Sala de Aula8_ Estacio

Prévia do material em texto

Computação Forense
Aula 8: Perícia Forense – parte II
Apresentação
Um dos grandes desa�os na perícia forense é a identi�cação exata dos locais abrangidos em um cenário de crime, cuja
principal evidência é a informação digital. A correta identi�cação, isolamento, coleta e preservação dos vestígios dessa
natureza são fatores imprescindíveis para a perseguição da autoria e materialidade do crime. Os vestígios, geralmente,
não estão con�nados em um perímetro bem de�nido, mas espalhados em uma série de ambientes que precisam ser
devidamente tratados pelo perito para elucidação dos fatos.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Objetivo
Identi�car os procedimentos básicos de uma investigação forense;
Conceituar os processos de investigação e padronização de obtenção das evidências;
Identi�car as atribuições do perito forense.
Perícia forense para obtenção de evidências
Quando um indivíduo utiliza os sistemas computacionais, seja como meio ou como �m para o cometimento de atos ilícitos, ele
produz vestígios de natureza lógica ou física. Esse conjunto de informações extraídas permite esclarecer os fatos por trás de
um crime ou de um fato em apuração, bem como todos os seus elementos relacionados, sejam eles físicos ou lógicos, que
sirvam de suporte para o armazenamento, produção ou trânsito da informação.
Na busca incessante por essas evidências, o já consagrado princípio de Locard, ou o princípio da transferência, encontra abrigo
na nossa realidade moderna da computação, seja pelo contato direto do indivíduo com o hardware, seja pelos vestígios
deixados no mundo cibernético. Os ensinamentos de Edmond Locard, condensados nas palavras de Paul Kirk,
independentemente do meio ao qual for aplicar, servem como inspiração para que a busca pelas evidências seja incessante:
Quaisquer que sejam os passos, quaisquer objetos tocados
por ele, o que quer que ele deixe, mesmo que
inconscientemente, servirá como uma testemunha silenciosa
contra ele. Não apenas as suas pegadas ou dedadas, mas o
seu cabelo, as �bras das suas calças, os vidros que ele
porventura parta, a marca da ferramenta que ele deixe. Tudo
isso, e muito mais, carrega um testemunho contra ele. Esta
prova não se esquece. É distinta da excitação do momento.
Não é ausente como as testemunhas humanas são.
Constituem, per se, uma evidência factual. A evidência física
não pode estar errada, não pode cometer perjúrio por si
própria, não pode se tornar ausente. Cabe aos humanos
procurá-la, estudá-la e compreendê-la, apenas os humanos
podem diminuir o seu valor.
- Paul Leland Kirk
Os sistemas computacionais se enquadram como ferramentas indispensáveis ao homem moderno, já que estão presentes na
grande maioria dos lares e também embutidas em quase todos os elementos do nosso cotidiano. Esses sistemas compostos
por hardware e software encontram correspondência com o conceito de “ferramenta” adotado pelo renomado cientista francês
e, como toda ferramenta, necessita de uma ação humana anterior ou concomitante para a produção de um resultado �nalístico
contrário ou não ao ordenamento jurídico.
Procedimentos e métodos aplicados à perícia forense computacional
Segundo Freitas (2007), a perícia forense possui quatro procedimentos básicos:
 Fonte: O autor.
No caso de crimes cometidos por meio de um computador, as evidências normalmente são dados lógicos e virtuais, cabendo
ao perito identi�car de forma correta e aplicável ao meio que se encontra como preservar e armazenar essas provas.
Comentário
Não necessariamente devem-se utilizar todas as etapas descritas anteriormente. Pode-se utilizar somente uma etapa, a maioria
ou todas elas. Existem inúmeros crimes virtuais e, consequentemente, há diversas evidências que o perito necessita avaliar para
de�nir sua necessidade no laudo técnico pericial.
Na identi�cação, o perito deve:
1
Atentar-se para o tipo de crime praticado.
2
Utilizar todos os meios disponíveis para auxiliar na elucidação
do caso.
3
Buscar por evidências de logs, conexões e alteração de
arquivos con�denciais, caso o crime seja de acesso não
autorizado.
4
Caso o crime seja de pornogra�a com menores, deve
identi�car imagens e vídeos no HD do usuário, veri�car o
histórico e arquivos temporários do navegador.
Portanto, ao identi�car uma evidência digital, a parte física, o
“hardware”, do computador ou de qualquer equipamento digital é de
muita importância para descobrir provas e pistas.
Para garantir que dados não foram alterados, substituídos, perdidos ou corrompidos, utiliza-se a cadeia de custódia. Assim, a
cadeia de custódia viabiliza o controle sobre o trâmite da amostra com a identi�cação nominal das pessoas envolvidas em
todas as fases do processo, caracterizando as suas responsabilidades, as quais são reconhecidas institucionalmente, uma vez
que, como já foi citado, as mesmas foram treinadas para estas atividades. Portanto, o fato de assegurar a memória de todas as
fases do processo, constitui um protocolo legal que permite garantir a idoneidade do resultado e rebater as possíveis
contestações (LOPES; GABRIEL; BARETA, 2008).
Os vestígios cibernéticos podem e devem ser tratados com especial atenção, principalmente nos casos relacionados a
atividades criminosas. Tomando-se os devidos cuidados no trato desses vestígios, dispomos de uma fonte valiosíssima de
provas judiciais a serem utilizadas durante a persecução penal. Para que possamos abordar o tratamento dos vestígios
cibernéticos, a norma ISSO/IEC 27037:2012 classi�ca-os por:
Cabe, porém, ressaltar que, diante de um caso concreto,
essas etapas podem não ser determinadas nesta ordem,
uma vez que as condições climáticas e ambientais da cena
do crime, bem como a urgência requerida para a realização
dos exames in�uenciarão em seu sequenciamento e
paralelização.
Identi�cação
Uma característica que particulariza os crimes cibernéticos, se comparados aos demais, é o fato de existirem dois contextos
de análise forense, pois quando se fala nesses crimes temos meio distintos de operá-los. No processo de identi�cação é
necessário que se diferencie aqueles elementos do contexto lógico daqueles do contexto físico. Isso porque uma outra
peculiaridade dos crimes cibernéticos é que esse tipo de crime possui dois contextos forenses diferentes:
 Fonte: O autor.
Um disco de DVD recolhido na cena do crime faria
parte do contexto físico, ao passo que os dados
contidos nesse disco fariam parte do contexto lógico.
Um item do contexto lógico pode se relacionar a um
ou vários itens do contexto físico e vice-versa. Se
pensarmos em um computador com vários sistemas
operacionais teríamos um item do contexto físico se
relacionando com vários do contexto lógico, por
exemplo. Um arranjo de discos con�gurados em RAID
é o exemplo inverso: vários itens físicos se
relacionando a um item lógico.  
Comentário
A linguagem o�cial da Unreal Engine é o C++, porém, nas versões mais recentes, é possível utilizar o Python, de forma alternativa,
para efetuar diversas tarefas.
Por isso é recomendável que se identi�que e classi�que como evidência
apenas aquilo que tenha relação com o delito uma vez que identi�car e
classi�car como evidência, erroneamente, muitos vestígios pode levar a um
aumento exagerado no escopo de análise laboratorial, o que consumirá
tempo da equipe de perícia. Em matéria de direito o desperdício desse
tempo pode ocasionar a perda de alguns prazos judiciais. Levando,
inclusive, à absolvição de um culpado.
A evolução tecnológica colocou uma série de desa�os para o pro�ssional da área de perícia computacional, principalmente no
quesito identi�cação. Dois pontos a considerar:
Atualmente muitos dispositivos, apesar de bastante similares, desempenham funções completamente diferentes. Citamos
como exemplo um token criptográ�co, um adaptador e um pendrive. Identi�car incorretamente algum desses itens pode levar a
retrabalho e desperdício de tempo da equipe com as consequências já mencionadas anteriormente.O apelo comercial também vai di�cultar um pouco a identi�cação de itens relevantes à investigação, visto que temos, por
exemplo, pendrives que se camu�am nos mais diferentes formatos, desde personagens infantis até abridores de garrafa.
 Token criptográfico (Fonte: RSA)

 Pendrive (Fonte: DIVULGAÇÃO PNY)
Isolamento
Esta etapa leva em consideração a tarefa de não alterar a cena do crime, assim evitando que o ambiente se contamine, de
forma a impossibilitar um laudo pericial com excelência. A palavra-chave para o isolamento é evitar ataques à integridade das
evidências (alterações, supressões, inserções, destruição).
O isolamento, apesar de descrito como fase subsequente à identi�cação e ao registro, na prática pode ocorrer de forma
concomitante, pois, à medida que os itens são identi�cados na cena do crime, algumas providências podem ser tomadas para
garantir o seu isolamento.
Entretanto, cabe salientar mais uma di�culdade na questão dos crimes cibernéticos. Pois muitas vezes o vestígio pode ser não
palpável por se encontrar em um meio lógico. Desta forma, o isolamento pode se dividir em duas partes: isolamento físico e
isolamento lógico.
Isolamento físico
Nessa modalidade, o objetivo é isolar a maior área física possível onde ocorreu o crime, de forma a preservar os vestígios de
qualquer forma e tipo. A regra primordial é isolar a maior área possível no contexto do crime, pois o isolamento inadequado
pode levar à perda de vestígios importantes e até mesmo à sua invalidação, por estarem vulneráveis à manipulação indevida.
Algumas classi�cações quanto ao local do crime servirão de guia para que o isolamento seja feito da maneira correta.
Quanto à região espacial, os locais de crime se classi�cam em:
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Imediatos
Local onde a presença de vestígios
relacionados ao fato está concentrada. 
Mediatos
Local adjacente ao imediato e onde há a
possibilidade de se encontrar vestígios
relacionados ao fato, embora essa chance
seja menor.
Nos crimes de informática tanto o local imediato quanto o local mediato podem se estender por lugares diferentes já que a
prática delitiva pode ter ocorrido em uma cidade como Brasília, por exemplo, e os seus efeitos podem ter ocorrido até mesmo
em outro país, como é o caso dos crimes contra sistemas de instituições bancárias. Uma terceira classi�cação quanto à região
é a de local relacionado: que consiste em todo e qualquer lugar sem ligação geográ�ca direta com o local do crime e que possa
conter algum vestígio ou informação que propicie ser relacionado ou venha a auxiliar no contexto do exame pericial.
Quanto a preservação podemos classi�car como:
Idôneo
É a situação na qual os vestígios foram
mantidos inalterados desde a ocorrência
do fato até o registro dos mesmos pelos
pro�ssionais envolvidos na análise do
local.

Inidôneo
Se houve comprometimento dos vestígios,
seja por remoção, inserção ou da
combinação de ambas, o que gera a
substituição da evidência.
Já as áreas podem ser:
1 2
Internas
Aquelas que possuem proteção superior, telhado ou algo que o
valha, contra as intempéries. A ausência de paredes no
cômodo não o exclui dessa classi�cação. Um galpão aberto e
uma portaria de edifício em Brasília são exemplos desse tipo
de classi�cação.
Externas
Aquelas que se situam fora das instalações e estão sujeitas
diretamente à in�uência dos elementos naturais mais
agressivos. Podemos citar nesses ambientes: antenas,
transmissores de sinais, cabos de rede etc.
3
Virtuais
Aquelas que não têm uma vinculação direta do contexto físico
com o lógico. Uma ação praticada em determinado ambiente
físico pode produzir evidências físicas e lógicas em uma
localidade completamente diversa.
Isolamento lógico
Dependendo do tipo de equipamento a ser isolado, procedimentos especí�cos serão adotados rapidamente. Existem
inúmeros dispositivos eletrônicos que podem ser usados como meio de atividade criminosa. Por exemplo, notebooks,
smartphones e pendrives. De acordo com as circunstâncias especí�cas, o perito deve se basear na análise do momento
da apreensão, pois existem certos atos ilícitos cometidos que dependem dos registros de atividade recente do dispositivo.
Exemplo
Notebooks e desktops;
Ligado ou desligado ;
Análise da memória e conservação dos dados na memória secundária;
Dispositivos de entrada/saída;
Cópias de dados IN LOCO;
Equipamentos conectados em rede;
Telefones móveis celulares.
Alinhar todos os itens da lista.
Diante da pluralidade de agentes deterioradores dos vestígios, é preciso levar em conta não somente o tempo e os meios de
transporte do local de recolhimento até o local de acondicionamento, mas também o tempo de duração deste para que os
exames forenses se iniciem. Muitas vezes as evidências aguardam bastante tempo antes de serem analisadas, tornando o
processo de conservação das evidências crucial na obtenção de resultados satisfatórios. Sendo assim, tratar adequadamente
os vestígios de um crime nos quais se desenvolvam atividades relacionadas com dispositivos computacionais requer atenção
e aplicação dos princípios, técnicas e boas práticas aqui apresentadas. Ademais, manter-se atualizado enseja também
constante atualização do pro�ssional forense, pois, ao passo que os intervalos de tempo em que novas tecnologias despontam
no mercado se tornam cada vez menores, a variedade de produtos “hardware ou software” se torna cada vez maior.
Etapas da investigação forense para obtenção de evidências
As etapas da investigação forense incluem: aquisição, preservação, extração, recuperação, análise e apresentação. A aquisição
inclui a coleta de vestígios digitais e envolve a veri�cação de mídia, que pode ser mídia ótica, discos rígidos, dispositivos
eletrônicos etc.
A Figura a seguir ilustra as fases do processo de investigação. Nela é apresentada a sequência em que elas devem ser
realizadas e os procedimentos relacionados a cada uma delas. É possível observar as transformações que acontecem durante
o processo forense.
 Figura 1: Etapas do processo de computação forense. Adaptado de: National Institute of Standards and Technology (NIST ).
Clique nos botões para ver as informações.
O investigador sempre trabalhará com a cópia, para que, caso os dados sejam dani�cados durante uma análise, ainda se
tenha o arquivo original para obter uma nova cópia de trabalho, ou para caso sejam necessários novos exames. Para que
o material original seja identi�cado e preservado integralmente é criada a cadeia de custódia. Podemos organizar a coleta
das evidências voláteis de acordo com a ordem do processo forense.
Conexões de rede, lista de sistemas de arquivos montados remotamente, estado da interface de rede, nome do
computador, endereço IP e MAC address (media access control) de cada uma das interfaces de rede;
Sessões de login, lista de usuários conectados e horário, endereço de rede dessa conexão. Isso pode auxiliar na
identi�cação dos usuários, das ações realizadas e do momento em que foram executadas, permitindo a
reconstrução dos fatos em uma ordem cronológica;
Conteúdo da memória, dados acessados recentemente, senhas e últimos comandos executados, processos em
execução, arquivos abertos, data e hora do sistema operacional, con�gurações de fuso horário.
Já para os dados não voláteis, é recomendada a realização de uma imagem do disco, uma cópia bit-a-bit dos dados,
incluindo espaços livres e não utilizados, o que permite realizar uma análise muito mais próxima ao cenário real.
Possibilita também a recuperação de arquivos excluídos, por exemplo (VECCHIA, 2019).
Durante a realização da coleta de todos os dados mencionados anteriormente é importante preocupar-se como a
integridade de determinados atributos de tempo, os MAC Times: mtime (modi�cation time), atime (access time) e ctime
(creation time), que estão relacionados aos arquivos e diretórios. O atributo de modi�cação é o registro de data e hora em
que ocorreu a últimaalteração no arquivo, o de acesso registra data e hora do último acesso e o atributo de criação
registra data e hora em que o arquivo foi criado, inclusive, se este for copiado de um local para outro no sistema, o registro
de criação assume a data e a hora do destino e as informações de modi�cação permanecem inalteradas (FARMER;
VENEMA, 2007).
Coleta dos dados 
Após toda a fase de coleta e restauração das cópias dos dados, o analista forense passa a examinar os objetos
produzidos na primeira fase. O objetivo deste exame é apenas encontrar, �ltrar e extrair informações que ajudem, em certa
medida, a reconstruir o incidente que levou à investigação.
Exame dos dados 
A etapa de análise é a parte mais minuciosa e demorada, que exige grande conhecimento por parte do perito, que pode
direcionar suas ferramentas para detecção de alvos em que sabe existir uma maior possibilidade de acertos. Ela pode
ocorrer paralelamente à etapa de exame, pois, conforme as evidências vão sendo obtidas, é necessário que o perito efetue
um correlacionamento entre elas.
É a correlação das evidências que permite responder a perguntas como: quando e como um fato ocorreu e quem foi
responsável por ele. A escolha das ferramentas utilizadas depende de cada caso.
Análise dos dados 
A apresentação é a etapa em que o resultado de todo o procedimento é exposto, evitando imprecisões que possam
invalidar o trabalho. Trata-se da geração de um relatório sobre as operações realizadas pelo perito, evidências encontradas
e o signi�cado de cada uma delas. Nesta fase, é necessário organizar os documentos necessários para a geração do
laudo pericial, sendo essenciais alguns procedimentos, tais como: juntar todos os documentos e notas gerados durante
as etapas de coleta, �scalização e análise, englobando os resultados obtidos; distinguir as peças que darão suporte ao
laudo pericial, apresentar os fatos, relacionar as conclusões obtidas, ordenar e classi�car as informações coletadas para
garantir que o relatório seja conciso e claro.
Uma perícia em um computador suspeito envolve uma série de conhecimentos técnicos e a utilização de ferramentas
adequadas para a análise, o que é justi�cado pela necessidade indiscutível de não alterar o sistema que está sendo
analisado.
As técnicas de investigação escolhidas pelo perito, durante uma investigação, dependem do tipo de crime que foi
cometido.
Apresentação dos resultados 
Cadeia de custódia
A cadeia de custódia é um registro detalhado das evidências que foram coletadas, o conjunto de procedimentos que visa
garantir a autenticidade dos materiais que serão submetidos a exames, desde a coleta até o �nal da perícia realizada. Este
processo de registro deve conter:
A identi�cação de todas as evidências coletadas;
As informações de quais pessoas tiveram acesso a elas (no momento do �agrante);
Onde elas estavam (�sicamente) no momento da coleta;
Registro de trânsito das evidências entre os peritos e mídias.
Estes cuidados preservam as responsabilidades conhecidas institucionalmente e garantem a qualidade nas fases dos
processos de investigação. Assim poderão ser evitados questionamentos no tribunal sobre a legitimidade das informações
coletadas na investigação.
Portanto, ao identi�car uma evidência digital, a parte física, o
“hardware”, do computador ou de qualquer equipamento digital é de
muita importância para descobrir provas e pistas.
Cadeia de custódia é um procedimento preponderante e de suma importância para a garantia e transparência na apuração
criminal quanto à prova material, sendo um relato �el de todas as ocorrências da evidência, vinculando os fatos e criando um
lastro de autenticidade jurídica entre o tipo criminal, autor e vítima (MACHADO, 2009, p. 18-23).
Segundo Saferstein (2004), cadeia de custódia é "uma lista de todas as pessoas que estiveram de posse de um item de
evidência". Para o autor, a cadeia de custódia é um documento que contém toda a identi�cação da evidência e também do
indivíduo que custodiou o item. Isso �ca evidenciado na Figura 2, que demonstra um formulário de cadeia de custódia.
 Figura 2: Exemplo de formulário de cadeia de custódia. Fonte: CARVALHO, 2020, p. 137.
No âmbito da investigação, o perito deve coletar as evidências a serem embaladas e levadas ao laboratório. Muitas das vezes,
o pro�ssional coleta evidências não necessárias para o desenvolvimento do caso, contudo não se pode deixar de lado qualquer
evidência importante.
Ausência da cadeia de custódia
Quando não há a existência de nenhuma cadeia de custódia, deixando as evidências sem documentação, identi�cação,
catalogação e/ou prova de manuseio, guarda análise, ou uso, é possível que a evidência tenha sua integridade e con�abilidade
questionadas perante o juiz, tornando passível de nulidade.
A cadeia de custódia deve seguir alguns padrões para a identi�cação e acompanhamento da evidência. A seguir abordaremos
um modelo comumente usado e aceito para manter a cadeia de custódia.
 Modelo de cadeia de custódia
 Clique no botão acima.
Identi�cação do equipamento
Número do caso: deve estar contido o número do caso;
Item: se coloca a numeração do item de acordo com o que foi catalogado;
Descrição: identi�cação do equipamento, se pendrive, HDD, DVD, cartão de memória, smartphone etc.;
Fabricante: quem fabricou o equipamento;
Modelo: modelo especí�co do equipamento;
Número de série: número de identi�cação do equipamento junto ao fabricante.
Detalhes sobre a imagem de dados
Data/hora: data e hora em que a imagem foi �nalizada;
Criado por: perito que fez a imagem forense do equipamento;
Método usado: método usado para copiar a imagem forense da mídia, podendo ser por meio de softwares como
Encase, FTK, dd, Caine etc.;
Nome da imagem: nomenclatura dada a imagem criada a partir do equipamento;
Partes: quantidade de partes em que a imagem foi dividida;
Drive: local de armazenamento da imagem forense (Ex.: HD externo, HDD, SDD, pendrive etc.);
Hash: identi�cação algorítmica da imagem. Para que haja uma melhor aceitação deve constar o hash MD5 e
SHA1 e/ou SHA256.
Cadeia de custódia
Destino: local que a evidência vai seguir;
Data/hora: data e hora em que a evidência sairá do local atual;
Origem: Local atual da evidência;
Destino: nome do local e da pessoa responsável pela guarda da evidência e sua cadeia de custódia;
Motivo: motivo pelo qual a evidência está mudando o seu local.
Comentário
Fica totalmente perceptível a importância do documento da cadeia de custódia, para que possa apresentar de forma cronológica
a rastreabilidade e integridade da mesma. Para que a mesma possa ser aceita sem questionamentos diante do processo. O
documento de cadeia de custódia se baseia no código de processo penal, e deve ser aceito em todos os casos quando não
houver a quebra da cadeia de custódia e a sua ausência é penosa, pois pode garantir a ilicitude da evidência.
Ferramentas e técnicas utilizadas na obtenção das evidências
De acordo com Eleutério e Machado (2010), é fundamental que os dados contidos nos dispositivos (mídias digitais e
dispositivos de armazenamento) e os dados voláteis (aqueles que constam na memória RAM ou trafegando em rede de
computadores), possíveis fontes de evidências digitais, permaneçam coletados e preservados corretamente, de maneira a
garantir que não sejam alterados. É nessa fase de preservação e coleta que será possível buscar elementos (dados, mídias de
armazenamento, entre outros) de maneira a consolidar uma base investigativa para as fases seguintes da perícia.
Clique nos botões para ver as informações.
De maneira geral, os exames forenses devem ser efetuados em cima de cópias idênticas, as quais são obtidas dos
materiais questionados originalmente apreendidos e posteriormente são submetidas a exames forenses. Dessa forma,
deverão ser aplicadas ferramentas e técnicas que efetuem uma cópia �dedigna dos dados e mantenham a integridade do
material apreendido.
Imagem e espelhamento são técnicas de duplicação/cópiautilizadas na fase de coleta. Essas técnicas, ao serem
realizadas por meio de softwares e equipamentos forenses, garantem uma cópia �el dos dados e consequentemente a
preservação correta do material que foi apreendido.
Técnicas de imagem e espelhamento 
Existem muitas ferramentas em hardware que ajudam na preservação dos dados no momento da realização da imagem
ou do espelhamento. Entre eles, os destaques são os duplicadores forenses e os bloqueadores de escrita. Atualmente, os
equipamentos AXIOM e o Forensic Bridge Tableau são os mais utilizados para bloqueio de escrita em discos e cartões de
memória.
As principais vantagens na utilização de duplicadores forenses são: maior rapidez na duplicação dos dados; suporte a
muitas interfaces de discos; não precisar de computador para efetuar a interface entre os discos questionados.
Ferramentas usadas para bloqueio de escrita e duplicação forense 
De acordo com Eleutério e Machado (2010), data carving, que na computação refere-se à recuperação de arquivos
apagados, é uma técnica realizada por meio da localização de assinaturas conhecidas (por exemplo, cabeçalhos que
contêm a identi�cação do tipo de arquivo).
Alguns softwares podem realizar a recuperação de arquivos apagados de forma automática. Um problema comum
durante a fase de extração é o surgimento de programas e arquivos que precisam de senhas para serem extraídos. Dessa
forma, segundo Eleutério e Machado (2010), as principais técnicas para solucionar esse problema são: Engenharia
reversa, engenharia social e ataques de força bruta.
A engenharia reversa de um software é um processo de desmontagem e análise cujo principal objetivo é construir e
analisar um modelo representativo em alto nível, para que assim o programa-alvo possa ser estruturado e entendido.
Quando consegue entender a estrutura e o funcionamento de um programa, é possível localizar a parte que faz o
processo de Login (autenticação), podendo alterar o software estaticamente ou dinamicamente, conseguindo assim ter
acesso à parte protegida do software, e consequentemente à informação deseja pela perícia.
Engenharia social é um método de ataque, no qual alguém faz uso da persuasão, diversas vezes abusando da
ingenuidade ou con�ança do usuário, com a �nalidade de obter informações que possam ser utilizadas no acesso não
autorizado a computadores ou informações. Segundo Eleutério e Machado (2010), em um ambiente no qual os arquivos
são protegidos por senha e os seus usuários são acessíveis à equipe de investigação, a técnica de engenharia social pode
ajudar neste processo de acesso às senhas, facilitando o trabalho pericial. Já o ataque de força bruta consiste em utilizar
um dicionário de senhas, testando cada senha de forma automática, a �m de localizar uma possível senha dentro do
dicionário utilizado.
Recuperação de arquivos (data carving) 
A indexação é uma técnica de organização/arrumação de dados. Essa técnica envolve a criação de estruturas de dados
associados aos documentos de uma determinada coleção, de forma que possam ser acessados posteriormente com
índices, gerando mais velocidade no acesso dessas informações.
Muitos softwares de computação forense trabalham com indexação de dados, dentre eles, destacam-se o FTK, o Encase
e o IPED.
Técnica de indexação de dados 
Ferramentas e técnicas utilizadas na etapa de análise
Após a identi�cação e avaliação das evidências encontradas no material questionado, é possível responder às perguntas feitas
pela autoridade solicitante.
Dessa forma, é importante que o a autoridade solicitante busque sempre detalhar o quê procura, descrevendo no máximo de
detalhes possível, ou seja, que mostre para a equipe pericial exatamente o que deve ser buscado, para, dessa forma, evitar
desperdício de trabalho dos peritos.
Análise de dados originados de dispositivos de armazenamento de dados
Um disco rígido, nos padrões atuais de tamanho, por menor que seja esse tamanho, em geral, contém milhões de arquivos,
todavia, analisar o conteúdo de todos esses arquivos pode consumir muito tempo, tornando o exame pericial inviável. Nesse
sentido, diversas ferramentas, técnicas e procedimentos podem ser usados para tornar a fase de análise mais e�ciente e viável.
Uma técnica muito e�ciente e muito utilizada na etapa de análise é a busca por palavras-chave, sendo essa técnica disponível
em muitos softwares de análise de arquivos. As ferramentas que são destaque na etapa de análise são os softwares Encase,
Forensic Toolkit (FTK) e IPED, pois, além de serem úteis em todas as etapas do processo forense computacional, eles ainda
têm diversas funcionalidades que são fundamentais para a etapa de analise, como: buscas por palavra-chave, navegação
adequada pelos arquivos e pastas da base de dados, o KFF, entre outras.
Perito criminal
Perito criminal ou perito o�cial, como também é conhecido, é o pro�ssional de diploma superior, devidamente habilitado na
área de formação, e que ingressou na carreira de perito de natureza criminal (institutos de criminalísticas ou institutos de
medicina legal), por meio de concurso público (BRASIL, 2009).
A Lei n. 12.030, de 17 de setembro de 2009, de�ne sobre perícias o�ciais e das outras providências, e deixa clara a de�nição de
perito o�cial, e como se dá o ingresso na carreira de pericial o�cial, Art. 1o: Essa lei estabelece normas gerais para as perícias
o�ciais de natureza criminal. Art. 2º: No exercício da atividade de perícia o�cial de natureza criminal, é assegurado autonomia
técnica, cientí�ca e funcional, exigido concurso público, com formação acadêmica especí�ca, para o provimento do cargo de
perito o�cial (BRASIL, 2009).
Podem ocorrer casos em que exista falta de perito o�cial para trabalhar em determinadas perícias. Neles, o juiz nomeará dois
peritos que prestarão o compromisso de bem e �elmente desempenhar o encargo (BRASIL, 2009).
Perito nomeado
O perito nomeado também necessita de formação acadêmica superior, porém não é um servidor público. Geralmente o perito
nomeado atua na esfera cível, pois a lei determina que primeiramente a perícia deve ser atribuída ao perito o�cial, e na falta
deste o juiz nomeará um perito para suprir essa falta (BRASIL, 2009). Referente à nomeação do perito na esfera cível, o código
de processo civil (CPC) prevê:
Art. 156. O juiz será assistido por perito quando a prova do
fato depender de conhecimento técnico ou cientí�co.
§ 1º Os peritos serão nomeados entre os pro�ssionais
legalmente habilitados e os órgãos técnicos ou cientí�cos
devidamente inscritos em cadastro mantido pelo tribunal ao
qual o juiz está vinculado.
[...]
§5º Na localidade onde não houver inscrito no cadastro
disponibilizado pelo tribunal, a nomeação do perito é de livre
escolha pelo juiz e deverá recair sobre pro�ssional ou órgão
técnico ou cientí�co comprovadamente detentor do
conhecimento necessário à realização da perícia.
- BRASIL, 2015
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. Sua palavra-chave é evitar ataques à integridade. Consiste na tarefa de não alterar a cena do crime, evitando-se assim que o
ambiente se contamine de forma a impossibilitar um laudo pericial com excelência. Estamos falando de qual etapa dos vestígios
cibernéticos:
a) Preservação.
b) Registro.
c) Identificação.
d) Coleta.
e) Isolamento.
2. As evidências, normalmente, são dados lógicos e virtuais, cabendo ao perito identi�car de forma correta e aplicável ao meio em
que se encontra como preservar e armazenar essas provas. Diante do exposto, qual dos procedimentos a seguir não é uma fase
da perícia forense:
a) Análise.
b) Apresentação.
c) Laudo técnico pericial.
d) Identificação.
e) Preservação.
3. De acordo com as etapas da investigação forense, qual das características a seguir diz respeito ao processo de análise:
a) Identificar – Extrair – Filtrar – Documentar.
b) Identificar – Correlacionar – Reconstruir – Documentar.
c) Redigir laudo – Anexar evidências – Comprovar integridade decadeia de custódia.
d) Isolar a área – Coletar evidências – Identificar equipamentos – Etiquetar evidências.
e) Documentação – Isolamento – Filtro – Comprovação de integridade.
Notas
Análise de DNA1
A precisão da análise de DNA é bem compreendida por especialistas, e os resultados têm transformado consideravelmente os
processos judiciais. A assinatura encontrada no DNA foi fundamental na condenação de criminosos e na compensação de
pessoas que foram condenadas injustamente. A evidência no DNA se condensa em um único número (alelo) com um número
muito pequeno e bem de�nido, diminuindo a probabilidade de erro.Referências
ABNT. NBR 27037: Diretrizes para identi�cação, coleta, aquisição e preservação de evidência digital. Rio de Janeiro, 2011.
BRASIL. Lei n. 12.030, de 17 de setembro de 2009. Dispõe sobre as perícias o�ciais e dá outras providências. Diário O�cial [da]
República do Brasil, Brasília, DF, 18 set. 2009. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2007-
2010/2009/lei/l12030.htm. Acesso em: 20 de novembro de 2020.
BRASIL. Lei n. 13.105, de 16 de março de 2015. Código de Processo Civil. Diário O�cial [da] República do Brasil, Brasília, DF, 16
mar. 2015. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm. Acesso em: 23 de
novembro de 2020.
CARVALHO, R. W. R. A Importância da Cadeia de Custódia na Computação Forense. Revista Brasileira de Criminalística, v. 9, n.
2, p. 134-138, 2020.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo – SP:
Novatec Editora, 2010.
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional. Tradução: Edson Furmankiewicz e Carlos Schafranski. São
Paulo: Pearson Prentice Hall, 2007.
FREITAS, Andrey Rodrigues. Perícia Forense Aplicada à Informática: Ambiente Microsoft. Rio de Janeiro - RJ: Ed. Brasport,
2007.
javascript:void(0);
javascript:void(0);
GUIMARÃES, Célio Cardoso; OLIVEIRA, Flávio de Souza; REIS, Marcelo Abdalla; GEUS Paulo Lício de. Forense Computacional:
Aspectos legais e padronização. Campinas – SP. Instituto de Computação – UNICAMP, 2008.
LOPES, M; GABRIEL, M. M.; BARETA, G. M. S. Cadeia de Custódia: Uma abordagem preliminar. Paraná: UFPR, 2008. 
MACHADO, Margarida Helena Serejo. A Regulamentação da Cadeia de Custódia na Ação Penal: Uma necessidade premente.
Corpo Delito, n.1, p. 18-23, Brasília, 2009.
TANENBAUM, Andrew. S. Sistemas Operacionais Modernos. 3ª ed., São Paulo: Prentice-hall, 2010.
SAFERSTEIN, Richard. Criminalistics: Introduction to forensic science. 8. ed. Upper Saddle River: Prentice Hall, 2004.
VECCHIA, Evandro Dalla. Perícia Digital - Da Investigação À Análise Forense - 2ª Ed. 2019. Campinas – SP. Millenium Editora,
2019.
VELHO, Jesus Antonio. Tratado de Computação Forense. Campinas – SP: Millenium Editora, 2016.
Próxima aula
Técnicas anti forense.
Explore mais
Aprofunde e explore em quanto tempo o processo compreendido entre a identi�cação e coleta deve ocorrer? E, se for
necessária uma coleta de dados, existe alguma exigência quanto ao tipo de sistema de arquivos da mídia de armazenamento
que servirá de suporte para tais dados? Um bom ponto de partida são os procedimentos operacionais padrão disponíveis em:
https://www.justica.gov.br/.
javascript:void(0);