O processo de Investigação Digital e as fases da Perícia Forense

Computacional
O trabalho dos peritos em informática é pautado em doutrinas e procedimentos técnico-
científicos, que visam à preservação e a integridade da prova. Geralmente, o trabalho inicia-se com o
cumprimento de mandados de busca e apreensão ou exames em locais de crime. Em ambos os
casos, cabe ao perito a identificação e posterior coleta das provas, tomando-se o extremo cuidado
com a preservação e a cadeia de custódia, que é o processo de garantia de proteção à prova, cujo
objetivo é assegurar sua idoneidade, a fim de evitar questionamentos quanto à sua origem ou seu
estado inicial. Para isso, devem ser registrados todos os caminhos percorridos pela prova durante a
persecução penal, ou seja, desde a sua coleta até o trânsito em julgado da ação.

No caso específico da computação, a manipulação dos dados contidos em mídias de

armazenamento computacional deve ser realizada com toda atenção possível, pois a prova não pode
ter seu estado inicial alterado, ou seja, nenhum bit pode ser modificado. Isso garante a validade da
prova em juízo. Para isso, o Perito deve sempre utilizar equipamentos e softwares forenses. Para se
ter uma ideia da sensibilidade das evidências digitais, apenas ao ligar um computador e aguardar seu
sistema operacional ser inicializado, dados contidos no disco rígido já são alterados, mesmo sem
qualquer intervenção direta do usuário.

Os exames mais comuns realizados na Perícia Forense Computacional têm o objetivo

principal de identificar as evidências digitais contidas em mídias de armazenamento computacional
tais como: HDs, pendrives, mídias ópticas, cartões de memória, entre outros.

O processo de investigação de crimes cibernéticos, isto é, o processo de perícia digital

consiste em quatro fases que tratam desde o recebimento do material à elaboração do laudo, quais
sejam: Coleta/Preservação; Extração/Exame; Análises Periciais e Formalização/Resultados

Coleta/Preservação
Esta fase é considerada vital para o processo, pois é nela que toda a massa crítica de dados
será coletada, sendo necessário cuidado especial para manter a integridade das informações.

Outras atividades que são realizadas nesta etapa são relacionadas ao equipamento
questionado que, após ser fotografado e ter sua área isolada, deve ser identificado, devidamente
embalado de uma forma segura, etiquetadas as suas partes e suas identificações registradas no
documento de cadeia de custódia, a fim de se garantir sua integridade e autenticidade, de modo que
as informações contidas no material examinado não sejam alteradas. Por isso, os exames devem,
sempre que possível, ser realizados em cópias fiéis obtidas a partir do material original, utilizando
técnicas de espelhamento ou de imagem, nas quais é recomendável a aplicação de funções hash
sobre partes e/ou todo o conteúdo do dispositivo de armazenamento, a fim de registrar o conteúdo
presente no material examinado. Tal procedimento visa garantir a integridade das evidências.

Para que esta fase seja realizada completa e com êxito, o perito deve garantir e cumprir os
seguintes itens/requisitos: Isolar a área, Coletar as evidências, Garantir sua integridade, Identificar os
equipamentos, Acondicionar e Etiquetar as possíveis fontes de evidências e Elaborar a cadeia de
custódia (tudo relacionado às mídias coletadas).

Extração/Exame
Nesta fase o objetivo principal é separar dados e informações relevantes ao caso. Antes de
iniciar esse processo é preciso definir quais as ferramentas que serão utilizadas para o exame dos
dados. Essa escolha está relacionada a cada tipo de investigação e informações que estão sendo
procuradas.

Nessa etapa, deve ser realizada a recuperação dos arquivos eventualmente apagados, uma
vez que o sistema operacional tem apenas um controle de quais partes do disco rígido estão livres e
quais estão ocupadas. Assim, técnicas apropriadas devem ser aplicadas no conteúdo da mídia,
fazendo com que tais arquivos sejam acessíveis para as análises periciais na próxima fase.

Diante do exposto, pode-se definir ferramentas que consigam trazer um número maior de
dados úteis. Peritos geralmente utilizam ferramental homologado internacionalmente, entre outros
procedimentos, para agilizar a busca por evidências e garantir sua autenticidade, bem como a
confiabilidade em sua integridade. Para que esta fase seja realizada completa e com êxito, o perito
deve garantir e cumprir os seguintes itens/requisitos: Identificar, Extrair, Filtrar e Documentar (tudo
relacionado aos dados examinados).

Análises Periciais
Na terceira fase, praticamente paralela à anterior, os dados e informações anteriormente
separados serão analisados com o intuito de encontrar informações úteis e relevantes que auxiliem
na investigação do caso. Todos os dados/informações encontradas consideradas relevantes devem
ser correlacionados com informações referentes à investigação, para que assim seja possível
reconstruir os eventos, estabelecer o nexo causal e realizar a conclusão – provar a materialidade do
fato crime.

Consiste no exame das informações extraídas, a fim de identificar evidências digitais

presentes no material examinado, que tenham relação com o delito investigado. Nesta fase, os
Peritos devem ser muito criteriosos, evitando-se, assim, que algum conteúdo que possa estar
relacionado com os quesitos formulados seja desconsiderado. É a principal fase do exame pericial e a
que exige maior esforço, cuidado e capacidade técnica do Perito, pois requer especial atenção
quanto a arquivos protegidos por senha, criptografia ou ocultos, além do exame de possíveis
sistemas e programas existentes no dispositivo examinado.

Para que esta fase seja realizada completa e com êxito, o perito deve garantir e cumprir os
seguintes itens/requisitos: Mapear, Correlacionar, Reconstruir e Documentar (tudo relacionado às
informações analisadas).

Formalização/Resultados
Nesta última etapa, o objetivo é reunir todas as evidências coletadas, examinadas e
analisadas, a fim de se apresentar um laudo que deve informar com toda a veracidade possível o que
foi encontrado nos dados analisados, para que se prove o nexo causal, garantindo-se a materialidade
do fato crime – prova irrefutável. Todo o processo pericial desde o início, ferramentas/técnicas e
informações que comprovem a integridade das informações deve ser relatado no laudo.

O laudo deve apontar o resultado e apresentar as evidências digitais encontradas nos

materiais examinados, bem como devem constar os principais procedimentos realizados, incluindo as
técnicas utilizadas para preservar, extrair e analisar o conteúdo das mídias digitais.

Para que esta fase seja realizada completa e com êxito, o perito deve garantir e cumprir os
seguintes itens/requisitos: Elaborar o laudo pericial e anexar evidências e documentos relacionados e
relevantes à perícia (tudo relacionado às evidências processadas).

Isolamento dos vestígios cibernéticos

O isolamento, apesar de descrito como fase subsequente à identificação e registro,
na prática pode ocorrer de forma concomitante, pois à medida que os itens são identificados
na cena do crime, algumas providências podem ser tomadas para garantir o seu isolamento.

A ideia principal do isolamento é evitar ataques à integridade das evidências

(alterações, supressões, inserções, destruições). Pela natureza especial do vestígio
cibernético, dividiremos o isolamento em duas categorias: o físico e o lógico.

Isolamento físico
Entender o perímetro físico e delimitá-lo de forma a proceder ao isolamento parece
ser simples, mas é uma tarefa difícil de ser executada.

Qual o tamanho da área a isolar de forma a abranger todos os vestígios? A regra é

isolar a maior área possível dentro do contexto do crime, uma vez que o isolamento feito a
menor pode contaminar a região não abarcada pelo isolamento e também perder vestígios
importantes.

Lembremo-nos que o ser humano não é o único agente modificador do ambiente,

existem outros fatores a serem considerados, como as intempéries climáticas (frio, chuva,
umidade, calor, luz solar, vento, radiação magnética, etc.). Dependendo da região, algumas
providências adicionais deverão ser tomadas a fim identificar e isolar rapidamente os
vestígios existentes.

Mas quais providências são essas? Não existe um gabarito, nem uma resposta correta
que abarque a todas as situações. O bom senso e a iniciativa dos envolvidos no isolamento
serão os elementos balizadores das providências adotadas. E para balizar essa providência,
algumas classificações dos locais se mostram necessárias:

Quanto à região
Imediato: Região com maior concentração de vestígios da ocorrência do fato.
Nela serão efetuados exames mais cuidadosos, uma vez que pelo princípio da
 localidade de referência espacial, provavelmente ali se encontrará a grande
maioria das evidências. É a região quente dos eventos a serem analisados. Nos
crimes informáticos, poderemos ter mais de uma região imediata, por exemplo,
a região onde se deu a ação e a região onde se produziu o resultado.

Mediato: Região compreendida pela periferia da região imediata. Trata-se da

região morna, que separa a região principal da região exterior. Da mesma forma
ocorrida na região imediata, temos a possibilidade de existência de mais de uma
região mediata.

Quanto à preservação
Idôneo: É o local onde os vestígios foram se mantiveram inalterados desde a
ocorrência do fato até o registro dos mesmos pelos profissionais envolvidos na
análise do local.

Inidôneo: É o local onde houve comprometimento dos vestígios, seja por

remoção, inserção ou da combinação de ambas, o que gera a substituição da
evidência.

Quanto à área
Interno: É aquele que possui pelo menos uma proteção superior contra chuva,
sol e outros elementos naturais mais agressivos. A ausência de paredes no
confinamento do cômodo não o destitui dessa classificação. Um galpão aberto,
uma portaria de edifícios da Capital Federal Brasileira são exemplos desse tipo de
classificação.

Externo: É aquele que se situa fora das instalações e está sujeito diretamente à
influência dos elementos naturais mais agressivos. Poderemos encontrar nesses
ambientes cabos de rede, antenas transmissoras/receptoras de sinais,
dispositivos de autenticação biométrica, etc.

Virtual: É aquele onde não existe uma vinculação direta do contexto físico com o
lógico. Uma ação praticada em determinado ambiente físico, pode produzir
evidências físicas e lógicas noutra localidade completamente diversa.

Quanto à natureza do fato

Local classificado de acordo com o tipo de evento associado: Pedofilia, inserção
de dados em sistemas de informação, invasão de redes de computadores, etc.
Isolamento lógico
A natureza do dispositivo a ser isolado para posterior apreensão é quem ditará os
procedimentos adequados. Dentre as categorias de dispositivos mais comuns em cenas de
crimes digitais, destacamos:

Notebooks e Desktops: Na grande maioria das vezes, as informações mais relevantes a

serem isoladas se encontram em alguma mídia secundária de armazenamento: HD,
Pendrive, HD externo, etc. Isso faz com que apenas esses dispositivos de armazenamento
necessitem ser isolados para posterior coleta. Em alguns casos a máquina inteira deverá ser
identificada e isolada para tal, é o caso daquelas que utilizam arranjos de disco RAID onde do
ponto de vista físico encontramos vários HDs e do ponto de vista lógico temos um único
disco. A não inclusão da placa controladora do RAID no contexto físico ou perda da ordem
física de organização dos discos podem gerar problemas sérios na análise de seu conteúdo,
por isso que nesses casos recomenda-se a identificação e isolamento do equipamento todo.

Outro aspecto que deve ser levado em conta é o estado no qual esses dispositivos se
encontram: Ligado ou Desligado.

Se desligado: Geralmente, deve ser mantido nessas condições, não devendo ser ligado. A
justificativa é que o processo de inicialização do sistema operacional provoca alterações em
determinadas regiões de dados da mídia de armazenamento secundária, alguns programas
de usuário podem ainda efetuar atividades não desejadas, o que pode comprometer a
integridade do vestígio. Caso haja necessidade de análise desse tipo de mídia in loco,
cuidados devem ser tomados no tocante à proteção contra escrita, para tal, uma solução
bastante adotada é a inicialização através de outro sistema operacional armazenado noutra
mídia que, dessa forma, não produzirá alterações na mídia questionada.

Se ligado: Caso estejam abastecidos eletricamente e com o sistema operacional

devidamente inicializado, deve-se primeiramente proceder a uma análise de viabilidade de
registro da evidência em situações de flagrância. A coleta do conteúdo da memória primária,
geralmente volátil, deve ser ponderada. Arquivos compartilhados, programas em execução,
janelas abertas, sessões de navegação em andamento, conversas em softwares de
comunicação e, principalmente, informações decriptografadas por ocasião da leitura (mas
que se encontram criptografadas quando armazenadas nas mídias secundárias).

Se alimentados eletricamente por baterias, estas devem ser removidas e não mais
inseridas, desligando abruptamente o equipamento. Caso sejam abastecidos diretamente
pela rede elétrica via cabos, estes devem ser retirados.

Outra forma de desligar o equipamento é pressionando o botão “ power” por alguns

segundos, mas como essa funcionalidade por vezes está associada a eventos como
hibernação, suspensão e outros, onde a sensibilidade da mão de quem realiza o
procedimento pode traí-lo, não é recomendável. O mesmo é válido para o rebatimento do
monitor do notebook, ou seja, também não deve ser feito.

A ideia, mais uma vez, é fazer com que no processo de desligamento, as etapas
normais de encerramento do sistema operacional não sejam seguidas, uma vez que podem
estar associadas a eventos indesejados ou comprometedores da integridade das evidências,
como já dito anteriormente.

Apesar de não ser consenso, uma vez que existe a possibilidade de que os dados
armazenados na memória secundária possam ser corrompidos, essa técnica de desligamento
forçado, associada à coleta preliminar do conteúdo da memória, se mostra uma prática
recomendável.

Todo esse cabedal de evidências pode se perder caso a análise do cenário não seja
devidamente realizada, prejudicando ou inviabilizando sobremaneira os exames
subsequentes. Um registro escrito dos fatos e das técnicas empregadas, com imagens e
acompanhamento de testemunhas das atividades de análise e coleta são fortemente
recomendáveis, uma vez que modificam metadados e provocam alterações mínimas no
sistema sob análise.

Dispositivos de entrada/saída: Via de regra, não devem ser coletados, mas em caso
específicos, sua identificação e isolamento são fundamentais para elucidação do caso. Como
exemplos hipotéticos, um caso de e-mails difamatórios anônimos digitados a partir de um
computador cujo teclado apresenta defeito em determinadas teclas, ou numa impressora
responsável pela impressão de certidões fraudulentas; num scanner utilizado na captura de
imagens usadas em falsificações de papel moeda, etc.

Algumas impressoras que usam tecnologia jato de tinta possuem a cabeça de

impressão em sua própria estrutura, ou seja, quando o cartucho de impressão é substituído,
certas microcaracterísticas nos escritos permanecem constantes. Outras impressoras
possuem essa cabeça de impressão no corpo do próprio cartucho de impressão, significando
que a substituição dos cartuchos altera aquelas microcaracterísticas. Assim sendo, é preciso
levar em consideração a identificação dessas partes já utilizadas que por ventura estejam
armazenadas para futuro descarte. Raciocínio análogo deve ser empregado noutras
tecnologias de impressão, onde a substituição dos insumos modifica o processo de marcação
do suporte de impressão. Em todos os casos apresentados, a vinculação do dispositivo de
entrada e saída com a prática criminosa é um elemento que ajuda a formar a convicção do
magistrado.

Devido à pluralidade de formatos de conexões e padrões, os cabos, acessórios e

carregadores devem identificados como parte do equipamento para fins de coleta.
Mídias avulsas: Nessa categoria se enquadram basicamente todas as mídias de
armazenamento secundário externo dos computadores (mídias opticas, pendrives, HDs
externos, cartões de memória, disquetes, zip-drives, etc.). Essas mídias podem tanto ser
encontradas conectadas aos computadores quanto destacadas destes. Por vezes, são
encontradas dentro de seus equipamentos originais, como filmadoras ou máquinas
fotográficas. Nesses casos é importante lembrar que apesar de se tratar de uma filmadora
ou máquina fotográfica, a memória ali contida se comporta como qualquer outra memória,
sendo passível de armazenamento de outros tipos de arquivos além de fotos e vídeos.

Na categoria de mídias avulsas, faz-se mister separar as mídias não sensíveis à escrita
daquelas que o são. As mídias não sensíveis à escrita (alguns tipos de CDs, DVDs e outras)
podem ser manuseadas com menores preocupações quanto à alteração de seu conteúdo,
uma vez que sua natureza somente de leitura já é o bloqueio natural contra modificações. Já
as mídias sensíveis à escrita precisam ser protegidas física ou logicamente evitando
transformações indesejadas, sempre usando técnicas que garantam a preservação dos
dados armazenados.

Existe uma gama de outros dispositivos que podem passar despercebidos aos olhos
pouco treinados, tais como relógios filmadoras, canetas espiãs, gravadores de voz digitais,
óculos filmadoras e etc. Esses equipamentos possuem memórias internas e nelas podem
estar armazenados arquivos. Descartar esses dispositivos e suas memórias pode ser
prejudicial. Como já dito, existem ainda uma gama de outros dispositivos que se
assemelham a mídias avulsas convencionais, mas na verdade são adaptadores de memórias
ou tokens criptográficos que, com raras exceções, não se encaixam no contexto de
investigação como uma mídia passível de ser utilizada para fins de armazenamento de
informações do usuário.

Os discos rígidos internos aos PCs e notebooks podem ser inicialmente analisados in-
loco ou podem ser recolhidos para análise em laboratório. A retirada do disco rígido de suas
estruturas deve ser avaliada, uma vez existirão pluralidades de situações onde se justifica a
manutenção e outras onde a retirada das mídias é a melhor opção.

Se as mídias se mantiverem nos computadores e precisarem ser analisadas, é

recomendável usar outra mídia (pendrive ou disco de boot) para inicialização de outro
sistema operacional que não modifique as mídias sob análise. Um cuidado deve ser tomado
no processo de inicialização desses computadores, uma vez que as configurações
armazenadas na RAM CMOS apontarão para o dispositivo primário de inicialização. De que
adianta conectar um pendrive com sistema operacional forense de última geração se o
processo de inicialização se dará pela mídia analisada? É preciso reconfigurar o BIOS para
que a inicialização ocorra no sistema operacional correto.

C.A.I.N.E, Helix e Knoppix, são exemplos de sistemas operacionais usados para tal
finalidade, uma vez que podem ser usados para analisar as mídias no modo somente leitura.
Outros softwares podem ser usados para ajudar na análise do conteúdo, entretanto, o caso
concreto e o tempo cronológico dirão quais as melhores ferramentas aptas a auxiliar o
profissional na análise.

Cópias de dados in loco: Se na fase de identificação algum dispositivo for identificado como
importante, porém a evidência lógica puder ser extraída sem necessidade da coleta da de
seu suporte, ou seja, da evidência física, cópias poderão ser feitas no local para posterior
análise. Tais cópias visam atender a inviabilidade técnica ou legal da coleta ou até mesmo a
redução do escopo dos materiais a serem coletados. A garantia da autenticidade e da
integridade desses dados coletados como logs, configurações do sistema operacional,
arquivos do sistema de informação, arquivos de usuário e outros julgados necessários, se
dará através da preservação da estrutura de diretórios original, bem como os “metadados”
desses arquivos, como data, hora de criação e permissões. Se possível, recomenda-se a em
autos de apreensão, bem como da produção e consignação de seus resumos criptográficos
(hashes)1.

Equipamentos conectados em rede: Em caso de flagrante, este fato deve ser registrado e a
máquina deverá ser desconectada da rede, seja pela desconexão do cabo ou pelo próprio
desligamento da máquina. Pode ser necessária a identificação e isolamento do próprio
elemento de rede como evidência do crime (switch / roteador). Muitas vezes os dados
desses equipamentos e suas configurações internas servirão como evidência.

Especial atenção deve ser dada às redes sem fio, uma vez que a inexistência de
cabeamento metálico ou óptico não significa inexistência de redes de computadores. É
preciso identificar pontos de acesso às redes sem fio ou até mesmo a configuração de redes
ad-hoc2.

Os procedimentos acima descritos abrangem a grande maioria das situações. Não é

intenção aqui abranger exaustivamente todas as mídias em todas situações possível, mas
estabelecer uma linha base para que a preservação da integridade das evidências, bem
como a garantia da cadeia de custódia sejam efetivadas.

Registro dos vestígios cibernéticos

Antes da coleta propriamente dita das evidências, faz-se mister registrar
pericialmente o local. Esse processo de documentação que ocorre após a busca e
identificação de vestígios do crime possui alguns métodos já consagrados, dentre os quais
destacam-se:

1
Funções transformadoras de via única, que geram uma saída de tamanho fixo a partir de uma entrada de
tamanho variável. Objetivam criar uma representação resumida de arquivos ou mensagens com elevadíssima
probabilidade de garantia de inforjabilidade da integridade dos conteúdos fornecidos como entrada.
2
Redes que não utilizam dispositivos concentradores sem fio para intercomunicação dos dispositivos. Realizam
a comunicação dos dispositivos diretamente entre si através das próprias interfaces de rede.
Descrição narrativa: Relatório daquilo que é encontrado no local. No contexto dos crimes
virtuais, dependendo do crime a apurar, talvez não seja tão importante o registro do
posicionamento exato dos equipamentos no ambiente, mas tão somente registrar os
atributos físicos dos itens, seus estados e suas interconexões.

Alguns profissionais preferem utilizar um gravador de voz para descrever o ambiente,

os elementos e suas particularidades para depois, num momento de calma, reduzir a termo
essas informações. A justificativa é que como a escrita é um procedimento mais lento do que
a verbalização dos fatos, muitas observações deixam de ser anotadas, até mesmo nas
situações onde já existam formulários pré-definidos de preenchimento, pois nestes casos é
comum a sensação de completude quando totalmente preenchidos. Assim, informações
importantes, principalmente as prestadas por terceiros, podem se perder na coleta de
informações de terceiros e testemunhas.

Os defensores do registro escrito alegam justamente o esquecimento de algumas

informações previstas nos formulários padrão quando as informações são simplesmente
gravadas. De uma forma ou de outra, o registro deve ser feito pela ferramenta que melhor
convier ao seu elaborador.

Levantamento Fotográfico: É uma das mais importantes formas de registros do local, se

iniciando com a chegada do perito e continuando até a liberação do local. A riqueza do
registro fotográfico é de suma importância para enriquecimento dos detalhes, por isso
recomenda-se que as fotografias sejam tiradas em alta resolução, o que facilita a
manutenção de qualidade adequada na visualização das ampliações. Fotografias globais
registram o estado da cena do crime no momento da chegada dos peritos, durante a análise
pormenorizada e também na liberação do local.

Croqui: Desenho da cena do crime de forma a registrar a posição dos vestígios no local do
crime, de modo a contextualizá-los para futuras referências. Existem muitos métodos para
medição e posicionamento dos vestígios na cena analisada, que devem se adequar ao tipo
de local. De forma geral, o croqui se assemelha a uma planta baixa de construção civil,
entretanto, existem equipamentos que fazem o mapeamento do local em três dimensões.

Existem ainda soluções mistas onde mais de uma técnica pode ser utilizada para
identificação do local do crime, cabendo ao profissional envolvido selecioná-la segundo os
critérios aplicáveis ao caso concreto, visando sempre a busca da autoria e materialidade do
fato, bem como o modus operandi utilizado.

Diferentemente de outras modalidades de análise forenses, em crimes informáticos,

o posicionamento exato em 3 dimensões dos equipamentos na cena do crime, via de regra
não é tão importante quanto em cenas de crimes onde existiu uma dinâmica desenvolvida
no local, entretanto, a descrição e registro dos entes físicos e lógicos, bem como de suas
relações merece especial destaque.
 O registro físico dessa categoria de vestígios deve levar em conta uma série de
aspectos identificadores, que mais uma vez se relacionam com o contexto físico: Tipo de
equipamento, marca, modelo, número de série, cor predominante, acessórios, capacidade
nominal (para as mídias de armazenamento), etc.

O estado físico no qual se encontram as evidências, bem como os desgastes e danos

porventura existentes, devem ser registrados. Nesse aspecto, devem ser descritos todos os
detalhes julgados relevantes para indicar o estado de conservação no qual se encontrava o
equipamento no momento da coleta.

Uma dúvida muito recorrente é a quantidade de atributos descritos num item a fim
de torna-lo identificável univocamente no contexto do crime. Não existe resposta absoluta
para esse questionamento, mas é importante registrar as principais características dos
vestígios físicos e lógicos e, para isso, as entidades periciais utilizam seus normativos
internos, tudo com finalidade de garantia da cadeia de custódia e da identificação unívoca
do item.

Coleta dos vestígios cibernéticos

A coleta (ou arrecadação) pode ser compreendida como o recolhimento dos itens
físicos e lógicos identificados nas fases anteriores. Historicamente, as forças policiais
encarregadas de executá-la, focam seus esforços na coleta embasada no contexto físico.

Como exemplo podemos citar uma situação hipotética onde meia dúzia de arquivos é
suficiente para apuração de um fato. Em vez de arrecadar somente esses arquivos, arrecada-
se o disco inteiro ou, quiçá, todo o computador. A filosofia de extrapolar o escopo e pecar
pelo excesso não é uma prática saudável para os exames periciais, pois demanda tempo e
esforços posteriores desnecessários.

Em arrecadações complexas, elementos que interferem sobremaneira na regulação

dos critérios da arrecadação é, por incrível que pareça, a proximidade dos horários das
refeições. Há uma tendência natural de relaxamento de critérios de coleta quando uma
necessidade básica precisa ser atendida, nesse caso uma refeição. O mesmo pensamento
pode ser estendido para outras necessidades humanas básicas como sede, sono, calor e frio.
 Trabalhos com foco seletivo nas fases de identificação, isolamento e coleta de
evidências, têm se mostrado bastante eficazes na produção de exames periciais mais céleres
e de qualidade. Nas fases de planejamento e execução, é importantíssima a composição de
uma equipe multidisciplinar envolvendo os profissionais conhecedores da investigação e os
profissionais técnicos responsáveis pela futura análise. Somente com essa integração, a
regulação dos escopos físicos e lógicos da coleta se aproximará do ideal e,
consequentemente, produzirá resultados mais objetivos para a investigação em curso.

O procedimento de coleta dos vestígios cibernéticos deve ser cercado de cuidados.

Equipamentos computacionais, como todo equipamento eletrônico, devem ser coletados
com o devido cuidado, haja vista se tratarem de elementos relativamente frágeis e
necessitarem de acondicionamento apropriado.

Preservação dos vestígios cibernéticos

Após a coleta, geralmente nos deparamos com a necessidade de acondicionamento e
transporte do material. Alguns cuidados devem ser tomados para evitar que as evidências
sejam comprometidas tanto do ponto de vista físico quanto do ponto de vista lógico. Os
principais agentes causadores de danos são:

Choques Mecânicos: São os principais causadores de danos aos equipamentos e mídias

computacionais. Compressão excessiva por empilhamento ou para transporte, bem como
derrubamentos e abrasões são os principais agentes de desgaste de equipamentos e mídias.
Acondicioná-los de forma apropriada garante sua durabilidade. Caixas especiais, plástico-
bolha, e cuidados no manuseio são os principais cuidados a serem tomados.

Temperatura Inadequada: A sensibilidade à temperatura é outro fator que merece atenção

especial, principalmente quando se trata de mídias ópticas de polímero que tendem a se
deformar quando expostas ao calor e incidência direta de luz solar. Existem ainda as
situações onde o equipamento fica exposto a variações de temperatura, muitas vezes nos
extremos de frio e calor. É natural nesses casos que, com as sucessivas contrações e
dilatações dos materiais, algo se danifique. Alguns tipos de soldas em placas de circuito
tendem a se romper com o excesso de variação de temperatura, bem como a superfície
usada para registrar as informações nas mídias ópticas.

Umidade Excessiva: A presença de umidade causa crescimento de fungos e também

oxidação, corroendo as trilhas dos circuitos integrados e a superfície das mídias ópticas e
controladoras de circuitos de mídias magnéticas. Manter as evidências isoladas de
ambientes úmidos é essencial para sua durabilidade. Uma boa prática é sua preservação em
ambientes climatizados ou com adição de sílica gel 3.

3
Produto sintético, produzido pela reação de silicato de sódio e ácido sulfúrico, retém a umidade do ar por
adsorção física. É um processo físico, pelo qual as moléculas de água ficam retidas na superfície dos poros do
dessecante.
Campos Magnéticos: Mídias magnéticas são especialmente vulneráveis a esses campos,
principalmente os discos flexíveis e fitas magnéticas de forma geral. Alto-falantes, ímãs,
motores e outras fontes geradoras de tais campos devem ser evitados.

Campos Elétricos: A sensibilidade dos componentes computacionais às mais diversas formas

de eletricidade, principalmente a estática, deve ser levada em consideração na hora de
escolher o local de acondicionamento e manuseio dos equipamentos eletrônicos. Pulseiras
especiais, plásticos antiestáticos, e bancadas emborrachadas são indicadas para manuseio
desses equipamentos.