Sala de Aula7_ Estacio

Prévia do material em texto

Computação Forense
Aula 7: Perícia Forense – parte I
Apresentação
Nesta aula abordaremos os conceitos iniciais sobre a perícia forense. Vamos tratar de alguns conceitos importantes em
relação ao tema, por exemplo, fatores preponderantes, como se dá o processo de obtenção de evidências, ressaltar
algumas normas técnicas e procedimentos na perícia forense e algumas terminologias relevantes para o desenvolvimento
da matéria.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Identi�car conceitos acerca da perícia forense computacional;
Entender os tipos de perícia existentes;
Identi�car o amparo jurídico que embasa a forense computacional.
Introdução
Conforme veri�camos o avanço tecnológico cada vez mais presente no nosso dia a dia veri�camos também que cada vez mais
colhemos inúmeros benefícios, sejam eles individuais ou coletivos.
Entretanto, com todas essas vantagens, surgem também muitas desvantagens em virtude da possibilidade de realização de
novas práticas ilegais e criminosas. Visando punir os agentes de tais atos, é necessário que haja uma investigação por parte
das autoridades competentes, a qual se inicia sempre com a apuração e análise dos vestígios deixados, conforme determina o
Código de Processo Penal Brasileiro (CPP) em seu artigo 158:
"Quando a infração deixar vestígios, será indispensável o
exame de corpo de delito, direto ou indireto, não podendo
supri-lo a con�ssão do acusado."
- CPP – Artigo 158
Segundo o dicionário Houaiss, vestígio é de�nido como:
1
Pisada ou marca deixada por homem ou animal nos caminhos
por onde passa; rastro, pegada.
2
Aquilo que restou (de alguma coisa que se destruiu, que
desapareceu).
3
Qualquer marca, traço, indício, sinal que localize alguém ou
algo, ou permita deduzir que um fato ocorreu, ou descobrir
quem dele participou.
Comentário
No caso da computação, os vestígios de um crime são digitais, uma vez que toda a informação armazenada nesses
equipamentos computacionais é composta por bits em uma ordem lógica. Já em seu artigo 159, o CPP impõe que “o exame de
corpo de delito e outras perícias serão realizados por perito o�cial, portador de diploma de curso superior”.
O campo da computação forense tornou-se uma parte crítica dos sistemas jurídicos em todo o mundo. Em 2002, o FBI a�rmou
que "cinquenta por cento dos seus casos envolviam um computador”.
No entanto, ainda não somos capazes de fazer os tipos de alegações sobre computação forense que podem ser feitas sobre
outros tipos de evidências forenses que já foram estudadas mais profundamente, como a análise de DNA .
Por outro lado, a prova forense do computador tem amadurecido com pesquisas que tentam identi�car padrões cientí�cos
amplos, sem ciência subjacente para apoiar seu uso como evidência. Outra diferença fundamental entre DNA e dados forenses
de computador é o fato de as evidências de DNA assumirem a forma de "objetos" físicos tangíveis criados por eventos físicos.
Já na computação forense, o que temos são objetos de computador criados em um mundo virtual por eventos de sistema.
1
O trabalho da perícia forense computacional demanda, além de pro�ssionais
capacitados e investimentos em soluções de TI, tempo para execução dos
respectivos exames. Dessa forma, os pro�ssionais que atuam em
Computação Forense terão que lidar com a variação das complexidades dos
exames periciais.
Mas, a�nal, o que vem a ser a perícia?
Perícia
Prática que um pro�ssional quali�cado
exerce, que neste caso chamamos de
perito. De acordo com o dicionário Aurélio,
perícia é um exame de caráter técnico, por
pessoa especializada, nomeada pelo juiz,
de um fato, estado ou valor de um objeto
litigioso, cujos resultados servirão de meio
de prova que o juiz precisará conhecer para
tomar sua decisão.

Forense
É a ciência dividida em diversas disciplinas,
que atua em conjunto com o investigador
na busca pela verdade. Atualmente,
existem peritos especializados em
diversas áreas cientí�cas.
Podemos a�rmar, então, que a perícia forense
computacional é a ciência de coletar e analisar as
evidências digitais, reconstruindo dados, ataques e
rastreando invasores. Trata-se do processo de coleta,
https://stecine.azureedge.net/webaula/estacio/go0687/aula7.html
 Fonte: O autor.
recuperação, análise e correlacionamento de dados que
visa, dentro do possível, reconstruir o curso das ações e
recriar cenários completos �dedignos, livres de distorção ou
apontamentos tendenciosos, com o objetivo de tentar
reconstruir os dados preexistentes em um sistema no
passado.
Comentário
A ciência forense é desenvolvida por pro�ssionais altamente quali�cados e especializados, e as pistas deixadas no local do crime
só são atestadas como verídicas após testes em laboratórios.
Criminosos a cada dia cometem seus delitos de forma a não deixar vestígios e, em casos como esse, a perícia forense opera
nas descobertas de pistas que não podem ser vistas a olho nu, na reconstituição de fatos em laboratórios seguindo as normas
e padrões preestabelecidos para que as provas encontradas tenham validade e possam ser consideradas em julgamento de
um processo.
A perícia computacional visa os mesmos eventos relatados anteriormente só que na área tecnológica, buscando pistas virtuais
que possam descrever o autor das ações não permitidas. A forense computacional adveio com o objetivo de suprir as
necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a
ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados
em algum tipo de mídia computacional (GUIMARÃES et al., 2008).
A perícia computacional pode ser utilizada com duas �nalidades:
Legais: (Investigação de crimes como roubo de identidade, extorsão ou ameaças;
Ações disciplinares internas: Uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção
externa.
Atualmente, os sistemas são extremamente grandes e complexos, o que requer grandes quantidades de armazenamento e
memória, fatores que di�cultam muito uma perícia forense. Juntamente com isso as mudanças cíclicas e cada vez mais
velozes tornam cada vez mais necessário muito conhecimento e experiência devido aos fatos e as evidências poderem estar
ocultos em qualquer lugar, praticamente inexistindo softwares especializados disponíveis para tratar esse tipo de problema.
Atenção
É bastante simples iniciar uma coleta de dados, porém a análise é extremamente complexa sugerindo assim horas e horas para
esta tarefa. Além disso, essa análise exige muito recurso computacional. Associe a isso o problema de se armazenar as grandes
quantidades de dados resultantes de registros de auditoria e perícia.
Desta forma, um perito em analisar sistemas invadidos ou comprometidos necessita dispor de certas características especiais,
principalmente conhecimentos e habilidades relativas aos sistemas em questão, e entendimento pleno acerca das implicações
técnicas e legais de suas ações. Características concernentes ao espírito investigativo, suspeição e ética também são
determinantes para o sucesso ou fracasso das ações.
Ao se deparar com a condução de uma análise, o perito deve isolar e assegurar o perímetro, registrando a “cena onde ocorreu o
fato” da melhor maneira possível, e conduzindo uma busca sistemática por evidências, coletando e armazenando as que
encontrar.
A velocidade das ações é essencial, mas elas devem ser levadas em consideração sem colocar em risco a coleta ou a
veracidade das informações.
O perito também:
1
Deve ter em mente que qualquer operação executada num sistema causará alguma modi�cação em seu estado. Além
disso, “atacantes” hábeis conhecem como as perícias são feitas e podem fornecer informações falsas em locais
especí�cos ou até mesmo gerar scripts computacionais que venham a apagar as evidências.
2
Nunca deve con�ar plenamente no sistema em questão. Além deste fato, outro aspectoimportante diz respeito às leis
vigentes na jurisdição, e às políticas da organização ou instituição.
3
Deverá sempre veri�car as políticas de segurança aplicáveis naquele ambiente, se tratarmos de uma organização. Tudo
deverá ser levado em consideração. Sem este procedimento, a coleta de evidências pode ser inócua, ine�caz ou
ilegítima.
Durante a busca por evidências, a preservação do estado do sistema é um fator determinante. Sem a preservação do estado,
pode acontecer de nunca se saber o passado ou não possuir, minimamente, a capacidade de vir a construí-lo. Desta forma, o
perito sempre deve fazer a coleta de dados de acordo com a ordem de volatilidade. Como ordem de volatilidade, deve-se
considerar coletar primeiramente os dados que forem mais efêmeros.
A Tabela a seguir apresenta a ordem de volatilidade dos dados de perícia mais voláteis:
Tipos de Dados Tempo de Vida
Registradores, memória periférica, caches Nanossegundos
Memória principal Dez nanossegundos
Estado da rede Milissegundos
Processos em execução Segundos
Disco Minutos
Disquetes, mídia de backup Anos
CD-ROMs, impressões Dezenas de anos
 Tabela 1: Ordem de volatilidade dos dados de perícia mais voláteis. Fonte: FARMER; VENEMA, 2008, p. 6.
Uma dúvida comum que pode surgir ao analisar a Tabela anterior é:
Por que não coletar tudo simultaneamente?
A resposta para essa pergunta é que, em raras ocasiões, é possível coletar todos os dados simultaneamente, pois,
simplesmente ao se executar um aplicativo de coleta de dados, algo já está sendo alterado, podendo destruir o outro dado.
Segundo Cansian (2014):
1
Durante o tratamento de uma perícia em um sistema invadido ou atacado, alguns fatores muitas vezes imperceptíveis
são as maiores causas dos problemas e di�culdades. Não saber exatamente o que aconteceu, e não conhecer contra
quem, ou o que, se está lutando, são as principais fontes dos problemas e di�culdades, e por isso mesmo tornam-se os
grandes desa�os.
2
Não saber em que dados con�ar, dentre todos aqueles disponíveis para a perícia, faz com que problemas mais
complexos requeiram uma preparação mais elaborada, e um plano claro e bem de�nido para tratá-los. Se o analista de
segurança ou o perito não conhece o sistema, a situação deve ser abordada com mais cautela ainda. Deve-se conhecer e
entender as limitações humanas relativas ao conhecimento técnico para abordagem do problema, da mesma forma
como devem ser conhecidas as limitações técnicas do sistema, da rede ou do equipamento sob análise.
3
Esta abordagem deve ser adotada porque é muito fácil dani�car, corromper ou mascarar inadvertidamente as evidências
da perícia. Mesmo uma análise simples num sistema desconhecido pode ser arriscada, comprometendo de�nitivamente
o trabalho a ser realizado, ou mesmo a validade legal da análise.
4
Desta forma, o analista de segurança deve trabalhar o menos possível com os dados originais, ou seja, deve-se optar por
providenciar uma imagem dos dados que serão usados e deve-se operar sobre este conjunto, seguindo sempre a ordem
de volatilidade discutida anteriormente. Dentro deste contexto, vale ressaltar novamente a importância de se aplicar
sempre a política de segurança da organização, da mesma forma que deve ser observada a legislação da jurisdição em
questão.
5
Com base nestes procedimentos, podem ser de�nidas metas claras de trabalho, de tal forma que a perícia seja válida
tanto em termos institucionais como legais e jurídicos. Dentre os aspectos relativos à política de segurança da
organização, devem ser consideradas questões tais como: quem deve ser informado dos eventos encontrados, o que
deve ser registrado, o que fazer com as evidências, qual sequência de ações deve ser seguida, quais são as prioridades,
quem tem direito a acessar certos sistemas, entre outros cuidados.
6
Além disso, a maioria dos dados tem um componente fortemente dependente do tempo e do horário. Em função disso,
deve-se construir uma base de tempo de referência, uma linha temporal de tal forma que seja possível examinar certa
janela de tempo dentro daquela linha, permitindo determinar os eventos que aconteceram durante aquele período.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
 Fatores preponderantes e termos relevantes na perícia computacional
 Clique no botão acima.
Para que possamos conceituar de maneira mais e�caz o processo de análise forense é fundamental elucidar alguns
fatores preponderantes para a perícia (VELHO, 2016).
Fator humano: Se relaciona à capacidade humana de compreensão e tratamento da informação, dos vestígios e
suas análises em nível de raciocínio, deduções e conclusões. O fator humano é afetado por diversas variáveis
como estado emocional, cansaço, sono, calor e outros;
Fator tecnológico: Diz respeito às facilidades e di�culdades impostas pela tecnologia, principalmente no tocante
à velocidade de processamento da informação (tempo), mas também na limitação de tamanho das mídias de
armazenamento atuais (espaço);
Fator legal: Se conecta aos parâmetros impostos pela legislação no tratamento do vestígio cibernético, já que a
análise desse deve obedecer, além dos princípios cientí�cos, os ditames de ordem legal e processual.
Alguns termos foram adotados e padronizados na computação forense a �m de consolidar a terminologia pericial,
portanto, alguns conceitos e terminologias são extremamente relevantes. Vejamos:
Análise forense computacional: tipo de análise realizada em dispositivos computacionais, sendo realizada em
software e hardware, focando a análise de evidências cibernéticas, a �m de trazer à tona elementos indicativos de
autoria, materialidade dinâmica de fatos, geralmente relacionados a violações legais;
Antiforense: recurso usado para encobrir a existência, quantidade e qualidade de evidências de determinado
recurso computacional. Tende a di�cultar a análise das evidências ou torná-la impraticável;
Contêiner: arquivo binário cujo conteúdo é formado por outros arquivos, como, por exemplo, arquivos
compactados;
Arquivo de imagem ou imagem forense: arquivo que contém a cópia exata da mídia a ser submetida para
exame. Dependendo da escolha feita pelo perito durante o processo de cópia, o arquivo pode ser fragmentado em
arquivos menores ou ser compactado. Deve se veri�car a sua integralidade por meio da função hash;
Cadeia de custódia: registro detalhado de todos os passos, pessoas, ambientes, mídias e informações direta ou
indiretamente relacionadas à perícia. É parte fundamental para instrumentar o processo e dar suporte às
investigações ou contestações posteriores, sem que o processo pericial seja comprometido. Está amparado pela
portaria 82, de 16 de julho de 2014 da SENASP/MJ;
Duplicação forense ou duplicação pericial: é o processo de aquisição de uma evidência cibernética, na qual é
realizada uma cópia bit a bit de uma determinada informação resultando na criação de um arquivo de imagem ou
mídia duplicada;
Laudo (parecer técnico): documento técnico-cientí�co de caráter formal, elaborado pelo perito. Apresenta o
resultado da análise pericial de modo compreensível aos interessados e responsáveis pelo julgamento do mérito,
dispensando-os da necessidade de conhecimento técnico aprofundado e reduzindo o risco de interpretação
equivocada por parte dos mesmos. Para alcançar esse objetivo, o documento pode ser enriquecido com �guras,
ilustrações, fotogra�as e croquis;
Mídia de prova ou mídia questionada: é a mídia objeto de investigação. Os tipos mais comuns são pendrives,
discos rígidos externos ou inseridos em computadores;
Mídia de destino: suporte para o qual o conteúdo das mídias questionadas é copiado, de modo a preservá-las
contra alterações não intencionais;
Vestígio cibernético ou vestígio digital: qualquer informação de valor probatório que tenha sido armazenada ou
transmitida em meio digital e que pode ser utilizada para comprovação de um ato ilícito. Na computação forense,
o computador pode ser o meio ou o alvo deuma atividade criminosa, cabendo ao analista pericial a coleta de
vestígios que possam levar à autoria dos crimes cometidos.
A evidência digital possui algumas características próprias:
Ela pode ser duplicada com exatidão, permitindo a preservação da evidência durante sua análise;
Por meio de técnicas apropriadas pode-se identi�car se ela foi adulterada;
É extremamente volátil, podendo ser alterada durante o processo de análise.
A procura por evidências em um sistema computacional constitui-se de uma varredura minuciosa nas informações
que nele residem, sejam dados em arquivos ou em memória, “deletados” ou não, cifrados ou possivelmente
dani�cados.
As cinco regras para a evidência eletrônica são: a admissibilidade, ou seja, ter condições de ser usada no processo; a
autenticidade, ser certa e de relevância para o caso; a completude, pois essa não poderá causar ou levar a suspeitas
alternativas; a con�abilidade, porque não devem existir dúvidas sobre sua veracidade e autenticidade; e a credibilidade,
que é a clareza, o fácil entendimento e interpretação (PINHEIRO, 2010, p. 172);
Wipe: técnica empregada para apagamento seguro de mídias. Usada principalmente para reutilização de mídias
de apoio aos exames periciais, evitando que informações anteriormente existentes contaminem e invalidem uma
nova análise pericial.
Procedimento operacional padrão (POP)
O principal objetivo do POP é padronizar e minimizar os riscos na execução de tarefas relativas à computação forense, ou seja,
padronizar os exames periciais de mídias de armazenamento computacional. Um POP bem feito e atualizado é instrumento
fundamental da qualidade e e�ciência da perícia.
Na perícia forense, o POP aumenta a previsibilidade dos resultados esperados e minimiza os riscos, inclusive aqueles
decorrentes de imperícia e negligência. Também permite fazer uso adequado das ferramentas forenses e demais recursos
tecnológicos.
No Brasil, o ato normativo que tem maior amplitude é a obra denominada “Procedimento Operacional Padrão: Perícia Criminal”,
publicada pelo Ministério da Justiça por meio da Secretaria Nacional de Segurança Pública. Esse documento traz uma
padronização mínima para as perícias criminais em todo o território nacional e lança luz sobre a área de informática forense
em quatro POP’s redigidos em seu capítulo 3:
1 2
Exame pericial de mídia de armazenamento computacional:
tem a �nalidade de orientar o pro�ssional de perícia da área de
computação a realizar exames que envolvam dados contidos
em mídias de armazenamento computacional .2
Exame pericial de equipamento computacional portátil e de
telefonia móvel: serve como um guia para o perito realizar
exames que envolvam computadores portáteis e telefones
móveis como, por exemplo, celulares e tablets.
3
Exame pericial de local de informática: apresenta orientações
ao pro�ssional que realizará exames que envolvam locais de
informática ou que demandem a análise do vestígio
cibernético in loco.
4
Exame pericial de local de internet: tem a �nalidade de
orientar o perito de informática a investigar crimes ocorridos
ou auxiliados pela internet.
Exames periciais
Em determinadas situações, torna-se necessária a análise de arquivos no local do crime, devido à volatilidade dos vestígios
computacionais, restrições de apreensão de equipamentos e constatação de �agrante delito. Podemos classi�car o exame de
dados no local em dois tipos: Exame ou análise live; e Exame ou análise post-mortem.4
Análise live
A análise live é destinada à análise do dispositivo e dos dados em tempo de execução. Tal análise, apesar de aumentar a
superfície de exposição da evidência e alterá-la de forma involuntária, pode ser a única forma de salvaguardar a evidência de
natureza volátil.
Este exame é recomendado se a máquina suspeita estiver ligada e for de interesse pericial, por exemplo, o conteúdo da
memória principal, as listas dos processos em execução, os arquivos sendo compartilhados, ou ainda se forem constatados:
Documentos
abertos
Conversações
online
Armazenamento
remoto de dados
Criptogra�a de
dados
Havendo programas em execução, telas abertas ou
compartilhamentos ativos, deve-se registrar imagens de telas e/ou
operar o sistema para extração dos arquivos ou geração de relatórios.
Caso haja suspeita de que existam partições protegidas por algum tipo de criptogra�a, e estando estas abertas (montadas),
deve-se copiar seu conteúdo de forma integral (espelhamento) ou parcial (imagem lógica), a depender do interesse. Para tal,
uma opção válida é utilizar uma ferramenta executada no próprio sistema operacional alvo, apesar das alterações que esse
procedimento possa acarretar. Para sistemas Windows, pode-se, por exemplo, utilizar o FTK Imager com um case externo de
leitura e escrita.
https://stecine.azureedge.net/webaula/estacio/go0687/aula7.html
O dump da memória principal deve ser realizado quando houver interesse em seus dados voláteis, por exemplo, quando
suspeitar-se de uso de criptogra�a. Em computadores do tipo servidor, sugere-se requisitar o auxílio do responsável pela área
de informática para a extração dos dados relevantes, evitando, sempre que possível, a apreensão desses equipamentos.
A análise post-mortem
É o tipo de exame realizado quando se deseja aumentar o grau de preservação da evidência questionada. Nesse tipo de exame,
opta-se por criar uma imagem forense de evidência, protegendo-a contra gravações involuntárias. Esse tipo de perícia é mais
recomendado quando não há a necessidade de preservação de dados voláteis presentes em um determinado equipamento no
momento de sua arrecadação ou quando não for detectada a presença de criptogra�a.
No exame post-mortem ou análise a frio, o equipamento é examinado desligado, sendo possível acessar a mídia sem efetuar
alteração de seu conteúdo de duas maneiras: i) pelo uso de bloqueadores de escrita ou ii) por meio de inicialização controlada. 
Usos de bloqueadores de
escrita
Deve-se conectar a mídia em análise a um
equipamento computacional portátil, com
bloqueio de escrita via hardware ou
software. Os arquivos podem então ser
acessados por meio de algum visualizador,
como o FTK Imager.

Inicialização controlada
Utiliza-se um CD ou pendrive de
inicialização que não monte as mídias para
escrita, mas somente para leitura. A ordem
de inicialização do sistema deve ser
con�gurada no BIOS de modo a impedir a
inicialização da mídia instalada no
equipamento.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. Os exames periciais mais comuns no âmbito da computação forense são:
a) Exames em locais de crime de informática.
b) Exames em redes peer-to-peer.
c) Exames em dispositivos de armazenamento computacional.
d) Exames em mensagens eletrônicas (e-mails).
e) Exames em redes Tor.
2. Durante a busca por evidências, a preservação do estado do sistema é um fator determinante. Sem a preservação do estado, é
possível nunca saber o que realmente aconteceu. Desta forma, o perito sempre deve fazer a coleta de dados de acordo com a
ordem de volatilidade. De acordo com a ordem de volatilidade, assinale os dados de perícia mais voláteis:
a) Disco – Estado da rede – Registradores – Memória principal.
b) Memória principal – Memória periférica – Estado da rede – Disco.
c) Registradores – Processos em execução – Disco – Impressões.
d) Impressões – Memória principal – Processos em execução – Disco.
e) Estado da rede – Processos em execução – Disco – Memória periférica.
3. Leia as assertivas a seguir:
O exame de corpo de delito e outras perícias serão realizados por perito o�cial, portador de diploma de curso técnico.
No caso especí�co da computação, quem realiza perícias de forma o�cial no âmbito criminal é o perito criminal em informática.
A computação forense tem como objetivo principal determinar a dinâmica, a materialidade e a autoria de ilícitos ligados à área de
informática.
O estatuto da criança e do adolescente tipi�ca alguns crimes relacionadosà pornogra�a infanto-juvenil em que o computador é
utilizado como meio.
Assinale a alternativa que contém a quantidade de assertivas verdadeiras:
a) 0.
b) 1.
c) 2.
d) 3.
e) 4.
Notas
Análise de DNA1
A precisão da análise de DNA é bem compreendida por especialistas, e os resultados têm transformado consideravelmente os
processos judiciais. A assinatura encontrada no DNA foi fundamental na condenação de criminosos e na compensação de
pessoas que foram condenadas injustamente. A evidência no DNA se condensa em um único número (alelo) com um número
muito pequeno e bem de�nido, diminuindo a probabilidade de erro.
Mídias de armazenamento computacional2
Como os discos rígidos, pendrives e cartões de memória.
Referências
CANSIAN, Adriano Mauro. Conceitos para Perícia Forense Computacional. São José do Rio Preto: UNESP, 2014.
COSTA, Marcelo Antonio Sampaio Lemos. Computação Forense: A análise forense no contexto da resposta a incidentes
computacionais. 3. ed. Campinas: Millenium, 2011.
ELEUTÉRIO, Pedro Monteiro da Silva. Desvendando a Computação Forense. São Paulo – SP: Novatec Editora, 2010.
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional: como investigar e esclarecer ocorrências no mundo
cibernético. Curitiba – SP: Ed. Pearson Prentice Hall, 2008.
GUIMARÃES Célio Cardoso; OLIVEIRA, Flávio de Souza; REIS, Marcelo Abdalla; GEUS Paulo Lício de. Forense Computacional:
Aspectos legais e padronização. Campinas – SP. Instituto de Computação – UNICAMP, 2008.
PINHEIRO, Patricia Peck. Direito Digital. 4 ed. rev., atual. e ampl. São Paulo: Saraiva, 2010.
QUEIROZ, Claudemir. Investigação e Perícia Computacional: Certi�cações, leis processuais e estudos de caso. Rio de
Janeiro – RJ: Brasport, 2010.
VELHO, Jesus Antonio. Tratado de Computação Forense. Campinas – SP: Millenium Editora, 2016.
Próxima aula
Perícia forense para a obtenção de evidências;
Padronização do processo de investigação;
Perito forense.
Explore mais
Aprofunde-se em como o trinômio dos fatores humano, tecnológico e legal podem in�uenciar na agilidade dos exames
periciais. E qual deles possui maior in�uência?
Leitura Sugerida:
VECCHIA, E. D. Perícia Digital: Da investigação à análise forense. Campinas: Millennium Editora, 2019.