Home 01 - Conceitos 07 - Forense e Antiforense 05.2 - Procedimentos de Perícia

Os Procedimentos de Perícia são descritos nas fontes como o conjunto de métodos científicos e rigorosos aplicados para a aquisição, preservação, recuperação e apresentação de dados eletrônicos que sirvam como prova admissível em juízo. Enquanto a perícia busca a materialidade e a autoria de crimes cibernéticos, as técnicas antiforense surgem como contramedidas destinadas a subverter, dificultar ou inviabilizar cada etapa desse processo.

1. Pilares e Padronização Procedimental

A perícia computacional não é apenas técnica, mas uma disciplina formal que exige todo o rigor da lei para que seus resultados cheguem ao fórum.

  • Normas e POPs: No Brasil, os procedimentos seguem diretrizes como a ABNT NBR ISO/IEC 27037:2013 e os Procedimentos Operacionais Padrão (POP) da SENASP/Ministério da Justiça, que visam minimizar riscos de imperícia e garantir a previsibilidade dos resultados.
  • Cadeia de Custódia: É o procedimento vital para garantir a integridade, autenticidade e rastreabilidade da prova. Qualquer falha nesse registro — que deve catalogar todas as pessoas que manipularam a evidência e onde ela transitou — pode levar à nulidade da prova perante o juiz.
  • O Perito: Deve ser um profissional com curso superior, agindo com ética e espírito investigativo, sendo muitas vezes um perito oficial concursado ou um perito nomeado pelo juiz.

2. Fases do Processo Pericial

O processo é estruturado em etapas que visam transformar dados brutos em evidências úteis.

  • Identificação e Isolamento: O perito identifica locais de crime (imediatos ou virtuais) e isola o perímetro para evitar a contaminação ou alteração dos dados. O desafio aqui é diferenciar o contexto físico (hardware) do contexto lógico (bits e arquivos).
  • Coleta e Preservação (Ordem de Volatilidade): A coleta deve respeitar a volatilidade dos dados para que informações efêmeras não se percam. A hierarquia vai desde os registros da CPU e memória RAM (mais voláteis) até o disco rígido e mídias óticas (menos voláteis).
  • Exame e Análise: É a fase minuciosa de filtrar informações, realizar o data carving (recuperação de arquivos apagados) e correlacionar eventos para reconstruir o incidente.
  • Apresentação (Laudo): O resultado final é o Laudo ou Parecer Técnico, um documento formal que explica os achados de forma compreensível para autoridades não técnicas.

3. Técnicas de Análise: Live vs. Post-mortem

  • Análise Live (Vivo): Realizada com o sistema em execução. É essencial quando há criptografia ativa (volumes montados) ou dados críticos na memória RAM que seriam perdidos ao desligar.
  • Análise Post-mortem (Morto/A frio): Realizada com o equipamento desligado, utilizando bloqueadores de escrita (hardware ou software) e cópias bit a bit (imagens forenses) para garantir que o original jamais seja alterado.

4. O Desafio da Antiforense nos Procedimentos

A antiforense ataca especificamente as fases do procedimento pericial para comprometer a utilidade da evidência:

  • Ataque à Preservação: Manipulação de metadados (Timestomp) para destruir a linha do tempo ou o uso de técnicas para quebrar a cadeia de custódia.
  • Ataque à Coleta: Uso de criptografia ou esteganografia para tornar os dados invisíveis ou ilegíveis.
  • Ataque às Ferramentas: Inserção de artefatos maliciosos (como o Zip da Morte) que exploram vulnerabilidades nos softwares usados pelo perito, fazendo-os travar ou reportar dados falsos.

Para o perito, o conhecimento dessas táticas de impedimento é tão necessário quanto o domínio das técnicas de coleta, pois o crime e a prevenção (defesa forense) evoluem de forma conjunta.