Exames periciais

Nessa fase o Perito extrai e examina os dados coletados em diligência (perícia de campo), dos autos e demais adquiridos posteriormente, para garantir sua integridade e determinar sua validade no laudo. O professor Ariel da Silva Dias apresenta essa fase da seguinte forma: “Todos os dados que foram coletados devem ser examinados e preparados para posteriormente serem analisados; Na etapa do exame o material coletado durante a investigação são analisados para estabelecer a significância e relevância para o caso;”

Foto da Sarah Pflug do Burst

Transformando dados em informações

Até à fase de coleta e extração de dados, a Equipe Pericial possui apenas dados brutos, puros, crús, que são amontoados de conteúdos diversos, a princípio sem relevância informativa. O professor Ariel da Silva Dias representa esses dados como “uma caixa preta de dados binários não estruturados;“. Na fase de exame de dados é que se transforma os dados em informações, isto é, os dados passam a se tornar relevantes para a investigação. A Equipe Pericial escolhe e aplica um método científico de pesquisa/consulta, identifica os dados mais relevantes, isto é, possuem relação direta com a investigação, separa-os como evidências e descarta temporariamente os demais. Nesse momento os vestígios se transformam em evidências. O professor Ariel da Silva Dias define “O objetivo inicial da fase de exame é tornar esses dados estruturados e legíveis;“.

Veja mais sobre as diferenças sobre vestígios, evidências e indícios:

O desafio do volume de dados

Um grande vilão em diligências que envolvem busca e apreensão são os volumes de dados a serem coletados, examinados e consequentemente analisados. Quando os equipamentos a serem sequestrados são mídias digitais, geralmente o investigado possui inúmeros dispositivos como HD, CD, DVD, SSD, pendrives, cartões de memórias, fitas de vídeos, celulares, etc. Com certeza bilhões ou trilhões de bytes em arquivos, diretórios, metadados são encontrados. Para tal necessita-se de armazenamentos específicos, pois a mídia coletada pertence ao investigado e a ele deverá retornar, portanto é um desafio muito grande ao Perito deter mídias com volume no mínimo idêntico ao capturado para armazenar as imagens geradas pela extração.

  • Duplicação forense de dados ou espelhamento ou clonagem

Para cumprir a devolução dos dispositivos sequestrados aos seus respectivos proprietários o mais rápido possível, evitando maiores danos ao investigado, a Equipe Pericial deve clonar os dispositivos informáticos e telemáticos. Clonar ou espelhar é uma técnica muito conhecida no mundo pericial e possui a função de duplicar, de forma integral e confiável, as mídias capturadas em diligência.

Veja mais informações sobre duplicação forense, cópia forense, espelhamento e/ou clonagem:

  • A redução dos volumes de dados

Para facilitar e agilizar o processo existem técnicas de redução de dados chamados de filtragem. Existem programas/softwares capazes de realizar essas funções, utilizando indexação e compactação de dados. Assim após a fase de indexação é possível ao Perito pesquisar/buscar conteúdos com palavras chaves, obtendo retorno imediato ou em tempo bastante reduzido de vestígios que, após estabelecer o vínculo com o caso, torna-se uma evidência. Assim o Perito pode separar e armazenar as evidências e descartar os vestígios não vinculantes.

Os filtros reduzem os dados a serem analisados e tornam possível a criação de uma linha do tempo, com a ordem cronológica dos fatos;

Com a redução é possível descartar da análise as informações que não possuem relação com o escopo do exame, principalmente arquivos de softwares conhecidos como, por exemplo, de sistemas operacionais, aplicativos, drivers e jogos;

Ariel da Silva Dias

Saiba mais sobre indexação de dados no artigo a seguir:

A recuperação de dados

Existem casos em que os dispositivos capturados estão formatados, deletados, corrompidos ou sem particionamento conhecido. Nesse caso o Perito entra em ação para utilizar a funcionalidade recuperação de dados, podendo restaurar arquivos formatados, deletados, apagados, corrompidos ou até de mídias não particionadas.

É possível e de extrema importância tentar recuperar dados deletados ou que se encontram em espaço não alocado nos dispositivos, pois podem conter informações fundamentais para resolução do caso que está sendo periciado;

Ariel da Silva Dias

Exemplo da elaboração da fase de exame de um laudo pericial

Como complemento de prova o Perito examinou a documentação arrolada nos autos e demais recebidas externamente, utilizando métodos de investigação, pesquisa e análise científicos devidamente definidos neste laudo em momento oportuno.

Com o intuito de complementar a documentação e sanar dúvidas, concedendo tempo hábil aos sujeitos processuais, praticando o princípio da celeridade e economia processual, respeitando o contraditório e ampla defesa, desta forma procedeu, solicitando por e-mail às PARTES, a resposta de questionamentos e apresentação documental, as quais foram recebidas, copiadas para ambas as PARTES e estão disponíveis no diretório “/E-mails” do CD protocolado na vara correspondente.

Saiba mais sobre os Princípios e Requisitos para aproveitamento de provas

Próxima etapa – Análise pericial

Após todos os procedimentos da fase Exames periciais, o Perito entrega seus resultados ao próximo passo: Análises periciais, que poder-se-á ser gerido pela mesma Equipe ou por outra, porém sempre registrando os passos para manter a cadeia de custódia.

Fontes:

Alguns dados acima foram obtidos da web aula do curso de Computação Forense e Perícia Digital, tema 02 – Metodologia e tema 03 – Realizando procedimentos de perícia, fases e processos de computação forense do Professor(a): Ariel da Silva Dias (Mestrado acadêmico do curso de Computação Forense e Perícia Digital);

DESCARTES, René. DISCURSO DO MÉTODO. Trad. NEVES, Paulo. Int. ROSENFIELD, Denis Lerrer. L&PM: 2005. 128 pg;

DESCARTES, René. DISCURSO DO MÉTODO: Introdução e notas de Étienne Gilson. Reimp. Lisboa Portugal: Leya, 2019.

Portal da Educação. CURSO DE COMPUTAÇÃO FORENSE. Programa de educação continuada a distância. Ano 02. Prev. 001. Rev. 4.0.

Art. 5º, inciso LIV, Constituição Federal de 1988;

Art. 5º, inciso LV, Constituição Federal de 1988;

ARRONE, Ricardo. O PRINCÍPIO DO LIVRE CONVENCIMENTO DO JUIZ. 1.ed. Porto Alegre: Sérgio Antônio Fabris Editor, 1996.