Ciencias Forenses Digitais
Especialidades da pericia digital e seus campos de atuacao
A forense digital se divide em especialidades conforme o tipo de vestigio, dispositivo, sistema ou tecnica de analise. Cada especialidade exige conhecimentos, ferramentas e metodologias especificas.
Computacao Forense
Computer Forensics
Analise de computadores (desktops, notebooks, servidores) e seus dispositivos de armazenamento (HDs, SSDs, pen drives, cartoes de memoria). Abrange criacao de imagens forenses, recuperacao de dados, analise de sistema de arquivos (NTFS, FAT32, ext4), registro do Windows, artefatos de navegadores e reconstrucao de timeline.
Escopo de analise
Imagens forenses (E01, DD, AD1)
Sistema de arquivos e $MFT
Registro do Windows (hives)
Artefatos de navegadores
Arquivos deletados e carving
Logs de eventos do sistema
Prefetch, ShellBags, LNK files
Timeline de atividades
Ferramentas
EnCase
FTK / FTK Imager
Autopsy
IPED
X-Ways Forensics
CAINE Linux
Paladin
Volatility
Forense em Dispositivos Moveis
Mobile Forensics
Extracao e analise de dados de celulares, tablets e smartwatches. Abrange extracoes logica, de sistema de arquivos, fisica e chip-off. Analise de bancos de dados SQLite de aplicativos (WhatsApp, Telegram, Instagram), geolocalizacao, registros de chamadas, SMS e dados de sistema.
Escopo de analise
Bancos SQLite de aplicativos
Mensagens e midias de apps
Registros de chamadas e SMS
Geolocalizacao (GPS, WiFi)
Dados de SIM/eSIM
Historico de navegacao
Backups (iTunes, Google)
Dados deletados e carving
Ferramentas
Cellebrite UFED
Cellebrite Physical Analyzer
Magnet AXIOM
IPED
Oxygen Forensic
MOBILedit
ADB
idevicebackup2
Forense de Redes
Network Forensics
Captura, registro e analise de trafego de rede. Abrange interceptacao telematica, analise de pacotes (PCAP), reconstrucao de sessoes, analise de logs de firewall, proxy e servidores, identificacao de protocolos e correlacao de enderecos IP.
Escopo de analise
Capturas de pacotes (PCAP)
Logs de firewall e proxy
Registros DNS
Fluxos de rede (NetFlow)
Logs de servidores (Apache, Nginx)
Registros de VPN e NAT
Analise de protocolos
Trafego criptografado (TLS)
Ferramentas
Wireshark
tcpdump
NetworkMiner
Zeek (Bro)
Snort
ngrep
tshark
Forense em Multimidia
Multimedia Forensics
Analise de autenticidade e integridade de imagens, videos e audios digitais. Inclui deteccao de manipulacao (edicao, montagem, deepfake), analise de metadados EXIF, verificacao de consistencia de camera/dispositivo, analise de ruido de sensor e autenticacao de midia.
Escopo de analise
Metadados EXIF/XMP/IPTC
Deteccao de edicao em imagens
Analise de video (frames, codec)
Autenticacao de audio
Deteccao de deepfake
Error Level Analysis (ELA)
Analise de ruido de sensor
Transcricao e melhoria de audio
Ferramentas
ExifTool
FotoForensics
Amped FIVE
Audacity
FFmpeg
MediaInfo
Prism
Forense em Nuvem
Cloud Forensics
Aquisicao e analise de dados armazenados em servicos de nuvem (iCloud, Google, Microsoft, Dropbox). Abrange coleta forense via API ou credenciais, analise de backups em nuvem, dados sincronizados e logs de acesso. A coleta pode ocorrer via ordem judicial ao provedor ou por ferramenta forense com token de acesso.
Escopo de analise
Backups de dispositivos (iCloud, Google)
E-mails e anexos
Arquivos sincronizados (Drive, OneDrive)
Historico de localizacao
Logs de acesso do provedor
Dados de apps conectados
Backups de WhatsApp (Google Drive)
Dados de contas (cadastro, IPs)
Ferramentas
Magnet AXIOM Cloud
Cellebrite Cloud
Oxygen Cloud Extractor
Elcomsoft Cloud Explorer
IPED
Formas de recebimento de dados de nuvem: (1) Link para download direto do provedor ou (2) retorno de oficio com token para coleta pelo perito com ferramenta forense. O segundo metodo preserva cadeia de custodia com hash e logs de aquisicao.
Forense em Malware
Malware Forensics
Analise de software malicioso encontrado em dispositivos: virus, trojans, ransomware, spyware, RATs. Inclui analise estatica (sem executar o malware), analise dinamica (execucao em sandbox), engenharia reversa, identificacao de indicadores de comprometimento (IoCs) e determinacao de comportamento e capacidades do malware.
Escopo de analise
Analise estatica (strings, imports)
Analise dinamica (sandbox)
Engenharia reversa (disassembly)
Indicadores de comprometimento (IoCs)
Comunicacao C2 (command & control)
Persistencia e propagacao
Deteccao de spyware (Pegasus)
Analise de memoria (RAM)
Ferramentas
IDA Pro
Ghidra
Cuckoo Sandbox
VirusTotal
YARA
MVT
Volatility
PE Studio
Forense em Banco de Dados
Database Forensics
Analise de bancos de dados (SQLite, MySQL, PostgreSQL, SQL Server, Oracle). Inclui recuperacao de registros deletados, analise de logs de transacao, reconstrucao de timeline de alteracoes, verificacao de integridade e analise de permissoes e acessos.
Escopo de analise
Registros deletados (SQLite free pages)
Write-Ahead Log (WAL)
Journal / transaction logs
Estrutura de tabelas e schema
Permissoes e logs de acesso
Timeline de alteracoes
Ferramentas
DB Browser for SQLite
SQLite Forensic Explorer
Sanderson Forensics
sqlcipher
ApexSQL Log
Forense em Memoria
Memory Forensics
Aquisicao e analise do conteudo da memoria RAM de computadores e servidores. Permite acessar dados volateis: processos em execucao, conexoes de rede ativas, chaves de criptografia, senhas em texto aberto, codigo injetado e artefatos de malware que existem apenas na memoria.
Escopo de analise
Processos ativos e ocultos
Conexoes de rede abertas
Chaves de criptografia em uso
Senhas e tokens em memoria
DLLs injetadas e hooks
Registro do Windows em memoria
Historico de comandos (bash/cmd)
Clipboard (area de transferencia)
Ferramentas
Volatility
Rekall
WinPmem
DumpIt
LiME
Belkasoft RAM Capturer
Forense em Telecomunicacoes
Telecom Forensics / ERB Analysis
Analise de registros de telecomunicacoes: ERBs (Estacoes Radio Base), bilhetagem telefonica, interceptacao telefonica e telematica. Inclui plotagem de ERBs em mapa, correlacao de dados de antenas com horarios, analise de bilhetagem (CDR — Call Detail Records) e verificacao de integralidade dos dados de interceptacao.
Escopo de analise
Registros de ERB (lat, long, azimute)
Bilhetagem telefonica (CDR)
Plotagem de antenas em mapa
Interceptacoes (audios + bilhetagem)
Identificacao via IP + porta + horario
Analise do Sistema Guardiao
Ferramentas
Google Earth Pro
mapa.erb.sc
QGIS
CellHawk
ANATEL (informacoes.anatel.gov.br)
ZetX
Dados necessarios para integralidade de ERBs: Extrato de bilhetagem com data/hora, usuario, latitude, longitude e azimute. Registros de ligacoes, SMS e conexao de dados (internet) com IP. Sem azimute, a cobertura deve ser considerada circular (360 graus).
Criptoanalise Forense
Forensic Cryptanalysis
Analise de dados criptografados, quebra de senhas e recuperacao de chaves. Inclui ataques de dicionario e forca bruta contra senhas de dispositivos, volumes criptografados (BitLocker, VeraCrypt, FileVault), bancos de dados de aplicativos e documentos protegidos.
Escopo de analise
Quebra de senhas (brute force, dicionario)
Volumes criptografados
Recuperacao de chaves (RAM, keychain)
Analise de algoritmos utilizados
Descriptografia de backups
Analise de certificados digitais
Ferramentas
Hashcat
John the Ripper
Elcomsoft (Phone/Disk/Password)
Passware Kit
VeraCrypt
Forense em Veiculos
Vehicle Forensics
Extracao e analise de dados armazenados em sistemas eletronicos de veiculos: central multimidia (infotainment), modulo de controle do motor (ECU), sistemas de telemetria, GPS embarcado, cameras, sensores e dados de conectividade (Bluetooth, WiFi, celulares pareados).
Escopo de analise
Central multimidia (contatos, chamadas)
Historico GPS do veiculo
Dispositivos Bluetooth pareados
Cameras embarcadas (dashcam)
Dados de telemetria (OBD-II)
EDR (Event Data Recorder)
Ferramentas
Berla iVe
Cellebrite Vehicle
MSAB XRY
Forense em IoT
Internet of Things Forensics
Analise de dispositivos conectados: assistentes virtuais (Alexa, Google Home), cameras de seguranca, smart TVs, wearables (smartwatches, pulseiras fitness), eletrodomesticos inteligentes. Esses dispositivos registram logs de atividade, comandos de voz, dados de sensores e historico de conectividade.
Escopo de analise
Logs de assistentes virtuais
Gravacoes de cameras IP
Dados de wearables (saude, GPS)
Logs de smart TV (apps, historico)
Historico de comandos de voz
Logs de conectividade (WiFi, BT)
Ferramentas
Cellebrite UFED (smartwatches)
Oxygen (wearables)
Firmware analysis tools
Wireshark (trafego IoT)
Documentoscopia
Document Examination
Exame tecnico-cientifico de documentos para verificar autenticidade, detectar falsificacoes e alteracoes. Abrange analise de papeis, tintas, impressoes, selos, carimbos, assinaturas mecanicas e elementos de seguranca. No contexto digital, inclui analise de documentos digitalizados, PDFs manipulados e assinaturas eletronicas.
Escopo de analise
Autenticidade de documentos
Deteccao de falsificacao
Analise de tintas e papeis
Elementos de seguranca
PDFs manipulados (metadados, layers)
Assinaturas eletronicas e digitais
Selos e carimbos
Impressoes e tipografia
Ferramentas
Microscopia optica
VSC (Video Spectral Comparator)
Luz UV / IR
Adobe Acrobat (analise de layers)
ExifTool
KIPPIS
Grafoscopia
Handwriting Analysis
Estudo tecnico da escrita manuscrita para identificacao de autoria. Analisa elementos como pressao, velocidade, inclinacao, proporcao, espacamento e habitos graficos individuais. Utilizada para verificar autenticidade de assinaturas, atribuir autoria de textos manuscritos e detectar disfarces graficos ou simulacoes.
Escopo de analise
Autenticidade de assinaturas
Autoria de textos manuscritos
Deteccao de disfarce grafico
Simulacao de escrita
Pressao e velocidade do traco
Habitos graficos individuais
Ferramentas
Microscopia estereoscopica
Scanner de alta resolucao
Grafoscopio
Tablet de pressao
Software de analise de tracos
Papiloscopia
Fingerprint Analysis
Identificacao humana por meio de impressoes digitais (datiloscopia), impressoes palmares (quiroscopia) e impressoes plantares (podoscopia). Tecnica biometrica baseada na unicidade e imutabilidade dos desenhos papilares. No digital, inclui analise de sensores biometricos, bancos de dados AFIS e validacao de autenticacao por impressao digital em dispositivos.
Escopo de analise
Impressoes digitais (datiloscopia)
Impressoes palmares (quiroscopia)
Impressoes plantares (podoscopia)
Fragmentos de impressoes latentes
Sensores biometricos de dispositivos
Bancos de dados AFIS
Ferramentas
AFIS (Sistema Automatizado)
Reagentes quimicos (ninidrina, cianoacrilato)
Luz forense (ALS)
Scanner de impressoes
Acev (Automated Comparison)
Balistica Forense
Forensic Ballistics
Estudo tecnico de armas de fogo, municoes, projeteis e seus efeitos. Abrange identificacao de armas pelo confronto de projeteis e estojos, analise de residuos de disparo (GSR), determinacao de trajetoria, distancia e posicao de tiro. No digital, inclui analise de imagens e videos de disparos e simulacoes balisticas computacionais.
Escopo de analise
Confronto de projeteis e estojos
Residuos de disparo (GSR)
Trajetoria e distancia de tiro
Identificacao de arma de fogo
Simulacao balistica computacional
Analise de videos de disparos
Ferramentas
Microscopio comparador balistico
IBIS (Integrated Ballistics)
MEV (Microscopia Eletronica)
Softwares de trajetoria
Amped FIVE (video)
Recuperacao de Dados
Data Recovery
Tecnicas para recuperar dados de midias danificadas, corrompidas ou formatadas. Inclui recuperacao logica (sistema de arquivos), recuperacao fisica (danos no hardware), data carving (reconstrucao por assinaturas de arquivo) e reparo de midias em sala limpa. Fundamental quando vestigios digitais foram deliberadamente apagados ou o dispositivo sofreu dano.
Escopo de analise
Midias formatadas ou corrompidas
Recuperacao logica (file system)
Recuperacao fisica (sala limpa)
Data carving por assinaturas
RAID reconstrucao
Midia danificada (agua, fogo, impacto)
Ferramentas
R-Studio
PhotoRec / TestDisk
Stellar Data Recovery
PC-3000 (hardware)
Scalpel
Foremost
Analise Comparativa de Software
Software Comparison Analysis
Comparacao tecnica entre versoes de software, codigo-fonte ou aplicativos para identificar modificacoes, plagios ou insercoes maliciosas. Utilizada em disputas de propriedade intelectual, analise de codigo-fonte em processos judiciais e verificacao de integridade de sistemas. Inclui diff de codigo, analise de binarios e engenharia reversa comparativa.
Escopo de analise
Diff de codigo-fonte
Analise de binarios compilados
Deteccao de plagio de software
Insercao de codigo malicioso
Verificacao de integridade (hash)
Engenharia reversa comparativa
Ferramentas
Beyond Compare
Ghidra (BinDiff)
IDA Pro
MOSS (plagio)
Git diff
WinMerge
Investigacao Corporativa
Corporate Investigation / e-Discovery
Investigacao digital em ambientes corporativos: fraudes internas, vazamento de dados, violacao de politicas, compliance e litígios. Inclui e-Discovery (coleta e processamento de evidencias eletronicas para processos judiciais), analise de e-mails corporativos, logs de sistemas ERP/CRM e auditoria de acessos e permissoes.
Escopo de analise
E-mails corporativos (PST, OST, MBOX)
Logs de ERP/CRM
Auditoria de acessos e permissoes
Vazamento de dados (DLP)
Fraudes internas e compliance
Documentos e contratos digitais
Ferramentas
Nuix
Relativity
Magnet AXIOM
IPED
X1 Social Discovery
Exterro
Resposta a Incidentes
Incident Response
Procedimentos de deteccao, contencao, erradicacao e recuperacao apos incidentes de seguranca: invasoes, ransomware, vazamentos de dados e acessos nao autorizados. Inclui preservacao de evidencias digitais durante a resposta, analise de logs, identificacao de vetores de ataque, timeline do incidente e recomendacoes de remediacao.
Escopo de analise
Deteccao e contencao do incidente
Preservacao de evidencias
Analise de logs (SIEM)
Identificacao de vetores de ataque
Timeline do incidente
Indicadores de comprometimento (IoCs)
Erradicacao e recuperacao
Relatorio pos-incidente
Ferramentas
Velociraptor
GRR Rapid Response
TheHive
MISP
Splunk
ELK Stack
CrowdStrike Falcon