Capa do Ebook gratuito Perito Criminal Federal: Ciências Aplicadas à Investigação e à Prova Técnica

Perito Criminal Federal: Ciências Aplicadas à Investigação e à Prova Técnica

Novo curso

16 páginas
Todos os cursos > Concursos > Policia Federal ::

Perícia Criminal Federal em Informática Forense e Evidência Digital

Capítulo 13

Tempo estimado de leitura: 16 minutos

+ Exercício

Princípios da evidência digital

Evidência digital é qualquer informação com valor probatório armazenada, processada ou transmitida por sistemas computacionais. Diferentemente de muitos vestígios físicos, ela pode ser copiada sem perda aparente, alterada com facilidade e depender de contexto técnico (sistema operacional, fuso horário, aplicativos, rede) para ser interpretada corretamente.

Volatilidade: o que some primeiro

Volatilidade é a tendência de certos dados desaparecerem rapidamente quando o dispositivo é desligado, reiniciado ou quando processos continuam executando. Em geral, quanto mais “próximo” da execução em memória, mais volátil é o dado.

  • Altamente volátil: conteúdo de RAM, processos em execução, conexões de rede ativas, chaves de criptografia em memória, área de transferência.
  • Moderadamente volátil: arquivos temporários, caches de navegador, logs em rotação, tabelas ARP, DNS cache.
  • Menos volátil: arquivos em disco, registros persistentes, backups, mídias removíveis.

Implicação prática: a estratégia de coleta deve priorizar o que se perde primeiro, desde que a intervenção não comprometa a preservação e a integridade.

Preservação: manter o estado e evitar contaminação

Preservar é reduzir ao mínimo as alterações no sistema e registrar tudo o que foi feito. Em informática forense, qualquer interação pode gerar escrita em disco, atualizar metadados, alterar logs e modificar estados internos.

  • Preferir aquisição por métodos que evitem escrita no dispositivo (ex.: bloqueio de escrita em mídias).
  • Isolar o dispositivo de redes quando necessário (para evitar sincronização, limpeza remota, atualização automática), documentando o procedimento.
  • Registrar data/hora, condições do equipamento, telas visíveis, conexões, mídias acopladas e estado de energia.

Integridade: provar que não houve alteração

Integridade é demonstrada por mecanismos de verificação, principalmente por funções hash criptográficas (ex.: SHA-256). O hash atua como “impressão digital” do conteúdo: se o conteúdo muda, o hash muda.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Calcular hash do original (quando tecnicamente possível), da imagem forense e das cópias de trabalho.
  • Registrar algoritmo, ferramenta/versão e momento do cálculo.
  • Recalcular hashes em etapas críticas (transferência, armazenamento, anexação ao laudo).

Reprodutibilidade: chegar ao mesmo resultado

Reprodutibilidade é a capacidade de outro perito, com os mesmos dados e método, obter resultados equivalentes. Isso exige padronização de procedimentos, registro de parâmetros e preservação das fontes.

  • Descrever ferramentas, versões, configurações e filtros aplicados.
  • Manter trilha de auditoria: comandos executados, scripts, consultas, critérios de inclusão/exclusão.
  • Separar claramente: dados brutos (imagem), dados processados (índices, extrações) e interpretações (inferências).

Aquisição forense: imagens, hashes e documentação técnica

Tipos de aquisição

  • Imagem física: cópia bit a bit do dispositivo (inclui espaço não alocado). Útil para recuperação e análise profunda.
  • Imagem lógica: cópia de arquivos e estruturas acessíveis pelo sistema. Menos invasiva, porém pode perder artefatos e áreas não alocadas.
  • Aquisição de memória (RAM): captura do estado volátil para investigar processos, conexões, injeções e chaves em memória.
  • Aquisição seletiva: coleta orientada por escopo (pastas, tipos de arquivo, logs específicos), com justificativa técnica.

Passo a passo prático: aquisição de mídia de computador (disco/SSD)

Objetivo: obter uma imagem forense verificável, minimizando alterações.

  • 1) Preparação e documentação: fotografar conexões, anotar modelo/serial do dispositivo e do armazenamento, registrar estado (ligado/desligado), data/hora e fuso do ambiente.
  • 2) Decisão de abordagem: se o sistema estiver ligado, avaliar necessidade de coleta volátil (RAM, conexões) antes de desligar. Se desligado, evitar ligar.
  • 3) Bloqueio de escrita: conectar o dispositivo de armazenamento a um equipamento forense com bloqueio de escrita (hardware/software), registrando o método.
  • 4) Identificação do dispositivo: listar discos/partições, confirmar capacidade e assinaturas (ex.: tabela de partição), evitando confusão entre origem e destino.
  • 5) Aquisição: gerar imagem física (quando cabível) para um destino controlado, registrando taxa, erros de leitura e setores defeituosos.
  • 6) Hashes: calcular SHA-256 (e, se necessário, hash adicional) do dispositivo/imagem e registrar resultados.
  • 7) Verificação: validar que o hash da imagem corresponde ao esperado e que a cópia de trabalho mantém o mesmo hash.
  • 8) Armazenamento: lacrar e armazenar mídia original; trabalhar apenas em cópias, mantendo registro de acessos.

Observações técnicas: SSD, TRIM e criptografia

  • SSD e TRIM: áreas “apagadas” podem ser efetivamente limpas pelo controlador, reduzindo a recuperabilidade. Isso deve ser considerado como limitação técnica.
  • Criptografia: discos criptografados podem exigir aquisição em estado ligado (para capturar chaves em memória) ou coleta de credenciais/chaves, sempre com registro do método e das limitações.
  • Ambientes virtuais: VMs e discos virtuais (VMDK, VHDX) podem ser adquiridos como arquivos, preservando metadados e hashes.

Cadeia de custódia digital (registro técnico-operacional)

No contexto digital, além do controle físico do item, é essencial o controle lógico: quem acessou a imagem, quando, com qual finalidade, em qual estação e com quais ferramentas. Isso reduz questionamentos sobre contaminação e reforça a confiabilidade.

  • Identificação única do item (mídia original, imagem, cópias de trabalho).
  • Registro de hashes em cada transferência.
  • Controle de permissões e logs de acesso ao repositório.
  • Separação entre ambiente de aquisição e ambiente de análise.

Coleta em dispositivos: computadores, celulares e mídias removíveis

Computadores (desktop/notebook)

Em computadores, a coleta costuma envolver disco, memória e artefatos do sistema operacional. A decisão crítica é: coletar voláteis antes de desligar? Isso depende do risco de perda (ex.: criptografia ativa, conexões remotas, malware em execução) versus risco de alteração (interagir com o sistema).

  • Voláteis úteis: lista de processos, conexões, tabelas de roteamento, usuários logados, conteúdo de RAM.
  • Persistentes úteis: logs do sistema, histórico de navegação, registros de execução, arquivos recentes, perfis de usuário.

Celulares e tablets

Dispositivos móveis combinam criptografia, sincronização em nuvem e forte dependência de bloqueio por senha/biometria. A aquisição pode ser lógica, de sistema de arquivos ou física (quando suportada), e frequentemente envolve extração de bancos de dados de aplicativos.

Passo a passo prático: coleta inicial em dispositivo móvel

  • 1) Isolamento de rede: impedir comunicação (modo avião/isolamento controlado), documentando a técnica para evitar sincronização ou limpeza remota.
  • 2) Registro do estado: fotografar tela, notificações, nível de bateria, redes conectadas, data/hora exibida, aplicativos abertos.
  • 3) Preservação de energia: manter alimentação se necessário para evitar desligamento e perda de acesso (quando o desbloqueio depende de estado ligado).
  • 4) Escolha do método: definir extração (lógica/sistema de arquivos/física) conforme modelo, versão, bloqueio e objetivo.
  • 5) Aquisição e validação: gerar extração, registrar logs da ferramenta e calcular hashes dos artefatos exportados (imagens, dumps, relatórios).
  • 6) Coleta de nuvem (quando pertinente): identificar contas e serviços (mensageria, backup), coletar por vias oficiais/técnicas adequadas, preservando logs e metadados.

Mídias removíveis (pendrives, cartões, HD externo)

São fontes comuns de exfiltração e transporte de dados. A aquisição deve considerar bloqueio de escrita e preservação de metadados.

  • Preferir imagem física para permitir recuperação de arquivos apagados.
  • Registrar sistema de arquivos (FAT/exFAT/NTFS/ext) e presença de partições ocultas.
  • Observar artefatos de uso: pastas recentes, arquivos de atalho, metadados de criação/modificação e possíveis contêineres criptografados.

Registros de logs: coleta e interpretação

Logs são registros de eventos gerados por sistemas e aplicações. Eles sustentam reconstruções temporais e correlação de ações (login, acesso a arquivo, conexão de rede, execução de programa). A análise exige atenção a rotação, retenção, fuso horário e integridade.

Passo a passo prático: coleta orientada de logs

  • 1) Mapear fontes: sistema operacional, aplicações (servidor web, banco de dados), segurança (antivírus/EDR), rede (firewall, proxy), autenticação (AD/LDAP), nuvem.
  • 2) Preservar formato original: exportar em formato nativo quando possível, mantendo metadados e assinaturas.
  • 3) Registrar contexto: hostname, IP, timezone, NTP, política de retenção e rotação.
  • 4) Hash e armazenamento: calcular hashes dos arquivos de log coletados e armazenar em repositório controlado.
  • 5) Normalização para análise: criar cópias para parsing, sem alterar o original; documentar ferramentas e expressões de filtro.

Cuidados frequentes

  • Fuso horário e horário de verão: eventos podem estar em UTC, local ou misto; converter e registrar a regra.
  • Clock drift: relógios desalinhados entre máquinas exigem correção estimada e declaração de incerteza.
  • Logs incompletos: rotação, limpeza, falhas de disco ou configuração podem gerar lacunas; isso deve ser explicitado como limitação.

Análise: sistemas de arquivos, artefatos e linha do tempo

Fundamentos de sistemas de arquivos (visão pericial)

Sistemas de arquivos organizam dados e metadados (nomes, datas, permissões, localização). A perícia explora tanto o conteúdo quanto os metadados e estruturas internas.

  • Metadados de tempo: criação, modificação, último acesso e alteração de metadados (varia por sistema).
  • Espaço não alocado: pode conter fragmentos de arquivos apagados.
  • Journaling: registros de transações podem revelar operações recentes.
  • Artefatos de execução: evidências de programas executados e arquivos abertos recentemente.

Artefatos comuns (exemplos práticos)

  • Navegação: histórico, cookies, cache, downloads, sessões e armazenamento local.
  • Mensageria: bancos de dados locais, anexos, registros de chamadas, tokens e backups.
  • Persistência: itens de inicialização, tarefas agendadas, serviços, extensões de navegador.
  • Conexões de dispositivos: histórico de mídias USB, redes Wi‑Fi conhecidas, pareamentos.
  • Documentos: metadados internos (autor, software, timestamps), versões e trilhas de edição.

Linha do tempo (timeline): reconstrução de eventos

A timeline integra múltiplas fontes temporais para responder “o que aconteceu, quando e em que sequência”. Ela não é apenas uma lista de datas: deve relacionar eventos e explicar dependências.

Passo a passo prático: construção de timeline e validação

  • 1) Definir janela temporal: período de interesse (ex.: do primeiro acesso suspeito ao último evento relevante).
  • 2) Coletar fontes: metadados de arquivos, logs do sistema, logs de aplicativos, eventos de rede, artefatos de usuário.
  • 3) Normalizar horários: converter para uma referência (ex.: UTC) e registrar a conversão.
  • 4) Correlacionar: agrupar por usuário, host, IP, processo e identificadores (hash de arquivo, nome de conta).
  • 5) Checar consistência: procurar contradições (ex.: arquivo “criado” após ter sido “executado”), explicando causas possíveis (cópia, restauração, timezone, sincronização).
  • 6) Evidenciar incertezas: marcar eventos inferidos versus observados diretamente em logs.

Recuperação de dados e análise de conteúdo

Recuperação (carving e reconstrução)

Recuperação busca dados apagados, fragmentados ou parcialmente corrompidos. Técnicas variam conforme sistema de arquivos e tipo de mídia.

  • Carving: identificação por assinaturas de arquivo (headers/footers) no espaço não alocado.
  • Recuperação por metadados: uso de tabelas e registros do sistema de arquivos para reconstruir nomes, caminhos e datas.
  • Versões e sombras: cópias de segurança locais, snapshots e caches podem conter versões anteriores.

Limitações típicas: sobrescrita, TRIM em SSD, criptografia e fragmentação intensa podem impedir recuperação completa.

Correlação de eventos: transformar achados em narrativa técnica

Correlação é ligar evidências de diferentes fontes para sustentar uma hipótese (ex.: download de arquivo malicioso, execução, persistência, comunicação externa). Exemplo de cadeia correlacionada:

  • Log do navegador indica download de um executável em determinado horário.
  • Metadados mostram criação do arquivo na pasta de downloads.
  • Artefato de execução indica que o binário foi executado pelo usuário.
  • Logs de rede mostram conexão de saída para um IP/porta compatível com comando e controle.
  • Persistência é identificada em tarefa agendada criada logo após a execução.

Fundamentos de redes aplicados à evidência digital

Endereçamento e identificação

  • IP: identifica um ponto na rede; pode ser público (internet) ou privado (rede interna).
  • Portas: indicam serviços/aplicações (ex.: 443 para HTTPS), mas podem ser usadas de forma não padrão.
  • MAC: identificador de interface local; útil em redes internas e correlação com DHCP.
  • NAT: múltiplos dispositivos podem compartilhar um IP público; a atribuição exige logs (roteador, firewall, provedor) e horários precisos.

Roteamento e pontos de observação

Roteamento define por onde o tráfego passa. Em perícia, o ponto de coleta determina o que é visível:

  • Host: logs locais, histórico de conexões, DNS cache.
  • Gateway/firewall: fluxos, NAT, bloqueios, conexões externas.
  • Proxy: URLs e categorias acessadas, autenticação.
  • Servidor: logs de aplicação, autenticação, transações.

Logs de rede e o que eles respondem

  • DNS: quais domínios foram resolvidos (intenção/descoberta), nem sempre prova acesso ao conteúdo.
  • DHCP: qual IP foi atribuído a qual MAC em determinado horário (atribuição interna).
  • Firewall/NetFlow: quem falou com quem (IP/porta/tempo/volume), geralmente sem conteúdo.
  • Web server: requisições recebidas (métodos, URLs, user-agent, status).

Em tráfego criptografado (TLS), muitas vezes a evidência é indireta: metadados de conexão, SNI (quando disponível), certificados e padrões de fluxo.

Investigação de fraudes digitais (visão conceitual)

Fraudes digitais envolvem manipulação de sistemas, identidades ou transações para obter vantagem indevida. A perícia busca responder: quem realizou a ação, como, quando, a partir de onde e com quais impactos.

Padrões comuns e evidências típicas

  • Fraude de credenciais: indícios de phishing, reutilização de senha, logins anômalos, alteração de fatores de autenticação.
  • Fraude transacional: trilhas em logs de aplicação, banco de dados, integrações e conciliações; divergências entre camadas (front-end vs back-end).
  • Fraude interna: uso de privilégios, acessos fora do padrão, alterações em registros, exclusões seletivas de logs.
  • Fraude por automação: scripts/bots, padrões de requisições, user-agents, taxas e horários incompatíveis com uso humano.

Passo a passo prático: abordagem de caso de fraude em sistema

  • 1) Delimitar o evento: transação/conta/intervalo de tempo e impacto (valores, registros afetados).
  • 2) Mapear arquitetura: componentes (app, API, banco, autenticação, filas, terceiros) e onde há logs.
  • 3) Coletar logs com integridade: exportar trilhas de auditoria, logs de acesso e transações, com hashes.
  • 4) Correlacionar identidades: usuário, IP, dispositivo, sessão, token, MFA, geolocalização aproximada (quando disponível).
  • 5) Verificar consistência: comparar registros em camadas diferentes e procurar lacunas/alterações.
  • 6) Documentar limitações: ausência de logs, retenção insuficiente, NAT sem registros, relógios desalinhados.

Malware: fundamentos conceituais para análise pericial

Malware é software malicioso projetado para comprometer confidencialidade, integridade ou disponibilidade. A perícia frequentemente precisa identificar sinais de infecção, vetor provável e efeitos, sem necessariamente realizar engenharia reversa completa.

Famílias e comportamentos (alto nível)

  • Trojan/loader: instala ou baixa outros componentes.
  • Ransomware: cifra dados e pode exfiltrar informações.
  • Spyware/stealer: coleta credenciais, cookies, carteiras digitais.
  • Worm: propaga-se pela rede.
  • Backdoor: mantém acesso persistente.

Indicadores e artefatos típicos

  • Persistência: serviços, tarefas agendadas, chaves/itens de inicialização, perfis de configuração.
  • Execução: registros de execução, criação de processos, módulos carregados.
  • Rede: conexões periódicas, domínios recém-criados, padrões de beaconing, uso incomum de portas.
  • Arquivos: binários em diretórios atípicos, nomes semelhantes a componentes do sistema, timestamps incoerentes.

Passo a passo prático: triagem de suspeita de malware

  • 1) Preservar e adquirir: imagem de disco e, se aplicável, memória RAM para capturar processos e conexões.
  • 2) Identificar executáveis suspeitos: por localização, assinaturas, hashes, relação com persistência.
  • 3) Mapear persistência: listar mecanismos e vincular ao binário/linha de comando.
  • 4) Correlacionar com rede: relacionar horários de execução com conexões e DNS.
  • 5) Avaliar impacto: arquivos cifrados, criação/exfiltração, alterações em configurações e credenciais.
  • 6) Registrar limites: criptografia, ausência de memória, logs incompletos, impossibilidade de atribuição definitiva sem fontes externas.

Estruturação de laudos em informática forense e evidência digital

O laudo deve ser tecnicamente verificável: descrever o que foi recebido, como foi adquirido, como foi analisado e quais resultados são sustentados pelos dados. Em evidência digital, anexos técnicos são essenciais para permitir auditoria e reprodutibilidade.

Estrutura recomendada (seções e conteúdo)

  • Objeto e quesitos: delimitação do escopo (dispositivos, contas, período, hipóteses a testar).
  • Materiais examinados: identificação de dispositivos/mídias/extrações, modelos, seriais, capacidades, versões de sistema quando observáveis.
  • Metodologia de aquisição: tipo de imagem/extração, bloqueio de escrita, ferramentas e versões, parâmetros, ocorrências (erros de leitura, setores defeituosos).
  • Verificação de integridade: tabela de hashes (algoritmo, item, hash, data/hora, responsável), incluindo imagem e cópias de trabalho.
  • Metodologia de análise: procedimentos (indexação, parsing de logs, extração de artefatos, construção de timeline), critérios e filtros.
  • Resultados: achados objetivos com referência à fonte (caminho, registro, log, identificador), datas/horários com timezone, correlações relevantes.
  • Discussão técnica: interpretação limitada ao que os dados suportam; distinção entre fato observado e inferência.
  • Limitações: criptografia, ausência de logs, TRIM, sobrescrita, falhas de mídia, restrições de acesso, janelas de retenção, desalinhamento de relógios.

Anexos técnicos essenciais

  • Inventário de evidências: lista de itens e identificadores únicos.
  • Tabela de hashes: SHA-256 (e outros, se aplicável) para originais, imagens e exportações.
  • Relatórios de ferramentas: logs de aquisição, relatórios de extração, parâmetros de execução.
  • Timeline: planilha/relatório com eventos, fonte, timezone e observações.
  • Listas de artefatos: arquivos relevantes, indicadores de comprometimento, domínios/IPs, contas e sessões.
  • Reprodutibilidade: comandos, scripts, consultas e versões utilizadas (quando aplicável), preservando segredos/credenciais.

Boas práticas de redação técnica

  • Usar linguagem objetiva: “foi observado em”, “consta no log”, “o hash do arquivo é”.
  • Evitar extrapolações: atribuição de autoria exige elementos adicionais (controle de credenciais, contexto de acesso, correlação robusta).
  • Apresentar evidências com referência cruzada: cada afirmação relevante deve apontar para a fonte e o anexo correspondente.
Exemplo de tabela de hashes (modelo para anexo) Item: Imagem_Disco01.E01 Algoritmo: SHA-256 Hash: <valor> Data/Hora: <timestamp> Ferramenta/Versão: <ferramenta> Observação: Verificação pós-transferência OK

Agora responda o exercício sobre o conteúdo:

Ao construir uma linha do tempo (timeline) a partir de múltiplas fontes digitais, qual prática é essencial para evitar interpretações equivocadas dos horários e permitir validação técnica dos eventos?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Uma timeline integra fontes com fusos e formatos distintos. Normalizar para uma referência comum e documentar a conversão (incluindo fuso, horário de verão e possível desalinhamento de relógios) reduz contradições e permite que outro perito valide a sequência de eventos.

Próximo capitúlo

Perícia Criminal Federal em Engenharia: Acidentes, Estruturas e Falhas

Arrow Right Icon
Aprenda Policia Federal

AprendaPolicia Federal

Materiais gratuitos preparatórios específicos para o concurso público de Polícia Federal. Aprenda com vídeo aulas e materiais escritos, online e de graça.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store