Conceitos de Forense Computacional

Prévia do material em texto

1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 
SUMÁRIO 
1 INTRODUÇÃO ................................................................................................ 4 
2 CONCEITOS DE FORENSE COMPUTACIONAL .......................................... 5 
2.1 Isolamento, coleta e preservação ................................................................... 5 
2.2 Coleta ............................................................................................................. 7 
2.3 Exame ............................................................................................................. 8 
2.4 Análise ............................................................................................................ 9 
2.5 Resultado ...................................................................................................... 10 
2.6 Exames e documentos processuais ............................................................. 10 
2.7 Computador .................................................................................................. 12 
2.8 Sites .............................................................................................................. 12 
2.9 Mensagens eletrônicas (e-mails) .................................................................. 13 
2.10 Aparelhos móveis (celulares) ........................................................................ 13 
2.11 Redes de computadores ............................................................................... 14 
2.12 Internet das Coisas (IoT) .............................................................................. 14 
2.13 Banco de dados ............................................................................................ 15 
2.14 Algumas considerações ................................................................................ 15 
3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS...................... 18 
3.1 Aspectos jurídicos em Computação Forense ............................................... 21 
3.2 Lab de Computação Forense: Preservação e análise da prova digital ......... 24 
 
 
3 
3.3 Duplicação de dados de forma forense ........................................................ 24 
3.4 Processamento e análise dos dados ............................................................ 26 
3.5 The Sleuth Kit e Autopsy .............................................................................. 26 
3.6 Princípios da recuperação de evidências digitais ......................................... 29 
3.7 Técnicas de recuperação de arquivos apagados.......................................... 29 
3.8 Perícias em dados voláteis ........................................................................... 32 
3.9 Técnicas antiforenses e anti-antiforenses ..................................................... 34 
3.10 Wipe ou sanitarização de dados ................................................................... 34 
3.11 Criptografia e quebra de senhas ................................................................... 35 
3.12 Ataques a dados criptografados ................................................................... 36 
3.13 Esteganografia e esteganálise ...................................................................... 39 
4 REFERÊNCIAS BIBLIOGRÁFICAS .............................................................. 40 
 
 
 
 
 
 
 
 
 
4 
1 INTRODUÇÃO 
Prezado aluno! 
O Grupo Educacional FAVENI, esclarece que o material virtual é semelhante ao 
da sala de aula presencial. Em uma sala de aula, é raro – quase improvável - um aluno 
se levantar, interromper a exposição, dirigir-se ao professor e fazer uma pergunta, para 
que seja esclarecida uma dúvida sobre o tema tratado. O comum é que esse aluno faça 
a pergunta em voz alta para todos ouvirem e todos ouvirão a resposta. No espaço virtual, 
é a mesma coisa. Não hesite em perguntar, as perguntas poderão ser direcionadas ao 
protocolo de atendimento que serão respondidas em tempo hábil. 
Os cursos à distância exigem do aluno tempo e organização. No caso da nossa 
disciplina é preciso ter um horário destinado à leitura do texto base e à execução das 
avaliações propostas. A vantagem é que poderá reservar o dia da semana e a hora que 
lhe convier para isso. 
 A organização é o quesito indispensável, porque há uma sequência a ser 
seguida e prazos definidos para as atividades. 
 
Bons estudos! 
 
 
 
 
 
 
 
5 
2 CONCEITOS DE FORENSE COMPUTACIONAL 
2.1 Isolamento, coleta e preservação 
Com a evolução da internet, as pessoas ao redor do mundo passaram a usar a 
maior rede de computadores mundial não apenas para se comunicar, mas também para 
realizar tarefas do seu dia a dia. Atualmente, as pessoas fazem compras on-line em 
supermercados, farmácias e grandes redes varejistas, além de realizar diversas 
transações financeiras pela internet, relativas a serviços públicos e privados. Tudo isso 
acontece por meio de computadores pessoais, corporativos, celulares e tablets. Assim, 
embora tenha muitos pontos positivos, esse novo comportamento abre uma grande 
janela para o crime digital, tornando as pessoas mais vulneráveis. (KOZCIAK, 2020) 
Os vestígios de um crime são a chave que permite aos peritos criminais buscar 
informações que se tornem evidências e, posteriormente, provas judiciais. Nos casos de 
crimes digitais, o analista ou perito forense é o profissional responsável pela preservação, 
pelo levantamento de dados e pela análise de evidências, por meio do uso de técnicas e 
ferramentas. Apesar da vasta quantidade de crimes realizados no ambiente digital, não 
existem no mercado muitos profissionais especializados para atuar na área forense. Isso 
ocorre principalmente devido à qualificação exigida para a realização dessa atividade e 
à necessidade de o profissional forense ter dispositivos similares aos utilizados pelos 
criminosos digitais. (KOZCIAK, 2020) 
Segundo Eleutério e Machado (2011), diversos profissionais podem estar 
envolvidos em um procedimento forense computacional: “peritos particulares, auditores 
de sistemas, profissionais de TI e outros. Além disto, juízes, advogados, delegados, 
promotores e demais profissionais da área de Direito”. O analista ou perito forense deve 
conhecer profundamente as leis e ter conhecimentos técnicos relativos a sistemas 
operacionais, redes, programação e técnicas de coleta e análise de dados. 
Apesar de o crime digital ocorrer em um ambiente virtual, ele é um crime como 
outro qualquer. Em todos os tipos de crime, parte-se da seguinte premissa: havendo 
 
 
6 
vestígios a serem analisados, o exame pericial é obrigatório. É o que consta no Código 
Penal Brasileiro, art. 158: “Quando a infração deixar vestígios, será indispensável o 
exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do 
acusado”. (BRASIL, 1940). 
Além dos conhecimentos técnicos, é de suma importância que o profissional 
forense tenha uma excelente postura comportamental, realizando análises isentas e 
imparciais. Como afirma Tomás (2009), o perito não deve ter antecedentes que possam 
levantar suspeitas a respeito do seu caráter e da sua ética profissional. 
Na investigação de crimes computacionais, há a necessidade intrínseca de busca 
e apreensão dos equipamentos. Para isso, é fundamental a prévia emissão de mandados 
de busca e apreensão pelos órgãos públicos competentes. Com o mandado em mãos, o 
perito faz a identificação do local, conduz a ele, seleciona os equipamentos e os 
apreende. (KOZCIAK, 2020) 
 Durante todo o procedimento de investigação forense, o manuseio das 
informações deve ser realizado dentro de padrões, garantindo que os vestígios criminais 
sejam preservados para a correta análise (KOZCIAK, 2020). Para que o processo 
investigativo se inicie, é necessário: 
 Possuir mídias esterilizadas ou uma nova mídia instalada, evitando possíveiscontaminações; 
 Utilizar ferramentas/softwares para análise forense devidamente licenciadas; 
 Garantir que nenhuma fonte de dados seja alterada até a chegada do perito (caso 
haja alterações no ambiente, isso deve ser reportado no laudo); 
 Fazer toda a análise por meio de imagem ou de disco duplicado, ou seja, o material 
original jamais deve ser manipulado (deve permanecer intacto); 
 Caso o equipamento esteja ligado, mantê-lo ligado para evitar possíveis perdas de 
dados; 
 Apresentar o resultado do exame pericial de forma clara, elucidativa e em uma 
linguagem acessível; 
 
 
7 
 Providenciar fotos e filmes do local onde ocorreu o crime, assim como cópias dos 
sites, para garantir a coleta de mais detalhes. 
Conforme Sousa (2016) apud Kozciak (2020), as boas práticas em 
procedimentos periciais recomendam as fases listadas a seguir. 
2.2 Coleta 
O ambiente que receberá os dados coletados deve ser adequado a parâmetros 
que permitam a transferência fidedigna para a posterior análise. A parte de infraestrutura, 
como discos, deve estar funcionando corretamente. Em casos específicos, quando há 
orçamento suficiente, é possível copiar as informações. Para isso, podem ser utilizados 
duplicadores de disco ou soluções de software específicas para perícia. (KOZCIAK, 
2020) 
Ao final da fase de coleta, o dispositivo para o qual os dados foram copiados deve 
ser devidamente lacrado e armazenado em local apropriado até a Justiça autorizar o seu 
descarte ou a sua devolução. Nesse momento, deve ser preenchido o formulário de 
cadeia de custódia, com os dados dos equipamentos apreendidos, como: mídia, marca, 
modelo, número de série e disco rígido. A data, a hora e o responsável pelo manuseio e 
pelo processo forense também devem ser registrados. (KOZCIAK, 2020) 
Na figura a seguir, veja um exemplo de um formulário de cadeia de custódia. A 
cadeia de custódia é uma das principais obrigações do perito e é um documento exigido 
nas análises forenses computacionais, funcionando como uma garantia de autenticidade 
do processo. (KOZCIAK, 2020) 
 
 
8 
 
2.3 Exame 
Essa etapa é considerada a mais trabalhosa da investigação. Isso se deve à 
quantidade de dados para análise, que geralmente têm diferentes formatos, como: 
arquivos criptografados, áudios, vídeos, imagens, arquivos compactados, entre outros. 
Os dados coletados na fase anterior devem ser recuperados e catalogados, permitindo 
uma análise científica que não seja posteriormente questionada. (KOZCIAK, 2020) 
O perito deve realizar uma investigação profunda dos fatos no sistema 
operacional, assim como considerar todas as hipóteses possíveis, como buscar arquivos 
que já tenham sido eliminados do sistema. Esse procedimento se chama data carving. 
De acordo com o National Institute of Standards and Technology, carving é: 
 
 
9 
[...] o processo de reconstrução de arquivos deletados, de um espaço de 
armazenamento não alocado, ou extração de arquivos embutidos em um 
contêiner de arquivos, baseada no conteúdo do arquivo; metadados do sistema 
de arquivos devem ser considerados de forma secundária ou completamente 
ignorados. (National Institute of Standards and Technology, 2014) Tradução 
nossa. 
2.4 Análise 
Nessa fase, o perito analisa os dados coletados e examinados nas fases 
anteriores. O objetivo é encontrar evidências que comprovem o crime digital. A análise 
pode ser a fase mais demorada de todas as que compõem a investigação. (KOZCIAK, 
2020) 
Dependendo do número de dados e arquivos envolvidos, é necessário identificar 
prioridades e definir o que será analisado. Caso contrário, o processo de análise pode 
ser inviável, devido ao tempo que se levará para analisar todos os documentos. 
(KOZCIAK, 2020) 
Para analisar os arquivos criptografados, o perito deve utilizar algum programa 
de quebra de senha. Ele também pode fazer buscas na memória de acesso aleatório 
(Random Access Memory [RAM]) a fim de localizar as senhas digitadas. Além disso, 
existem fontes de consulta como a Biblioteca Nacional de Referência do Software (RDS), 
que consiste em assinaturas digitais de arquivos conhecidos e rastreáveis até sua 
origem. Esse tipo de ferramenta facilita o procedimento e pode diminuir o número de 
arquivos que deverão ser analisados. (KOZCIAK, 2020) 
 
 
10 
2.5 Resultado 
Nessa etapa final, o perito redige o laudo pericial, apresentando provas e 
evidências, que deverão ser utilizadas nos processos judiciais. O laudo deve conter todos 
os detalhes que auxiliem o Judiciário na análise do crime. Ele deve ser claro e apresentar 
todas as evidências necessárias (KOZCIAK, 2020). No quadro a seguir, veja uma síntese 
dos procedimentos periciais: 
2.6 Exames e documentos processuais 
Na etapa de exames, o perito deve definir o modelo ideal de abordagem para 
cada tipo de caso, preservando sempre as condições iniciais, que vão garantir a melhor 
análise dos vestígios. Nessa etapa, os peritos têm acesso aos equipamentos 
apreendidos que foram violados ou que aplicaram qualquer tipo de violação legal. Assim, 
 
 
11 
o objetivo dos profissionais é analisar, identificar e localizar todos os arquivos, sistemas 
e aplicativos que podem conter indícios de crimes. (KOZCIAK, 2020) 
Veja o que Eleutério e Machado (2011) destaca a respeito dos materiais 
questionados, ou seja, dos materiais apreendidos e submetidos a exames forenses: 
Os materiais questionados mais comuns nesse tipo de exame são os discos 
rígidos, seguidos pelos CDs e DVDs. No entanto, tais procedimentos devem ser 
seguidos para qualquer tipo de equipamento de armazenamento computacional, 
incluindo pen drives, cartões de memória, disquetes, blu-rays, entre outros a 
serem ainda inventados pelo homem. 
Um dos itens mais importantes em uma investigação criminal computacional é a 
identificação do IP (Internet Protocol) do criminoso. O IP é o número atribuído durante o 
tempo de conexão à internet. Esse número pertence a determinado acesso durante a 
conexão na rede de computadores mundial, porém, após a desconexão, ele é utilizado 
por outro usuário da internet. Por esse motivo, o perito precisa identificar a data e o 
horário da conexão, além do fuso horário e do provedor. Com base na identificação 
desses dados, o perito deve providenciar um mandado judicial para buscar, junto ao 
provedor, o responsável pela conexão no dispositivo em que foi cometido o crime. 
(KOZCIAK, 2020) 
Para identificar o dispositivo utilizado para o crime, o perito precisa descobrir o 
endereço de controle de acesso à mídia, também chamado de “endereço MAC” (Media 
Access Control). Esse número identifica a placa de rede e é único para cada dispositivo. 
(KOZCIAK, 2020) 
 Independentemente do dispositivo utilizado para a realização do crime, durante 
a fase de exame, o perito deve buscar responder a quatro perguntas: o quê? Quando? 
Onde? Como? O exame pode ser realizado em diferentes tipos de dispositivos, com seus 
respectivos tipos de análise. A seguir, veja quais são os principais dispositivos. 
(KOZCIAK, 2020) 
 
 
12 
2.7 Computador 
Nesse caso, é necessário analisar toda a estrutura do equipamento, plataformas 
físicas ou servidores, buscando arquivos, dados e acessos que podem caracterizar 
vestígios de crimes digitais. O grande desafio é o acesso aos computadores utilizados, 
que podem estar em território nacional ou em outros países. Também é desafiador 
identificar os usuários e atentar ao sincronismo de horário e ao uso de criptografia 
complexa para manter o anonimato. (SILVA FILHO, 2001) 
O perito deve buscar: mensagens eletrônicas, imagens, planilhas, programas de 
computador, rastros de navegação, etc. Os principais tipos de crimes cometidos por meio 
desses dispositivos são: compartilhamento de arquivos de pornografia infantojuvenil, 
roubo de senhas (malware) e instalação de programas de roubo de dados bancários. 
(SILVA FILHO, 2001) 
2.8 Sites 
Nesse caso,os peritos analisam sites existentes, avaliando conteúdos, 
publicações, domínio da internet e endereço IP. Conforme Eleutério e Machado (2011) 
apud Silva Filho (2001)., o exame em sites consiste “principalmente na verificação e cópia 
de conteúdo existente na Internet, em sites e servidores remotos dos mais variados 
serviços. Além disso, trata-se da investigação do responsável por um domínio de um site 
e/ou endereço IP”. 
 O perito deve: identificar o serviço web, identificar o site hospedeiro, preservar 
as evidências, analisar as logs e analisar os aplicativos e serviços da rede. Os principais 
tipos de crimes cometidos por meio desses dispositivos são: ataques a sites, invasões, 
plágio, phishing (páginas falsas), malware, pornografia e furto de dados. (SILVA FILHO, 
2001) 
 
 
13 
2.9 Mensagens eletrônicas (e-mails) 
A análise de mensagens eletrônicas envolve mensagens transmitidas, 
remetentes, endereços IP, domínios da internet e conteúdos. Conforme Eleutério e 
Machado (2011), o exame em e-mails corresponde “basicamente à análise das 
propriedades das mensagens eletrônicas, a fim de identificar hora, data, endereço IP e 
outras informações do remetente da mensagem”. 
Nesses casos, o grande desafio é relativo à disponibilidade de registros (logs) 
suficientes. O perito ainda precisa garantir que os horários estejam sincronizados e lidar 
com diversos tipos de tecnologias. Em síntese, o perito deve: identificar a mensagem 
eletrônica, identificar o ambiente, preservar as evidências, verificar a origem da 
mensagem (cabeçalho) e analisar o corpo do e-mail. Os principais tipos de crimes 
cometidos por meio desses dispositivos são: questões trabalhistas, calúnia, difamação, 
desonra, concorrência desleal, ameaças anônimas e espionagem. (SILVA FILHO, 2001) 
2.10 Aparelhos móveis (celulares) 
 Os aparelhos celulares, devido à sua amplitude tecnológica, já podem ser 
comparados a computadores portáteis. Assim, a análise de celulares é similar à análise 
realizada em computadores. Ela envolve a análise de mensagens enviadas, incluindo 
remetentes, números de telefone, datas, horários e dados relacionados a chamadas. Os 
dados analisados dizem respeito a mensagens enviadas por Short Message Service 
(SMS) e WhatsApp, por exemplo. Além disso, o perito deve buscar dados deletados. 
(SILVA FILHO, 2001) 
Conforme Eleutério e Machado (2011) apud Silva Filho (2001), o exame em 
celulares abrange “basicamente a extração dos dados desses aparelhos, a fim de 
recuperar e formalizar as informações armazenadas em suas memórias (lista de 
contatos, ligações, fotos, mensagens etc.), de acordo com a necessidade de cada caso”. 
 
 
14 
O grande desafio aqui é manter-se atualizado em relação às ferramentas mobile, 
que estão em constante modificação. É necessário possuir os equipamentos adequados 
para a análise (software e hardware) e atentar à diversidade de funcionalidades 
existentes. Os principais tipos de crimes cometidos por meio desses dispositivos são: 
invasões, espionagem, calúnia, difamação e pornografia. (SILVA FILHO, 2001) 
2.11 Redes de computadores 
A análise de dados trafegados na rede tem foco no trânsito da informação, e não 
no armazenamento, independentemente do dispositivo emissor e do dispositivo receptor. 
Nesse caso, é necessário utilizar técnicas e ferramentas para: reconstrução de sessões, 
análise de protocolos, manipulação de arquivos, identificação de origem e destino, 
identificação de protocolos e dados, além de recuperação de arquivos capturados no 
tráfego. (SILVA FILHO, 2001) 
Os grandes desafios são: o acesso aos computadores conectados dentro de uma 
rede, a identificação dos usuários e o sincronismo de horários. Os principais tipos de 
crimes cometidos por meio de redes são: invasões, plágio, pornografia e furto de dados. 
(SILVA FILHO, 2001) 
2.12 Internet das Coisas (IoT) 
Essa área é muito recente. Ela tem crescido bastante à medida que os 
dispositivos conectados à internet (televisão, carros, refrigeradores, etc.) abrem uma 
gama de possibilidades de crimes digitais. A investigação forense para tratar da IoT (do 
inglês Internet of Things) está sendo desenvolvida para coletar e analisar evidências 
nesses dispositivos. (SILVA FILHO, 2001) 
Nesses casos, o desafio é imenso, pois está em jogo uma tecnologia emergente: 
não existe um único dispositivo, e sim uma rede hiperconectada. O perito deve: identificar 
o dispositivo, preservar as evidências, analisar as logs e analisar os aplicativos e serviços 
 
 
15 
da rede. Os principais tipos de crimes cometidos por meio desses dispositivos são: 
invasões, furto de dados e malware. (SILVA FILHO, 2001) 
2.13 Banco de dados 
A análise ocorre em dados e metadados armazenados em bancos de dados, 
disponibilizados ou não em servidores. O objetivo é identificar a manipulação de dados 
armazenados, como possíveis fraudes financeiras e fiscais praticadas em uma empresa. 
(SILVA FILHO, 2001) 
 Nesses casos, os grandes desafios são a identificação das tabelas, a busca por 
dados excluídos e a identificação das transações realizadas. O perito deve: identificar as 
bases de dados envolvidas, preservar as evidências e analisar as logs. Os principais tipos 
de crimes cometidos por meio desses dispositivos são: invasões, furto de dados e 
vazamento de informações. (SILVA FILHO, 2001) 
2.14 Algumas considerações 
Conforme Freitas (2003) apud Silva Filho (2001), em todos os tipos de 
dispositivos digitais, a análise pode ser física e/ou lógica. A seguir, veja como cada uma 
dessas análises se caracteriza. 
 Análise física: tem como objetivo analisar os dados do dispositivo de 
armazenamento. Isso ocorre da seguinte forma: pesquisa de sequência, busca e 
extração, inclusive de espaço subaproveitado e livre de arquivos. Esse tipo de análise 
consiste em buscar todas as URLs, e-mails encontrados e partes inacessíveis do 
disco. 
 Análise lógica: essa análise é feita arquivo por arquivo. O perito analisa o conteúdo 
dos arquivos com o apoio de aplicativos que ajudam nesse tipo de extração de dados. 
 
 
 
 
16 
A análise forense exige o uso de algumas ferramentas, como: 
 Software de imagem de disco; 
 Software ou hardware de escrita; 
 Ferramentas de hashing; 
 Software de recuperação; 
 Software de peneira; 
 Software de decodificação de criptografia. 
 
O volume de crimes digitais tem crescido diariamente; percebe-se um aumento 
significativo de um ano para outro. Isso demonstra uma mudança comportamental, ou 
seja, as vítimas têm denunciado os crimes. Para compreender melhor esse contexto, veja 
o trecho de uma matéria publicada pelo jornal Correio Braziliense em 4 de agosto de 
2019: 
Diariamente, são registrados pelo menos 366 crimes cibernéticos em todo o país. 
O levantamento mais recente, feito em 2018 pela associação SaferNet Brasil, em 
parceria com o Ministério Público Federal (MPF), contabilizou 133.732 queixas 
de delitos virtuais, como pornografia infantil, conteúdos de apologia e incitação à 
violência e crimes contra a vida e violência contra mulheres ou misoginia e outros. 
Em comparação ao ano anterior, a quantidade de ocorrências deu um salto de 
quase 110% — em 2017, a associação registrou 63.698 denúncias. Um fator que 
contribui para a ação criminosa, na visão de especialistas, é o descuido da 
população quanto à utilização de ferramentas que protejam os aparelhos 
celulares das invasões de hackers. Apesar de ser impossível estar 100% 
protegido, o mínimo de precaução pode reduzir as ameaças à privacidade de 
cada um. (FERNANDES, 2019) 
No organograma a seguir, você pode ver um mapa mental (diagrama que 
representa, a partir de um tema central, todos os itens envolvidos) que exemplifica a 
variedade de elementos implicados em uma análise forense computacional. A profissão 
de um perito criminal é muito ampla, envolvendo conhecimentos técnicos e legais em 
uma grande variedade de assuntos.(SILVA FILHO, 2001) 
 
 
17 
 
 
 
18 
3 DEFESA CIBERNÉTICA E DOCUMENTOS PROCESSUAIS 
A defesa de crimes digitais é um processo complexo pelo fato de a internet não 
possuir fronteiras, ou seja, qualquer conteúdo é acessado de qualquer lugar do mundo. 
O termo ciberespaço surge pela primeira vez no romance “Neuromancer”, de William 
Gibson (CIBERESPAÇO, 2019 apud SILVA FILHO, 2001). O ciberespaço (ou espaço 
cibernético) é uma metáfora que descreve o espaço não físico criado por diversas redes 
de computadores (a internet), onde as pessoas podem se comunicar de muitas formas, 
seja por mensagens, e-mails, salas de bate-papo, grupos de discussão, aplicativos de 
mensagens, dentre outros. 
Esse espaço cibernético proporciona muitos serviços e no seu ambiente 
transitam informações sigilosas que estão sujeitas a muitas ameaças, devido ao seu valor 
e importância. Neste sentido, Nye Junior (2011) apud Silva Filho (2001) observa que nos 
países com a internet mais desenvolvida, além dessa gama de recursos e soluções, 
também existe uma forte insegurança para governos, empresas e todas as pessoas 
dessas nações. 
Conforme Rachel (2009), Silveira (2018) e Caldeira (2011) apud Silva Filho 
(2001)., um bom ponto a se considerar em crimes cibernéticos é a distinção entre crimes 
a distância e crimes plurilocais. Veja: 
 Nos crimes a distância, a ação e a consumação do crime ocorrem em lugares 
distintos, um deles fora do território nacional; 
 Nos crimes plurilocais, a ação e a consumação também ocorrem em lugares diversos, 
mas ambos no território nacional. 
Qualquer medida que envolva outros países depende de acionamentos entre 
países para coleta, análise e validação de vestígios de crimes digitais. É o caso, por 
exemplo, da abertura de dados por empresas como Facebook, Instagram e WhatsApp. 
Existem também conflitos dentro do território nacional, geralmente relativos à 
competência de cada foro: o foro do local de onde partiu a ofensa, o foro de domicílio do 
 
 
19 
ofendido e do infrator e ainda o foro do local onde o ofendido toma ciência da ofensa 
(FILHO, 2001). 
 No Brasil, têm ocorrido evoluções no âmbito legal. A defesa de ataques 
cibernéticos ganhou reforço com a aprovação do Decreto nº. 10.222, de 5 de fevereiro 
de 2020, que estabelece a Estratégia Nacional de Segurança Cibernética. 
O objetivo desse decreto é tornar o Brasil mais próspero e confiável no meio 
digital, aumentando a resiliência local para ameaças cibernéticas e fortalecendo a 
segurança do País em âmbito internacional (SILVA FILHO, 2001). Veja o que o decreto 
diz a respeito: 
Desse modo, estes objetivos estratégicos visam a nortear as ações estratégicas 
do País em segurança cibernética, e representam macrodiretrizes basilares para 
que o setor público, o setor produtivo e a sociedade possam usufruir de um 
espaço cibernético resiliente, confiável, inclusivo e seguro. São os objetivos 
estratégicos: 
1. Tornar o Brasil mais próspero e confiável no ambiente digital; 
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e 
3. Fortalecer a atuação brasileira em segurança cibernética no cenário 
internacional. (BRASIL, 2020) 
O Decreto nº. 10.222/2020 descreve 10 ações que precisam ser implementadas 
(BRASIL, 2020): 
1. fortalecer as ações de governança cibernética; 
2. estabelecer um modelo centralizado de governança em nível nacional; 
3. promover um ambiente participativo e colaborativo entre setor público e privado; 
4. elevar o nível de proteção do governo; 
5. elevar a proteção das infraestruturas críticas nacionais; 
6. aprimorar o arcabouço legal sobre segurança cibernética; 
7. incentivar a concepção de soluções inovadoras em segurança cibernética; 
8. ampliar a cooperação internacional do Brasil em segurança cibernética; 
 
 
20 
9. ampliar a parceria, em segurança cibernética, entre setor público, setor privado, 
academia e sociedade; 
10. elevar o nível de maturidade da sociedade no que diz respeito à segurança 
cibernética. 
Outra iniciativa em andamento é a Lei Geral de Proteção de Dados Pessoais 
(LGPD), Lei nº. 13.709, de 14 de agosto de 2018. Essa lei tem como objetivo contribuir 
para a governança da segurança cibernética nacional por meio de normas e políticas 
públicas relativas à proteção de dados pessoais e à privacidade, considerando a coleta, 
o armazenamento, o tratamento e o compartilhamento de dados pessoais. A previsão é 
que a LGPD entre em vigor no Brasil no dia 16 de agosto de 2020. (SILVA FILHO, 2001) 
A LGPD tem como base a GDPR europeia: “Seguindo os passos da GDPR 
(General Data Protection Regulation), que vale para todos os países da União Europeia, 
a LGPD já engatinhava com a criação do Marco Civil da Internet em 2014” (LGPD, 2019). 
A LGPD determina que o usuário tem o direito de acessar seus dados a qualquer 
momento, conferindo como eles são tratados e compartilhados. A lei também determina 
que o usuário pode atualizar ou corrigir dados incorretos, deletar dados e transferir dados 
para outras organizações (públicas ou privadas) (SILVA FILHO, 2001). 
As penalizações previstas pela LGPD consideram multas, bloqueios e sanções 
para as empresas que descumprirem ou não se adequarem à nova lei. Além disso, a 
LGPD extravasa o território brasileiro. Ela pode ser aplicada a qualquer empresa, e 
mesmo as empresas estrangeiras que não têm sede no local estão sujeitas a sanções. 
A não aplicação da LGPD pode acarretar multas de até R$ 50 milhões. Por esse motivo, 
observa-se uma corrida das organizações desde 2018, quando a lei foi aprovada, para 
adaptar seus sistemas e bancos de dados ao novo cenário, o que cria muitas 
oportunidades para profissionais com conhecimento nesse assunto. (SILVA FILHO, 
2001) 
Referindo-se às evoluções legais, Souza Junior (2013) ressalta o empenho dos 
órgãos governamentais: 
 
 
21 
A Administração Pública Federal apresenta o real empenho e precaução na 
criação de um modelo de segurança cibernética para proteção do ciberespaço e 
dos serviços e informações nele existentes, assim se adaptando ao cenário atual 
de crimes cibernéticos. 
É notável que os órgãos governamentais têm atuado de forma mais enfática em 
relação aos crimes digitais. Como você viu, tal atuação se dá por meio da criação e da 
aprovação de leis e decretos que suportem judicialmente direitos e deveres no universo 
digital. Porém, é nítido que a defesa em processos criminais cibernéticos tem um caminho 
longo a percorrer, seguindo a constante evolução do mundo digital. (SILVA FILHO, 2001) 
3.1 Aspectos jurídicos em Computação Forense 
Por ser uma ciência que mira reportar suas análises e resultados a determinada 
instância da justiça, é estreita sua relação com as leis. Algumas delas afetam diretamente 
o trabalho dos peritos, pesquisadores e profissionais da área e precisam ser de 
conhecimento desse grupo. (SILVA FILHO, 2001) 
Basicamente, quem sabe como a lei fundamental que garante o exame pericial, 
temos no Código de Processo Penal - Do exame do corpo de delito e das perícias em 
geral - Art. 158 e159 que dizem: 
Art. 158. Quando a infração deixar vestígios, será indispensável o exame de 
corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado. 
Art. 159. O exame de corpo de delito e outras perícias serão realizados por perito 
oficial, portador de diploma de curso superior. 
§ 1° Na falta de perito oficial, o exame será realizado por 2 (duas) pessoas 
idôneas, portadoras de diploma de curso superior preferencialmente na área 
específica, dentre as que tiverem habilitação técnica relacionada com a natureza 
do exame. 
§ 2° Os peritos não oficiais prestarão o compromisso de bem e fielmente 
desempenhar o encargo. 
§ 3o Serão facultadas ao Ministério Público, ao assistente de acusação, ao 
ofendido, ao querelante e ao acusado a formulação de quesitos e indicação de 
assistente técnico. 
§ 4° O assistente técnico atuará a partirde sua admissão pelo juiz e após a 
conclusão dos exames e elaboração do laudo pelos peritos oficiais, sendo as 
partes intimadas desta decisão. 
 
 
22 
Dessa forma, no campo criminal, é obrigatório o exame pericial em todo crime 
que deixar resquício. Outro ponto relevante, é a probabilidade do perito da defesa, 
denominado assistente técnico. Esse profissional pode fazer seu próprio exame pericial 
e expor as suas conclusões em relatório próprio para a análise do judiciário. (SILVA 
FILHO, 2001) 
Outra lei importante, com relação próxima a um tipo de perícia em informática, é 
a que aborda do crime de pedofilia. Tipificado no ECA (Estatuto da Criança e do 
Adolescente), nos artigos 240 e 241. 
Art. 240. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer 
meio, cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente: 
Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. 
Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que 
contenha cena de sexo explícito ou pornográfica envolvendo criança ou 
adolescente: Pena – reclusão, de 4 (quatro) a 8 (oito) anos, e multa. 
Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou 
divulgar por qualquer meio, inclusive por meio de sistema de informática ou 
telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito 
ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) 
a 6 (seis) anos, e multa. 
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo 
ou outra forma de registro que contenha cena de sexo explícito ou pornográfica 
envolvendo criança ou adolescente: Pena – reclusão, de 1 (um) a 4 (quatro) anos, 
e multa. 
§ 1° A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade 
o material a que se refere o caput deste artigo. 
É relevante observar algumas das condutas que são crimes em relação à 
pedofilia e qual o papel do perito em computação forense nesses eventos. Inicialmente, 
destaca-se que o simples fato de registrar, ou seja, ter fotos de pedofilia no computador 
ou smartphone já é crime. A função do perito em relação a esse episódio é encontrar tais 
imagens, que podem estar ocultas, apagadas ou criptografadas. Caso essas imagens 
sejam localizadas, o próximo passo natural é determinar se o proprietário do dispositivo 
estava compartilhando essas imagens com outros usuários, o que compõe um crime mais 
grave. Esse compartilhamento pode acontecer especialmente por aplicativos de redes 
ponto a ponto (P2P). Cabe ao perito, examinar essa circunstância e documentar todo o 
cenário localizado. (SILVA FILHO, 2001) 
 
 
23 
A lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet 
estipula determinadas regras, das quais as que mais interessam à computação forense 
são as que regulam o armazenamento dos registros de acesso (logs) dos usuários, como 
demonstrado a seguir. 
Art. 1° Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da 
internet no Brasil e determina as diretrizes para atuação da União, dos Estados, 
do Distrito Federal e dos Municípios em relação à matéria. 
[...] 
Subseção I 
 Da Guarda de Registros de Conexão 
 
Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema 
autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em 
ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do 
regulamento. 
§ 2° A autoridade policial ou administrativa ou o Ministério Público poderá 
requerer cautelarmente que os registros de conexão sejam guardados por prazo 
superior ao previsto no caput. 
 § 5° Em qualquer hipótese, a disponibilização ao requerente dos registros de que 
trata este artigo deverá ser precedida de autorização judicial, conforme disposto 
na Seção IV deste Capítulo. 
 
 Subseção II 
 
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de 
Conexão 
 
Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os 
registros de acesso a aplicações de internet 
 
 Subseção III 
 
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de 
Aplicações 
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa 
jurídica e que exerça essa atividade de forma organizada, profissionalmente e 
com fins econômicos deverá manter os respectivos registros de acesso a 
aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo 
prazo de 6 (seis) meses, nos termos do regulamento. 
A lei nº 12.737, de 30 de novembro de 2012, conhecida como lei Carolina 
Diekmann, tipifica, ou seja, torna crime, vários comportamentos relacionados a 
atividades de invasão de sistemas de computador, conforme segue. 
Art. 1° Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá 
outras providências. 
 [...] 
 
 
24 
 “Invasão de dispositivo informático“ 
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de 
computadores, mediante violação indevida de mecanismo de segurança e com o 
fim de obter, adulterar ou destruir dados ou informações sem autorização 
expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter 
vantagem ilícita: 
 Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. 
§ 1° Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde 
dispositivo ou programa de computador com o intuito de permitir a prática da 
conduta definida no caput. 
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante 
representação, salvo se o crime é cometido contra a administração pública direta 
ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou 
Municípios ou contra empresas concessionárias de serviços públicos.” 
Resumidamente, essa lei trata das invasões de sistemas e composição e uso de 
software maliciosos (malware). É função do perito, avaliar os computadores em que 
sucederam as invasões, gerar como elas ocorreram e se provável apontar na direção do 
responsável por tais crimes. (SILVA FILHO, 2001) 
3.2 Lab de Computação Forense: Preservação e análise da prova digital 
O laboratório de computação forense deve ter hardware e software especializado 
que proporcione as condições técnicas, de maneira hábil, para se conseguir e processar 
os dados digitais, transformando-os em destaques. Essas tecnologias estão disponíveis 
em produtos comerciais, softwares desenvolvidos por peritos e softwares livres. (SILVA 
FILHO, 2001) 
3.3 Duplicação de dados de forma forense 
Uma das primeiras atividades a ser concretizada no laboratório é a cópia dos 
dados dos equipamentos originais. É nessas cópias que os exames serão realizados. 
(SILVA FILHO, 2001) 
 Para consolidar uma cópia de forense, todos os bits do equipamento original 
devem ser copiados, inclusive de áreas não alocadas do sistema de arquivo. Bem longe 
dessa necessidade, a ênfase digital deve ser acessada de maneira que tenha proteção 
 
 
25 
contra escrita na interface em que ela for conectada. Essa cautela é precisa para que, ao 
se conectar a mídia original, nenhum dado seja modificado. Conectar a mídia original 
sem proteção de escrita pode alterar dados ou metadados de arquivos e essas mudanças 
podem ser questionadas pelas partes envolvidas. Outra atividade essencial ao fazer a 
cópia é calcular o hash dos dados originais e o da cópia. Esses valores precisam coincidir, 
garantindo-se, com isso, a integridade e a cadeia de custódia dos destaques digitais. 
(SILVA FILHO, 2001) 
Têm equipamentos especializados em duplicação pericial. Esses equipamentos 
consentemque as cópias sejam feitas de forma bastante simplificada e garantem as 
sugestões mencionadas. Determinadas alternativas de equipamentos que podem ter em 
um laboratório de computação forense são o Solo IV, da empresa ICS e o Tableaut TD3 
da empresa Guidence Software. Esses equipamentos têm entradas protegidas contra 
escrita para conexão das ênfases originais, vários tipos de adaptadores para as 
interfaces mais comuns de mídias de armazenamento, entre elas, adaptadores para 
conexões IDE, SATA, SAS, USB, cartões de memória SDCard, entre outros. Possuem 
também a vantagem de serem portáteis, podendo ser levados a campo. As figuras 1 e 2 
ilustras os equipamentos. (SILVA FILHO, 2001) 
Se usar um equipamento comercial especializado em duplicação de dados não 
for uma alternativa, existem soluções de baixo custo para esse processo. Uma maneira 
de concretizar essa cópia é empregar uma distribuição Linux montada para análises 
forenses. Estas distribuições consentem que se monte o disco original do suspeito no 
modo “somente leitura”. Uma vez montado o disco das ênfases, as cópias podem ser 
cometidas por programas que seguem essas distribuições, como, por exemplo, o dd, 
dc3dd, dcfldd, entre outros. Esses programas farão uma cópia de todos os bits do disco 
de origem, inclusive áreas não alocadas. Alguns deles já realizarão também o cálculo do 
hash dos dados originais e do arquivo de destino. (SILVA FILHO, 2001) 
Duas distribuições que fornecem ferramental forense são a Deft Linux 
(www.deftlinux.net) e Caine (www.caine-live.net). 
 
 
26 
3.4 Processamento e análise dos dados 
Uma fez feita a duplicação pericial dos dados e tendo garantido a sua integridade 
por meio do hash, o próximo passo é o processamento e análise de dados. Essa fase 
consiste na recuperação dos dados que estão nas mídias, muitos deles apagados, e a 
disponibilização desses dados aos peritos de modo que possam ser feitas pesquisas 
sobre eles. Dessa forma, as principais ferramentas dessa etapa do processo deverão 
entender os sistemas de arquivos envolvidos, executar técnicas de recuperação de dados 
apagados, indexar esses dados para futuras pesquisas e interpretar essas informações 
de modo que o grande volume de dados possa ser organizado em subgrupos e tipos para 
facilitar a análise dos peritos. (SILVA FILHO, 2001) 
Para essa tarefa, os principais softwares comerciais são: 
- Encase (www.guidancesoftware.com/encase-forensic); 
- FTK (www.exterro.com/forensic-toolkit); 
entre outros. 
Alternativamente, o IPED (Indexador e Processador de Evidências Digitais) é 
uma solução desenvolvida porperitos criminais da Polícia Federal que tem se mostrado 
bastante importante e está disponível para o modo de peritos de outras instituições de 
segurança pública. Por fim, têm as alternativas livres, como The Sleuth Kit - TSK - e 
Autopsy (www.sleuthkit.org). Avaliaremos esses dois últimos com mais detalhes na 
próxima seção. (SILVA FILHO, 2001) 
3.5 The Sleuth Kit e Autopsy 
The Sleuth Kit (TSK) é um conjunto de instrumentos de linha de comando e 
bibliotecas em C para análise de disco rígidos e recuperação de arquivos. O Autopsy é 
um ambiente gráfico que proporciona uma interface mais amigável sobre o TSK. Ambas 
 
 
27 
as ferramentas são livres, de código aberto e estão em constante desenvolvimento pelos 
seus mantenedores. (SILVA FILHO, 2001) 
A relevância didática de ferramentas livres é ressaltada por Fagundes, Neukamp 
e Silva (2011), que apontam que o software de código aberto é um modelo didático, pois 
promove o pensamento crítico, conta com uma capacidade de adaptação independente, 
conta com uma comunidade, na qual possui compartilhamento de conhecimento e 
permite ao aluno, mesmo fora do ambiente acadêmico, acesso às ferramentas de 
maneira legal. 
Segundo Carrier (2006), o TSK é composto por mais de 20 programas, estilo 
linha de comando, organizados em grupos. Os grupos em que os programas são 
divididos são fundamentados nas entidades das estruturas dos sistemas de arquivos. 
São eles: categoria de sistemas de arquivos, categoria de conteúdo, categoria de 
metadados, categoria de aplicação e categorias múltiplas. 
Pelos comandos do TSK, é possível observar cada uma das entidades do 
sistema de arquivos. Para usá-los em sua plenitude, é preciso um entendimento de como 
os disco rígidos são estruturados e como as estruturas lógicas dos sistemas de arquivos 
trabalham. (SILVA FILHO, 2001) 
Os programas do TSK são excelentes instrumentos para destrinchar os dados de 
um disco. Tem um papel didático relevante e servem como os blocos de construção para 
ferramentas mais associadas, porém são pouco eficientes para lidar com vários 
episódios, nos quais o interesse é a recuperação do maior número de dados possível e 
a apropriada visualização deles, em tempo hábil. (SILVA FILHO, 2001) 
Dessa forma nasce a necessidade de se empregar um instrumento que integre 
os vários programas do TSK e forneça uma interface mais produtiva. Uma alternativa é o 
Autopsy. (SILVA FILHO, 2001) 
O Autopsy emprega as bibliotecas do TSK e oferece uma interface gráfica 
 
 
28 
intuitiva para o processamento dos dados a constituírem avaliados. Após introduzir-se 
com determinados dados sobre o caso, deve-se informar o arquivo de imagem, que é a 
cópia forense concretizado conforme narrado antes. Este arquivo pode estar no formato 
bruto, também conhecido como raw ou dd ou em algum outro formato aproveitado por 
determinado software ou equipamento de duplicação de dados. Um formato muito 
popular é o formato E01, introduzido pela EnCase e empregado por diversos outros 
programas (SILVA FILHO, 2001). As figuras abaixo ilustram duas telas do Autopsy: 
 
 
 
29 
3.6 Princípios da recuperação de evidências digitais 
Essa seção tem como desígnio exibir conceitos técnicos que aceitem 
compreender como as ferramentas frequentes no laboratório de computação forense 
conseguem chegar aos resultados que se propõem. 
Ter o saber técnico do que está sendo feito e não somente confiar nessas 
ferramentas e equipamentos como verdadeiras caixas-pretas, que somente 
proporcionam o resultado, permitirá ao perito uma melhor explanação técnica acerca do 
que se está periciando, além de ajuda-lo com saberes satisfatórios para responder a 
possíveis questionamentos das partes ou do juízo. (SILVA FILHO, 2001) 
3.7 Técnicas de recuperação de arquivos apagados 
Apesar das peculiaridades de cada sistema de arquivos e das técnicas para 
recuperá-los, essencialmente a recuperação de dados apagados é possível porque ao 
se apagar um arquivo, ele é apagado somente logicamente do sistema de arquivos, ou 
seja, o espaço ocupado por aquele arquivo é possibilitado para reutilização, mas por 
questões de execução o seu conteúdo permanece intacto até que aquele espaço seja 
necessário para alocar outro arquivo. (SILVA FILHO, 2001) 
Determinadas técnicas de recuperação de dados levam em conta a estrutura de 
dados providas pelos sistemas de arquivos. Para compreender como esse tipo de 
recuperação de dados é possível, devemos entender, primeiramente, o que ocorre em 
cada sistema de arquivos quando um arquivo é apagado. (SILVA FILHO, 2001) 
Como mostrado por Carrier (2006), nos sistemas de arquivos FAT ao se extinguir 
um arquivo, o primeiro caractere na tabela de entrada de diretório é suprido por 0xe5 e 
os endereços na tabela FAT são zerados. Para recuperá-lo, deve-se localizar o nome 
dele na tabela de diretório, o endereço do primeiro bloco e os metadados que informam 
o tamanho do arquivo. De posse da informação de qual é o primeiro bloco e o tamanho 
 
 
30 
do arquivo, a recuperação é trivial. Porém, arquivos fragmentados podem inviabilizar a 
recuperação pelo uso somente dessa técnica. 
No NTFS, quando um arquivo é apagado, a entrada de diretório na MFT desse 
arquivo é marcada como não alocada e os blocos desse arquivo são adicionados na 
tabelade blocos livres. Com isso, a estrutura de alocação de arquivos permanece 
praticamente intacta, permitindo a recuperação do arquivo até que a entrada de diretório 
seja reutilizada. (SILVA FILHO, 2001) 
No Ext2, o i-node do início de diretório é apagado. Para recuperar arquivos 
apagados, deve-se observar por i-nodes não alocados. Encontrando-se um i-node não 
alocado, ele conterá a lista de blocos daquele arquivo apagado. No Ext3 e Ext4, o inode 
da entrada de diretório não é apagado, contudo, os campos com os endereços dos blocos 
no i-node são apagados. Assim, tem-se o i-node de determinada entrada de diretório 
(nome do arquivo), entretanto não se consegue obter a lista de blocos que compunham 
esses arquivos. A recuperação de arquivos no Ext3 e Ext4 é mais difícil que no Ext2. 
(SILVA FILHO, 2001) 
Uma outra técnica promissora de recuperação de arquivos apagados é o data 
carving. No processo clássico de data carving, as estruturas do sistema de arquivos não 
são levadas em consideração. (SILVA FILHO, 2001) 
Merola (2008) menciona o exemplo de arquivos PDF e JPEG. Os arquivos PDF 
têm uma assinatura inicial, ou seja, iniciam sempre da mesma maneira, o que admite 
distingui-los de outros tipos de arquivos examinado somente seu conteúdo. Dessa forma, 
todos os arquivos PDF principiarão com os caracteres “%PDF”. Essa assinatura também 
é conhecida como cabeçalho do arquivo. Alguns arquivos, além do cabeçalho, têm 
também um rodapé, ou seja, sempre terminarão com o mesmo caractere. No caso dos 
PDFs será “%EOF”. Para arquivos JPEG, teremos os padrões “0xFFD8” para o 
cabeçalho e “0xFFD9” para o rodapé. 
É com embasamento nas assinaturas dos arquivos que as técnicas fundamentais 
de data carving laboram. Uma ferramenta usando essa técnica terá uma larga base de 
 
 
31 
assinaturas dos mais variáveis tipos de arquivos. Uma vez identificado o princípio de um 
arquivo, a ferramenta irá avaliando que tudo o que virá depois dessa assinatura é o corpo 
do arquivo. Ao localizar o rodapé, a ferramenta conclui a recuperação daquele arquivo e 
o processo de repete a partir do próximo byte, até que todos os bytes não alocados da 
mídia de armazenamento sejam processados. (SILVA FILHO, 2001) 
Entretanto, dificuldades podem ser localizadas nesse processo. Arquivos podem 
ter cabeçalho, mas não rodapé. Arquivos podem estar também despedaçados, 
compactados ou incompletos. Para lidar com essas questões, as técnicas mais 
avançadas de data carving fundamentam-se não somente nas assinaturas dos arquivos, 
mas também possuem conhecimento das estruturas internas de cada tipo de arquivo, o 
que permite às ferramentas tentar encaixar todas as peças, num verdadeiro quebra-
cabeça de bytes e fragmentos de estruturas de arquivos. (SILVA FILHO, 2001) 
Em relação à recuperação de arquivos nos discos de estado sólido (SSDs), deve-
se observar que a dinâmica de leitura e escrita de dados difere dos discos rígidos 
magnéticos tradicionais, impactando nas técnicas de recuperação de ênfases digitais. 
(SILVA FILHO, 2001) 
Conforme esclarecido por Gomes (2012), diferentemente dos discos rígidos, nos 
quais os dados podem ser apagados e sobrescritos de forma independente, nos SSDs 
as páginas na memória flash não podem ser simplesmente regravadas. Sempre que se 
necessita gravar dados em uma página já ocupada, a controladora do SSD precisa 
primeiro apagar os dados anteriores, levando a célula ao seu estado original, para só 
então, realizar a nova intervenção de escrita. Além disso, não é possível apagar apenas 
uma página, necessita apagar um bloco de páginas. Se tiver dados válidos nessas 
páginas, elas necessitam ser copiadas e depois reescritas. Todas essas operações 
podem comprometer a performance do SSD. 
Para lidar com essas características, os SSDs empregam técnicas de coleta de 
lixo (garbage collection). O coletor de lixo será executado em segundo plano, pelo próprio 
hardware do SSD e será responsável por garantir que sempre possua blocos livres, em 
 
 
32 
estado original, prontos para escrita. Para garantir isso, uma de suas tarefas é 
movimentar dados, realizando uma espécie de desfragmentação do disco. Essa 
característica tem um impacto negativo sobre a recuperação de arquivos apagados, 
tendo em vista que a chance de sobreposição de dados não alocados é bem maior por 
conta do coletor de lixo. (SILVA FILHO, 2001) 
3.8 Perícias em dados voláteis 
Informações importantes podem estar armazenadas somentes na memória RAM. 
Se o conteúdo do disco rígido estiver criptografado, fazer a extração e análise dos dados 
voláteis pode permitir a obtenção da chave empregada para proteger os dados do disco. 
Outras informações como processos em execução e bibliotecas de software carregadas 
também podem ser alcançadas por meio desse tipo de análise. (SILVA FILHO, 2001) 
Silva e Lorens (2009) discorrem sobre a necessidade de um exame pericial em 
memória RAM, também conhecido como live forensics, tendo em vista que circunstâncias 
específicas justificam a realização de procedimentos de coleta de vestígios digitais no 
local em que se encontram instalados os equipamentos computacionais, enquanto 
ligados e em funcionamento normal. Instalações de equipamentos de amplo porte, não 
convencionais, ou que provoquem o risco de perda de informações significativas ou 
ainda, as inviabilizações das perícias são exemplos dessas situações. Destaca-se, 
também, a situação cada vez mais frequente do uso de criptografia nas mídias de 
armazenamento. 
A primeira tarefa a ser concretizada em uma perícia de dados voláteis é conseguir 
uma cópia da memória RAM. O termo dump de memória também é usado para se 
mencionar a este tipo de cópia. Existem diversas ferramentas que podem ser usadas 
para essa tarefa. É interessante que essa ferramenta possa ser executada na máquina 
alvo sem a precisão de instalação, para não escrever no disco e correr o risco de 
sobrescrever algum dado não alocado. Um exemplo de ferramenta livre para Windows 
que faz a cópia de memória é o FTK Imager Lite. (SILVA FILHO, 2001) 
 
 
33 
 
 
 
 
 
 
 
 FTK Imager 
Alcançada a cópia da memória RAM, é necessário saber interpretá-la. Para essa 
tarefa têm softwares que podem auxiliar o perito. Um deles é o framework livre Volatility 
(www.volatilityfoundation.org). (SILVA FILHO, 2001) 
Volatility 
 
http://www.volatilityfoundation.org/
http://www.volatilityfoundation.org/
 
 
34 
O Volatility é um conjunto de ferramentas abertas, escritas em Python, destinado 
à extração de conteúdos digitais armazenados em memória volátil de sistemas 
operacionais Windows. Realiza interpretação (parser) de dump de memória, crash dump, 
arquivo de hibernação, snapshot de máquinas virtuais etc. 
Com o uso desse framework, podem ser alcançados dados referentes a 
processos em execução, soquetes de rede abertos, DLLs carregadas para cada 
processo, arquivos abertos para cada processo, chaves de registro para cada processo, 
memória endereçável de um processo, módulos do kernel do sistema operacional, 
chaves criptográficas, entre outros (SILVA FILHO, 2001). 
3.9 Técnicas antiforenses e anti-antiforenses 
Em uma definição de técnicas antiforenses localizada em Velho et al (2016), os 
autores classificam-na como um conjunto de técnicas que objetivam inviabilizar, dificultar, 
iludir ou impossibilitar que a análise forense suceda de maneira satisfatória. 
Necessariamente, trata-se de formas de manipular os dados digitais de tal 
maneira que esses dados sejam destruídos de forma irrecuperável, ou, de determinada 
maneira, não possam ser acessados pelo perito, ou ainda, que iludam o perito em suas 
conclusões. 
Assim, cabe ao perito conhecer sobre essas técnicas, saber identificá-las e 
contorná-las sempre que possível. No restante dessa seção são exibidas as principais 
técnicasantiforenses e possíveis maneiras de lidar com elas. (SILVA FILHO, 2001) 
3.10 Wipe ou sanitarização de dados 
Ao se apagar um arquivo, os dados desse arquivo não são verdadeiramente 
apagados, são feitas algumas alterações nas estruturas de controle de alocação de 
arquivos e aquele espaço ocupado pelo arquivo fica disponível para ser reutilizado, mas 
especialmente por motivo de performance, os dados desse arquivo apagado continuam 
 
 
35 
na mídia de armazenamento, até o momento em que forem reutilizados por outro arquivo. 
A partir dessa ocasião, quando os dados são sobrescritos por um arquivo novo, a 
recuperação torna-se inviável. (FILHO, 2001) 
É por isso que há uma maneira de apagar um arquivo de forma irrecuperável. 
Para isso, além de ser marcado nas estruturas do sistema operacional como apagado, o 
seu conteúdo em todo o disco deve ser sobrescrito. Existem até mesmo protocolos para 
realizar essa técnica, conhecida como wipe ou sanitização de dados. Dependendo da 
sensibilidade e relevância dos arquivos a serem apagados, esses protocolos sugerem 
que a área da mídia de armazenamento em que os dados estavam armazenados seja 
sobrescrita várias vezes. A figura abaixo o programa Disk Wipe, que entrega a técnica 
de sanitização de dados em uma mídia completa. Nota-se que se pode propor qual 
protocolo de wipe empregar. Na figura, são expostos de cima para baixo os protocolos 
do menos para o mais seguro. (SILVA FILHO, 2001) 
Disk Wipe 
3.11 Criptografia e quebra de senhas 
Criptografia acontece a ser cada vez mais popularizada, sendo que vários 
sistemas já estão sendo configurados por padrão com seus dados criptografados. Existe 
 
 
36 
também diversos softwares que podem ser habituais para criptografar arquivos, partes 
de uma mídia de armazenamento ou a mídia inteira. (SILVA FILHO, 2001) 
Esses recursos, ressaltantes para a segurança do usuário, concebem um desafio 
técnico para os peritos, que necessitam tentar ao máximo localizar evidências digitais, 
mesmo que estas permaneçam protegidas por criptografia. 
Desse cenário pericial, aparece a necessidade de técnicas de quebra de 
criptografia e senhas, tornando essa área mais uma área da computação que deve ser 
dominada pelos peritos. (SILVA FILHO, 2001) 
Mas como quebrar a criptografia, tendo em vista que a maior parte dos sistemas 
usam criptografia forte, com algoritmos robustos e chaves grandes? A resposta encontra-
se em atacar o elo mais fraco da segurança da informação, o usuário. Segundo Velho; et 
al. (2016), pesquisas mostram que a maioria dos usuários usa senhas fracas. A 
capacidade humana de memorização não facilita que usuários guardem como senhas 
sequências muitos grandes e aleatórias. Na maioria das vezes serão usadas expressões 
que são familiares aos usuários e as senhas tendem a se repetir em vários sistemas. 
Com isso, ao se deparar com conteúdo criptografado, o perito deve ao menos 
tentar as técnicas básicas de recuperação de senhas, restringindo-se aos recursos 
computacionais e a um prazo de tempo de tentativa estipulado. (SILVA FILHO, 2001) 
3.12 Ataques a dados criptografados 
Podemos determinar os ataques a sistemas com senha em dois tipos. Os 
ataques on-line, que visam sistemas que estão em funcionamento no momento dos 
ataques. Esse tipo de ataque é menos promissor, já que o tempo de resposta em que 
diversas senhas podem ser testadas é alto. (SILVA FILHO, 2001) 
Os ataques offline ou post-mortem, buscam decifrar os dados já adquiridos das 
mídias de armazenamento, mas que ainda não estão acessíveis por estarem 
criptografados. É um ataque mais promissor que o anterior, pois a taxa de senhas que 
 
 
37 
podem ser testadas é muito superior. Para a computação forense, esse é o tipo de ataque 
que mais interessa e é esse tipo que será discutido no restante da seção. (SILVA FILHO, 
2001) 
Para se quebrar a criptografia no ataque offline deve-se descobrir qual foi a senha 
usada pelo usuário para criptografar os dados. Para tanto, as possíveis senhas são 
testadas uma a uma. Porém, essa tarefa computacional é altamente paralelizável. Dessa 
maneira, quanto mais processadores o perito tiver a disposição para a tarefa, mais rápido 
ela poderá ser desempenhada. Hoje em dia, as duas maneiras mais empregadas para 
paralelizar essa tarefa são por meio de cluster de computadores ou por meio de placas 
de processamento gráfico (GPUs). (SILVA FILHO, 2001) 
Na alternativa de cluster de computadores, usa-se várias máquinas trabalhando 
em paralelo e em cooperação para o processamento dos ataques ao conteúdo 
criptografado. 
Na maioria das vezes usa-se um esquema em que uma das máquinas é um ponto 
central que gerencia todas as demais, distribuindo a carga de processamento. 
Outra maneira de conseguir elevado nível de paralelização é por meio do uso de 
GPUs. As GPUs são projetadas com vários núcleos de processamento para atividades 
específicas. Essa arquitetura pode ser usada para paralelizar as computações 
necessárias para quebra de senhas. Uma GPU voltada para jogos, pode ter até 
 
 
38 
aproximadamente 3.000 núcleos (cores). A figura abaixo ilustra uma comparação da 
arquitetura multicore de uma CPU e de uma GPU. (SILVA FILHO, 2001) 
A figura abaixo expõe um teste de desempenho de quatro configurações de 
máquinas utilizando GPUs processando quebra de criptografia em vários algoritmos. 
(SILVA FILHO, 2001) 
Fonte: www.hashcat.com 
Mesmo com todo poder de processamento dos clusters e das GPUs, testar todas 
as combinações, num ataque designado força bruta, não é viável para senhas com um 
tamanho e complexidade razoáveis (mais de 8 caracteres começa a inviabilizar a força 
bruta). 
Por conta disso, deve-se tentar antes ataques mais inteligentes, nos quais a 
chance de se encontrar a senha seja melhor do que o acaso. O ataque de força bruta 
 
 
39 
deve ser o último a ser empregado, somente quando todos os outros tiverem falhado. 
(SILVA FILHO, 2001) 
Um dos ataques que pode alcançar sucesso é o ataque de dicionário. Nesse 
ataque, tenta-se todas as senhas de um determinado dicionário (lista de palavras), como 
por exemplo, um dicionário com todas as palavras da língua portuguesa. É um ataque 
rápido de ser concretizado. Nesse tipo de ataque, a criatividade é o limite. Pode-se tentar 
dicionários temáticos, palavras que sejam da lista de interesses do alvo e até mesmo 
procurar dicionários de dados recuperando todas as palavras de outros dispositivos de 
informática do alvo que não estejam criptografados. Não alcançando sucesso, pode-se 
tentar a abordagem híbrida. Nesse ataque, cada palavra do dicionário padecerá 
determinada variação, como por exemplo, colocar o primeiro caractere em maiúsculo, 
adicionar números ao final de cada palavra etc. Novamente, a criatividade é o limite. Vale 
observar que, quanto mais variedade for adicionada, maior será o tempo necessário para 
completar o ataque. (SILVA FILHO, 2001) 
3.13 Esteganografia e esteganálise 
Esteganografia, ou escrita oculta, pode ser empregada como uma técnica 
antiforense. Segundo Velho et al (2016), esteganografia é o estudo de técnicas para 
esconder a existência de uma mensagem dentro de outra, uma forma de segurança por 
obscurantismo. Ainda segundo esses autores, a informação a ser escondida é inserida 
em um arquivo hospedeiro, que precisará ser capaz de sofrer pequenas alterações em 
seus bytes e, ainda assim, reter suas principais características. 
A esteganálise tem como objetivo descobrir e revelar mensagens ocultas por 
técnicas esteganográficas. Sua base é a análise estatística, procurando padrões de 
ocorrência do uso de técnicas de esteganografia nas mídias suspeitas. (SILVA FILHO, 
2001) 
 
 
 
40 
4 REFERÊNCIAS BIBLIOGRÁFICAS 
BRASIL. Decreto Nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional 
de Segurança Cibernética. Brasília: Casa Civil da Presidência da República, 2020. 
BRASIL.Ministério da Justiça. Decreto-Lei Nº 2.848, de 7 de dezembro de 1940. Código 
Penal. Brasília: Casa Civil da Presidência da República, 1940. 
CALDEIRA, S. Qual a diferença entre crime plurilocal e crime à distância? Sandro 
Caldeira, [S. l.], 19 maio 2011. 
CIBERESPAÇO. In: GLOSSÁRIO da Sociedade da Informação. Lisboa: Associação 
para a Promoção e Desenvolvimento da Sociedade da Informação, 2019. 
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São 
Paulo: Novatec, 2011. 
FERNANDES, A. Crimes virtuais e ataques cibernéticos mais do que dobram em um ano. 
Correio Braziliense, Brasília, 4 ago. 2019. 
FREITAS, A. R. Perícia forense aplicada à informática. Orientador: Duval Costa. 2003. 
58 f. Trabalho de Conclusão de Curso (Pós-Graduação “Lato Sensu” em Internet 
Security) – Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2003. 
SILVA FILHO, W. L. Crimes Cibernéticos e Computação Forense. 
LGPD: O manual para compreender a lei geral de proteção de dados. TOTVS, São Paulo, 
26 set. 2019. 
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Forensic File Carving 
Tool Specification: Draft Version 1.0 for Public Comment. Gaithesburg: NIST, 2014. 
NYE JUNIOR, J. S. The future of power. New York: PublicAffairs, 2011. 
Processo de Investigação Forense computacional, [S. l.], [20--]. (Projeto desenvolvido 
por alunos da disciplina “Direito e Informática” – DIR410011, ministrada pelo professor 
Aires J. Rover para alunos do programa de mestrado em Ciências da Computação da 
Universidade Federal de Santa Catarina). 
RACHEL, A. R. O que se entende por crime à distância? Jusbrasil, Salvador, 
25 set. 2009. 
REIS, F. M. Forense computacional: técnicas para preservação de evidências em 
coleta e análise de artefatos. Orientadora: Ana Cristina Azevedo Pontes de Carvalho. 
2013. Monografia (Aperfeiçoamento/Especialização em Computação Forense) – 
Universidade Presbiteriana Mackenzie, São Paulo, 2013. 
 
 
41 
RIOS, A. Brainstorming para Estudos Forenses. Estudos Forenses – Site de Estudo 
de Computação Forense, [S. l.], 7 maio 2012. 
SILVEIRA, W. P. Como se define o local do crime nos crimes plurilocais e nos crimes à 
distância? Jusbrasil, Salvador, 16 abr. 2018. 
SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de 
Ciências e Saúde, Taguatinga, v. 5, n. 2, p. 99–111, 2016. 
SOUZA JUNIOR, A. F. Segurança Cibernética: Política Brasileira e a Experiência 
Internacional. Orientador: Rosalvo Ermes Streit. 2013. 120 f. Dissertação (Mestrado em 
Gestão do Conhecimento e Tecnologia da Informação) – Universidade Católica de 
Brasília, Brasília, 2013. 
TOMÁS, E. M. C. Crimes informáticos: legislação brasileira e técnicas de forense 
computacional aplicadas à essa modalidade de crime. Orientador: Mauro Cesar 
Sobrinho. 2009. 42 f. Monografia (Especialização em Gestão e segurança em redes de 
computadores) – Centro Universitário Euro-Americano, Brasília, 2009. 
KOZCIAK, P. C. Conceitos de forense computacional. SAGAH – Soluções 
Educacionais Integradas, 2020.