Forense digital é o conjunto de procedimentos científicos e técnicos para identificar, coletar, preservar, analisar e apresentar evidências digitais de forma que sua integridade e autenticidade sejam sustentáveis em juízo. Esta página cobre as etapas de coleta e preservação — o alicerce de qualquer investigação bem-sucedida.
Princípios fundamentais da forense digital
Três princípios, enunciados tanto pelo NIST SP 800-86 quanto pela ISO/IEC 27037:2012, governam toda atuação forense responsável.
Não altere a evidência. Qualquer interação com um sistema pode modificar dados. Montar um sistema de arquivos atualiza timestamps; executar um antivírus pode apagar artefatos de malware; reiniciar uma máquina destrói a memória RAM. O perito deve agir com o mínimo de interferência possível e registrar toda ação realizada, mesmo as inevitáveis.
Siga a ordem de volatilidade. A RFC 3227 (Guidelines for Evidence Collection and Archiving) estabelece que dados mais voláteis devem ser coletados primeiro: (1) registradores e cache de CPU, (2) memória RAM, (3) estado de conexões de rede e tabela ARP, (4) processos em execução, (5) sistema de arquivos temporários e swap, (6) disco permanente, (7) mídia removível e logs remotos. Ignorar essa hierarquia equivale a deixar a cena do crime desprotegida.
Documente tudo. Cada ação — quem, quando, com qual ferramenta, em qual dispositivo — compõe o registro que sustenta a cadeia de custódia. Sem documentação contínua, a evidência pode ser contestada mesmo sendo tecnicamente íntegra.
Tipos de evidência digital
Evidências digitais se dividem em categorias com características e desafios distintos de coleta:
Disco e armazenamento persistente. HDs, SSDs, pendrives e cartões de memória armazenam arquivos, metadados do sistema de arquivos, registros deletados e espaço não alocado. A imagem bit a bit captura tudo — incluindo setores marcados como livres — e é a técnica padrão para essa categoria.
Memória RAM. Contém processos ativos, conexões de rede abertas, chaves de criptografia carregadas, senhas em texto claro e artefatos de malware que nunca tocam o disco (fileless malware). A memória é completamente perdida ao desligar o equipamento; por isso ocupa o topo da ordem de volatilidade.
Tráfego de rede. Capturas de pacotes (PCAP) permitem reconstruir sessões, identificar exfiltração de dados, mapear comunicações com servidores de comando e controle (C2) e correlacionar timestamps de eventos. Ferramentas como Wireshark, tcpdump e Zeek são referências nessa categoria.
Dispositivos móveis. Smartphones e tablets exigem ferramentas específicas (Cellebrite UFED, Oxygen Forensic Detective) que realizam extração lógica, física ou chipoff dependendo do nível de acesso. O modo avião deve ser ativado imediatamente para impedir wipe remoto e preservar o estado das comunicações.
Evidências em nuvem. Logs de provedores (AWS CloudTrail, Azure Monitor, GCP Audit Logs), snapshots de volumes, metadados de objetos em buckets S3 e registros de identidade (IAM) compõem a evidência nativa de ambientes cloud. A coleta depende de APIs e das políticas de retenção do provedor, o que exige ação rápida antes que os logs expirem.
Coleta com imagem bit a bit e write-blocker
A imagem bit a bit (forensic image) replica cada setor do dispositivo de origem, incluindo espaço não alocado, arquivos deletados e metadados ocultos. Esse nível de fidelidade é exigido pela ISO/IEC 27037 para evidências que possam ser submetidas a juízo.
O write-blocker — dispositivo de hardware como o Tableau T8-R2 ou solução de software equivalente — opera como barreira unidirecional: os dados fluem do dispositivo original para a ferramenta de aquisição, mas nenhum byte é escrito de volta. Sem esse controle, ferramentas de imagem e até o próprio sistema operacional podem atualizar metadados do sistema de arquivos durante a leitura, invalidando timestamps e comprometendo a prova.
Ferramentas consolidadas para aquisição de disco:
- FTK Imager (AccessData/Exterro): interface gráfica, suporte a imagens E01, AFF e RAW, verificação de hash integrada.
- dd e dcfldd: utilitários Unix de linha de comando; dcfldd adiciona cálculo de hash e verificação em tempo real.
- Guymager: GUI Linux de alta performance, suporte a aquisição em paralelo.
- EnCase: plataforma comercial amplamente aceita em processos judiciais internacionais.
Captura de memória RAM
A análise de memória volátil (memory forensics) é uma das fronteiras mais importantes da investigação moderna, pois ataques fileless, ransomware em execução e credenciais em uso existem exclusivamente na RAM.
No Windows, o WinPmem é o utilitário open source de referência; o Magnet RAM Capture oferece interface simplificada para operadores menos experientes. No Linux, o módulo de kernel LiME (Linux Memory Extractor) despeja a RAM diretamente para um arquivo .lime via rede ou disco local com mínima perturbação do sistema. No macOS, o AVML (desenvolvido pelo time de segurança da Microsoft) suporta kernels recentes.
O arquivo de imagem de memória deve ser analisado com o Volatility Framework (versões 2 e 3), que permite listar processos, identificar injeção de código, extrair artefatos de rede, recuperar senhas de hives de registro e detectar rootkits via comparação de estruturas do kernel.
Hashing e verificação de integridade
O hash criptográfico é a assinatura matemática que prova que uma evidência não foi alterada entre o momento da coleta e a sua apresentação. O processo é simples, mas crítico: calcule o hash do dispositivo original antes da imagem, calcule o hash da imagem gerada e confirme que os valores são idênticos. Qualquer diferença — mesmo um único bit — produz um hash completamente diferente.
O NIST SP 800-86 recomenda usar dois algoritmos simultaneamente. Na prática forense brasileira, o par MD5 + SHA-256 é o padrão: MD5 por compatibilidade com ferramentas legadas e SHA-256 por robustez criptográfica. O SHA-3 (Keccak) começa a aparecer em especificações mais recentes, mas ainda não é exigido nas normas vigentes.
Os valores de hash, junto com a ferramenta usada, versão, data, hora e nome do perito, devem constar no formulário de cadeia de custódia e ser repetidos cada vez que a imagem for acessada ou copiada.
Forense remota e em nuvem
Em incidentes que envolvem sistemas distribuídos, servidores remotos ou infraestrutura em nuvem pública, a coleta física é impossível. A forense remota opera sobre cópias e logs gerados pelo próprio ambiente:
Em AWS, o perito exporta CloudTrail (chamadas de API), VPC Flow Logs (tráfego de rede), CloudWatch Logs (aplicações) e cria snapshots EBS dos volumes comprometidos. Os snapshots são copiados para uma conta isolada de investigação e montados com write-blocking via política IAM.
No Microsoft Azure, os equivalentes são Azure Monitor, Log Analytics, Activity Log e snapshots de discos gerenciados. O Microsoft 365 Compliance Center oferece ferramentas de preservação de email e chat Teams diretamente integradas ao fluxo judicial.
Um desafio específico da nuvem é a custódia compartilhada: o provedor controla o hardware e parte dos logs de infraestrutura. A ISO/IEC 27050 (Cloud Forensics) orienta sobre como formalizar pedidos de preservação ao provedor e quais artefatos são acessíveis sem intervenção judicial e quais exigem ordem legal.
Ferramentas de análise forense
A coleta produz imagens brutas; a análise transforma bytes em fatos investigativos. As ferramentas a seguir são amplamente aceitas em processos judiciais e auditorias técnicas:
- Autopsy: plataforma open source com módulos de análise de timeline, recuperação de arquivos deletados, análise de navegador e extração de e-mails.
- The Sleuth Kit (TSK): biblioteca de linha de comando que sustenta o Autopsy; permite análise granular de sistemas de arquivos.
- Volatility Framework: padrão de análise de memória RAM, suporta perfis para Windows, Linux e macOS.
- FTK (Forensic Toolkit): plataforma comercial da Exterro com indexação full-text, análise de email e geração de relatórios judiciais.
- EnCase: referência em grandes investigações corporativas e casos criminais; formato proprietário E01 é amplamente aceito em cortes internacionais.
- Magnet AXIOM: especializado em artefatos de aplicativos móveis, cloud e colaboração (Slack, Teams, WhatsApp).
Preservação e cadeia de custódia
Coletar a evidência corretamente é necessário, mas não suficiente. A preservação garante que a evidência permaneça intacta desde a coleta até a eventual apresentação em juízo — um intervalo que pode durar anos.
Práticas essenciais de preservação incluem: armazenamento em mídia forense dedicada (HD lacrado ou repositório imutável), controle de acesso físico e lógico ao local de guarda, registro de toda entrada e saída da evidência, duplicação em pelo menos dois locais distintos e re-verificação periódica dos hashes para detectar degradação de mídia.
A cadeia de custódia é o documento que registra esse histórico de forma ininterrupta. Qualquer lacuna — um período sem registro de quem tinha a evidência — pode ser usada para questionar sua autenticidade em juízo. A Lei 13.964/2019 (Pacote Anticrime) codificou essa exigência explicitamente no CPP brasileiro. Para um estudo aprofundado sobre o conceito e os formulários, consulte a página sobre cadeia de custódia de evidências digitais.
Admissibilidade judicial no Brasil
O Brasil reconhece evidências digitais no CPC (art. 369, que admite todos os meios legais de prova) e no CPP, que recebeu os artigos 158-A a 158-F pela Lei 13.964/2019 — os primeiros dispositivos processuais penais a tratar especificamente da cadeia de custódia digital.
Para que uma evidência digital seja admitida, o perito deve demonstrar: (1) que o processo de coleta não alterou os dados originais, demonstrado pelos hashes; (2) que a cadeia de custódia é ininterrupta e documentada; (3) que as ferramentas usadas são reconhecidas e suas versões registradas; e (4) que o laudo pericial descreve a metodologia em linguagem técnica reproduzível.
Laudos elaborados em conformidade com a ISO/IEC 27037 e o NIST SP 800-86 têm sido consistentemente aceitos pelo STJ e pelos tribunais estaduais. A impugnação da evidência exige contraprova técnica — não basta alegar manipulação sem apresentar evidência de discrepância no hash ou na cadeia de custódia.
Normas e referências técnicas
- NIST SP 800-86 — Guide to Integrating Forensic Techniques into Incident Response: guia abrangente sobre metodologia forense em resposta a incidentes.
- ISO/IEC 27037:2012 — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence: norma internacional para procedimentos forenses.
- RFC 3227 — Guidelines for Evidence Collection and Archiving: referência técnica para ordem de volatilidade e procedimentos de coleta.
- ISO/IEC 27050 — Electronic Discovery: trata de evidências em ambientes de nuvem e descoberta eletrônica.
- Lei 13.964/2019 — Pacote Anticrime: artigos 158-A a 158-F do CPP, que estabelecem a cadeia de custódia no direito processual penal brasileiro.
Perguntas frequentes
O que é a ordem de volatilidade na forense digital?
A ordem de volatilidade define a sequência de coleta de evidências do dado mais efêmero ao mais persistente. A RFC 3227 estabelece a hierarquia: registradores e cache de CPU, memória RAM, estado de conexões de rede, processos em execução, sistema de arquivos temporários, disco permanente e, por último, mídia removível e backups. Respeitar essa ordem evita a perda irreversível de artefatos que existem apenas enquanto o sistema está ligado.
Por que usar write-blocker na coleta forense?
Um write-blocker intercepta qualquer tentativa de escrita no dispositivo de origem, garantindo que a ferramenta de imagem não altere timestamps, metadados ou conteúdo do disco durante a aquisição. Sem esse controle, qualquer acesso ao sistema de arquivos pode modificar datas de acesso e comprometer a integridade da evidência. O uso de write-blocker é requisito da ISO/IEC 27037 e prática fundamental aceita pelo STJ para fins de admissibilidade judicial.
Qual a diferença entre MD5 e SHA-256 para verificar integridade?
MD5 produz um hash de 128 bits e ainda é amplamente usado em ferramentas legadas, mas apresenta vulnerabilidades a colisões intencionais. SHA-256 produz 256 bits e é considerado criptograficamente seguro para fins forenses atuais. O NIST SP 800-86 recomenda o uso de pelo menos dois algoritmos em paralelo — na prática, MD5 e SHA-256 — para que qualquer discrepância futura possa ser detetada. O hash deve ser calculado imediatamente após a aquisição e documentado na cadeia de custódia.
Como é feita a captura de memória RAM sem desligar o sistema?
A captura ao vivo usa ferramentas como WinPmem, AVML ou LiME para despejar o conteúdo da RAM em um arquivo de imagem sem reiniciar o sistema. O processo ocorre em userspace ou via módulo do kernel e gera um arquivo .raw ou .lime que pode ser analisado com o Volatility Framework. É fundamental documentar hora, versão do sistema operacional e ferramenta usada, pois a RAM muda a cada milissegundo e o registro temporal integra a prova.
A forense em nuvem segue os mesmos princípios da forense tradicional?
Os princípios são os mesmos — não alterar a evidência, documentar tudo, calcular hashes — mas a execução é diferente. Na nuvem, o perito coleta via APIs do provedor (AWS CloudTrail, Azure Monitor, GCP Audit Logs), snapshots de volumes e capturas de tráfego via VPC Flow Logs. O NIST SP 800-86 trata especificamente dos desafios de evidências em ambientes virtualizados, incluindo questões de jurisdição e custódia compartilhada com o provedor.
Evidências digitais são admitidas em processos judiciais no Brasil?
Sim. O CPC (art. 369) e o CPP (art. 158-A a 158-F, Lei 13.964/2019) reconhecem expressamente a evidência digital. A admissibilidade depende de autenticidade via hash, integridade da cadeia de custódia e conformidade com a ISO/IEC 27037. Laudos assinados por perito habilitado têm fé pública e podem ser contestados apenas mediante contraprova técnica.
Forense digital com a Decripte
A Decripte realiza forense digital e resposta a incidentes para organizações de todos os portes — de MEIs e startups a empresas com mais de 100.000 colaboradores. Nossa equipe conduz coleta em conformidade com ISO/IEC 27037 e NIST SP 800-86, produz laudos admissíveis em juízo e entrega relatórios compreensíveis para gestores e equipes técnicas.
Para organizações que ainda não sofreram um incidente, o Plano de Ameaças gratuito estabelece a linha de base de segurança e prepara os processos de resposta antes que a coleta forense se torne urgente. Para empresas que precisam de capacidade forense imediata, os planos pagos incluem SLA de acionamento e equipe dedicada.
