Na perícia de computadores frequentemente nos deparamos com uma grande quantidade de arquivos para analisar, demandando um enorme esforço no exame. A maioria dos arquivos porém não oferecem nenhum valor probatório e se fossem filtrados reduziriam o universo da pesquisa nos arquivos da evidência, eliminando arquivos conhecidos e inalterados dos sistemas instalados.

Imaginemos um notebook com sistema operacional, suíte office, antivírus e outros aplicativos instalados. Os arquivos destes sistemas não têm valor probatório e caso não os separemos certamente demandarão muito esforço na análise.  E como realizar esta filtragem?

O NIST (National Institute of Standards and Technology) é uma agência reguladora federal que dentre tantos outros projeto é a responsável pelo projeto denominado NSRL (National Software Reference Library) que produz uma lista de assinaturas digitais de arquivos de softwares conhecidos e certificáveis, que contém atualmente cerca de 28 milhões de assinaturas de arquivos.

Esta lista é conhecida como “Lista NIST” e distribuída gratuitamente no site da NSRL nos formatos RDS, Encase 5 e 6, Hashkeeper e Vogon.

O termo “deNIST” consiste na separação dos arquivos constantes da lista NIST diminuindo o universo de pesquisa do perito em computação forense, reduzindo o tempo de realização do seu trabalho.

Creio que não haja assunto mais conveniente para começarmos este blog do que falar sobre os procedimentos na coleta e análise de evidências relacionadas à computação forense. A diferença entre o sucesso e fracasso em uma perícia depende de se seguir alguns procedimentos básicos desde o ato da apreensão até o início dos exames.

1. No ato da apreensão os equipamentos e mídias deverão ser devidamente identificados, catalogados e corretamente acondicionados para serem enviados para a perícia;
2. Estes equipamentos e mídias não deverão ser utilizados sob nenhum argumento;
3. Ao serem enviados para a perícia, os materiais/equipamentos apreendidos deverão estar descritos na guia pericial ou no expediente de encaminhamento, contendo a data e hora da apreensão;

Tais cuidados têm um motivo. A apreensão é o início da cadeia de custódia do material e qualquer acesso aos sistemas de arquivos dos discos rígidos e outras mídias, caracterizarão violação de local de crime, pondo em risco as evidências que possam ser encontradas.

No ato da perícia podemos determinar com precisão a data e hora em que os equipamentos foram ligados e desligados pela última vez, assim como o último acesso aos arquivos relacionados com a prova. Caso os arquivos encontrados tiverem estampas de último acesso após a apreensão dos equipamentos e mídias, ficará claro que houve acesso indevido aos mesmos.

A perícia é realizada em uma imagem das mídias apreendidas ou na própria, entretanto em ambos os casos são utilizados hardwares e/ou softwares que bloqueiam a escrita no disco e consequentemente a alteração das estampas de data e hora dos arquivos.

Em breve falaremos sobre os procedimentos periciais e sobre como podemos determinar a data e hora do último início e desligamento dos equipamentos.