PERÍCIA DIGITAL: ESTRATÉGIAS PARA ANALISAR E MANTER EVIDÊNCIAS
ÍNTEGRAS EM FORENSE COMPUTACIONAL
Tamara Bruna Ferreira da Silva
Resumo: É papel da Forense Computacional investigar, identificar, coletar, analisar,
interpretar, preservar, periciar, documentar e apresentar os fatos que ocorreram mediante a utilização de evidências digitais. Diante disso, o perito digital tem a preocupação de tratar e manter estas evidências digitais íntegras, confidenciais e disponíveis, de acordo com as propriedades da Segurança da Informação. Este artigo propõe a criação de diretrizes e estratégias específicas para guiar o trabalho do perito forense computacional garantindo a segurança de evidências digitais durante todas as etapas do processo de investigação.
Palavras-chave: Perícia Digital. Evidência. Investigação Eletrônica. Informação. Análise.
Coleta. Tratamento. Manutenção. Preservação.
1 INTRODUÇÃO
A segurança da informação se torna cada vez mais uma grande preocupação das empresas. “A informação e o conhecimento são, talvez, os bens mais valiosos de uma empresa. A forma como são tratados, manipulados e armazenados é uma preocupação constante e crescente dos seus administradores” afirma Lento (2011, p.9). Diante do grande desafio que é trabalhar sobre evidências e vestígios digitais, este artigo tem como tema a utilização de estratégias para realização de análise e manutenção de evidências digitais garantindo sobre elas as propriedades da segurança da informação.
Ao se trabalhar com evidências digitais é preciso lidar com o problema da falta de confiança nesse tipo de prova. “Apesar do alto nível de precisão da computação forense, há uma fragilidade: a coleta das evidências. Coletar de forma errônea pode tornar ilícita ou invalida determinada prova” afirma Pinheiro (2009, p.174). Porém, essa preocupação não é apenas com a coleta das informações, mas também com o seu manuseio, tratamento, análise e
Artigo apresentado como trabalho de conclusão de curso de Especialização em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de Especialista em Segurança da Informação. Orientador: Prof. Luiz Otavio Botelho Lento, MSC, 2017.
Acadêmico (a) do curso de Especialização em Gestão de Segurança da Informação da Universidade do Sul de Santa Catarina. Endereço eletrônico
armazenamento, ou seja, todo o decorrer do processo de investigação e perícia. Cabe ao perito retirar esse caráter duvidoso em um laudo pericial claro. Este artigo propõe uma solução ao problema da preservação, coleta e análise de evidências, mantendo sua integridade, confidencialidade e disponibilidade para que possam ser usadas juridicamente.
Este trabalho tem como objetivo a criação de diretrizes para guiar o processo de investigação forense, de maneira que se garanta a segurança das informações sobre as evidências digitais obtidas durante todas as etapas do processo, também resolvendo o problema da falta de confiança nesse tipo de prova.
2 FORENSE COMPUTACIONAL
A Forense Computacional supre as necessidades das instituições legais para manipulação de evidências eletrônicas, ela estuda a aquisição, preservação, identificação, extração, recuperação e análise de dados em formato eletrônico. É a ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolva a computação como meio, sob a ótica forense, sendo ela civil ou penal (GALVÃO, 2014).
2.1 EVIDÊNCIA DIGITAL
A evidência digital possui algumas características próprias: pode ser duplicada com exatidão, permitindo a preservação da evidência durante sua análise; utilizando métodos apropriados pode-se identificar se ela foi adulterada; é extremamente volátil, podendo ser alterada durante o processo de análise. A procura por evidências em um sistema computacional constitui-se de uma varredura minuciosa nas informações que nele residam, sejam dados em arquivos ou em memória, “deletados” ou não, cifrados ou possivelmente danificados (GEUS e REIS, 2002).
As cinco regras para a evidência eletrônica são: a admissibilidade, ou seja, ter condições de ser usada no processo; autenticidade, ser certa e de relevância para o caso; a completude, pois esta não poderá causar ou levar a suspeitas alternativas; a confiabilidade, não devem existir dúvidas sobre sua veracidade e autenticidade; e a credibilidade, que é a clareza, o fácil entendimento e interpretação (PINHEIRO, 2009, p. 172).
2.2 ETAPAS DA INVESTIGAÇÃO FORENSE
De acordo com Madeira (2012) as etapas de investigação forense são: aquisição, preservação, extração, recuperação, análise e apresentação. A aquisição, consiste na coleta de vestígios digitais e envolve o exame de uma mídia, podendo ser de mídias óticas, discos rígidos, dispositivos eletrônicos, etc.
A Figura 1 ilustra as fases do processo de investigação, nela é apresentada a sequência em que elas devem ser realizadas e os procedimentos relacionados a cada uma delas. É possível observar as transformações que acontecem durante o processo forense (PEREIRA et al., 2007).
Figura 1 - Fases de um processo de investigação
Fonte: Adaptado de Pereira, 2010.
2.2.1 Coleta dos Dados
O investigador sempre trabalhará com a cópia, para que caso os dados sejam danificados durante uma análise, ainda se tenha o arquivo original para obter uma nova cópia de trabalho, ou para caso sejam necessários novos exames. Para que o material original seja identificado e preservado integralmente é criada a cadeia de custódia (MADEIRA, 2012).
Um conjunto de dados voláteis pode ser organizado pela ordem recomendada para a coleta (KENT et al., 2006 apud PEREIRA et al., 2007):
•Redigir laudo •Anexar evidências e demais documentos •Comprovar integridade da cadeia de custódia (formulário e registros), gerar hash de tudo Resultados obtidos •Identificar (pessoas, locais e eventos) •Correlacionar (pessoas, locais e eventos) •Reconstruir a cena (incidente) •Documentar Análise •Identificar •Extrair •Filtrar •Documentar Exame •Isolar a área •Coletar evidências •Garantir integridade •Identificar equipamentos •Embalar evidências •Etiquetar evidências •Documentação (Cadeia de custódia) Coleta
Conexões de rede, a lista de sistemas de arquivos montados remotamente, estado da interface de rede, nome do computador, endereço IP e MAC address (Media
Access Control) de cada uma das interfaces de rede.
Sessões de login, lista de usuários conectados e horário, o endereço de rede dessa conexão, isso pode auxiliar na identificação dos usuários, das ações realizadas e do momento em foram executadas, permitindo a reconstrução dos fatos em uma ordem cronológica.
Conteúdo da memória, dados acessados recentemente, senhas e últimos comandos executados, processos em execução, arquivos abertos, data e hora do sistema operacional, configurações de fuso horário;
Já para os dados não voláteis, é recomendada a realização de uma imagem do disco, uma cópia bit-a-bit dos dados, incluindo espaços livres e não utilizados, o que permite realizar uma análise muito mais próxima ao cenário real. Possibilita também a recuperação de arquivos excluídos, por exemplo (PEREIRA et al., 2007).
Durante a realização da coleta de todos os dados acima mencionados é importante preocupar-se como a integridade de determinados atributos de tempo, os MAC Times: mtime (modification time), atime (access time) e ctime (creation time), que estão relacionados aos arquivos e diretórios. O atributo de modificação é o registro de data e hora em que ocorreu a última alteração no arquivo, o de acesso registra data e hora do último acesso e o atributo de criação registra data e hora em que o arquivo foi criado, inclusive, se este for copiado de um local para outro no sistema, o registro de criação assume a data e hora do destino e as informações de modificação permanecem inalteradas (FARMER e VENEMA, 2006, apud PEREIRA et al., 2007).
2.2.2 Exame dos Dados
Após realizada toda fase de coleta e restauração das cópias dos dados, o perito inicia o exame dos objetos resultantes da primeira fase. Esse exame tem como finalidade localizar, filtrar e extrair somente informações que contribuam, de alguma maneira, para a reconstrução dos eventos que deram origem a investigação (PEREIRA et al., 2007).
2.2.3 Análise dos Dados
A etapa de análise é a parte mais minuciosa e demorada, que exige grande conhecimento por parte do perito, que pode direcionar suas ferramentas para detecção de alvos em que sabe existir uma maior possibilidade de acertos (MADEIRA, 2012). Ela pode ocorrer paralelamente a etapa de exame, pois conforme as evidências vão sendo obtidas, é necessário que o perito efetue um correlacionamento entre elas. É a correlação das evidências que permite responder a perguntas como: quando e como um fato ocorreu e quem foi responsável por ele. A escolha das ferramentas utilizadas depende de cada caso (PEREIRA et al., 2007).
2.2.4 Apresentação dos Resultados
A apresentação é a etapa em que o resultado de todo o procedimento é exposto, evitando imprecisões que possam invalidar o trabalho. Trata-se da geração de um relatório sobre as operações realizadas pelo perito, evidências encontradas e o significado de cada uma delas. Para Kent e outros (2006, apud PEREIRA et al., 2007) nessa fase, é necessária a organização da documentação necessária para a criação do laudo pericial, sendo necessários alguns procedimentos como: reunir toda a documentação e anotações geradas nas etapas de coleta, exame e análise, incluindo as conclusões obtidas; identificar os fatos que fornecerão suporte as conclusões descritas no laudo pericial; listar as conclusões obtidas; organizar e classificar informações recolhidas para garantir um laudo conciso e inquestionável.
3 ANÁLISE E MANUTENÇÃO DE EVIDÊNCIAS
De acordo com a NBR ISO/IEC 27037 (2012), na maioria das jurisdições e organizações as evidências digitais são regidas por três princípios fundamentais: relevância, confiabilidade e suficiência. As evidências digitais se tornam relevantes quando permitem provar ou não um elemento que está sendo investigado. Quando a evidência é confiável, ela garante que é uma prova digital. Para garantir estes princípios os peritos precisam documentar todas as suas ações, determinar e aplicar um método para estabelecer a precisão e confiabilidade das evidências digitais; e reconhecer que o ato de preservação da prova digital potencial não
pode ocorrer sempre de maneira não-invasiva. Esses princípios estabelecidos devem seguir as seguintes condições (NBR ISO/IEC 27037, 2012):
Relevância: demostrar que o material adquirido é relevante para a investigação. Confiabilidade: os processos utilizados na manipulação de evidências digitais
em potencial devem ser auditáveis e repetíveis. Suficiência: material suficiente deve ser recolhido.
Auditabilidade: os processos utilizados devem ser passíveis de auditoria para determinar se um método científico, técnica ou procedimento adequado foi seguido.
Repetibilidade: um perito qualificado e experiente deve ser capaz de realizar os processos descritos na documentação e chegar aos mesmos resultados. Podem existir circunstancias em que não seria possível repetir o teste. Nesse caso, o perito deve assegurar-se de que o processo de aquisição foi confiável.
Reprodutibilidade: é estabelecida quando os mesmos resultados do teste são reproduzidos usando o mesmo método de medição, usando instrumentos diferentes e sob diferentes condições, e pode ser reproduzida a qualquer momento após o teste original.
Justificabilidade: o perito deve ser capaz de justificar todas as ações e métodos utilizados no tratamento da evidência digital.
3.1 PROCESSO DE TRATAMENTO DE EVIDÊNCIAS DIGITAIS
Os peritos devem seguir procedimentos documentados para assegurar a integridade e confiabilidade das evidências. Os procedimentos devem incluir diretrizes de tratamento de fontes e de evidências que devem seguir os princípios fundamentais para minimizar a manipulação nos dispositivos originais, documentar todas as ações realizadas e alterações na medida em que forem acontecendo, cumprir a legislação local sobre as evidências (NBR ISO/IEC 27037, 2012).
A NBR ISO/IEC 27037 (2012) descreve o processo de investigação forense como: Identificação: Evidências digitais podem ser representadas de forma física e lógica. A forma física é tangível, e a lógica refere-se a apresentação virtual de
dados dentro de um dispositivo. O processo de identificação envolve o reconhecimento e documentação destas evidências. A coleta deve ocorrer de acordo com a volatilidade dos dados (NBR ISO/IEC 27037, 2012).
Coleta: O perito deve coletar as potenciais evidências identificadas, tomando as decisões baseado nas circunstâncias. (NBR ISO/IEC 27037, 2012).
Aquisição: Esse processo envolve a produção de uma cópia do que foi obtido na coleta. O perito deve adotar um método de aquisição adequado com base na situação, custo e tempo. Se houverem alterações inevitáveis nos dados digitais, as atividades realizadas devem ser documentadas para explicar as alterações. Tanto a fonte original e da cópia de prova digital deverá ser verificada com uma função de verificação comprovada (hash) (NBR ISO/IEC 27037, 2012).
Preservação: o perito deve ser capaz de demonstrar que a prova não foi modificada desde que foi recolhida, a não ser que a documentação justifique as mudanças. O sigilo também é um requisito (NBR ISO/IEC 27037, 2012).
3.2 CADEIA DE CUSTÓDIA
A cadeia de registro de custódia é um documento que identifica a cronologia do movimento e manuseio da prova digital potencial. Deve ser instituída a partir do processo de coleta ou aquisição, descreve a história do item desde o momento em que foi identificado, recolhido ou adquirido pela equipe de investigação até o presente estado e localiz ação (NBR ISO/IEC 27037, 2012).
O propósito de manter uma cadeia de registro de custódia é permitir a identificação de acesso e circulação de evidências digitais potenciais em qualquer ponto no tempo. Deve conter ao menos as seguintes informações: identificador de evidência único; quem acessou as potenciais evidências, hora e local em que ocorreu; quem teve acesso as evidencias dentro e fora das instalações definidas, o porquê e quando isso ocorreu; e, quaisquer alterações inevitáveis, bem como o nome do responsável e a justificativa.
“A cadeia de custódia é um material que possui um alto poder de convencimento, tanto do juiz quanto dos jurados de um processo, visto que possui idoneidade, imparcialidade e embasamento técnico e/ou científico” afirma FDTK (2015).
3.3 DIRETRIZES PROPOSTAS
A partir dos estudos realizados foi possível determinar as diretrizes que guiarão o trabalho pericial, baseadas na NBR ISO/IEC 27037 (2012) e no documento Eletronic Crime
Scene Investigation (NIJ, 2001). Atualmente não existe um documento oficial que oriente a
realização dessa prática. Por entender que é imprescindível a garantia das propriedades de segurança sobre as informações, esse conjunto de diretrizes define:
O perito deve ser pessoa capaz de exercer a atividade proposta, com conhecimentos relacionados a sua área de atuação, condizentes com a natureza do exame, além de possuir ética e caráter.
Ao realizar a apreensão de qualquer equipamento, este deve ser devidamente identificado e registrado na cadeia de custódia.
O perito deve conhecer o incidente detalhadamente, conhecer as suspeitas, se existe pessoa suspeita, qual material está envolvido, período em que aconteceu, qual é o de modus operandi para a prática do incidente, além de qualquer informação que permita identificar uma evidência relevante.
O perito deve definir sua estratégia de atuação de acordo com o incidente e assim definir quais dados devem ser coletados a partir dos equipamentos apreendidos e quais as técnicas e ferramentas de análise, tratamento e manutenção deverão ser utilizadas.
Equipamentos ou evidências coletados devem ser isolados do acesso de qualquer pessoa, registrando devidamente todo contato que tiver com o objeto em questão e justificando-o na cadeia de custódia. Deve-se preservar o acesso físico e lógico das evidências, em local com controle de acesso.
Ao realizar a coleta, o perito deve certificar-se de que suas ações não iram alterar os dados coletados e de que as possíveis evidências serão preservadas.
Quando realizar cópias ou acessar algum dado, arquivo, partição, disco rígido, mídia, etc. deve-se preocupar em realizar esse acesso em modo somente leitura. O perito deve registrar todas as ferramentas utilizadas para a coleta dos dados, bem como de qual equipamento foram obtidos, além de detalhar os procedimentos realizados em sua utilização.
Deve preocupar-se em coletar dados que possam ter sido perdidos, deletados, modificados, ocultados, escondidos, criptografados, entre outros, relatando o estado em que foram encontrados.
Coletar os dados voláteis, conexões de rede, sessões de login, processos em execução, arquivos abertos, configurações de rede, IP e mac address, data e hora do sistema operacional, e também realizar o dump da memória RAM.
Coletar dados não voláteis, realizar cópia com imagem do disco rígido.
Os dados coletados devem ser obrigatoriamente duplicados e todos os trabalhos devem ser realizados sobre as cópias para que seja possível recriar o ambiente original, caso seja necessário. Toda a análise deve ser realizada sobre cópias do conteúdo original.
Deve-se gerar o hash de cada evidência coletada para garantir sua integridade. As evidências comprovadas, bem como todo o material obtido na coleta e
utilizado na análise, devem ser criptografadas para garantir o acesso apenas por parte do perito ou pessoas autorizadas e para que se possa comprovar que ninguém não autorizado teve acesso a elas. A utilização de um sistema operacional que exija autenticação também garante esse registro, pois existem
logs do sistema operacional que permitem verificar os usuários que tiveram
acesso ao computador.
O perito deve analisar todos os dados obtidos a fim de encontrar informações que permitam correlacionar o incidente, criar a linha do tempo do incidente e identificar pessoas e ações.
O perito deve redigir laudo pericial, detalhando todo o processo ocorrido nas fases anteriores bem como sua conclusão sobre cada uma das evidências encontradas.
A realização do processo forense baseada nas diretrizes propostas é uma garantia de que as evidências serão mantidas e protegidas para que possam ter validade jurídica e comprovem tudo o que aconteceu em um crime ou incidente.
3.3.1 Estratégias para garantir as propriedades de segurança de evidências digitais
Após obtenção das evidências forenses, é necessário garantir sua segurança. Dessa forma, propõe-se:
Garantir Confidencialidade: o perito deve garantir que todo o material obtido, as comprovadas provas digitais, sejam confidenciais e que somente pessoal autorizado possa ter acesso a elas. A criação de políticas de segurança, com regras de acesso físico e lógico e o uso de mecanismos de criptografia são maneiras de garantir a confidencialidade.
Garantir Integridade: deve ser garantido que as informações e dados obtidos e armazenados não serão corrompidos, perdidos ou danificados, seja de maneira acidental ou proposital. Transporte, manuseio, condições climáticas, ou até mesmo a exposição a campos eletromagnéticos podem influenciar na integridade do conteúdo de equipamentos eletrônicos. O perito deve preocupar-se em manter a redundância e replicação de todo o material da investigação.
Garantir Autenticidade: a autenticidade deve garantir que a informação é legítima, e que a fonte da informação também é legítima. A autenticidade permite confirmar a identidade. Mecanismos de criptografia garantem a autenticidade pois somente com acesso à chave criptográfica as evidências poderão ser acessadas.
Garantir disponibilidade: sempre que houver a necessidade de realizar uma nova análise, ou uma nova verificação de qualquer natureza em uma evidência, deve ser garantido o acesso a evidência em seu estado original, autêntica e íntegra. Garantir Não Repúdio: deve ser garantido o registro de que a pessoa que teve
algum acesso a evidência ou realizou alguma alteração seja realmente ela. O não repúdio é a capacidade de provar que determinado indivíduo realizou uma determinada ação, ou seja, o autor do fato não poderá negar que o fez. O correlacionamento das evidências com o crime ou incidente são a garantia de não repúdio.
4 ESTUDO DE CASO
Este estudo de caso propõe demonstrar brevemente como lidar com uma evidência durante uma investigação forense digital. Neste caso, o objetivo da investigação é conseguir identificar se houve vazamento de informação confidencial. O perito precisa conseguir comprovar, através de sua análise, que um usuário suspeito copiou um determinado arquivo para um pendrive.
Analisando as diretrizes, o perito deve aplicar tudo que se encaixa nesse incidente. Ao se obter acesso ao computador suspeito, dá-se início ao preenchimento da documentação da Cadeia de Custódia. O perito deve realizar uma imagem bit a bit do disco, acessando o HD em modo somente leitura para não interferir nos dados. Por já existir uma suspeita de modus
operandi do suspeito, o perito utiliza a ferramenta chamada ERDNT para realizar a cópia dos
arquivos de registro do sistema operacional. Os arquivos salvos através dessa ferramenta serão analisados utilizando a ferramenta Windows Registry Recovery da MiTeC, mais especificamente o arquivo “NTUSER.DAT” referente ao usuário da máquina correspondente a pessoa suspeita.
Figura 2 - Windows Registry Recovery - arquivo vazado
Fonte: Autora, 2017.
Ao verificar a Figura 2 é possível observar que após realizar a busca por parte do nome do arquivo, neste caso “segredo.docx”, existe duas menções a ele, uma delas
provavelmente em um dispositivo móvel de unidade “E:\”. Ao realizar a análise deste item, nas suas propriedades (Figura 3) é apresentada a data de 26/06/2017 e o horário 12:57:57, que precisa ser ajustado para o fuso horário de Brasília (-3), portanto horário de 09:57:57. O perito deve verificar se a data e horário obtidos correspondem com a suspeita, por exemplo, se é possível provar que o usuário estava no local neste momento.
Figura 3 - Propriedades do Item suspeito
Fonte: Autora, 2017.
Para uma análise mais detalhada, o perito utiliza uma ferramenta chamada
RegRipper, para analisar os arquivos “SOFTWARE” e “SYSTEM”, obtidos do registro com a
ferramenta ERDNT. Ele vai gerar um relatório. Ao analisar esse relatório, é possível verificar que na data encontrada na evidência existe o registro de que foi utilizado um portable device (
Figura 4).
Figura 4 - Portable Device
Fonte: Autora, 2017.
Pesquisando o mesmo documento pelo SN (serial number) pode-se concluir que o mesmo dispositivo móvel já foi conectado por diversas vezes no mesmo computador em várias datas diferentes, o que é mais um indício de que se trata de um pendrive pessoal da marca
Sandisk. Posteriormente o perito deve realizar a redação do laudo pericial, detalhando todo seu
trabalho e os resultados obtidos. Em uma investigação, esta poderia ser uma das evidências que auxiliaria na resolução da investigação deste incidente, porém, precisaria ser correlacionada com outras evidencias, como por exemplo: gravação de câmeras de segurança, registro de acesso ao prédio, entre outras.
5 CONCLUSÃO
A Forense Computacional é uma área de estudo detalhista que envolve diversas etapas, preocupando-se com a obtenção, preservação, validação, identificação, análise, interpretação, documentação e apresentação de evidências digitais. Diante de um procedimento tão complexo e minucioso, é papel do perito digital encontrar dados e informações que o ajudem a traçar um caminho para reproduzir o crime, identificar locais, suspeitos e coletar evidências que sejam decisivas para comprovação dos fatos, sempre tomando os devidos cuidados para não invalidar evidências e garantir as propriedades da segurança da informação sobre elas.
A execução deste trabalho permitiu entender o quanto o trabalho pericial é complexo e minucioso. Um perito precisa de grandes conhecimentos técnicos e de como funcionam sistemas operacionais, sistemas de arquivos, ferramentas complexas, além do processo investigativo.
Como proposta para garantia de preservação de evidências, foram criadas diretrizes baseadas no processo já existente de forense computacional, que se apliquem genericamente a qualquer perícia, preocupando-se e em garantir a validade e manutenção das evidências. Foi também realizado um estudo de caso para demonstração de um pouco de como é a obtenção e análise de evidências digitais, demonstrando como o perito pode chegar à conclusão de que houve furto de informações através do uso de um pendrive em um computador empresarial. A realização de uma perícia forense pode exigir um grande esforço e possuir inúmeras variações, é trabalho do perito documentar e demonstrar seu trabalho de maneira que seja válido para a obtenção de provas.
Por fim, pode-se constatar que os objetivos propostos neste trabalho foram alcançados, mediante aplicação do modelo conceitual em um ambiente controlado, projetado especificamente para demonstração da proposta, além da utilização dos conceitos de seguraça
para comprovação da validade das evidências e do uso das diretrizes como guia da execução do estudo de caso.
DIGITAL INVESTIGATION: STRATEGIES TO ANALYZE AND KEEP THE INTEGRITY OF EVIDENCES IN COMPUTER FORENSICS
Abstract: It is the function of Computational Forensics to investigate, identify, collect, analyze,
interpret, preserve, examine, document and present the facts that occurred through the use of digital evidence. In view of this, the digital expert is concerned to treat and keep these digital evidence intact, confidential and available, in accordance with the properties of Information Security. This article proposes the creation of specific guidelines and strategies to guide the work of computer forensics by ensuring the security of digital evidence during all stages of the digital investigation process.
Keeywords: Digital Expertise. Evidence. Electronic Investigation. Information. Analysis. Collect. Treatment. Maintenance. Preservation.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da informação: técnicas de segurança: Diretrizes para identificação, coleta, aquisição e preservação de evidências digitais NBR ISO/IEC 27037. 2012
FTDK. FTDK-Wiki: Cadeia de Custódia. Centro de consulta sobre ferramentas de Forense Digital. 2015. Disponível em: <fdtk.com.br/wiki/tiki-index.php?page=formulario>. Acesso em: 08 maio 2017.
GALVÃO, Ricardo K.M. Perícia Forense Computacional. Material didático da disciplina Perícia Forense Computacional. Instituto Federal de Educação Ciência e Tecnologia. Rio Grande de Norte, Natal. 2014. Disponível em:
<http://diatinf.ifrn.edu.br/doku.php?id=corpodocente:ricardo:pfc20141>. Acesso em: 03 abr. 2017.
GEUS, Paulo L.; REIS, Marcello A. Análise forense de intrusões em sistemas
computacionais: técnicas, procedimentos e ferramentas. 2002. Disponível em: <
https://www.coursehero.com/file/12122211/2002periciamarceloreisforensetecnicasprocedime ntos/>. Acesso em: 03 abr. 2017.
LENTO, Luiz Otávio Botelho. Segurança da informação: livro didático / Luiz Otávio Botelho Lento; design instrucional Ana Cláudia Taú; [assistente acadêmico Leandro Rocha, Michele Antunes Corrêa. 3. ed. Palhoça: UnisulVirtual, 2011.
MADEIRA, Mauro Notarnicola. Forense computacional: livro didático / Mauro Notarnicola Madeira; Design Instrucional Delma Cristiane Morari. Palhoça: UnisulVirtual, 2012.
NATIONAL INSTITUTE OF JUSTICE. Eletronic Crime Scene Investigation: A guide for first responders. 2a ed. U. S. Department of Justice – Office of Justice Programs: Washington, 2001. Disponível em: < https://www.ncjrs.gov/pdffiles1/nij/219941.pdf>. Acesso em: 05 nov. 2014.
PEREIRA, Evandro. FAGUNDES, Leonardo L.;NEUKAMP, Paulo; LUDWIG, Glauco; KONRATH, Marlon. Forense computacional: fundamentos, tecnologias e desafios atuais. In:
SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS, 7, 2007. Anais. Universidade do Vale do Rio dos Sinos - Unisinos,
2007. Disponível em: < <http://ceseg.inf.ufpr.br/anais/2007/minicursos/cap1-forense.pdf >. Acesso em: 06 maio 2017.
PEREIRA, Evandro. Investigação digital: conceitos, ferramentas e estudos de caso. In:
CONGRESSO TECNOLÓGICO DE TI E TELECOM, 3, 2010, Fortaleza. Anais
eletrônicos. Fortaleza, 2010. Disponível em: <www.infobrasil.inf.br/userfiles/26-05-S5-2-68766-Investigacao%20Digital.pdf>. Acesso em: 06 maio 2017.
PINHEIRO, Patricia Peck. Direito digital. 3 ed. rev., atual. e ampl. São Paulo: Saraiva, 2009.
