Informática forense para Perito Criminal: aquisição, preservação e análise de evidências digitais

Fundamentos de evidência digital

O que é evidência digital e por que ela é “frágil”

Evidência digital é qualquer informação com potencial valor probatório armazenada, processada ou transmitida por sistemas computacionais (computadores, celulares, servidores, nuvem, roteadores, câmeras IP, mídias removíveis). Ela é considerada frágil porque pode ser alterada sem deixar sinais visíveis, pode ser sobrescrita automaticamente (por exemplo, logs rotativos) e pode depender de contexto técnico (fuso horário, sincronização NTP, formato de timestamp, permissões).

Volatilidade: ordem prática de prioridade

Volatilidade é a tendência de um dado desaparecer ou mudar rapidamente. Em geral, quanto mais “próximo” do processamento em tempo real, mais volátil. Exemplos típicos (do mais volátil ao menos volátil):

• Estado de execução (processos, conexões de rede, sessões logadas).
• Memória RAM (chaves, conteúdo de chats em apps abertos, artefatos de navegação em uso).
• Armazenamento local (SSD/HDD) e mídias removíveis.
• Backups e registros em serviços remotos (nuvem, provedores).

Implicação prática: se o equipamento estiver ligado e houver risco de perda de dados voláteis relevantes (ex.: malware em execução, sessão ativa), a estratégia pode incluir aquisição de memória e coleta de estado do sistema antes do desligamento, sempre dentro do escopo do exame e com documentação rigorosa.

Integridade: o que significa “não alterado” no contexto digital

Integridade é a garantia de que o conteúdo analisado é o mesmo que foi adquirido. Em informática forense, a integridade é sustentada por: (1) aquisição controlada (preferencialmente com bloqueio de escrita), (2) geração de hashes, (3) armazenamento seguro das imagens e (4) repetição de verificação de hash ao longo do fluxo (antes/depois de transferências e antes da análise).

Hash: impressão digital do arquivo/imagem

Hash é um resumo criptográfico (ex.: SHA-256) calculado a partir dos bytes de um arquivo, partição ou disco. Se um único bit mudar, o hash muda. Usos práticos:

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

• Confirmar que a imagem forense é cópia fiel do original.
• Detectar corrupção durante cópia/armazenamento.
• Identificar arquivos conhecidos (comparação com bases de hashes, quando aplicável).

Boa prática: registrar pelo menos um hash forte (SHA-256) e, quando exigido por procedimento, também MD5 para compatibilidade com ferramentas legadas, deixando claro que o controle principal é por algoritmo moderno.

Imagem forense: cópia bit a bit e cópia lógica

Imagem forense é uma cópia destinada à análise sem manipular o original. Há dois conceitos comuns:

• Aquisição física (bit a bit): copia setores do armazenamento, incluindo espaço não alocado e, em alguns casos, áreas de slack. É indicada quando se busca recuperação de apagados, análise de particionamento, artefatos residuais e maior completude.
• Aquisição lógica: copia estruturas acessíveis pelo sistema (arquivos/pastas, exportações de aplicativos, backups). É útil quando há restrições de acesso, criptografia, tempo, ou quando o objetivo é focado em conjuntos específicos.

Exemplo: em um notebook suspeito de exfiltração, a aquisição física permite buscar vestígios de arquivos apagados e rastros em espaço não alocado; já em um serviço corporativo com pastas compartilhadas, uma aquisição lógica pode ser suficiente para coletar documentos e logs relevantes, se o escopo assim definir.

Logs e metadados: “o que aconteceu” e “como o arquivo se comporta”

Logs registram eventos (autenticação, acesso, erros, conexões). Podem existir no sistema operacional, aplicativos, dispositivos de rede e serviços em nuvem. Metadados são atributos associados a objetos digitais (datas, autor, caminho, permissões, EXIF de imagens, cabeçalhos de e-mail, propriedades de documentos).

Cuidados: logs podem ser rotativos (sobrescritos), podem estar em UTC ou horário local, e podem ser afetados por relógio incorreto. Metadados podem ser alterados por cópias, edições e sincronizações; por isso, a interpretação deve considerar a origem e o mecanismo de geração.

Fluxo de trabalho em informática forense (do recebimento à análise)

1) Apreensão e isolamento do dispositivo/ambiente

Objetivo: evitar alteração remota, sincronizações automáticas e destruição de evidências, além de preservar o estado relevante.

Passo a passo prático (visão operacional):

• Identificar o tipo de ativo: desktop, notebook, celular, servidor, NAS, roteador, DVR/câmera IP, mídia removível, conta em nuvem.
• Registrar estado inicial: ligado/desligado, tela ativa, aplicativos abertos, conexões aparentes, presença de criptografia (ex.: aviso de disco criptografado), rede conectada (Wi‑Fi/cabo).
• Isolar comunicações quando necessário: modo avião (quando aplicável), remoção de SIM, bloqueio de rede, uso de bolsas de isolamento para rádio (quando apropriado), desconexão física de rede em computadores.
• Decidir estratégia de desligamento/continuidade: se houver necessidade de dados voláteis, planejar coleta antes de desligar; se o risco de alteração for alto e não houver coleta de voláteis, desligar de forma controlada conforme procedimento.
• Identificar credenciais e tokens visíveis (sem “fuçar” além do escopo): anotar usuário logado, nomes de contas exibidos, serviços sincronizados aparentes.

Exemplo: um notebook ligado com cliente de e-mail aberto e VPN ativa pode conter evidência volátil (sessão, conexões, chaves em memória). A decisão entre coletar RAM ou desligar deve considerar risco de criptografia (perder acesso ao disco ao desligar), escopo e autorização.

2) Preservação: reduzir ao mínimo qualquer alteração

Preservação, em informática forense, significa manter o original inalterado e trabalhar em cópias verificáveis. Isso envolve controle de acesso, armazenamento seguro e prevenção de escrita acidental.

Passo a passo prático:

• Para mídias de armazenamento: utilizar bloqueador de escrita (hardware ou método equivalente validado) antes de qualquer leitura em estação forense.
• Evitar inicializações desnecessárias do sistema original (boot altera logs, caches e timestamps).
• Armazenar o original em embalagem adequada e ambiente controlado, com identificação clara.
• Registrar todas as ações técnicas: quem fez, quando, com que ferramenta, versão e configurações relevantes.

3) Aquisição: lógica e física (e quando escolher cada uma)

A aquisição deve ser reprodutível e verificável. A escolha entre lógica e física depende do objetivo, do tempo, do tipo de dispositivo e de barreiras como criptografia.

Aquisição física (armazenamento)

Quando é indicada: necessidade de recuperar apagados, examinar espaço não alocado, investigar manipulação de partições, analisar artefatos residuais.

Passo a passo prático (alto nível):

• Conectar a mídia à estação forense com bloqueio de escrita.
• Selecionar formato de imagem forense (ex.: E01/Ex01, RAW/DD) conforme ferramenta e necessidade de compressão/metadados.
• Configurar cálculo de hash durante a aquisição (preferencialmente SHA-256) e registrar o valor.
• Gerar a imagem e validar ao final (verificação de hash da imagem vs. leitura do original, conforme método da ferramenta).
• Armazenar a imagem em mídia segura e criar cópia de trabalho (working copy) para análise.

Aquisição lógica (arquivos, perfis e exportações)

Quando é indicada: foco em conjuntos específicos (documentos, pastas de projeto), restrição técnica (criptografia sem chave), necessidade de rapidez, ou coleta em ambientes remotos (servidores/nuvem) com exportações e logs.

Passo a passo prático:

• Definir claramente o escopo (quais diretórios, quais contas, qual intervalo temporal).
• Exportar/colecionar dados preservando metadados quando possível (ex.: cópia que mantenha MAC times no sistema de arquivos de origem, ou exportações nativas com trilha de auditoria).
• Calcular hash dos conjuntos coletados (por arquivo e/ou por contêiner/arquivo de exportação).
• Registrar parâmetros: filtros aplicados, datas, identificadores de conta, IDs de mensagens, IDs de eventos.

Observação: em celulares, “lógica” pode significar extrações via backup, APIs do sistema ou exportações do aplicativo; “física” pode ser inviável ou restrita por criptografia e mecanismos de segurança. O perito deve documentar limitações técnicas encontradas.

4) Verificação de integridade: checagens repetidas e rastreáveis

Integridade não é um evento único; é uma rotina. Verifique hashes:

• Ao final da aquisição.
• Após transferir a imagem para outro armazenamento.
• Antes de iniciar a análise (para garantir que a cópia de trabalho está íntegra).
• Após gerar exportações para anexos técnicos (quando aplicável).

Passo a passo prático:

• Recalcular SHA-256 do arquivo de imagem (ou do conjunto) e comparar com o valor registrado.
• Se houver divergência: interromper, isolar a mídia, identificar ponto de falha (cópia, armazenamento, corrupção), refazer a cópia a partir do original quando possível e registrar o incidente.

Análise forense: sistemas de arquivos, artefatos e correlação

1) Sistemas de arquivos: onde procurar e como interpretar

A análise começa entendendo o sistema de arquivos (ex.: NTFS, exFAT, APFS, ext4) e seus mecanismos de registro de metadados. Pontos recorrentes:

• Estrutura: partições, volumes, diretórios, permissões.
• Metadados de tempo: timestamps associados a arquivo e diretório (criação, modificação, acesso, alteração de metadados). A disponibilidade e semântica variam por sistema.
• Espaço não alocado e slack: pode conter fragmentos de arquivos apagados ou dados residuais.

Exemplo prático: um arquivo “contrato.pdf” pode ter sido copiado de outro local; a data de “criação” pode refletir o momento da cópia naquele volume, não a autoria original. A interpretação deve considerar o caminho de aquisição e o comportamento do sistema.

2) Artefatos de sistema e usuário (exemplos típicos)

Artefatos são rastros deixados por uso do sistema e aplicativos. Exemplos comuns (variando por plataforma):

• Inicialização e logon: registros de autenticação, perfis de usuário, sessões.
• Execução de programas: histórico de execução, prefetch/artefatos equivalentes, listas de recentes.
• Dispositivos conectados: histórico de USB, volumes montados, identificadores.
• Persistência e malware: tarefas agendadas, serviços, chaves de inicialização, extensões suspeitas.
• Arquivos recentes: atalhos, listas MRU, caches.

Passo a passo prático (método de triagem):

• Definir hipótese operacional: exfiltração? fraude documental? invasão? assédio via mensagens?
• Listar artefatos que respondem “quem/como/quando”: logons, execução, rede, dispositivos, arquivos manipulados.
• Extrair e normalizar timestamps (converter para um fuso de referência e registrar qual).
• Correlacionar com logs externos (servidor, firewall, e-mail, nuvem) quando disponíveis.

3) Navegação web: histórico, cache e downloads

Em investigações envolvendo pesquisa, acesso a serviços e obtenção de arquivos, a navegação é central. Fontes típicas:

• Histórico de URLs e termos (quando armazenados).
• Cookies e armazenamento local (identificadores de sessão, preferências).
• Cache (fragmentos de páginas, imagens, scripts).
• Lista de downloads (nome, origem, horário, caminho).

Cuidados: modo privado pode reduzir registros, mas não garante ausência total de artefatos; sincronização de navegador pode espalhar evidências por outros dispositivos/contas; e timestamps podem refletir “último acesso” ao cache, não necessariamente a primeira visita.

4) Comunicações: e-mail, mensageria e chamadas

Para comunicações, o foco é reconstruir contexto e autoria: quem enviou, para quem, quando, por qual meio, e se há anexos/links. Fontes:

• E-mail: cabeçalhos completos (Received, Message-ID), servidores envolvidos, anexos, pastas (enviados, rascunhos).
• Mensageria: bancos locais (quando existentes), backups, mídias, registros de notificação, tokens de conta.
• Chamadas: registros do sistema, operadora (quando fornecido), apps VoIP.

Exemplo: um print de conversa tem baixo valor isoladamente; já a extração que preserva IDs de mensagem, participantes, timestamps e anexos (com hashes) permite análise de consistência e correlação com outros eventos (ex.: upload de arquivo em nuvem no mesmo minuto).

Limites e cuidados legais/operacionais na informática forense

Escopo do exame: delimitação objetiva

O escopo define o que será buscado e analisado (tipos de dados, período, contas, dispositivos). Em evidência digital, escopo mal definido gera dois riscos: (1) excesso de coleta/análise de dados pessoais irrelevantes e (2) perda de foco técnico, aumentando ruído e tempo.

Boas práticas:

• Trabalhar com recortes: janela temporal, palavras-chave justificadas, tipos de arquivo, contas específicas.
• Separar “coleta ampla” de “análise minimizada”: mesmo quando a aquisição física é necessária, a análise pode ser limitada ao que responde aos quesitos.
• Documentar decisões de inclusão/exclusão: por que determinado artefato foi analisado e outro não.

Minimização: tratar dados sensíveis com necessidade e proporcionalidade

Minimização é reduzir exposição de dados não pertinentes. Na prática:

• Evitar abrir/visualizar conteúdo íntimo ou irrelevante quando metadados e hashes já respondem ao quesito.
• Preferir extrações e relatórios que mascaram dados pessoais não relacionados (quando permitido pelo procedimento).
• Manter cópias de trabalho com acesso restrito e trilha de auditoria.

Documentação técnica: reprodutibilidade e transparência

Além de registrar resultados, documente o “como”: ferramentas, versões, parâmetros, filtros, time zone, método de aquisição, erros e limitações. Isso permite que outro perito reproduza o caminho analítico.

Checklist de documentação:

• Identificação do dispositivo/mídia (modelo, serial, capacidade, estado).
• Método de aquisição (lógica/física), formato da imagem, compressão, split, criptografia.
• Hashes (algoritmo e valores) do original (quando possível), da imagem e das exportações.
• Ambiente de análise (SO, ferramentas e versões).
• Configurações críticas: fuso horário adotado, conversões de timestamp, filtros aplicados.
• Limitações: dados inacessíveis por criptografia, áreas corrompidas, logs ausentes/rotacionados.

Exercícios conceituais (interpretação e correlação)

Exercício 1 — Interpretação de timestamps e fuso horário

Um arquivo “relatorio.docx” aparece com os seguintes horários (horário do sistema):

• Criação: 10/03 09:12
• Modificação: 10/03 09:40
• Último acesso: 10/03 09:41

No mesmo caso, o log do servidor de e-mail registra envio de anexo “relatorio.docx” às 12:45 UTC em 10/03.

Perguntas:

• Que hipótese explica a diferença entre 09:40 (modificação local) e 12:45 UTC (envio)?
• Quais verificações você faria antes de concluir que houve manipulação de horário? (ex.: fuso do sistema, horário de verão, NTP, configuração do servidor, conversão correta).
• Se o computador estiver em UTC-3, qual seria o horário local do envio e como isso altera a interpretação?

Exercício 2 — Correlação de eventos (linha do tempo)

Considere os eventos abaixo (todos já convertidos para o mesmo fuso):

• 14:02:10 — Log de autenticação: usuário “A” logou no computador.
• 14:05:33 — Artefato de execução: “zip.exe” executado.
• 14:06:01 — Sistema de arquivos: criação de “dados.zip” na pasta Downloads.
• 14:06:20 — Navegador: download concluído de “dados.zip” a partir de um link.
• 14:07:05 — Firewall: conexão de saída para IP externo na porta 443 com pico de tráfego.

Perguntas:

• Qual narrativa técnica mais provável para a sequência?
• Que evidências adicionais você buscaria para sustentar exfiltração (ex.: histórico do navegador, destino do tráfego, logs de proxy, presença de cliente de nuvem, artefatos de upload)?
• Que alternativa inocente poderia explicar o pico de tráfego e como você testaria essa alternativa?

Exercício 3 — Identificação de lacunas de evidência

Durante a análise, você encontra:

• Histórico do navegador com lacuna de 7 dias (sem registros).
• Logs do sistema com rotação diária e ausência de arquivos de log em 3 datas específicas.
• Indícios de limpeza (aplicativo de “otimização” instalado).

Perguntas:

• Quais causas possíveis para a lacuna (técnicas e comportamentais) sem assumir automaticamente dolo?
• Que fontes alternativas podem preencher o período (DNS cache, registros de roteador, logs de provedor corporativo, backups, artefatos de aplicativos, arquivos temporários)?
• Como documentar a limitação de forma tecnicamente neutra, indicando impacto na capacidade de inferência?

Exercício 4 — Metadados vs. conteúdo: consistência

Um PDF contém no metadado “Autor”: “João”, e “Criado em”: 01/04 08:00. No sistema de arquivos, o PDF foi criado no volume em 05/04 18:22. Há também um e-mail de 05/04 18:25 com o PDF anexado.

Perguntas:

• Explique uma hipótese plausível que concilie as datas (ex.: PDF criado antes e copiado depois; exportação; alteração por editor).
• Que evidências você buscaria para confirmar a origem (hash em backups, caminho anterior, histórico de edição, logs de exportação do aplicativo, cabeçalhos do e-mail)?
• Em que situações metadados internos do documento são menos confiáveis que metadados do sistema (e vice-versa)?

// Modelo simples de checklist de análise (para estudo) - adaptar ao caso e ao escopo
1) Confirmar integridade: SHA-256 da imagem/cópia de trabalho
2) Identificar SO e sistema de arquivos; mapear partições/volumes
3) Construir timeline inicial (logons, execução, rede, arquivos)
4) Extrair artefatos por hipótese (navegação, comunicações, USB, persistência)
5) Correlacionar com fontes externas (servidor, firewall, nuvem) quando disponíveis
6) Registrar limitações (criptografia, logs ausentes, rotação, corrupção)
7) Exportar evidências com hashes e metadados preservados