Perícia Forense Computacional

FACULDADE GOVERNADOR OZANAM COELHO
PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para

obtenção de evidências digitais em sistemas operacionais Microsoft
Windows
ROBSON MARCHIONI GRÔPPO
UBÁ
MINAS GERAIS
2011
i

Windows
Monografia apresentada como parte

das exigências para obtenção do
título de Bacharel em Ciência da
Computação da Faculdade
Governador Ozanam Coelho,
FAGOC.
Orientador: Prof. M. Sc. Marcelo Daibert.
UBÁ
MINAS GERAIS
2011
ii

Windows
Monografia apresentada e aprovada em 12 de

Julho de 2011.
______________________
Saulo Campos
(Examinador)
______________________
Sérgio Murilo Stempliuc
(Examinador)
______________________
Marcelo Santos Daibert
(Orientador)
______________________
Waldir Andrade Trevizano
(Coordenador)
iii
AGRADECIMENTOS
Gostaria de deixar meus sinceros agradecimentos, primeiramente, a Deus

pela saúde e por ter me abonado de conhecimento, capacidade e força para concluir
a graduação.
Aos meus pais e minha irmã pelo exemplo, incentivo e carinho, pois sem eles
a conclusão deste trabalho não seria possível.
Ao amigo, professor e mestre, Marcelo Santos Daibert, pelo incentivo e pela
dedicação com a qual orientou esse trabalho, tornando assim viável seu término.
E a todos aqueles que, direta ou indiretamente, contribuíram para a realização
desse trabalho.
iv
RESUMO
O presente trabalho propõe a descrição e utilização de algumas técnicas e

ferramentas existentes que auxiliam peritos digitais, administradores de redes,
profissionais da área de segurança e tecnologia da informação entre outros
profissionais na obtenção de evidências digitais em sistemas Microsoft Windows,
além de proporcionar uma base teórica para quem tem interesse na área de perícia
em computadores. Tais técnicas e ferramentas são muito úteis para peritos digitais,
policiais, delegados, juízes entre outros profissionais na luta contra o crime digital.
Neste trabalho serão abordadas técnicas desde o momento em que o equipamento
a ser periciado é apreendido pelo perito digital até a fase de confecção do laudo
pericial para ser usado em juízo. Juntamente com as técnicas também serão
apresentadas ferramentas disponíveis que auxiliam peritos na obtenção de
evidências. No final deste trabalho ainda será apresentado um estudo de caso de
um crime fictício.
Palavras-chave: Crime Digital, Perito Digital, Perícia Forense Computacional,

Microsoft Windows.
v
SUMÁRIO
RESUMO.................................................................................................................... iv
LISTA DE FIGURAS ................................................................................................. vii
LISTA DE TABELAS .................................................................................................. ix
LISTA DE SIGLAS ...................................................................................................... x
1. INTRODUÇÃO ...................................................................................................... 1
1.1. O problema e sua importância ....................................................................... 3
1.2. Objetivos ........................................................................................................ 7
1.2.1. Objetivo geral........................................................................................... 7
1.2.2. Objetivos específicos ............................................................................... 7
1.3. Metodologia .................................................................................................... 7
1.4. Organização do trabalho ................................................................................ 9
2. REFERENCIAL TEÓRICO ................................................................................. 10

2.1. A Internet...................................................................................................... 10
2.2. Ciência Forense ........................................................................................... 12
2.3. Forense Computacional ............................................................................... 13
2.4. Aspectos Legais ........................................................................................... 15
2.4.1. Brasil...................................................................................................... 16
2.4.1.1. Projetos de Leis ..................................................................................... 23
2.4.1.1.1.Projeto de lei Eduardo Azeredo ........................................................... 23
2.4.1.1.2.Projeto de lei 89/2003 .......................................................................... 25
2.5. Obtenção de Evidências Digitais .................................................................. 26
2.5.1. Aquisição ou Coleta e Preservação ....................................................... 28
2.5.2. Identificação ou Exame ......................................................................... 30
2.5.3. Análise ................................................................................................... 30
2.5.4. Apresentação......................................................................................... 31
2.6. Microsoft Windows ....................................................................................... 31
3. TRABALHOS RELACIONADOS ......................................................................... 39

3.1. Computação Forense com Software Livre: Conceitos, Técnicas,
Ferramentas e Estudos de Casos .......................................................................... 39
3.2. Forensic Examination of Digital Evidence: A Guide for Law Enforcement
(Exame Forense de Evidência Digital: Um Guia para Aplicação da Lei)................ 39
3.3. Perícia Forense Computacional baseada em Sistema Operacional Windows
XP Profissional ....................................................................................................... 40
3.4. Técnicas Forenses ....................................................................................... 40
4. FERRAMENTAS FORENSES ............................................................................ 41

vi
4.1. Softwares ..................................................................................................... 41

4.1.1. EnCase Forensic ................................................................................... 41
4.1.2. FTK ........................................................................................................ 44
4.1.3. Helix....................................................................................................... 45
4.1.4. CallerIP .................................................................................................. 47
4.1.5. eMailTrackerPro .................................................................................... 48
4.1.6. Recover My Files ................................................................................... 49
4.1.7. Symantec Norton Ghost ........................................................................ 50
4.1.8. Process Monitor ..................................................................................... 52
4.1.9. COFEE .................................................................................................. 53
4.1.10. MD5 Check Utility .................................................................................. 54
4.1.11. NuDetective ........................................................................................... 55
4.2. Hardwares .................................................................................................... 57
4.2.1. FRED ..................................................................................................... 57
4.2.2. Forensic Talon e Forensic Quest ........................................................... 62
4.2.3. Espion Forensics FastBlock 3 FE .......................................................... 64
5. ELABORAÇÃO DO LAUDO PERICIAL .............................................................. 65

5.1. Preâmbulo .................................................................................................... 69
5.2. Histórico ....................................................................................................... 69
5.3. Material ........................................................................................................ 70
5.4. Objetivo ........................................................................................................ 73
5.5. Considerações técnicas/periciais ................................................................. 73
5.6. Exames ........................................................................................................ 74
5.7. Respostas aos quesitos/conclusões ............................................................ 75
6. ESTUDO DE CASO ............................................................................................ 78

6.1. Introdução ao caso ....................................................................................... 78
6.2. Laudo Pericial .............................................................................................. 78
6.2.1. Preâmbulo ............................................................................................. 79
6.2.2. Histórico ................................................................................................. 79
6.2.3. Material .................................................................................................. 79
6.2.4. Objetivo ................................................................................................. 81
6.2.5. Considerações técnicas/periciais........................................................... 81
6.2.5.1. Captura de dados voláteis ..................................................................... 82
6.2.5.2. Integridade do disco rígido (HD) questionado ....................................... 82
6.2.5.3. Algoritmo MD5 ....................................................................................... 84
6.2.5.4. Verificação da integridade da mídia óptica ............................................ 85
6.2.5.5. Visualização do conteúdo da mídia óptica ............................................. 86
6.2.6. Exames .................................................................................................. 86
6.2.7. Respostas aos quesitos ....................................................................... 102
7. CONSIDERAÇÕES FINAIS .............................................................................. 105

7.1. Trabalhos Futuros ...................................................................................... 106
REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 107

vii
LISTA DE FIGURAS
Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. ............................ 4

Figura 1.2: 10 Categorias que Receberam mais Reclamações. ................................. 5
Figura 1.3: Prejuízo e Porcentagem. ........................................................................... 6
Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação
Forense. .................................................................................................................... 13
Figura 2.2: Surgimento do Perito em Forense Computacional. ................................. 14
Figura 2.3: Fases de um processo de investigação. ................................................. 28
Figura 2.4: Exemplo de um formulário de cadeia de custódia. .................................. 29
Figura 2.5: Interface gráfica do Windows 2.03. ......................................................... 32
Figura 2.6: Interface gráfica do Windows 3.1 ............................................................ 32
Figura 2.7: Interface gráfica do Windows 95. ............................................................ 33
Figura 2.8: Interface gráfica do Windows ME. ........................................................... 35
Figura 2.9: Interface gráfica do Windows XP. ........................................................... 36
Figura 2.10: Interface gráfica do Windows Vista. ...................................................... 37
Figura 2.11: Interface gráfica do Windows 7. ............................................................ 38
Figura 4.1: Funcionamento básico do EnCase.......................................................... 42
Figura 4.2: Tela principal do EnCase. ....................................................................... 43
Figura 4.3: Tela principal do FTK. ............................................................................. 45
Figura 4.4: Tela de abertura do software Helix. ......................................................... 46
Figura 4.5: Tela principal do Helix. ............................................................................ 47
Figura 4.6: Tela principal da ferramenta CallerIP. ..................................................... 48
Figura 4.7: Tela principal da ferramenta eMailTrackerPro. ....................................... 49
Figura 4.8: Interface principal da ferramenta Recover My Files. ............................... 50
Figura 4.9: Processo de espelhamento ou imagem de dados................................... 51
Figura 4.10: Tela principal do software Symantec Norton Ghost. ............................. 52
Figura 4.11: Tela onde a imagem ou espelhamento está sendo realizada. .............. 52
Figura 4.12: Tela do Process Monitor. ...................................................................... 53
Figura 4.13: Tela do software COFEE. ..................................................................... 54
Figura 4.14: Tela da ferramenta MD5 Check Utility. .................................................. 55
Figura 4.15: Tela da ferramenta NuDetective............................................................ 57
Figura 4.16: Hardware FRED. ................................................................................... 59
Figura 4.17: Hardware FREDC. ................................................................................ 60
Figura 4.18: Hardware FRED-L e o UltraKit. ............................................................. 61
Figura 4.19: Hardware FREDDIE. ............................................................................. 61
Figura 4.20: Hardware FREDM. ................................................................................ 62
Figura 4.21: Forensic Talon....................................................................................... 63
Figura 4.22: Forensic Quest. ..................................................................................... 63
Figura 4.23: FastBlock 3 FE instalado entre o disco rígido questionado e o
computador. .............................................................................................................. 64
Figura 5.1: Principais informações a serem inseridas no preâmbulo do laudo. ........ 69
viii
Figura 5.2: Exemplo de texto contido na seção histórico. ......................................... 70

Figura 5.3: Disco rígido questionado. ........................................................................ 71
Figura 5.4: Disco rígido questionado com as informações detalhadas. .................... 72
Figura 5.5: Exemplo de texto contido na seção objetivo de um laudo. ...................... 73
Figura 5.6: Exemplo de texto contido na seção considerações técnicas/periciais de
um laudo.................................................................................................................... 74
Figura 5.7: Exemplo finalização de laudo, incluindo devolução do material lacrado e
assinaturas ................................................................................................................ 77
Figura 6.1: Computador onde foi encontrado o disco rígido questionado. ................ 80
Figura 6.2: Disco rígido apreendido. ......................................................................... 81
Figura 6.3: Disco rígido de destino. ........................................................................... 83
Figura 6.4: Arquivo antes de ser alterado e seu respectivo código hash. ................. 84
Figura 6.5: Arquivo depois de ser alterado e seu respectivo código hash. ............... 84
Figura 6.6: Verificação do arquivo hashes.txt da mídia óptica. ................................. 85
Figura 6.7: Arquivos presentes na mídia óptica. ....................................................... 86
Figura 6.8: Computador suspeito encontrado ligado. ................................................ 87
Figura 6.9: Captura dos dados voláteis sendo feita com a ferramenta COFEE ........ 88
Figura 6.10: Programa COFEE sendo executado no computador suspeito .............. 88
Figura 6.11: Opção Execute runner.exe .................................................................... 89
Figura 6.12: Pasta gerada ao final do processo. ....................................................... 90
Figura 6.13: Categorias dos dados voláteis capturados. ........................................... 90
Figura 6.14: Conteúdo do diretório network e de um documento. ............................. 91
Figura 6.15: Gerando relatório dos dados voláteis. ................................................... 92
Figura 6.16: Conteúdo da pasta Dados Voláteis. ...................................................... 92
Figura 6.17: Conteúdo do arquivo index. .................................................................. 93
Figura 6.18: Programa Process Monitor rodando no computador suspeito. ............. 94
Figura 6.19: HD questionado e de destino conectados no computador para realizar o
espelhamento. ........................................................................................................... 95
Figura 6.20: Opção cópia do disco para outro disco. ................................................ 96
Figura 6.21: Processo de espelhamento dos HDs em execução. ............................. 96
Figura 6.22: Formulário de cadeia de custódia. ........................................................ 97
Figura 6.23: Arquivos encontrados nos exames periciais. ........................................ 99
Figura 6.24: Geração dos hashes criptográficos dos dados voláteis. ..................... 100
Figura 6.25: Geração dos hashes criptográficos dos arquivos encontrados no
computador suspeito. .............................................................................................. 101
Figura 6.26: Código de integridade gerado do arquivo „hashes.txt‟. ........................ 102
ix
LISTA DE TABELAS
Tabela 2.1: Ações comuns, tipo e artigo C.P. ........................................................... 22

Tabela 5.1: Exemplo de descrição de um disco rígido em formato tabular. .............. 72
Tabela 6.1: Características do disco rígido apreendido. ........................................... 80
Tabela 6.2: O ciclo de vida esperado dos dados....................................................... 82
Tabela 6.3: Características do disco rígido de destino. ............................................. 83
Tabela 6.4: Arquivos encontrados nos exames periciais. ......................................... 98
x
LISTA DE SIGLAS
ABEAT - Associação Brasileira de Especialistas em Alta Tecnologia
ABIN - Agência Brasileira de Inteligência
ARPA - Advanced Research and Projects Agency
CCB - Código Civil Brasileiro
CERT.BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

no Brasil
CPB - Código Penal Brasileiro
CPC - Código de Processo Civil
CPP - Código de Processo Penal
ECA - Estatuto da Criança e do Adolescente
EFE - Agência de Notícias Internacional
FGV - Fundação Getúlio Vargas
IBGE - Instituto Brasileiro de Geografia e Estatística
IC3 - Internet Crime Complaint Center
ONU - Organização das Nações Unidas
OSCE - Organização de Segurança e Cooperação da Europa
PF - Polícia Federal
TI - Tecnologia da Informação
1
1. INTRODUÇÃO
Com a grande expansão da Internet no mundo cotidiano assim como os

demais avanços tecnológicos deu espaço ao aparecimento do que se conhece como
os crimes digitais ou cibercrimes1. Hoje a Internet está presente, não só em casas e
lan houses, mas também nos mais diversos estabelecimentos privados e/ou
públicos, como por exemplo, shoppings, praças e supermercados, tornando-se
acessível e indispensável na vida de milhares de pessoas. Tal revolução na
acessibilidade se deu graças à tecnologia wireless (Internet sem fio), que permite
que qualquer pessoa portadora de um dispositivo adequado acesse e navegue pela
web, desde que o acesso à conexão não seja protegido por senha pelo
administrador da rede wireless em questão. Essa medida de proteção, no entanto,
pode ser facilmente burlada por alguém que detenha conhecimento suficiente na
área. Além da tecnologia wireless descrita, a conectividade tem sido facilitada
também por dispositivos cada vez mais portáteis com a capacidade de conexão à
rede, como notebooks, netbooks e smart phones. Contra todos esses argumentos,
contrapõe-se o fato de cerca de 65% da população brasileira ainda não ter acesso à
Internet, de acordo com o Instituto Brasileiro de Geografia e Estatística (IBGE,
2008). A contradição pode ser facilmente explicada pela má distribuição de renda da
população brasileira que confronta com os preços relativamente altos de tais
aparelhos tecnológicos.
Os serviços que a Internet proporciona aos seus usuários são incontáveis,
alguns deles são a possibilidade de fazer compras, pagar contas, realizar transações
e atualizar dados bancários, realizar pesquisas, comunicar-se com pessoas ao redor
do mundo, informar-se através de jornais, noticiários e até mesmo blogs pessoais,
entre outros diversos serviços e facilidades sem precisar sair do conforto e
segurança de sua residência.
1
São crimes cometidos no âmbito virtual.
2
A Internet deveria ser usada apenas para fins legais, mas infelizmente essa
não é a realidade. Uma vez conectado se não houver a devida segurança
necessária com o computador ou qualquer outro dispositivo que esteja sendo
utilizado para acessar a Internet, como cuidados com o sistema de antivírus que
deve estar sempre atualizado e/ou o firewall ativo, há sempre o risco de ser vítima
de um criminoso digital motivado pela grande facilidade de ferramentas simples de
serem manuseadas, pelo grande uso desses serviços, pela inexistência de
legislação própria, pela impunidade, por contar com a falta de informação e/ou
conhecimento de usuários que fazem uso desse tipo de serviços e que são presas
fáceis para esses criminosos, e principalmente pelo lucro - de acordo com a
Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT), e a Polícia
Federal (PF), os crimes mais rentáveis no Brasil hoje são os digitais e os lucros são
maiores até que os obtidos com o narcotráfico (BELCHIOR, 2008) - e pela crença no
anonimato, uma vez que existem técnicas criadas para dificultar o trabalho dos
peritos digitais na identificação dos infratores, técnicas denominadas de anti-
forenses.
Em um passado saudado por muitas empresas, um incidente de segurança
computacional só poderia acontecer dentro das dependências da mesma. Era a
época de redes locais, onde havia soluções fantásticas (MELO, 2009). Porém, com
o crescimento da Internet e das redes de computadores, por mais que uma empresa
tenha uma estrutura de segurança física muito boa, não poderá ser dito que a
mesma estará totalmente protegida contra esses criminosos, pois eles não precisam
mais ir até o local do crime para que o mesmo possa ocorrer. Sandro Melo (2009)
relata que com o crescimento da Internet os limites geográficos deixaram de ser um
problema para esses criminosos digitais, ampliando-os para o tamanho máximo da
própria rede, ou seja, qualquer computador ligado à Internet pode tanto ser vítima de
um criminoso quanto ser o próprio.
Antes do surgimento dos crimes computacionais as evidências e possíveis
provas para resolução de um crime eram obtidas através de meios tradicionais
como, por exemplo, impressões digitais, relatórios de toxicologia, documentos em
papel, análise de rastro entre outros meios. Tais meios ainda são de suma
importância para solucionar o quebra-cabeça em muitos crimes cometidos hoje, no
entanto, o avanço da tecnologia e o surgimento do cibercrime trouxeram consigo
outro tipo de prova, a evidência digital, provida do cibercrime (FREITAS, 2003).
3
Os incidentes cometidos por meio do uso de computadores vêm crescendo de

forma muito rápida e os mesmos deixaram de ter como único objetivo a invasão e
pichação de uma home page de um web site como acontecia antigamente. Hoje o
objetivo maior desse tipo de incidente de segurança computacional é a obtenção de
lucros, que podem ser conseguidos através de invasões nas redes das instituições,
através de golpes entre outros diversos meios. Para combater tais ameaças surgiu
uma nova área de atuação, denominada de computação forense ou forense
computacional (MELO, 2009). A forense computacional é uma área ainda nova,
porém, já necessita de muitos profissionais capacitados para atuar no combate a
esses novos tipos de fraudes e criminosos.
1.1. O problema e sua importância
Paulo Quitiliano presidente da Abeat e coordenador-geral da Conferência

Internacional de Perícias em Crimes Cibernéticos, relatou que a tendência é que
essas ações criminosas aumentem, graças às novas formas de tecnologia e à já
comentada falta de legislação própria (BELCHIOR, 2008). De acordo com o Centro
de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
(CERT.BR), o crime digital cresceu de uma forma muito rápida. Os dados do
CERT.BR (2010) confirmam que, em 1999, o total de incidentes reportados foi de
3107, um número muito pequeno comparado com o total de incidentes reportados
apenas uma década depois, já que no ano de 2009 houve um pouco mais de 358 mil
no total de incidentes reportados, isso apenas no Brasil. No ano de 2010 esse
número diminui consideravelmente, porém, no primeiro semestre de 2011 a
quantidade de incidentes reportados já ultrapassam o ano de 2010 todo . É possível
observar esses dados na Figura 1.1.
4
Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano.

Fonte: CERT.BR, 2010.
É importante frisar que muitos incidentes não chegam ao conhecimento do

CERT.BR, pois ainda vigora entre muitas empresas e instituições brasileiras a
prática comum de não divulgarem quando sofrem algum tipo de incidente
computacional, evitando assim exporem suas vulnerabilidades publicamente. Além
disso, outro ponto que também deve ser levado em consideração é o fato de que a
maioria das fraudes relacionadas à “Internet banking” não fazem parte dos totais
apresentados na estatística divulgada periodicamente pelo CERT.BR, o que
somente demonstra a gravidade deste problema em nosso país (ARAUJO, 2010).
Ainda segundo o Delegado José Mariano de Araujo Filho (2010), o CERT.BR
considera como um incidente de segurança qualquer evento adverso, confirmado ou
sob suspeita, relacionado à segurança de sistemas de computação ou de redes de
computadores, sendo que podem ser exemplificados como:
● tentativas de ganhar acesso não autorizado a sistemas ou dados;

● ataques de negação de serviço;
● uso ou acesso não autorizado a um sistema;
5
● modificações em um sistema, sem o conhecimento, instruções ou

consentimento prévio do dono do sistema;
● desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.
Diferentemente do que acontece no Brasil, outros países mais desenvolvidos

adotam a prática comum de divulgarem os incidentes que acontecem dentro de suas
redes internas, além do prejuízo que tais ações criminosas acarretam (ARAUJO,
2010). Pode-se observar na Figura 1.2 o número de incidentes por meio eletrônico
na Internet americana no ano de 2009. A Figura 1.2 ilustra com sua respectiva
porcentagem apenas as primeiras dez categorias que receberam o maior número de
denúncias.
Figura 1.2: 10 Categorias que Receberam mais Reclamações.

Fonte: Elaborada pelo autor adaptada de Internet Crime Complaint Center (IC3), 2009.
Na Figura 1.3, todos os incidentes reportados foram divididos em categorias

levando em consideração o prejuízo (em dólar) que cada um causou. Vale lembrar
que esses valores são os que foram relatados, tendo em vista que algumas ações e
6
seus respectivos prejuízos não tiveram seus dados divulgados o que torna esse
número ainda maior.
Figura 1.3: Prejuízo e Porcentagem.

Fonte: Internet Crime Complaint Center (IC3), 2009.
Como pode ser notado, o crime digital, é um problema que acontece não
apenas no Brasil, mas também no Mundo. As autoridades precisam se preparar
cada dia mais para lidar com esses cibercriminos2, que estão sempre desenvolvendo
novas formas de cometer fraudes – de acordo a Agência Brasileira de Inteligência
(ABIN, 2008), Mikko Hypponen, chefe de pesquisa da finlandesa F-Secure, relatou
que, ao desenvolver uma nova ameaça, os fraudadores testam todas as ferramentas
de segurança até que a ameaça não seja detectada; ele ainda afirma que é uma
guerra desleal, pois “o inimigo tem acesso às nossas armas”. De fato essa é uma
guerra bastante injusta, uma vez que além desses criminosos terem acesso aos
meios de prevenção, as autoridades e outros profissionais que lutam para combater
esses crimes precisam estar preparados para lidar com um novo tipo de ameaça, a
qual eles ainda sequer detêm conhecimento. Desse modo é quase inevitável que
haja as primeiras vítimas para só então as autoridades descobrirem como combater
a ameaça. Para se ter uma ideia mais ampla do tamanho do problema que as
autoridades especialistas devem enfrentar no combate às ameaças e no alerta aos
usuários, o vírus que é somente uma das armas usadas por cibercriminosos, tem o
surgimento de 200 novos tipos por mês, ou seja, são quase 7 vírus que surgem todo
2
Cibercriminosos ou criminosos digitais são pessoas que cometem algum tipo de infração no meio digital.
7
dia, conforme informações divulgadas pela Mcafee (2009), empresa especializada

na criação de programas antivírus.
O crime digital cresce a cada ano de forma exponencial e paralelamente a
isso crescem os prejuízos - de acordo com Kilian Strauss da Organização de
Segurança e Cooperação da Europa, OSCE, os danos causados pelo crime digital
estão estimados em cerca de US$ 100 bilhões anuais (REUTERS, 2008). As
empresas precisam cada vez mais estarem preparadas para evitar serem vítimas
desses criminosos, pois o que eles podem conseguir ao invadir uma rede de uma
determinada empresa pode ser importante, pois, como já mencionado, a intenção
deles não é somente a difamação de uma empresa pela pichação de seu web site
como acontecia antigamente, atualmente os objetivos são focados no lucro.
1.2. Objetivos
1.2.1. Objetivo geral
Desenvolver um estudo sobre Perícia Forense Computacional baseada no

sistema operacional Microsoft Windows.
1.2.2. Objetivos específicos
● Proporcionar uma base teórica para quem tem interesse na área de perícia
em computadores.
● Apresentar as questões jurídicas relacionadas aos crimes digitais.
● Descrever algumas técnicas e ferramentas existentes que auxiliam na
obtenção de evidências digitais.
● Conhecer como é feita a confecção do laudo pericial para ser usado em
juízo.
● Desenvolver um estudo de caso de um crime fictício na busca de evidências
digitais.
1.3. Metodologia
A intenção do autor com o desenvolvimento deste trabalho é proporcionar

uma base teórica para pessoas que tenham interesse no tema proposto, descrever
funcionalidades de algumas ferramentas que podem ser utilizadas durante os
exames periciais, expor as questões jurídicas relacionadas aos crimes digitais e
8
auxiliar profissionais na confecção do laudo pericial com um modelo de laudo

proposto.
Inicialmente, foi realizado um estudo teórico para que o autor tenha algum
embasamento, alguma autoridade, para falar sobre o tema proposto. Feito isso, foi
apresentada uma introdução sobre o tema, onde é descrito a evolução da
tecnologia, o surgimento desse novo tipo de crime e sua real necessidade de
combate.
Adiante, são apresentadas as leis e os projetos de leis relacionados com os
cibercrimes. Para isso, foi realizado um estudo minucioso sobre as leis e os futuros
projetos de leis que regem os crimes computacionais, citando leis já existentes na
legislação brasileira e que podem ser usadas para enquadrar um crime
computacional, além de falar de alguns projetos de leis específicos para os crimes
digitais. É de suma importância que o profissional responsável pela realização da
perícia tenha conhecimentos jurídicos, para que o mesmo realize o exame de forma
segura e não seja indiciado por qualquer tipo de crime.
Dando sequência ao trabalho, foi feito um levantamento sobre as ferramentas
(softwares e hardwares) existentes atualmente e que podem ser utilizadas durante o
processo de análise forense. Foram citadas diversas ferramentas, suas
funcionalidades e em que tipos de exames cada uma pode ser utilizada.
Para finalizar o trabalho, o perito deve elaborar um laudo pericial, escrito de
forma clara e concisa, que irá descrever todos os procedimentos, técnicas, métodos
e softwares utilizados durante o exame e apresentar os resultados de forma
imparcial. Ciente dessa necessidade, foram realizadas pesquisas buscando por
modelos de laudos periciais. Durante tais pesquisas, foram encontrados pré-
requisitos presentes na legislação brasileira, que devem ser respeitados, para atuar
como perito forense computacional e para confeccionar um laudo pericial. Tais pré-
requisitos foram citados e adiante foi apresentado um modelo padrão de laudo que
pode ser seguido, explicando o que deve ser feito em cada uma das seções
presentes nesse modelo de laudo pericial.
No final do trabalho monográfico, após estar ciente de quais técnicas e
ferramentas utilizar em cada fase do processo de análise forense, conhecer as leis
relacionadas aos crimes digitais e ter noção de como elaborar um laudo pericial, foi
apresentado um estudo de caso e através dele foi possível apresentar o
9
funcionamento de algumas ferramentas que podem ser utilizadas para auxiliar o

perito durante seu trabalho.
1.4. Organização do trabalho
Este trabalho está dividido em seis capítulos e o que foi feito em cada um
desses capítulos é descrito a seguir:
● Capitulo 1: No primeiro capítulo encontra-se a introdução do trabalho, onde

é descrito a evolução da tecnologia, o surgimento desse novo tipo de crime e
sua real necessidade de combate. A seguir são apresentados os sub
capítulos, que esclarecem a importância do tema e os problemas
relacionados, finalizando o primeiro capítulo desse trabalho, pode-se observar
os objetivos da pesquisa.
● Capitulo 2: No referencial teórico é abordado o conceito de alguns temas
para que haja um melhor entendimento do trabalho, como por exemplo: A
Internet, Ciência Forense, Forense Computacional, leis e projetos de leis
relacionados a crimes computacionais entre outros.
● Capitulo 3: Em trabalhos relacionados foram descritos os trabalhos que
contribuíram para o desenvolvimento e aplicação deste trabalho.
● Capitulo 4: Neste capítulo foi realizado um levantamento de algumas
ferramentas (softwares e hardwares) forenses existentes que possam ser
usadas durante uma análise pericial.
● Capitulo 5: No quinto capítulo é descrito um modelo de laudo que pode ser
seguido, além de citar os pré-requisitos necessários para atuar com perito
forense computacional e para confeccionar um laudo pericial.
● Capitulo 6: Neste último capítulo foi apresentado um estudo de caso
utilizando ferramentas forenses específicas.
10
2. REFERENCIAL TEÓRICO
2.1. A Internet
“A Internet não é de modo algum uma rede, mas sim um vasto conjunto de
redes diferentes que utilizam certos protocolos comuns e fornecem
determinados serviços comuns. É um sistema pouco usual no sentido de
não ter sido planejado nem ser controlado por ninguém” (TANENBAUM,
2003).
A Internet teve seu surgimento quase que ao acaso: foi desenvolvida pela
empresa ARPA (Advanced Research and Projects Agency) em 1969, em plena
Guerra Fria, com o objetivo de manter a comunicação das bases militares dos
Estados Unidos. Na ocasião recebeu o nome de ArpaNet.
Com o fim da Guerra, a ArpaNet tornou-se tão inútil que os militares já não a
viam como ferramenta importante para mantê-la sob sua guarda. Por não
considerarem a ArpaNet fundamental, o acesso aos cientistas foi permitido e, mais
tarde, foi cedida a rede para as universidades nacionais as quais, sucessivamente,
passaram-na para as instituições de ensino superior de outros países, permitindo
que pesquisadores domésticos a acessassem, até que, quando se deu conta, mais
de 5 milhões de pessoas já estavam conectadas à rede (BOGO, 2000).
Com o surgimento do World Wide Web (WWW), esse meio foi enriquecido. O
conteúdo da rede ficou mais atraente com a possibilidade de incorporar imagens e
sons (BOGO, 2000).
Como já foi descrito a Internet proporciona diversos serviços e facilidades,
portanto não é difícil compreender porque o número de usuários cresce de forma
exorbitante. Segundo o Ibope Nielsen em dezembro de 2009 o número de
internautas era de 67,5 milhões, em setembro o número eram de 66,3 milhões, ou
seja, em apenas três meses surgiram mais de 1 milhão de novos brasileiros na
Internet (ANTONIOLI, 2010). De acordo com o Jornal Estado de São Paulo (2009) a
Organização das Nações Unidas (ONU) relatou que o Brasil é o 5° país com o maior
número de conexões com a Internet, mas se considerado o tempo médio de
11
navegação, o Brasil é o primeiro no ranking. Pesquisa realizada pelo Ibope Nielsen

em julho de 2009 diz que o tempo médio de navegação dos brasileiros é maior que
48 horas, considerando apenas navegação em sites. Se considerada a navegação
em aplicativos como Orkut, MSN, Skype, Emule, Torrent e etc, o tempo médio sobe
para 71 horas e 30 minutos. Se comparado com os Estados Unidos, que ocupam o
segundo lugar no ranking divulgado pelo Ibope Nielsen Online, em relação ao tempo
médio de navegação em apenas sites o Brasil está na frente com mais 6 horas já
que os Estados Unidos aparecem com um pouco mais de 42 horas de tempo médio
de navegação (CARPANEZ, 2009).
Para que o acesso a Internet continue crescendo é necessário que a
produção de aparelhos que podem acessá-la também cresça de forma gradativa. O
computador, o principal desses aparelhos, terá um crescimento de 60 milhões de
unidades em uso para 100 milhões até 2012 e 140 milhões até 2014, segundo
estimativas do estudo da Fundação Getúlio Vargas (FGV) e divulgadas por
Alexandro Cruz (2010).
De acordo com a agência de notícias internacional (EFE, 2009), no Mundo,
segundo previsões da Dell (2007) o número de usuários de computadores vai dobrar
até 2012. Michael Dell (2007), fundador e presidente da Dell Computers, relatou que,
a cada dia 500 mil pessoas entram pela primeira vez na Internet. Segundo a agência
(REUTERS, 2009) em uma pesquisa realizada em 11 países (Austrália, Brasil,
Canadá, China, Espanha, Estados Unidos, Holanda, Hong Kong, Índia, Reino Unido
e Taiwan) pelo grupo mundial de marketing Synovate e divulgada no dia 30 de
novembro de 2009, onde foram entrevistadas quase 9 mil pessoas de cada país, a
Internet superou a TV como mídia favorita. A web foi considerada indispensável por
70% dos entrevistados. Com base nesses dados concluímos que a Internet e os
dispositivos que podem acessá-la tendem a crescer de forma muita rápida não
apenas no Brasil, mas no Mundo.
Nota-se que atualmente a Internet é um meio que se tornou indispensável na
vida de milhares de pessoas e a cada dia ganha mais adeptos. Ela revolucionou o
meio da comunicação como nunca antes nenhum outro tipo de mídia conseguiu
fazer.
12
2.2. Ciência Forense
“A aplicação de princípios das ciências físicas ao direito na busca da

verdade em questões cíveis, criminais e de comportamento social para que
não se cometam injustiças contra qualquer membro da sociedade”
(MANUAL DE PATOLOGIA FORENSE DO COLÉGIO DE PATOLOGISTAS
AMERICANOS, 1990).
Conforme o advogado Gustavo D‟Andrea (2007), a palavra forense 3 tem uma

definição bem simples de ser compreendida, Forense significa tudo aquilo relativo ao
foro, ou aquilo que é jurídico, ou relativo a cortes ou tribunais. Porém, na língua
inglesa a palavra que corresponde ao nosso forense é forensic. Mas é comum o uso
da palavra forensics juntamente com science, que seria uma forma de dizer ciência
forense4 em inglês.
A prática forense é a aplicação de técnicas científicas dentro de um processo
legal. Essas práticas envolvem profissionais altamente especializados que possam
localizar vestígios. Porém, as evidências obtidas durante a perícia só podem
proporcionar provas conclusivas quando testadas em laboratórios. Como os
criminosos desenvolvem vias cada vez mais criativas de driblar a lei, entidades
especialistas foram obrigadas a descobrir maneiras mais eficientes de levar esses
infratores a julgamento. Mesmo que aparentemente eles não deixem pistas, os
profissionais forenses descobriram a algum tempo que isto não é verdade. A ciência
forense é uma área muito abrangente, envolvendo as áreas de:
● Criminalística;
● Medicina;
● Química (análise de sangue, gota de saliva, fio de cabelo e etc.);
● Matemática;
● Física (balística de projéteis);
● Biologia (análise de DNA);
● Engenharia;
● Informática (busca de evidências digitais);
● entre outras diversas áreas.
3
Adjetivo correlato aos foros judiciais; o que se utiliza no foro ou nos tribunais.
4
Denomina, na maioria das vezes, o uso da ciência e da tecnologia para a reconstituição e obtenção de provas
de crimes.
13
Como o foco do projeto é na área de informática, a ênfase será toda em cima

da forense computacional ou computação forense.
2.3. Forense Computacional
Sandro Melo (2009, pg. 1,2.) chegou a seguinte conclusão para se referir ao
termo Forense Computacional.
“O termo Forense Computacional refere-se a uma ramificação da Ciência da

Computação. Entretanto a mesma terminologia também pode ser vista
como um ramo da Criminalística, compondo uma área de conhecimento
comum entre a Ciência da Computação e a Criminalística (MELO, 2009,
PG. 1,2.).”
Figura 2.1: Relação entre Ciência da Computação, Criminalística e Computação Forense.

Fonte: Sandro Melo (2009, pg. 2.).
No decorrer dos anos, profissionais de Criminalística passaram a se deparar

com computadores durante o processo de análise forense. Atualmente o número de
crimes cometidos por intermédio deles só tem aumentado e a tendência é que
continuem a crescer cada vez mais. Para que se pudessem auxiliar os peritos
criminais durante a análise, profissionais com experiência na área de tecnologia
eram contratados com o intuito de que eles realizassem uma análise nos
computadores apreendidos em busca de evidências que pudessem ajudar a
solucionar o caso.
A tecnologia avançou de forma rápida e o uso de computadores cresceu
trazendo consigo muitas vantagens. Porém, existem pessoas que tiram proveito
dessa nova era tecnológica para cometerem crimes no âmbito virtual. Devido ao
aumento significativo dos crimes relacionados ao mundo digital surgiu uma nova
14
área de atuação denominada de computação forense. Reynaldo Ng (2007) analisa o

surgimento desse novo campo de atuação da seguinte forma:
Figura 2.2: Surgimento do Perito em Forense Computacional.

Fonte: Reynaldo Ng (2007, pg. 3.).
Ou seja, a inserção da tecnologia para cometer crimes fez com que surgisse
para dar apoio na investigação e no combate ao crime, seja ele organizado ou não,
a Forense Computacional. Como ainda é uma área que está crescendo, faltam
muitos profissionais capacitados para atuação. Segundo a visão de (QUEIROZ;
VARGAS, 2010. pg. 10,11.) dentre as qualidades desejadas em um perito podem
ser citadas as seguintes:
● Ter formação superior em Ciência da Computação ou áreas afins;

● Conhecimento em línguas estrangeiras é de grande valia (inglês e espanhol
são as mais importantes, nessa ordem);
● Boa redação é importante, pois o perito precisa documentar tudo que é feito
além de produzir laudos periciais;
● Conhecimento das leis que envolvem os crimes digitais;
● Como o perito deve fazer a confecção do laudo pericial o conhecimento
sobre os termos da linguagem de Direito e técnicas de redação jurídicas são
importantes;
● Mestrados, Doutorados e Especializações dentro da área são valorizados;
● Experiência profissional;
● Ter interesse aos assuntos relacionados à área é indispensável em
qualquer profissão. Porém, na área de perito digital é preciso se atualizar
constantemente e possuir um amplo domínio tecnológico.
A arte e a ciência de coletar e analisar evidências digitais, rastrear invasores e

reconstruir ataques está diretamente ligada a forense computacional, uma nova área
de atuação que vêm se tornando cada vez mais importante, pois a prática dos
crimes cibernéticos vem aumentando de forma muito rápida, dificultando assim a
15
vida de profissionais de TI (Tecnologia da Informação) e órgãos policiais e judiciários

(FARMER; VENEMA, 2007).
De acordo com a visão de Freitas (2006) a Forense Computacional está
ligada a aquisição, prevenção, restauração e análise de evidências computacionais
e pode ser vista como um ramo da criminalística. Tais evidências computacionais
podem ser tanto os dados que foram processados eletronicamente e armazenados
em mídias computacionais ou até mesmo os componentes físicos.
2.4. Aspectos Legais
O substancial aumento no número de crimes digitais cometidos obriga as

instituições legais a buscarem meios que atuem em seu combate e/ou redução. A
falta de lei própria para esse tipo de crime motiva os cibercriminosos a continuarem
cometendo tais infrações.
Essa falta de legislação contra os crimes digitais pode ser facilmente
explicada pelas autoridades competentes, pois há alguns anos tais delitos
inexistiam. Porém, tudo com o passar do tempo evolui e a legislação precisa
adaptar-se a evolução e surgimento de novos meios de cometer crimes para que os
infratores não saiam impunes. Paulo Marco Ferreira Lima (2005, pg. 3.) diz o
seguinte:
“A tecnologia muda o homem e o direito, não exatamente no mesmo

compasso, provocando muitas vezes surpresa e perplexidade aos feitores e
mantenedores do direito.”
A frase citada pode ser adequada e comparada com o surgimento dos

cibercrimes. Com o avanço tecnológico o homem viu uma nova possibilidade de tirar
proveito cometendo delitos no âmbito virtual, porém o direito não acompanhou esse
avanço no mesmo ritmo. Vladimir Aras (2002) e Paulo Marco Ferreira Lima (2005,
pg. 9.) descrevem o seguinte:
“Tanto a máquina quanto a rede são criações humanas e, como tais, têm
natureza ambivalente, dependente do uso que se faça delas ou da
destinação que se lhes dê. Do mesmo modo que aproxima as pessoas e
auxilia a disseminação da informação, a Internet permite a prática de delitos
à distância no anonimato, com um poder de lesividade muito mais
expressivo que a criminalidade dita convencional. Em face dessa
16
perspectiva e diante da difusão da Internet no Brasil, o Estado deve prever

positivamente os mecanismos preventivos e repressivos de práticas ilícitas.”
Ambas as citações supracitadas reforçam que a legislação precisa ser

adequar ao surgimento desses novos meios de delitos cometidos pelos seres
humanos, assim como dito anteriormente.
Antes de, o perito, iniciar o processo de captura das evidências digitais, é
importante que o mesmo atue conforme a lei determina. No momento em que ele for
realizar a perícia em um computador, deve-se tomar bastante cuidado, para que não
corra o risco de ser indiciado por invasão de privacidade pelo usuário do sistema,
exceto em casos em que há uma autorização judicial para que a perícia possa ser
realizada em todos os arquivos da máquina e em casos em que o usuário o autoriza
realizar a perícia em todos seus arquivos.
2.4.1. Brasil
O primeiro artigo do Código Penal Brasileiro (1940) retrata o seguinte:
● “Art. 1º - Não há crime sem lei anterior que o defina. Não há pena sem
prévia cominação legal.”
De acordo com Leandro Martins de Jesus (2007) o 1° artigo do Código Penal

contém dois princípios: Princípio da legalidade 5 e princípio da anterioridade 6 . Ou
seja, antes da prática de um crime não há uma lei que o descreva como punível,
portanto, não há pena que possa ser aplicável.
Como já dito, a legislação brasileira é falha no que se diz respeito à punição
para os crimes cometidos no âmbito virtual. Devido à falta de leis próprias para tratar
os crimes computacionais à legislação brasileira vem sendo alvo de grandes
discursões. Porém, há um grande engano por parte daqueles que acreditam que por
não existirem leis específicas para os crimes digitais, eles ficarão desta forma
impunes.
Mesmo não havendo legislação específica para os cibercrimes, alguns dos
principais bens atingidos por delitos, que em tese, poderiam ser cometidos por
5
“Pelo princípio da legalidade, alguém só pode ser punido se, anteriormente ao fato por ele praticado, existir
uma lei que o considere como crime.”
6
“Pelo princípio da anterioridade, somente poderá ser aplicada ao criminoso pena que esteja prevista
anteriormente na lei como aplicável ao autor do crime praticado.”
17
intermédio do computador, já são protegidos por nossa lei penal (LIMA, 2005). No
Código Penal Brasileiro (1940) existem diversos crimes que poderiam ser cometidos
com uso do computador e, Paulo Marco Ferreira Lima (2005, pg. 53.) menciona os
seguintes:
● “Art. 151 - Devassar indevidamente o conteúdo de correspondência

fechada, dirigida a outrem. Pena - detenção, de um a seis meses, ou multa.”
● “Art. 152 - Abusar da condição de sócio ou empregado de estabelecimento
comercial ou industrial para, no todo ou em parte, desviar, sonegar, subtrair
ou suprimir correspondência, ou revelar a estranho seu conteúdo. Pena -
detenção, de três meses a dois anos.”
● “Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento
particular ou de correspondência confidencial, de que é destinatário ou
detentor, e cuja divulgação possa produzir dano a outrem. Pena - detenção,
de um a seis meses, ou multa.”
● “Art. 154 - Revelar alguém, sem justa causa, segredo, de que tem ciência
em razão de função, ministério, ofício ou profissão, e cuja revelação possa
produzir dano a outrem. Pena - detenção, de três meses a um ano, ou multa.”
● “Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo
alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou
qualquer outro meio fraudulento. Pena - reclusão, de um a cinco anos, e
multa.”
● “Art. 172 - Emitir fatura, duplicata ou nota de venda que não corresponda à
mercadoria vendida, em quantidade ou qualidade, ou ao serviço prestado.
(Redação dada pela Lei nº 8.137, de 27.12.1990). Pena - detenção, de 2
(dois) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 8.137, de
27.12.1990)”
● “Art. 297 - Falsificar, no todo ou em parte, documento público, ou alterar
documento público verdadeiro. Pena - reclusão, de dois a seis anos, e multa.”
● “Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar
documento particular verdadeiro. Pena - reclusão, de um a cinco anos, e
multa.”
● “Art. 299 - Omitir, em documento público ou particular, declaração que dele
devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da
18
que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou
alterar a verdade sobre fato juridicamente relevante. Pena - reclusão, de um a
cinco anos, e multa, se o documento é público, e reclusão de um a três anos,
e multa, se o documento é particular.”
De acordo com Reynaldo Ng (2007, pg. 122, 123.) no Código Civil Brasileiro (2002)
existem artigos que podem ser interpretados no campo da computação forense,
citando os seguintes itens:
● “Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou

imprudência, violar direito e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilícito.”
● “Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-
lo, excede manifestamente os limites impostos pelo seu fim econômico ou
social, pela boa-fé ou pelos bons costumes.”
● “Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem,
fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o
dano, independentemente de culpa, nos casos especificados em lei, ou
quando a atividade normalmente desenvolvida pelo autor do dano implicar,
por sua natureza, risco para os direitos de outrem.”
● “Art. 1.016. Os administradores respondem solidariamente perante a
sociedade e os terceiros prejudicados, por culpa no desempenho de suas
funções.”
A pedofilia é outro tipo de crime que gera muita polêmica na sociedade em

geral. Mesmo havendo todo tipo de campanha para que sua incidência seja
diminuída, é um tipo de delito que ainda ocorre muito na web. No Código Penal
(1940) e no Estatuto da Criança e do Adolescente (1990) existem artigos que tratam
a pedofilia no meio físico e podem se enquadrar na esfera computacional
(ANDRADE, 2008).
● “Art. 218 do CPB. Induzir alguém menor de 14 (catorze) anos a satisfazer a

lascívia de outrem. (Redação dada pela Lei nº 12.015, de 2009) Pena -
reclusão, de 2 (dois) a 5 (cinco) anos. (Redação dada pela Lei nº 12.015, de
2009)”
19
● “Art. 218-A do CPB. Praticar, na presença de alguém menor de 14 (catorze)

anos, ou induzi-lo a presenciar, conjunção carnal ou outro ato libidinoso, a fim
de satisfazer lascívia própria ou de outrem. (Incluído pela Lei nº 12.015, de
2009) Pena - reclusão, de 2 (dois) a 4 (quatro) anos.” (Incluído pela Lei nº
12.015, de 2009)”
● “Art. 218-B do CPB. Submeter, induzir ou atrair à prostituição ou outra forma
de exploração sexual alguém menor de 18 (dezoito) anos ou que, por
enfermidade ou deficiência mental, não tem o necessário discernimento para a
prática do ato, facilitá-la, impedir ou dificultar que a abandone. (Incluído pela
Lei nº 12.015, de 2009) Pena - reclusão, de 4 (quatro) a 10 (dez)
anos. (Incluído pela Lei nº 12.015, de 2009)”
● “Art. 240 do ECA. Produzir, reproduzir, dirigir, fotografar, filmar ou registrar,
por qualquer meio, cena de sexo explícito ou pornográfica, envolvendo criança
ou adolescente. (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão,
de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de
2008)”
Porém, no ano de 2008, houve uma alteração no artigo 241 do ECA (Estatuto
da Criança e do Adolescente) e, a partir daí, tanto a distribuição, compartilhamento,
divulgação e posse de arquivos com conteúdo pornográfico infanto-juvenil passaram
a serem tipificados como ato ilícito. A seguir pode ser observado o artigo 241 do
ECA.
● “Art. 241. Vender ou expor à venda fotografia, vídeo ou outro registro que
contenha cena de sexo explícito ou pornográfica envolvendo criança ou
adolescente: (Redação dada pela Lei nº 11.829, de 2008) Pena – reclusão, de
4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei nº 11.829, de
2008)”
● “Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou
divulgar por qualquer meio, inclusive por meio de sistema de informática ou
telemático, fotografia, vídeo ou outro registro que contenha cena de sexo
explícito ou pornográfica envolvendo criança ou adolescente: (Incluído pela
Lei nº 11.829, de 2008) Pena – reclusão, de 3 (três) a 6 (seis) anos, e
multa. (Incluído pela Lei nº 11.829, de 2008)”
20
● “Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia,

vídeo ou outra forma de registro que contenha cena de sexo explícito ou
pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829,
de 2008) Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela
Lei nº 11.829, de 2008)”
Quando o assunto são provas eletrônicas como provas válidas em um

processo jurídico, o Brasil, também não conta com normas específicas, no entanto, o
Art. 225 do Código Civil e os artigos 231 e 232 do Código de Processo Penal (1941)
podem ser interpretados na esfera da forense computacional (NG, 2007).
● “Art. 225. As reproduções fotográficas, cinematográficas, os registros

fonográficos e, em geral, quaisquer outras reproduções mecânicas ou
eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra
quem forem exibidos, não lhes impugnar a exatidão.”
● “Art. 231. Salvo os casos expressos em lei, as partes poderão apresentar
documentos em qualquer fase do processo.”
● “Art. 232. Consideram-se documentos quaisquer escritos, instrumentos ou
papéis, públicos ou particulares. Parágrafo único. À fotografia do documento,
devidamente autenticada, se dará o mesmo valor do original.”
Apesar de várias leis se adaptarem aos cibercrimes muitos profissionais

alertam para criação de leis exclusivas aos crimes de informática, sobretudo, para as
evidências digitais apreendidas garantindo assim a autenticidade e integridade da
evidência. Um fator que auxiliou a utilização de evidências eletrônicas foi à criação
da Medida Provisória 2.200-2. O primeiro artigo dessa Medida Provisória diz o
seguinte:
● “Art. 1. Fica instituída a Infraestrutura de Chaves Públicas Brasileira - ICP-

Brasil, para garantir a autenticidade, a integridade e a validade jurídica de
documentos em forma eletrônica, das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem como a realização de
transações eletrônicas seguras (MEDIDA PROVISÓRIA, 2001).”
21
Essa medida provisória reconhece assinaturas digitais por processos

criptográficos assimétricos de chave pública ou privada atribuindo autenticidade e
integridade a documentos eletrônicos. A ideia é comprovar a identidade de uma
pessoa ou site evitando assim fraudes nas transações eletrônicas. Conforme o
segundo parágrafo do décimo artigo não é impedida a utilização de outro meio além
do ICP-Brasil de comprovação da autoria e integridade de documentos em formato
eletrônico.
● “Art. 10. Consideram-se documentos públicos ou particulares, para todos

os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
Parágrafo 2: O disposto nesta Medida Provisória não obsta a utilização de
outro meio de comprovação da autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil,
desde que admitido pelas partes como válido ou aceito pela pessoa a quem
for oposto o documento (MEDIDA PROVISÓRIA, 2001).”
A Tabela 2.1, elaborada por Reynaldo Ng (2007, pg. 123, 124.), possui
informações importantes sobre ações que podem parecer simples e que sucedem
muitas vezes no dia a dia, mas que acabam passando despercebidas na maioria das
vezes, podendo, no entanto podem ser enquadradas em artigos do Código Penal.
Ação Tipo Artigo C.P.

Falar em um chat que alguém
cometeu algum crime (ex. ele é Calúnia Art. 138 do C.P.
um ladrão.)
Encaminhar um e-mail para

várias pessoas de um boato Difamação Art. 139 do C.P.
eletrônico
Enviar um e-mail para a pessoa
dizendo sobre características Injúria Art. 140 do C.P.
dela (ex. gorda, feia, vaca, etc.)
Enviar um e-mail ameaçando Ameaça Art. 147 do C.P.
uma pessoa
Enviar um e-mail para terceiros
com informação considerada Divulgação de segredo Art. 153 do C.P.
confidencial
Enviar um vírus que destrua Dano Art. 163 do C.P.
equipamento ou conteúdos
Copiar um conteúdo e não Violação ao direito autoral Art. 184 do C.P.
mencionar a fonte
Criar uma comunidade on-line
que fale sobre pessoas e Escárnio por motivo de religião Art. 208 do C.P.
religiões
22
Acessar sites pornográficos Favorecimento da prostituição Art. 228 do C.P.

Criar uma comunidade com
intuito de ensinar pessoas a Apologia de crime ou criminoso Art. 287 do C.P.
cometerem ações ilícitas
Enviar e-mail com remetentes Falsa Identidade Art. 307 do C.P.
falso (caso comum de spam)
Fazer cadastro com nome falso Inserção de dados falsos em Art. 313-A do C.P.
em uma loja virtual sistema
Entrar na rede da organização Adulterar dados em sistema de
ou de concorrente e mudar informações Art. 313-B do C.P.
informações
Se você recebeu um spam e Exercício arbitrário das próprias
resolve devolver com um vírus, razões Art. 345 do C.P.
ou com mais spam
Participar de cassino on-line Jogo de azar Art. 50 da L.C.P.
Falar em um chat que alguém é Preconceito ou discriminação Art. 20 da Lei 7.716/89
isso ou aquilo por sua cor raça. Cor, etnia
Ver ou enviar fotos de crianças Pedofilia Art. 247 da Lei 8.069/90
nuas on-line
Usar logomarca de organização
em um link na página da
Internet, em uma comunidade, Crime contra a propriedade Art. 195 da Lei 9.279/96
em um material sem industrial
autorização do titular, no todo
ou em parte
Emprega meio fraudulento,
para desviar clientela de
outrem, por exemplo, uso da Crime de concorrência desleal Art. 195 da Lei 9.279/96
marca do concorrente como
palavra-chave ou link
patrocinado em buscador
Usar cópia de software sem ter Crimes contra software Art. 12 da Lei 9.609/98
licença para tanto "Pirataria"
Tabela 2.1: Ações comuns, tipo e artigo C.P.
Fonte: Reynaldo Ng, 2007.
A inexistência de leis próprias para os crimes computacionais acaba gerando

uma falta de consenso entre os profissionais de Direito Eletrônico. Como
supracitado, há uma divergência de opiniões sobre quais leis já existentes no Código
Penal, Código Civil, dentre outros da Legislação Brasileira, possa-se enquadrar um
determinado crime cometido por intermédio do computador.
Alguns profissionais da área alertam para criação de um código exclusivo
para os cibercrimes, já outros são da opinião que é preciso que haja apenas uma
reformulação do Código Penal já existente alertando para lacunas na legislação,
como a inexistência de leis específicas sobre proteção de dados, enquanto outros
são favoráveis na manutenção deste, pois, entendem que a legislação para o mundo
físico contempla praticamente todas as questões do mundo virtual, dispensando
assim a criação de novas leis (PINHEIRO; CASTILHO, 2010).
23
José Antônio Milagre (2001) relata o seguinte: “Além das lacunas existentes
para os crimes informáticos, o Brasil utiliza Código Penal de 1940, ou seja, da „era
do rádio‟.” É notória a necessidade de criação de um Código Penal próprio para os
cibercrimes ou no mínimo a restruturação no Código Penal em vigor, que já é
bastante ultrapassado, para que se consiga ter um maior consenso entre os
profissionais e principalmente para que nenhum crime computacional passe impune.
2.4.1.1. Projetos de Leis

Devido à necessidade de criação de legislação apropriada para os
cibercrimes projetos estão sendo analisados e discutidos no congresso nacional,
porém até o presente momento, nenhum projeto que agregue uma modernização na
nossa legislação realizando as alterações necessárias foi sancionado. A seguir
serão citados dois projetos de leis em tramitação no congresso nacional.
2.4.1.1.1. Projeto de lei Eduardo Azeredo

Elaborado pelo Senador Eduardo Azeredo, trata-se do projeto de lei mais
importante sobre tramitação no congresso nacional brasileiro. Até o presente
momento é o texto legislativo mais completo já produzido abordando crimes
envolvendo computadores. De acordo com Eli Teixeira (2006), os crimes tipificados
pelo projeto são os seguintes, com reclusão ou detenção que pode ir de um a quatro
anos:
● “Dano por difusão de vírus eletrônico ou digital;”

● “Acesso indevido a dispositivo de comunicação;”
● “Obtenção, guarda e fornecimento de informação eletrônica ou digital obtida
indevidamente ou não autorizada;”
● “Violação e divulgação não autorizada de informações depositadas em
bancos de dados;”
● “Permissão, com negligência ou dolo, do acesso a rede de computadores
por usuário não identificado e não autenticado;”
● “Atentado contra a segurança de serviço de utilidade pública;”
● “Interrupção ou perturbação de serviço telegráfico, telefônico ou de rede de
computadores;”
● “Difusão maliciosa de código;”
24
● “Falsificação de cartão de crédito ou débito ou qualquer dispositivo

eletrônico ou digital portátil de armazenamento e processamento de
informações;”
● “Falsificação de telefone celular ou meio de acesso a sistema eletrônico ou
digital;”
● “Furto qualificado com uso de dispositivo de comunicação, sistema
informatizado ou rede de computadores;”
● “Não guardar os dados de conexões realizadas em rede de computadores.”
O ato de acessar conteúdos (vídeos, músicas e etc) que sejam protegidos por
direitos autorais também é tipificado como delito pelo projeto, estabelecendo penas
que vão de um a três anos e que podem ser dobrabas caso haja distribuição do
material pelo usuário. Eli Teixeira (2006) alerta para outro ponto do projeto, que
provedores de Internet devem exigir identificação de todas as pessoas que
assinarem contrato para uso da Internet, além de terem que arquivar por três anos
todos os acessos e conteúdos dos internautas, incluindo conversas em salas de
bate-papo, messenger e etc. Tais medidas tem como objetivo identificar infratores
que possam vir a cometer crimes computacionais, pois o provedores serão
obrigados a entregar os dados em caso de processo judicial. Contudo o projeto
recebeu críticas de universitários, especialistas em informática e direito,
professosres, internautas e também pelos provedores de acesso à Internet. Para
muitos esse projeto de lei é uma censura a Internet, controlando todos os passos
dos usuários. O combate à pedofilia também é lembrado no projeto do Senador,
além de produzir e divulgar material contendo pedofilia, também será crime o
armazenamento destas imagens em computadores.
Porém, o ponto mais polêmico do projeto está mesmo relacionado ao ato de
que os provedores tem que armazenar por três anos todos os dados acessados
pelos usuários para fins de investigação. Inicialmente os provedores além de
armazenar todo o conteúdo eram obrigados a fiscalizar o uso e denunciar crimes
para autoridades competentes. Eduardo Azeredo então resolveu ser mais flexisível e
mudar as regras, então o texto aprovado prevê que os provedores de acesso a
Internet não são mais obrigados a fiscalizar, tendo somente que repassar denúncias
recebidas e, não era mais necessário arquivar todos os todos acessados pelos
25
usuários e, sim apenas os dados sobre a origem, hora e data de acesso

(BRESCIANI, 2008).
O projeto foi aprovado pelo senado federal, mas no presente momento
encontra-se na câmara, sob análise da Comissão de Ciência e Tecnologia, o
objetivo é realizar ajustes em pontos considerados polêmicos.
2.4.1.1.2. Projeto de lei 89/2003
Este projeto de lei foi confeccionado pelo deputado Luiz Piauhylino e, pode
ser o primeiro projeto que trata de forma ampla e sistematizada os crimes cometidos
no âmbito virtual por intermédio de computadores a se tornar lei. O projeto tipifica
vários crimes que hoje já são cometidos contra sistemas informáticos ou por meio
deles, dentre eles:
● Acesso indevido a meio eletrônico;

● Manipulação indevida de informação eletrônica;
● Difusão de vírus eletrônico;
● Pornografia infantil;
● Atentado contra a segurança de serviço de utilidade pública;
● Interrupção ou perturbação de serviço telegráfico ou telefônico;
● Falsificação de cartão de crédito;
● Falsificação de telefone celular ou meio de acesso a sistema eletrônico.
Por entender que o projeto necessitava de alguns aperfeiçoamentos o

Senador Marcelo Crivella, membro da Comissão de Constituição, Justiça e
Cidadania do Senado Federal, apresentou duas novas emendas para esse projeto
de lei: Falsidade Informática e Sabotagem Informática. Na primeira ele diz o
seguinte:
● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou,

de qualquer forma, interferir no tratamento informático de dados, com o fim de
obter, para si ou para outrem, vantagem indevida de qualquer natureza,
induzindo a erro os usuários ou destinatários. Pena - detenção, de um a dois
anos, e multa (REINALDO FILHO, 2004).”
Já na segunda ele relata:

26
● “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou,

de qualquer forma, interferir em sistema informatizado, com o fim de
desorientar, embaraçar, dificultar ou obstar o funcionamento de um sistema
informatizado ou de comunicação de dados à distância. Pena - detenção, de
um a dois anos, e multa (REINALDO FILHO, 2004)."
O artigo relativo à falsidade informática tem por objetivo coibir o envio de

spams7 e scams8, já o artigo que abrange a sabotagem informática tem como intuito
alcançar outras modalidades de cibercrimes, como por exemplo o denial-of-service
attack9. A inserção desses dois novos itens ao projeto de lei trouxeram inegáveis
avanços em relação aos crimes cometidos através de redes eletrônicas. Entretanto,
esse projeto de lei assim como o elaborado pelo Senador Eduardo Azeredo foi alvo
de críticas.
Hoje existem dezenas de projetos de leis em trâmite no congresso nacional
com intuito de coibir e/ou combater os crimes cometidos por meio de computadores.
Como os projetos são criados por políticos que na sua grande maioria não possuem
conhecimento prévio na área e, portanto, acabam criando projetos de leis que geram
muitas polêmicas e que ficam anos e anos sob análise a espera de aprovação.
2.5. Obtenção de Evidências Digitais
As evidências são o que de mais importante tem-se para a resolução de um

crime, independente do gênero desse. A partir dela(s) pode-se chegar à conclusão
que se uma determinada suspeita é verdadeira ou falsa, podendo assim incriminar
ou absolver o réu em questão. Na informática quando se tem o intuito de resolver
um crime não é diferente, as pistas são chamadas de evidências digitais, pois foram
extraídas em meios computacionais. A captura das evidências digitais não é trivial,
dessa forma, o perito deve seguir determinados princípios, que foram herdados de
bases da Ciência Forense em geral, para que o mesmo garanta a integridade das
evidências, que futuramente poderá tornar-se uma prova concreta, podendo assim
7
Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um
grande número de pessoas, geralmente com divulgações de propagandas, mas não exclusivamente.
8
O scam é uma modalidade de spam que não pretende divulgar propaganda, mas causar prejuízo a quem o
recebe. Tanto poderá propagar um vírus que danifique a instalação, abrir uma porta (backdoor) para
possibilitar invasão ou mesmo instalar um keylogger para furtar informações bancárias.
9
O principal objetivo nesse tipo de ataque é impossibilitar a vítima (um sistema informático) de ter acesso a
um particular recurso ou serviço.
27
ser utilizada em juízo. Wagner de Paula Rodrigues (2004) relatou que basicamente
estes princípios estão fundamentados em métodos que buscam dar credibilidade
aos resultados, fornecendo mecanismos para a verificação da integridade das
evidências e da corretude dos procedimentos adotados. Alguns desses princípios
segundo ele são:
● Réplicas: Ao examinar, periciar uma evidência obtida, o examinador está

sujeito a cometer erros que possam acarretar na invalidação de uma
evidência. Dessa forma, realizar a duplicação completa (bit a bit) do
dispositivo a ser analisado é sempre recomendável para que seja possível, se
necessário, repetir os processos sem que ocorra dano à evidência original;
● Garantia de Integridade: Para que uma evidência tenha sua integridade
preservada é aconselhável que haja procedimentos previamente
determinados que visem garantir a integridade das evidências coletadas.
Enquanto no mundo real as evidências são armazenadas em ambientes cuja
entrada é restrita, além de serem tiradas fotos e serem realizadas minuciosas
descrições das evidências coletadas com o intuito de verificar sua
autenticidade posteriormente, no mundo virtual, além de poder contar com
esses procedimentos do mundo real, a autenticidade e a integridade de uma
evidência também podem serem verificadas através de utilização de
algoritmos de hash criptográfico10 como o MD5 e o SHA-1. Além disso, mídias
para somente leitura como CD-ROM e DVD-ROM podem ser usadas para
armazená-las;
● Ferramentas Confiáveis: Para que o examinador tenha como garantir a
confiabilidade dos resultados obtidos é importante que o mesmo faça uso de
ferramentas comprovadamente idôneas. No mundo real não é diferente, os
experimentos de uma análise laboratorial devem ser conduzidos em
ambientes controlados e comprovadamente seguros a fim de que os
resultados não possam ser contaminados por alguma influência externa.
Do ponto de vista de organização de processos, a fase de obtenção de

evidências digitais pode ser dividida em 4 fases:
10
A criptografia hash permite que, através de uma string de qualquer tamanho, seja calculado um
identificador digital de tamanho fixo, chamado de valor hash. O valor hash geralmente é formado por 16 bytes
(no caso do MD- 5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes.
28
1 – Aquisição ou Coleta e Preservação

2 – Identificação ou Exame
3 – Análise
4 – Apresentação
A Figura 2.3 apresenta cada uma das quatro fases citadas acima.
Figura 2.3: Fases de um processo de investigação.

Fonte: Elaborada pelo autor.
2.5.1. Aquisição ou Coleta e Preservação

Esta é a fase onde o processo tem início, é quando o perito chega ao local
onde irá realizar a perícia, ela pode ser chamada de aquisição ou coleta (obter as
evidências) e preservação (proteger as evidências), pois nela o perito deve ao
mesmo tempo extrair e garantir a proteção das evidências.
Na visão de Raffael Vargas (2007), um perito forense computacional
experiente deve garantir a autenticidade e a integridade de todas as evidências
capturadas pelo mesmo, assegurando-se assim que nenhuma evidência seja
danificada, destruída ou mesmo comprometida pelos possíveis maus procedimentos
usados durante a investigação, e que nenhum vírus ou código malicioso seja
introduzido em um computador durante a análise forense, garantindo assim a
legitimidade de todas as evidências.
A preservação de uma evidência é muito importante para que a mesma tenha
algum valor jurídico e possa ser utilizada posteriormente em um tribunal com devida
segurança, pois, caso o juiz não aceite à evidência, a mesma não poderá mais ser
reapresentada futuramente.
29
Na informática, assim como acontece em outros tipos de crimes, todo o

material apreendido na cena do crime deverá ser mantido sob cadeia de custódia 11.
A Figura 2.4 mostra como seria um formulário de cadeia de custódia de uma
evidência eletrônica.
Figura 2.4: Exemplo de um formulário de cadeia de custódia.

Fonte: Diego Tavares, 2007.
No formulário apresentado acima, pode ser observado o código hash do

dispositivo analisado, que nesse caso é um HD (Hard Disk) de um Notebook cuja
capacidade de armazenamento é de 80GB (Giga Bytes). Como já foi dito
anteriormente, o código hash serve para verificar se a integridade e a autenticidade
da evidência não foram comprometidas, visto que as mesmas precisam estar
intactas para que possam ter algum valor no tribunal.
11
Trata-se de um documento onde se encontra todas as informações da evidência apreendida.
30
2.5.2. Identificação ou Exame

Nesta segunda fase, o perito vai examinar todas as evidências que o mesmo
adquiriu na primeira fase e terá que extrair somente as informações relevantes para
a investigação. É considerada uma fase muito trabalhosa e requer muita habilidade
do perito.
Os cibercriminosos, para dificultar o trabalho dos peritos na busca de
evidências relevantes, fazem uso de algumas técnicas específicas. Uma dessas
técnicas anti-forenses, é limpar rastros e eliminar possíveis evidências para que sua
identificação possa ser dificultada ou inviabilizada. Nessa segunda fase, onde o
perito deve analisar as evidências já adquiridas para determinar quais terão alguma
relevância, o mesmo deverá estar atento a uma técnica conhecida como
esteganografia12. A esteganografia pode ser usada por criminosos digitais, a fim de
ocultar mensagens relevantes dentro de outras com nenhuma importância. Para que
essas mensagens não passem despercebidas, o perito deve estar muito atento e
apto para identificar e recuperar esses dados.
Atualmente, existem muitas ferramentas13 de fácil manuseio para que possa
ser feito o uso da técnica de esteganografia. O perito deve estar preparado para que
não deixe nenhuma informação importante passar despercebida.
2.5.3. Análise
Nesta fase, o investigador detém consigo somente os elementos relevantes
para o caso, pois o perito já transpôs todos os filtros de camadas de informações
anteriores, ou seja, o examinador já colheu as evidências (primeira fase) e também
já determinou quais evidências terão alguma relevância (segunda fase) (VARGAS,
2007).
Chegou à hora de evidências se tornarem provas concretas para o caso em
questão. Nessa fase é necessário que o perito junte as provas e interligue os fatos
para que possa-se identificar pessoas, locais e eventos, dessa forma, é possível que
seja feita uma reconstituição do que aconteceu, de como o “crime” foi cometido,
essa deve-se aproximar o mais perto possível da realidade.
12
“Esteganografia é uma palavra de origem grega, onde Stegano significa escondido ou secreto e Grafia:
escrita ou desenho (COELHO; BENTO, 2004, p.15)”.
13
Uma dessas ferramentas é o Camouflage 1.2.1, é uma ferramenta livre e que foi desenvolvido para
ambientes Windows e que encontra-se na sua versão final.
31
2.5.4. Apresentação
Esta é a fase onde o examinador deverá realizar o enquadramento das
evidências dentro do formato jurídico, sendo inseridas na esfera civil, criminal ou em
ambas pelo juiz ou pelos advogados (FREITAS, 2006). Ou seja, nessa última fase o
perito deve redigir o laudo pericial de forma clara e concisa apresentando uma
conclusão imparcial e final a respeito da investigação. Desta forma, quando se tem a
certeza material das evidências, atua-se com uma das partes acima descritas para
apresentação das mesmas.
2.6. Microsoft Windows
A Microsoft fui fundada em 1975 por Bill Gates e Paul Allen. O nome Microsoft
derivou-se de outras duas palavras: Microcomputer e Software. O objetivo da
empresa era desenvolver e comercializar softwares. Trinta e cinco anos após a
fundação a Microsoft se tornou uma das maiores empresas do mundo no segmento
em tecnologias de software (PONTUAKI, 2010). O grande sucesso da Microsoft
deve-se a criação do sistema operacional Windows que em português significa
janelas. Hoje, o Microsoft Windows, ou simplesmente Windows é o sistema
operacional mais utilizado no mundo pelos usuários de computadores pessoais
embora uma grande parte das cópias sejam piratas.
A primeira versão do Windows surgiu em meados 1985 e recebeu o nome de
Windows 1.01. A segunda versão surgiu em 1987 com o nome de Windows 2.03,
mas foi a partir da terceira versão lançada em 1990 com o Windows 3.0 que a
Microsoft obteve um grande salto em relação ao padrão gráfico. O Windows 3.1,
lançado em 1992, é um dos mais famosos Windows já criados sendo uma
atualização do Windows 3.0 com correções de bugs e suporte de multimídia, suporte
a rede, fax-modem e correio eletrônico (LIMA, 2009). Pode ser observado nas duas
figuras (Figura 2.5 e Figura 2.6) apresentadas a seguir a diferença de interface
gráfica de duas versões diferentes do Windows. É notória a evolução de interface
gráfica da versão do Windows 2.03 para o Windows 3.1.
32
Figura 2.5: Interface gráfica do Windows 2.03.

Fonte: Yeltsin Lima, 2009.
Figura 2.6: Interface gráfica do Windows 3.1

Fonte: Yeltsin Lima, 2009
Windows NT (New Technology) 3.1 e Windows 3.11 foram as duas próximas

versões lançadas do sistema operacional da Microsoft, ambas criadas em 1993. O
primeiro segue a coerência de seu antecessor, porém com um sistema operacional
33
de 32 bits, já o segundo foi criado para grupos de trabalho14, incluindo suporte a

P2P15 e rede de domínios (LIMA, 2009).
Em 1995, surgia no mercado duas novas versões: Windows NT 3.51
Workstation e Windows 95. Com a criação do Windows 95 o salto foi enorme, e o
lançamento foi amplamente divulgado pela imprensa, inclusive as redes de televisão
(PONTUAKI, 2010). O Windows 95 possui interface 100% gráfica, TCP/IP 16 ,
conexão via redes dial-up17 e plug and play18. Em contrapartida é um dos sistemas
com mais bugs, falhas e brechas de segurança diferentemente do Windows NT 3.51
Workstation que provia um alto nível de segurança para aplicativos e dados, além de
fornecer suporte a gráficos OpenGL19 (Open Graphics Library), melhorando assim a
interface (LIMA, 2009). A Figura 2.7 ilustra a interface gráfica do Windows 95.
Figura 2.7: Interface gráfica do Windows 95.

14
Recebeu o nome de Microsoft Windows for WorkGroups.
15
Peer to Peer, em português significa ponto a ponto, é uma arquitetura de sistemas distribuídos caracterizada
pela descentralização das funções na rede, onde cada nodo realiza tanto funções de servidor quanto de cliente.
16
Protocolo de internet utilizado para conectar-se a rede.
17
Conexão a internet usando um dispositivo que utiliza a rede telefônica.
18
Tecnologia criada com o intuito de que o computador reconheça e configure automaticamente qualquer
dispositivo que seja conectado no mesmo, eliminado assim a configuração manual.
19
É uma API livre utilizada na computação gráfica, para desenvolvimento de aplicativos gráficos, ambientes 3D,
jogos, entre outros.
34
Assim como em 1995, em 1996 surgiram mais duas novas versões do

sistema operacional da Microsoft: Windows NT Workstation 4.0 e Windows NT
Server 4.0. Ambas as versões acompanham a interface do Windows 95, porém, a
primeira conta com um melhoramento no suporte a rede, tornado o acesso à rede
mais seguro, enquanto a segunda é uma versão voltada para servidores (LIMA,
2009). Em 1998 o surge o Windows 98 que é um upgrade (atualização) do 95.
Muitas falhas foram corrigidas do seu antecessor. Foi à primeira versão do Windows
desenvolvida especialmente para consumidores, oferecendo suporte a muitos
monitores e ao USB20 (Universal Serial Bus). Mas a maior novidade dessa versão é
a completa integração do sistema operacional com a internet. O Windows 98 é um
sistema operacional maior do que o 95, possuindo mais funções, o que o torna mais
lento e mais instável (PONTUAKI, 2010).
No ano de 2000 chega ao mercado mais três novas versões do Microsoft
Windows: Windows 2000, Windows 2000 Server e Windows ME (Millennium Edition).
O Microsoft Windows 2000 foi lançado para substituir o Windows 95 e 98 e o
Windows NT Workstation 4.0 em todos os desktops e laptops empresariais. Foram
incluídas diversas melhorias em usabilidade, confiabilidade, compatibilidade com a
internet e suporte para computação móvel. O Windows 2000 Server segue a mesma
linha do Windows 2000, porém foi desenvolvido com um sistema voltado para
servidores e foi substituído no ano de 2003 pelo Windows Server 2003. Atualmente
o último Windows lançado voltado exclusivamente para servidores é o Windows
Server 2008, criado no ano de 2008. Já o Windows ME foi criado para o uso
pessoal, e oferecia melhorias em música, vídeo e na rede residencial,
diferentemente do Windows 2000 que foi criado para as empresas. O nome
Millennium Edition (Edição Milênio) foi atribuído, pois o mesmo foi lançado no novo
milênio (LIMA, 2009). Na Figura 2.8 pode ser observado que a interface gráfica do
Windows ME é bem semelhante ao do Windows 95, apenas com uma ressalva na
diferença dos ícones nas duas versões, onde o ME apresenta uma melhora.
20
Trata-se de uma tecnologia que tornou mais simples, fácil e rápida a conexão de aparelhos diversos ao
computador, evitando assim um tipo específico de conector para cada dispositivo.
35
Figura 2.8: Interface gráfica do Windows ME.

O sistema operacional Microsoft Windows XP, foi lançando em outubro de

2001 e é um dos melhores sistemas operacionais já criados pela Microsoft, incluindo
gráficos melhores se comparado com a interface de seus antecessores. Mas as
vantagens não se resumem exclusivamente a isso, pode se incluir também: recursos
para empresas e computação doméstica avançada, onde se contém suporte a
desktop remoto, um sistema de criptografia de arquivos, restauração do sistema e
recursos avançados de rede (LIMA, 2009).
Mesmo depois de quase 10 anos de seu lançamento o XP é o sistema
operacional com maior número de usuários no Mundo. Isso pode ser facilmente
explicado levando em conta que seu sucessor Windows Vista lançado em novembro
de 2006 para pré-fabricantes foi um fracasso de vendas tendo as mesmas cessadas
em junho de 2008. Apesar de apresentar diversas melhorias de interface gráfica o
Windows Vista recebeu muitas críticas de diversos usuários em todo o Mundo
devido ser um sistema lento, pesado e cheio de falhas. Dentre as inovações pode
ser citado: Windows Aero (com recursos de transparência, sistema de alternância 3D
de janelas chamado Flip 3D e visualização de miniaturas), Windows Media Center
(Centro de entretenimento digital) e ferramentas voltadas para segurança como o
Windows Defender e Windows Firewall (PONTUAKI, 2010). Nas duas figuras (Figura
36
2.9 e Figura 2.10) apresentas a seguir pode ser notada a interface gráfica das
versões XP e Vista do Windows.
Figura 2.9: Interface gráfica do Windows XP.

37
Figura 2.10: Interface gráfica do Windows Vista.

Devido à rejeição ao sistema operacional Windows Vista, a Microsoft

rapidamente lançou no mercado mundial para empresas, em julho de 2009, uma
nova família de sistemas operacionais, a qual nomeou de Windows 7. Poucos
meses depois, em de outubro de 2009, o Windows 7 começou a ser vendido para os
usuários. O Windows 7 teve uma aceitação muito rápida no mercado mundial. De
acordo com um estudo realizado, Célio Yano (2010), da Exame.com, afirmou que o
Windows 7 tem quase 15% de participação no mercado mundial de sistemas
operacionais, isso em menos de 1 ano depois de seu lançamento. Mas ainda nada
se compara ao grande número de usuários do Windows XP que ultrapassa a casa
dos 60% de usuários. Mesmo ficando muito atrás do XP, o Windows 7, já é
considerado um grande sucesso de vendas pela Microsoft, visto que, depois do
Windows XP nenhum outro sistema operacional teve uma aceitação tão rápida
quanto o Windows 7.
Mas essa grande e rápida aprovação do Windows 7 não foi por acaso, pois é
um sistema rápido, seguro, fácil de ser usado, inteligente e, que foi feito pra
computadores modernos. O Windows 7 possui uma interface bastante parecida com
a do Vista, mas apresenta melhorias como: ícones maiores na barra de tarefas e
maior transparência como pode ser observado na Figura 2.11.
38
Figura 2.11: Interface gráfica do Windows 7.

Com intenção de fazer com que os usuários do XP migrem aos poucos para o
Windows 7, a Microsoft não irá mais disponibilizar seus serviços de suporte para o
Windows XP a partir de 9 de abril de 2014.
Portanto, com essa decisão de suspender o suporte tomada pela Microsoft, e
pelo rápido e progressivo crescimento do Windows 7 no mercado mundial, o
esperado é que até 2014, o Windows 7 seja o sistema operacional com o maior
número de adeptos ao redor do Mundo ou pelo menos esteja bem próximo de
ultrapassar o Windows XP.
39
3. TRABALHOS RELACIONADOS
3.1. Computação Forense com Software Livre: Conceitos, Técnicas, Ferramentas

e Estudos de Casos
Trabalho desenvolvido por Sandro Melo (2009) com o intuito de proporcionar

uma bibliografia que auxilie na formação de profissionais, apresentando técnicas e
ferramentas FOSS21 (Free and Open Source Software) que podem servir de apoio
durante uma perícia em um computador ou em uma rede, utilizando o sistema
operacional Linux como ambiente de apoio.
Na primeira parte do trabalho, Sandro Melo, fala sobre computação forense,
sobre o grande aumento de fraudes em meios computacionais e da necessidade da
perícia forense. Mais adiante, o autor cita cada processo de análise forense 22 e
também fala sobre o modus operandi23 do invasor.
No final deste trabalho ainda é abordado sobre as ferramentas FOSS e são
apresentados os estudos de casos.
3.2. Forensic Examination of Digital Evidence: A Guide for Law Enforcement

(Exame Forense de Evidência Digital: Um Guia para Aplicação da Lei)
Guia desenvolvido pelo Departamento de Justiça dos Estados Unidos onde

são abordadas situações comuns encontradas durante uma análise. Neste guia o
perito é alertado sobre como agir em determinadas situações em que o mesmo
enfrenta durante a realização de uma perícia.
Este guia também aborda sobre boas maneiras de o perito agir em diferentes
casos, e para cada caso é indicado lugares onde o mesmo deve realizar a perícia
em busca de evidências digitais, visto que é sabido, que cada caso tem suas
21
Ferramentas as quais reúnem os conceitos de software livre e de código aberto na mesma licença.
22
Na sua concepção os processos podem ser divididos em aquisição, identificação, avaliação e por ultimo
apresentação.
23
É o modo como o criminoso atua, sua forma de pensar, de agir.
40
particularidades, sendo assim, a perícia nunca será padronizada de um caso para

outro.
O guia ainda apresenta estudos de casos fictícios, descrevendo quais
decisões foram tomadas e o que foi feito pelo perito em cada processo de análise
forense.
3.3. Perícia Forense Computacional baseada em Sistema Operacional Windows

XP Profissional
São apresentados neste trabalho os conceitos de identificação, preservação,

análise e apresentação de evidências, encontradas em uma investigação de Perícia
Forense Computacional.
Através de algumas ferramentas, que podem ser utilizadas na Perícia
Forense Computacional, são descritos no trabalho a concepção de um conjunto de
ferramentas confiáveis.
Foi utilizado um caso fictício para exemplificar a realização de uma Perícia
Forense Computacional em um computador com o Windows XP Professional
(PIMENTA, 2007).
3.4. Técnicas Forenses
Este trabalho foi desenvolvido com o objetivo de demonstrar todas as etapas

que um perito precisa para ter sucesso em uma investigação, desde o transporte do
equipamento a ser periciado, as técnicas utilizadas, as instalações do laboratório de
perícia e a confecção do laudo pericial.
O autor chegou à conclusão de que existem inúmeras possibilidades e
técnicas diferentes para um perito comprovar a existência de uma fraude, seja ela
localmente, via rede ou via web. Além de softwares que o ajudam a executar o
trabalho com o maior cuidado possível, também é necessário um local apropriado
para executar os exames e uma boa equipe de trabalho (RIBEIRO, 2006).
41
4. FERRAMENTAS FORENSES
Neste capítulo será realizado um levantamento de algumas ferramentas

forenses existentes que possam ser usadas durante uma análise pericial. Dentre as
ferramentas existentes têm-se dois tipos: softwares e hardwares.
4.1. Softwares
Primeiramente serão listados alguns softwares que são usados para fins
periciais.
4.1.1. EnCase Forensic
Produzida pela Guidance Software 24 , a EnCase Forensic é uma das mais

completas ferramentas gráficas existentes para investigação de crimes digitais.
Desenvolvida com o intuito de atender as necessidades de peritos, detetives,
investigadores e outros profissionais que lidam com incidentes de segurança e cada
vez mais tem se deparado com a tarefa de analisar computadores em busca de
evidências ou até mesmo provas digitais. A EnCase hoje é utilizada por grandes
entidades investigativas no mundo, como por exemplo o FBI (Polícia Federal norte
americana) e a Polícia Federal Brasileira.
É uma ferramenta apropriada para trabalhos periciais, baseada no ambiente
Windows, de fácil manuseio e compatível com a grande maioria dos sistemas de
arquivos, tais como FAT12 / FAT16 / FAT32 / NTFS (DOS/Windows), MFS / HFS /
HFS+ (Macintosh), EXT2 (Linux), Unix, Sun, OpenBSD, CD-R, DVD-R (RIBEIRO,
2006). Dentre algumas funcionalidades do EnCase pode-se destacar:
● Recuperação de pastas e arquivos excluídos;

● Recuperação de partições formatadas;
24
http://www.guidancesoftware.com/
42
● Análise em arquivos compactados;

● Suporte para análise em e-mails e em histórico de navegadores;
● Análise em logs;
● Pesquisas por palavras-chave;
● Localiza arquivos em espaços não alocados;
● Permitem uma visualização perfeita do disco, arquivos excluídos, espaços não
alocados, ocultos e partições;
● Gera relatórios de forma rápida;
● Visualização de arquivos em formato adequado;
● Suporte a vários sistemas de arquivos;
● Dentre outras diversas funcionalidades.
O EnCase além de realizar a coleta de dados digitais, realizar análises e gerar

descobertas também as mantêm em um formato legalmente aceito. Para que isso
possa ser feito, o EnCase, produz uma cópia binária do dispositivo analisado e
verifica sua autenticidade e integridade através de hash criptográfico MD5 e, gera os
relatórios para análise (GUIDANCE SOFTWARE, 2011). O funcionamento do
software é ilustrado na Figura 4.1 apresentada a seguir:
Figura 4.1: Funcionamento básico do EnCase.

Fonte: Guidance Software, 2011.
Outra funcionalidade do EnCase que merece destaque é a possibilidade de

programar novas funções por meio dos EnScripts. Tal funcionalidade fornece maior
43
maleabilidade ao perito permitindo que novas funções sejam implementadas de

acordo com a necessidade de cada caso.
A Figura 4.2 ilustra a tela principal da ferramenta, observando-a pode-se ver
que a navegação da ferramenta é bem intuitiva por mais complexa que seja seu
manuseio.
Figura 4.2: Tela principal do EnCase.

Fonte: Elaborada pelo autor, 2011.
A EnCase proporciona ao investigador um ambiente seguro de análise desde

o início até o término de sua tarefa. Hoje pode-se afirmar que a EnCase Forensic é a
mais completa de todas as ferramentas para realização de uma perícia digital. É
bom lembrar que a ferramenta é paga e, apenas usuários que adquirem o dongle25
podem fazer o uso do software (QUEIROZ; VARGAS, 2010).
25
Hardware semelhante a um pen drive que faz a autenticação para utilização do EnCase.
44
4.1.2. FTK
O software Forensic ToolKit, ou simplesmente FTK, é um conjunto de

ferramentas forenses para investigações envolvendo computadores, desenvolvido
pela AccessData. O FTK possui uma suíte de aplicativos que reúne as principais
funcionalidades para realização de exames forenses em todas as fases da
investigação. Das principais funcionalidades, é possível citar:
● Pesquisas por palavras-chave;

● Indexação de dados;
● Recuperação de arquivos;
● Extrai informações da maioria dos arquivos compactados;
● Data carving26;
● KFF27 (Known File Filter);
● Análise de e-mails;
● Separação por tipos de arquivos;
● Filtros de seleção;
● Visualização de imagens e de mensagens eletrônicas;
● Recupera senhas de arquivos criptografados;
● Identificar esteganografia;
● Suporte a vários sistemas de arquivos, como: FAT12, FAT16, FAT32,
NTFS, LINUX EXT2 E EXT3.
● Entre outras inúmeras funcionalidades.
O FTK encontra-se na versão 3 que traz novas funcionalidades como por

exemplo, interface gráfica mais intuitiva, além de ter tornado uma ferramenta mais
robusta e estável, pois utiliza-se para organização interna dos dados o banco de
dados da Oracle (ELEUTÉRIO; MACHADO, 2010). Pode-se observar a tela principal
da ferramenta na Figura 4.3.
26
Data Carving é um processo que localiza arquivos e objetos que foram deletados ou que estão inseridos em
outros arquivos. A recuperação é feita com base na procura de assinaturas (arquivos conhecidos como por
exemplo, DOC, AVI, XLS, PDF, JPEG entre outros, possuem uma assinatura em seu início que os identificam),
quando uma assinatura é encontrada, realiza-se uma busca pelo conteúdo do arquivo, recuperando a
informação original.
27
É utilizado para filtrar o conteúdo de um dispositivo a ser examinado.
45
Figura 4.3: Tela principal do FTK.

Fonte: Brian Salmon, 2010.
Outra funcionalidade de grande valia são os bookmarks, sempre que o perito

identificar arquivos que podem ajudar na resolução do caso, é possível separá-los
em categorias utilizando a função bookmarks. Posteriormente, pode-se gerar
relatórios em formato HTML utilizando uma função da própria ferramenta e, com
auxílio de um navegador percorrer pelos resultados que são organizados de acordo
com os bookmarks criados (ELEUTÉRIO; MACHADO, 2010).
Tanto o Forensic ToolKit quanto o Encase Forensic são ferramentas
poderosíssimas para fins periciais e, atendem todas as necessidades que o perito
pode ter durante todo o processo de análise.
4.1.3. Helix
Segundo Claudemir Queiroz e Raffael Vargas (2010) a ferramenta Helix

oferece aos profissionais da área uma suíte com opções para que seja realizado um
46
processo de análise forense. Desenvolvida pela empresa e-fense, uma das

vantagens da ferramenta é que além de sua utilização ser gratuita e de funcionar
tanto em ambiente Windows e Linux, independente da distribuição também há opção
de escolha de idioma (Figura 4.4).
Figura 4.4: Tela de abertura do software Helix.

Fonte: Queiroz; Vargas, 2010.
Na tela principal (Figura 4.5) pode-se observar que no lado esquerdo da

imagem há um conjunto de opções para se trabalhar em um determinado caso. As
principais características que podem ser citadas são:
● Preview System Information: Mostra informações do sistema operacional

que está sob perícia, como por exemplo: versão, informações de rede,
informações sobre as partições existentes, informações do proprietário entre
outras;
● Live Acquisition: Como já mencionado várias vezes, é de suma importância,
que exames forenses nunca sejam realizados em mídias originais, mas sim
nas cópias dessas mídias. Está opção permite que sejam feitas cópias da
mídia original, evitando assim, que evidências sejam invalidadas;
● Incident Response tools for Windows Systems: Está opção fornece ao perito
20 ferramentas forenses para realização de perícia;
● Scan for Pictures: Está opção permite que buscas por imagens sejam feitas
no computador que está sob perícia. As buscas podem ser feitas tanto em
imagens já contidas na máquina, como em imagens baixadas na Internet.
47
Imagens que já foram armazenadas na máquina, mas que foram apagadas

posteriormente também pode ser observada sua existência.
● Durante a perícia é importante que o perito documente cada passo que é
realizado, a ferramenta possui um editor de texto próprio caso o perito queira
realizar anotações sobre o caso;
● Entre outras funcionalidades.
Figura 4.5: Tela principal do Helix.

Fonte: Queiroz; Vargas, 2010.
4.1.4. CallerIP
A ferramenta CallerIP ampara peritos quando é necessário realização de

exames forenses para descobrir, por exemplo, de onde originou um ataque, para
controlar quais IPs 28 estão acessando um determinado sistema operacional. As
informações contidas nessa ferramenta que auxilia na indicação de entradas, saídas
e invasões de IP em uma determinada máquina é inteiramente rica em detalhes.
28
Protocolo de Internet (em inglês: Internet Protocol, ou o acrónimo IP) é um protocolo de comunicação usado
entre duas ou mais máquinas em rede para encaminhamento dos dados.
48
O perito consegue visualizar através do software CallerIP quais IPs estão

conectados ou tentando conectar-se em determinada máquina. A partir daí é
possível que o perito visualize a localização do IP no mapa mundi com endereço,
telefone e responsável por determinado endereço IP. A tela principal da ferramenta
pode ser visualizada na Figura 4.6.
Figura 4.6: Tela principal da ferramenta CallerIP.

4.1.5. eMailTrackerPro
Através da ferramenta eMailTrackerPro, o perito tem a possibilidade de

identificar o verdadeiro remetente de um determinado e-mail, ou uma lista de e-mails
falsos, verificando o IP do computador que enviou tais e-mail(s). A ferramenta auxilia
o perito a encontrar o IP da máquina que disseminou determinado e-mail falso e
fornece ao perito o local real que se encontra a máquina, provendo dados como: em
49
que país, cidade, estado e bairro encontra-se a máquina suspeita. Além de prover
dados como por exemplo, local em que foi criado o e-mail e toda sua rota até chegar
ao computador atingido. A interface principal dessa ferramenta pode ser vista a
seguir (Figura 4.7).
Figura 4.7: Tela principal da ferramenta eMailTrackerPro.

4.1.6. Recover My Files
Durante um processo de análise forense em um dispositivo de

armazenamento computacional, o perito, na grande maioria das vezes irá se deparar
com a necessidade de recuperar arquivos que já foram apagados acidentalmente ou
intencionalmente do dispositivo analisado.
A ferramenta Recover My Files (RMF) foi desenvolvida voltada para
plataforma Windows e, sua função é justamente recuperar arquivos que já inexistem
no sistema operacional.
50
Um bom exemplo de uso dessa ferramenta seria em um caso de pedofilia,

pois na grande maioria das vezes, o pedófilo procura apagar os arquivos (imagens,
vídeos, etc) contendo material pornográfico de seu disco rígido. No mercado existem
outras diversas ferramentas com a mesma finalidade, portanto, cabe ao perito
escolher aquela que ele acredite que desempenhará o papel desejado da melhor
forma. Na Figura 4.8 pode ser vista a tela principal da ferramenta.
Figura 4.8: Interface principal da ferramenta Recover My Files.

4.1.7. Symantec Norton Ghost
De acordo com os peritos criminais federais Pedro Monteiro da Silva Eleutério

e Marcio Pereira Machado (2010) a análise forense em um dispositivo de
armazenamento computacional, como por exemplo, em um disco rígido, nunca pode
ser realizada no disco questionado (disco questionado é o nome usado para o disco
rígido apreendido), mas sim em outro disco que pode ser chamado de disco de
destino. Portanto, para que o processo de correta preservação da evidência digital
seja feita é necessário que o perito realize uma cópia do disco rígido questionado
51
para o disco de destino e, isso pode ser feito via imagem 29 ou espelhamento 30 ,
conforme ilustrado a seguir (Figura 4.9).
Figura 4.9: Processo de espelhamento ou imagem de dados.

Fonte: ELEUTÉRIO; MACHADO, 2010.
Para que esse tipo de processo possa ser concretizado com sucesso, o perito
pode fazer o uso do software Symantec Norton Ghost. Para que tal tarefa seja
realizada, basta apenas que o perito conecte ao computador, tanto o disco
questionado quanto o disco destino. É necessário que a inicialização do sistema
operacional seja feita via CD-ROM, DVD-ROM e/ou disquete que traga consigo o
programa, mas nunca normalmente pelo sistema operacional (ELEUTÉRIO;
MACHADO, 2010).
Outro cuidado que deve ser tomado pelo perito responsável por tal tarefa, é
que após iniciar o programa e escolher a opção espelhamento ou imagem, em
seguida será necessário indicar qual disco irá receber a cópia (disco destino) e qual
disco a ser copiado (disco questionado). Se o perito inverter a ordem dos discos
todas as evidências do disco rígido apreendido serão perdidas (ELEUTÉRIO,
MACHADO, 2010).
O Norton Ghost é apenas uma de milhares de ferramentas que podem ser
utilizadas para este fim, deste modo, fica a preferência do perito qual ferramenta
usar. Adiante é ilustrada a tela principal do Norton Ghost (Figura 4.10) e a interface
onde está sendo feita a imagem ou espelhamento de um disco para outro (Figura
4.11).
29
É feita uma cópia para arquivos e salvas no disco de destino.
30
É uma técnica que consiste na cópia exata dos dados (bit a bit) presentes no disco questionado para o disco
de destino.
52
Figura 4.10: Tela principal do software Symantec Norton Ghost.

Figura 4.11: Tela onde a imagem ou espelhamento está sendo realizada.

4.1.8. Process Monitor
Ao chegar a um local de crime de informática, ou ao cumprir um mandato de

busca e apreensão de um crime computacional, o perito responsável em averiguar o
caso pode deparar-se com um computador que deve ser apreendido para análise
ainda ligado. Em alguns casos é importante que análises forenses sejam feitas antes
53
que a máquina seja desligada, pois o computador contêm alguns dados que são
voláteis, como por exemplo, o da memória RAM (Random Access Memory) que são
perdidos junto com o ato de desligar o equipamento (ELEUTÉRIO; MACHADO,
2010).
Outro ponto que deve ser observado pelo perito antes de desligar o
computador analisado é se há algum aplicativo suspeito operando na máquina. Para
que isso possa ser feito o perito pode fazer uso da ferramenta Process Monitor.
Esse software permite realizar uma análise nos processos que estão em execução
em tempo real e, permite também que seja feita a localização de qualquer processo
suspeito. A Figura 4.12 ilustra a tela da ferramenta.
Figura 4.12: Tela do Process Monitor.

4.1.9. COFEE
Como já mencionado no tópico anterior, em determinados casos, o perito

responsável, se julgar necessário, terá que realizar exames antes de desligar a
máquina, que foi encontrada ligada, para que dados voláteis na sejam perdidos. Na
54
memória RAM é possível encontrar dados dessa natureza e, o perito, pode realizar a
extração desses dados por meio da ferramenta COFEE (Computer Forensic
Evidence Extractor), desenvolvida pela empresa Microsoft. A ferramenta faz uma
cópia integral dos dados voláteis existentes na memória RAM do computador, sua
interface pode ser visualizada na Figura 4.13.
Figura 4.13: Tela do software COFEE.

4.1.10. MD5 Check Utility
Preservar uma evidência digital, mantendo sua integridade e autenticidade

intactas, é uma responsabilidade do perito, e, além de manter, comprovar que tais
evidências não sofreram alterações é essencial para que sejam aceitas futuramente
em um tribunal.
O software MD5 Check Utility, pode ser usado para gerar um código hash
criptográfico MD5 e, também para verificar se ouve alterações no código das
evidências digitais. É de suma importância que o perito gere códigos desse tipo para
55
todas as evidências coletadas e posteriormente verifique o código para-se certificar

que tais evidências permaneceram intactas. É sabido que pequenas alterações
feitas em um documento altera seu hash criptográfico gerado anteriormente,
portanto, é importante que o perito documente cada passo que é dado por ele para
que o mesmo não desvalorize uma evidência importante. Na Figura 4.14 ilustrada
abaixo pode ser vista a tela da ferramenta geradora de hash criptográfico MD5.
Figura 4.14: Tela da ferramenta MD5 Check Utility.

4.1.11. NuDetective
Atualmente é muito comum casos de exames forenses em que o perito tem a

necessidade de fazer buscas de arquivos que contenham conteúdo pornográfico
envolvendo menores. Porém, essa é uma atividade que não é das mais simples
considerando que os dispositivos computacionais de armazenamento de dados
estão cada vez maiores. Um disco rígido (HD) de 80 GB (Giga Bytes) que para o
padrão atual é considerado pequeno pode conter mais de um milhão de arquivos.
No trecho apresentando a seguir pode-se ter uma noção dessa dificuldade:
“Um trabalho recente dos autores (Eleutério. Machado, 2009) mostrou que
148 arquivos que registravam abuso sexual contra um adolescente foram
encontrados após a análise de mais de 300.000 arquivos de imagens e
1.100 arquivos de vídeo. (ELEUTÈRIO; MACHADO, 2010, PG. 124.)”
Tais dificuldades podem ser superadas ou facilitadas com uso de softwares

específicos, como por exemplo, o NuDetective, uma ferramenta forense
56
desenvolvida utilizando a linguagem de programação Java que auxilia na detecção

de arquivos contendo pornografia infanto-juvenil. Algumas das características
presentes nessa ferramenta usadas para identificação de arquivos suspeitos que
podem ser citadas são descritas a seguir.
● Image Analysis: Está opção permite detectar automaticamente nudez em

imagens através de técnicas de identificação de pixels de pele e de geometria
computacional;
● FileName Analysis: Permite verificar se os nomes dos arquivos contêm
expressões relacionadas com pornografia infanto-juvenil;
● Hash Analysis: Está opção permite realizar comparações de valores de
hash com uma lista já predefinida de valores ilegais conhecidos.
A ferramenta NuDetective foi desenvolvida com intuito de facilitar a

recuperação desse tipo de arquivo em locais de crime, pois como mencionado um
disco rígido pode conter milhões de arquivos e a procura manual desses arquivos
seria inviável. O uso desse software, se possível deve ser feito no local do crime,
pois se o perito encontrar armazenado no computador suspeito imagens dessa
natureza o mesmo poderá realizar a prisão em flagrante do suspeito, de acordo
tipificado na reedição do artigo 241 do Estatuto da Criança e do Adolescente
apresentado na seção 2.3.1. É uma ferramenta gratuita, porém, seu uso é restrito a
autoridades específicas. A Figura 4.15 mostra a interface gráfica da ferramenta.
57
Figura 4.15: Tela da ferramenta NuDetective.

Fonte: Eleutério; Machado, 2010.
4.2. Hardwares
A seguir serão listados alguns hardwares que também podem ser usados
para fins periciais.
4.2.1. FRED
Forensic Recovery of Evidence Device, ou simplesmente FRED, assim é

chamado a estação de perícia da Digital Intelligence. Esse hardware é utilizado para
aquisição e análise de evidências em computadores. Uma de suas vantagens é
possuir recursos como disco flexível de 3 ½ e 5 ¼ , drives de ZIP, JAZ e DITTO,
discos IDE, SATA e SCSI, além de possuir bloqueadores de escrita; bloqueadores
58
de escrita são muito importantes quando o perito deseja realizar o processo de

duplicação de um determinado dispositivo sem que o mesmo sofra alterações,
evitando assim, a desvalorização das evidências. O perito consegue realizar o
trabalho de duplicar as evidências diretamente do HD IDE/SCSI/SATA, disquetes,
CD, DVD, ZIP driver, fita DAT 4MM e PCCARD, Smartmedia, SD-MMC, Memory
Stick, Compact Flash.
Muitos profissionais contam apenas com soluções em softwares para análises
forenses, pois tais hardwares tem um alto valor aquisitivo. O FRED tem seu valor
estipulado entre 6 mil a 10.350 mil dólares. Na Figura 4.16 têm-se duas versões
desse hardware: a esquerda a versão mais simples e a direita a versão que contêm
dois RAIDs31. Ambas as versões podem ser equipadas com processadores i7 ou
Dual Xeon, o hardware com a versão Dual Xeon é denominado de FRED DX. Outras
mudanças de hardware também podem ser feitas de acordo com a necessidade de
cada profissional, como por exemplo, escolha do tamanho da memória RAM e do
disco rígido. Na Figura 4.17, a esquerda pode-se observar o FREDC (Forensic
Recovery of Evidence Data Center) na sua versão mais simples chamado de
Baseline System (Sistema de linha de base) e a direita a versão equipada com 4
RAIDs e 3 FREDs. O FREDC fornece potência de processamento e flexibilidade e, é
altamente extensível para fornecer serviços de rede forense e de armazenamento
para estações de trabalho pré-existente na rede. No site da Digital Intelligence não
está disponível o faixa de preço que se pode adquirir o hardware forense para
soluções Data Center, FREDC. O FRED-L (Forensic Recovery of Evidence Device -
Laptop) apresentado à esquerda na Figura 4.18, é uma solução forense móvel
equipada com processador i7 e traz consigo um UltraKit, ilustrado a direita na
mesma figura. O Laptop juntamente com o UltraKit auxiliam ao perito para que o
trabalho seja realizado de uma forma rápida, eficiente e segura. O UltraKit é
equipado com uma família completa de hardware bloqueador de escrita, cabos,
adaptadores e fontes de energia necessárias para utilização na aquisição de
imagens. O FRED-L pode ser adquirido a partir de 5 mil dólares. Na Figura 4.19 é
apresentando o hardware FREDDIE (Forensic Recovery of Evidence Device
Diminutive Interrogation Equipment), que é considerado o irmão mais novo do
31
Dá-se duas denominações para RAID: Redundant Array of Independent Drives (Conjunto Redundante de
Discos Independentes) e Redundant Array of Inexpensive Drives (Conjunto Redundante de Discos Econômicos).
RAID é um meio de se criar um subsistema de armazenamento composto por vários discos individuais, com a
finalidade de ganhar segurança e desempenho.
59
FRED, que é maior. FREDDIE é uma solução forense altamente portátil, integrada,
flexível e modular para aquisição e análise de provas e, usa muitos dos mesmos
componentes usados pelo FRED. O FREDM (Figura 4.20) é a mais poderosa e
flexível estação forense disponível pela Digital Intelligence e leva vários
componentes importantes disponíveis no FREDC incorporando-os em um único
chassi, para o máximo de capacidade de armazenamento, poder e flexibilidade. Por
ser considerado pela Digital Intelligence o hardware forense mais poderoso, o seu
valor aquisitivo também é o mais alto, girando em torno de 24 mil dólares.
Esses são apenas alguns hardwares forenses que a Digital Intelligence
comercializa, tais hardwares apresentados são os mais robustos disponíveis para
aquisição, entretanto, existem hardwares mais simples que podem ser vistos no site
da empresa32.
Figura 4.16: Hardware FRED.

Fonte: Digital Intelligence, 2011.
32
http://www.digitalintelligence.com/
60
Figura 4.17: Hardware FREDC.

61
Figura 4.18: Hardware FRED-L e o UltraKit.

Figura 4.19: Hardware FREDDIE.

62
Figura 4.20: Hardware FREDM.

4.2.2. Forensic Talon e Forensic Quest
Desenvolvido pela Logicube33, o Forensic Talon, ilustrado na Figura 4.21, é

um hardware duplicador forense que permite que buscas por palavras-chave e
cópias sejam realizadas em mídias apreendidas, além de garantir que o conteúdo
dessas mídias não seja alterado, preservando assim a integridade da evidência.
Esse hardware também pode funcionar como leitor de disco rígido com bloqueio de
escrita habilitado. É de suma importância que o bloqueio de escrita esteja habilitado,
para que nenhuma evidência seja invalidada.
33
http://www.logicube.com/
63
Figura 4.21: Forensic Talon.

Fonte: Logicube, 2011.
Outro hardware desenvolvido pela Logicube que pode ser utilizado para o
mesmo fim é o Forensic Quest (Figura 4.22). Esses dispositivos possuem
conectores para diferentes tipos de discos rígidos, como por exemplo, IDE e SATA.
Lembrando que o disco questionado deve ser sempre bloqueado contra escrita,
utilizando-o assim sempre como somente leitura.
De acordo com Pedro M. S. Eleutério e Marcio P. Machado (2010), a
utilização de duplicadores forenses para o processo de imagem ou espelhamento de
dados tem os seguintes benefícios: a cópia dos dados é realizada numa velocidade
muito maior, possui suporte a vários conectores de discos rígidos e não há a
necessidade da presença de um computador dedicado para realizar a interface entre
o disco questionado e o disco destino.
Figura 4.22: Forensic Quest.

Fonte: Logicube, 2011.
64
É importante ressaltar que existem diversos outros duplicadores forenses

disponíveis para aquisição no mercado e, sendo assim fica a critério do perito qual
utilizar e, até mesmo se irá utilizar um.
4.2.3. Espion Forensics FastBlock 3 FE
O FastBlock 3 FE é um hardware forense bloqueador de escrita de disco

rígido. Ele é usado conectado entre o disco rígido questionado e o computador,
conforme ilustrado na Figura 4.23. Esse tipo de hardware é de fácil manuseio e,
garante que nenhum dado será escrito no disco rígido apreendido (questionado),
pois ele ficará disponível no modo somente leitura. O FastBlock 3 FE também
aumenta a velocidade de aquisição e melhora a capacidade dos pesquisadores para
capturar e analisar diferentes tipos de dados do disco.
Figura 4.23: FastBlock 3 FE instalado entre o disco rígido questionado e o computador.

Fonte: Eleutério, Machado (2010, pg. 58.).
65
5. ELABORAÇÃO DO LAUDO PERICIAL
Antes de o perito finalizar o seu trabalho, é necessário que o mesmo elabore

o laudo pericial que deve ser redigido de forma clara e concisa apresentando uma
conclusão imparcial e final a respeito da investigação. No laudo devem constar os
principais procedimentos realizados, incluindo as técnicas, softwares e hardwares
utilizados para transpor cada uma das fases do processo de análise forense.
Porém, para elaboração de um laudo pericial e para atuar como perito
forense computacional há na legislação brasileira, pré-requisitos que devem ser
respeitados. A seguir serão apontados artigos presentes no Código de Processo
Civil (CPC) e no Código de Processo Penal (CPP) que tratam dos requisitos exigidos
para a atuação nessa área e para criação de laudos periciais:
● “Art. 145. Quando a prova do fato depender de conhecimento técnico ou

científico, o juiz será assistido por perito, segundo o disposto no art. 421.”
§ 1o Os peritos serão escolhidos entre profissionais de nível universitário,
devidamente inscritos no órgão de classe competente, respeitado o disposto
no Capítulo Vl, seção Vll, deste Código. (Incluído pela Lei nº 7.270, de
10.12.1984)
§ 2o Os peritos comprovarão sua especialidade na matéria sobre que deverão
opinar, mediante certidão do órgão profissional em que estiverem inscritos.
(Incluído pela Lei nº 7.270, de 10.12.1984)
§ 3o Nas localidades onde não houver profissionais qualificados que
preencham os requisitos dos parágrafos anteriores, a indicação dos peritos
será de livre escolha do juiz. (Incluído pela Lei nº 7.270, de 10.12.1984)”
● “Art. 421. O juiz nomeará o perito, fixando de imediato o prazo para a
entrega do laudo. (Redação dada pela Lei nº 8.455, de 24.8.1992)”
● “Art. 424. O perito pode ser substituído quando: (Redação dada pela Lei nº
8.455, de 24.8.1992)
66
I - carecer de conhecimento técnico ou científico;

II - sem motivo legítimo, deixar de cumprir o encargo no prazo que Ihe foi
assinado. (Redação dada pela Lei nº 8.455, de 24.8.1992)
Parágrafo único. No caso previsto no inciso II, o juiz comunicará a ocorrência
à corporação profissional respectiva, podendo, ainda, impor multa ao perito,
fixada tendo em vista o valor da causa e o possível prejuízo decorrente do
atraso no processo. (Redação dada pela Lei nº 8.455, de 24.8.1992)”
● “Art. 432. Se o perito, por motivo justificado, não puder apresentar o laudo
dentro do prazo, o juiz conceder-lhe-á, por uma vez, prorrogação, segundo o
seu prudente arbítrio.”
Tais artigos descritos acima estão presentes no CPC e, estipulam regras e

precauções que devem ser seguidas pelo perito. A formação superior para atuação
como perito é essencial, conforme é descrito no artigo 145, entretanto, em caso da
não presença de profissionais com formação superior e comprovação por escrito de
sua especialidade de atuação na área, opta-se pela decisão do juiz conforme
assinalado no 3° parágrafo do artigo 145 do CPC.
O laudo pericial é o parecer final do perito e, conforme já dito anteriormente, é
de vasta importância que o laudo seja verídico, imparcial, conciso e sem
ambiguidade para que o mesmo não deixe dúvidas. Os artigos 147 e 436 do CPC
apresentados a seguir descrevem o quanto é essencial que um laudo contenha
características como imparcialidade, veracidade, entre outras:
● “Art. 147. O perito que, por dolo ou culpa, prestar informações inverídicas,
responderá pelos prejuízos que causar à parte, ficará inabilitado, por 2 (dois)
anos, a funcionar em outras perícias e incorrerá na sanção que a lei penal
estabelecer.”
● “Art. 436. O juiz não está adstrito ao laudo pericial, podendo formar a sua
convicção com outros elementos ou fatos provados nos autos.”
Portanto, todas as informações e conclusões contidas em um laudo pericial,

que é um documento técnico-científico e, que deve descrever com clareza e
objetividade os métodos e exames realizados, precisam estar descritas, de modo
que, se possa ser provadas tecnicamente, para a própria segurança do perito e para
67
a transparência do processo forense como um todo (ELEUTÉRIO; MACHADO,

2010).
O artigo 157 do CPP reforça a necessidade de se manter a autenticidade e a
integridade das evidências e sua correta obtenção de acordo com normas legais
predefinidas. O artigo é apresentado a seguir:
● “Art. 157. São inadmissíveis, devendo ser desentranhadas do processo, as

provas ilícitas, assim entendidas as obtidas em violação a normas
constitucionais ou legais. (Redação dada pela Lei nº 11.690, de 2008)
§ 1o São também inadmissíveis as provas derivadas das ilícitas, salvo
quando não evidenciado o nexo de causalidade entre umas e outras, ou
quando as derivadas puderem ser obtidas por uma fonte independente das
primeiras. (Incluído pela Lei nº 11.690, de 2008)
§ 2o Considera-se fonte independente aquela que por si só, seguindo os
trâmites típicos e de praxe, próprios da investigação ou instrução criminal,
seria capaz de conduzir ao fato objeto da prova. (Incluído pela Lei nº 11.690,
de 2008)
§ 3o Preclusa a decisão de desentranhamento da prova declarada
inadmissível, esta será inutilizada por decisão judicial, facultado às partes
acompanhar o incidente. (Incluído pela Lei nº 11.690, de 2008)”
O tempo para que o perito elabore o laudo pericial é de 10 dias, porém, caso
o perito julgue necessário, poderá pedir a prorrogação desse prazo, conforme
descrito no artigo 160 do CPP:
● “Art. 160. Os peritos elaborarão o laudo pericial, onde descreverão

minuciosamente o que examinarem, e responderão aos quesitos formulados.
(Redação dada pela Lei nº 8.862, de 28.3.1994)
Parágrafo único. O laudo pericial será elaborado no prazo máximo de 10
dias, podendo este prazo ser prorrogado, em casos excepcionais, a
requerimento dos peritos. (Redação dada pela Lei nº 8.862, de 28.3.1994)”
Não é necessário, que o perito, sempre guarde consigo as mídias originais

apreendidas, mas é de suma importância que o mesmo tenha sempre em seu
laboratório, cópias do material original apreendido para futuras novas perícias. Os
68
laudos periciais podem ser ilustrados com fotos e desenhos, sempre que o perito
julgar necessário. O artigo 170 do CPP, apresentando a seguir, trata dessas
questões:
● “Art. 170. Nas perícias de laboratório, os peritos guardarão material

suficiente para a eventualidade de nova perícia. Sempre que conveniente, os
laudos serão ilustrados com provas fotográficas, ou microfotográficas,
desenhos ou esquemas.”
Atento a esses artigos, o perito, irá desenvolver o laudo pericial, descrevendo-

o de forma que possa ajudar na resolução do caso. Antes de iniciar a confecção do
laudo, é necessário que o perito tenha em mente que o juiz não possui qualificação
técnica na área computacional, portanto, o laudo deve ser redigido de forma que os
termos técnicos sejam de simples entendimento para que não influencie no
processo. Ressaltando a forma diferente de pensar de um perito computacional e
um juiz, Claudemir Queiroz e Raffael Vargas (2010, pg. 33.), dizem o seguinte:
“... perito em forense digital e juiz pensam de forma diferente. Nossa

realidade enquanto peritos é muito voltada a termos e filosofias bastantes
singulares, frente aos costumes e crenças dos colegas da área judiciária.
Para nós, o mundo se resume em zeros (0s) e uns (1s), ou melhor, ou é
falso ou é verdadeiro, não temos meio termo. Já para os colegas da
magistratura, a Ciência do Direito os leva a várias interpretações.”
Com tudo isso em mente, o perito, dará início a confecção do laudo pericial,
que segundo os peritos criminais federais, Pedro M. S. Eleutério e Marcio P.
Machado (2010, pg. 70.), os laudos periciais geralmente possuem as seguintes
seções:
● Preâmbulo;
● Histórico;
● Material;
● Objetivo;
● Considerações técnicas/periciais;
● Exames;
● e Respostas aos quesitos/conclusões.
69
Atualmente cada perito segue um modelo de laudo próprio, pois não há uma
padronização. Cada uma das seções presentes no laudo pericial descritas acima
será descritas a seguir.
5.1. Preâmbulo
O preâmbulo é a primeira seção do laudo pericial e seu objetivo é realizar a

identificação do mesmo. O perito deve iniciar o preâmbulo sempre com o título do
laudo, seguido de um subtítulo caso seja necessário, logo a seguir é descrito o
número do laudo e a unidade de criminalística emissora. As informações que vêm a
seguir são a data do laudo, os peritos envolvidos, a autoridade solicitante, o número
do processo entre outras informações. Os quesitos formulados pela autoridade
solicitante devem ser transcritos no final do preâmbulo. Pode haver casos em que a
autoridade solicitante não formule quesitos específicos para serem respondidos,
solicitando apenas a realização de exames periciais. Nesses casos, tal solicitação
deve está contida no final do preâmbulo. O preâmbulo contêm informações
necessárias para a correta identificação do laudo diante do processo ao qual ele
está vinculado. (ELEUTÉRIO; MACHADO, 2010). A Figura 5.1 ilustra os principais
itens que podem estar contidos no preâmbulo.
Figura 5.1: Principais informações a serem inseridas no preâmbulo do laudo.

5.2. Histórico
Está é uma seção opcional e só deve constar no laudo pericial se o perito

julgar necessário para que haja um melhor entendimento do mesmo. Como o próprio
nome sugere, é uma seção que consta descrições de eventos ocorridos
anteriormente relacionados ao material apreendido ou ao laudo. Um exemplo pode
70
ser um disco rígido que já foi examinado, mas a autoridade solicitante resolveu que
é necessário um novo exame no material para responder a novos quesitos
formulados, ou para comprovar um determinado resultado. Nesse caso o histórico
do laudo pode conter um parágrafo descrevendo tais acontecimentos. No exemplo
da necessidade de uma nova perícia no disco rígido para responder a novos
quesitos criados o perito pode descrever o seguinte: o disco rígido em questão foi
apreendido e examinado no laudo x, criado na data y, mas que a autoridade
solicitante resolveu formular novos quesitos e que seria necessário um novo exame
(ELEUTÉRIO; MACHADO, 2010). A Figura 5.2 ilustra um texto de exemplo de um
histórico de um laudo pericial.
Figura 5.2: Exemplo de texto contido na seção histórico.

5.3. Material
Nesta seção o perito irá descrever de forma detalhada todos os materiais

analisados no laudo. A descrição deve ser minuciosa para que de maneira alguma
um material questionado seja confundido com outro qualquer. É essencial que a
descrição do material analisado seja suficientemente detalhada evitando assim que
exista margem para uma possível troca de materiais ou até mesmo para um possível
questionamento dos envolvidos sobre qual material foi realmente analisado no
laudo. Entre as informações contidas na descrição desses materiais, para que não
haja posteriormente dúvidas ou questionamentos, pode se incluir: tipo, marca,
modelo, número de série, cor, estado de conservação, capacidade, país de
fabricação, condições em que foram recebidos e outras características que o perito
julgue importantes (ELEUTÉRIO; MACHADO, 2010).
71
De acordo com a experiência dos peritos criminais federais, Pedro M. S.

Eleutério e Marcio P. Machado (2010), atualmente, em exames de forense
computacional, o principal material analisado é o disco rígido. Nesse caso, é
importante informar a marca, o modelo, o número de série, a capacidade de
armazenamento e o país de fabricação, todas essas informações podem ser
apresentadas de forma tabular. Porém, em alguns casos, o material questionado
pode ser um gabinete de computador, por exemplo. Quando houver a necessidade
do perito descrever gabinetes de computadores é importante citar os seus
componentes internos, mesmo que eles não sejam utilizados para análise, ou seja, o
perito pode realizar exames periciais apenas o disco rígido contido no gabinete, mas
o mesmo terá que descrever de forma detalhada os outros componentes, como por
exemplo, existência de pentes de memória RAM, placas rede e vídeo, existência de
outro disco rígido entre outros. Para exemplificar o que foi dito, a seguir será feita a
descrição de um disco rígido questionado. As Figuras 5.3 e 5.4 apresentam o disco
rígido e a Tabela 5.1 descreve o mesmo em formato tabular.
Figura 5.3: Disco rígido questionado.

Fonte: Criada pelo autor.
72
Figura 5.4: Disco rígido questionado com as informações detalhadas.

Fonte: Criada pelo autor.
Referência Tipo Características

Marca: Seagate
Capacidade: 320GB
Modelo: ST3320613AS
HDD Disco Rígido País de Fabricação: Tailândia
S/N: 9SZ4N0V6
P/N: 9FZ162 – 302
Firmware: CC2H
Tabela 5.1: Exemplo de descrição de um disco rígido em formato tabular.
Quando o perito receber o material a ser examinado já lacrado, o mesmo

deve informar o número do lacre original, que adiante será rompido pelo perito para
a realização dos exames, além de também descrever em que condições o material
foi recebido; por exemplo, o perito recebe um notebook para exame com o monitor
quebrado, com sinais de má conservação, o mesmo deverá constar tais informações
nessa seção do laudo (ELEUTÉRIO; MACHADO, 2010).
73
5.4. Objetivo
Nesta seção o perito deve descrever resumidamente, em um ou dois

parágrafos, os principais objetivos do exame a ser realizado. Se a autoridade
solicitante formular quesitos, o perito deve resumi-los nesses parágrafos
(ELEUTÉRIO; MACHADO, 2010). Um exemplo de parágrafo contendo um objetivo
de um laudo é ilustrado na Figura 5.5.
Figura 5.5: Exemplo de texto contido na seção objetivo de um laudo.

Segundo Pedro M. S. Eleutério e Marcio P. Machado (2010), é importante

ressaltar que o laudo pericial, além de ser uma das principais peças de qualquer
investigação e/ou processo, é um documento técnico-científico, portanto, algumas
frases devem ser amplamente evitadas.
5.5. Considerações técnicas/periciais
Assim como a seção histórico, essa seção também é opcional e, pode ser
utilizada quando o perito julgar necessário, para um melhor entendimento do laudo,
a necessidade de se explicar determinados procedimentos, técnicas e conceitos
utilizados durante o exame. É sabido que em exames de dispositivos de
armazenamento computacional, podem ser encontrados diversos formatos de
arquivos, que podem vim a ser usados como evidências posteriormente, porém, na
grande maioria das vezes esses arquivos não possuem um formato apropriado para
reprodução imprensa junto ao laudo, pois o perito pode se deparar com arquivos em
formatos executáveis, sequência de sons e vídeos entre outros. Há também casos
em que o perito se depara com arquivos cujo conteúdo pode ser reproduzido em
papel, como por exemplo, arquivos do pacote Microsoft Office, arquivos contendo
figuras entre outros; no entanto, não é pelo simples motivo da possibilidade de se
reproduzir o conteúdo de um determinado arquivo em papel sem que haja perca de
informações do mesmo, que essa será a escolha mais prudente tomada pelo perito
74
em questão, pois, mesmo havendo essa possiblidade, alguns conteúdos, por terem
um volume de dados extenso, tornam-se inviável sua reprodução. Nesses casos, o
perito pode, por exemplo, usar essa seção para explicar que a utilização de um
anexo digital, como uma mídia óptica (CD, DVD) é mais viável, eficiente e prudente
do que o mesmo imprimir todas as evidências digitais encontradas durante o exame.
Quando o perito faz o uso de mídias ópticas, o mesmo deve manter e comprovar a
integridade e autenticidade dessas mídias, portanto, ele pode usar essa seção para
explicar como isso é feito explicando, por exemplo, o conceito do algoritmo de hash
criptográfico (ELEUTÉRIO; MACHADO, 2010). A Figura 5.6 ilustra um texto contido
na seção considerações técnicas/periciais.
Figura 5.6: Exemplo de texto contido na seção considerações técnicas/periciais de um laudo.

5.6. Exames
A seção exames é a principal do laudo pericial, é nela que o perito irá

descrever todos os métodos, técnicas e procedimentos utilizados para encontrar as
evidências, ou seja, o perito irá narrar todos os passos dados por ele durante a
realização do exame, citando os procedimentos, técnicas e métodos utilizados em
cada passo. O objetivo dessa seção é detalhar os passos realizados pelo perito na
tentativa de responder os quesitos formulados pela autoridade solicitante. Para
exemplificar o que foi dito pode-se observar a seguir um quesito formulado e o que
foi feito pelo perito na tentativa de responder tal quesitação (ELEUTÉRIO;
MACHADO, 2010).
● Quesito formulado: Existem arquivos relacionados a compras, vendas e

faturamentos da empresa xxx gravados no disco rígido questionado?
75
Com a quesitação já formulada pela autoridade solicitante, o perito irá realizar

exames no disco rígido questionado buscando informações relacionadas com aquilo
que lhe foi solicitado no quesito formulado. Seguindo o exemplo do quesito transcrito
anteriormente, um possível trecho encontrado na seção exames pode ser o
seguinte:
● Antes de iniciar o exame pericial, o perito, realizou o espelhamento do disco

rígido questionado para outro disco rígido de mesmo tamanho ou superior,
assegurando assim a integridade do disco rígido original. Feito isso, o perito
em questão, começou a realizar o exame pericial, onde foram encontrados e
recuperados, utilizando-se de softwares próprios, diversos documentos
relacionados a compras, vendas e faturamentos da empresa xxx. Alguns
desses arquivos encontravam-se já apagados do disco rígido e outros
protegidos por senha. Por meio de diversas técnicas, o perito, recuperou os
arquivos previamente apagados e as senhas dos arquivos que estavam
protegidos pelas mesmas.
Nessa seção, o perito, pode fazer usos de termos mais aprofundados em

computação, porém, o mesmo, deve tomar cuidado com termos que comprometa o
entendimento do laudo e venham a causar questionamentos futuros sobre os
procedimentos, técnicas e métodos utilizados para encontrar as evidências
(ELEUTÉRIO; MACHADO, 2010).
5.7. Respostas aos quesitos/conclusões
É importantíssimo que nesta seção o texto seja o mais claro, conciso,

imparcial e objetivo possível, pois é essa seção que será a de maior interesse e
mais lida por advogados, promotores, juízes, delegados entre outras pessoas
envolvidas no caso. Os peritos criminais federais, Pedro M. S. Eleutério e Marcio P.
Machado (2010, pg. 75.), dizem o seguinte a respeito do texto contido nessa última
seção do laudo pericial:
“Todo o texto presente nessa última seção deve ser o mais claro e objetivo
o possível, a fim de que uma pessoa não formada na área possa entender
as respostas/conclusões do trabalho realizado. Não é recomendado utilizar
siglas e/ou nomes de tecnologias complexas nessa última seção. De nada
76
adianta realizar um excelente exame pericial, utilizando técnicas das mais

avançadas e inovadoras se os resultados não forem entendidos pelas
pessoas envolvidas. Desse modo, as respostas aos quesitos devem ser
muito bem elaboradas, sem margem para dupla interpretação ou
ambiguidade.”
Como pode ser observado, essa é a única seção do laudo pericial que pode
possuir dois nomes distintos: Respostas aos quesitos e conclusões. O primeiro deve
ser utilizado pelo perito quando a autoridade solicitante formular quesitos específicos
para ser respondidos, já o segundo tem seu uso necessário quando não há nenhum
quesito formulado. Quando houver quesitos específicos formulados é recomendável
copiar tais quesitos que já se encontram no preâmbulo do laudo para essa última
seção, desse modo, as respostas aos quesitos devem vim sempre após as
perguntas, facilitando o entendimento do laudo. (ELEUTÉRIO; MACHADO, 2010).
Segundo os peritos criminais federais supracitados, algumas dicas podem ser
utilizadas durante as respostas aos quesitos formulados, são elas:
● Durante a realização de alguns exames, o perito em questão, poderá não

encontrar as evidências desejadas no material examinado, nesses casos, o
mesmo, deve deixar claro que após a realização dos exames, tais evidências
não foram encontradas, evitando sempre a utilização de termos como “tais
evidências inexistem no material questionado examinado”.
● Ao responder os quesitos formulados, é recomendável, quando cabível, que
o perito faça referência à seção exames com expressões do tipo “Conforme
detalhado na seção exames...”, para informar sobre procedimentos, técnicas
e métodos utilizados.
● Responda de forma clara, concisa, imparcial e objetiva aos quesitos
formulados, como descreve o exemplo a seguir:
● Quesito formulado: No disco rígido examinado, foram encontrados arquivos
com conteúdo pornográfico envolvendo menores (pedofilia)?
● Sim. Conforme detalhado na seção exames, após realização da perícia no
disco rígido questionado, o perito em questão, identificou arquivos com
conteúdo pornográfico infanto-juvenil, tais arquivos estão presentes em uma
mídia óptica, pois sua apresentação é inviável em papel.
77
● Não. Conforme detalhado na seção exames, após realização da perícia no

disco rígido questionado, o perito em questão, não identificou arquivos com
conteúdo pornográfico infanto-juvenil.
Após as respostas, antes de finalizar o laudo, é necessário que o perito inclua

no final dessa seção, o número de páginas do laudo, a presença ou não de mídias
ópticas como anexos e, é importante que também esteja constando no final do
laudo, que o perito em questão, está devolvendo todo o material questionado
apreendido, tais materiais devem ser sempre lacrados e devolvidos a autoridade
solicitante. Logo após a apresentação desses dados, seguem a(s) assinatura(s) e os
dados de identificação do(s) perito(s) envolvido(s), conforme ilustra a Figura 5.7
(ELEUTÉRIO; MACHADO, 2010). Feito isso, o perito chega ao fim da confecção do
laudo pericial.
Figura 5.7: Exemplo finalização de laudo, incluindo devolução do material lacrado e assinaturas
78
6. ESTUDO DE CASO
Para que se possa mostrar na prática tudo o que foi dito até aqui, foi feito um
estudo de caso de um possível crime fictício. É importante ressaltar que todas as
informações (nomes, cidades, datas entre outros) relacionadas ao ato ilícito
presentes neste capítulo não são verdadeiras. Como já mencionado no capítulo
anterior, o laudo pericial deve apresentar uma conclusão imparcial e final a respeito
da investigação, apresentando os principais procedimentos realizados, incluindo as
técnicas, softwares e hardwares. Portanto, é utilizado o modelo de laudo pericial
proposto para apresentar tudo o que foi realizado pelo perito durante o exame
pericial.
6.1. Introdução ao caso
Em 01 de Junho de 2011, a Polícia Federal, recebeu denúncias anônimas de

que o Sr. Marcos da Silva, residente na cidade de Juiz de Fora, localizada no estado
de Minas Gerais, estaria realizando cópias piratas de diversos CDs e DVDs, e
comercializando tais produtos.
Baseando-se nessas informações o Juiz Dr. Manoel Antônio Pereira emitiu
um mandato judicial de busca e apreensão solicitando que autoridades fossem até a
residência do Sr. Marcos da Silva e apreendessem os equipamentos computacionais
necessários para a realização da perícia.
6.2. Laudo Pericial
No laudo pericial apresentado a seguir é apresentada a conclusão final do

perito responsável pelo caso em questão.
79
6.2.1. Preâmbulo
LAUDO DE EXAME DE DISPOSITIVO DE ARMAZENAMENTO COMPUTACIONAL
(HD)
LAUDO n° 0001 – UNIDADE DE CRIMINALÍSTICA DA POLÍCIA FEDERAL
Em 15 de Junho de 2011, o Perito Criminal Federal, Sr. Robson Marchioni

Grôppo, atendendo a solicitação feita em 01 de Junho de 2011, pelo Juiz Dr. Manoel
Antônio Pereira, descreve com verdade tudo que possa interessar a Justiça e
responde aos quesitos formulados abaixo transcritos:
1. Existem gravados, no disco rígido apreendido, dados relativos a possíveis

listas de preços de comercialização de CDs e DVDs piratas?
listas de clientes de CDs e DVDs piratas?
listas de pedidos de CDs e DVDs piratas?
4. Outros dados que o perito julgue úteis para ao caso, principalmente dados
relativos à pirataria de CDs e DVDs.
6.2.2. Histórico
Em 05 de Junho de 2011, o perito responsável pelo caso, Sr. Robson M.

Grôppo dirigiu-se até a cidade de Juiz de Fora, atendendo uma solicitação feita pelo
Juiz Dr. Manoel Antônio Pereira, na qual requeria a apreensão do disco rígido (HD)
do computador do Sr. Marcos da Silva para posterior exame pericial. Chegando a
residência por volta das 10h20min da manhã o Sr. Robson M. Grôppo acompanhado
de um agente da polícia federal foi recebido pelo Sr. Marcos da Silva que lhe
mostrou a localização do computador em questão. O disco rígido questionado foi
retirado do computador e lacrado no envelope de segurança de número
2134657809. Feito isso o perito responsável trouxe-o até a unidade de criminalística
para realização de posteriores exames periciais.
6.2.3. Material
O material analisado neste laudo pericial é o seguinte:

80

Marca: Samsung
Capacidade: 160GB
HDD Disco Rígido Modelo: HD160JJ
País de Fabricação: Brasil
S/N: S0JDJ1SLC03396
P/N: 120111FLA60818
Tabela 6.1: Características do disco rígido apreendido.
O computador suspeito continha apenas um disco rígido como pode ser visto
na Figura 6.1. O disco rígido questionado apreendido pelo perito em questão
encontra-se em bom estado conforme pode ser visto na Figura 6.2.
Figura 6.1: Computador onde foi encontrado o disco rígido questionado.

81
Figura 6.2: Disco rígido apreendido.

6.2.4. Objetivo
Os exames periciais no disco rígido questionado apreendido pelo perito em

questão visam identificar e recuperar informações relativas à comercialização de
CDS e DVDs piratas, além de listas de possíveis preços e clientes para tais
produtos.
6.2.5. Considerações técnicas/periciais
Neste item do laudo pericial o perito responsável pelo caso irá explicar alguns
procedimentos, técnicas e métodos utilizados pelo mesmo durante a realização dos
82
exames, para que assim haja um melhor entendimento do laudo pelas partes
envolvidas.
6.2.5.1. Captura de dados voláteis
Os dados voláteis são informações que são perdidas pelo simples ato de
desligar o computador. Partindo dessa premissa é importante que em casos onde o
computador suspeito seja encontrado ligado o perito faça a captura desses dados,
pois poderá encontrar neles informações relevantes para o caso.
Para garantir a veracidade dos dados voláteis coletados o perito deve usar
ferramentas que não comprometam a tarefa e realizar a coleta em outro dispositivo
qualquer que não seja o disco rígido questionado.
Outro ponto importante em que o perito deve estar atento é a ordem de
volatilidade (order of volatility - OOV) dos dados, capturando inicialmente os mais
voláteis, ou seja, a captura dos dados com tempo de vida menor deve ser feita
primeiro. A Tabela 6.2 apresenta o tempo de vida dos dados voláteis.
Tipos de dados Tempo de vida

Registradores, memória periférica, caches etc. Nano segundos
Memória principal Dez nano segundos
Estado de rede Milissegundos
Processos em execução Segundos
Disco Minutos
Disquetes, mídias de backup etc. Anos
CD-ROMs, impressões etc. Dezenas de Anos
Tabela 6.2: O ciclo de vida esperado dos dados.
Fonte: Farmer, Venema (2007, pg.6.).
Nesse laudo pericial como pode ser observado na seção 6.3 foi usado à
ferramenta COFEE para realizar tal tarefa.
6.2.5.2. Integridade do disco rígido (HD) questionado
Os exames periciais jamais poderão ser feitos na mídia original apreendida,

mantendo assim a autenticidade e integridade das evidências. Um procedimento
padrão adotado é o espelhamento do disco rígido questionado para outro disco
rígido de mesmo tamanho ou com capacidade superior, gerando assim uma cópia
idêntica do disco original.
83
O processo de espelhamento consiste na cópia exata dos dados (bit a bit)

presentes no disco questionado para o disco de destino. Durante a realização dos
exames o perito fez uso da ferramenta Symantec Norton Ghost que pode ser usada
com facilidade e eficiência para tal tarefa.
Como medidas de segurança os exames periciais foram realizados na mídia
que recebeu a cópia do material questionado, neste caso trata-se do seguinte disco
rígido:

Marca: Seagate
Capacidade: 320GB
Modelo: ST3320613AS
HDD Disco Rígido País de Fabricação: Tailândia
S/N: 9SZ4N0V6
P/N: 9FZ162 – 302
Firmware: CC2H
Tabela 6.3: Características do disco rígido de destino.
Figura 6.3: Disco rígido de destino.

84
6.2.5.3. Algoritmo MD5
O MD5 é um algoritmo que a partir de uma entrada de qualquer tamanho gera

um código hash (também chamado de código de integridade ou resumo) de 128 bits,
ou seja, uma grande quantidade de informações é transformada em uma sequência
de bits de tamanho fixo. O MD5 é um algoritmo unidirecional, ou seja, a partir do
código gerado não é possível chegar à mensagem original, isso faz com que esses
tipos de algoritmos sejam bastante usados em algoritmos de criptografia.
Outro fator que torna esse tipo de função bastante utilizada para verificação
de integridade de uma informação qualquer, é que uma simples alteração no seu
conteúdo faz com que o código de integridade gerado seja totalmente diferente, em
outras palavras pode-se dizer que se um arquivo é submetido a uma função hash e
logo depois tem seu conteúdo alterado em uma simples letra ou número e em
seguida seja submetido novamente a uma função hash seu código de integridade
será totalmente diferente, como ilustra as Figuras 6.4 e 6.5.
Figura 6.4: Arquivo antes de ser alterado e seu respectivo código hash.
Fonte: Elaborada pelo autor adaptada de Eleutério, Machado (2010, pg.129.).
Figura 6.5: Arquivo depois de ser alterado e seu respectivo código hash.
Fonte: Elaborada pelo autor adaptada de Eleutério, Machado (2010, pg.129.).
Portanto o uso desse tipo de algoritmo para comprovar a integridade de um

determinado arquivo é confiável, pois qualquer mínima alteração (acréscimo,
alteração ou remoção de um caractere) realizada em um arquivo gerará um código
hash totalmente distinto. Todos os arquivos presentes na mídia óptica, que seguirá
como anexo ao laudo, passaram por um algoritmo de hash criptográfico, garantindo
assim a integridade das evidências.
85
6.2.5.4. Verificação da integridade da mídia óptica
Como mencionado na seção Exames todas as evidências encontradas

durante os exames periciais foram gravadas em uma mídia óptica (CD-ROM). Para
verificar a integridade dos arquivos contidos nesse CD-ROM pode ser utilizado
qualquer programa compatível com o algoritmo MD5. Existem vários programas de
distribuição gratuita que podem ser utilizados para tal tarefa, entre eles:
MD5Summer, FSUM e o MD5 Check Utility.
O processo de verificação é muito simples, o primeiro passo é verificar o
código hash do arquivo „hashes.txt‟, pois é em seu conteúdo que está o código hash
de todos os outros arquivos presentes no CD-ROM e posteriormente verificar o
código de integridade dos outros arquivos contido na mídia óptica e comparar com
os que estão no arquivo „hashes.txt‟.
O primeiro passo então é verificar o código do arquivo „hashes.txt‟ e comparar
o resultado gerado com o código de integridade apresentando na seção Exames.
Para isso o perito utilizou o programa MD5 Check Utility e, o resultado pode ser visto
na Figura 6.6.
Figura 6.6: Verificação do arquivo hashes.txt da mídia óptica.

Como pode ser visto na Figura 6.6 os códigos de integridade são idênticos,
indicando que não houve alterações na mídia óptica, ou seja, a autenticidade e a
integridade do arquivo „hashes.txt‟ estão intactas. Feito isso o próximo passo é
86
verificar o código hash de todos os outros arquivos presentes na mídia óptica e

comparar o resultado com os valores hashes contidos no arquivo „hashes.txt‟.
6.2.5.5. Visualização do conteúdo da mídia óptica
A mídia óptica que acompanhará esse laudo em anexo contêm todas as

evidências coletadas pelo perito durante a investigação. Para visualizar o seu
conteúdo basta colocá-la em um leitor apropriado de qualquer computador. A Figura
6.7 mostra os arquivos presentes no conteúdo dessa mídia.
Figura 6.7: Arquivos presentes na mídia óptica.

A pasta „Dados Voláteis‟ contêm os arquivos referentes às informações

voláteis capturadas pelo perito, já os arquivos relacionados aos dados encontrados
durante a perícia nos arquivos pessoais do Sr. Marcos da Silva encontrassem na
pasta „Marcos da Silva/Documentos Particulares‟. O documento de texto „hashes.txt‟
refere-se aos códigos hashes gerados.
6.2.6. Exames
Os exames iniciaram-se com a chegada do perito responsável pelo caso a

residência do Sr. Marcos da Silva, situada na cidade de Juiz de Fora, estado de
Minas Gerais. Ao dirigir-se até o computador suspeito o perito verificou que o mesmo
estava ligado, como pode ser visto na Figura 6.8. Portanto, o perito julgou
necessária a captura dos dados voláteis da máquina na busca de evidências
relacionadas aos quesitos formulados. Como o sistema operacional do computador
87
era o Windows XP foi utilizado para realizar a tarefa à ferramenta COFEE, da

empresa Microsoft, como pode ser notado nas Figuras 6.9 e 6.10.
Figura 6.8: Computador suspeito encontrado ligado.

88
Figura 6.9: Captura dos dados voláteis sendo feita com a ferramenta COFEE
Figura 6.10: Programa COFEE sendo executado no computador suspeito

89
Pode ser notado na Figura 6.10 que o modo de captura é Volatile Data
(Dados Voláteis) e que as informações estão sendo salvas em um pen driver (e:),
visto que os dados voláteis capturados não podem ser salvos no próprio computador
suspeito para evitar que aconteçam alterações nos dados já presentes no disco
rígido. Outra opção que a ferramenta fornece para ao perito são as Case Notes
(Notas do Caso), onde é possível preencher o tipo do caso, o número do caso, a
descrição do caso entre outras informações.
Após realizar a captura dos dados voláteis presentes no computador suspeito
o perito precisa conectar o disposto usado para a captura (neste caso um pen driver)
em outro computador. Assim que o pen driver for conectado aparecerá a seguinte
opção „Execute runner.exe‟ (Figura 6.11), é só dar „OK‟ e esperar que o processo
finalize.
Figura 6.11: Opção Execute runner.exe

O final do processo irá gerar no mesmo dispositivo usado para salvar os

dados voláteis capturados a seguinte pasta „out-HOME_PC-20020101011312‟
(Figura 6.12). Acessando essa pasta podem ser visualizados todos os dados
voláteis capturados separados por categorias (Figura 6.13).
90
Figura 6.12: Pasta gerada ao final do processo.

Figura 6.13: Categorias dos dados voláteis capturados.

Cada diretório gerado possui arquivos no formato texto contendo as

informações capturadas pela ferramenta. A pasta „network‟ por exemplo, possui oito
arquivos renomeados de forma aleatória e, dentre os oito arquivos apenas quatro
possuem alguma informação, enquanto os outros quatros são documentos em
branco, como pode ser visto na Figura 6.14.
91
Figura 6.14: Conteúdo do diretório network e de um documento.

Para uma melhor visualização dos dados voláteis recuperados o perito usou
outra opção que a ferramenta COFEE fornece chamada Report Generation
(Geração de Relatórios). Essa opção permite a criação de um documento no formato
XML e, com a ajuda de um navegador qualquer é possível visualizar o conteúdo do
documento, a Figura 6.15 ilustra essa opção com riqueza de detalhes. Como pode
ser observado na opção Report Generation foi selecionada a pasta gerada (out-
HOME_PC-20020101011312) pela execução do „runner.exe‟ e foi criada uma nova
pasta no deskotp chamada „Dados Voláteis‟ onde foi salvo o documento XML com
nome de „index‟, como pode ser visto na Figura 6.16.
92
Figura 6.15: Gerando relatório dos dados voláteis.

Figura 6.16: Conteúdo da pasta Dados Voláteis.

Abrindo o documento „index‟ presente na pasta „Dados Voláteis‟ pode ser

notado que a visualização é bem mais simples e clara, como mostra a Figura 6.17.
Nela ainda se pode ver que o mesmo conteúdo da pasta „network‟ apresentado na
Figura 6.14, apresenta apenas os quatro arquivos que tinham alguma informação
presente em seu conteúdo, eliminando assim os outros quatros.
93
Figura 6.17: Conteúdo do arquivo index.

A pasta „Dados Voláteis‟ pode ser encontrada na mídia óptica anexa a esse
laudo, pois o perito responsável pelo caso julgou mais cabível a visualização destes
arquivos com auxilio de um computador, porém nenhum dado volátil capturado no
computador suspeito foi julgado como uma possível evidência útil para responder os
quesitos formulados.
Terminado esse processo o computador pôde ser desligado com segurança
pelo perito, visto que, o mesmo já efetuou a captura dos dados voláteis e se
assegurou que nenhum aplicativo malicioso estava rodando junto à máquina
suspeita. Para visualizar todos os programas que estavam executando junto ao
computador o perito utilizou o software Process Monitor, como pode ser visto na
Figura 6.18.
94
Figura 6.18: Programa Process Monitor rodando no computador suspeito.

Após se certificar que nenhum software malicioso estava executando em

segundo plano, o computador suspeito foi desligado com segurança e, o perito em
questão retirou da máquina o disco rígido questionado, como pode ser visto na
seção 6.2.3 desse laudo pericial.
Antes de iniciar os exames periciais o perito realizou um processo padrão
chamado de espelhamento de HD, no qual consiste em copiar o conteúdo do disco
rígido apreendido (disco questionado) para outro disco rígido (disco destino). Feito
isso, o perito pôde iniciar a perícia no disco rígido de destino que recebeu a cópia
idêntica do disco original. O software Symantec Norton Ghost foi utilizado pelo perito
95
para realizar tal operação. Para garantir que nenhum dado seja sobrescrito e que
não haja nenhuma alteração nos dados já contidos no disco rígido, invalidando
assim alguma evidência importante, é necessário que o Norton Ghost seja
inicializado a partir de outro dispositivo. Partindo desse princípio o perito inicializou o
computador com os dois discos rígidos conectados (questionado e destino), como
mostra a Figura 6.19, a partir de um CD-ROM contendo o software Norton Ghost.
Figura 6.19: HD questionado e de destino conectados no computador para realizar o espelhamento.

Feito isso o perito configurou o software para realizar a cópia do disco

questionado para o disco de destino e esperou o processo de espelhamento
terminar. As Figuras 6.20 e 6.21 mostram esse processo.
96
Figura 6.20: Opção cópia do disco para outro disco.

Figura 6.21: Processo de espelhamento dos HDs em execução.

Na opção Details (Detalhes) pode ser observado em Source e Destination

(Origem e Destino) que na primeira opção encontra-se o disco questionado de
160GB e consequentemente na segunda o HD de destino com capacidade de
320GB. Se as ordens forem invertidas toda a mídia original será perdida, invalidando
assim todas as possíveis evidências.
97
Para manter a autenticidade e a integridade do material apreendido e garantir

que os dados foram copiados para ser analisado, o perito criou um formulário de
cadeia de custódia onde catalogou as informações necessárias. A Figura 6.22
mostra o formulário de cadeia de custódia do HD confiscado.
Figura 6.22: Formulário de cadeia de custódia.

Após a criação do formulário o perito iniciou os exames no disco de destino

na busca de evidências que respondessem aos quesitos formulados. Foram
encontrados pelo perito os seguintes arquivos que podem ter relação com a prática
ilícita de comercialização de produtos (CDs e DVDs) piratas (Tabela 6.4).
98
Nome do arquivo Tipo do arquivo Descrição do conteúdo

do arquivo
O arquivo possui uma lista de
Filmes Planilha do Microsoft Excel vários filmes com o seu
respectivo preço tanto em CD
quanto em DVD.
Games Planilha do Microsoft Excel vários games (jogos) com o seu
respectivo preço tanto em CD
quanto em DVD.
Musical Planilha do Microsoft Excel vários artistas musicais com o
seu respectivo preço tanto em
CD quanto em DVD.
O arquivo possui pedidos de
vários produtos (filmes, games
Pedidos Planilha do Microsoft Excel e musicais), a data do pedido, a
quantidade em CDs e DVDs e o
preço total do pedido.
Fornecedores de CDs e DVDs O arquivo possui nome e
virgens Documento do Microsoft Word telefone de vários fornecedores
de CDs e DVDs virgens.
A pasta de arquivos possui
Álbuns Pasta de arquivos imagens de vários álbuns
musicais, de capas de jogos e
de filmes.
Tabela 6.4: Arquivos encontrados nos exames periciais.
A Figura 6.23 apresenta esses arquivos descritos na Tabela 6.4. Esses

arquivos estavam dentro das seguintes pastas: Meus Documentos/Marcos da
Silva/Documentos Particulares.
99
Figura 6.23: Arquivos encontrados nos exames periciais.

Para uma melhor visualização do conteúdo dos arquivos suspeitos

encontrados no disco rígido durante os exames periciais, o perito optou por gravá-
los em uma mídia óptica que acompanhará esse laudo em anexo, assim como fez
com as informações relativas aos dados voláteis.
Antes de gravar todos esses dados na mídia óptica o perito com o auxilio do
software MD5Summmer gerou códigos hashs criptográficos através do algoritmo
MD5 (Message-Digest algorithm 5) para manter a integridade dos dados coletados.
Os seguintes arquivos foram gravados na mídia óptica: filmes, games, musical e
pedidos (arquivos de planilha do Microsoft Excel), Fornecedores de CDs DVDs
virgens (documento do Microsoft Word), álbuns (pasta de arquivos) e index
(documento que necessita de um navegador para ser visualizado), este último
arquivo refere-se às informações dos dados voláteis capturados e, junto a ele
também foram gravados na mídia óptica as seguintes pastas: images, raw e xml, tais
pastas com seus respectivos conteúdos são necessários para que o arquivo index
funcione corretamente, no entanto a visualização só se faz necessária do arquivo
index.
Todos essas pastas com seu respectivo conteúdo e todos os arquivos
contidos na mídia óptica passaram pelo processo de geração de hash criptográfico
através do algoritmo MD5 por meio da ferramenta MD5Summer, com pode ser
notado nas Figuras 6.24 e 6.25.
100
Figura 6.24: Geração dos hashes criptográficos dos dados voláteis.

101
Figura 6.25: Geração dos hashes criptográficos dos arquivos encontrados no computador suspeito.
Para uma melhor e total visualização dos hashes gerados o perito salvou
todos com seu respectivo arquivo em um documento texto no qual o nomeou de
„hashes.txt‟. Para garantir que nenhum hash contido nesse documento sofreu
alguma alteração o perito também gerou o código hash desse arquivo por meio do
software MD5Summer. Como pode ser visto na Figura 6.26 o código gerado foi:
4ffccd3c40728b2e43a7c974389e73e7.
102
Figura 6.26: Código de integridade gerado do arquivo „hashes.txt‟.

Os exames periciais realizados no disco rígido tiveram como objetivo a busca

por evidências que pudessem responder todos os quesitos previamente formulados.
Na seção a seguir o perito responde a quesitação baseando-se nas evidências
encontradas durante a perícia.
6.2.7. Respostas aos quesitos

listas de preços de comercialização de CDs e DVDs piratas?
R.: Sim. Foram encontrados pelo perito, arquivos contendo listagem de

preços de CDs e DVDs dos seguintes gêneros: musical, games (jogos) e
filmes conforme detalhado na seção Exames. O perito acredita que tais
arquivos podem ter alguma relação com a venda ilegal de produtos
piratas. Conforme detalhado na seção Exames os arquivos foram
copiados para a mídia óptica (CD-ROM) anexa e podem ser visualizados
acessando as seguintes pastas: „Marcos da Silva/Documentos
Particulares‟. Para um correto funcionamento dos arquivos é necessário
um programa compatível com o Microsoft Excel.
103

listas de clientes de CDs e DVDs piratas?
R.: Não. Após a realização dos exames periciais o perito não encontrou no
disco rígido suspeito nenhum arquivo contendo listagem de possíveis
clientes de produtos (CDs e DVDs) piratas.

listas de pedidos de CDs e DVDs piratas?
R.: Sim. Conforme detalhado na seção Exames, após a realização da

perícia na cópia do HD questionado, o perito em questão identificou um
arquivo com nome de „pedidos‟ contendo listagem de pedidos de CDs e
DVDs piratas. O perito acredita que tal arquivo pode estar ligado com a
comercialização ilegal de produtos piratas. O arquivo pode ser visualizado
na mídia óptica anexa a esse laudo através das pastas: „Marcos da
Silva/Documentos Particulares‟. Para um correto funcionamento do
arquivo é necessário um programa compatível com o Microsoft Excel.
4. Outros dados que o perito julgue úteis para ao caso, principalmente dados
relativos à pirataria de CDs e DVDs.
R.: Conforme descrito na seção Exames, durante a realização dos exames

periciais o perito encontrou outros arquivos no qual acredita ter relação
com a comercialização de CDs e DVDs piratas. Os arquivos são os
seguintes: Uma pasta de arquivos contendo álbuns de vários jogos, filmes
e cantores musicais com nome de „albuns‟ e um arquivo com nome de
„Fornecedores de CDs e DVDs virgens‟ que apresenta no seu conteúdo
nomes de diversos fornecedores e seu respectivo telefone. Ambos podem
ser encontrados na mídia óptica que acompanha esse laudo em anexo
através da pasta: „Marcos da Silva/Documentos Particulares‟. Para um
correto funcionamento do arquivo „Fornecedores de CDs e DVDs virgens‟
é necessário um programa compatível com o Microsoft Word. Já a pasta
„albuns‟ contêm apenas arquivos imagens em seu conteúdo, os quais
podem ser visualizados com qualquer programa compatível com imagens
104
no formato JPG. O próprio Windows traz consigo um programa

visualizador de imagens que suporta esse tipo de conteúdo.
O perito em questão tem por esclarecido o assunto e devolve o material

apreendido (disco rígido), devidamente lacrado no envelope de segurança de
número 2134657809. Não havendo mais nada a acrescentar, o perito tem por
encerrado o presente laudo, produzido em 26 (vinte e seis) páginas e 01 (uma)
mídia óptica (CD) anexa.

Perito Criminal Federal
105
7. CONSIDERAÇÕES FINAIS
O grande lucro conseguido com os crimes cometidos no âmbito virtual, assim

como a crença no anonimato pelos fraudadores e a evolução das técnicas utilizadas
para conseguir cometer determinado ato ilícito, tem aumentado cada vez mais o
número de incidentes por meio da utilização de computadores. Em contrapartida a
tudo isso as instituições, dos mais diversos setores, vem lutando para combater
essa prática ilícita e alertar aos usuários dos perigos que possam encontrar no
mundo virtual.
O grande problema que as instituições que lutam preventivamente contra
esses criminosos enfrentam, é que para se tomar conhecimento de um novo meio
fraudulento, utilizado para prejudicar um sistema computacional, uma empresa ou
uma simples pessoa, é necessário que primeiro exista vítimas, para só aí ser
tomadas providências cabíveis, como criação de tecnologia para combater e alertar
a população de um novo tipo de golpe.
A área da perícia forense computacional foi criada exatamente para combater
e identificar fraudadores do mundo virtual. O perito forense computacional é o
profissional responsável por realizar tal tarefa e, como descrito anteriormente nesse
trabalho, conta com uma diversa gama de ferramentas, incluindo softwares e
hardwares, disponíveis no mercado, para realizar os exames periciais necessários.
No entanto, o trabalho desse profissional, pode ser contestado se o mesmo não fizer
uso de técnicas e ferramentas confiáveis, invalidando assim, tudo o que foi feito.
Outro ponto que pode dificultar o trabalho do perito computacional é o uso das mais
diversas técnicas empregadas pelos fraudadores para eliminar rastros e destruir
evidências, tais técnicas são denominadas de anti-forenses.
Devido a grande evolução das técnicas utilizadas por esses fraudadores,
tanto para conseguir alguma informação ou para eliminar rastros e provas, é
necessário que profissionais desse ramo se atualizem constantemente com as
106
novas técnicas usadas pelos criminosos e também meios para se combater e

prevenir tais atos. Outro ponto importante é o conhecimento nas mais diversas
ferramentas forenses existentes, nas leis relacionadas aos crimes computacionais,
nos procedimentos padrões pré-estabelecidos para realizar uma perícia entre outros.
A evolução e a necessidade de combate dos crimes computacionais são
notórias, portanto, mesmo ainda sendo uma área de atuação que surgiu há pouco
tempo, a necessidade de bons profissionais para atuarem no combate é grande. A
criação de leis específicas para a tipificação dos crimes digitais também é um ponto
que precisa ser solucionado o mais rápido possível pelos órgãos competentes. A
perícia forense computacional não é apenas mais uma área de atuação ou um meio
de se ganhar dinheiro, mas sim uma área de grande responsabilidade do
profissional atuante, tendo em vista que o mesmo, caso não seja um profissional
qualificado e de caráter poderá ajudar a condenar um suspeito que não cometeu
nenhuma infração ou até mesmo utilizando o seu conhecimento ajudar criminosos a
forjarem provas para incriminar outras pessoas e/ou eliminar evidências.
7.1. Trabalhos Futuros
O trabalho do perito forense computacional pode ser bastante dificultado, ou

até mesmo inviabilizado, caso o criminoso faça uso de avançadas técnicas anti-
forenses, as quais tem por objetivo a eliminação de rastros e provas. Baseando-se
nessa dificuldade que pode ser encontrada durante uma perícia, um trabalho futuro
que pode ser realizado, é identificar e apresentar as técnicas que são utilizadas por
esses criminosos com intuito de dificultar o trabalho do perito computacional. Além
de identificar e apresentar tais técnicas, também seria importante buscar meios de
prevenir e combater tais ações criminosas.
Outro trabalho de grande importância que pode vir a ser realizado
futuramente, é buscar formas através de procedimentos, técnicas e métodos pré-
estabelecidos de se proteger e prevenir que criminosos consigam acessar um
determinado computador sem autorização. E mesmo nos casos onde o criminoso
consiga acesso, seria de grande valia tais sistemas terem consigo meios de fornecer
ao perito informações suficientes para que o mesmo consiga identificar o invasor de
forma rápida e eficiente.
107
REFERÊNCIAS BIBLIOGRÁFICAS
AGÊNCIA BRASILEIRA DE INTELIGÊNCIA – ABIN – Combate ao crime digital

exige cooperação entre países. Artigo utilizado.
Disponível em: <http://www.abin.gov.br/modules/articles/article.php?id=2051/>.
Acesso em: 03 Mai. 2010.
ANDRADE, Michael Marion Davies Teixeira de. Procedimentos de Coleta de

Evidências Digitais em Computadores com Sistema Operacional Windows.
Dourados: UNIGRAN, 2008. p. 98.
ANTONIOLI, Leonardo. Estatísticas, dados e projeções atuais sobre a Internet

no Brasil. Artigo utilizado.
Disponível em: <http://www.tobeguarany.com/internet_no_brasil.php/>. Acesso em:
01 Jun. 2010.
ARAS, Vladimir. Crimes de Informática – Uma nova criminalidade. Artigo

utilizado. Disponível em: <http://www.informatica-
juridica.com/trabajos/artigo_crimesinformticos.asp>. Acesso em: 01 Abr. 2011.
BELCHIOR, Luisa. Crimes na Internet rendem mais que o tráfico de drogas no

Brasil, diz PF. Artigo utilizado.
Disponível em: < http://www1.folha.uol.com.br/folha/informatica/ult124u403907.shtml
/>. Acesso em: 01 Mai. 2010.
BOGO, Kellen Cristina. A História da Internet – Como tudo começou. Artigo

utilizado. Disponível em:
<http://kplus.cosmo.com.br/materia.asp?co=11&rv=Vivencia/>. Acesso em: 10 Mai.
2010.
BRESCIANI, Eduardo. Senado aprova projeto de lei para crimes cibernéticos.

Artigo utilizado. Disponível em:
<http://g1.globo.com/Noticias/Tecnologia/0,,MUL641696-6174,00-
SENADO+APROVA+PROJETO+DE+LEI+PARA+CRIMES+CIBERNETICOS.html>.
Acesso em: 12 Abr. 2011.
108
CARPANEZ, Juliana. Internet brasileira cresce 10% e chega a 36,4 milhões de

usuários: Número de internautas refere-se ao ambiente residencial e de trabalho.
Se consideradas LAN houses e telecentros, total chega a 64,8 milhões. Artigo
utilizado. Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL1274233-
6174,00.html/>. Acesso em: 10 Jun. 2010.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL – CERT.BR – Site relacionado ao assunto. Disponível
em: <http://www.cert.br/>. Acesso em: 01 Jun. 2010.
CÓDIGO CIVIL BRASILEIRO – Site relacionado ao assunto. Disponível em:

<http://www.planalto.gov.br/ccivil_03/Leis/2002/L10406.htm>. Acesso em: 03 Abr.
2011.
CÓDIGO DE PROCESSO PENAL BRASILEIRO – Site relacionado ao assunto.

Disponível em: <http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del3689.htm>.
Acesso em: 03 Abr. 2011.
CÓDIGO DE PROCESSO CIVIL BRASILEIRO – Site relacionado ao assunto.

Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/L5869.htm>. Acesso em:
03 Abr. 2011.
CÓDIGO PENAL BRASILEIRO – Site relacionado ao assunto. Disponível em:

<http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del2848.htm>. Acesso em: 03 Abr.
2011.
COElHO, Laura Cristina Machado; BENTO, Ricador Jorba. Ferramentas de

esteganografia e seu uso na Infowar. ICCyber‟2004 – I Conferência Internacional
de Perícias em Crimes Cibernéticos. Disponível em:
<http://www.angelfire.com/falcon/hsramos/anais_iccyber.pdf/>. Acesso em: 10 Abr.
2010.
CRUZ, Alexandre. Brasil possui um PC para cada três habitantes. Artigo
utilizado. Disponível em: <http://www.ipnews.com.br/voip/pesquisas/pesquisas/brasil-
possui-um-pc-para-cada-cinco-habitantes.html/>. Acesso em: 01 Ago. 2010.
D‟ANDREA, Gustavo. Forensics. Artigo utilizado. Disponível em:

<http://dandrea.wordpress.com/2007/06/12/forensics/>. Acesso em: 20 Jul. 2010.
DIGITAL INTELLIGENCE – Site relacionado ao assunto. Disponível em:

<http://www.digitalintelligence.com/>. Acesso em: 04 Mai. 2011.
109
EFE - Número de usuários de computador vai dobrar até 2012, diz Dell: Se a
previsão se confirmar, serão 2 bilhões de pessoas com acesso a PCs.
Empresa diz que 500 mil pessoas acessam a web pela 1ª vez em um dia. Artigo
utilizado. Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL175349-
6174,00.html/>. Acesso em: 10 Jun. 2010.
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional Teoria e

Prática Aplicada: Como investigar e esclarecer ocorrências no mundo cibernético.
São Paulo: Pearson Prentice Hall, 2007.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a

Computação Forense. São Paulo: Novatec Editora, 2010.
ESTATUTO DA CRIANÇA E DO ADOLESCENTE – Site relacionado ao assunto.

Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm>. Acesso em:
03 Abr. 2011.
FILHO, José Mariano. Cyber Crimes - Delegado Mariano: Weblog sobre crimes
eletrônicos no Mundo. Site relacionado ao assunto.
Disponível em: <http://mariano.delegadodepolicia.com/>. Acesso em: 01 Mai. 2010.
FILHO, Demócrito Reinaldo. O projeto de leis sobre crimes tecnológicos. Artigo

utilizado. Disponível em: <http://jus.uol.com.br/revista/texto/5447/o-projeto-de-lei-
sobre-crimes-tecnologicos-pl-no-84-99>. Acesso em 12 Abr. 2011.
FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada à Informática:

Ambiente Microsoft. Rio de Janeiro: Brasport, 2006.
FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada à Informática. São

Paulo: IBPI, 2003. 58 p.
GUIDANCE SOFTWARE – Site relacionado ao assunto. Disponível em:

<http://www.guidancesoftware.com/>. Acesso em: 01 Out. 2010.
GUIMARÃES, Célio Cardoso et al. Forense Computacional: Aspectos Legais e

Padronização. Campinas: 2001.
110
INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA – IBGE – Acesso à

Internet e posse de telefone móvel celular para uso pessoal 2008: De 2005 para
2008, acesso à Internet aumenta 75,3%. Artigo utilizado. Disponível em:
<http://www.ibge.gov.br/home/presidencia/noticias/noticia_visualiza.php?id_noticia=1
517/>. Acesso em: 15 Abr. 2010.
INTERNET CRIME COMPLAINT CENTER – IC3 – Internet Crime Report. Artigo

utilizado. Disponível em: <http://www.ic3.gov/media/annualreports.aspx>. Acesso
em: 20 Ago. 2010.
JESUS, Leandro Martins de. Questões Jurídicas. Artigo utilizado. Disponível em:
<http://recantodasletras.uol.com.br/textosjuridicos/588804>. Acesso em: 04 Abr.
2011.
JORNAL DO ESTADO DE SÃO PAULO - Brasil ocupa quinta posição em

mercado de celulares e internet, diz ONU: No final de 2008 o país somou 150,6
milhões de celulares; China lidera. Já na internet, ano fechou com 50 milhões de
brasileiros conectados. Artigo utilizado. Disponível em:
<http://g1.globo.com/Noticias/Tecnologia/0,,MUL1352191-6174,00.html/>. Acesso
em: 10 Jun. 2010.
LIMA, Yeltsin. Evolução do Windows (1985 - 2009). Artigo utilizado. Disponível em:
<http://www.fayerwayer.com.br/2009/10/evolucao-do-windows-1985-2009/>. Acesso
em: 25 Mar. 2011.
LIMA, Paulo Marco Ferreira. Crimes de Computador e Segurança

Computacional. Campinas: Millennium Editora, 2005.
LOGICUBE – Site relacionado ao assunto. Disponível em:

<http://www.logicube.com/>. Acesso em: 04 Mai. 2011.
MEDIDA PROVISÓRIA – Site relacionado ao assunto. Disponível em:

<http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm>. Acesso em:
03 Abr. 2011.
MCAFEE ONLINE – Vírus. Artigo utilizado.

Disponível em: <http://www.compuland.com.br/virus.shtml#virus/>. Acesso em: 15
Mai. 2010.
MELO, Sandro. Computação Forense com Software Livre: Conceitos, Técnicas,

Ferramentas e Estudos de Casos. Rio de Janeiro: Ata Books, 2009.
111
MILAGRE, José Antonio. Respaldo da Lei. Artigo utilizado. Disponível em:

<http://www.ienoticia.com.br/clientes/patricia-peck-e-wanderson-castilho-falam-para-
especial-de-seguranca-na-web-da-informationweek/>. Acesso em: 04 Abr. 2011.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY – Guide to

Integrating Forensic Techniques into Incident Response. Gaithersburg: 2006.
121 p.
NG, Reynaldo. Forense Computacional Corporativa: Motivadores, Planejamento e

Custo e Metodologia. Rio de Janeiro: Brasport, 2007.
PIMENTA, Flávio Aparecido. Perícia forense computacional baseada em sistema

operacional Windows XP Professional. Sorocaba: SENAC, 2007. 122 p.
PINHEIRO, Patricia Peck; CASTILHO, Wanderson. Respaldo da Lei. Artigo
utilizado. Disponível em: <http://www.ienoticia.com.br/clientes/patricia-peck-e-
wanderson-castilho-falam-para-especial-de-seguranca-na-web-da-
informationweek/>. Acesso em: 04 Abr. 2011.
PONTUAKI - Evolução do Windows: 1985-2009. Artigo utilizado. Disponível em:

<http://pontuaki.com.br/a-evolucao-do-windows-1985-2009/>. Acesso em: 25 Mar.
2011.
QUEIROZ, Claudemir; VARGAS, Raffael. Investigação e Perícia Forense

Computacional: Certificações, Leis Processuais e Estudos de Caso. Rio de
Janeiro: Brasport, 2010.
REUTERS – Internet supera a TV como mídia preferida em boa parte do mundo,

diz pesquisa: Web é o veículo mais „indispensável‟ para 70% dos entrevistados.
Enquete ouviu 8,6 mil pessoas em 11 países, incluindo o Brasil. Artigo utilizado.
Disponível em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL1397901-
6174,00.html/>. Acesso em: 29 Abr. 2010.
REUTERS – Crime virtual pode causar mais prejuízo que crise econômica:
Projeção foi feita por especialistas durante a conferência na Alemanha. Danos do
cibercrime são estimados em US$ 100 bilhões ao ano. Artigo utilizado.
Disponível em:<http://g1.globo.com/Noticias/Tecnologia/0,,MUL868588-6174,00-
CRIME+VIRTUAL+PODE+CAUSAR+MAIS+PREJUIZO+QUE+CRISE+ECONOMIC
A.html/>. Acesso em: 10 Jun. 2010.
RIBEIRO, Marcelo. Técnicas Forenses. Distrito Federal: UPIS, 2006. 85 p.

112
RODRIGUES, Wagner de Paula. Análise Pericial em Sistema Operacional MS-

Windows 2000. Londrina: Universidade Estadual de Londrina, 2004. 70 p.
TANENBAUM, Andrew S. Redes de Computadores. Editora Campus, 4ª edição,

2003.
TAVARES, Diego. Forense Computacional. Campina Grande: PET, 2007.
TECHBIZ – FORENSE DIGITAL – Site relacionado ao assunto. Disponível em:

<http://techbiz.boltbrasil.com.br/>. Acesso em: 01 Out. 2010.
TEIXEIRA, Eli. CCJ deve examinar projeto que pune crimes cometidos pela
Internet. Artigo utilizado. Disponível em:
<http://www.senado.gov.br/noticias/verNoticia.aspx?codNoticia=59325&codAplicativ
o=2>. Acesso em: 08 Abr. 2011.
SALMON, Brian. Access Data FTK v3 & Macintosh Forensics. Artigo utilizado.
Disponível em:
<http://www.appleexaminer.com/Resources/FTKMacForensics/FTKMacForensics.ht
ml/>. Acesso em: 25 Abr. 2011.
U.S. DEPARTAMENT OF JUSTICE - Electronic Crime Scene Investigation: A

Guide for First Responders, Second Edition. Washington: 2008. 74 p.
U.S. DEPARTAMENT OF JUSTICE - Forensic Examination of Digital Evidence: A
Guide for Law Enforcement. Washington: 2004. 91 p.
U.S. DEPARTAMENT OF JUSTICE - Investigations Involving the Internet and

Computer Networks. Washington: 2007. 137 p.
U.S. DEPARTAMENT OF JUSTICE – National Institute of Justice. Site relacionado

ao assunto. Disponível em: <http://www.ojp.usdoj.gov/nij/>. Acesso em: 25 Mai 2010.
VARGAS, Raffael. Perícia Forense Computacional e metodologias para

obtenção de evidências. Artigo utilizado. Disponível em:
<http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional_e_m
etodologias_para_obtencao_de_evidenvias/>. Acesso em: 05 Jun. 2010.

Perícia Forense Computacional

Enviado por

Direitos autorais:

Formatos disponíveis

Perícia Forense Computacional

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Perícia Forense Computacional

Enviado por

Direitos autorais:

Formatos disponíveis

FACULDADE GOVERNADOR OZANAM COELHO

PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para

ROBSON MARCHIONI GRÔPPO

ROBSON MARCHIONI GRÔPPO

PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para

Monografia apresentada como parte

Orientador: Prof. M. Sc. Marcelo Daibert.

ROBSON MARCHIONI GRÔPPO

PERÍCIA FORENSE COMPUTACIONAL: Técnicas e ferramentas para

Monografia apresentada e aprovada em 12 de

Gostaria de deixar meus sinceros agradecimentos, primeiramente, a Deus

O presente trabalho propõe a descrição e utilização de algumas técnicas e

Palavras-chave: Crime Digital, Perito Digital, Perícia Forense Computacional,

LISTA DE FIGURAS ................................................................................................. vii

LISTA DE TABELAS .................................................................................................. ix

LISTA DE SIGLAS ...................................................................................................... x

2. REFERENCIAL TEÓRICO ................................................................................. 10

3. TRABALHOS RELACIONADOS ......................................................................... 39

4. FERRAMENTAS FORENSES ............................................................................ 41

4.1. Softwares ..................................................................................................... 41

5. ELABORAÇÃO DO LAUDO PERICIAL .............................................................. 65

6. ESTUDO DE CASO ............................................................................................ 78

7. CONSIDERAÇÕES FINAIS .............................................................................. 105

REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 107

Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano. ............................ 4

Figura 5.2: Exemplo de texto contido na seção histórico. ......................................... 70

Tabela 2.1: Ações comuns, tipo e artigo C.P. ........................................................... 22

ABEAT - Associação Brasileira de Especialistas em Alta Tecnologia

ABIN - Agência Brasileira de Inteligência

ARPA - Advanced Research and Projects Agency

CCB - Código Civil Brasileiro

CERT.BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

CPB - Código Penal Brasileiro

CPC - Código de Processo Civil

CPP - Código de Processo Penal

ECA - Estatuto da Criança e do Adolescente

EFE - Agência de Notícias Internacional

FGV - Fundação Getúlio Vargas

IBGE - Instituto Brasileiro de Geografia e Estatística

IC3 - Internet Crime Complaint Center

ONU - Organização das Nações Unidas

OSCE - Organização de Segurança e Cooperação da Europa

Com a grande expansão da Internet no mundo cotidiano assim como os

Os incidentes cometidos por meio do uso de computadores vêm crescendo de

1.1. O problema e sua importância

Paulo Quitiliano presidente da Abeat e coordenador-geral da Conferência

Figura 1.1: Total de Incidentes Reportados ao CERT.BR por Ano.

É importante frisar que muitos incidentes não chegam ao conhecimento do

● tentativas de ganhar acesso não autorizado a sistemas ou dados;

● modificações em um sistema, sem o conhecimento, instruções ou

Diferentemente do que acontece no Brasil, outros países mais desenvolvidos

Figura 1.2: 10 Categorias que Receberam mais Reclamações.

Na Figura 1.3, todos os incidentes reportados foram divididos em categorias

Figura 1.3: Prejuízo e Porcentagem.

dia, conforme informações divulgadas pela Mcafee (2009), empresa especializada

1.2.1. Objetivo geral

Desenvolver um estudo sobre Perícia Forense Computacional baseada no

1.2.2. Objetivos específicos

A intenção do autor com o desenvolvimento deste trabalho é proporcionar