Computação Forense: Fundamentos
Caio Cagnani e Valdecir de Deus dos Santos
Universidade do Vale do Rio dos Sinos - UNISINOS
caioafc@hotmail.com , maninho2@bol.com.br
Resumo
A computação forense é uma área nova de pesquisa,
surgiu da necessidade de estudar os atos ilícitos
envolvendo computadores ou demais equipamentos
relacionados a computação em geral. Neste artigo,
pretende-se apresentar conceitos e aspectos legais da
computação forense, bem como as técnicas e ferramentas
comumente utilizadas.
1. Introdução
A crescente expansão dos serviços oferecidos pela
computação à sociedade trouxe enormes benefícios em
termos de velocidade e qualidade, porém, junto com esse
avanço veio também o crescimento dos crimes e demais
atos ilícitos relacionados à informática, como fraudes,
roubo de senhas, violação de direitos autorais e tantos
outros.
Aliada a falta de legislação específica, torna-se muito
complexa a tentativa de se punir os responsáveis pelos
crimes eletrônicos, uma vez que agem aproveitando-se
das deficiências dos sistemas, ou abrindo brechas nas suas
ferramentas de proteção. Surge então a necessidade de
encontrarmos uma maneira de, não somente evitar tais
atitudes como também comprovar a sua ocorrência,
visando a responsabilização dos envolvidos.
O esforço adotado no sentido de produzir provas
aceitáveis desses crimes é chamado de Computação
Forense, e tem como objetivo maior reconstruir o
caminho executado pelo criminoso, mostrando à justiça
os passos por ele utilizados para concretizar o ato ilícito.
O objetivo desse artigo é apresentar conceitos e
aspectos legais da computação forense, bem como as
técnicas e ferramentas comumente utilizadas.
Esse artigo foi organizado do seguinte modo:
(i)Introdução; (ii)Conceitos; (iii)Aspectos legais;
(iv)Fases da investigação; (v)Conhecimentos necessários;
(vi)Ferramentas necessárias; (vii)Conclusão.
2. Conceitos
Para a melhor compreensão de alguns termos utilizados
ao longo desse artigo, apresentaremos o conceito dos
mais importantes.
1
2.1. Cadeia de Custódia
A Cadeia de Custódia é um processo usado para manter
e documentar a história cronológica da evidência, para
garantir a idoneidade e o rastreamento das evidências
utilizadas em processos judiciais. Na prática é
representada por um formulário onde são registrados
todos os dados de especificação de uma evidência e todas
as movimentações que possam ocorrer com ela,
registrando os nomes e motivos que fizeram qualquer
pessoa envolvida no processo a tomar contato com a
prova.
2.2. Tipos de Dados e de Análises
Para os fins de perícia forense computacional, ou seja,
para o planejamento da estratégia que será utilizada na
investigação das evidências, os dados serão coletados em
função da sua volatilidade. O tipo de dado, envolvido no
incidente que está sendo investigado, também é
importante na determinação do tipo de análise que será
utilizada na perícia.
2.2.1. Dados Voláteis
São considerados voláteis todos os dados não gravados
em algum tipo de mídia permanente, ou seja, os dados
que são gerados em tempo de execução, que serão
perdidos se houver um desligamento da máquina
envolvida. Alguns tipos de dados voláteis: conexões de
rede, estado das portas do Sistema, programas em
execução, dados na memória do computador, etc...
2.2.2. Dados não Voláteis
São considerados não voláteis todos os dados gravados
de forma permanente ou não em algum tipo de mídia, isto
é, os dados que mesmo que sejam considerados
temporários pelo Sistema, estejam gravados em disco,
podendo ser recuperados depois de um desligamento da
máquina onde estão armazenados. Alguns tipos de dados
não voláteis são: arquivos de log, swap, arquivo de
hibernação, arquivos temporários, etc... Uma importante
informação que pode ser obtida analisando-se os dados
não voláteis é o traçado da linha de tempo dos arquivos
presentes no Sistema, ou seja, caso seja encontrada
alguma evidência importante poderemos afirmar a data e
hora em que foi produzida ou alterada, caso seja
importante para a investigação em andamento.
2.2.3. Análise de Sistemas em Operação (Live
Analysis)
É a análise executada quando o Sistema não pode ser
desligado, ou seja, é feita em tempo real, na maioria das
vezes no próprio local onde se encontra a máquina
suspeita, normalmente um servidor com algum tipo de
suspeita de invasão, que por ser responsável pelo
fornecimento de serviços a um elevado número de
usuários, não pode ser parado, nem mesmo para a perícia.
Embora sejam mais raros os casos desse tipo, são também
os que exigem um maior preparo e cuidado por parte da
equipe responsável pela perícia, uma vez que os dados
precisam ser analisados em tempo real, sendo muito
importante um elevado conhecimento do Sistema em
operação e suas características, bem como a
disponibilidade de um kit de ferramentas computacionais
adequadas e específicas para esse tipo de serviço, já que
qualquer equívoco poderá ocasionar a perda da prova que
está sendo procurada.
2.2.4. Análise de Sistemas fora de Operação
(Dead Analysis)
Ocorre quando o processo de análise pode ser
executado no melhor ambiente possível, ou seja, a
máquina suspeita pode ser desligada e levada a um
laboratório forense, e submetida às ferramentas
adequadas para uma completa e detalhada análise. Nessa
categoria enquadram-se a grande maioria das situações
onde há suspeita sobre uma determinada máquina.
Existe ainda um tipo especial de situação onde a
máquina é apreendida em funcionamento e levada
posteriormente para o laboratório, nesses casos o perito
que acompanha a diligência que tem por missão executar
a apreensão fará uma “imagem” da memória e de todos os
dados voláteis para que possam ser analisados
posteriormente em laboratório juntamente com os dados
não voláteis.
3. Aspectos Legais
O sucesso do resultado de uma perícia, ou seja, a
importância que o laudo gerado pode ter na decisão final
em um processo, é diretamente proporcional a observação
fiel de todas as formalidades legais previstas para esse
evento. Qualquer indício de excesso, ou falta de
observação de algum preceito legal na elaboração da
perícia pode, além de anular o resultado da perícia e a
responsabilização do perito, colocar a perder todo o
2
esforço despendido ao longo de um processo judicial
longo e difícil. Portanto, ainda que não haja no Brasil
uma legislação específica para regular o nível de detalhe
da execução de perícias, se faz necessária um esforço no
sentido de seguir padrões internacionais adotados como
válidos pela maioria das cortes mundiais, bem como a
observação rígida dos poucos artigos das leis brasileiras
que possam regular a sua execução.
3.1. Privacidade
A privacidade, garantida pela Constituição Federal de
1988 a todos os cidadãos brasileiros, traz ao profissional
da computação forense a obrigação de buscar apenas
dados que tenham algum tipo de relacionamento com a
investigação que está sendo feita. Qualquer tipo de
suspeita de quebra dessa regra servirá de motivo para que
a outra parte envolvida no processo pleiteie a anulação do
seu resultado, podendo ainda exigir a reparação de
qualquer dano que por ventura ocorra à imagem de
qualquer um envolvido que tenha dados não relevantes ao
processo expostos, mesmo que apenas dentro do ambiente
forense.
3.2. Legislação (Art. 170 – 171 – CPP)
Os artigos 170 e 171 do Código de Processo Penal
brasileiro são os mais importantes para a perícia, pois
trazem a diretriz geral da preservação dos dados e do
objetivo do laudo pericial.
ART. 170 – Nas perícias de laboratório, os peritos
guardarão material suficiente para a eventualidade de
nova perícia. Sempre que conveniente, os laudos serão
ilustrados com provas fotográficas, ou microfotográficas,
desenhos ou esquemas.
Desse artigo podemos extrair a obrigatoriedade da
preservação da prova e a necessidade do máximo
detalhamento do laudo pericial.
ART. 171 – Nos crimes cometidos com destruição ou
rompimento de obstáculo a subtração da coisa, ou por
meio de escalada, os peritos, além de descrever os
vestígios, indicarão com que instrumentos, por que meios
e em que época presumem ter sido o fato praticado.
Já do artigo 171 podemos retirar a necessidade do traçado
da linha do tempo referente às evidências que estão sendo
analisadas, a fim de se presumir a estratégia usada pelo
investigado, os meios utilizados por ele, e em que
momento se deram os fatos.
4. Fases da Investigação
Uma perícia computacional forense é sempre
executada em quatro fases bem distintas, onde diferentes
tipos de informações devem ser obtidas em cada etapa, e
diferentes ações devem ser executadas pelos peritos em
cada uma.
4.1. Identificação das evidências
Nessa primeira etapa dos trabalhos periciais se faz
necessário o levantamento de todos os dados relativos à
investigação da qual as evidências fazem parte, bem como
do máximo detalhamento possível das características de
cada evidência apresentada para a perícia. Alguns dados
úteis nessa etapa são: nomes de pessoas e empresas
envolvidas, datas, locais e circunstâncias gerais dos fatos
que originaram a investigação, bem como o detalhamento
das características de cada item colhido como possível
prova, computadores, hard disks, CDs e DVDs, por
exemplo.
É necessário que o perito visualize como pretende
iniciar os trabalhos e que tipo de dados podem ser
relevantes para essa investigação. Outra informação
importante a ser conhecida pela equipe é se os dados
levantados na perícia servirão para a acusação ou defesa
do suspeito ou vítima.
4.2. Preservação das evidências
Essa etapa inicia com a coleta dos dados necessários à
investigação, obedecendo alguns critérios necessários
para evitar a perda de dados importantes. Em primeiro
lugar o perito executa a coleta dos dados voláteis; a seguir
dá prioridade aqueles que exigirem um maior esforço por
parte da equipe, ou seja, coleta os dados que exigirão
maior tempo, maior dedicação e o uso de ferramentas
mais específicas; depois é feita uma avaliação do tipo de
dados que pode ser mais relevante para a investigação e
feita a sua coleta.
Devido a uma exigência legal, que é a preservação da
prova, sob pena de gerar uma nulidade processual, a
perícia sempre trabalha em cima de uma imagem fiel dos
dados originais apreendidos, isto é, o primeiro passo
executado sempre em qualquer caso de perícia
computacional é a geração de uma “imagem” exata da
mídia original, e todo e qualquer atividade que se faça
necessária ao trabalho pericial será sempre executado
sobre essa imagem, e nunca sobre os dados originais, os
quais serão preservados até o trânsito em julgado do
processo do qual fazem parte.
Outra exigência legal, além de manter a integridade
dos dados originais, é a obrigatoriedade do perito
relacionar detalhadamente todos os materiais recebidos
3
para perícia, mantendo um controle rigoroso sobre o
acesso a esses materiais, registrando todas as pessoas que
venham a ter contato com as evidências e os motivos pelo
qual esse contato se fez necessário. Esse controle é
chamado de Cadeia de Custódia, tendo por objetivo evitar
a anulação da prova devido ao acesso de pessoas não
autorizadas ou envolvidas diretamente no caso em
investigação. É a cadeia de custódia que garante a
legitimidade, confiabilidade e integridade da prova
colhida na perícia, ou seja, garante que a prova terá valor
na justiça. Algo que pode trazer alguma dificuldade nessa
fase é a grande capacidade de armazenamento das mídias
atuais, o que exigirá da equipe a disponibilidade de uma
capacidade de dados ainda maior para a coleta e
armazenamento dos dados sobre os quais se pretende
trabalhar.
4.3. Análise das evidências
Na fase de análise são utilizados todos os meios
necessários ao levantamento dos dados relevantes à
investigação. É preciso saber exatamente o que se deve
buscar nos dados coletados na fase anterior, a fim de
poder criar a “prova” que está sendo procurada, ou seja,
criar a relação que possa existir entre os dados
encontrados e a vítima, ou suspeito.
O tipo de dado mais importante pode variar
dependendo do tipo de relação que está tentando se
estabelecer. A respeito de Sistemas Operacionais,
informações sobre processos em execução, portas abertas,
arquivos de log, registro do Sistema e compartilhamentos
poderiam ser muito úteis. Se o foco for usuários, as
informações de quem logou ou tentou logar poderiam ser
as mais relevantes. Já se a investigação for a respeito de
arquivos, seria importante analisar arquivos na lixeira,
recuperação de arquivos excluídos, arquivos temporários,
ocultos, impressos e usados recentemente. Se a
investigação tiver relação com a Internet, seria importante
uma avaliação de caches, históricos e favoritos dos
navegadores, sites acessados recentemente ou nas datas
suspeitas. Relativo a datas, uma boa aproximação seria a
reconstrução da linha de tempo do Sistema investigado,
ou seja, a ordenação pela data e hora dos arquivos
avaliados, com a finalidade de identificar arquivos
suspeitos em função do tempo e evitar pesquisas
demoradas e desnecessárias.
Uma das maiores dificuldades que podem ser
encontradas nessa fase é o grande número de tipos
diferentes de arquivos que podem ser encontrados (jpg,
avi, mpg, doc, xls, Bin, iso), o que pode exigir bastante
tempo na análise detalhada dos dados que se pretende
encontrar, uma vez que uma das técnicas mais utilizadas
para esconder dados é a chamada de Esteganografia, ou
seja, os dados de um arquivo (por exemplo: texto) são
escondidos dentro de outro (por exemplo: imagem).
 Atenção especial deve ser dedicada à questão da
privacidade e sigilo dos dados, por serem bens jurídicos
protegidos pela lei, e garantidos na Constituição Federal,
além de serem também motivos de nulidade processual,
quer dizer, o perito deve limitar-se unicamente a busca de
dados que sejam relevantes a investigação, deixando de
lado informações pessoais que possam ser encontradas,
mas que não tenham qualquer relevância na perícia.
Também é considerado um hábito salutar a qualquer
trabalho que se proponha a servir de prova, o registro
detalhado de todos os comandos e operações executadas
na busca dos indícios de autoria, para que, sendo
necessária, a obtenção dos dados possa ser reproduzida
em juízo com a finalidade de derrubar ou reforçar as teses
de acusação ou de defesa, conforme seja o caso.
4.4. Apresentação das evidências
Essa é a última etapa do processo de investigação
computacional forense, é nesse passo que as informações
e evidências coletadas são apresentadas para a autoridade
que determinou a sua execução, pode assumir o formato
jurídico ou não, uma vez que nem toda perícia forense
tem objetivo criminal. A característica mais marcante
dessa etapa deve ser a imparcialidade do laudo pericial, o
que na justiça se traduz em confiabilidade, habilidade e
isenção do perito, elevando o peso do laudo gerado pela
perícia na determinação da culpa ou inocência do
envolvido no processo, conforme seja o caso.
exigência é de que sejam adequadas ao cumprimento do
objetivo final, e a obtenção dos resultados esperados.
Os pacotes comerciais de análise completa de dados
são vendidos por preços bastante elevados, porém
existem muitos grupos independentes que disponibilizam
pacotes especiais de ferramentas destinados a área
computacional forense. Apenas a título de ilustração,
listaremos alguns dos mais conhecidos.
6.1. F.I.R.E
O “Forensic Incident Response Environment” consiste
de um kit completo de ferramentas, reunidas em um CD
inicializável (CD de boot ou live CD), que pode ser
utilizado tanto em sistemas Linux quanto em Windows.
No total são 196 ferramentas classificadas em seis áreas
diferentes, conforme sua finalidade:
1. Ferramentas básicas de Sistema Operacional;
2. Forense e recuperação de dados;
3. Resposta a incidentes;
4. Provas de invasões;
5. Associação binária estática;
6. Detecção de vírus.
Apresentaremos a descrição de alguns dos mais
utilizados, principalmente por fazerem parte da grande
maioria dos Kits encontrados.

5. Conhecimentos Necessários
Seguindo a própria definição do termo “perito”, que
significa: experimentado, que tem perícia, hábil, versado,
douto, sabedor, etc... Podemos dizer que um perito
computacional forense deve ter grandes conhecimentos
nas seguintes áreas: Sistemas Operacionais, sistemas de
arquivos, tipos de arquivos, ferramentas de busca
avançada, criação e montagem de imagens de discos dos
diversos sistemas de arquivos existentes, recuperação de
dados apagados, segurança de dados, técnicas de Figura 1 – F.I.R.E.
esteganografia, criação de scripts, criação de filtros,
programação, etc ... Também se faz necessário o
conhecimento das técnicas mais comuns de invasão e 6.1.1. GPart
fraude eletrônica, bem como das formas de evitá-las.
Ferramenta destinada a recuperação de tabelas de
partições inválidas e/ou danificadas. Permite acesso a
6. Ferramentas Necessárias
discos que tenha tido a trilha zero inutilizada ou
danificada. Esse utilitário é capaz de ignorar a tabela de
Embora existam ferramentas comerciais completas
partições primária de uma unidade, executando uma
com a finalidade de execução de análises detalhada de
varredura em busca de outras possíveis tabelas de
dados, a maiorias dos profissionais da área computacional
partições ocultas, sua principal limitação é a dificuldade
forense recomendam a criação de um Kit de ferramentas
em detectar partições estendidas.
personalizado, onde estejam presentes as ferramentas que
o perito tenha mais familiaridade em utilizar. A única

4
6.1.2. Wipe
Ferramenta utilizada para apagar em definitivo os
dados de um determinado arquivo em disco. Executa
diversas passagens de gravação alternada dos bytes 0x00
e 0xFF sobre uma mesma área do disco, a fim de garantir
que esses dados não possam ser recuperados.
6.1.3. DSNiff Tools
Conjunto de ferramentas utilizadas na auditoria de
redes e busca de evidências de invasões. Possui
programas específicos para os diversos tipos de análise
passiva do tráfego de rede, por exemplo: dsniff, filesnarf,
msgsnarf, mailsnarf, webspy, arpspoof, dnsspoof, macof,
etc.
6.3. Autopsy
Na verdade não se trata de um Kit de ferramentas
especificamente, mas de um “front-end” gráfico para o
Sleuth Kit, ou seja, roda como se fosse um servidor
HTTP na porta 9999, e através dos métodos GET e POST
desse protocolo, manipula as opções dos comandos
avançados oferecidos pelo Sleuth kit, mostrando os
resultados tabulados graficamente dentro de qualquer
navegador de internet, poupando assim o usuário dos
assustadores e penosos comandos executados em tela
preta.

6.1.4. Steg Detect

Utilitário utilizado para detectar um conteúdo
esteganográfico em algum arquivo de imagem (jpg, bmp,
gif, etc...).

Figura 3 - Autopsy

6.4. EnCase Forensic

Um dos mais conhecidos e completo conjunto de
programas comerciais vendidos com a finalidade de
análise forense. É mantido pela empresa Guidance
Software e oferecido comercialmente em duas versões:
“Forensic” e “Enterprise Edition”.

Figura 2 - Esteganografia

6.2. Sleuth Kit

Outro kit de ferramentas de análise muito respeitado e
largamente utilizado. É um pacote gratuito, de
ferramentas escritas em C, que rodam na linha de
comando, originário do TCT (The Coroner’s Toolkit), um
dos primeiros kits de ferramentas elaborado com essa
finalidade. Sua principal vantagem é a capacidade de
trabalhar com os principais sistemas de arquivos
encontrados, ou seja, pode ser utilizado para analisar Figura 4 – EnCase
sistemas NTFS, FAT, EXT2, EXT3, UFS1, UFS2 e muito
outros, sendo ainda capaz de montar os mais diversos 7. Conclusão
tipos de imagens de discos.
Neste artigo, procuramos apresentar brevemente, numa
visão prática, o tema Computação Forense. Iniciamos
mostrando alguns conceitos que pudessem ter implicação
no entendimento das demais seções do trabalho. Logo a

5
seguir mostramos alguns aspectos legais que dizem
respeito à área computacional forense. Mostramos ainda
as fases que compõem a execução de uma análise
propriamente dita, e por fim as ferramentas mais
utilizadas na diferentes etapas do processo de perícia,
tudo com a finalidade de apresentar uma visão geral de
todo o processo que envolve a computação forense, desde
a conceituação até a elaboração do relatório final que
mostrará os resultados para as autoridades. Por tratar-se
de uma área extremamente técnica, a computação forense
exige um estudo permanente e aprofundado de muitos
aspectos da informática, sendo necessário um
acompanhamento constante, tanto das tecnologias
envolvidas quanto das técnicas mais utilizadas nos crimes
eletrônicos.
8. Referências
[1] Andrey Rodrigues de Freitas - Perícia Forense: Aplica à
informática, 2006.
[2] Kerr, Orin S., :Computer Records and the Federal Rules of
Evidence; USA Bulletin, March 2001.
[3] Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes,
Paulo Neukamp, Glauco Ludwig, Marlom Konrath - Forense
Computacional: fundamentos, tecnologias e desafios atuais,
2007.
[4] Célio Cardoso Guimarães, Flávio de Souza Oliveira,
Marcelo Abdalla dos Reis, Paulo Lício de Geus - Forense
Computacional: Aspectos Legais e Padronização, 2001.
[5] Gustavo C. Pereira - Perícia Forense Computacional, 2007.
[6] Jerônimo Pellegrini, João Eduardo Ferreira Bertacchi, João
Paulo Rechi Vita - Forense Computacional, June 2005.