Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 01 - Fases Básicas

As fontes apresentam diferentes modelos e nomenclaturas para as fases básicas da perícia computacional, dependendo da doutrina ou norma técnica aplicada, mas todas convergem para um fluxo que visa garantir a validade jurídica da prova digital.

No contexto mais amplo dos procedimentos de perícia, as fases podem ser assim compreendidas:

1. Modelos de Fases Básicas

  • Modelo de Freitas (2007): Define quatro procedimentos fundamentais: Identificação, Preservação, Análise e Apresentação.
  • Modelo NIST (National Institute of Standards and Technology): Organiza o processo em Coleta, Exame, Análise e Resultados obtidos (Apresentação).
  • Modelo Amplo (6 Fases): Algumas fontes detalham seis etapas críticas: Identificação, Preservação, Coleta, Exame, Análise e Relatório.
  • Perspectiva de Investigação Forense (3 Fases): No contexto técnico do Linux, o processo é resumido em Preservação de evidências, Busca por evidências e Reconstrução do evento.

2. Detalhamento das Etapas Principais

Identificação e Isolamento

Nesta fase inicial, o perito identifica os locais do crime e os dispositivos que podem conter evidências, diferenciando o contexto físico (hardware) do contexto lógico (bits e informações). O isolamento é vital para evitar ataques à integridade, podendo ser físico (isolar a área) ou lógico (interromper redes e evitar acesso de usuários).

Preservação e Coleta

A preservação é regida pelo princípio Primum non nocere (“Primeiramente, não faça bobagem”), focando em não alterar os dados originais.

  • Cadeia de Custódia: É o registro detalhado de todos os passos e pessoas que manipularam a evidência, garantindo sua rastreabilidade e autenticidade.
  • Ordem de Volatilidade: A coleta deve priorizar os dados mais efêmeros (como registros da CPU e memória RAM) antes de mídias permanentes (HDs).
  • Cópia Bit a Bit: Deve-se realizar uma imagem forense idêntica ao original, utilizando bloqueadores de escrita para garantir a imutabilidade do vestígio.

Exame e Análise

  • Exame: Consiste em encontrar, filtrar e extrair informações dos dados coletados para ajudar a reconstruir o incidente.
  • Análise: É a fase mais minuciosa, onde o perito utiliza ferramentas para correlacionar eventos, pessoas e locais, respondendo como o fato ocorreu e quem foi o responsável. Pode envolver técnicas como data carving (recuperação de arquivos apagados) e indexação de dados.

Apresentação e Relatório

O resultado final é consolidado no Laudo Pericial (ou parecer técnico), um documento formal que apresenta os fatos e conclusões de modo compreensível para autoridades judiciais, sem a necessidade de conhecimento técnico profundo por parte de quem o lê.

3. Dinâmica das Fases

As fontes ressaltam que essas etapas podem não seguir uma ordem estritamente linear; em casos reais, podem ocorrer de forma concomitante ou cíclica, dependendo das condições ambientais e da urgência exigida. Além disso, a perícia pode ser classificada como Análise Live (em tempo real, com o sistema ligado) ou Análise Post-mortem (com o sistema desligado), alterando a abordagem técnica em cada fase.