser do tipo NAND ou NOR, sendo as do tipo NAND de maior densidade, portanto com
maior capacidade de armazenamento, mas com acesso a dados somente da forma sequencial,
diferente das NOR, que permitem acesso aleatório.As memórias NAND possuem custo mais
baixo que as NOR.
Não ligue computadores desligados em campo; se tiver realmente que fazer isso, informe
esse procedimento no relatório de perícia ou no laudo pericial.
Não conecte dispositivos apreendidos sem bloquear a escrita deles.
Não faça exames periciais diretamente nos dispositivos apreendidos, faça na cópia forense
deles.
 
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 10/23
As memórias NAND também são usadas na composição do SSD (Solyd State Disk), que
substitui o disco rígido como meio principal de armazenamento. Memórias NAND possuem
como características divisão em páginas de 4 KB, sendo que elas são agrupadas em setores de
512 KB. Para gravar uma nova informação em uma página, ela precisa estar em seu estado
inicial, ou seja, precisa ser apagada, porém, pelas suas características, não é possível apagar
uma única página. É necessário apagar um bloco inteiro. Por causa disso, a recuperação de
arquivos apagados em SSD pode apresentar um resultado pior do que a recuperação de dados
em discos rígidos.
#PraCegoVer: imagem com fundo branco traz, na parte superior à esquerda, um objeto
retangular preto e cinza, em que, na parte da frente, há um disco e, na parte de trás, uma
etiqueta com informações e código de barra. Embaixo da imagem, está escrito disco rígido. Ao
lado, há vários objetos retangulares: um pen drive e seis cartões. Embaixo deles, está escrito
memória flash. Na parte inferior da imagem, há dois objetos retangulares e pretos, como
cartões. Embaixo, está escrito SSD (Solyd State Disk).
Figura 3 - Exemplos de mídias de armazenamento
Fonte: Elaborada pelo autor, 2020.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 11/23
Outro sistema de armazenamento é o DAS (Direct Attached Storage), um sistema de
armazenamento conectado diretamente a um computador. Os principais protocolos usados pelo
DAS são ATA, SATA, eSATA SCSI e SAS (Serial Attached SCSI), USB, Firewire e Fibre
Channel. O DAS não atua como servidor, é um conjunto de discos rígidos acessados por um ou
mais computadores desde que possua várias portas. Armazena os dados em blocos de disco.
Veja seu esquema na imagem a seguir.
#PraCegoVer: imagem traz ilustração de dois objetos retangulares contendo dois discos,
identificados como disk array. Desses objetos partem traços a outros objetos, pequenos,
retangulares, identificados por SCSI. Logo abaixo deles, há dois outros objetos retangulares,
como uma caixa, identificados como servidores. Deles, partem traços para três computadores.
A imagem descreve a arquitetura DAS (Disk Attached Storage), composta nesse exemplo, por
uma Disk Array com dois dispositivos, dois servidores que operam com o protocolo SCSI e três
computadores, conectados a esses servidores.
Há também a arquitetura NAS (Network Attached Storage), que possui servidor dedicado,
conectado à rede para prover serviços de armazenamento de dados para outros dispositivos de
rede. Essa arquitetura usa os protocolos SMB, NFS e CIFS. O controle do sistema de arquivos
é feito pelo sistema operacional do próprio storage. Veja sua arquitetura.
Figura 4 - Arquitetura do sistema de armazenamento DAS (Disk Attached Storage)
Fonte: Elaborada pelo autor, 2020.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 12/23
#PraCegoVer: imagem traz escrito, na parte superior, dispositivo NAS e a partir dele, uma seta,
de mão dupla, segue para um objeto identificado como switch. Desse objeto, partem três setas,
também de mão dupla, para três computadores.
A imagem descreve a arquitetura NAS (Network Attached Storage), composta, nesse exemplo,
por um dispositivo NAS, um switch e três computadores, conectados a esse switch, que, por
sua vez, é conectado ao dispositivo NAS. Há também a SAN (Storage Area Network), que
possui área de armazenamento visível como se fosse um disco rígido para as máquinas
requisitantes.
Outro fator a considerar é o sistema de arquivos adotados pelo sistema periciado. Um sistema
de arquivos é a estrutura lógica usada pelo computador para organizar os dados em um meio
de armazenamento físico. Ele gerencia procedimentos relacionados a arquivos, tais como,
criação, abertura, modificação e remoção. Os principais são FAT 12 16 32 (Windows), exFAT
(Windows), NTFS (Windows), Ext 2 Ext 3 Ext 4 (Linux e Android), HFS+, HFSX, APFS
(MacOSX e iOS).
2.4.1   Exame de vestígios
Você já se perguntou por que é possível recuperar arquivos apagados? Veja a resposta.
Figura 5 - Arquitetura do sistema NAS (Network Attached Storage)
Fonte: Elaborada pelo autor, 2020.
Porque, ao se apagar um arquivo, ele é removido apenas de modo
lógico do sistema de arquivos. Em outras palavras, o espaço ocupado
por ele é liberado para uso, mas seu conteúdo permanece lá até que
aquele espaço seja requisitado para alocar outro arquivo, sendo
sobrescrito.
Por que é
possível
recuperar
arquivos
apagados? 
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 13/23
Por isso a importância de se preservar a “cena do crime” digital, pois qualquer operação
realizada no computador gera outros eventos que são gravados na memória secundária, que
são os discos rígidos ou SSD. Uma vez colhido o material para a perícia, é hora de examiná-lo
em busca de vestígios.
Um dos meios mais usados para recuperação de arquivos é o data carving, processo de obter
um determinado conjunto de dados dentro de um grupo de dados maior. Ocorre frequentemente
durante uma perícia forense computacional, em que as mídias de armazenamento são
analisadas por completo, inclusive as áreas não alocadas.
Ao executar o procedimento de data carving, as estruturas do sistema de arquivos são
desconsideradas. As buscas são feitas pelos cabeçalhos (headers) e rodapés (footers) dos
formatos de arquivos. Com isso, temos o início e o fim de determinado arquivo. Lembrando que
nem sempre eles estão em sequência, pois podem ser gravados em setores diferentes,
dependendo da ocupação do disco e dos sistemas de arquivos adotados. Qualquer ferramenta
de análise forense possui o recurso de data carving. Veja, a seguir, alguns cabeçalhos de
arquivos diversos.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 14/23
#PraCegoVer: imagem traz uma lista, dividida em três colunas (Filetype, Start e Start ASCII
Translation), que descreve os cabeçalhos de 33 arquivos, entre eles Excel, Word, JPEG, MP3,
PDF, PPT, RAR, ZIP, EXE, DLL, BMP.
Alguns formatos de arquivos, como WAV, não possuem rodapé, então fique atento. É preciso
conhecer a estrutura do arquivo antes de buscá-lo por data carving. Algumas situações podem
atrapalhar uma operação de data carving:
Figura 6 - Cabeçalhos de alguns arquivos
Fonte: BRUNEAU, 2020, p. 1.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 15/23
A criatividade de criminosos é bem fértil em se tratando de ocultar arquivos. Mas há um método
mais tradicional de ocultar dados: senhas para abrir arquivos. Imagine que você, ao fazer o data
carving, encontra o arquivo suspeito, por exemplo, em formato 7z, e ele pede uma senha para
ser aberto. Nesse caso, você terá que usar um ataque de dicionário para tentar descobrir a
senha.
No caso do arquivo 7z com senha, é possível obter o hash usado para proteger o arquivo, já
que o hash é um meio seguro de armazenar a senha. Para isso, pode ser usado o programa
7z2hashcat.pl, escrito em Perl ou 7z2hashcat.exe, para usar na shell do Windows diretamente.arquivos que possuem cabeçalho, mas não rodapé;
fragmentação do arquivo;
arquivos compactados;
arquivos incompletos.
Você pode usar data carving não só para buscar
arquivos na mídia de armazenamento. No vídeo
indicado, você verá uma análise forense na busca de um
arquivo de foto oculto dentro de outro arquivo de foto,
usando o método data carving e da ferramenta
Foremost, disponível para Windows e Linux.
Acesse (https://www.youtube.com/watch?v=imfnk-
ac4I0)
Você quer ver?
https://www.youtube.com/watch?v=imfnk-ac4I0
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 16/23
Esse programa possui versões para 32 e 64 bits. Aqui será usado a versão 32 bits e o nome
completo do arquivo baixado é 7z2hashcat32-1.4.exe. Vamos supor que o arquivo suspeito que
você quer obter o hash seja PastaSuperSecreta.7z. Então, na shell do Windows, digite:
7z2hashcat32-1.4.exe PastaSuperSecreta.7z > PastaSuperSecreta.hash
 
Será criado um arquivo com a extensão .hash que conterá o hash da senha do arquivo 7z em
formato que pode ser lido pelo Hashcat, programa especializado em quebra de senhas. Ele
será responsável pelo ataque de dicionário. Para confeccionar o dicionário, pode ser o usado o
Mentalist, programa para geração de dicionários com regras específicas de criação. Mas,
afinal, o que significa dicionário nesse contexto? Conheça a resposta a seguir.
Como você pode notar, é um ataque de força bruta feito de modo inteligente. Em vez de testar
todas as possibilidades possíveis, que é o princípio do ataque de força bruta, economiza-se
tempo ao tentar combinações específicas de caracteres, formando strings que têm mais
chances de ser a senha que se quer descobrir. Por exemplo, você pode criar regras para criar
um dicionário que contenha strings com tamanhos predeterminados que combinem letras
maiúsculas, minúsculas, números e caracteres especiais, e, então, será gerado um dicionário
contendo todas as combinações possíveis dentro dessa regra. Nesse caso, vamos criar um
dicionário com strings de quatro dígitos de comprimento e fazer uma análise combinatória
alfanumérica (letras e números) nas strings. Para isso, vamos criar um arquivo em formato txt
que contenha letras maiúsculas, minúsculas e números de 0 a 9, e colocar o nome de dic-base-
alpha.txt, conforme ilustrado.
 
Um dicionário nada mais é do que um arquivo em formato txt que contém inúmeras
combinações de , que serão testadas na tentativa de descobrir a senha de um
arquivo ou sistema. Quanto maior e mais abrangente for o dicionário, maior a
possibilidade de se encontrar a senha.
strings
DICIONÁRIO 
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 17/23
#PraCegoVer: imagem da captura de tela de um arquivo do aplicativo bloco de notas. No canto
esquerdo, há uma lista com letras, de e a z, e de números, de 0 a 9.
A configuração do Mentalist para gerar o dicionário que queremos criar deve ficar conforme
mostrado na imagem a seguir.
Figura 7 - Etapa para criar dicionário alfanumérico
Fonte: Elaborada pelo autor, 2020.
Figura 8 - Configuração do so�ware Mentalist para criação do dicionário
Fonte: Elaborada pelo autor, 2020.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 18/23
#PraCegoVer: imagem de captura de tela do software Mentalist e traz quatro itens, numerados
de 1 a 4, com valores numéricos, botões de adição (+) e indicação da localização dos arquivos.
Para programar o dicionário em Base Words, clique no botão com sinal de adição na opção
Custom File, e navegue até o dicionário que criamos. Para programar Append (cada Append
programado combina um dígito a mais nas strings), clique no botão com sinal de adição ao lado
do botão Process, e escolha a opção Append. O processo de escolha do dicionário que será
usado no Append é o mesmo do Base Words. Agora é só apertar o botão Process e depois
escolher a opção Full Wordlist, que fará com que o dicionário seja gerado; nomeie-o como
dict.lst. Isso irá gerar um arquivo lst com 124.1 MB contendo 14.776.336 strings, fechando
todas as possibilidades de senha alfanumérica com tamanho de quatro dígitos, sem caracteres
especiais. Feito isso você pode usar os softwares Hashcat ou John The Ripper para fazer o
ataque de dicionário contra o hash da senha. Geralmente, eles são disponibilizados para Linux,
mas há versões para Windows. O comando a ser inserido na shell do Windows para realizar o
ataque pelo Hashcat é:
 
hashcat32.exe –m 11600 –a 0 C:\Users\Usuário\Documents\ PastaSuperSecreta.hash C:\
Users\Usuário\Documents\dict.lst
 
O comando acima deve ser escrito todo em uma linha. Note que os caminhos devem ser
escritos de acordo com cada computador. Cada usuário guarda os arquivos e as pastas a seu
modo, então você deve escrever os comandos de acordo com a localização de seus arquivos.
Ao final do processo, se o dicionário contiver a string original a qual o hash se refere, a senha
está descoberta. Caso contrário, deverão ser feitas novas tentativas com dicionários diferentes.
Caso prefira o John The Ripper, já que o Hashcat exige a instalação do programa OpenCL da
Intel para operar em conjunto, o procedimento é muito parecido: use o programa 7z2john.pl
para obter o hash do arquivo com o comando. Os arquivos devem estar na mesma pasta, caso
contrário, especifique o caminho deles:
 
perl 7z2john.pl PastaSuperSecreta.7z
 
Para tal, você precisa ter o Perl instalado no computador, junto com o pacote Compress Raw
Lzma para linguagem Perl. Depois, é só digitar:
 
john.exe C:\Users\Usuário\Documents\Caixa2a.hash --wordlist=C:\Users\Usuário\
Documents\dict.lst
 
Não esqueça que este comando deve ser escrito de modo contínuo e com os arquivos
corretamente indexados. Lembre-se dos conceitos básicos de informática. O software John The
Ripper mostra o resultado positivo de suas tentativas de quebra de senha no arquivo john.pot.
Ele pode ser aberto pelo Power Point, e nele será revelada a senha, se ela estiver em seu
dicionário usado para o ataque. Esse exemplo vale para arquivos em formato 7z; arquivos em
formato zip, rar e outros algoritmos de compressão possuem abordagem semelhante, porém
com outras ferramentas para extrair o hash de sua senha. 
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 19/23
Para executar o Mentalist, você deve ter o Python 3.6 ou superior instalado em seu computador.
Uma vez extraídos, os arquivos suspeitos e as informações inerentes à perícia devem ser
interpretados dentro do contexto da investigação, ou seja, você deve montar a linha de tempo
dos acontecimentos no sistema: quem os causou, quando e como, estabelecendo, então, a
conexão entre eles, e com isso montar as evidências.
2.4.2   Análise
Montar uma evidência é como montar um quebra-cabeça. Você precisa juntar as peças de
forma que as coisas façam sentido. Aqui não se trata da interpretação do perito, ele deve ir
aonde os vestígios o levarem. Os fatos falam por si, basta apresentá-los na ordem em que
aconteceram. Veja um exemplo. Uma empresa que trabalha como terceirizada para o governo
desconfia que teve arquivos confidenciais roubados. Ela alega que foi usado um pen drive para
a cópia desses arquivos, já que um empregado foi flagrado pelas câmeras de segurança com
atitudes suspeitas enquanto trabalhava no computador da empresa. A empresa afirma que isso
ocorreu no dia 01/12/2020. No mesmo dia, é feita uma perícia extrajudicial no computador e o
perito extrai as informações contidas na imagem a seguir.
O software Mentalist foi desenvolvido usando a linguagem de
programação Python. Essa linguagem é muito difundida
atualmente, e vem se destacando principalmente nas áreas de
inteligência artificial,ciência de dados e ethical hacking. É de
fácil aprendizado, com sintaxe simples e direta e muitos
recursos e documentação bem-organizada, que a torna a
preferida de muitos desenvolvedores. 
Você sabia?
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 20/23
#PraCegoVer: imagem com capturas de telas de um software de computador. São quatro
capturas, indicadas de 1 a 4.
O perito usou a ferramenta USBDeview para verificar se houve de fato conexão de dispositivos
externos no computador em que, supostamente, ocorreu o roubo de informações, e foi
comprovado que não um, mas três pen drives foram conectados nesse computador no referido
dia. O funcionário suspeito de realizar tal ato trabalha no turno das 13h às 19h nesse
computador, e nota-se um pen drive conectado nesse espaço de tempo, sendo desconectado
em 01/12/2020 às 14h29. O funcionário é inquirido pela equipe de segurança da informação e
nega que tenha feito a cópia. A equipe encontra um pen drive em sua gaveta; ele é comparado
ao pen drive conectado ao computador na data pesquisada, por meio de seu número serial, que
pode ser obtido pelo USBDeview, e os números coincidem.
Explorando o pen drive suspeito, é encontrado um arquivo com o nome Caixa2.docx e
analisando suas propriedades, nota-se que foi criado em 01/12/2020 às 14h28. Outro arquivo
com o mesmo nome é encontrado no computador e, ao conferir o hash dos dois arquivos, são
idênticos. Com essas informações, já é possível estabelecer uma linha do tempo dos
acontecimentos.O pen drive foi conectado ao sistema no dia 01/12/2020, teve o arquivo
Caixa2.docx copiado para ele no mesmo dia, às 14h28, e foi desconectado no mesmo dia, às
14h29. Perceba como não há interpretações por parte do perito. Os vestígios da ação do
funcionário contam a história por si. Basta procurar os vestígios certos nos locais certos e
colocar os acontecimentos na ordem em que aconteceram.
2.4.3   Resultados
Os resultados obtidos com o exame pericial devem ser relatados no laudo pericial, de forma
técnica e didática para a compreensão do juiz e demais envolvidos no processo.
Figura 9 - Resultados da perícia
Fonte: Elaborada pelo autor, 2020.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 21/23
Durante uma perícia, você se deparou com um arquivo compactado
em formato .zip que pode ter informações importantes sobre os
delitos investigados, porém ele está protegido por senha. Esse
arquivo está disponível no site da disciplina e chama-se Caixa2.zip.
Faça os procedimentos para a tentativa de quebra de senha desse
arquivo, demonstrada no material dessa disciplina, e sua estratégia
para a quebra da senha do arquivo. Para facilitar a atividade, a
senha possui até quatro dígitos. Note que o formato é o zip, e não
7zip. O método é o mesmo, porém com ferramentas diferentes.
Vamos Praticar!
Finalizamos esta unidade e você teve contato com a metodologia
usada para estabelecer uma prova pericial, viu as dificuldades que
podem aparecer durante o trabalho de perícia, treinou técnicas de
ataques a arquivos protegidos com senha e adquiriu conhecimento
sobre como coletar vestígios em cenas de crimes digitais e
estabelecer uma linha de tempo dos acontecimentos.
Nesta unidade, você teve a oportunidade de:
Conclusão
aprender sobre a importância da cadeia de custódia em um
processo pericial;
verificar alguns cenários de atuação do perito, considerando
algumas tecnologias;
entender a importância da cronologia dos acontecimentos ao
realizar uma análise de vestígios;
aprender como realizar ataque de dicionário para tentar quebrar
senhas de vestígios a serem investigados;
compreender como são feitas as buscas por vestígios em uma
perícia forense computacional.
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 22/23
ANÁLISE Forense Computacional - File e Data Carving com
Foremost (Computação Forense). 2015. São Paulo. 1 vídeo (9
min 11 s). Publicado no canal José Milagre. Disponível em:
https://www.youtube.com/user/josemilagre
(https://www.youtube.com/user/josemilagre). Acesso em: 10 dez. 2020.
BRASIL. Lei nº 11.767 de 7 de agosto de 2008. Altera o art. 7 da Lei n 8.906, de 4
de julho de 1994, para dispor sobre o direito à inviolabilidade do local e instrumentos
de trabalho do advogado, bem como de sua correspondência. Brasília, DF: Presidência
da República, 2008. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2007-
2010/2008/Lei/L11767.htm (http://www.planalto.gov.br/ccivil_03/_Ato2007-
2010/2008/Lei/L11767.htm). Acesso em: 10 dez. 2020.
BRUNEAU, G. Hex file headers and Regex for forensics. Rockville: SANS Institute,
2020. Disponível em: https://digital-
forensics.sans.org/media/hex_file_and_regex_cheat_sheet.pdf (https://digital-
forensics.sans.org/media/hex_file_and_regex_cheat_sheet.pdf). Acesso em: 30
nov. 2020.
CASEY, E. Digital evidence and computer crime: forensic science, computers and
the internet. 2. ed. Cambridge: Academic Press, 2004.
CASEY, E. Handbook of digital forensics and investigation. Cambridge: Academic
Press, 2009.
FARMER, D.; WIETSE, V. Perícia forense computacional - como investigar e
esclarecer ocorrências no mundo cibernético. São Paulo: Pearson, 2006.
MATHEUS, E. et al. A toxicologia forense na perícia criminal. Recife: Universidade
Federal Rural de Pernambuco, 2020. Disponível em:
http://flexquest.ufrpe.br/projeto/4637/caso/4648/minicaso/4650
(http://flexquest.ufrpe.br/projeto/4637/caso/4648/minicaso/4650). Acesso em: 25
nov. 2020.
RODRIGUES, C. V.; SILVA, M. T.; TRUZZI, O. M. S. Perícia criminal: uma abordagem
de serviços. Gest. Prod., São Carlos, v. 17, n. 4, p. 843-857, 2010. Disponível em:
https://www.scielo.br/pdf/gp/v17n4/a16v17n4.pdf
(https://www.scielo.br/pdf/gp/v17n4/a16v17n4.pdf). Acesso em: 10 dez. 2020.
STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. São
Paulo: Pearson, 2015.
VELHO, J. A. (Org.). Tratado de computação forense. São Paulo: Millenium, 2016.
XIAOYUN W.; HONGBO Y. How to break MD5 and other hash functions. In: CRAMER,
R. (Org.). Advances in Cryptology – EUROCRYPT 2005, v. 3494, p.19-35, 2005.
Disponível em: https://link.springer.com/chapter/10.1007/11426639_2#citeas
(https://link.springer.com/chapter/10.1007/11426639_2#citeas). Acesso em: 15 dez.
2020.
Referências
o o
https://www.youtube.com/user/josemilagre
http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/Lei/L11767.htm
https://digital-forensics.sans.org/media/hex_file_and_regex_cheat_sheet.pdf
http://flexquest.ufrpe.br/projeto/4637/caso/4648/minicaso/4650
https://www.scielo.br/pdf/gp/v17n4/a16v17n4.pdf
https://link.springer.com/chapter/10.1007/11426639_2#citeas
10/05/2022 11:21 Computação Forense
https://student.ulife.com.br/ContentPlayer/Index?lc=h%2fMKv96cQcdMJKv%2fJCXjcw%3d%3d&l=833ruMTUwbMRsx072em6YQ%3d%3d&cd… 23/23