Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia 03 - Coleta de Evidências

A imagem forense, também chamada de cópia bit-a-bit ou espelhamento, é descrita pelas fontes como o procedimento padrão e indispensável na fase de coleta de evidências para garantir que o material analisado seja uma duplicata exata e fidedigna da mídia original.

No contexto mais amplo da perícia, os principais aspectos sobre a imagem forense são:

1. Diferença entre Cópia Comum e Cópia Bit-a-bit

As fontes enfatizam que uma imagem forense é radicalmente diferente de uma cópia de arquivos convencional (como a feita pelo Windows Explorer) ou de um backup simples.

  • Abrangência: A imagem bit-a-bit captura todos os dados processados eletronicamente, incluindo arquivos ativos, arquivos apagados e espaços não alocados (áreas “vazias” ou ociosas do disco).
  • Recuperação de Dados: Como a cópia forense preserva os blocos de dados brutos onde metadados foram sobrescritos mas o conteúdo permanece intacto, ela possibilita técnicas posteriores como o data carving para recuperar informações deletadas.

2. Garantia de Integridade e Autenticidade

Para que a imagem tenha validade jurídica, o perito deve provar que a cópia é idêntica ao original.

  • Funções Hash: Após concluir a cópia forense, é obrigatório extrair o HASH (como MD5, SHA-1 ou SHA-256) tanto da mídia original quanto da cópia. Se os resultados forem iguais, a integridade está garantida e a prova é considerada autêntica e idônea para o juízo.
  • Bloqueadores de Escrita: Durante o processo de criação da imagem, a mídia original deve ser protegida por bloqueadores de escrita (hardware ou software) para impedir que qualquer bit seja alterado acidentalmente ao conectar o dispositivo à estação de trabalho.

3. Ferramentas e Métodos

A escolha da ferramenta depende do sistema operacional e da disponibilidade de recursos:

  • Software Livre (Linux): O Linux é apontado como o principal sistema para este fim, pois permite realizar a cópia sem “montar” os discos, evitando a alteração de carimbos de tempo. As ferramentas de linha de comando mais citadas são o dd, dc3dd e o dcfldd (que permite calcular o hash em tempo real durante a cópia).
  • Softwares Comerciais: Ferramentas como EnCase e FTK Imager são amplamente utilizadas para criar imagens em diversos formatos e analisar mídias de forma organizada.
  • Hardware Especializado: Em campo ou laboratório, utilizam-se duplicadores forenses (como os modelos da Tableau ou Solo IV) que realizam a cópia integral de uma mídia para outra com alta velocidade e suporte a várias interfaces.

4. Formatos de Imagem

As fontes detalham dois tipos principais de armazenamento para as imagens coletadas:

  • Formato Bruto (Raw/dd): É um conjunto de bytes na mesma ordem lógica do disco original. É universal e compatível com todas as ferramentas forenses, mas gera arquivos muito grandes.
  • Formatos Proprietários (ex: E01 do EnCase): Incluem cabeçalhos com metadados (dados do perito, data do caso) e rodapés com o hash embutido, suportando também a compressão dos dados para economizar espaço.

Em resumo, a criação da imagem forense permite que o perito trabalhe sempre sobre uma “cópia de trabalho”, preservando o vestígio original intacto e garantindo que a análise possa ser reproduzida fielmente em uma eventual contraperícia.