Livro - Forense computacional - Etapas da perícia digital

Prévia do material em texto

FORENSE 
COMPUTACIONAL
OBJETIVOS DE APRENDIZAGEM
 > Explicar a identificação e a coleta de provas em perícia digital.
 > Definir o exame e a análise de provas em perícia digital.
 > Descrever as etapas do laudo pericial.
Introdução
Você já recebeu algum e-mail ou mensagem de texto afirmando que havia 
ganhado um prêmio de algum banco no qual nem tem conta? Esse é um exemplo 
de crime praticado no meio digital, um golpe aplicado por quadrilhas para 
acessar dados pessoais e bancários de indivíduos, com a finalidade de fazer 
identidades falsas, entre outros delitos.
Nos equipamentos de informática, como computador e smartphone, usa-
dos para praticar crimes e que tenham sido objeto de busca e apreensão, 
profissionais da perícia computacional devem fazer análises técnicas e alguns 
trabalhos importantes. Isso serve para que os elementos coletados tenham 
valor probatório no processo judicial ou de investigação.
Neste capítulo, você vai estudar como ocorre a identificação e a coleta 
dos elementos probatórios da perícia digital. Também vai conferir como essas 
provas são analisadas para que profissionais cheguem às conclusões técnicas. 
Por fim, você vai ler sobre como, a partir dessas conclusões, é elaborado o 
laudo que será apresentado às autoridades interessadas, como juízes, Ministério 
Público e autoridades policiais.
Etapas da 
perícia digital
Guaracy do Nascimento Moraes
Coleta e identificação dos elementos 
da perícia digital
Na área da informática, as análises técnicas são feitas pela perícia forense 
computacional. Profissionais utilizam metodologias e técnicas cientificamente 
comprovadas para encontrar dados e informações que estejam dentro de 
algum dispositivo eletrônico, sejam eles recentes ou não, deletados, com-
pactados ou avariados. Meios específicos são usados para analisar diferentes 
equipamentos computacionais e fazer com que as evidências encontradas 
tenham valores probatórios.
A perícia forense pode ser definida como o conjunto de “[…] atos traduzidos 
por relatório, laudo, documento ou outra forma de expressão, emitido por 
profissional (perito) que detém conhecimento específico acerca da área em 
questão” (TEIXEIRA, 2020, p. 268). Por sua vez, a perícia computacional lida 
com evidências digitais retiradas de locais em que foi constatada a prática 
de um crime. Essas evidências são afuniladas até que seja possível chegar a 
uma conclusão técnica em relação ao agente, à dinâmica e à materialidade da 
infração penal cometida. Portanto, a pessoa responsável pela perícia reúne 
todas as evidências encontradas no local do crime, faz um juízo de valor 
técnico sobre elas e as apresenta ao juiz competente ou à autoridade policial.
Os equipamentos computacionais podem ser utilizados como fer-
ramentas de apoio para a prática de crimes convencionais ou como 
meios para a realização do crime. Na primeira modalidade de crime, o computador 
é apenas uma ferramenta operacional. Caso ele não estivesse presente, o crime 
poderia se materializar mesmo assim. Nessas situações, exames forenses são 
realizados nos equipamentos para produzir provas técnicas que serão funda-
mentais para o juiz. Exemplos de crimes nessa modalidade são a sonegação de 
impostos e a falsificação de documentos. Já na segunda modalidade de crime, 
o computador é considerado uma peça-chave para a prática do delito. Sem ele, 
o crime não se materializaria. Existem infrações penais específicas que dependem 
da utilização do meio digital, como publicação, venda e compartilhamento de 
pornografia infantil. Outro exemplo ocorre quando um programa de computador 
é instalado com a finalidade de roubar dados bancários de correntistas.
Etapas da perícia digital2
O trabalho dos peritos envolve diversas tarefas e etapas que precisam 
seguir uma ordem e usar mecanismos específicos para que os elementos 
coletados não se tornem inviáveis ou sejam destruídos pela falta de cuidado 
e de organização. Essas etapas são as seguintes, de acordo com Teixeira 
(2020): obtenção e coleta de dados; identificação de indícios; preservação 
das provas; e análise pericial.
Antes da coleta propriamente dita, é primordial que os elementos pro-
batórios sejam obtidos de maneira lícita sob a emissão de um mandado de 
busca e apreensão. Além disso, os procedimentos para a coleta de informa-
ções devem ser formais, seguindo uma metodologia predeterminada sobre 
como adquirir provas para serem apresentadas em juízo. As provas obtidas 
em casos de crimes computacionais podem ser: provas digitais, que são 
dados importantes para o processo judicial ou de investigação armazenados 
digitalmente; dados-objetos, que são objetos associados a itens físicos; 
e itens físicos, que são mídias físicas que armazenam os dados digitais ou por 
onde são transmitidos (exemplos: HD, pen drive, celular, etc.) (TEIXEIRA, 2020).
As informações nos dispositivos de informática (mídias digitais, dispositivos 
de armazenamento, etc.) e os dados voláteis (que ficam na memória RAM ou em 
rede de computadores) devem ser coletados e preservados adequadamente, 
a fim de que não sejam adulterados. Além disso, deve-se trabalhar com a cópia 
do arquivo digital coletado, pois, caso haja algum problema com os dados 
dessa cópia, como perda ou danificação, ainda haverá o arquivo original. 
Segundo Sousa (2017, p. 102), na fase de preservação e coleta “[...] que será 
possível buscar elementos (dados, mídias de armazenamento, entre outros) 
de maneira a consolidar uma base investigativa para as fases seguintes da 
perícia”. Para dados voláteis, o armazenamento é feito principalmente em 
rede de computadores, cujos dados trafegam livremente pela entrada e saída 
de dados de um computador ou de um ponto de rede.
De acordo com Galvão (2013), para capturar e analisar dados que constam no 
tráfego de redes é utilizado software de Network Forensic Analysis Tools (NFAT). 
Nessa categoria de software, há também o programa TCPDUMP que tem 
uma interface mais agradável, além de uma infraestrutura mais flexível para 
capturar dados em redes de computadores. Outro exemplo desse tipo de 
software é o Wireshark, que tem um maior alcance para captura de pacotes 
de dados em redes de computadores.
Etapas da perícia digital 3
Após a coleta dos dados, é importante que o perito computacional iden-
tifique os possíveis indícios resultantes desses dados, porque “[…] cada tipo 
de ato ou crime de informática possibilita um tipo de evidência” (TEIXEIRA, 
2020, p. 270). Os indícios encontrados em um arquivo de mídia podem criar 
uma evidência que indique a prática de um crime ou auxilie na identificação 
do criminoso. Portanto, a identificação de indícios é muito importante para 
obter evidências concretas à investigação em curso. Por exemplo, pense no 
caso de uma quadrilha que atua na comercialização de conteúdos pornográ-
ficos de crianças e adolescentes. É feita uma busca e apreensão no possível 
local do crime e, entre os elementos digitais encontrados, está um pen drive. 
Ao coletar os dados armazenados na mídia digital, o perito encontrou fotos 
obscenas envolvendo crianças e adolescentes, que se tornaram evidências 
importantes que comprovam a materialidade e a prática do crime. Além disso, 
podem auxiliar na procura pelos responsáveis.
É primordial que o perito saiba diferenciar os fatos dos fatores que 
possam causar influências no caso. Para isso, deve ser feito o le-
vantamento de dados relevantes para buscar fatores que têm alguma relação, 
direta ou indireta, com a prática do crime computacional, como datas, nomes 
de pessoas, horários, empresas, órgãos públicos e instituições (TEIXEIRA, 2020).
Preservação e análise técnica dos 
elementos da perícia digital
De acordo com Teixeira (2020), a fase de preservação das provas começa no 
local do crime com as provas encontradas nele. É importante que os primeiros 
a chegar ao local tomem certas precauções para garantir a integridade dos 
indícios digitais, como não modificar o espaço físico, não desligar ou ligarequipamentos de informática, etc. 
O criminoso pode ter instalado algum software que programe a destruição 
das provas nos equipamentos caso eles sejam desligados, ligados ou manu-
seados incorretamente. Por isso, somente o perito computacional, que tem 
conhecimentos específicos para manusear corretamente esses dispositivos, 
deve manusear os equipamentos de informática encontrados no possível do 
local do crime. É necessário garantir a proteção desses equipamentos para 
que não haja avarias no momento da coleta. Além disso, os arquivos originais 
Etapas da perícia digital4
precisam ser preservados como foram encontrados. Como vimos antes, 
o perito deve fazer suas análises técnicas numa cópia, para não haver risco 
de adulteração ou comprometimento da evidência original. Segundo Teixeira 
(2020, p. 271), “[…] deve se clonar bit a bit, inclusive nas partes não utilizadas, 
pois elas podem conter dados valiosos que foram apagados, mas passíveis 
de recuperação”.
É necessário criar uma cadeia de custódia identificando todas as provas, 
que devem ser “[…] etiquetadas, documentadas e marcadas com as iniciais 
do perito, a hora e a data, o número do processo e dados de identificação” 
(TEIXEIRA, 2020, p. 271). As evidências digitais encontradas são embaladas 
em sacos apropriados para o transporte o mais rápido possível. Durante o 
trajeto, não podem passar por locais com campos magnéticos ou ser expostas 
a altas temperaturas e luminosidade. O Quadro 2 apresenta um exemplo de 
formulário de cadeia de custódia.
Quadro 2. Exemplo de formulário de cadeia de custódia
NÚMERO DO CASO: 20090226
DETALHES DA MÍDIA OU EQUIPAMENTO
 
ITEM DESCRIÇÃO
1 HD DO NOTEBOOK COM 2GB DE CAPACIDADE
 
FABRICANTE MODELO NÚMERO DE SÉRIE
SAMSUNG SGM2GB ABC123456
 
SOBRE A IMAGEM DOS DADOS
DATA HORA CRIADO POR FERRAMENTA USADA
26/02/2009 10:53 SILVIO DO MONTE EnCASE VERSION 3
 
TIPO DE CÓPIA HASH
DISCO COMPLETO 4e3d2d5e5427953d7eda6ddc667bf6b
 
(Continua)
Etapas da perícia digital 5
CADEIA DE CUSTÓDIA
CÓDIGO ORIGEM DATA HORA DESTINO DATA HORA
1 LOCAL DE 
APREENSÃO
26/02/2009 17:00 PERÍCIA 26/02/2009 17:30
Fonte: Adaptado de Tolentino, Silva e Mello (2011).
Depois da correta preservação dos elementos coletados no local do crime, 
o perito realiza a análise técnica das evidências, considerada a etapa mais 
importante da perícia por muitos doutrinadores. Queiroz e Vargas (2010) 
explicam que a análise de dados atua no exame das evidências coletadas 
para que, ao final do procedimento pericial, seja possível chegar a uma 
conclusão científica sobre o crime que deu origem à investigação. De acordo 
com Teixeira (2020), quando o perito computacional realiza uma análise 
forense num dispositivo de informática, principalmente quando este serve 
para armazenamento e transmissão de e-mails ou arquivos, ele precisa ter 
cautela para não invadir a privacidade dos usuários do sistema. O ideal é 
definir um escopo, restringindo a área de análise ao máximo possível, a fim 
de evitar a violação de privacidade de terceiros inocentes.
Eleutério et al. (2019) afirmam que o perito computacional deve fazer 
uma separação detalhada dos tipos de arquivos que serão analisados e usar 
palavras-chaves para identificar cada um desses elementos, para que fique 
fácil a sua identificação. Tal atitude permite que o trabalho do perito seja mais 
fácil e ágil, pois não perderá tempo organizando as evidências encontradas.
A análise forense pode ser dividida em duas fases: análise física e análise 
lógica. A primeira trata-se da pesquisa de sequências e extração de dados de 
toda a imagem pericial, dos arquivos normais às partes inacessíveis da mídia. 
A segunda consiste na análise dos arquivos das partições, em que o sistema é 
investigado de forma a percorrer os diretórios do objeto periciado. Além disso, 
alguns detalhes devem ser observados no decorrer das análises física e lógica 
dos equipamentos computacionais objetos de perícia, como a utilização de 
softwares, que também ajudam a conferir a veracidade dos acontecimentos. 
É a pessoa responsável pela perícia digital que define qual tipo cabe melhor 
a esse fim, como “[…] ferramentas para recuperação de dados, análise de 
memória, análise de dados de uma rede, entre muitas outras ferramentas 
digitais” (TEIXEIRA, 2020, p. 271). É possível, também, fazer a análise da memória 
on-line, com o equipamento ligado e executando processos, possibilitando a 
obtenção de materiais importantes para comprovar o delito.
(Continuação)
Etapas da perícia digital6
O disco rígido, principal dispositivo de armazenamento dos computadores, é proje-
tado para evitar perdas e danos acidentais aos dados. Porém, os antiforenses são 
métodos de remoção, ocultação, eliminação e subversão de evidências com o obje-
tivo de mitigar e impedir os resultados de análises forenses (TEIXEIRA, 2020, p. 271).
Um dos principais problemas da análise forense é que, muitas vezes, 
as ferramentas utilizadas não são habilitadas para recuperar todas as infor-
mações necessárias, nem para analisar todos os dados contidos no equipa-
mento encontrado. Contudo, tudo o que for encontrado deve ser analisado 
da melhor maneira possível, mesmo que isso demore muito tempo (o que 
normalmente ocorre), pois esses elementos podem trazer provas valiosas 
para a investigação ou para o processo judicial.
Laudo pericial
O laudo pericial é o documento elaborado pelo perito forense em que constam 
todos os relatos de um exame técnico realizado sobre determinado assunto. O 
laudo serve como prova técnica, que será utilizada pelos principais interessa-
dos, como autoridade policial, membro do Ministério Público, juiz, advogado, 
etc. (TEIXEIRA, 2020). É a última etapa do trabalho do perito forense. Elabora-
-se um relatório final contendo a descrição das análises técnicas feitas no 
objeto examinado. O laudo não tem um modelo padrão a ser confeccionado, 
mas certas orientações precisam ser seguidas para que ele seja feito com 
clareza e objetividade.
O laudo pericial é composto dos resultados encontrados pelo perito após 
minuciosas investigações em laboratório, detalhando tudo o que foi coletado e 
analisado, assim como o meio utilizado para a investigação e como foi provada 
a veracidade dos objetos recolhidos, terminando com as conclusões do perito 
(TOLENTINO; SILVA; MELLO, 2011). Essa é a fase de formalização do estudo, com 
base nas análises feitas nos objetos coletados no local do crime, e apresenta 
o resultado obtido com as evidências digitais encontradas. Esse laudo deve 
ser imparcial. O perito apenas apresenta os relatos do que foi encontrado 
nos objetos analisados, sem qualquer tipo de opinião ou julgamento. Quem 
julga é o juiz responsável, que se fundamentará nas evidências apresentadas 
pela perícia digital.
Segundo o parágrafo único do art. 160 do Código de Processo Penal, “[…] o 
laudo pericial será elaborado no prazo máximo de 10 dias, podendo este 
prazo ser prorrogado, em casos excepcionais, a requerimento dos peritos” 
(BRASIL, 2017). Nos casos de perícia técnica feita em processo civil, o prazo 
Etapas da perícia digital 7
para apresentação do laudo pericial será estipulado pelo juiz. Não há um prazo 
mínimo para tanto, desde que ele seja entregue 20 dias antes da audiência 
de instrução e julgamento, conforme determina o art. 477, caput, do Código 
de Processo Civil (BRASIL, 2017).
O laudo pericial deve ter uma linguagem de fácil entendimento, seja para 
o juiz, seja para todas as partes envolvidas no processo judicial. O art. 473, 
§ 1º, do Código de Processo Civil determina que, “no laudo, o perito deve 
apresentar sua fundamentação em linguagem simples e com coerência lógica, 
indicando como alcançou suas conclusões” (BRASIL, 2015). Sendo assim, 
é muito importante que o perito utilize linguagem correta e simples, evitando 
uso de expressões técnicas não conhecidas pelo público em geral. 
O laudo pericial, portanto, representa a materialização física de todas 
as análises feitas pelo peritocomputacional em todos os dispositivos de 
informática coletados no local do crime. Por isso, esses dispositivos precisam 
ser devidamente preservados, garantindo a integridade dessas evidências, 
que serão entregues para a autoridade judiciária responsável.
A preservação dos elementos coletados e as técnicas apropria-
das para analisá-los são muito importantes para a perícia digital, 
a fim de garantir a integridade das evidências. Caso aconteça algum equívoco 
ou imprudência na análise ou na preservação dos elementos, essas situações 
precisam ser relatadas no laudo pericial. Assim, a autoridade competente vai 
verificar se, mesmo com o risco de a prova ter perdido a sua integridade, ela 
mantém seu valor probatório. Por exemplo, o assistente da perícia não teve 
cuidado ao manusear o notebook que levava ao local do crime, deixando-o cair 
no chão. O aparelho continuou funcionando, e o perito técnico conseguiu fazer 
as análises necessárias. No entanto, é importante constar no laudo que esse 
aparelho sofreu um pequeno acidente pela imprudência da equipe pericial, mas 
que, mesmo assim, foi possível finalizar os exames técnicos.
Neste capítulo, você estudou as etapas da perícia digital e a sua importância 
para o processo judicial e de investigação. Conheceu como ocorre a coleta 
dos objetos de informática encontrados no local do crime e a relevância da 
preservação desses dispositivos antes do manuseio do perito. Além disso, 
Etapas da perícia digital8
ficou evidente que a correta preservação dos equipamentos computacionais 
é fundamental para que eles não sofram avarias no transporte, manuseio 
e/ou estoque. Foi possível constatar, também, a importância da análise téc-
nica realizada pelo perito computacional. Ela possibilita extrair o máximo de 
evidências possíveis dos elementos encontrados pelas autoridades policiais 
e, assim, o profissional pode confeccionar o laudo pericial, que narra todos 
os resultados obtidos dos exames técnicos.
Referências 
BRASIL. Código de Processo Penal. Brasília, DF: Senado Federal, 2017. Disponível em: 
https://www2.senado.leg.br/bdsf/bitstream/handle/id/529749/codigo_de_processo_
penal_1ed.pdf. Acesso em: 5 ago. 2021. 
BRASIL. Lei n. 13.105, de 16 de março de 2015. Diário Oficial da União, Brasília, DF, ano 152, 
n. 51, seção 1, p. 1-51, 17 mar. 2015. Disponível em: https://pesquisa.in.gov.br/imprensa/
jsp/visualiza/index.jsp?jornal=1&pagina=1&data=17/03/2015. Acesso em: 29 abr. 2021.
GALVÃO, R. K. M. Introdução à análise forense em redes de computadores. São Paulo: 
Novatec, 2013.
QUEIROZ, C.; VARGAS, R. Investigação e perícia forense computacional. Rio de Janeiro: 
Brasport, 2010.
TEIXEIRA, T. Direito digital e processo eletrônico. 5. ed. São Paulo: Saraiva Educação, 2020.
TOLENTINO, L.; SILVA, W.; MELLO, P. Perícia forense computacional. Tecnologias em 
Projeção, v. 2, n. 2, p. 32-37, dez. 2011. Disponível em: http://revista.faculdadeprojecao.
edu.br/index.php/Projecao4/article/view/168/149. Acesso em: 5 ago. 2021.
Leituras recomendadas
BEGOSSO, R. H. Computação forense. 2010. 41 f. Monografia (Bacharelado em Ciência 
da Computação) – Fundação Educacional do Município de Assis, 2010. Disponível em: 
https://cepein.femanet.com.br/BDigital/arqTccs/0711270016.pdf. Acesso em: 5 ago. 2021.
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. 2. ed. São 
Paulo: Novatec, 2019.
GONÇALVES, M. et al. Perícia forense computacional: metodologias, técnicas e ferra-
mentas. Revista Científica Eletrônica de Ciências Sociais Aplicadas da Eduvale, v. 5, 
n. 7, p. 1-17, nov. 2012. Disponível em: http://eduvalesl.revista.inf.br/imagens_arquivos/
arquivos_destaque/LXkEA5FVHGZF1FB_2015-12-19-2-33-33.pdf. Acesso em: 5 ago. 2021.
PEREIRA, E. F. de O. et al. Revisão sistemática da literatura na computação forense: 
um estudo de caso aplicado na recuperação de dados em mídias digitais. In: INTER-
NATIONAL CONFERENCE ON INFORMATION SYSTEMS AND TECHNOLOGY MANAGEMENT, 
16., 2019, São Paulo. Anais […]. São Paulo: Brazilian Chapter of the Association for 
Information Systems, 2019. Disponível em: http://www.contecsi.tecsi.org/index.php/
contecsi/16CONTECSI/paper/view/6138/3539. Acesso em: 5 ago. 2021.
Etapas da perícia digital 9
REIS, M. A. Forense computacional e sua aplicação na segurança imunológica. 2003. 
251 f. Dissertação (Mestrado em Ciência da Computação) – Universidade Estadual 
de Campinas, Campinas, 2003. Disponível em: http://repositorio.unicamp.br/jspui/
bitstream/REPOSIP/276322/1/Reis_MarceloAbdallados_M.pdf. Acesso em: 5 ago. 2021.
SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de Ciências 
e Saúde, v. 2, n. 1, p. 99-111, 2016. Disponível em: https://www2.ls.edu.br/actacs/index.
php/ACTA/article/view/138/128. Acesso em: 5 ago. 2021.
Os links para sites da web fornecidos neste capítulo foram todos 
testados, e seu funcionamento foi comprovado no momento da 
publicação do material. No entanto, a rede é extremamente dinâmica; suas 
páginas estão constantemente mudando de local e conteúdo. Assim, os edito-
res declaram não ter qualquer responsabilidade sobre qualidade, precisão ou 
integralidade das informações referidas em tais links.
Etapas da perícia digital10