Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 01 - Fases Básicas

No contexto dos procedimentos de perícia computacional, a fase de Análise (ou Processamento) é descrita como a etapa mais minuciosa, complexa e demorada do processo forense. Ela ocorre após a coleta e a restauração das cópias dos dados (imagens), tendo como objetivo central transformar vestígios brutos em informações inteligíveis para reconstruir o incidente.

Abaixo, detalho os principais aspectos desta fase conforme as fontes:

1. Objetivos e Definição

A análise forense computacional foca no exame de software e hardware para trazer à tona elementos indicativos de autoria, materialidade e a dinâmica dos fatos. O processo visa correlacionar os dados coletados para responder a perguntas fundamentais: quando e como um fato ocorreu e quem foi o responsável por ele.

2. Procedimentos e Técnicas

Esta fase envolve uma varredura minuciosa nas informações que residem no sistema, sejam dados em arquivos ou em memória, deletados, cifrados ou danificados. As fontes destacam as seguintes técnicas:
* Data Carving: Recuperação de arquivos apagados por meio da localização de assinaturas de cabeçalho conhecidas.
* Indexação: Técnica de organização de dados que cria estruturas associadas aos documentos para gerar velocidade no acesso e buscas posteriores.
* Busca por Palavras-chave: Método essencial para tornar a análise de milhões de arquivos viável em discos rígidos modernos.
* Engenharia Reversa: Desmontagem de programas para entender seu funcionamento, útil para contornar autenticações ou senhas.
* Timelines: Criação de linhas do tempo baseadas em metadados de arquivos (MAC Times) e logs para reconstruir a sequência dos eventos.

3. Ferramentas Utilizadas

A escolha das ferramentas depende de cada caso e do sistema operacional. As fontes citam:
* Comerciais: EnCase (popular pela documentação extensa), FTK (conhecido pela facilidade de uso) e IPED (desenvolvido pela Polícia Federal brasileira).
* Livres e Open Source: The Sleuth Kit (TSK) e Autopsy (interface gráfica para o TSK) são fundamentais para análise de discos e sistemas de arquivos Linux.
* Análise de Memória: O framework Volatility é destacado para analisar dumps de memória RAM, permitindo verificar processos, conexões de rede e históricos de comandos que não deixaram rastros no disco.

4. Fatores que Influenciam a Análise

A complexidade da análise é afetada por três fatores principais:
* Fator Humano: Capacidade de raciocínio, dedução e estado emocional do perito.
* Fator Tecnológico: Desafios impostos pela velocidade de processamento e pelo tamanho massivo das mídias atuais.
* Fator Legal: Parâmetros impostos pela legislação e ritos processuais que a análise deve obedecer.

5. Tipos de Análise: Live vs. Post-mortem

As fontes diferenciam a análise quanto ao estado do sistema:
* Análise Live: Feita com o sistema em execução para capturar dados voláteis (RAM, conexões de rede). Embora possa alterar levemente a evidência, é muitas vezes a única forma de contornar criptografias ativas.
* Análise Post-mortem: Realizada com o sistema desligado sobre uma imagem forense bit a bit, garantindo um grau superior de preservação e integridade.

Por fim, as fontes alertam que a fase de análise é o alvo principal de técnicas antiforense, onde invasores exploram vulnerabilidades em ferramentas de perícia ou manipulam metadados para atacar a credibilidade e a interpretação das evidências no tribunal.