Revista Eletrônica da Faculdade Metodista Granbery - http://re.granbery.edu.br - ISSN 1981 0377 Faculdade de Sistemas de Informação - N. 3, JUL/DEZ 2007

Uma Abordagem sobre Forense Computacional

Patrícia Lima Quintão, Carla da Silva Teixeira, Mônica de Lourdes Souza Batista, Raffael Gomes Vargas

Bacharelado em Sistemas de Informação – Faculdade Metodista Granbery (FMG) Rua Batista de Oliveira, 1145 – CEP 36010-530 – Juiz de Fora – MG – Brazil

pquintao@granbery.edu.br, csteixeir@gmail.com.br, monicasouzabatista@gmail.com, raffaelvargas@hotmail.com

Resumo Nas últimas décadas a utilização de computadores tornou-se parte integrante da vida das pessoas, permitindo o aparecimento de vários tipos de crimes eletrônicos. Nesse contexto, é importante que as organizações se preparem para investigar casos que envolvam a informática e adotem procedimentos válidos e confiáveis que permitam recuperar os dados dos computadores envolvidos em atividades criminosas. São apresentados neste trabalho noções de forense computacional e ferramentas que podem ser utilizadas para auxiliar na coleta, manutenção e análise de evidências.

Palavras-Chave: Forense Computacional, Perícia Aplicada à Informática.

Abstract

In the last decades the use of computers became an integrated part of people life, allowing the appearing of many electronic crimes. In this context, is important that the agencies get ready to investigate the chaos that involves informatics and adopt valid and trustworthy procedures that allows the rescue of computer's data involved in criminals activity. In this work, we present basic notions of computer forensics and tools that can be used to collect, keep and analyze evidences.

INTRODUÇÃO

Atualmente, muitas empresas que utilizam a Internet possuem algum aparato de

segurança, como por exemplo, firewalls e VPNs, para evitar que sua rede seja invadida

por hackers. Mas essas ferramentas de segurança são softwares que possuem muitas

linhas de código, e que podem conter algum erro de programação.

Mesmo que a empresa tome todas as medidas para se proteger dos ataques, ela

não está totalmente livre de ser invadida (OLIVEIRA, 2001). Falhas de segurança

podem acontecer, visto que alguma vulnerabilidade ainda não divulgada pode ser

utilizada ou um novo tipo de ataque pode ser explorado. Dessa forma, não se pode

afirmar que um determinado aparato de segurança está isento de falhas (OLIVEIRA,

GUIMARÃES e GEUS, 2002).

No caso de um incidente de segurança é muito importante adotar políticas para

que os danos sejam menores. É necessário que haja metodologias para que, uma vez

descoberta a invasão, seja possível identificar, coletar e manipular as evidências sem

que as mesmas sejam distorcidas, além de planejar alguma medida de segurança contra

os invasores (OLIVEIRA, 2001).

Nesse contexto, esse trabalho tem como objetivo destacar as etapas do processo de

uma perícia forense computacional, bem como algumas ferramentas e hardwares

utilizados no processo de uma investigação forense.

Para isso o trabalho apresenta as seguintes seções além desta introdução. A

segunda seção define a Ciência Forense. Na terceira seção é destacado o conceito de

Forense Computacional. A quarta seção apresenta os processos de uma perícia forense

computacional. A quinta seção aborda um conjunto de ferramentas que oferecem

suporte às etapas do processo de investigação forense. Na sexta seção são apresentados

alguns hardwares utilizados em perícia no mercado. Por fim, tem-se as considerações

finais do trabalho e as referências bibliográficas utilizadas.

CIÊNCIA FORENSE

Quando se escuta o termo forense, logo vem à mente o meio policial, no qual

policiais e peritos tentam solucionar algum mistério. Nesse contexto, eles devem

analisar delicadamente todo tipo de objetos, de sinais e de marcas que faziam parte da

cena do crime.

A análise forense se inicia quando os policiais chegam ao local do crime e isolam

o perímetro para evitar a exposição excessiva e a possível contaminação das evidências.

Após essa fase, tem-se a etapa de identificação e coleta de todo o tipo de dado e material

que possa ajudar na resolução do caso em questão. Uma vez realizada essas duas fases,

inicia-se a análise laboratorial das evidências (OLIVEIRA, 2001).

FORENSE COMPUTACIONAL

Devido ao surgimento de casos que envolvem o meio computacional, tornou-se

necessário o desenvolvimento de uma nova disciplina forense, cujo objetivo é criar

metodologias e acumular conhecimentos para a aquisição, manipulação e análise de

evidências digitais. A Forense Computacional é o ramo da criminalística que

compreende a aquisição, prevenção, restauração e análise de evidências computacionais,

que podem ser os componentes físicos ou dados que foram processados eletronicamente

e armazenados em mídias computacionais (VARGAS, QUINTÃO e GRIZENDI, 2007).

Palmer and Corporation (2001) destacam que a Forense Computacional pode ser

definida como a inspeção científica e sistemática em ambientes computacionais, com o

objetivo de angariar evidências derivadas de fontes digitais, tendo como objetivo

promover a reconstituição dos eventos encontrados (dessa forma, pode-se determinar se

o ambiente em análise foi utilizado na realização de atividades ilegais ou não

autorizadas.

Para resolver um mistério computacional é necessário examinar o sistema nos

mínimos detalhes, ou seja, da maneira que um detetive examina a cena de um crime.

Dessa forma, o perito que está realizando a análise deve conhecer profundamente o

sistema operacional em que está trabalhando para identificar e entender as relações de

causa e efeito de todas as ações tomadas durante a análise (OLIVEIRA, GUIMARÃES

e GEUS, 2002).

Para que o perito conduza uma análise forense computacional de maneira eficaz é

necessário que ele tenha uma série de habilidades, como, por exemplo, raciocínio

lógico, mente aberta e o entendimento das relações de causa e efeito. Todas essas

habilidades (que são encontradas nos programadores) são utilizadas durante a busca de

um erro em um programa (REIS e GEUS, 2001).

A Forense Computacional é uma área de pesquisa muito recente e poucos são os

trabalhos sobre esse assunto no Brasil. É importante que esta área se desenvolva, pois

muitos hackers utilizam os computadores em atividades criminosas (VARGAS,

QUINTÃO e GRIZENDI, 2007).

O PROCESSO DA PERÍCIA FORENSE COMPUTACIONAL

Segundo Pereira et al (2007) pode-se dividir as fases de um processo de

investigação forense computacional em quatro etapas, identificadas como: coleta dos

dados, exame dos dados, análise das informações e interpretação dos resultados, que

serão melhor detalhadas a seguir.

Coleta dos dados

Essa parte inicial do processo de realização da perícia em informática é de grande

importância para o sucesso da análise pericial. Nesse momento, coleta-se o máximo de

provas (dados relacionados ao evento) possível, que são os artefatos a serem utilizados.

É importante que seja utilizada uma metodologia clara e objetiva no momento da coleta

das provas (MELO, 2005).

As evidências digitais devem ser manipuladas com bastante cuidado, para que não

sejam danificadas ou destruídas, o que pode ocorrer por meio de vírus, campos

eletromagnéticos, choques mecânicos, eletricidade estática, entre outros. Os

procedimentos utilizados durante o processo devem ser bem documentados e

reprodutíveis partindo de uma cópia das evidências originais, para que possuam valor

legal (PEREIRA, 2007).

Exame dos dados

Nessa fase são selecionadas e utilizadas ferramentas e técnicas apropriadas a cada

tipo de dado coletado, com o objetivo de identificar e extrair as informações relevantes

ao caso que está sendo investigado, mas sempre com a preocupação de manter a

integridade dos dados (PEREIRA et al, 2007).

Análise das informações

Nesta fase, segundo Pereira et al (2007) é feita uma análise dos dados filtrados na

etapa anterior, com o objetivo de se obter informações úteis e relevantes que possam

responder às perguntas que deram origem à investigação.

Pretende-se identificar nessa fase, o autor, o que fez, quando fez, quais os danos

de seu ato e como realizou o crime (FREITAS, 2006), se possível tentando identificar o

modus operanti (modo de operação) do potencial atacante. Para que tenha sucesso nesse

processo é preciso saber como, onde e como procurar as evidências (MELO, 2005).

Nessa fase são analisadas e avaliadas as possibilidades de como o incidente pode

ter ocorrido (hipóteses) (MENEGOTTO, 2006).

Interpretação dos resultados

Nessa etapa final do processo de investigação é gerado um relatório (laudo

pericial) no qual devem estar descritos os procedimentos realizados e os resultados

obtidos (PEREIRA et al, 2007).

Um laudo pericial corresponde a um relatório técnico sobre a investigação, no

qual são apontados fatos, procedimentos, análise e resultados. O laudo é realizado a

partir das provas; a decisão é toda da justiça. O maior segredo de uma investigação, para

seu sucesso, consiste em verificar se há ou não destruição ou alteração das provas. As

provas devem ser protegidas de tal forma que não percam a sua veracidade (FREITAS,

2006).

O relatório de resposta a incidente depende diretamente de como os dados

investigados foram manipulados. Tem-se casos de criminosos que saíram ilesos devido

à coleta e à manipulação de dados de maneira incorreta. Os relatórios devem ser

concisos, coerentes e representar o foco da investigação (PEREIRA, 2007).

FERRAMENTAS PERICIAIS

A seguir são destacadas oito ferramentas que podem ser utilizadas em uma perícia

computacional, a saber: Ilook, GetDataBack, SmartWhois, eMailTrackerPro, EnCase,

PromqryUI 1.0, OllyDBG, Camouflage.

– Ilook

O software ILook, ilustrado na Figura 1, trata-se de uma ferramenta de forense

computacional usada para analisar os meios digitais dos sistemas computacionais

apreendidos. Desenvolvido por Elliot Spencer (ILOOK, 2007), esse software tem

potencialidades para examinar imagens inclusive de outras ferramentas de forense

computacional, como SafeBack e Encase, e também de discos virtuais.

Figura 1. Tela principal da ferramenta ILook (EVIDENCIAL DIGITAL, 2007)

– GetDataBack

A ferramenta GetDataBack é um recuperador de dados , que deve ser instalado no

Windows (vide Figura 2). Sendo assim, o computador que será usado para recuperação

de dados deverá possuir um HD com o Windows instalado mais o GetDataBack.

Basicamente em todos os recuperadores passivos pode-se encontrar um menu ou botão

para mapeamento dos dados e um outro para salvar esses dados em um disco rígido

extra, não modificando o HD com problema (EVIDÊNCIA DIGITAL, 2007).

Figura 2. Tela principal da ferramenta GetDataBack (EVIDÊNCIA DIGITAL, 2007)

– SmartWhois

A ferramenta SmartWhois, criada pela Tamasoft, auxilia na verificação de IPs e de

domínios na Internet, por meio de acessos diretos a mais de 60.000 bases de dados do

estilo Whois, no mundo, buscando resultados mais completos dentro de segundos

(TAMOSOFT, 2007). Utilizada de forma correta, a ferramenta permite que o usuário

possa visualizar todas as informações contidas sobre o endereço IP, hostname ou

domínio, como país, cidade, estado, nome do fornecedor de rede, administrador e

informações do contato da assistência técnica.

Para que isso seja possível, basta digitar a indicação do IP ou domínio da

organização desejada e a ferramenta apresenta na tela a localização da empresa

correspondente aos dados digitados no sistema, como informado anteriormente. Esta

ferramenta utiliza padrões de dados que um Whois não utiliza, assim podendo

identificar a origem de mensagens suspeitas de e-mail, auxiliar em estudos mais

completos sobre registros, entre outras formas de auxílio.

A Figura 3 ilustra a tela de abertura da ferramenta SmartWhois. O usuário indica

qual o domínio ou o IP que se deseja investigar (nesse caso “granbery.edu.br”) e a

ferramenta retorna todas as informações desse domínio ou IP. Segundo Vargas, Quintão

e Grizendi (2007) é uma ferramenta de grande utilidade quando se deseja, por exemplo,

investigar uma determinada correspondência eletrônica que omite os dados do

remetente. Nesse caso, basta digitar o endereço do IP do servidor que a ferramenta

auxiliará na busca de todos os dados necessários na identificação do remetente.

Figura 3. Tela principal da ferramenta SmartWhois (VARGAS, 2006)

– eMailTrackerPro

Criada e distribuída pela empresa Visualware (VISUALWARE, 2007), segundo

Vargas, Quintão e Grizendi (2007) a ferramenta eMailTrackerPro analisa o cabeçalho

de um e-mail, informa o IP da máquina que enviou a mensagem e o país ou a região do

mundo de onde se originou o e-mail, mostrando a localização em um mapa mundi,

conforme visto na Figura 4. Também identifica o uso do misdirection, tática usada pelos

spammers para cobrir seus rastros; e possui integração com a ferramenta VisualRoute,

também da Visualware para a obtenção de informações sobre o IP que originou a

mensagem (VISUALWARE, 2007).

O eMailTrackerPro pode ser utilizado para acompanhar todo e-mail recebido por

uma suposta vítima. Isso significa que se recebido um spam, a ferramenta poderá

verificar de onde foi enviado o e-mail, capturando a pessoa ou a máquina transmissora

do spam; além disso a ferramenta permite a visualização de todos os e-mails do usuário

antes da entrega em seu host ou computador. Essa característica faz uma varredura de

cada entrega do e-mail e identifica rapidamente de onde originaram e se são

misdirected.

Na Figura 4, apresenta-se à esquerda a rota de um determinado e-mail por IPs e a

rota do mesmo no mapa mundi, e, à direita, indica-se a empresa responsável pelos

serviços de e-mail. Pode-se utilizar essa ferramenta quando se deseja, por exemplo,

investigar se as informações confidenciais de uma suposta organização foram vendidas

antes mesmo de chegar “às mãos” da empresa responsável por esse serviço. Nesse caso,

faz-se uma busca da rota por onde esse e-mail passou, informando quando houve o

desvio da informação confidencial (VARGAS, QUINTÃO e GRIZENDI, 2007).

Figura 4. Tela da Ferramenta eMailTracker com Rota de IPs

– EnCase

A ferramenta EnCase, criada e patenteada pela empresa Guidance Software, que é

diretamente ligada ao setor forense computacional, é uma das ferramentas mais

completas no que se refere à perícia forense, pois além de auxiliar na recuperação de

arquivos excluídos, padroniza laudos periciais, organiza um banco de dados com as

evidências, faz o encryption (fornece senhas do arquivo) e o decryption (“quebra” as

senhas) dos arquivos, analisa hardwares, logs, formatos e tipos de e-mails e fornece uma

opção de se manusear a evidência sem danificá-la, além de outras características

(GUIDANCE, 2007).

De acordo com Christófaro (2006) a ferramenta EnCase da Guidance Software

surgiu no cenário da Computação Forense em 1998 nos Estados Unidos, dois anos

depois ela se tornaria a principal ferramenta forense. Naquela época, a maioria dos

examinadores se utilizavam do prompt dos sistemas operacionais em suas investigações;

a proposta de um ambiente compatível com os populares ponteiros e janelas do

Windows da Microsoft era ousada, uma vez que na visão dos examinadores forenses o

prompt era mais poderoso e ainda oferecia mais opções de controle, além do mais a

ferramenta irá ser composta por quatro recursos básicos que permitem sua

funcionalidade abrangente. Esses recursos serão vistos a seguir (GUIDANCE, 2007):

– análise detalhada do sistema: a ferramenta é capaz de descobrir arquivos

ocultos e excluídos, detectar rootkits, procurar documentos, identificar processos

de invasores, reconstruir atividade de Web e de e-mails, até decodificar certos

tipos de criptografia e identificar comunicação não autorizada na rede;

– análise paralela: este tópico analisa com rapidez um grande número de

computadores ao mesmo tempo, reunindo informações críticas sobre seu estado

e conteúdo. A análise paralela é o recurso básico que permite produzir

velocidades de pesquisa empresarial e reação a incidentes muito superiores às

tecnologias concorrentes;

– correção: após a identificação de um evento mal-intencionado, a ferramenta

auxilia a detê-lo e controlá-lo. Em quase todos os casos de reação a incidentes, é

possível ver o problema, mas não fazer algo a respeito ou não fazer nada, ou

então, usar ferramentas de terceiros para remediar a situação, o que pode

significar a desativação de pelo menos uma parte da rede. Com a ferramenta

pode-se documentar o incidente detalhadamente, acessar os computadores

comprometidos e corrigir o problema;

– integração: a ferramenta é capaz de ser integrada à infra-estrutura de segurança

existente na empresa para proporcionar reação a incidentes em tempo real

automatizada. Os alertas gerados por tecnologias de monitoração, com os

sistemas IDS1 e SIG2, ativam reações automatizadas pela ferramenta, permitindo

aos profissionais de segurança reagir a centenas e potencialmente a milhares de

alertas por dia, logo após o evento ocorrer.

A Figura 5 ilustra uma verificação da caixa de entrada de e-mail, utilizando

métodos de busca e investigação da ferramenta EnCase em e-mails. Pode-se utilizar

essa ferramenta quando se deseja, por exemplo, investigar os dados em um computador

que foram excluídos ao se formatar logicamente a máquina.

1 IDS: Sistema de detecção de invasores 2 SIG: Ferramenta de gerenciamento de informações seguras

Figura 5. Tela do EnCase com visualização dos anexos de e-mail (VARGAS, 2006)

Segundo Andrade (2005), nessa situação a ferramenta pode auxiliar o perito na

busca de dados nos setores não utilizados do HD e, logo após, fazer uma busca em todos

os e-mails enviados à suposta vítima, podendo com essa ferramenta recuperá-los,

mesmo se estiverem em uma área que foi formatada.

– PromqryUI

A ferramenta em questão permite a detecção de um sniffer de rede em execução

nos computadores com os sistemas operacionais Windows Server 2003, Windows XP

ou Windows 2000.

O sniffer de rede é um software ou hardware criado para obter os dados que

passam por uma rede. Uma vez obtidos, esses dados capturados podem ser utilizados

para análise do tráfego de rede, execução de aplicações na rede e demais fins de

segurança. Também pode ser usado com fins ilegítimos, incluindo o roubo de dados,

quebras de senha e mapeamento de rede.

Um sniffer de rede pode ser executado em modo não-promíscuo ou modo

promíscuo. O modo promíscuo ocorre quando a placa do adaptador de rede copia todos

os quadros que passam pela rede para um buffer local, independentemente do endereço

de destino. Esse modo permite que os sniffers de rede capturem todo o tráfego de rede

na sub-rede local do sniffer ou na rede local virtual (VLAN), que pode incluir difusões,

difusões ponto a ponto e difusões seletivas (MICROSOFT, 2007).

A ferramenta auxilia na inserção de um único sistema ou um intervalo de sistemas

à lista, sendo possível adicionar sistemas por endereço IP ou por nome. Se um nome for

adicionado, PromqryUI tenta determinar o nome para um endereço IP, se não for

possível determinar o nome para um endereço IP, a consulta falhará.

A Figura 6 apresenta todos os sistemas adicionados à lista, que serão

automaticamente salvos ao sair do PromqryUI; já a lista Systems To Query será

preenchida automaticamente com os sistemas e intervalos salvos.

Figura 6. Sistemas adicionados e intervalos salvos (MICROSOFT, 2007)

É possível usar as opções de ping e detalhamento para iniciar a consulta aos

sistemas selecionados. O resultado da consulta, destacando se foram encontradas

interfaces em execução no modo promíscuo, é exibido em seguida, conforme ilustrado

na Figura 7.

Quando PromqryUI (ou Promqry) localiza um host com interface em execução no

modo promíscuo, PromqryUI usa o WMI3 para consultar o host a respeito de

informações adicionais com o objetivo de facilitar a identificação desse host, como

apresentado na Figura 8 (MICROSOFT, 2007).

3 WMI: Windows Management Instrumentation, infra-estrutura que possui recursos de linha de comando e de criação de script, você pode monitorar e controlar os eventos do sistema relacionados a aplicativos, componentes de hardware e redes.

Figura 7. Consulta feita e apresentação de interface promíscua (MICROSOFT, 2007)

– OllyDBG

O OllyDbg é uma ferramenta chamada de debugador, que permite o

acompanhamento, passo a passo, da execução de programas, além de possuir um

desassemblador muito conciso, que apresenta todas as linhas de comando, podendo

observar o conteúdo dos registradores e de posições da memória.

Essa ferramenta processa várias ações demonstradas em uma janela com quatro

painéis. É apresentado na Figura 8 um breakpoint numa área de um código, de um vírus

desassemblado. Observe que no canto inferior direito da Figura 8 há uma área de texto

com o nome paused ( isso quer dizer que todas as modificações poderão ser feitas com o

programa parado). No canto inferior esquerdo aparece o texto program entry point

indicando que a execução está parada naquele momento e o ponteiro está no ponto de

entrada do programa.

Figura 8. Breakpoint no OllyDbg (OLLYDBG, 2007)

– Camouflage

A Camouflage é uma ferramenta de uso simples, que utiliza princípios básicos de

esteganografia para poder “ocultar” arquivos dentro de outros arquivos.

A esteganografia está presente em nosso cotidiano nas várias formas possíveis,

tanto em uma nota de 1 real, apresentando formas que não poderão ser vistas a olho nu e

somente com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes,

como apresentado na Figura 9, quanto em um documento que poderá conter inúmeras

mensagens ocultas.

Figura 10. Cédula de Real

Esta ferramenta é utilizada por muitos terroristas para enviar e receber

informações através de imagens, em textos, áudio, vídeo e até em pacotes TCP/IP.

Hoje, o perito forense em informática deve estar muito atento a qualquer tipo de

imagem aparentemente inofensiva, pois dentro dela pode estar alguma informação

altamente valiosa para a perícia de um caso.

Para um perito forense é necessário conhecer todos os formatos de imagens para

avaliar o tamanho real, em disco, de um arquivo de imagem. Como em qualquer

tecnologia nova, na esteganografia ainda não há ferramentas que possam avaliar 100%

uma imagem, por isso a necessidade de investimentos e estudos no assunto.

A ferramenta freeware denominada Camouflage utiliza um determinado arquivo,

nesse caso um arquivo de imagem, para “camuflar” demais arquivos. Como exemplo,

na Figura 10, a ferramenta foi ilustrada com o uso de um arquivo de imagem intitulado

PericiaGranbery.jpg para camuflar um arquivo de texto, do tipo .txt, denominado

senhas.txt.

Figura 10. Escolha do arquivo de imagem

Como apresentado anteriormente e exemplificado na Figura 11 é escolhido um

arquivo de imagem para que seja camuflado o arquivo de texto, sendo que o arquivo de

imagem não sofrerá alterações na imagem, podendo trafegar pela Internet sem nenhum

problema, mas se a pessoa que receber esse arquivo tiver a ferramenta Camuflage, é

possível verificar se existe algo encoberto utilizando a opção UnCamuflage, assim

podendo receber o arquivo e extrair o dado camuflado.

Figura 11. Extração do arquivo camuflado

Na seção seguinte serão destacados exemplos de hardwares que podem ser

utilizados na perícia forense computacional.

HARDWARES UTILIZADOS EM PERÍCIA

Para realizar um processo de análise válido, é indispensável um conjunto de

ferramentas confiável e, principalmente, que as evidências coletadas possam ser

utilizadas em uma disputa judicial. A seguir, são apresentadas algumas ferramentas para

auxiliar o perito em seu trabalho, com uma breve descrição de sua utilização e

finalidade.

– FastBlock 2

A empresa Guidance Software, além de desenvolver softwares para perícia

forense, como o EnCase, também desenvolve hardwares para a área de perícia forense

computacional, em conjunto com a empresa Wiebe Tech, como o FastBlock2 Lab

Edition e Fiel Edition (GUIDANCE, 2007).

O hardware Fiel Edition é uma ferramenta portátil, como apresentada na

Figura 12, capaz de fazer bloqueios, criptografia, leituras e cópias de disco rígidos no

próprio local do incidente a ser periciado. O hardware promove assim não só a coleta de

dados, mas também a proteção dos dados coletados, apresentando tecnologias de

comunicação ATA, SATA e USB (GUIDANCE, 2007).

Figura 12. FastBloc2 Fiel Edition

Já o hardware Lab Edition é uma ferramenta não portátil, como apresentada na

Figura 13, utilizada somente em ambientes laboratoriais. Além de fornecer todas as

funções da versão Fiel Edition, trabalha também com tecnologias de comunicação

FireWare e ATA, que a outra versão não fornece. Além de serem compatíveis com

software EnCase, trabalham diretamente com uma ferramenta denominada Computer

Forensic Software Recognition para poder reaver, reorganizar e exportar estes dados

coletados. As duas ferramentas trabalham tanto em plataformas Windows e Unix,

quanto em plataforma Mac, atendendo assim os principais sistemas operacionais, que

estão presentes hoje no mercado (GUIDANCE, 2007).

Figura 13. FastBloc2 Lab Edition

– Estação F.R.E.D

Este hardware, ilustrado na Figura 14, consiste em uma estação de perícia

produzida pela Digital Intelligence, Inc. (http://www.digitalintelligence.com), para

aquisição e análise de evidências em computadores. Possui recursos não encontrados em

estações padrão de mercado e configuração bastante flexível. Pode-se ter: disco flexível

de 3 ½ e 5 ¼, drives de ZIP, JAZ e DITTO, discos IDE e SCSI, etc. Também possui

bloqueadores de escrita por hardware (FREITAS, 2005).

Figura 14. F.R.E.D - Forensic Recovery of Evidence Device (FREITAS, 2006)

CONSIDERAÇÕES FINAIS

Este trabalho apresentou um tema bastante atual e que tem recebido significativa

atenção tanto da comunidade científica quanto da indústria: a forense computacional.

Foram destacadas as etapas de uma perícia forense computacional, bem como

ferramentas que podem ser utilizadas em uma investigação.

A forense computacional trabalha com dados físicos e reais, mas numa realidade

digital, na qual os dados físicos são informações elétricas, eletrônicas, magnéticas,

eletromagnética e em outras formas mais ou menos voláteis. Os dados mudam, as

tecnologias mudam, os equipamentos mudam, os conhecimentos mudam, tudo que

conhecemos muda e sempre mudará, por isso há a necessidade da busca de

conhecimentos para a aquisição e um maior detalhamento de evidências.

Como proposta de trabalhos futuros cita-se a possibilidade de realizar um estudo

mais avançado sobre ferramentas específicas para um determinado ambiente (linux ou

windows), com o objetivo de exemplificar o uso dessas ferramentas em um caso real de

perícia computacional.

REFERÊNCIAS BIBLIOGRÁFICAS

ANDRADE, T. F. de. Perícia Forense Computacional Baseada em Sistema Operacional Windows. Trabalho de Conclusão de Curso, Jaraguá do Sul, Santa Catarina, 2005.

CRHISTÓFARO, G. T. Forense Computacional em Ambientes de Redes - EnCase, Apresentação na III Conferência Internacional de Investigação em Crimes Cibernéticos - IcCyber, Brasília, 2006.

FREITAS, A. R. de. Perícia Forense Aplicada à Informática. Trabalho de Curso de Pós-Graduação “Lato Sensu”em Internet Security. IBPI. 2003.

_________Perícia Forense Aplicada a Informática: Ambiente Microsoft. Rio de Janeiro: Brasport, 2006.

GUIDANCE. About EnCase® Forensic. Disponível em: <http://www.guidancesoftware.com/products/ef_index.aspx/>. Acesso em: 14 ago. 2007.

ILOOK. Disponível em: <http://www.ilook-forensics.org/>. Acesso em: 6 set. 2007.

LEE, H. C., PALMBACH, T. M., MILLER, M. T. Henry Lee’s Crime Scene Handbook. San Diego: Academic Press.2001.

MICROSOFT. Descrição do Promqry 1.0 e PromqryUI 1.0. Disponível em: <http://support.microsoft.com/kb/892853/>. Acesso em: 6 set. 2007.

MELO, Sandro. Disponível em <http//www.linux.com.br>. Acesso em: 13 mar. 2005.

MENEGOTTO, V. H. Análise Forense: Processo de Investigação Digital. Disponível em: <http://www.axur.com.br/artigo.php?id=67>. Acesso em: 10 dez. 2006.

OLIVEIRA, F. S. Metodologias de Análise Forense para Ambientes Baseados em NTFS. 2001.

OLIVEIRA, F. S.; GUIMARÃES, C. C.; GEUS, P. L. Resposta a Incidentes para Ambientes Corporativos Baseado em Windows. 2002.

OLLYDBG. Disponível em: <http://www.ollydbg.de/>. Acesso em: 10 set. 2007.

PALMER, G. and CORPORATION, M. A Road Map for Digital Forensic Research. Technical Report. 2001.

PEREIRA, Marcos Nascimento Borges. Disponível em: <http://www.forensedigital.com.br>. Acesso em: 12 mai. 2007.

PEREIRA et al. Forense Computacional: Fundamentos, Tecnologias e Desafios Atuais. Anais do VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, pp. 03-53, Rio de Janeiro, 2007.

PERITO CRIMINAL. Disponível em <http://www.peritocriminal.com.br/> Acesso em abril de 2007.

REIS, M. A.; GEUS, P. L. Forense Computacional: Procedimentos e Padrões. 2001.

TAMOSOFT. Disponível em: <http://www.tamos.com/products/smartwhois/>. Acesso em: 03 ago. 2007.

VARGAS. R. G.; QUINTÃO, P.L; GRIZENDI, L.T. Perícia Forense Computacional. Anais do I Workshop de Trabalhos de Iniciação Científica e de Graduação da Faculdade Metodista Granbery, pp. 20-29, Juiz de Fora, Maio de 2007.

VARGAS, R. G. Processos e Padrões em Perícia Forense Aplicado a Informática. Trabalho de Conclusão de Curso, Bacharelado em Sistemas de Informação, Faculdade Metodista Granbery, Juiz de Fora, Minas Gerais, 2006.

VISUALWARE. eMailTrackerPro ® 2007. Disponível em: <http://www.emailtrackerpro.com/index.html>. Acesso em: 19 abr. 2007.