ROTEIRO DE BUSCA, APREENSÃO E DUPLICAÇÃO FORENSE DE DADOS DE EQUIPAMENTOS INFORMÁTICOS

  • Em desenvolvimento…
Ministério Público Federal de Uberlândia – MG (2019)

COLETA DE PROVAS DIGITAIS

Compilado de procedimentos dos mais renomados órgãos de combate ao crime do Brasil, aliado à experiência deste Perito, geraram esse roteiro com intuito de orientar a busca e apreensão de equipamentos informáticos.

Materiais

Material de segurança necessário para a busca e apreensão

  1. Botas isoladoras com bico de plástico, para evitar choques e quedas de materiais pesados e inviabilizar o profissional;
  2. Coletes balísticos para os profissionais da segurança PM;
  3. Luvas para evitar contaminar as provas, evitar choques, evitar contato direto com equipamentos eletrônicos sensíveis, etc;

Material informático necessário para busca e apreensão

  1. Equipamentos para duplicação de dados integralmente bit-a-bit;
  2. Mídia de armazenamento maior que a quantidade de dados apreendida, com espaço livre capaz de armazenar também o laudo resultante;
  3. Formulários específicos para coleta de assinaturas, para descrição detalhada dos equipamentos, aspectos, locais, senhas, etc;
  4. Caixas para acondicionar os equipamentos apreendidos;
  5. Embalagens para acondicionamento de equipamentos sensíveis a contato e umidades;
  6. Envelopes se possível com lacres invioláveis e espaço para identificação;
  7. Sacos plásticos para gabinetes;
  8. Fita isolante transparente para lacramento das caixas e envelopes;
  9. Caneta e/ou lapis;
  10. Lanternas;
  11. Câmeras fotográficas e cinematográficas de qualidade;
  12. Escalas métricas para medição dos equipamentos;
  13. Etiquetas de papel;
  14. Pranchetas;
  15. Caneta, pincel.

Mandado de busca e apreensão

Da elaboração do mandado judicial de busca e apreensão;

  1. O mandado deve descrever o mais detalhado possível o endereço da diligência e o nome das pessoas alvos da busca;
  2. Deve descrever o motivo da diligência;
  3. Ser subscrito por escrivão e autoridade com o fizer;
  4. Recomendado adicionar expressamente quebra de sigilo e acesso aos dos dados capturados/armazenados;
  5. Tendo servidores em nuvem, é recomendado que antes da execução da medida seja oficiado o provedor do serviço para preservação dos dados;

Da identificação dos produtos

REGRA: Uma regra de identificação será criada para definir o formato de etiquetamento dos objetos apreendidos. Padronização é muito importante para evitar enganos tanto no etiquetamento quanto na interpretação de cada item identificado.

  1. Uma regra bastante comum e bem óbvia seria a identificação pelo nome do produto, seguido do número atrelado a ele pela ordem cronológica do instante encontrado, exemplo, sendo o primeiro produto encontrando um Pendrive, denomine-o de Pendrive1, caso seja um HD denomine-o de HD1.

DETALHAR: Em um formulário específico deve-se detalhar as informações de cada dispositivo apreendido. No item anterior definiu-se o método de identificação dos equipamentos, nesse item escreve-se todas as informações conhecidas daquele objeto tais como número de série, datas, setores, cores, formatos, local onde foi encontrado, condição em que foi encontrado, etc. O quanto mais detalhado melhor para evitar alegações futuras de danos.

IMAGENS: O formulário do item anterior deverá obrigatoriamente ser municiado com fotografias e talvez vídeos, todos(as) devidamente referenciados(as) para que o leitor entenda quais fotografias referem-se àqueles dispositivos.

Planejamento da diligência

Agrupamento dos profissionais Perito, Oficiais e PM

Execução da medida cautelar

Da execução da busca e apreensão;

Em posse da ordem judicial agendar a busca e apreensão somente durante o dia;

Da segurança humana como procedimentos preliminares

  1. Preocupação com a segurança dos envolvidos na busca, Policiais, Peritos, Auxiliares, Oficiais, entre outros.
  2. Os Policiais, devidamente uniformizados e vestidos de seus equipamentos de segurança, são os primeiros a entrarem para identificar se o ambiente está seguro;
  3. Os Policiais identificam os indivíduos presentes, os reúnem em local seguro, afastado das provas, catalogando cada um para posterior apresentação no laudo;
  4. Após liberação do local por parte dos Policiais, entram os Peritos, Auxiliares e Oficiais de Justiça;

Da consecutividade da execução

  1. A autoridade deverá declarar sua qualidade;
  2. Ler o mandado para os presentes;
  3. Solicita autorização de ingresso;
  4. O uso do arrombamento somente em caso de desobediência ou ausência;
  5. Na ausência do morador qualquer vizinho será intimado para acompanhar;
  6. Solicitar o morador para apresentar os itens procurados;

Da segurança dos equipamentos

CONFIGURAÇÃO: Configurar as câmeras fotográficas com flash sempre ativo, pois câmaras no automático ou com flash desligados produzem imagens desfocadas;

COMO FOTOGRAFAR: Devido ao flash nunca fotografar perpendicular, isto é, diretamente na face do objeto, pois o flash gerará uma mancha que poderá ofuscar a leitura do objeto. Sempre na diagonal afastando a mancha do flash para fora do objeto registrado. Quando for registrar algo plano como uma mesa ou perto do objeto, fotografar sempre na horizontal, pois o intuito é registrar o máximo lateral, isto é, os extremos. Quando for fotografar cômodos sempre na vertical, pois o intuito é registrar o que existe desde o chão até o teto e o modo vertical é o melhor nesse sentido;

CENÁRIO: Antes de iniciar a busca interna, fotografar, filmar e descrever todo o ambiente (cena) em sua inércia inicial, garantindo a integridade estrutural e evitando acusações posteriores;

ISOLAMENTO: Não permitir que os indivíduos, alvos da busca, tenham acesso a celulares, telefones e/ou qualquer outro equipamento no momento da execução da medida. Existem comandos computacionais que podem iniciar, com uma simples ligação telefônica ou acessando um aplicativo específico, rotinas que apagam e destroem provas;

DESLIGADOS: Equipamentos desligados devem permanecer desligados até o momento de seu espelhamento, para evitar alteração de dados e alegação de contaminação;

LIGADOS: Equipamentos ligados não serão desligados antes da verificação dos conteúdos armazenados em memória volátil randômica (RAM);

  1. Preocupação com os equipamentos ligados à energia, que ao serem desconectados podem destruir provas;
  2. Impedir que os indivíduos presentes se aproximem dos equipamentos informático;
  3. NÃO desligar o roteador wireless, pois é possível conter dados de acessos como IPs, máscaras, gateways, MACs, etc;

CAPTURA: Os Peritos e seus Auxiliares, munidos de equipamentos para captura de mídias, devem realizar uma busca pelo local atrás de equipamentos informáticos (computadores, notebooks, tablets, celulares, smartphones, hds, pendrives, raspberry, Micropcs, Ipods, Smart Tvs, câmeras fotográficas, DVDs, CDs, cartões SD e MiniSD, demais eletrônicos armazenadores de dados digitais, concentradores, roteadores, etc);

SENHAS: Solicitar as senhas dos equipamentos apreendidos, anotando em formulário específico. Questionar sobre possíveis criptografias nos conteúdos;

  1. BIOS, SETUP, de inicialização, Windows, Whatsapp, E-mail, Google Drive, Dropbox, Skype, celular, IPAD, etc;

CONECTADOS: Preocupação com equipamentos ligados à rede, pois a possibilidade de perda de dados por script remoto é considerada;

  1. Remover imediatamente todos os equipamentos da rede física;
  2. Desativar todos os equipamentos conectados em rede wireless, desligando o transmissor de cada equipamento (computador, smartphones, notebooks, tablets, etc);
  3. Os equipamentos que possuírem o modo avião devem ser ativados;

GABINETES: Os profissionais decidirão se os computadores serão apreendidos por inteiro ou somente seus armazenadores de dados. Transportar e armazenar HDs é mais indicado pelo volume compreendido;

ETIQUETAMENTO: Todos os equipamentos serão devidamente identificados, etiquetados, fotografados e relatados pormenorizadamente no termo circunstanciado. Fotografar antes da apreensão, em seu local de origem, cada passo da desmontagem e depois de devidamente identificados e acondicionados;

SUCATA: Equipamentos quebrados, sucateados, desmontados, queimados, estragados, jogados no lixo, não devem ser descartados, existem possibilidades de recuperação de dados;

FONTES: Nunca esquecer de apreender, juntamente aos equipamentos possuidores de baterias próprias, as respectivas fontes de energia, pois muitas são específicas;

MÍDIAS CONVENCIONAIS: As mídias convencionais como CDs, DVDs, pendrives, disquetes, fitas, máquinas fotográficas, documentos, podem armazenar dados importantes para o deslinde do caso, portanto constarão no montante apreendido;

NUVEM: Existem inúmeros programas e aplicativos de armazenamento em nuvem, inclusive gratuitos. É imprescindível que sejam capturadas de alguma forma, ou o profissional forense realiza a cópia in locu ou solicita via mandado judicial, a disponibilidade por parte dos provedores desse serviços;

  1. O problema da primeira opção, cópia dos dados da nuvem in locu, está no tempo da cópia, talvez sendo melhor recorrer à segunda opção do mandado. Por outro lado um mandado pode demorar para sair, sem contar o tempo de intimação do provedor, possibilitando o usuário destruir as provas;

PENDRIVES: Existem vários tipos e formatos de dispositivos de armazenamento SD e MicroSD, podendo apresentar aspectos que enganem o profissional no momento da busca. Existem pendrives chaveiros, pentes, animais de pelúcia, em formato de armas, isqueiros, etc. É importante que o profissional fique atento a esses detalhes;

Dos procedimentos finais em diligência

TESTEMUNHAS: Testemunhas para acompanhamento do processo de busca e apreensão é uma exigência do Código Penal;

  1. Elaborar um formulário para coleta de assinatura dos presentes;

TRIAGEM: Realizar triagem dos objetos apreendidos para garantir que são realmente necessários para apreensão, se estão em consonância com os itens do mandado e possível descarte (devolução ao proprietário) caso não se encaixe nas exigências;

TERMO: Elaboração do termo circunstanciado relatando todos os equipamentos apreendidos, municiando o relatório com fotografias e se necessário vídeos;

Do transporte das provas

CONDUÇÃO: Os equipamentos devidamente acondicionados serão conduzidos até local seguro para continuidade dos trabalhos de espelhamento;

CUIDADO: Muito cuidado no manuseio e transporte dos HDs baseados em discos rígidos e agulhas de leitura, qualquer solavanco pode provocar o contato do eletroímã da ponta da agulha com o disco, danificando o local do contato, gerando badblocks e corrompendo dados armazenados naquela região;

DISCO RÍGIDO: Manuseie lentamente sempre na posição vertical, posicionando a agulha em ângulo de 90 graus com o nível do solo, evitando que solavancos verticais proporcionem o contato com o disco;

DISCO SÓLIDO: Impactos não são prejudiciais, mas o contato dos conectores com a pele humana, metais e outros materiais carregados eletricamente podem provocar descargas danosas. Manuseie com luvas e na primeira chance isole os conectores.

Dos procedimentos laboratoriais

DESMONTAGEM: Os equipamentos serão fotografados em cada fase de sua desmontagem para demonstrar que ocorreu da forma correta;

MONTAGEM(R): Em ambiente laboratorial, após o transporte, os profissionais capacitados farão acesso lógico aos equipamentos utilizando-se de bloqueadores de escrita;

HASH: Todos os equipamentos espelhados serão submetidos a um processo de geração de código único (hash), para garantir que os mesmos não seja alterados no posterior processo de análise de dados;

DEPÓSITO: Os equipamentos, tanto originais quanto cópias e backups, após o término dos procedimentos laboratoriais, serão depositados em Juízo, que decidirá o momento para a devolução;

MUITO IMPORTANTE: Da mesma forma que o procedimento a seguir será detalhadamente descrito, o procedimento laboratorial também deve seguir o mesmo padrão, pois deverá proporcionar a repetitividade esperada por um procedimento pericial, isto é, os próximos Peritos que seguirem os mesmos procedimentos deverão atingir os mesmos resultados.

Preparação do LiveDVD do Linux

Baixe a ISO do Linux em seu computador. Para este procedimento foi escolhido a distribuição Linux Ubuntu Desktop versão 18.04.3 LTS. Local <https://ubuntu.com/download/desktop>.

Coloque um DVD virgem no gravador de DVD e utilize um queimador (gravador) de imagens ISO, como o CDBurnerXP por exemplo:

Pronto o LiveDVD está configurado e pronto para ser utilizado em um computador.

Ligando o computador com o LiveDVD

Evite utilizar Sistemas Operacionais (SO) Windows para realizar cópias forenses, seus vários programas e drives podem gravar informações no dispositivo alvo, comprometendo a cópia. Utilize sempre um SO confiável onde possa controlar a montagem do dispositivo em formato somente leitura, para evitar que o computador insira dados em seu interior.

Para iniciar o Ubuntu em seu computador, coloque-o no leitor DVD e inicie o computador, garantindo que o boot ocorra pelo DVD criado.

Chegando na tela “Bem-vindo” escolha o idioma que achar melhor e clique no botão Experimentar o Ubunto. Esse formato garante que o computador seja iniciado através do LiveDVD, mantendo seu computador intacto.

Chegando na tela inicial do Ubuntu, deve-se acessar o terminal, para isso basta clicar no menu, representando por um ícone de nove pontinhos no canto inferior esquerdo, rolar a tela com o rolon do mouse até encontrar o ícone do terminal.

Abaixo segue o console do terminal do Ubuntu, é basicamente uma janela editável que aceita comando pré-definidos. Teste digitando “ls” e pressionando <enter>. Este comando lista todos os arquivos e diretórios/pastas da área em que se encontra.

Ajustando o horário

Para ajustar o horário do Linux, no canto superior direito da tela inicial do Linux Ubuntu, clique na “seta para baixo” e depois no símbolo de configuração, representado por uma imagem de ferramentas.

A aba das configurações do Linux aparecerá, clique no botão “Detalhes” e depois em “Data & Hora”, onde basta ajustar primeiramente o fuso horário para “-03 (Araguaiana, Brasil)” e se necessário ajustar o horário para o atual. Veja abaixo:

Para confirmar abra o console terminal do Linux e digite o seguinte comando “date” e pressione <enter>.

Ajustando o teclado

Para ajustar o teclado do Linux, no canto superior direito da tela inicial do Linux Ubuntu, clique na “seta para baixo” e depois no símbolo de configuração, representado por uma imagem de ferramentas.

A aba das configurações do Linux aparecerá, onde basta ajustar a fonte de entrada para Português (Brasil) que resolve automaticamente as configurações do teclado. Veja abaixo:

Para confirmar abra o console terminal do Linux e pressione as seguintes teclas “/ ? ~ ^ ç Ç”, se todos os caracteres aparecerem conforme a tecla a alteração foi bem-sucedida.

Desativando a automontagem

Antes de conectar os dispositivos nas portas USBs, é expressamente imprescindível desativar a automontagem do dispositivo, pois ao conectá-lo na USB o Linux o prontificará para acesso podendo alterar dados internos, abrindo margem para impugnação dos trabalhos por contaminação de prova.

Primeiro passo é analisar quais os dispositivos conectados no computador, para isto digite o seguinte comando “lsblk” e pressione <enter>.

Veja na imagem anterior que só existem conectados ao computador os dispositivos armazenadores “sda”, que é o HD interno da máquina não montado e “sr0”, que é o gravador de DVD.

Para impedir a montagem automática basta digitar o seguinte comando “gsettings set org.gnome.desktop.media-handling automount false” e pressione <enter>. Digite também “gsettings set org.gnome.desktop.media-handling automount-open false” e pressione <enter>.

Conectando e montando os dispositivos

Antes de tudo, neste próximo passo é importante verificar quais os equipamentos reconhecidos automaticamente pelo Linux. Para isso digite “sudo lsusb” e pressione <enter>.

Como visto na imagem anterior, o Linux não identificou nenhum dispositivo estranho. Neste momento já é possível conectar os equipamentos apreendidos na porta USB. Insira primeiro o dispositivo de destino, aquele que receberá as imagens dos dados que serão clonados, para evitar que erros na configuração deste exponha os dispositivos de origem. Após conectá-lo na porta USB digite novamente o comando “sudo lsusb” e pressione <enter>.

Como é possível perceber na imagem anterior, um novo dispositivo foi identificado pelo Linux, denominado “Sunplus Technology Co., Ltd SATALink SPIF225A”, esse é o HD de destino das imagens clonadas. Agora é importante verificar se o dispositivo já possue os devidos apontamentos necessários no diretório “/dev”, local padrão do Linux que recebe os ponteiros para os hardwares conectados no computador. Para isso digite o seguinte comando no terminal “ls /dev/s*” e pressione <enter>. Devem aparecer todos os dispositivos conectados via USB.

Como é possível perceber na imagem anterior, o Linux criou apontamento de um único dispositivo armazenador denominado “/dev/sda”, que deve ser o HD do computador utilizado. Outro comando interessante para descobrir se o apontamento do hardware foi criado é o “lsblk”, que é bem mais completo e resulta num detalhamento melhor das informações. Para executar digite o seguinte comando “sudo lsblk” e pressione <enter>.

Veja que na imagem anterior só aparece o dispositivo “sda”, provando que nem o apontamento do hardware do HD conectado o Linux não fez automaticamente. Para entender que dispositivo é esse, digite o seguinte comando “sudo fdisk -l /dev/sda”. O Linux deve retornar as informações deste dispositivo.

Veja na imagem anterior que trata-se de um dispositivo armazenador de 32 GBytes, que é exatamente o HD principal do computador usado para elaborar esses procedimentos, pois trata-se de uma máquina virtual. Fato é que o Linux não criou automaticamente o apontamento do HD de destino das imagens das provas, que não é uma notícia ruim, só prova que o Linux é inerte, isto é, não faz nada que o usuário não tenha solicitado e isso é bom, pois não gera acessos indevidos.

Para solicitar o Linux a identificar o HD recentemente conectado à porta USB, digite o seguinte comando “sudo modprobe usb-storage usbcore” e pressione <enter>.

Na imagem anterior é possível perceber três novos apontamentos, “/dev/sdb” que provavelmente é o HD de destino, o “/dev/sdb1” que deve ser a primeira partição do HD e o “/dev/sdb2” que deve ser a segunda partição. Outra forma melhor é utilizando aquele comando “lsblk”. Para executar digite o seguinte comando “sudo lsblk” e pressione <enter>.

Veja na imagem anterior que o Linux reconheceu o dispositivo “sdb”, criando mais dois apontamentos subordinados ao primeiro, sendo eles o “sdb1” e o “sdb2”. Porém perceba que o Linux criou o apontamento mas não montou o HD, isto é, ele identificou, reconheceu os drives, mas não prontificou o dispositivo para acesso ao seu conteúdo. Diferente do dispositivo “sr0” que é o leitor de DVD, perceba que ele apresenta na coluna MOUNT POINT o diretório em que está montado, denominado “/cdrom”, provando assim que o Linux é perfeitamente confiável no que tange o controle de acesso a dispositivos.

Para garantir que o dispositivo “sdb” seja realmente o HD de destino das imagens, digite o seguinte comando “sudo fdisk -l /dev/sdb”.

Como é possível ser visto na imagem anterior, o sistema encontrou um dispositivo de 186,3 Gbytes, denominou-o como “/dev/sdb”, encontrou duas partições que denominou “/dev/sdb1”, com 32 Gbytes, e “/dev/sdb2”, com 154,3 Gbytes, ambos no formato HPFS/NTFS/exFAT.

Uma outra forma de confirmar se o sistema montou o dispositivo para acesso ou não é utilizando o comando “mount”. Para verificar digite o seguinte comando “mount” e pressione <enter>.

Veja na imagem anterior que os dispositivos “/dev/sdb1” e “/dev/sdb2” não estão montados, o que significa que nesse procedimento não houve nenhum acesso indevido, que é uma das preocupações da cópia forense.

O próximo passo será montar o HD de destino para que possa se tornar acessível, gravável e receba as imagens dos dispositivos aprendidos. Para montar a primeira partição do dispositivo “sdb” digite os seguintes comandos “sudo mount /dev/sdb1 /mnt/hd_destino_p1” e pressione <enter>, onde o “/dev/sdb1” é o apontamento de hardware da primeira partição e o “/mnt/hd_destino_p1” é um diretório previamente criado para receber a partição primária. Logo após execute novamente o comando “sudo lsblk”.

Veja na imagem anterior que o comando montou somente a primeira partição do HD, deixando a segunda inacessível. Agora deve-se confirmar se foi montado no formato necessário de leitura e gravação, pois este é o HD que receberá as imagens. Para isso digite o seguinte comando “mount” e pressione <enter>.

Na imagem anterior é possível perceber todos os dispositivos montados no sistema, onde aparece somente uma partição do HD de destino “/dev/sdb1” montada no diretório “/mnt/hd_destino_p1”.

Ampliando a imagem para melhor visualização, é possível identificar ainda que a partição “/dev/sdb1” foi montada com características de leitura e gravação, representado pela informação “rw” que significa “read and write”, leitura e gravação.

Próximo passo é verificar se a partição primária do HD de destino possui espaço suficiente para a realização da cópia. Para isso digite o seguinte comando “sudo df -h” e pressione <enter>.

Veja que na imagem anterior que a primeira partição montada possui 32 GB de capacidade e disponível 32 GB, o que é mais que o necessário para cópia do Pendrive de 16 GB que será copiado.

O próximo passo será conectar o pendrive, produto da busca e apreensão, agora seguindo os procedimentos de proteção contra gravação exigidos pelas regras de cópia forense. Conecte o pendrive em uma porta USB e depois digite o comando “sudo lsblk”.

Na imagem anterior percebe-se que um novo dispositivo foi reconhecido pelo Linux, denominado de “sdc”, possuindo duas partições subordinadas, denominadas “sdc1” e “sdc2”, porém ambas se encontram desmontadas, portanto sem possibilidade de acesso ao seu conteúdo. Como este é um pendrive alvo da busca e apreensão não pode ser acessado pelo Perito, portanto será montado no método de somente leitura.

Garantindo a segurança contra gravação

Apesar de todo controle e confiabilidade do Linux, demonstrado até o momento, é possível aumentar tal nível para um patamar ainda mais alto, comandando o Linux a proteger os apontamentos dos dispositivos antes das respectivas montagens, isto é, determinando um duplo grau de proteção contra gravação. Para proteger os apontamentos do dispositivo, digite o seguinte comando “sudo hdparm -r1 /dev/sdb*” e pressione <enter>.

Veja na imagem anterior o resultado do comando do parágrafo anterior, que demanda ao Linux o primeiro nível de segurança imposta ao dispositivo em questão. A informação “readonly = 1 (on)” demonstra a proteção imediata do hardware.

Para provar que o primeiro nível de segurança está ativado e realmente em funcionamento, basta tentar montar a primeira partição do dispositivo “sdc1” que o próprio Linux informará o atual status. Para montar o pendrive digite o seguinte comando “sudo mount /dev/sdc1 /mnt/Pen1_part1” e pressionar <enter>.

Veja na imagem anterior que o próprio Linux avisou que montou em somente leitura, pois o dispositivo está protegido contra gravação. Para comprovar que a partição foi montada na modalidade somente leitura, digite o seguinte comando “mount” e pressione <enter>.

Como é possível perceber na imagem anterior, a partição “/dev/sdc1” está montada no diretório “/mnt/Pen1_part1”, com tipo de partição “vfat” e modalidade “ro” que significa somente leitura. Para desmontar digite “sudo umount /dev/sdc1”.

Outra forma de testar a proteção é tentando forçar o Linux a montar a partição em formato “rw”, leitura e gravação. Para isso digite o seguinte comando “sudo mount -rw /dev/sdc1 /mnt/Pen1_part1” e pressione <enter>.

Veja na imagem anterior que o Linux tentou executar a vontade do usuário, mas não concluiu porque um comando anterior o impedia de tal, resultando no insucesso do comando.

Pronto provado que o dispositivo está seguro, sugere-se que não monte a partição novamente, pois a cópia bit-a-bit será do apontamento do hardware “/dev/sdx” e não da partição montada “/dev/sdx1”.

Realizando cópia forense de memória

LINUX DUMP MEMÓRIA: Para realizar a cópia da memória RAM atualizada no Linux em uma imagem, digite o seguinte comando “sudo dd if=/dev/mem of=/mnt/hd_destino_p1/dump_mem.iso” e pressione <enter>.

WINDOWS DUMP MEMÓRIA: Para realizar a cópia da memória RAM é preciso realizar várias exportações do registro do Windows, portanto a forma mais rápida e pouco onerosa é exportar o registro inteiro, que pode ocupar aproximadamente 400MB.

Para exportar o registro do Windows clique no botão Windows, localizado no canto inferior esquerdo, no campo de pesquisa digite “regedit” e pressione <enter>. O Window solicitará permissão para conceder acesso, autorize e se necessitar colocar a senha, lembre-se que é a do administrador;

Na tela do registro clique com o botão direito no dispositivo denominado “Computador” e depois em “exportar”. Escolha o local da exportação e clique em Salvar.

Realizando cópia forense de armazenadores

Após estarem os equipamentos conectados e devidamente preparados para a cópia, o próximo passo é verificar a taxa de leitura e gravação permitidos pelo dispositivo e portas USB. Para isso digite o seguinte comando “sudo hdparm -tT /dev/sdb” e pressione <enter>. Este comando realiza um teste de velocidade do dispositivo que está conectado no apontamento “sdb” e retorna a informação desejada.

Como é possível observar na imagem anterior, a velocidade do dispositivo é de 38.72 MB/s (Mega Bytes por segundo), o que significa que é possível copiar 01 GB em 25 minutos. Com o valor da velocidade do dispositivo é possível dimensionar a cópia usando-a para acelerar ao máximo a transferência de dados sem o risco de corrompimento de dados. Este valor será, no momento certo, aplicado ao comando “dd” na opção “bs=30”.

É importante analisar se o dispositivo possui mais do que uma partição e, em caso positivo serão duas ou mais cópias forenses, isto é, uma cópia para cada partição gerando uma imagem para cada. Para analisar digite “sudo lsblk” e pressione <enter>.

Veja na imagem anterior que esse dispositivo possui duas partições, “sdb1” e “sdb2”, desta forma será necessário duas cópias, portanto duas imagens.

Para realizar a cópia forense da partição “/dev/sdb1” para o HD de destino, digite o seguinte comando “sudo dd if=/dev/sdb1 of=/mnt/hd_destino/hd1_part1.iso conv=sync,noerror status=progress bs=30 &” e pressione <enter>. Nesse momento o Linux começará a cópia que, dependendo da velocidade de cópia poderá demorar várias horas e talvez dias.

Veja na imagem acima o resultado do comando “dd”, é possível perceber que a cópia se iniciou analisando a última linha, que trata-se da progressão da rotina, informando o quanto já foi copiado e a respectiva velocidade. Com esses valores é possível estimar o tempo total da cópia.

No final se não apresentou qualquer erro a cópia foi bem sucedida. O importante é verificar se o tamanho final do arquivo é maior ou igual ao tamanho do dispositivo.

Gerando o hash do arquivo copiado

Tendo realizada todas as cópias forenses, é importante proteger os arquivos contra futuras alterações por parte de terceiros, garantindo sua integridade desde a cópia até a análise. Utilizando a ferramenta MD5, que analisa o arquivo por completo e gera uma chave única, é possível a qualquer momento e por qualquer pessoa, utilizando a mesma ferramente, gerar a chave novamente e, se o resultado for idêntico significa que o arquivo não foi alterado encontrando-se idêntico ao criado pela equipe pericial na fase de cópia.

Para gerar a chave única das imagens criadas na cópia forense, digite o seguinte comando “sudo md5sum /mnt/hd_destino/* > /mnt/hd_destino/md5” e pressione <enter>. Nesse momento o md5sum gerará todas as chaves de todos os arquivos de uma única vez, armazenando o resultado no arquivo “/mnt/hd_destino/md5”.

Para conferir as chaves geradas pelo md5sum digite o seguinte comando “sudo cat /mnt/hd_destino/md5”, o resultado deve ser parecido com a imagem abaixo.

Fim