Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 03 - Coleta de Evidências

No contexto da Coleta de Evidências, a ordem de volatilidade é um princípio fundamental que determina a sequência em que os dados devem ser adquiridos, priorizando aqueles que desaparecem mais rapidamente. Este conceito está intrinsecamente ligado à preservação do estado do sistema, pois, sem respeitar essa ordem, informações críticas podem ser perdidas para sempre.

Abaixo, detalho o que as fontes explicam sobre este tema:

1. A Hierarquia da Volatilidade

As fontes apresentam uma escala técnica para a coleta, baseada no “tempo de vida” dos dados:

  • Registradores da CPU e Caches: São os mais voláteis (nanossegundos). Embora sejam quase impossíveis de capturar sem procedimentos extremamente estruturados, possuem baixo valor forense.
  • Memória Principal (RAM): Localizada logo após os caches, a RAM é considerada altamente volátil e contém dados essenciais como senhas, processos em execução, conexões de rede e chaves de criptografia. Uma vez que a energia é cortada, o conteúdo da RAM é apagado.
  • Estado da Rede e Processos em Execução: Possuem vida útil de milissegundos a segundos.
  • Mídias Não Voláteis (Discos): Estão no final da hierarquia (minutos a anos), incluindo HDDs, SSDs, pendrives e CDs, que preservam os dados mesmo sem energia.

2. O Princípio “Primum non nocere”

A coleta seguindo a ordem de volatilidade é regida pelo princípio “Primum non nocere” (“Primeiramente, não faça bobagem”). Isso significa que o perito deve evitar ao máximo macular ou alterar os dados originais. As fontes ressaltam que é quase impossível coletar dados de um sistema em execução sem causar alterações leves, mas o objetivo é minimizar essa perturbação e documentar qualquer mudança inevitável.

3. O Dilema da Coleta de RAM (Live Analysis)

A decisão de coletar a RAM primeiro define a abordagem da investigação:

  • Análise Live (em tempo real): Se houver suspeita de que evidências críticas estão na memória (como em casos de criptografia ativa), o perito deve realizar a coleta com o sistema ligado.
  • Puxar o plugue vs. Desligamento Normal: Se os dados da RAM não forem necessários, o procedimento padrão recomendado é puxar o cabo de força da tomada. Isso evita que scripts maliciosos (malware) detectem o desligamento e apaguem vestígios no disco rígido. No entanto, se a RAM for prioridade, o sistema deve ser mantido ligado até a conclusão da captura.

4. Ferramentas para Captura de Memória

Haja vista que o acesso à RAM em sistemas modernos é complexo, as fontes citam ferramentas específicas para garantir que a ordem de volatilidade seja respeitada com eficácia:

  • LiME (Linux Memory Extractor): Ferramenta de escolha para realizar o dump de memória em sistemas Linux, pois armazena a captura em um formato compatível com o framework de análise Volatility.
  • fmem: Um dispositivo forense que permite acessar toda a memória virtual para a extração.

Em resumo, as fontes enfatizam que a RAM deve vir primeiro porque é o ponto de maior risco de perda de informação. A coleta deve ser feita por profissionais treinados utilizando softwares homologados, garantindo que o “mar de dados” voláteis seja transformado em prova fidedigna antes que a volatilidade o apague.