Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 03 - Coleta de Evidências

A coleta de evidências é uma das fases críticas da computação forense, inserida em um fluxo de procedimentos que visa transformar vestígios brutos em provas admissíveis em juízo. Ela é definida como a capacidade de adquirir dados processados eletronicamente e armazenados em mídias computacionais ou transmitidos em rede.

No contexto amplo dos procedimentos periciais, a coleta de evidências segue diretrizes rigorosas descritas pelas fontes:

1. Tipos de Análise: Live vs. Post-mortem

A abordagem de coleta depende do estado do sistema no local:

  • Análise Live (em tempo real): É realizada com o dispositivo ligado para salvaguardar evidências voláteis que seriam perdidas no desligamento, como o conteúdo da memória RAM, processos em execução e conexões de rede. É essencial quando se suspeita do uso de criptografia, permitindo o dump da memória para extração de chaves ativas.
  • Análise Post-mortem (a frio): Ocorre com o equipamento desligado. O objetivo aqui é aumentar o grau de preservação, utilizando bloqueadores de escrita (hardware ou software) para impedir qualquer alteração nos dados originais durante a extração.

2. Princípios Fundamentais: Integridade e Volatilidade

A coleta é regida pelo princípio Primum non nocere (“primeiramente, não faça bobagem”), que proíbe qualquer ação que macule ou altere os dados.

  • Ordem de Volatilidade: O perito deve coletar primeiro os dados mais efêmeros (como registros da CPU e memória RAM) antes de passar para mídias permanentes (HDDs e SSDs), garantindo que informações críticas não desapareçam durante o processo.
  • Garantia de Fidelidade: Toda coleta deve ser realizada por meio de uma cópia bit a bit (espelhamento ou imagem), capturando inclusive arquivos apagados e espaços não alocados. A integridade é comprovada através do cálculo de funções hash (como MD5 ou SHA), comparando o original com a cópia; se os valores forem iguais, a evidência é considerada autêntica.

3. Procedimentos Operacionais e Ferramentas

Para evitar questionamentos judiciais, a coleta deve seguir Procedimentos Operacionais Padrão (POP).

  • Isolamento: Antes de coletar, é necessário isolar a área física e lógica, impedindo o acesso de terceiros e interrompendo conexões de rede para evitar comandos remotos de destruição de dados.
  • Dispositivos Móveis: Aparelhos com conexão celular devem ser colocados em modo avião ou ter o chip removido para evitar o bloqueio ou apagamento remoto.
  • Toolkit Pericial: Utilizam-se ferramentas como dd, dcfldd, FTK Imager e duplicadores forenses (como os da marca Tableau) para garantir uma aquisição limpa e rápida.

4. Documentação e Cadeia de Custódia

Nenhuma coleta tem validade sem a cadeia de custódia, que é o registro cronológico e detalhado de todos os passos, pessoas e locais por onde a evidência transitou. O perito deve preencher formulários que identifiquem cada item (número de série, modelo), o agente coletor e a data/hora exata, garantindo a rastreabilidade total do vestígio desde a cena do crime até o laboratório.