Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 01 - Fases Básicas

No contexto das Fases Básicas da perícia, a Preservação é a etapa crítica voltada para garantir a integridade e a imutabilidade dos vestígios digitais, assegurando que a evidência coletada seja idêntica ao que foi encontrado na cena do crime.

Abaixo, detalho os conceitos e procedimentos de preservação e integridade apresentados nas fontes:

1. O Princípio “Primum non nocere”

As fontes destacam que a preservação é regida pelo princípio fundamental “Primum non nocere” (“Primeiramente, não faça bobagem”), que estabelece que o perito nunca deve macular, danificar ou alterar os dados originais. Qualquer operação executada em um sistema pode causar modificações; por isso, a regra é trabalhar o mínimo possível com os dados originais, optando sempre por realizar a análise sobre uma cópia.

2. Técnicas para Garantir a Integridade

Para que a evidência seja admissível em juízo, o perito deve provar que ela não foi modificada desde sua coleta. As principais técnicas citadas são:

  • Funções Hash: Atuam como uma “impressão digital” eletrônica dos dados. Utilizam-se algoritmos como MD5, SHA-1 ou SHA-256 para gerar um código único da mídia original e da cópia. Se os valores de hash forem idênticos, a integridade da evidência está comprovada.
  • Cópia Bit a Bit (Espelhamento ou Imagem): Diferente de uma cópia comum de arquivos, esta técnica captura todos os bits do dispositivo, incluindo áreas não alocadas (espaços em branco) e arquivos apagados, preservando o cenário real do disco.
  • Bloqueadores de Escrita: São equipamentos (hardware) ou comandos (software) que impedem qualquer operação de gravação na mídia original durante a coleta, evitando alterações acidentais em metadados ou conteúdos.

3. Fatores de Degradação (Espoliação e Adulteração)

A preservação deve proteger os artefatos contra dois tipos de riscos:

  • Espoliação: Degradação física ou lógica resultante de fatores ambientais, como campos magnéticos (fatais para discos flexíveis e fitas), temperatura inadequada, umidade excessiva (fungos e oxidação), choques mecânicos e eletricidade estática.
  • Adulteração: Alteração intencional dos dados, que pode ser combatida através da manutenção rigorosa da Cadeia de Custódia.

4. O Desafio da Volatilidade e o Estado do Sistema

Um dos pontos centrais da preservação é a Ordem de Volatilidade. O perito deve priorizar a coleta de dados que desaparecem rapidamente (como registros da CPU e memória RAM) antes de passar para mídias permanentes.

  • O Dilema do Desligamento: As fontes discutem se o perito deve “puxar o plugue” da tomada ou realizar um desligamento normal. “Puxar a tomada” é frequentemente preferível para evitar que scripts maliciosos apaguem vestígios durante o desligamento, embora isso possa causar alguma corrupção de dados que sistemas modernos de journaling conseguem mitigar.

5. Cadeia de Custódia como Garantia

A Cadeia de Custódia é apresentada como o procedimento formal que viabiliza a preservação da integridade ao longo de todo o tempo. Ela registra detalhadamente cada pessoa que manipulou a evidência e cada local por onde ela transitou, criando um lastro de autenticidade jurídica indispensável para evitar a nulidade da prova em tribunal.

Em resumo, a preservação é a “fase de salvaguarda”, onde o uso de tecnologias de registro (hash), o isolamento adequado e o acondicionamento correto em laboratórios com controle de acesso são essenciais para transformar um vestígio bruto em uma prova científica confiável.