Home 01 - Conceitos 07 - Forense e Antiforense 08 - Técnicas Antiforenses

As fontes descrevem as Técnicas Antiforense como uma coleção de métodos e procedimentos aplicados com o objetivo claro de impedir, dificultar ou subverter uma investigação forense. Conceitualmente, a antiforense é a aplicação de métodos para agir contra a aplicação da ciência às leis criminais e civis. Ela visa comprometer dois pilares da prova: a disponibilidade (escondendo ou manipulando o vestígio para que não seja alcançado) e a utilidade (destruindo a integridade ou obliterando a evidência).

No contexto mais amplo da disputa entre perícia e crime, as técnicas antiforense são categorizadas da seguinte forma pelas fontes:

1. Ocultação de Dados e Ofuscação

Estas técnicas visam tornar a evidência “invisível” ou enganar o perito sobre sua natureza:

  • Esteganografia: A “escrita encoberta”, que oculta a própria existência de uma mensagem dentro de arquivos de imagem, áudio ou vídeo.
  • Alternate Data Streams (ADS): Recurso do sistema NTFS usado para esconder arquivos maliciosos em fluxos de dados “sem nome”, tornando-os indetectáveis por ferramentas nativas do Windows.
  • Falsificação de Extensões: Alterar a extensão de um arquivo (ex: de .exe para .doc) para que o sistema ou o perito não consigam abri-lo ou identificar sua função real.
  • Criptografia: Embora tenha usos legítimos, é usada para tornar dados ilegíveis para investigadores que não possuem a chave.

2. Eliminação de Vestígios (Limpeza de Artefatos)

Ao contrário da exclusão simples (que apenas libera espaço no disco), estas técnicas buscam a destruição permanente:

  • Sanitização de Discos (Wiping): Sobrescrita repetitiva de dados com zeros ou caracteres aleatórios para tornar a recuperação impossível.
  • Desfragmentação: Usada maliciosamente para reorganizar o disco e destruir dados residuais em espaços não alocados.

3. Ataque à Credibilidade e Temporalidade

  • Modificação de Metadados (Timestomping): Uso de ferramentas para alterar carimbos de tempo (MAC Times) de criação, acesso e modificação, frustrando a reconstrução de uma linha do tempo fiel.

4. Ataques Diretos contra Ferramentas Forenses

Esta é considerada a forma mais nova e ameaçadora de antiforense, pois ataca o próprio software do perito:

  • Zip da Morte (Bomba de Compressão): Arquivos compactados pequenos que, ao serem abertos por softwares como o EnCase, expandem-se para tamanhos colossais (petabytes), travando o sistema de análise.
  • ReDoS: Ataques de negação de serviço que exploram expressões regulares para fazer com que a ferramenta de busca do perito consuma tempo exponencial e pare de funcionar.
  • Falhas de Validação: Exploração de bugs nos softwares forenses (como ataques de estouro de buffer) para executar código arbitrário e comprometer a análise.

O Papel do Perito frente à Antiforense

As fontes ressaltam que o crime e a defesa evoluem juntos: assim que uma nova defesa forense surge, um novo método criminoso se opõe a ela. Para combater essas táticas, a perícia moderna recomenda a Análise Live e o Dump de Memória RAM, que permitem recuperar chaves de criptografia e comandos do histórico que ainda não foram apagados ou sobrescritos no hardware.