Bruno - Procedimentos Forense Crimes de Pornografia Infantil

FACULDADE UNIBRATEC
BRUNO VINELLI NUNES DE OLIVEIRA ARAJO
PROCEDIMENTOS FORENSE PARA ENCONTRAR EVIDNCIAS DE CRIME DE

PORNOGRAFIA INFANTIL EM COMPUTADORES
Joo Pessoa
2009
BRUNO VINELLI NUNES DE OLIVEIRA ARAJO

Monografia apresentada no Curso de

Segurana
da
Informao,
para
concluso da Ps-Graduao. Ou Como
parte dos requisitos necessrios para
obteno do ttulo de Especialista em
Segurana da Informao.
Orientador: M.S.c. Mrcio Luiz Machado Nogueira
Joo Pessoa
2009
Bruno Vinelli Nunes de Oliveira Arajo

Data da Defesa:
_________________________________________
Msc. Mrcio Luiz Machado Nogueira, iDez
Prof. Orientador
_________________________________________
Gerson Castro, iDez
Componente da Banca
_________________________________________
Msc. Marileuza Fernandes, iDez
Componente da Banca
Joo Pessoa, 2009.
Dedicatria
Dedico este trabalho primeiramente a Deus, pois Ele me deu sabedoria para
concluir este trabalho...
Como tambm minha famlia que estava por perto dando apoio e cuidando do jeito
dela, principalmente Minha Av que me ajudou nos custos dos livros e Minha Me
que me mostrou com suas atitudes e que sigo como exemplo que estudar a
melhor sada para ser algum no mundo.
Minha Grande Namorada, Daniele, que me acompanhou todo o processo de incio e

fim desta especializao e abdicou nossos dias de Sbado para que eu terminasse
bem.
E meus Amigos que tanto me apoiaram e acreditaram que eu possa ser um bom
profissional nesta rea, como Andrey, Ivandro, Paula, rica e Walter.
A Professora Marileuza pelas aulas motivadoras de como fazer um trabalho de

concluso de curso.
E a todos da Faculdade iDez que sempre nos atenderam com educao e eficincia.
Por ltimo, meu grande orientador Mrcio Nogueira, pela enorme pacincia,
dedicao e orientao, pois se no fosse ele, eu mesmo estaria desorientado e no
finalizaria este trabalho.
Agradecimentos
Totalmente Grato a Deus, por tudo: Vida, Sade e Inteligncia.
Agradeo a cada pessoa em que posso confiar, ou apenas tentou me ajudar a

concluir este trabalho, que so: Todos da minha turma de Ps-Graduao,
principalmente, Ivandro, Mrcio Bencid, Moiss, Flvio, Slvio e Michele, pela ajuda,
apoio e brincadeiras
Agradeo mais uma vez a Andrey, rica e Danielle, por ter feito a correo do
trabalho, com muita responsabilidade e dedicao.
Minha namorada Daniele que ouviu falar nessa monografia todos os dias durante
quase 1 ano.
A Professora Marileuza, Professor Gerson pelo apoio que nos deram nesta ltima
etapa do curso...
E ao meu Professor e Orientador Marcio Nogueira que sem ele este trabalho no
sairia bem polido.
RESUMO
A internet sendo cada vez mais popularizada abre margem para que alguns
criminosos virtuais atuem de forma que pensem e ajam como se no houvesse lei e,
por isso, acabam escancarando seus atos inescrupulosos como quiserem. Certos
comportamentos que antes eram apenas encontros em locais secretos, como os
clubes de pedofilia para trocas de material com contedo de pornografia infantil, hoje
acontece pelo computador, bastando apenas estar conectado Internet. Este
trabalho prope estudar um padro de procedimentos para investigar uma estao
de trabalho em ambiente com plataforma proprietria, usando ferramentas de
software livre como o Linux FDTK-UbuntuBR e o Helix, a fim de investigar as
evidncias de crime de pornografia infantil pela Internet, baseado nas leis vigentes
no Brasil. A metodologia usada foi baseada nos procedimentos demonstrados por
Venema e Wietse, Andrey Rodrigues de Freitas e estudos de algumas monografias
na rea de Percia Forense Computacional e as ferramentas especficas para que
possa fazer uma investigao segura no computador analisado. Sendo finalizada
com um experimento fictcio de laboratrio feito em casa, resultando que se o
suspeito no tiver nenhum malware instalado em seu computador e for encontrada
arquivos com pornografia infantil, ento ele poder ser condenado de acordo com a
lei vigente no Brasil.
Palavras-chaves: pedofilia, forense computacional, cibercrimes.
ABSTRACT
The Internet is increasingly popular open space for some criminal act in a virtual think
and act as if there is no law and so eventually gaping as their unscrupulous acts like.
Some behaviors that were previously found only in secret places, such as pedophilia
clubs in exchange for material with content of child pornography, today is the
computer, just be connected to the Internet. This research study proposes a standard
of procedures to investigate in a workstation environment with proprietary platform,
using free software tools such as Linux and Helix FDTK-UbuntuBR in order to
investigate the evidence of a crime of child pornography over the Internet, based on
laws in Brazil. The methodology used was based on procedures established by and
Wietse Venema, Andrey Rodrigues de Freitas and studies of some papers in the
area of Computer Forensic Expertise and the specific tools that can make a secure
research in computer analysis. Being finalized with a fictitious laboratory experiment
at home, resulting that the suspect does not have any malware installed on your
computer and is found files with child pornography, then he may be convicted under
the law in force in Brazil.
Keywords: pedophilia evidence, computer forensics, cybercrime
Lista de Tabelas
Tabela 1 O Ciclo de vida esperado dos dados

Tabela 2: Relao entre a habilidade do invasor e a quantidade de evidncias
deixadas.
Tabela 3 : Modelo para Investigar um computador suspeito
Lista de Figuras
Figura 1 - Denuncias sobre Crimes na Internet de 2006 a 2008 .......................... 26

Figura 2 - Denuncias sobre Crimes na Internet de 2006 a 2008 incluindo o
27
Orkut.....................................................................................................................
Figura 3 - Modelo de Investigao Computacional...............................................
38
Figura 4 - Modelo de padronizao.......................................................................
39
Figura 5 - Fluxograma de Preservao dos Dados .............................................
42
Figura 6 - Exemplos gerais de possveis evidncias a serem procuradas ..........
43
Figura 7 - Autoruns Verso 9.39........................................................................
48
Figura 8 AcessEnum..........................................................................................
50
Figura 9 - Process Explorer verso 11.33.........................................................
51
Figura 10 - Process Monitor verso 2.04.............................................................
52
Figura 11 - TCPView verso 2.54........................................................................
53
Figura 12 -FDTK-UbuntuBR.................................................................................
54
Figura 13 - Coleta de Dados................................................................................. 55

Figura 14 - Exame dos Dados............................................................................... 57
Figura 15 - Anlise das Evidncias.......................................................................
61
Figura 16 - A Ferramenta Autopsy........................................................................
62
Figura 17 -Tela Inicial do Helix.............................................................................. 63

Figura 18 - Utilitrios do Helix para fazer uma imagem........................................ 64
Figura 19 - FTK Imager.........................................................................................
64
Figura 20 - Exame dos Dados, calculando o Hash pelo Helix.............................. 65

Figura 21 - Coleta dos Dados do Helix, pgina 3.................................................. 66
Figura 22 - Messenger Password na Prtica........................................................
66
Figura 23 - IEHistoryView .....................................................................................
67
Figura 24 Mail Password View na prtica..........................................................
67
Figura 25 - USBDeview.........................................................................................
68
Figura 26 - Autoruns Executado na Mquina Virtual.............................................
71
Figura 27 - Process Explorer da Mquina Virtual..................................................
72
Figura 28 - TCPView da Mquina Virtual..............................................................
73
Figura 29 - Resultado da Pesquisa de Imagens e Fotos do Windows XP............
75
Figura 30 - Dentro da Pasta C:\Documents and Settings\Marcio\Configuraes
77
locais\Histrico.......................................................................................................
Figura 31 - Registro dos Sites Acessado Semana Passada.................................
77
Figura 32 - O que foi pesquisado no Google........................................................
77
Figura 33 - Pasta do Temporary Internet Files......................................................
78
Figura 34 - Diretrio dos Cookies..........................................................................
79
Figura 35 - Informao do Sistema no Helix.........................................................
82
Figura 36 - Criando Imagem da Memria RAM e Disco Rgido............................
83
Figura 37 - Exame dos Dados...............................................................................
84
Figura 38 - Programa PSTPassword sem encontrar senha..................................
84
Figura 39 - IEHistory View da Mquina Virutal...................................................... 85

Figura 40 - USBDeview.........................................................................................
85
Figura 41 - Informao do Sistema.......................................................................
86
Figura 42 - Exemplo Retirado do IEHistoryView...................................................
86
Figura 43 - Scan for Pictures.................................................................................
87
10
Glossrio
ABIN Agncia Brasileira de Inteligncia

BMP(BitMap) Mapa de Pontos
CD-ROM (Compact Disc - Read-Only Memory) Disco Compacto de Memria de
Somente de Leitura
DOS (Disk Operating System) Sistema Operacional de Disco
DSM (Diagnostic and Statistical Manual of Mental Disorders) - Manual Diagnstico e
Estatstico de Doenas Mentais
Ext (extended file system) Sistema de Arquivos Extendido
FAT (File Allocation Table) - Tabela de Alocao de Arquivos
FDTK (Forense Digital ToolKit) Kit de Ferramentas para a Forense Digital
FTK (Forensics Toolkit) Kit de Ferramentas Forense
JPEG ou JPG - Joint Picture Expert Group
GPL (Global Public License) Licena Pblica Geral
HFS (HTTP File Server download) HTML Servidor de Download
HTML (HyperText Markup Language) - Linguagem de Marcao de Hipertexto
HW (Hardware) Parte Fsica do Computador
MS - Microsoft
NIST (Institute for Standards and Technology) - Instituto Nacional de Padres e
Tecnologia
NTFS (New Tecnology File System) Nova Tecnologia de Sistema de Arquivos
OCDE - Organizao para a Cooperao e Desenvolvimento Econmico
PLC Projeto de Lei na Cmara
RAM (Randon Access Memory) Memria de Acesso Aleatrio
TCT (The Coroners ToolKit) Kit de Ferramentas do Coroner.
TCP (Transmission Control Protocol) Protocolo de Controle de Transmisso
UDP (User Datagrama Protocol) Protocolo de Datagrama de Usurio
USB (Universal Serial Bus) Barramento de Serie Universal
WWW (Wide World Web) A Grande Teia Mundial
11
Sumrio
INTRODUO .......................................................................................................... 14
1.1
MOTIVAO ................................................................................................... 15
1.2
OBJETIVOS ..................................................................................................... 15
1.2.1 Objetivos Gerais ........................................................................................ 15

1.2.2 Objetivos Especficos................................................................................. 15
1.3
RELEVNCIA ................................................................................................... 16
1.4
METODOLOGIA DA PESQUISA ........................................................................... 17
CAPTULO 2 - FUNDAMENTAO TERICA........................................................ 18

2.1
CRIMES DE INFORMTICA ................................................................................ 18
2.2.
LEGISLAO APLICADA NA INFORMTICA .......................................................... 20
2.2.1 Omisso dos Provedores de Internet ........................................................ 22

2.3
O QUE PEDOFILIA ? ...................................................................................... 23
2.4
A PEDOFILIA E A INTERNET .............................................................................. 25
2.5
LEI 11.829/2008 - COMBATE PORNOGRAFIA INFANTIL E PEDOFILIA NA INTERNET

28
2.6
PERCIA FORENSE APLICADA INFORMTICA ................................................... 29
2.6.1
Cadeia de Custdia ............................................................................... 32
2.7
ORDEM DE VOLATILIDADE ................................................................................ 32
2.8
PROCEDIMENTOS DE UMA PERCIA FORENSE .................................................... 35
2.8.1 Identificao das Evidncias ...................................................................... 40

2.8.2 Preservao ............................................................................................... 41
2.8.3 Anlise ....................................................................................................... 42
2.8.4 Apresentao ............................................................................................. 45
CAPTULO 3 CONJUNTO DE FERRAMENTAS ................................................... 46
3.1
THE CORONERS TOOLKIT - TCT ..................................................................... 46
3.2
UTILITRIO WINDOWS SYSINTERNALS .............................................................. 47
3.2.1 Autoruns.................................................................................................... 48
3.2.2 AcessEnum ............................................................................................... 50
3.2.3 Process Explorer........................................................................................ 50
12
3.2.4 Process Monitor ........................................................................................ 52

3.4.5 TCPView ................................................................................................... 53
3.3
FDTK-UBUNTUBR FORENSE DIGITAL TOOLKIT .............................................. 54
3.3.1 Coleta de Dados ........................................................................................ 55

3.3.1.1 Cadeia de Custdia e Capturar Imagem ............................................. 55
3.3.1.2 Criar Imagem dos Dados ..................................................................... 55
3.3.1.3 Dump de Memria ............................................................................... 55
3.3.1.4 Gerao de HASH ............................................................................... 56
3.3.1.5 Identificao do Hardware ................................................................... 56
3.3.1.6 Limpa Mdias ....................................................................................... 57
3.3.2 EXAME DOS DADOS ........................................................................................ 57
3.3.2.1 Antivirus & Malware ............................................................................. 58
3.3.2.2 Arquivos Compactados........................................................................ 58
3.3.2.3 Arquivos de Imagem ............................................................................ 58
3.3.2.4 Arquivos MS ........................................................................................ 59
3.3.2.5 Crypto-Stegano ................................................................................... 59
3.3.2.6 Localizar Dados ................................................................................... 59
3.3.2.7 Mactime dos Dados ............................................................................. 59
3.3.2.8 Parties NTFS ................................................................................... 60
3.3.2.9 Quebra de Senhas .............................................................................. 60
3.3.2.10 Restaurar Dados ............................................................................... 60
3.3.2.11 RootKits ............................................................................................. 60
3.3.3 Anlise das Evidncias .............................................................................. 60
3.3.4 ToolKit ....................................................................................................... 62
3.4
HELIX............................................................................................................ 62
3.4.1 Coleta ........................................................................................................ 63

3.4.2 Exame........................................................................................................ 65
3.4.3 Anlise ....................................................................................................... 68
CAPTULO 4 - INVESTIGAO NO SISTEMA OPERACIONAL DA MICROSOFT 69
4.1 COLETA ............................................................................................................. 70
4.2 EXAMES DOS DADOS........................................................................................... 74
4.2.1 Arquivos de imagens ................................................................................ 75
4.2.2
Arquivos compactados .......................................................................... 75
13
4.2.3 Lixeira ....................................................................................................... 76

4.2.4 Arquivos temporrios de navegadores de Internet ................................... 76
4.2.5
Registro do Windows ............................................................................. 80
4.2.6
Correio Eletrnico do MS-Outlook ......................................................... 80
4.3 ANLISE ............................................................................................................. 80

4.3.1 Cookies ...................................................................................................... 81
4.3.2 Arquivos de email ..................................................................................... 81
4.3.3 Histrico do MSN ....................................................................................... 81
4.4 APRESENTAO ................................................................................................. 82
4.5 DISTRIBUIO LIVECD DO HELIX.......................................................................... 82
4.5.1 Coleta ....................................................................................................... 83
4.5.2 Exame ....................................................................................................... 83
4.5.3 Anlise ...................................................................................................... 86
CONCLUSO ........................................................................................................... 88
REFERNCIAS......................................................................................................... 90
14
INTRODUO
A pedofilia j existe h pelo menos uns 6000 anos, e hoje considerado um

transtorno mental ou um desvio sexual de acordo com a Organizao Mundial de
Sade. A Pedofilia o desvio sexual caracterizado pela atrao por crianas ou
adolescentes sexualmente imaturos, com os quais os portadores do vazo ao
erotismo pela prtica de obscenidades ou de atos libidinosos [CROCE, 2004]. E A
pornografia infantil na Internet um dos crimes mais evidentes no ciberespao.
Tanto localmente quanto internacionalmente afirma Fbio A. S. Reis (2004. p.1).
E conforme Fbio A. S. Reis, No Brasil, a Polcia Federal afirma que, dentre
os crimes de computador, a pornografia envolvendo crianas responde pelo maior
nmero de denncias recebidas pela instituio.
Com o crescimento da Internet este evento, a pedofilia e pornografia infantil
pela Internet, ao qual este ltimo se diferencia da pedofilia visto que uma violao
ou crime contra os Direitos Humanos envolvendo uma criana em atividades sexuais
explcitas reais ou simuladas ou qualquer representao dos rgos sexuais de uma
criana para fins primordialmente sexuais, tem mais incidncia e cresce a cada dia
(SaferNet, 2009) e tambm por causa do anonimato e a dificuldade em que a polcia
se encontra e para obter provas lcitas para que se conduza a um ato litigioso de
recluso ou deteno.
Portanto, este trabalho visa propor um procedimento de auditoria para
conseguir identificar prova lcitas em uma estao de trabalho, adotando softwares
especficos para investigao do computador suspeito para que assim se possa
entrar com um processo judicial.
Ele foi dividido em trs partes: os conceitos sobre pedofilia e sua legislao
vigente no Brasil, foi mostrado o conjunto de ferramentas usadas em uma
investigao em um computador suspeito e finalizando, uma investigao de um
procedimento para combater a pedofilia pela Internet atravs de um ambiente feito
em casa em uma mquina virtual para estudar os conceitos aqui mostrados durante
o trabalho.
15
1.1
Motivao
A motivao estudar o processo forense em si para encontrar vestgios de
pornografia infantil em um computador investigando, para que desta forma se inicie

um processo judicial com a finalidade de responder perguntas chave, como por
exemplo elucidar quem foi o responsvel pela colocao de arquivos no computador
e quando aconteceu.
Na prtica em uma empresa ou um computador pessoal, quando algum
acusado de algum delito, necessrio o nus da prova, ou seja, as evidncias para
garantir se houve um crime. Portanto, este trabalho tem a motivao de ajudar a
equipe tcnica a avaliar a situao e encontrar esses vestgios ou possa estar com
algum tipo de malware.
1.2 Objetivos
1.2.1 Objetivos Gerais
Construir um modelo para um procedimento de anlise forense, para

estaes de trabalhos ou computadores pessoais que usam o sistema operacional
da Microsoft (pois este sistema o mais popular na faixa de idade em que os
suspeitos se encontram, entre 30 e 45 anos(RODRIGUES, 2006) ) a fim de
identificar evidncias que conduzam a um processo judicirio de pornografia infantil.
1.2.2 Objetivos Especficos

Relacionar
critrios
previstos
em
leis
contra
pedofilia
com
os
procedimentos forense.
Relacionar as ferramentas necessrias para atender os procedimentos
forenses.
Realizar um estudo de caso para verificar a adoo das ferramentas
selecionadas.
16
1.3
Relevncia
De acordo com a pgina eletrnica de denncias de crimes pela Internet,
(Safernet, 2009), afirma que um dos grandes trfegos da Internet a pornografia e

junto com ela, est inclusa a pornografia infantil e a pedofilia que continua
crescendo. Para tentar diminuir, h acordos internacionais, como o da Google que
se compromete a cumprir de forma integral a legislao brasileira a cerca dos
cibercrimes praticados por brasileiros ou por conexes feitas no Brasil, dando
jurisprudncia no mundo inteiro. Um desses grandes males a pornografia infantil,
que so apenas trocas de fotos e vdeos, mas nem sempre h o ato sexual, por
outro lado a pedofilia sim um desvio no desenvolvimento da sexualidade, ou seja,
uma psicopatologia, segundo a Organizao Mundial de Sade.
Mesmo com todo este cerco contra este tipo de pornografia, h grupos de
pessoas que formam um grande mercado consumidor e lucrativo desse tipo de
material, de difcil acesso e para serem encontrados, afirma (RODRIGUES, 1999).
Para o perito, ele s poder agir se ele tiver um mandado de busca e
apreenso (Art 5, Inc XI da Constituio Federal de 1988) do computador do
suspeito para assim iniciar a coleta, exame, anlise para no final obter o laudo
tcnico e assim sustentar um processo legal contra o acusado.
No final do ano de 2008 o Brasil sancionou o projeto de lei, N 11.829, que
aumenta a punio contra a pornografia infantil e crimes de abuso sexual
envolvendo crianas e adolescentes na Internet que entrou em vigor dia 26 de
novembro de 2008. Agora, quem "produzir, reproduzir, dirigir, fotografar, filmar ou
registrar, por qualquer meio, cena de sexo explcito ou pornogrfica, envolvendo
criana ou adolescente", dever enfrentar pena de recluso, de quatro a oito anos,
e multa. E tambm ser punido "quem agencia, facilita, recruta, coage, ou de
qualquer modo intermedeia", a participao de criana ou adolescente nessas
cenas.
17
1.4
Metodologia da Pesquisa
O
trabalho
sobre
Percia
Forense
Computacional
foi
baseado
em
procedimentos para encontrar evidncias, demonstrados por [VENEMA, WIETSE

2007] em seu livro, Percia Forense Computacional, teoria e prtica aplicada, ao qual
eles conceituam sobre a ordem de volatilidade e o MAC times e no livro do
[FREITAS, 2006]. Percia Forense Aplicada Informtica, que ele mostra esta
percia feita em uma estao que tenha o sistema operacional da Microsoft.
Algumas monografias foram estudadas em relao apenas a auditoria de
computadores suspeitos de crimes em geral, no apenas com pedofilia.
Foram analisados alguns programas que possam ser utilizados para compor
um conjunto de ferramentas para que se tenha uma boa auditoria no computador
investigado.
A pesquisa sobre Percia Forense Computacional foi tambm feita atravs de
pesquisas na Internet como as pginas eletrnicas da Technet, jurdicas e de
organizaes no governamentais especficas sobre pornografia infantil e pedofilia.
Citaes das leis vigentes no Brasil sobre o assunto de crimes cibernticos e
suas aplicaes.
Esse estudo foi baseado nos livros do [VENEMA, WIETSE 2007] e tambm
no de [FREITAS, 2006] iniciando um estudo sobre os procedimentos de como so
coletadas, examinadas e analisadas as evidncias.
Concluindo, um experimento de laboratrio feito em uma mquina virtual
privada, inserindo-lhe propositadamente algumas imagens imprprias e, em seguida
acessando uma pgina eletrnica de pesquisa fazendo uma busca com palavraschave, mostrou que possvel o programa final veja o que foi procurado e baixado
na mquina auditada
18
CAPTULO 2 - FUNDAMENTAO TERICA
Este captulo trata dos conceitos e procedimentos da percia forense aplicada

na informtica e as leis vigentes sobre pedofilia e pornografia infantil no Brasil.
2.1
Crimes de Informtica
Conhecidos como cibercrimes, so crimes que atacam as redes de
computadores, causando roubo de informaes, danificando elementos fsicos,

como os prprios computadores que esto nestas redes ou fora delas. Ou seja, toda
conduta ilegal realizada mediante o uso do computador, desde um simples programa
pirata, roubo de senhas de bancos e at troca de fotos de pornografia pela Internet,
tudo isso considerado crime ciberntico. E de acordo com a pgina eletrnica
SaferNet Brasil, cibercrimes so prticas criminosas utilizando meios eletrnicos
como a Internet. Uso das novas tecnologias para aes ilcitas como roubo,
chantagem, difamao, calnia e violaes aos direitos humanos fundamentais.
Este fenmeno de cibercrimes nasceu e cresceu muito rpido, desde quando
a Internet comeou a se difundir nos anos 90 e at o final desta dcada. Este
problema todo vem mostrar que os criadores dessas ferramentas, que facilitam o
uso da Internet, so vulnerveis no nosso dia-a-dia e esto sempre precisando de
uma nova camada de proteo e de novas condutas, que possam incriminar atos
lesivos s redes e aos computadores que nelas esto inseridos.
O cibercrime se aplicava a novos tipos de criminalidade, tais como a

pornografia na Internet ou a distribuio de fotos com imagens
pornogrficas que violam a legislao de determinados pases (porm no
de todos), no que diz respeito ao material que explora a pornografia ou que
a apresenta de forma inaceitvel. Como a Internet no tem fronteiras, foi
ficando cada vez mais fcil para os indivduos distriburem materiais para
19
alm da fronteira de seus pases, s vezes sem mesmo deixar rastros de

origem. (PERRIN, Stephanie, 2005)
(PERRIN, 2005) tambm afirma que h 5 tipos de cibercrimes:
1. Crimes contra a confidencialidade, integridade e disponibilidade de dados de

computador e sistemas.
2. Crimes relacionados a computadores como falsificao e fraude.
3. Crimes relacionados ao contedo: pornografia infantil.
4. Crimes relacionados infrao da propriedade intelectual e direitos conexos.
5. Responsabilidade
subsidiria
sanes:
esforo
auxlio
ou
responsabilizao corporativa.
De acordo com a OECD, o crime de computador qualquer comportamento

ilegal, atico ou no autorizado envolvendo processamento automtico de dados e,
ou transmisso de dados.
Na doutrina brasileira, h dois tipos de crimes de informtica: puros (prprios)
e impuros (imprprios). Nos puros os crimes tm a participao direta com o
computador ou um meio eletrnico. J nos impuros o agente se vale do computador
para cometer atos ilcitos no mundo fsico ou real, ameaando ou lesando outros
bens, como a pornografia infantil na Internet.
Alguns crimes que acontecem no tm lei especfica, ento h uma
adaptao direta com o Direito Penal.
Por exemplo, ter pginas de Internet de
agenciamento de garotas de programa pode ser enquadrado no artigo 228 do

Cdigo Penal, que prev crime no fato de Induzir ou atrair algum prostituio,
facilit-la ou impedir que algum a abandone. O assunto principal deste trabalho, o
crime de pornografia infantil, se enquadra no artigo 241 do Estatuto da Criana e do
Adolescente, consistindo em Vender ou expor venda fotografia, vdeo ou outro
registro que contenha cena de sexo explcito ou pornogrfica envolvendo criana ou
adolescente. Tambm como um texto base, temos a Constituio Federal, servindo
de proteo dos bens jurdicos atingidos por meios eletrnicos, podendo tambm
aplicar-se o Cdigo Civil, a Lei dos Direitos Autorais e at o Habeas Data.
20
Contudo, bom observar que, de acordo com o artigo 72 do Cdigo de

Processo Penal, fica estabelecida a competncia de foro de domiclio do ru,
quando no for conhecido o lugar da infrao. Desta forma, por causa da
internacionalizao da Internet, alguns crimes cometidos no Brasil tm origem em
outro pas, no qual o acusado deveria teoricamente sofrer as sanes locais. O
problema que muitos dos fatos considerados crimes por aqui, no o so em outros
pases, e isso dificulta o combate. Desta forma, defende-se que esses crimes sejam
padronizados em qualquer lugar do globo, facilitando o seu julgamento.
O artigo 6 do Cdigo Penal brasileiro estabelece: Considera-se praticado o
crime no lugar em que ocorreu a ao ou omisso, no todo ou em parte, bem como
onde se produziu ou deveria produzir-se o resultado.
De acordo com o escritor americano, Richard Spinello, a internet uma
tecnologia global, sem fronteiras e sem donos, sendo quase impossvel para
qualquer nao garantir a execuo de leis ou restries que se busque impor no
ciberespao.
Se os Estados Unidos, o Mxico ou o Brasil decidirem proibir a pornografia
online, esses pases podem fiscalizar o cumprimento de tal proibio apenas entre
os provedores e usurios em seus territrios. Infratores localizados na Europa ou na
sia no estaro proibidos de disponibilizar material pornogrfico na rede, acessvel
a qualquer pessoa, em qualquer parte, afirma o escritor do livro Readings in
Cyberethics.
Outro problema o anonimato, bastante marcante na cultura da Internet, que
permite ao usurio assumir a identidade que bem lhe aprouver, inclusive com a
utilizao de diferentes e-mails, tornando sua identificao ainda mais difcil.
2.2. Legislao Aplicada na Informtica

Com esse aumento da criminalidade pelo computador e sem uma legislao
adequada em relao a esse cibercrimes, houve uma necessidade de criar leis
especficas para este tipo de delito. Em relao do Brasil, o Cdigo Penal de 1940,
ou seja, ainda no existia computador em grande escala e muito menos uma grande
rede de computadores, portanto o poder legislativo est tentando criar uma lei que
21
garanta direitos e deveres de uma pessoa que usa meios eletrnicos, porm seus
passos so lentos, enquanto que a tecnologia se evolui cada dia mais rpido. A
Internet neste sculo XXI, praticamente criou um novo tipo de sociedade de pessoas
que esto sempre conectadas a ela.
E para que uma sociedade seja bem organizada e harmnica necessita de
normas, mesmo que seja ligada aos costumes ou a regras feitas pelo parlamento.
Este um produto da nossa cultura que nasceu h muito tempo, para obter uma
segurana das relaes interpessoais e internacionais.
Com o passar dos anos, o Direito foi se transformando para se adaptar aos
novos costumes da sociedade. Quando chegou terceira revoluo industrial, cuja
principal caracterstica a informao, o atraso, que normalmente existia por conta
da mudana mais rpida da sociedade em relao ao direito, aumentou com a
velocidade maior das mudanas e continua at hoje a tentativa de acompanhar esta
evoluo.
Com o advento da Internet, novas questes surgiram para o profissional do
Direito, que tem que procurar novas respostas de como resolver estes problemas,
uma vez que as leis existentes at ento s serviam para o mundo real e no para o
mundo virtual. Como encaix-las para a nova realidade se tornou a questo a ser
resolvida. Ento, tentando interpretar algumas leis da Carta Magna e assim
relacion-las na doutrina de crimes distncia, como por exemplo:
O art. 5, inciso X da Constituio Federal, que diz: "inviolveis a intimidade, a

vida privada, a honra e a imagem das pessoas, assegurado o direito a
indenizao pelo dano material ou moral decorrente de sua violao";
Para que infrinja este artigo, h a necessidade que o agente viole a intimidade
da vtima, ou seja, algum momento ntimo entre os dois gravam e por vingana o
agente coloca este vdeo na Internet e todos vejam e denegrindo a imagem e a
honra da pessoa que foi destruda. E se esta pessoa for menor de idade, ento alm
da violao de acordo com o artigo 5, o executor estar praticando o ato de
pornografia infantil, que assim ter um agravante, se for pego e for provado que foi
ele.
22
Porm, um dos grandes mitos da Internet que ela no podia ser

regulamentada pelo Estado e que haveria liberdade absoluta nesse ambiente. Ou
seja, uma sociedade anrquica, onde todos podem fazer o que quiserem porque no
seriam presos. Ledo engano. Contudo, a Internet, infelizmente, permite a prtica de
delitos a distncia e no anonimato, o que muitas vezes vai contra o afirmado na
Carta Magna.
Art 5, inciso IV da Constituio Federal, considera que livre a
manifestao do pensamento, sendo vedado o anonimato
Porque, se h leso ou ameaa a liberdades individuais ou ao

interesse pblico, deve o Estado atuar para coibir prticas violadoras desse
regime de proteo, ainda que realizadas por meio de computadores. Isto
porque, tanto a mquina quanto a rede, so criaes humanas e, como tais,
tm natureza ambivalente, dependente do uso que se faa delas ou da
destinao que se lhes d. Do mesmo modo que aproxima as pessoas e
auxilia a disseminao da informao, a Internet permite a prtica de delitos
distncia no anonimato, com um poder de lesividade muito mais
expressivo que a criminalidade dita "convencional", nalguns casos. (ARAS,
2001)
2.2.1 Omisso dos Provedores de Internet
Outro problema com a Internet no Brasil a atuao limitada do Estado e

provedores de acesso. Com relao a estes ltimos existe um grande problema,
pois eles so atuam frequentemente de forma omissa nos casos de crimes, fazendo
vista grossa e dificultando o trabalho do perito de investigar os fatos.
O provedor que no quer ser cmplice de um crime tem que tomar

precaues, perguntando ao usurio o que pretende fazer com seu espao
na Internet, catalogando seus dados a fim de que a investigao chegue
autoria do delito. Ressalte-se, porm, que a cooperao dos provedores de
acesso Internet de vital importncia para identificar os elementos
necessrios comprovao da materialidade delitiva e bons indcios de
23
autoria, pois atravs dos equipamentos pertencentes a esses prestadores

de servios que o usurio divulga sua comunicao ilcita junto
comunidade virtual (Barros apud Nogueira, 2007, p.)
O problema maior o tempo para a investigao, pois quanto mais tempo se

passa, mais difcil fica de encontrar evidncias, j que estes rastros podem ser
apagados.
O Delegado Mauro Marcelo, ex-diretor Geral da Abin, fala da dificuldade de
obter informaes desses provedores, relata que precisa de um mandado judicial e
que todo esse processo acaba levando geralmente em torno de uma semana,
tornando a investigao invivel. Ele acrescenta que no site de registros dos
domnios FAPESP, h o cancelamento de domnios pela falta de pagamento, mas,
quando os domnios so utilizados de forma criminosa, o referido site lava as
mos".
Ento, alm de uma legislao antiga, como a do Cdigo Penal Brasileiro,
no h uma lei da informtica, pois os legisladores no entram em acordo para a
criao de uma legislao especfica para meios eletrnicos, dificultando o trabalho
de quem quer uma Internet sria e honesta. E pelo lado dos provedores de Internet
e, querem tirar a culpa deles prprios e dificultando a investigao para saber onde
foi pego arquivos com contedo de pornografia infantil.
Para este trabalho seria que teria um procedimento padro para garantir que
essas provas sejam lcitas e de aquisio das evidncias mais rpidas, neste caso,
se essas informaes estiverem nos banco de dados dos provedores.
2.3
O que Pedofilia ?
De acordo com o Novo Dicionrio Eletrnico Aurlio, a palavra pedofilia vem
do grego, e se constitui a partir da unio de duas partculas: Pedo, que significa

infncia, criana, juventude, e Filia, que a atrao, filiao, amizade, desejo forte e
repetido de prticas e de fantasias sexuais com crianas pr-pberes.
24
A Pedofilia uma atrao sexual compulsiva por crianas e adolescentes e

classificada no DSM IV (Diagnostic and Statistical Manual of Mental Disorders Fourth Edition Manual de Diagnsticos e Estatsticos de Doenas Mentais
Quarta Edio) (que a classificao dos transtornos mentais da Associao
Americana de Psiquiatria) no item F65.4 302.2 no livro de diagnstico que define
estes critrios.
No Brasil no crime a Pedofilia e sim as conseqncias do ato que so
consideradas um crime, como:
Atentado Violento ao Pudor
Estupro
Pornografia Infantil
Porem, s existe pedofilia quando esses crimes forem praticados com criana
menores de 12 anos e adolescentes de 13 a 18 anos (Art. 2 da Lei N 8069/90 ).
Neste caso, a pedofilia traduz-se juridicamente em crime de estupro (art. 213 do
Cdigo Penal Brasileiro) ou atentado violento ao pudor (Art. 214 do Cdigo Penal
Brasileiro). Mas no Brasil a pornografia infantil crime, pela Lei N 11.829/08
A pornografia infantil uma Violao / Crime contra os Direitos

Humanos que significa qualquer representao, por qualquer meio, de uma
criana envolvida em atividades sexuais explcitas reais ou simuladas, ou
qualquer representao dos rgos sexuais de uma criana para fins
primordialmente sexuais '(DECRETO N o 5.007, DE 8 DE MARO DE
2004). A Legislao Brasileira em vigor tipifica como crime a(s) conduta(s)
de "Apresentar, produzir, vender, fornecer, divulgar ou publicar, por
qualquer meio de comunicao, inclusive rede mundial de computadores ou
Internet, fotografias ou imagens com pornografia ou cenas de sexo explcito
envolvendo criana ou adolescente" (Art. 241 do Estatuto da Criana e do
Adolescente). (SAFERNET, 2009)
25
2.4
A Pedofilia e a Internet
Afirma uma pesquisa realizada pela Revista Isto , no dia 8 de maro de

2006, com a matria intitulada Pedofilia: O Brasil lidera o ranking mundial de
pornografia infantil pela Internet. Seu filho est seguro? - os pedfilos so jovens de
classe mdia, entre 17 e 24 anos, que produzem e disponibilizam o material na
Internet, e suas vtimas so menores de idade que muitas vezes pertencem
prpria famlia do criminoso. Os compradores geralmente so solteiros, com
emprego e tm aproximadamente 40 anos de idade.
No Brasil, a primeira notcia sobre pedofilia na Internet data de 1999,
publicada pelo Jornal do Comrcio de Recife com o ttulo Infrao ciberntica ganha
polcia especial, em que se noticiou que a Policia Civil de So Paulo estava com
uma equipe preparada para combater o uso de softwares piratas e sites com
pedofilia.
Aos poucos, por causa do crescimento da Internet, estes crimes aumentaram
exponencialmente, principalmente o de pedofilia, enquanto o investimento para
combater tais condutas foi aqum do esperado.
Porm, h pginas eletrnicas capazes de oferecer efetiva ajuda a polcia,
atravs de denncias diretas, como a SaferNet, que tambm disponibiliza no site
uma ferramenta interativa de estatsticas da Central Nacional de Denncias de
Crimes Cibernticos. Por meio desta pgina, possvel consultar o nmero de
denncias j oferecidas, com a possibilidade de realizar pesquisas pelo tipo de crime
e pelo seu perodo. Conquanto a contagem s seja disponibilizada a partir de 2006,
possvel perceber o aumento assustador relativo pornografia infantil durante
esse perodo at os dias de hoje.
As representaes grficas (figuras 1 e 2 abaixo) mostram as denncias, sem
incluir o site de relacionamento Orkut e a outra figura com a incluso do site.
26
Figura
Denuncias
sobre
Crimes
na
Internet
de
2006
http://www.safernet.org.br/site/indicadores. Acesso no dia 20/01/2009
2008.
Disponvel
em:
27
Figura 2 - Denuncias sobre Crimes na Internet de 2006 a 2008 incluindo o Orkut. Disponvel em:
http://www.safernet.org.br/site/indicadores. Acesso no dia 20/01/2009
Excluindo o orkut, apenas a pornografia infantil sofreu um aumento, com

143,1% das denncias, enquanto os outros tipos de cibercrimes tiveram quedas.
Porm, com a incluso do site de relacionamento, todos tiveram um aumento de
suas denncias, ficando novamente em destaque a pedofilia, com 519,8% das
denncias. Isso revela apenas a ponta do iceberg, pois so os dados colhidos
apenas por meio das pessoas que tm a preocupao de procurar o site e fazer o
registro, que representam a minoria.
O crescimento pode ser ainda maior do que esperado, pois este universo
muito obscuro, e s com o apoio das polcias e da populao se poder combater e
diminuir drasticamente essas estatsticas.
Como foi mostrado anteriormente, o artigo 241 do Estatuto da Criana e do
Adolescente afirma que crime fotografar ou publicar cena de sexo explcito ou
28
pornogrfica envolvendo criana ou adolescente, prevendo a recluso de 1 a 4

anos.
2.5
Lei 11.829/2008 - Combate pornografia infantil e pedofilia
na Internet
Em uma tera-feira, dia 25 de novembro de 2008, o Presidente Luis Incio
Lula da Silva sancionou a lei n 11.829/2008, que altera a Lei no 8.069, de 13 de
julho de 1990 - Estatuto da Criana e do Adolescente, para aprimorar o combate
produo, venda e distribuio de pornografia infantil, bem como criminalizar a
aquisio e a posse de tal material e outras condutas relacionadas pedofilia na
internet.
Antes desta lei se aprovada, ela dependia do Estatuto da Criana e do
Adolescente, prevendo pena de no mximo 4 anos de recluso. Agora esta pena
ser de 4 a 8 anos, aumentando o tempo da pena de 1/3, se o crime for em casa,
hospitalidade e que tenha qualquer parentesco at o terceiro grau ou de autoridade
sobre a criana ou at mesmo com seu consentimento. E a posse e a venda de
material contendo pedofilia tem a pena de 4 a 8 anos de priso.
Outra novidade a tipificao para o aliciamento de crianas e adolescentes
por meio de salas de bate-papo. Segundo as autoridades, a prtica bastante
comum e considerada a mais perigosa, pois por meio dela o pedfilo tem condies
de marcar encontros com as crianas.
Essa prtica no era considerada crime porque o Estatuto da Criana e do
Adolescente foi criado em 1990. Somente depois disso a Internet ganhou espao, e
as salas de bate-papo se tornaram cada vez mais comuns.
Esta lei estabelece que, quando acontecer um caso desses, o provedor ter
que bloquear o acesso internet do usurio suspeito e armazenar os seus dados e
seus logs, quando as autoridades entrarem em contato.
29
2.6
Percia Forense Aplicada Informtica
A palavra percia (do latim, peritia), quer dizer de acordo com o Novo
Dicionrio eletrnico Aurlio verso 5.0:
Substantivo feminino.
1. Qualidade de perito.
2. Habilidade, destreza.
3. Vistoria ou exame de carter tcnico e especializado (v. peritagem).
4. Conjunto de peritos (ou um s) que faz essa vistoria:
5. Conhecimento, cincia.
Ento alguns conceitos de Pericia Forense Digital so: :
Um
conjunto
de
tcnicas,
cientificamente
comprovadas,
utilizadas para coletar, reunir, identificar, examinar, correlacionar e

analisar e documentar evidncias digitais processadas, armazenadas
ou transmitidas por computadores. (Pires, 2003, p. 2)
Outro conceito adotado por GUIMARES et al apud NOBLETT (p.2), afirma

que:
A Forense Computacional a cincia que estuda a aquisio,

preservao, recuperao e anlise de dados que esto em formato
eletrnico e armazenados em algum tipo de mdia computacional.
Portanto, a Forense Computacional a cincia que estuda provas eletrnicas

para que o perito possa coletar, preservar, recuperar e relacionar estas evidncias
para saber o que aconteceu no local, sendo este um lugar virtual, que no se pode
tocar, que o ambiente ciberntico, onde encontramos evidncias digitais.
30
O termo evidncia digital refere-se a toda e qualquer informao

digital que pode ser capaz de determinar que uma intruso ocorreu ou que
prov alguma ligao entre a intruso e as vtimas ou entre a intruso e o
atacante. (REIS, 2003. p. 70)
No estudo forense que produz resultados interpretativos, a forense

computacional pode produzir respostas diretas que podem decidir em um caso. Em
GUIMARES et al, exemplifica:
No caso de assassinato, o legista verifica que h traos de pele em

baixo das unhas da vtima, isso interpretado como um indcio de que
houve luta antes da consumao do crime, contudo no passa de uma
interpretao. J no caso de uma percia em uma mquina suspeita podem
ser conseguidos arquivos incriminadores como dirios e agendas.
A percia forense possui quatro procedimentos bsicos: todas as evidncias

devem ser identificadas, preservadas, analisadas e apresentadas (FREITAS, 2006,
p.2). Ou seja, por este trabalho necessrio que sejam coletados, examinados,
sendo este que difere do conceito de Freitas, porm ele est contido na coleta dos
dados, analisados e apresentados com um laudo tcnico.
Para que se tenha uma investigao legal, necessrio um padro, que hoje
no Brasil no h para esses crimes eletrnicos e sim para percias em geral, ou seja,
normas gerais que abrangem todo tipo de percia (citadas no Cdigo de Processo
Penal), no entanto, este pode ser usado e aplicado informtica. Para que este tipo
de percia seja validado necessria a presena de um perito criminal, o Perito
Oficial (dois por exame) e esse profissional precisa ter nvel universitrio e prestar
concurso pblico especfico.
De acordo com o exame do Corpo de Delito do Cdigo do Processo Penal
Brasileiro, que em seu captulo II, afirma:
31
Art. 158. Quando a infrao deixar vestgios, ser indispensvel o exame de

corpo de delito, direto ou indireto, no podendo supri-lo a confisso do
acusado.
Art. 160. Os peritos elaboraro o laudo pericial, onde descrevero
minuciosamente o que examinarem, e respondero aos quesitos formulados.
Art. 169. Para o efeito de exame do local onde houver sido praticada a
infrao, a autoridade providenciar imediatamente para que no se altere o
estado das coisas at a chegada dos peritos, que podero instruir seus
laudos com fotografias, desenhos ou esquemas elucidativos.
Pargrafo nico. Os peritos registraro, no laudo, as alteraes do estado
das coisas e discutiro, no relatrio, as conseqncias dessas alteraes na
dinmica dos fatos.
Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente
para a eventualidade de nova percia. Sempre que conveniente, os laudos
sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou
esquemas.
Quando acontece um crime ou uma suspeita de crime, pelo Cdigo

Processual Penal brasileiro, h a necessidade de seguir alguns procedimentos
legais, mesmo em caso de um crime ciberntico, como por exemplo, fazer o corpo
de delito e ningum mexer nas provas exceto os peritos. Neste caso de extrema
importncia que nenhum curioso toque nas evidncias, apenas o perito da rea da
informtica. E como ser visto qualquer cpia ou at mesmo um clicar descuidado
do mouse, pode colocar tudo a perder. Se o computador estiver ligado, deixar ligado
at que o perito o faa ou ento, o perito o leva e deixa como cadeia de custdia. De
qualquer maneira, o perito tirar uma cpia do sistema, pois sempre possvel
fazer cpias assinadas digitalmente das mdias que esto sendo investigadas para
que possam ser feitas anlises futuras se necessrio. Na verdade o interessante
sempre atuar em cima de cpias( GUIMARES et al, p.4).
32
Alm de fazer as cpias necessrio documentar e guardar essas prova, que

ser chamada de cadeia de custdia.
2.6.1 Cadeia de Custdia
A Cadeia de Custdia um processo usado para manter e documentar a

histria cronolgica da evidncia coletada. Para garantir a idoneidade e a
documentao das provas utilizadas em processos judiciais.
Se houver alguma chance de um caso ir para o tribunal, de

extrema importncia que a evidncia digital seja manipulada corretamente
por todos que tenham acesso a ela. O processo de manipulao da
evidncia de uma pessoa para outra conhecido como "cadeia de
custdia". (MICROSOFT, 2007)
Ou seja, o perito realiza a aquisio da imagem das evidncias, envelopa e

lacra o disco rgido, inicia a lista da cadeia de custdia indicando a data e hora em
que o ele foi lacrado, e o hash para garantir a integridade da mdia e dos dados.
O hash como se fosse uma assinatura digital onde cada arquivo possui um
valor exclusivo. Se mudar um pequeno detalhe, esta assinatura mudada
totalmente.
2.7
Ordem de Volatilidade
Em uma investigao os dados so coletados e analisados a todo o
momento. Quanto mais precisos e completos os dados, melhor e mais abrangente a

avaliao pode ser (FARMER, VENEMA, 2006. p.5). Por causa das fragilidades
desses dados, a modificao de dados em uma percia forense poder por em
dvida todo o processo de investigao e portando anulando-o.
33
Como ser vista, a primeira regra em uma percia realizar o processo

atravs de uma cpia idntica a original, pois existe a possibilidade de erros
(humanos ou no) que podem resultar na destruio dos dados.
No entanto, h situaes em que a clonagem dos dados no seja
aconselhada, quando o computador que foi apreendido est ligado, portanto nessa
situao, que chamado de anlise ao vivo (on line), importante saber esta
ordem de volatilidade das informaes que esto armazenadas no sistema.
No mtodo de investigao online ou anlise ao vivo, a percia

realizada com o computador ligado. Esta anlise ocorre quando o sistema
est com energia, tm trfego de rede, processos ativos, contedo na tela e
disco sendo acessado. (FREITAS, 2006, p.3).
Caso essa ordem no seja respeitada, o risco de perda e alterao dos dados
ser maior e trar prejuzos investigao.
Para uma boa percia, de acordo com REIS, GEUS(2001. p.5), h a
necessidade de seguir alguns passos:
Passo 0: Determinar a melhor abordagem para o exame, identificando todas

as atividades que precisaro ser executadas.
Passo 1: Preparar o sistema de anlise, provisionando a melhor configurao

de hardware e software, devidamente testado testados e esterilizados, para a
realizao dos exames
Passo 2: Estabilizar o sistema auditado de modo a preservar o mximo de
vestgios possveis e proteger dados e sistemas no comprometidos.
Passo 3: Obter cpia das informaes armazenadas eletronicamente no

sistema computacional. A cpia deve conter toda a informao, em seu estado
original e deve ser autenticada.
Passo 4: Coletar o mximo de informaes importantes na ordem de

volatilidade das mesmas.
34
Neste passo, como mostrado a importncia da ordem de volatilidade em uma

investigao.
A seguir, na Tabela 1 (FARMER, VENEMA, 2006, p.6) mostrado o tempo de
vida de cada dados importante no computador.
Tabela 1 - O Ciclo de vida esperado dos dados (FARMER, VENEMA, 2006, p.6)
Tipo de Dados
Tempo de Vida
Registradores, memria perifrica, caches e etc.
Nanosegundos
Memria Principal
Dez nanosegundos
Estado da Rede
Milissegundos
Processos em Execuo
Segundos
Disco
Minutos
Disquetes, mdia de backup e etc
Anos
CD-ROMs, impresses e etc.
Dezenas de Anos
Este ciclo de vida o tempo mdio que o arquivo esteja no computador ativo,
ou seja, ele ainda pode ser copiado e no foi apagado do sistema. Cada tipo de
dados tem seu tempo mdio de vida til distinto um do outro, como foi mostrado na
Tabela 1. Por este motivo, h a necessidade de planejar quais os dados mais
importantes e seu tempo de vida e assim poder capturar todos os dados possveis
antes de sua morte.
Ento, Farmer e Venema (2006, p.5), criaram o conceito de Ordem de
Volatilidade. Seguindo esta ordem, h uma grande probabilidade de se preservar os
detalhes mais importantes sem que haja perdas.
Portanto, no tem como capturar todos os dados de uma vez s se que no
tenha perda de alguma informao, pois em cada anlise ou captura dos dados em
uma parte do computador, o perito estar alterando dados em outro local da
mquina. E tambm no possvel registrar todas as alteraes nos processos e
arquivos precisamente em tempo real.
Nesta sesso foi visto que para os dados serem coletados e logo aps
investigados tem que seguir uma ordem de volatilidade, seno muitos dados que
35
tem esta ordem de poucos nanossegundos se perderam e podendo assim perder

evidncias, ento sempre dever ser feito seguindo rigorosamente sua ordem de
volatilidade e assim seguir com os procedimentos de uma percia forense.
2.8
Procedimentos de uma Percia Forense
A maneira como as mdias so armazenadas e manipuladas, o

fato determinante para a realizao de uma percia com sucesso ou perda
de informaes valiosas, resultando na destruio das provas digitais
(TREVENZOLI, 2006, p.34).
Os procedimentos padres que os peritos trabalham, inicialmente tirar fotos

do local a ser investigado para depois iniciar a coleta. E necessrio fazer o
registro dos dados volteis, como exemplo conexes estabelecidas processos em
execuo, informaes na memria RAM (TREVENZOLI, 2006, p.35). Se um perito,
que no tenha experincia, desligar o computador sem tirar uma cpia e nem salvar
estes contedos, quando desligado, ser apagado.
Outro caso que o usurio pode ter trocado algum comando para visualizar
arquivos como o dir do DOS (que exibe uma lista de todos os arquivos, pastas e
subpastas em um determinado local do disco rgido), com o format,(que serve para
formatar um disco, ou seja, preparar para receber dados, apagando todos os dados
do disco formatado) e na hora de executado o falso comando, o perito inexperiente,
perder todos os dados e assim invalidando o caso.
Cada suspeito tem seu nvel de experincia de acordo com suas habilidades
e quais os tipos de evidncias eles deixam no local auditado como mostrado na
Tabela 2.
36
Tabela 2: Relao entre a habilidade do invasor e a quantidade de evidncias

deixadas.
Nvel de Habilidade
Clueless
Habilidades
Evidncias
Nenhuma habilidade
Todas as atividades
so
bastante
aparentes
Capaz de encontrar programas Pode
Script Kiddie
tentar
cobrir
prontos na Internet e executlos rastros com o uso de

seguindo instrues detalhadas. rootkits prontos, mas
No escrevem programas
com sucesso limitado.

Pode
ser
detectado
com esforo mnimo

Equivalente a um administrador Cuidadosamente
Guru
experiente.
apaga evidncias em
Hbil em programao. Checa a back doors para um

existncia
de
programas
de acesso futuro de sua
segurana
esquemas
de presena.
seguros, evitando alvos protegidos
Capaz
de
encontrar
log de arquivos. No
deixa traos bvios
Wizard
Possui um grande conhecimento Praticamente
no
do funcionamento interno de um deixa evidncias teis.

sistema.
Pode
comprometer
Capaz de manipular hardware e totalmente o sistema

software
Portando, quanto maior o nvel de experincia mais difcil fica para coletar as
evidncias.
Caso a mquina esteja ainda ligada, o perito ter que fazer um registro
fotogrfico do local e da tela do computador e depois no usar programas que
37
possam alterar as datas de ltimo acesso dos arquivos existentes.(TREVENZOLI,

2006, p.36). Ento iniciar a duplicao pericial.
A duplicao pericial, que consiste em criar uma imagem (cpia

perfeita) de um sistema. Atravs da imagem o perito poder realizar suas
anlises, preservando assim as provas originais. (FREITAS, Andrey
Rodrigues. 2006. P. 4)
H dois tipos de mtodos de investigao em meio eletrnico, quando ele

est ligado, ou seja, ser feito uma investigao online e outro quando se encontra
desligado, que o mtodo offline.
No mtodo offline, a investigao executada em uma cpia da imagem do
computador original, chamado tambm cpia baseada em bits que Uma cpia
baseada em bits uma cpia completa de todos os dados provenientes da fonte
qual a investigao se destina, incluindo informaes como o setor de inicializao,
parties, e espao de disco no-alocado.(Microsoft TechNet, 2007). Este tipo de
investigao minimiza os riscos de danos possveis na evidncia digital, pois o
computador estar desligado.
Para que um procedimento seja realizado sem que no tenha nenhum
problema processual, nem obteno ilcita das provas, h uma necessidade de
seguir um modelo de investigao, adaptado da pgina eletrnica da Microsoft, visto
na Figura 3 e suas etapas:
38
Figura
3
Modelo
de
Investigao
Computacional,
adaptado
da
fonte
http://www.microsoft.com/brasil/technet/prodtechnol/security/guidance/disasterrecovery/computer_i
nvestigation/9545b739-1ef9-415f-a1c4-3ca29f0ce5af.mspx. Acesso no dia 25/01/2009.
Identificao das Evidncias
Coleta das Evidncias
Analise das Evidncias
Apresentao das Evidncias
Sem um padro bem definido em com cdigo de leis, algum poder

contestar a veracidade dessas provas e inocentando o suspeito, pois se no tiver
uma garantia essas evidncias perder a validade legal.
Para isso necessrio uma padronizao, de acordo com REIS, GEUS
(2001, p.3), que padres para exames periciais em sistemas computacionais deve
ser regido por aspectos de ordem legal e tcnica.
Sendo cada aspecto com suas divises, como visto na Figura 4.
39
Figura 4 Modelo de padronizao Fonte:(REIS, GEUS. 2001. p.4)
Este modelo uma estrutura hierrquica de duas classes de nveis diferentes

e relacionadas entre si:
Na parte de Aspectos Legais so as formalidades e enquadramentos
judiciais a que esto sujeitos os peritos e a funo pericial. Tais exigncias legais
esto dispostas no Cdigo de Processo Penal Brasileiro(REIS, GEUS. 2001. p.5).
Alguns exemplos dos Aspectos Legais.
O perito deve ser judicialmente responsvel pelos resultados da percia
e pelas evidncias.
O estado original dos vestgios deve ser mantido at a chegada dos
peritos. Qualquer alterao deve ser relatada.
O resultado do exame pericial deve ser o mais transparente possvel,
sendo permitida a utilizao de fotografias, desenhos e esquemas.
40
Enquanto que nos Aspectos Tcnicos referem-se aos requisitos prticos e

condutas para a execuo do exame propriamente dito(REIS, GEUS. 2001. p.5).
Ento, estes aspectos so divididos em 3:
Princpios Tcnicos: Devem garantir a confiabilidade e integridade.
Exemplificando mais alguns:
Polticas: como sero planejados, executados, monitorados para
assegurar a qualidade e integridade dos resultados obtidos.
Tcnicas e Solues: Solues de hardware e software para obter
melhor investigao.
E quanto maior competncia dos peritos nos procedimentos bsicos, maior a

capacidade de identificar, coletar e analisar os dados. Alm do mais, o perito que ir
fazer este trabalho, deve assegurar que as informaes coletadas existem e so
verdadeiras e que esto no computador auditado e no foram alteradas nem
inseridas durante todo o processo.
Na prxima sesso, sero detalhados os procedimentos bsicos para fixar os
conceitos de cada etapa.
2.8.1 Identificao das Evidncias
A identificao das evidncias se inicia com o perito que tem a

responsabilidade de chegar primeiro onde aconteceu do incidente para que ningum
suje a local auditado ou, se o computador estiver ligado, ele comear a salvar os
arquivos que tem ordem de volatilidade baixa.
Diferentes crimes resultam em diferentes tipos de evidncias. Por
exemplo, em um caso de acesso no autorizado, o perito dever procurar
por arquivos de log, conexes e compartilhamentos suspeitos, j em casos
de pornografia, buscar por imagens armazenadas no computador, histrico
dos sites visitados recentemente, arquivos temporrios do browser etc.
(FREITAS, 2006. p.2)
41
Afirma Freitas (2006, p.2) que A habilidade do perito em identificar as

evidncias vai depender da sua familiaridade com o tipo de crime que foi cometido e
dos programas e Sistemas Operacionais envolvidos
Por outro lado, o computador que est sendo auditado, pode est infectado
com algum tipo de Malware que esteja colocando estes arquivos em sua mquina.
Por isso que o perito tem que ter essa familiaridade com Sistema Operacional e
seus programas de auditoria.
Algumas evidncias so encontradas geralmente em:

Dispositivos de armazenamento como: laptops, discos rgidos, disquetes,
CDs, DVDs, pendrives, cmeras fotogrficas analgicas e digitais, MP3
players e celulares.
2.8.2 Preservao
Sua principal regra : No destruir ou alterar as provas. Portanto, as as

evidncias precisam ser preservadas de tal forma que no haja dvida alguma de
sua veracidade.(FREITAS, 2006. p.3).
Nesta fase, que bem delicada, alguns dados eletrnicos so frgeis,
altamente volteis e que podem ser danificados, perdidos e alterados com facilidade,
portanto, necessrio garantir que os dados sejam preservados a cada bit.
Inicialmente, precisa-se criar um bom conjunto de ferramentas para manipular
os dados e fazer uma boa cpia deles para serem manipulados corretamente, sem a
necessidade de alterar os dados originais.
No entanto, h regras a serem seguidas com muito cuidado, como mostrado
na Figura 5:
42
Figura 5 Fluxograma de Preservao dos Dados
Tirar fotos do local

Criar somas de verificao e assinaturas, ou seja, o hash de cada arquivo.
Criar uma imagem do sistema investigado
Todas as evidncias sero lacradas em sacos de preferncia antiestticos,
para no danificar as partes eletrnicas e no perder os dados, e etiquet-las.
Ter o cadastro de cada evidncia coletada
Evidncias sero trancadas e armazenadas para no danificar o material
coletado
Tudo o que foi feito, ser documentado detalhadamente e justificado.
2.8.3 Anlise
O profissional nesta fase deve ser altamente cuidadoso ao manipular a

evidncia e saber onde procurar, como na Figura 6. A chamada prova deve ser
inquestionvel. Todas as evidncias digitais encontradas precisam estar em
conformidade com a lei, alm de serem autnticas, exatas e completas. (FREITAS,
2006)
43
Figura 6 - Exemplos gerais de possveis evidncias a serem procuradas, retirado de REIS,

pgina 111.
Neste trabalho ser estudado, pela Figura 6, o sistema de arquivos, porque se

houver alguma evidncia de arquivos que tenha algum contedo com pedofilia, ser
aberto o inqurito policial para ser enviado ao Juiz para que ele encaminhe ao
Ministrio Pblico para levar a jri popular.
Nos outros pontos, como Pacotes de Redes e Processos, serve para saber se
o computador auditado est infectado com algum Malware.
Com este estudo, o perito tentar identificar quem fez, quando fez, que dano
causou e como foi realizado.
44
E como procurar?
o Ser que vai ser feita a anlise online ou apenas a offline?
O que procurar?
o Dependendo da acusao, ser procurado logs, fotos e arquivos de
Internet temporrios.
Onde procurar?
o Lixeira, arquivos temporrios e cookies.
Como procurar?
o S usando as tcnicas simples de procura.
Se a evidncia for bem analisada, ento algumas questes abaixo, por

exemplo, sero respondidas:
Qual o sistema operacional e sua verso?
Quem estava conectado no momento do crime?
Quais os arquivos que foram usados na hora do crime?
Quais as portas que estavam abertas no sistema operacional?
Quem eram os usurios que logaram na mquina e de qual grupo eles
pertenciam?
Quais os arquivos foram criados e excludos?
Estas evidncias precisam ser: autnticas, exatas, completas, convencer o

jri, e ser uma prova lcita e ter toda a sua documentao do trabalho que foi feito.
Para que isto seja verdade, ento segundo (NOGUEIRA, 2007. p.9):
Para que um documento eletrnico tenha validade jurdica e possa
servir, por si s, de meio probatrio em juzo, faz-se necessrio a ocorrncia
de dois requisitos: impossibilidade de alterao do seu contedo e perfeita
identificao das partes.
Outro cuidado ter a certeza de que estas provas so realmente usadas e

criadas pelo suspeito, ou sua estao pode estar com um Malware infectado.
Terminado este momento, o perito ir fazer a apresentao do trabalho.
45
2.8.4 Apresentao
Nesta etapa, o perito entrega o laudo (do latim, med laudu), que um
documento em que ele, o perito ou rbitro emite seu parecer e responde todas as
questes propostas pelo juiz e pelas partes interessadas.
O laudo deve ser claro, conciso estruturado e sem ambiguidade de
tal forma que no deixe dvida alguma de sua veracidade. E devero ser
informados os mtodos empregados na percia, incluindo os procedimentos
de identificao, preservao e anlise, e os softwares e hardwares
utilizados. O laudo pericial deve conter apenas afirmaes e concluses que
possam ser provadas e demonstradas tcnica e cientificamente.(FREITAS,
2006. p.5)
Contudo, nesta fase a finalizao do procedimento que se inicia quando o

perito chamado e assim finaliza seu trabalho.
nesta etapa que toda a documentao organizada, toda a lista das
evidncias que foram coletadas, a evoluo de todo o processo, quais so as partes
relevantes para colocar no relatrio final e que sustente as teses e acusaes que
foram colocadas no incio do inqurito, para que ele seja claro, conciso.
Neste relatrio que ir para o Juiz, dever ter um resumo escrito de forma que
uma pessoa sem muitos conhecimentos tcnicos possa entender o que ocorreu e
como ocorreu.
Portanto, para que uma investigao seja bem feita, necessrio seguir estes
quatro passos detalhadamente: Inicialmente, identificar quais so as evidncias,
preserv-las, analis-las e assim finalizar com a apresentao, ou seja, o laudo
tcnico. Um bom perito deve saber com qual evidncia ele deve iniciar, pois alguns
dados so volteis e podem se perder rpido, que chamado de ordem de
volatilidade.
46
CAPTULO 3 CONJUNTO DE FERRAMENTAS
Alm de experincia e slidos conhecimentos, o investigador

depende totalmente do conjunto de ferramentas que ele utiliza para coletar,
documentar, preservar e processar as informaes provenientes do sistema
investigado. No mundo real da investigao forense, o investigador deve
estar preparado para lidar com as mais diversas arquiteturas e sistemas
operacionais, logo, seu conjunto de ferramentas deve ser o mais amplo
possvel. (REIS e GEUS, 2002, p.64)
Portanto, o investigador tambm tem que conhecer muito sobre o Sistema

Operacional envolvido e os softwares necessrios para validar a prova ou refut-la.
Mesmo que este sistema for comprometido, o investigador precisar de
utilitrios confiveis, j que o suspeito pode alterar os dados e comprometer as
evidncias. Por exemplo o criminoso trocar o comando de reiniciar pelo apagar
todos os dados e danificar o disco rgido, dificultando ainda mais a investigao,
como foi falado no captulo anterior.
Os programas usados neste trabalho so:
TCT(The Coroners Tookit) [VENEMA, FARMER. 2009]
Windows Sysinternals
FDTK-UbuntuBR [FDTK-UbuntuBR, 2009] que uma distribuio brasileira do
FTK (Forensics Tool Kit).
Helix [FAHEY, GLEASON. 2006]
3.1
The Coroners ToolKit - TCT

O The Coroners ToolKit uma coleo de utilitrios para a percia forense
computacional de Sistemas Operacionais baseado em Unix, desenvolvido por

Wietse Venema e Dan Farmer criado em 1999 e distribudo gratuitamente em 2000
no site dos autores.
47
Uma das caractersticas respeitar a ordem de volatilidade dos dados, como

mostrado no Captulo 2, ou seja, salvar logo os dados que podem se perder
rapidamente.
H tambm o conceito de MACtimes, que so os atributos de tempo dos
arquivos, por exemplo:
mtime: Muda quando o contedo de um arquivo modificado.
atime: ltima data/hora em que o arquivo ou diretrio(ou pasta) foi
acessado.
ctime: monitora quando o contedo sobre o arquivo mudaram, como o
seu dono e suas permisses e mostra tambm quando o arquivo foi
excludo.
O comando mactime gera um relatrio cronolgico de todos os acessos aos

arquivos a partir das informaes dos atributos dos arquivos.
Este software serve como referncia para toda a auditoria por causa dos
conceitos de ordem de volatilidade e MACtimes e usado em todos os programas
deste trabalho.
3.2
Utilitrio Windows Sysinternals

So um conjunto de utilitrios feito por Mark Russinovich e Bryce Cogswell
em 1996 e comprado pela Microsoft em junho de 2006. Estas ferramentas servem

para ajudar a gerenciar, solucionar problemas e diagnosticar os aplicativos do
sistema operacional da Microsoft.
Estas ferramentas sero utilizadas para saber se a mquina auditada tem
algum Malware instalado no sistema. Pois, se o suspeito for leigo no assunto e tiver
apenas conhecimentos bsicos, ele pode ter um cavalo de tria e que descarregue
fotos com contedo de pornografia infantil em sua mquina. Provando que o
suspeito inocente, pelo motivo que ele no tinha inteno e nem sabia que tinha
esses tipos de arquivos ilegais.
48
Na proposta deste trabalho se inicia sempre com a frase, todos so

inocentes at que se prove ao contrrio, conforme a garantia da Constituio
Federal do Brasil. Ento, estes programas so apenas para identificar se h
programas mal-intencionados e no analis-los.
3.2.1 Autoruns
Com este aplicativo, possvel ver quais programas esto configurados para
serem iniciados automaticamente quando o seu sistema inicializa e quando faz
logon. O Autoruns tambm mostra a lista completa de locais no Registro e em
arquivos onde os aplicativos podem definir configuraes de inicializao
automtica. Ver Figura 7
Figura 7 Autoruns Verso 9.39

1 Aba de Ferramentas
2 Arquivos em Execuo
3 Descrio de cada aplicativo
4 A Empresa que fez o aplicativo
5 Local onde est o aplicativo
49
Detalhando cada aba, para obter mais conhecimento do programa, ento ser
visto a seguir:
Everything Mostra todos os resultados que o programa monitora no
computador.
Logon Mostra todos os resultados dos programas que inicializa quando o
Windows inicializado e suas Chaves de Registro.
Explorer Mostra as extenses shell do Windows e Barra de Ferramentas.
Internet Explorer Mostra as extenses do Internet Explorer.
Scheduled Task Poder ver as Tarefas Agendadas.
Services Mostra os Servios do Sistema.
Drivers Todos os Drivers que esto sendo executado pelo Sistema.
Boot Execute Qual arquivo est sendo executado na inicializao do
Windows.
Image Hijacks Mostra arquivos que se auto-iniciam no prompt de
comando
AppInit Mostra DLLs registradas como DLL de aplicativos da inicializao.
KnownDLL Mostra DLLs conhecidas, que esto geralmente, na pasta
System32.
WinLogon Mostra os DLLs ligadas diretamente com a inicializao.
Winsock Providers Mostra os protocolos Winsock registrados, incluindo
provedores de servio Winsock. Nesta Aba pode-se encontrar se h Malwares
instalados e esta ferramenta poder desistal-los.
Print Monitors
Mostra DLLs que carregam em servio spooling de
impresso. Malware tem utilizado este apoio automtico para si.

LSA Providers Mostra registros Autoridade de Segurana local (LSA)
autenticao, notificao e pacotes de segurana.
50
3.2.2 AcessEnum
Essa ferramenta de segurana muito eficiente, mostra quem tem acesso e

com que tipo de diretrios, arquivos e chaves do Registro no sistema. Usado apenas
para localizar falhas nas permisses(Figura 8).
Figura 8 AcessEnum
3.2.3 Process Explorer
Este software muito parecido com do Windows XP, Gerenciador de Tarefas.

Ele uma ferramenta de auditoria da memria RAM e monitora em tempo real o que
esta acontecendo no computador. Sua tela mostrada na Figura 9.
51
Figura 9 Process Explorer verso 11.33

1 Processos e Subprocessos
2 Nmero do Processo
3 Parcela que est usando o CPU
4 Descrio do processo
5 Nome da Empresa
Como visto, este utilitrio bem mais completo que o Gerenciador de

Tarefas.
Se tiver um Malware instalado, aparecer o processo, porm com nome da
companhia diferente do original, ento para remov-lo, s clicar com o boto direito
do mouse e clicar na opo Kill Process Tree.
52
3.2.4 Process Monitor
uma ferramenta de monitoramento que mostra o sistema de arquivos, o

Registro e a atividade de processo em tempo real. Ele a combinao de duas
ferramentas do Sysinternals, o FileMon que monitora a execuo dos arquivos em
tempo real e RegMon que monitora o registro do Windows, tambm em tempo real.
Na Figura 10 mostrado a tela e seus elementos.
Figura 10 Process Monitor verso 2.04
53
3.4.5 TCPView
Esta ferramenta apresenta em tempo real quais os endereos IP dos

computadores aos quais esto sendo auditados e ligados, o seu tipo de ligao e se
ela est enviando e recebendo dados.
Logo quando iniciado no Windows, o TCPView exibe o nome do processo que
possui e suas conexes TCP e UDP ativas e atualizando a cada segundo. Veja a
sua tela na Figura 11.
Figura 11 TCPView verso 2.54.
54
3.3
FDTK-UbuntuBr Forense Digital ToolKit
O FDTK um projeto livre que objetiva a produo de uma distribuio live cd

para coleta e anlise de dados, bastante poderosa, em percias computacionais e
com a finalidade principal de ajudar os peritos.
Ideal para uso no meio acadmico e por ter a licena GPL (Global Public
License Licena Pblica Geral) facilitando o seu estudo, principalmente os cdigos
fontes dos programas de auditoria, porque o perito sabe exatamente o que cada
utilitrio faz.
Portanto, foi criado aqui no Brasil um Linux com essas caractersticas,
chamado de FDTK-UbuntuBR, que tem dentro dela, mais de 100 ferramentas
capazes de atender a todas as etapas de uma investigao forense. Com a interface
bem amigvel, como visto na Figura 12 e com o idioma em portugus.
Figura 12 FDTK-UbuntuBR
55
3.3.1 Coleta de Dados
O FDTK bem intuitivo e segue a sequncia padro para iniciar a percia

forense, portanto o primeiro passo a coleta dos dados, mostrado na Figura 13.
Figura 13 Coleta de Dados
3.3.1.1 Cadeia de Custdia e Capturar Imagem
Logo no incio h um programa que gera um formulrio para construir a

Cadeia de Custdia e logo aps, Capturar a Imagem da tela da estao a ser
auditada.
3.3.1.2 Criar Imagem dos Dados
Nesta aba h um conjunto de utilitrios para gerar uma imagem das

evidncias, como: dd, aimage, dd_rescue e outras mais. A mais usada o utilitrio
dd, ento ele gerar o arquivo da imagem com a extenso dd. Este programa
tambm faz o dump de memria, como veremos a seguir.
3.3.1.3 Dump de Memria
Dump de Memria o nome do processo de capturar informaes da

memria. A memria quanto mais rpida for capturada, mais informaes sero
armazenadas, pois ela se perde muito rpido.
56
3.3.1.4 Gerao de HASH
E como fao para provar que esses arquivos coletados so verdadeiros e no

foi mudado durante as investigaes ou at no deslocamento deles. Portanto, na
aba Gerao de HASH, que um grupo de utilitrios que calculam este hash, ou
seja, uma transformao de uma grande quantidade de informaes em uma
sequncia hexadecimal. O md5sum um software que gera uma assinatura digital
de qualquer arquivo. Ele um cdigo de 32 bits que a soma de todos os bits
contidos no arquivo.
O md5sum funciona do seguinte modo:
Ele gera um cdigo a partir de um arquivo, por exemplo, um arquivo texto

chamado bibliografia.txt, ele gerar este cdigo:
22a6c8f1eae563c2118fff86f4ba8eea.
Se mudar e colocar dentro deste texto, uma letra a, o cdigo ser:

8014ea940d476838580529ed28384fb0.
Houve uma grande mudana no cdigo, mostrando que um programa

confivel. Sabendo disto, para que se tenha uma boa percia e que se prove ao final
do processo que nada foi modificado na estao de trabalho e garantindo a
integridade dos dados.
Os softwares mais usado so o md5sum, como falado, e sha512sum, com
comando em linha de texto simples, por exemplo:
md5sum [opo] arquivo
sha512sum [opo] arquivo
3.3.1.5 Identificao do Hardware
Para saber qual a estao de trabalho o perito vai trabalhar precisa conhecer
com detalhes os perifricos e qual verso do sistema operacional, portanto na
57
Identificao do HW, mostra todas as informaes que o perito precisar para iniciar
sua investigao.
3.3.1.6 Limpa Mdias
E por ltimo, Limpa Mdias, que para salvar a imagem em uma mdia como
USB, limpa e que no mude o hash, garantindo a integridade dos dados.
3.3.2 Exame dos Dados

Aps a coleta, o calculo do hash, gravao das imagens e guardar as
evidncias originais em local seguro, os dados sero examinados detalhadamente e
tentar encontrar provas em que o suspeito um pedfilo ou que ele tenha um
Malware instalado na sua mquina sem que ele saiba e inocentando o suspeito.
Nesta distribuio mostra estes detalhes conforme visto na Figura 14.
Figura 14 Exame dos Dados
58
3.3.2.1 Antivirus & Malware
Utilitrio que vai procurar se h vrus ou Malwares no sistema investigado,

pois se tiver, o suspeito poder ser inocentado, porque os arquivos sobre pedofilia
foi colocado em seu computador sem o consentimento do dono. A Ferramenta
usada a chamada nepenthes, de cdigo livre, que coleta o malware emulando
vulnerabilidades disseminadas atraindo-o e assim estudando o que ele poder fazer
no sistema.
3.3.2.2 Arquivos Compactados
Alguns arquivos ficam compactados para que na busca por outros dados
como fotos, ficam escondidos nestes arquivos e assim demorando mais a
investigao no sistema, ento este conjunto de ferramentas facilita esta procura,
descompatando-os seguramente.
cabextract: Acessa contedo de arquivos .cab

orange: Ferramenta que manipula arquivos .cab
p7zip: Acessa o contedo de arquivo ZIP
unace: Ferramenta de descompactao .ace
unrar-free: Ferramenta de descompactao de arquivos RAR
unshield: Ferramenta para descompactar arquivo da Microsoft .cab
Xarchive: Cria, modifica e acessa arquivos compactados.
zoo: Acessa arquivos compactador em .zoo
3.3.2.3 Arquivos de Imagem
Para este trabalho, o mais importante, pois nestas ferramentas, eles procuram
e analisam cada arquivo de imagens, pelo o motivo que um bom hacker esconderia
alguma informao dentro da imagem.
59
3.3.2.4 Arquivos MS
Um bom perito conhece o sistema de arquivos de um sistema operacional.

Neste local, mostra as ferramentas em que pudemos usar para investigar o Microsoft
Windows, como:
Dumpster: Ver o contedo da lixeira
Readpst: Ferramenta que ler arquivos do MS-Outlook
RegLookup: Utilitrio ler e resgata os dados do registro do Windows
Regp: Acessa os contedos de arquivos .dat
Tnef: Acessa anexos de emails do MS-Outlook
3.3.2.5 Crypto-Stegano
Se algum gostaria de esconder alguma informao e que tenha uma

segurana perto dos 100% confivel, ento ela criptografar seus dados ou apenas
esteganograf-las, ou seja, esconder um contedo dentro de um arquivo como uma
imagem. Para descobrir, h ferramentas especficas que procura dados ocultos
imagens com extenso jpg, programas que encripta e decripta arquivos.
3.3.2.6 Localizar Dados
Programa bsico para localizar arquivos. Ele procura dentro de imagens

mesmo com extenses dd, se for o caso.
3.3.2.7 Mactime dos Dados
Como foi visto, os mactimes so atributos aos arquivos de tempo, modificao

e acesso. Nesta sesso h duas ferramentas, a Mac-robber que serve para coletar
os dados em um sistema de arquivos montada e o mactime que gera uma linha do
tempo das atividades dos arquivos.
60
3.3.2.8 Parties NTFS
Usado em sistemas operacionais Microsoft Windows, portanto neste local, se

encontra todas as ferramentas que pode ser usada sem nenhum problema, como
encontrar arquivos, clonar os arquivos e obter informaes sobre o sistema e seus
arquivos.
3.3.2.9 Quebra de Senhas
Se um arquivo ou sistema estiver protegido com senha, sero usados estes

utilitrios e neste trabalho se utilizar a ferramenta John the Ripper que localiza as
senhas dos usurios, se for necessrio.
3.3.2.10 Restaurar Dados
Lista de ferramentas em recuperar dados apagados, corrompidos de qualquer

sistema de arquivos.
3.3.2.11 RootKits
Os Rootkits so um tipo de Malware que a sua principal inteno se

camuflar, impedindo que seu cdigo seja encontrado por qualquer antivrus e depois
tentar acesso irrestrito ao sistema. Portanto, na ferramenta rkhunter, ou seja, ele
um caador de RootKits, pode detectar Trojans e problemas de segurana.
3.3.3 Anlise das Evidncias
Aps coletar e examinar os dados, o perito ir analisar as evidncias que ele

viu que era mais importante e foi para a terceira etapa que so essas anlises, como
visto na Figura 15.
61
Figura 15 Anlise das Evidncias
Cookie_cruncher: Analise os Cookies do Sistema

o Exemplo: # /usr/share/fdtk-sh/cookie_cruncher.pl <arquivo de cookie>
Eindeutig: Analisa os arquivos mbx, ou seja, os arquivos de correio eletrnico
como caixa de entrada, sada e lixeira.
Galleta: Analisa os cookies do Microsoft Windows.
o Exemplo: #galleta [opes] <arquivo de cookie>
Mork: Utilitrio de anlise dos arquivos dat (que so arquivo de dados e
podem pertencer a qualquer tipo de programa) do Mozilla FireFox.
Pasco: Analisa o cache do Internet Explorer
o Exemplo: #pasco [opes] Pasta do Cache
Traceroute: uma ferramenta que permite descobrir o caminho feito pelos
pacotes desde a sua origem at o seu destino.
o Exemplo: #traceroute <IP de destino>
Xtraceroute: Verso grfica do traceroute
62
3.3.4 ToolKit
O autopsyg uma ferramenta grfica de cdigo aberto para a Percia

Forense. Criado por Brian Carrier. Ele pode investigar o sistema enquanto estiver
desligado ou ligado, ou seja, morto ou vivo. Ver Figura 16.
Figura 16 A Ferramenta Autopsy
Maiores informaes sobre o AFB podem ser encontradas em suas pginas

manuais ou na pgina http://www.sleuthkit.org/autopsy/
3.4
Helix
O Helix uma distribuio baseada na distribuio Linux Ubuntu, criada em
2005 utilizando a distribuio knoppix, trata-se de uma distribuio dedicada

investigao forense digital e usada como ferramenta de estudo.
Ele foi modificado de forma a que no danifique de qualquer forma no sistema
a ser investigado. A Figura 17 mostra a tela inicial do Helix.
63
Figura 17 Tela Inicial do Helix
Iniciando a auditoria, ento sero usados programas de acordo com a

sequncia do estudo padro de investigao, como ser visto a seguir.
3.4.1 Coleta
Coletando os dados, ento o investigador saber sobre as informaes do

Sistema, o qual ele pode coletar as imagens dos discos rgidos e memrias volteis
como as RAMs, usando os prprios utilitrios do Helix ou a ferramenta da empresa
AccessData, FTK Imager, como visto nas Figura 18 e Figura 19, respectivamente.
64
Figura 18 Utilitrios do Helix para fazer uma imagem
Figura 19 FTK Imager
65
3.4.2 Exame
Com a coleta, necessrio tirar o hash e garantindo a integridade dos dados

que sero analisados com a prpria ferramenta, conforme visto na Figura 20
Figura 20 Exame dos Dados, calculando o Hash pelo Helix
Pode-se procurar se h algum Rootkit no sistema, usando a ferramenta

Rootkit Revealer, tirar fotos do sistema com o Screen Capture e at tentar
recuperar arquivos possivelmente danificados.
Na terceira pgina (ver Figura 21) tem programas para encontrar senhas de
arquivos PST, que um arquivos do Microsoft Outlook e o Mail Password Viewer
que para quebrar as senhas dos programas de correio eletrnico instalado no
sistema.
66
Figura 21 Coleta dos Dados do Helix, pgina 3.
O Messenger Password serve para obterr as senhas salvas nos programas

de mensagens instantneas, mostrado na Figura 22 em um computador privado.
Enquanto que no cone de Protected Storage Viewer, descobre as senhas que so
armazenadas em sites como tambm a ferramenta IE Password Viewer.
Figura 22 Messenger Password na Prtica
Para ver o histricos dos sites visitados pelo Internet Explorer e arquivos
explorados no Windows, ento usado pelo aplicativo IE History Viewer (ver o
exemplo na Figura 23) e para ver os cookies tanto do navegador da Microsoft e do
Mozilla, o Firefox, h 2 programas: IE Cookie Viewer e o Mozilla Cookie Viewer.
67
Figura 23 IEHistoryView
1 Arquivos Acessados
2 Sites Visitados
3 Quantidade de acessos
4 Data de Modificao
No aplicativo, Mail Password View, outro modo de conseguir os usurios e

senhas de quem usa programas de correio eletrnico e salva suas senhas no
prprio Windows. A seguir, vemos na Figura 24, um exemplo usando um
computador privado.
Figura 24 Mail Password View na prtica
J no Registry Viewer, verifica o registro do sistema e o Asterisk Logger,

revela as senhas que quando digitado aparece apenas o asterisco.
68
Finalizando, o aplicativo USB Deview, mostra toda vez que uma porta de USB
foi usada e qual foi o perifrico que trocou informaes com o sistema, com
detalhes, ver exemplo da Figura 25.
Figura 25 - USBDeview
Terminando esta fase de exames dos dados coletados, o perito vai fazer a
anlise detalhada de cada arquivo examinado.
.
3.4.3 Anlise
Nesta etapa, o perito far a anlise bem detalhada para procurar qualquer
vestgio que prova que o suspeito um pedfilo ou no. Portanto, cada aplicativo
que foi utilizado, agora ser filtrado e procurar com detalhes cada arquivo coletado e
examinado e sempre calculando o seu hash para garantir que nada foi modificado
durante a investigao.
69
CAPTULO 4 - INVESTIGAO NO SISTEMA

OPERACIONAL DA MICROSOFT
O Sistema Operacional proprietrio da Microsoft o mais usado na

atualidade, principalmente nas faixas etrias dos perfis dos pedfilos.
Na maioria dos casos apurados pela polcia, o perfil de um homem
entre 30 e 45 anos, solteiro, que mora sozinho, reservado, inseguro, tem
dificuldade de manter relaes afetivas por muito tempo e, em alguns
casos, cansou de consumir pornografia adulta, migrando para a pedofilia.
(NUBLAT, Johanna IGLESIAS, Simone. 2008)
Portanto, em sua totalidade so usurios deste sistema operacional e muito

pouco conhecimento do Sistema Operacional Linux. Da, a investigao deste
trabalho ser totalmente no ambiente da Microsoft.
De acordo com a preferncia sexual pode-se verificar a existncia
de outros grupos que esto envolvidos com a seduo de menores,
classificados dentro de categorias como: Hebefilia (preferncia por
adolescentes) e Ninfofilia (preferncia por meninas).[...] Os Boys Lovers,
no obstante afirmarem que so apenas admiradores da figura angelical
das criancas, dando conotao artsticas para a imagens. (RODRIGUES,
Jorison da Silva, 1999. p.16)
Ento, este trabalho, uma proposta para o procedimento para encontrar

arquivos de pedofilia em uma estao Windows XP, de incio h uma necessidade
de mandado judicial de busca e apreenso do computador do suspeito. Aps a
chegada no local, inicia-se o processo que veremos a seguir.
Para fins didticos, ser usada, uma mquina virtual, usando um programa
especfico, com o Sistema Operacional da Microsoft. Conforme a Tabela 2
mostrada um modelo para investigar um caso de pornografia infantil.
70
Tabela 3 Modelo para Investigar um computador suspeito

Objetivo
Distribuio
Software
Coletar Imagens
FDTK
dd
Avaliar se h algum
Malware
Avaliar se h algum
Malware
Avaliar se h algum
Malware
Tirar o Hash do
arquivo
Windows
Sysinternals
Windows
Sysinternals
Windows
Sysinternals
FDTK
md5sum
Encontrar Fotos
Windows XP
Pesquisar Arquivos
ou Pastas e Lixeira
HELIX
Encontrar Fotos
Windows XP
Encontrar Fotos
Quebrar Senha
Visualizar Senhas do
Windows
Windows XP
Windows XP
Helix
Vizualizar os histrico
do Internet Explorer
Helix
Timeline
Helix
autoruns
ProcessExplorer
TCPView
Arquivos
Temporrio da
Internet
Cookies
John The Ripper
PST Password
Viewer
IEHistory Viewer
FTK Imager
4.1 Coleta
O primeiro passo de um bom perito, que chamado pelo termo em ingls,
First Reponser, avaliar a situao, se o computador est ligado ou no. Estando
ligado, ento este perito tirar fotos do local, do programa que esta sendo executado
naquela hora, para que se possa fazer a reconstituio perfeita, aps o registro
fotogrfico. Com um Pendrive limpo de vrus e prprio para fazer este tipo de
auditoria, ele vai capturar os processos e arquivos armazenados da memria,
obedecendo a sua ordem de volatilidade. O perito far o dump da memria, isto ,
gravar o que tem dentro dela naquele exato momento, pois qualquer descuido como
desligar o computador, ela se apagar e os dados que estavam dentro dela se
71
perdero. Para fazer este dump e a cpia ser feita em uma mdia de apenas de
leitura como um cd-rom ou DVD-rom, impedindo escritas acidentais. Utilizando a
ferramenta dd, que permite tambm copiar os fluxos dos dados com os seguintes
comandos:
# dd if=/dev/mem of=mem.dump bs=1024

# dd if=/dev/kmem of=kmem.dump bs=1024
Esta execuo deste procedimento causa alterao de uma parte da

memria, impossibilitando verificar futuramente se estas informaes so iguais as
das originais.
E aps esta etapa, usando as ferramentas do Sysinternals poder avaliar se o
computador tem algum Malware, e que este esteja baixando essas fotos de
pornografia e assim obter a inocncia do suspeito.
Um dos exemplos o utilitrio Autoruns, falado no Captulo 2 e aqui veremos
algumas aplicaes prticas, mostrado na Figura 26 e assim, comprovando, neste
caso. que no h nenhum Malware, pois cada aplicativo est correspondido com o
seu fabricante.
Figura 26 Autoruns Executado na Mquina Virtual
72
Com esta anlise psinicial, o prximo passo verificar os processos que

esto em execuo naquele instante, portanto ser usado o aplicativo do
Sysinternals, Process Explorer, mostrando na Figura 27. Por esta figura verificado
que no h nenhum vrus ou cavalo de tria em seus processos, portanto se houver
alguma foto nesta mquina virtual, at neste momento, poder ter sido o dono do
computador auditado.
Figura 27 Process Explorer da Mquina Virtual
Outra captura importante o trfego da rede atravs de programas como

sniffers (farejadores). Alm de capturar os pacotes, estes programas podem
decodificar e exibir os arquivos em um formato legvel e ter uma ideia de quais os
programas est trocando informaes com esta estao. Um bom utilitrio a
ferramenta do Sysinternals, o TCPView, que mostra as conexes no momento em
que o programa foi executado. Na Figura 28, mostrado a tela sendo executada na
mquina auditada. Conforme visto, no h nenhuma conexo estranha.
73
Figura 28 TCPView da Mquina Virtual
Com a memria salva e verificada se tinha algum Malware na mquina

auditada, ento ser tirada a imagem dos discos, este princpio obter toda a
informao contida no computador, seja ela pertencente a um sistema de arquivos
ou no, de tal forma que a imagem possa ser examinada como se fosse o disco
original. Neste trabalho ser usada a ferramenta dd, que faz este tipo de cpia
exatamente igual do incio ao fim e nunca utilizar programas de cpia de backup,
pois ele copia apenas os dados reconhecidos pelo o sistema de arquivo.
E logo aps tirar o hash de cada disco e seus arquivos, mostrando que so
iguais. O programa utilizado o md5sum e para garantir esta integridade:
md5sum arquivo
E garantindo mais a integridade dos dados ser usado tambm o sha512sum,

para que no tenham dvidas de sua veracidade:
74
sha512sum arquivo
Sempre, fazer isso com pelo menos uma testemunha de conduta ilibada.
Estas rplicas sero usadas para fazer testes para inocentar ou culpar o suspeito,
enquanto que o disco original ficar guardado com toda segurana de queda ou de
campos magnticos que possam danificar as evidncias, que chamado de cadeia
de custdia e finalizando o processo de auditoria com o computador ligado.
Para desligar o computador investigado aconselhvel que desligue da
tomada e no finalizar indo em iniciar e desligar o computador, pois fazendo isto
poder executar algum utilitrio e apague as provas. Outro detalhe que alguns
arquivos seriam modificados pelo prprio Microsoft Windows aps desligado, no
reinici-lo, apenas usar suas imagens e se precisar refazer, tirar uma cpia com o
computador desligado.
Se o computador estiver j desligado, ento ele no ser ligado, apenas tirar
fotos, lacrado e levado para o laboratrio. Com testemunhas, ser aberto e retirado
os discos, colocado em um computador que tenha a distribuio Linux FDTKUbuntuBR e usado o programa dd e criado a imagem, tirar os hashes e guardar para
se puder ser usado em um futuro prximo.
4.2 Exames dos Dados

Com as imagens dos discos feitas, haver um exame de todos os dados e
assim filtr-los para analis-los mais a frente, se for necessrio.
Nesta etapa, a fase que poder inocentar o suspeito, pois nela faremos um
estudo detalhado do sistema e ser procurado que existe mais vrus e outros
malwares que no foram encontrados na coleta e que ainda possam colocar fotos
sem que o usurio suspeito saiba, pois sua estao est sendo usada como uma
Botnet (ver no glossrio). Os programas usados so: o nephentes para encontrar um
malware e rkhunter para a procura de algum rootkit.
No encontrando nenhum malware, ento o perito ir procurar em locais dos
arquivos mais comuns como:
75
4.2.1 Arquivos de imagens
Algumas ferramentas simples do Windows como, Pesquisar, Arquivos ou

Pastas e ir na opo Imagens e Fotos e colocar para pesquisar, podendo ser muito
til.
Na mquina virtual foi usado um exemplo simples com arquivos salvos da
Internet, porm sem contedo pornogrfico, apenas com nomes suspeitos, visto na
Figura 29.
Figura 29 Resultado da Pesquisa de Imagens e Fotos do Windows XP
Portanto, h nomes suspeitos onde tem quadrados vermelhos na Figura 25,

assim ver o contedo, pois este detalhe pode ser apenas o incio de uma
investigao mais detalhada.
4.2.2 Arquivos compactados
Arquivos compactados em si no tm nenhum problema, s apenas

trabalhoso ver um por um para saber se h fotos ou indcios de pornografia infantil.
Porm, se ele estiver com uma senha de segurana, pode se tornar bem difcil, no
entanto h programas especialistas em quebrar essas senhas.
76
Outro exemplo de um arquivo compactado so os com extenses .cab. No

Sistema Operacional FTDK-UbuntuBR, contm uma ferramenta para acessar o
contedo desta extenso que cabextract ou unshield e outra ferramenta para
manipular este tipo de arquivo, o orange.
4.2.3 Lixeira
Quando um arquivo do Windows apagado, ele fica armazenado na Lixeira e

permanece neste local at que esvazie ou restaure este arquivo. Mesmo assim, se o
usurio apagou da Lixeira, ainda possvel recuper-lo. Quando o arquivo
esvaziado, ele vai para o local chamado Recycled ou Recycled.
4.2.4 Arquivos temporrios de navegadores de Internet
Uma pessoa experiente em esconder suas pistas, por onde passou, ela vai
tentar apagar estes registros, se houver tempo.
Usando a mquina virtual, neste endereo do sistema.
C:\Documents and Settings\Marcio\Configuraes locais
onde ficam as configuraes locais e os arquivos temporrios.

Na pasta a seguir:
C:\Documents and Settings\Marcio\Configuraes locais\Histrico
Dentro desta pasta, o histrico da Internet, quais os sites que foram

acessados, como visto na Figura 30, Figura 31 e Figura 32, mostrado com detalhes.
77
Figura
30
Dentro
da
Pasta
C:\Documents
locais\Histrico
Figura 31 Registro dos Sites Acessado Semana Passada
Figura 32 O que foi pesquisado no Google
and
Settings\Marcio\Configuraes
78
Ou seja, o suspeito acessou o site do Google e fez uma pesquisa sobre

boylovers e fotos.
Outro local importante :
C:\Documents
and
Settings\Marcio\Configuraes
locais\Temporary
Internet Files
O Temporary Internet Files, ver Figura 33, um diretrio ou pasta da

Microsoft Windows. Esta pasta usada pelo Internet Explorer para cache de pginas
e seus contedos como vdeo e udio dos sites visitados anteriormente, permitindo
que a pgina seja carregada mais rapidamente.
Figura 33 Pasta do Temporary Internet Files
Outros arquivos para se investigar rastros, so os Cookies, ou seja, um

cookie um grupo de dados trocados entre o navegador e o servidor de pginas,
colocado num arquivo de texto criado no computador do utilizador, mostrado na
Figura 34.
79
Figura 34 Diretrio dos Cookies
Dentro dos Cookies h um texto, como no exemplo a seguir, onde foi clicado
em marcio@google.com, ento aparecer o seguinte texto:
PREF
ID=bf4e47389559c905:TM=1194194728:LM=1236480163:S=fMWjG4kjaGSumzgoogle.com.br/
1536
2141967232
30137658
2455912128
29990807
*
NID
20=F1ROLQZzP6OSvJ4comH8Wl0VIXZ_nM7iWkGg7s_DGhMpqlc5qy98yL7GemTyO28OHDJUE2rOpX
qLtJ9UwXBFa51uS7v7rbH-f26Qoa6Jo1AtgtOG-KtOK56b7KEy-o8
google.com.br/
80
9728
18317184
30027621
3013252128
29990807
*
Que estes detalhes no sero estudados neste trabalho.
4.2.5 Registro do Windows
O Registro onde o Windows guarda seus segredos: praticamente tudo que

voc faz no Sistema Operacional tem um valor no registro. Por exemplo, suas
configuraes de pasta, do Internet Explorer e do Outlook Express. O registro tipo
um banco de dados onde o Windows guarda vrias informaes sobre o sistema e
seus aplicativos.
4.2.6 Correio Eletrnico do MS-Outlook
Uma das formas de obter provas pelas trocas de mensagens eletrnicas

como MSN e correio eletrnicos, ento uma dessas formas encontrar os arquivos
que guarda a Caixa de Entrada, Itens Enviados e Rascunhos.
Se tiver algum problema com um arquivo de senha, usar o utilitrio John The
Ripper, que descobrir a senha.
4.3 Anlise
a etapa em que o perito ir analisar e filtrar as informaes usando os

seguintes passos
1. Interpretao dos vestgios encontrados
81
2. Estabelecer uma relao entre os vestgios encontrados com o que procura

3. Tentar responder se houve invaso ao sistema ou foi utilizado processos
dentro da mquina auditada
4. Deciso para o prximo passo da investigao se haver necessidade de
uma investigao mais profunda ou no.
onde separaremos o que importante ou no das evidncias coletadas. Sero

analisados minuciosamente:
4.3.1 Cookies
Os Cookies so as grandes pistas por onde o usurio passou. simples de

apagar no Windows, pois s ir na pasta onde ficam estes arquivos e exclu-la.
Porm, para o perfil de um pedfilo, ele pode no conhecer este tipo de arquivo e
assim facilitar o trabalho do perito. Geralmente esta pasta fica em Documents and
Settings, a pasta do usurio e dentro desta pasta, est o diretrio Cookies, porm
este est oculto.
4.3.2 Arquivos de email
Os usurios de Windows, geralmente tem seu email cadastrado no aplicativo

MS-Outlook. Este programa tem alguns arquivos padres, como Caixa de Entrada,
Lixeira, Caixa de Sada, todos estes com extenses DBX. Ento, ser usado o
aplicativo do FDTK, o Eindeutig. Porque se abrir usando o prprio Windows, poder
modificar o arquivo e assim inutilizando a prova.
4.3.3 Histrico do MSN
Um dos programas mais populares de conversa na Internet, onde tambm

os pedfilos mais atacam, pois o MSN hoje como se fosse o telefone fixo de
antigamente, ficou algo ntimo. A, o perito tem que encontrar qual pasta ele salvou
seu histrico. Algo no impossvel. Para uma grande empresa, seria necessrio
82
colocar um sniffer de Mensagens instantneas, se o servidor for Linux, uma boa

recomendao o IMSniffer.
4.4 Apresentao
Finalizando a apresentao com um laudo pericial, porm no faz parte deste

trabalho e portanto no ser detalhado.
4.5 Distribuio LiveCD do Helix

No primeiro momento vamos coletar as informaes do computador auditado,
neste caso, uma mquina virtual do Microsoft Windows XP SP1, como mostrado
na Figura 35. Nesta figura, identifica qual o Sistema Operacional, a quem pertence,
a sua organizao, o usurio que est neste momento de acesso, seu IP e quais so
os dispositivos de armazenamento que a mquina possui.
Figura 35 Informao do Sistema no Helix
83
4.5.1 Coleta
Aps armazenar as informaes do sistema, ento ser coletado os dados da
memria fsica, por exemplo a RAM e os dados dos discos rgidos, para garantir a
integridades dos dados posteriormente, pois com estas informaes copiadas, ou
seja, criada sua imagem, haver uma melhor anlise das provas obtidas. Aps a
coleta das memrias, ser salva em lugar seguro, por exemplo, um pendrive, e os
arquivos com extenses DD, visto na Figura 36.
Figura 36 Criando Imagem da Memria RAM e Disco Rgido
Porm, para tirar uma boa imagem do disco, aconselha-se usar o FTK
Imager.
4.5.2 Exame
No exame dos dados, a etapa que tudo que foi coletado ser estudado
minuciosamente para que estas informaes sejam filtradas e assim obter uma
84
anlise mais detalhada. Portanto, todas as ferramentas que sero usadas, tero
uma grande importncia para um bom estudo.
Estes utilitrios esto contidos conforme a Figura 37, e que foi mostrado no
Capitulo 3. Porem, aqui ser a prtica e provando que a teoria est correta.
Figura 37 Exame dos Dados
Iniciando este exame, ser procurado no primeiro cone do PST Password

Viewer, se h senhas gravadas no sistema ou no, neste caso, mostrado na Figura
38, no h senha gravadas no Windows.
Figura 38 Programa PSTPassword sem encontrar senha
E acontecendo o mesmo caso para o aplicativo Messenger Password, porm

para o programa IEHistory Viewer, h muita coisa para se examinar, como ser visto
na Figura 39 a seguir:
85
Figura 39 IEHistory View da Mquina Virutal
Como mostrado na Figura 35 anterior, h arquivos a serem analisados, como:

Vrus de Pendrive
Imagens do Google
Crianas
Garotos sexo
Estes so alguns detalhes da parte do exame em que o perito ir ter mais

cuidado com esses tpicos, que sero detalhados na etapa da anlise.
Outro aplicativo o USBDeview que mostra todos os dispositivos de USB e quais e
como foram utilizados, visto na Figura 40.
Figura 40 USBDeview
86
Com todos os arquivos do sistema examinados, ento o perito ir agora para

a parte da anlise.
4.5.3 Anlise
A etapa final deste trabalho e do perito, o qual ele analisar mais detalhes do
tpico anterior para encontrar pistas que levem o suspeito a ser inocente ou culpado.
A princpio e de acordo com o conjunto de aplicativos do Helix, sabido que o
usurio Mrcio estava conectado nesta mquina, visto com mais detalhes na Figura
41.
Figura 41 Informao do Sistema
Porm, em alguns aplicativos no foi retornado nada, ento no h como

analisar, como os programas PST Password Viewer e Messenger Password, pois
nesta mquina virtual no foi gravado nenhuma senha.
No entanto, pelo programa IEHistoryView, h muito para se analisar, por
exemplo na Figura 42:
Figura 42 Exemplo Retirado do IEHistoryView
Neste exemplo, mostrado que o suspeito procurou fotos de garotos e

sexo no Google Imagens no dia 7 de Maro de 2009 s 23 horas e 53 minutos. Isto
j uma grande prova, pois se ele tiver pelo menos arquivos com contedo de
87
pedofilia, pela nova lei, sancionada pelo Presidente do Brasil, Lula, no final de
novembro de 2008, j considerado crime.
Neste caso, o perito ter que procurar imagens com contedo pornogrfico,
mais exatamente com indcios de pedofilia.
Para procurar fotos, ento usa-se o aplicativo Scan for Pictures, mostrado na
Figura 43.
Figura 43 Scan for Pictures
Encontrando, apenas incluir no laudo tcnico e levar ao jri.
88
CONCLUSO
Este trabalho teve a proposta de padronizar um procedimento de auditoria em

um computador com o Sistema Operacional Microsoft Windows XP que est sob
suspeita de ter arquivos com contedo de pornografia infantil, que aqui no Brasil
crime de acordo com a Lei 11.829 de 25 de Novembro de 2008.
No um trabalho fcil, pois sem um padro toda a investigao poder ser
perdida e aqui no Brasil principalmente, pois este hbitos de se lidar com provas
eletrnicas novidade para todos, como suas leis.
Os programas usados foram todos de cdigo livre e aberto, pois os pagos s
podero ter se comprar a caixa completa e no vende pela Internet para pessoas
fsicas. Portanto, foi usado a distribuio Linux chamada, FDTK-UbuntuBR, o Helix e
os utilitrios da Sysinternals, este ltimo para provar que o computador apreendido
no tinha nenhum Malware que pudesse inocentar o suspeito.
Para a padronizao teve um preparo cuidadoso em cada etapa da
investigao.
1. Coleta
2. Exame
3. Anlise
Sendo omitida a 4 etapa que o Laudo Pericial e apenas citado durante o

trabalho.
Ento, para cada perito, mesmo usando o FTDK ou o Helix, h uma
necessidade de se iniciar fazendo uma copia da imagem de cada disco rgido e
calculando o seu hash, se possvel com dois aplicativos diferentes e com uma
testemunha ao lado do perito para comprovar a veracidade das provas, assim como
os hashes dos arquivos, depois disso trabalhar apenas nas imagens e nunca nas
provas originais.
Finalizando, foi mostrada as leis aplicadas no Brasil em relao a pornografia
infantil.
89
Sugestes de Trabalhos Futuros
1. Provar que o computador auditado e suspeito por pornografia infantil, no foi

o dono da mquina quem colocou e sim um Malware que injetou o contedo
ilcito
2. Procedimento de como encontrar um pedfilo pela Internet
3. Padres para escrever um laudo tcnico
90
REFERNCIAS
ACCESSDATA Corp. Access Data Forensics Tool Kit 2.0. Jan. 2009. Disponvel
em: <http://www.accessdata.com/downloads/media/ftkug.pdf>. Acesso em:
12/03/2009
ARAS, W. Crimes de informtica: Uma nova criminalidade. Jus Navigand, Jun.

2001. Disponvel em: <http://jus2.uol.com.br/doutrina/texto.asp?id=2250>. Acesso
em: 01/02/2009
ARGOLO, Frederico Henrique Bhm. Anlise Forense em Sistemas GNU/Linux.

UFRJ, Rio de Janeiro, 2005.
BRASIL. Novo Cdigo Civil. Lei N 10.406 de 10 de Janeiro de 2002 Presidncia

da Repblica. Disponvel em:
<http://www.planalto.gov.br/CCIVIL/leis/2002/L10406.htm>. Acesso em 27/04/2009
________. Cdigo de Processo Penal. DECRETO-LEI N 3.689, DE 3 DE

OUTUBRO DE 1941. Presidncia da Repblica. Disponvel em:
<http://www.planalto.gov.br/CCIVIL/Decreto-Lei/Del3689.htm>. Acesso em
20/01/2009
________. Constituio Da Repblica Federativa do Brasil de 1988. Presidncia

da Repblica. Disponvel em: <
http://www.planalto.gov.br/ccivil_03/constituicao/constituiao.htm >. Acesso em
27/05/2009
______. LEI N 11.829, DE 25 DE NOVEMBRO DE 2008. Altera a Lei no 8.069, de
13 de julho de 1990 - Estatuto da Criana e do Adolescente, para aprimorar o
combate produo, venda e distribuio de pornografia infantil, bem como
criminalizar a aquisio e a posse de tal material e outras condutas
relacionadas pedofilia na internet. Presidncia da Repblica. Disponvel em:
<https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11829.htm>. Acesso
em 14/03/2009
______. Estatuto da Criana e do Adolescente e d outras providncias. Lei N

8.069, de 13 de Julho de 1990. Presidente da Repblica. Disponvel em:
<http://www.planalto.gov.br/ccivil/LEIS/L8069.htm>. Acesso em 20/01/2009
91
______. Altera a Lei no 8.069, de 13 de julho de 1990 Disponvel em:

<http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/Lei/L11829.htm>. Acesso
em 20/01/2009
CASTRO, Carla Rodrigues Arajo de. Impunidade na Internet . Jus Navigandi,

Teresina, ano 6, n. 52, nov. 2001. Disponvel em:
<http://jus2.uol.com.br/doutrina/texto.asp?id=2327>. Acesso em: 28 fev. 2009.
CONSULTOR JURDICO. Crimes Virtuais. Disponvel em:

<http://www.conjur.com.br/2002-mar-27/policia_dificuldades_chegar_aos_pedofilos>.
Acesso em 27 de Abril de 2009.
CROCE, Delton. Manual de Medicina Legal. 4 Ediao, Brasil. Ed. Saraiva 2004.
FAHEY, Gleason. FAHEY, Drew. Helix 1.7 for begginners. Seul Corea, Maro de
2006.
FDTK-UbuntuBr. Forense Digital Toolkit. Disponvel em: <http://www.fdtk.com.br>.

Acesso em 27 de Abril de 2009.
FREITAS, Andrey Rodrigues de. Percia Forense Aplicada Informtica: 1

Edio, Brasil. Ed Brasport, 2006
GUIMARES et al. Forense Computacional: Aspectos Legais e Padronizao.

Campinas SP, 2002.
HELIX.Distribuio Live CD. Disponvel em: <http://www.e-fense.com>. Acesso em
13 de Marco de 2009.
John The Ripper. Password Cracker. Disponvel em:

<http://www.openwall.com/john>. Acesso em 27 de Abril de 2009.
LIMA, Erica Rocha. Levantamento do histrico na cena do crime, fator relevante

na anlise de evidncias em crimes eletrnicos. In: I Conferncia Internacional
de Percias em Crimes Cibernticos, 2004. Braslia DF. Anais da 1 Conferncia
Internacional de Percias em Crimes Cibernticos, Braslia DF, Editora
Departamento de Polcia Federal, 2004. p.217 at p.221
92
Microsoft TechNet. Guia bsico de investigao computacional para Windows:

Viso geral. Jan. 2007. Disponvel em:
<http://www.microsoft.com/brasil/technet/prodtechnol/security/guidance/disasterrecov
ery/computer_investigation/9545b739-1ef9-415f-a1c4-3ca29f0ce5af.mspx>. Acesso
em 10/01/2009
NOGUEIRA, Mrcio Luiz Machado. MREFCON Modelo de Rastreamento de

Evidncias Forenses Conta Crimes Online Proposta Acadmica para
integrao e agilizao de investigaes entre a Polcia, Justia e Provedores
de Internet. Recife, 2007
NUBLAT, Johanna IGLESIAS, Simone. PF traa perfil de pedfilo na Internet.

Folha de So Paulo, Braslia. Maio de 2008. Disponvel em:
<http://www1.folha.uol.com.br/folha/informatica/ult124u398251.shtml>. Acesso em
28/04/2009.
PERRIN, Stephanie. Desafios de Palavras: Enfoques Multiculturais sobre as

Sociedades da Informao. Editora C & F ditions. Frana, 2005.
PIRES, Paulo S. da Motta. FORENSE COMPUTACIONAL: UMA PROPOSTA DE

ENSINO. Disponvel em: <http://www.dca.ufrn.br/~pmotta/trabalhos.html>. Acesso
em 29/04/2009.
PONTES, Gabriela. Segurana na Internet deve ser garantida. Disponvel em:

<http://www.comunicacao.pro.br/setepontos/13/provedores.htm>. Acesso em
20/01/2009
REIS, Fbio Andr Silva. O enfrentamento da pornografia infantil na Internet: O

papel dos canis de denncia. In: I Conferncia Internacional de Percias em
Crimes Cibernticos, 2004. Braslia DF. Anais da 1 Conferncia Internacional de
Percias em Crimes Cibernticos, Braslia DF, Editora Departamento de Polcia
Federal, 2004. p.23 at p.27
REIS, Marcelo Abdalla dos. Forense Computacional e sua aplicao em

segurana imunolgica. Campinas - SP, 2003.
REIS, Marcelo Abdalla dos; GEUS, Paulo Lcio de. Anlise Forense de Intruses
em Sistemas Computacionais: Tcnicas, Procedimentos e Ferramentas.
Campinas SP, 2002.
93
REIS, Marcelo Abdalla dos; GEUS, Paulo Lcio de. Forense Computacional:
Procedimentos e Padres. Campinas SP, 2001
RODRIGUES, Alan. Pedofilia. Pesquisa indita alerta: o Brasil lidera o ranking

mundial de pornografia infantil pela internet. Seu filho est seguro? Revista Isto .
Disponvel em
<http://www.terra.com.br/istoe/1898/comportamento/1898_pedofilia.htm> . Acesso
em 10/04/2009.
RODRIGUES, Jorison da Silva. Pedofilia: Pornografia envolvendo a criana.

Revista Percia Federal: Publicao da Associao dos Peritos Criminais Federais,
Ano I, N3. Braslia, DF, 1999.
RODRIGUES, T. Resposta a Incidentes e Forense Computacional. Jun. 2007.

Disponvel em: <http://forcomp.blogspot.com/2008/02/processo-litrgico-preservaode.html>. Acesso em 20/01/2009
SaferNet Brasil. Disponvel em: <http://www.safernet.org.br>. Acesso em 28/02/2009
TREVENZOLI, Ana Cristina. Percia forense computacional: ataques, identificao

da autoria, leis e medidas preventivas. Sorocaba, 2006.
VENEMA, Wietse; FARMER, Dan. Percia Forense Computacional - Como

Investigar e Esclarecer Ocorrncias no Mundo Ciberntico: Prentice Hall
(pearson), 2007.
______. TCT The Coroners Toolkit. Disponvel

em:<http://www.porcupine.org/forensics/tct.html>. Acesso em 29 de Maro de 2009.
VIOTTI, Alberto Luiz Alves. Possibilidades de uso de software livre como

ferramentas de anlise em investigaes digitais. Lavras MG, 2005.

Bruno - Procedimentos Forense Crimes de Pornografia Infantil

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Bruno - Procedimentos Forense Crimes de Pornografia Infantil

Transféré par

Droits d'auteur :

Formats disponibles

FACULDADE UNIBRATEC

BRUNO VINELLI NUNES DE OLIVEIRA ARAJO

PROCEDIMENTOS FORENSE PARA ENCONTRAR EVIDNCIAS DE CRIME DE

BRUNO VINELLI NUNES DE OLIVEIRA ARAJO

PROCEDIMENTOS FORENSE PARA ENCONTRAR EVIDNCIAS DE CRIME DE

Monografia apresentada no Curso de

Orientador: M.S.c. Mrcio Luiz Machado Nogueira

Bruno Vinelli Nunes de Oliveira Arajo

PROCEDIMENTOS FORENSE PARA ENCONTRAR EVIDNCIAS DE CRIME DE

Joo Pessoa, 2009.

Minha Grande Namorada, Daniele, que me acompanhou todo o processo de incio e

A Professora Marileuza pelas aulas motivadoras de como fazer um trabalho de

Agradeo a cada pessoa em que posso confiar, ou apenas tentou me ajudar a

Palavras-chaves: pedofilia, forense computacional, cibercrimes.

Keywords: pedophilia evidence, computer forensics, cybercrime

Tabela 1 O Ciclo de vida esperado dos dados

Figura 1 - Denuncias sobre Crimes na Internet de 2006 a 2008 .......................... 26

Figura 4 - Modelo de padronizao.......................................................................

Figura 5 - Fluxograma de Preservao dos Dados .............................................

Figura 6 - Exemplos gerais de possveis evidncias a serem procuradas ..........

Figura 7 - Autoruns Verso 9.39........................................................................

Figura 9 - Process Explorer verso 11.33.........................................................

Figura 10 - Process Monitor verso 2.04.............................................................

Figura 11 - TCPView verso 2.54........................................................................

Figura 13 - Coleta de Dados................................................................................. 55

Figura 16 - A Ferramenta Autopsy........................................................................

Figura 17 -Tela Inicial do Helix.............................................................................. 63

Figura 20 - Exame dos Dados, calculando o Hash pelo Helix.............................. 65

Figura 23 - IEHistoryView .....................................................................................

Figura 24 Mail Password View na prtica..........................................................

Figura 26 - Autoruns Executado na Mquina Virtual.............................................

Figura 27 - Process Explorer da Mquina Virtual..................................................

Figura 28 - TCPView da Mquina Virtual..............................................................

Figura 29 - Resultado da Pesquisa de Imagens e Fotos do Windows XP............

Figura 30 - Dentro da Pasta C:\Documents and Settings\Marcio\Configuraes

Figura 32 - O que foi pesquisado no Google........................................................

Figura 33 - Pasta do Temporary Internet Files......................................................

Figura 34 - Diretrio dos Cookies..........................................................................

Figura 35 - Informao do Sistema no Helix.........................................................

Figura 36 - Criando Imagem da Memria RAM e Disco Rgido............................

Figura 37 - Exame dos Dados...............................................................................

Figura 38 - Programa PSTPassword sem encontrar senha..................................

Figura 39 - IEHistory View da Mquina Virutal...................................................... 85

Figura 41 - Informao do Sistema.......................................................................

Figura 42 - Exemplo Retirado do IEHistoryView...................................................

Figura 43 - Scan for Pictures.................................................................................

ABIN Agncia Brasileira de Inteligncia

1.2.1 Objetivos Gerais ........................................................................................ 15

METODOLOGIA DA PESQUISA ........................................................................... 17

CAPTULO 2 - FUNDAMENTAO TERICA........................................................ 18

CRIMES DE INFORMTICA ................................................................................ 18

LEGISLAO APLICADA NA INFORMTICA .......................................................... 20

2.2.1 Omisso dos Provedores de Internet ........................................................ 22

O QUE PEDOFILIA ? ...................................................................................... 23

A PEDOFILIA E A INTERNET .............................................................................. 25

LEI 11.829/2008 - COMBATE PORNOGRAFIA INFANTIL E PEDOFILIA NA INTERNET

PERCIA FORENSE APLICADA INFORMTICA ................................................... 29

Cadeia de Custdia ............................................................................... 32

ORDEM DE VOLATILIDADE ................................................................................ 32

PROCEDIMENTOS DE UMA PERCIA FORENSE .................................................... 35

2.8.1 Identificao das Evidncias ...................................................................... 40

THE CORONERS TOOLKIT - TCT ..................................................................... 46

UTILITRIO WINDOWS SYSINTERNALS .............................................................. 47

3.2.4 Process Monitor ........................................................................................ 52