Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 03 - Coleta de Evidências

Os bloqueadores de escrita (ou write blockers) são descritos nas fontes como ferramentas essenciais para garantir o princípio fundamental de preservação da integridade da evidência digital. Eles atuam impedindo que qualquer operação de gravação ocorra na interface à qual a mídia original está conectada, evitando alterações acidentais em dados ou metadados.

No contexto da coleta de evidências, os principais pontos destacados são:

A conexão de uma mídia suspeita a um computador sem proteção contra escrita pode alterar registros de dados e carimbos de tempo (timestamps), o que permite que partes interessadas questionem a validade da prova em juízo. O uso de bloqueadores assegura que a cópia forense bit a bit seja uma duplicata exata e fidedigna do conteúdo original.

2. Bloqueadores de Escrita via Hardware

Estes são dispositivos físicos que se situam entre a mídia objeto e a estação de trabalho forense.

  • Funcionamento: São frequentemente específicos por protocolo (IDE, SATA, SCSI, USB).
  • Exemplos de Equipamentos: As fontes citam modelos como o IM Solo-4 (da ICS), o Tableau TD3 (da Guidance Software), além de equipamentos da marca AXIOM.
  • Vantagens: Proporcionam maior rapidez na duplicação, suporte a diversas interfaces e eliminam a necessidade de um computador para fazer a ponte entre os discos. Muitos modelos são portáteis e podem ser levados para coletas em campo.

3. Bloqueadores de Escrita via Software

Em situações onde o bloqueio por hardware não é possível ou viável, utilizam-se soluções de software.

  • Montagem Somente-Leitura: Distribuições Linux preparadas para forense (como SIFT e CAINE) permitem montar o disco original no modo “somente leitura” (read-only), garantindo que os dados não sejam modificados durante a inspeção ou cópia.
  • Regras de udev (udev rules): No Linux, é possível configurar regras de sistema para criar um “hub USB virtual” que monta automaticamente qualquer dispositivo conectado como somente-leitura.
  • Exemplos Práticos: Uma configuração comum de baixo custo citada envolve o uso de um hub USB 3.0 associado a um sistema de udev rules e uma doca de discos (drive dock).

4. Aplicação em Diferentes Tipos de Análise

  • Análise Post-mortem (A frio): É o cenário ideal para o uso de bloqueadores, onde o equipamento é examinado desligado, garantindo o maior grau de preservação possível.
  • Análise Live (Em tempo real): Embora a análise live altere inevitavelmente alguns dados, ferramentas como o FTK Imager podem ser usadas com bloqueadores de escrita para tentar minimizar as modificações ao extrair arquivos ou realizar o dump de memória de sistemas em execução.

Em suma, os bloqueadores de escrita são a materialização do princípio “Primum non nocere” (primeiramente, não faça bobagem), sendo indispensáveis para que o perito possa provar que a evidência apresentada no laudo é exatamente o que foi encontrado na cena do crime.