Home 01 - Conceitos 07 - Forense e Antiforense 09 - Ferramentas Forenses

As ferramentas forenses são os instrumentos fundamentais que permitem ao perito transformar dados brutos armazenados em mídias eletrônicas em evidências admissíveis em juízo. No contexto da Computação Forense, essas ferramentas visam garantir o rigor científico e a integridade da prova, enquanto na Antiforense, elas são o alvo de ataques que buscam subverter ou inviabilizar a investigação.

Abaixo, detalho como essas ferramentas são abordadas nas fontes em ambos os contextos:

1. Ferramentas de Aquisição e Preservação (Forense)

Nesta fase, o objetivo é coletar os dados sem alterar o original, respeitando a ordem de volatilidade.

  • Hardware Forense: Equipamentos como o Tableau TD3, Solo IV e AXIOM são utilizados para duplicação pericial. Eles possuem bloqueadores de escrita integrados, garantindo que a mídia original não sofra qualquer modificação durante a cópia.
  • Cópia “Bit a Bit”: Softwares como o dd, dc3dd e o dcfldd (desenvolvido pelo DoD dos EUA) realizam cópias integrais. O dcfldd é destacado por sua capacidade de calcular hashes (MD5, SHA1, SHA256) em tempo real, fornecendo uma “impressão digital” que garante a integridade da evidência.
  • Coleta de Memória RAM: Ferramentas como o LiME (Linux Memory Extractor) e o fmem são essenciais para capturar dados voláteis (como chaves de criptografia) antes que o computador seja desligado.

2. Ferramentas de Exame e Análise (Forense)

Após a coleta, o perito utiliza softwares para filtrar informações e recuperar dados apagados (data carving).

  • Suítes Comerciais: O EnCase e o FTK (Forensic Toolkit) são os mais populares mundialmente. Eles oferecem interfaces gráficas organizadas, visualização de galerias de fotos e suporte a diversos formatos de imagem forense (como o .E01).
  • Soluções Nacionais e Livres: O IPED, desenvolvido por peritos da Polícia Federal Brasileira, é citado como uma ferramenta robusta para indexação e processamento. Já o The Sleuth Kit (TSK) e sua interface gráfica Autopsy são as principais opções de código aberto para análise de sistemas de arquivos.
  • Análise de Memória: O framework Volatility é a referência para analisar dumps de RAM, permitindo reconstruir históricos do terminal (linux_bash), conexões de rede e identificar processos ocultos.

3. O Alvo da Antiforense: Ataques às Ferramentas

As fontes destacam que os criminosos exploram vulnerabilidades nos próprios softwares forenses para comprometer a investigação.

  • Ataques de Negação de Serviço (DoS): O “Zip da Morte” (ou bomba de compressão) é uma técnica que utiliza arquivos compactados pequenos que, ao serem abertos por ferramentas como o EnCase, expandem-se para petabytes de dados, fazendo o sistema do perito travar.
  • Subversão da Validação: Invasores podem explorar bugs de buffer overflow em ferramentas de análise de rede (como o tcpdump ou snort) para executar código arbitrário e corromper os resultados da perícia.
  • Ofuscação e Manipulação: Ferramentas como o Timestomp (do projeto Metasploit) são usadas para alterar metadados de tempo, enquanto o recurso de ADS do NTFS esconde arquivos de ferramentas de busca nativas, exigindo que o perito use comandos específicos para localizá-los.

4. Distribuições Especializadas

Para facilitar o trabalho pericial, existem sistemas operacionais “Live” que já vêm pré-configurados com centenas de ferramentas forenses, como o SIFT, CAINE e o Kali Linux. Eles permitem que o perito inicie uma máquina suspeita em modo forense (sem montar os discos para escrita), protegendo os vestígios contra alterações acidentais.

Em resumo, a eficácia de uma ferramenta forense depende da sua capacidade de resistir às táticas antiforense e de seguir os Procedimentos Operacionais Padrão (POP), garantindo que o laudo técnico final seja inquestionável no tribunal.