Se você gosta de seriados policiais já deve ter visto policiais fazendo análises complexas em computadores e extraindo informações que o suspeito nem desconfiava que ainda estavam presentes na máquina. Embora muita coisa do que acontece na televisão não passe de ficção, há também fatos que são espelhados no que ocorre da vida real.

Os policiais que fazem análise em computadores e eletrônicos de maneira geral são chamados peritos digitais. Eles são responsáveis por descobrir evidências em equipamentos para comprovar crimes virtuais. Para realizar essa tarefa eles fazem uso de equipamentos que muitas vezes o usuário nem imaginava existir.

Conheça agora um pouco do que esses profissionais fazem e algumas ferramentas utilizadas para descobrir aqueles dados que você nem fazia ideia que ainda podiam ser acessados em seu computador. Bem-vindos à polícia da era digital.

O que eles fazem e como conseguem

Se você pensa que ao apagar um arquivo do seu computador está livre dele para sempre, saiba que não é bem assim que funciona. Como já foi abordado aqui no portal Baixaki, é preciso mais do que uma formatação para apagar definitivamente os dados de um HD.

Para quem ainda não conferiu os artigos sobre o assunto, não deixe de ler, pois eles podem trazer informações que ajudem você a entender melhor o trabalho realizado pelos peritos digitais. Os artigos são: “Apague definitivamente os dados do seu disco rígido" e “Deletados para sempre!”.

O trabalho

Os peritos digitais só podem extrair dados de um computador ou qualquer outro aparelho eletrônico com a autorização prévia do dono ou com mandado judicial. Mesmo assim, o profissional só pode extrair as informações que constam no mandado.

Por exemplo, mesmo que durante uma busca por dados fraudulentos em uma determinada máquina o perito encontre informações que indiquem pedofilia, ele não pode adicionar tal informação ao seu laudo, pois foge do escopo do mandato. O que ele pode fazer é alertar as autoridades a respeito do conteúdo e esperar até que um mandato judicial para aqueles dados seja emitido.

Engana-se também quem pensa que a função de um perito é apenas recuperar dados de um HD. Com os equipamentos corretos eles são capazes de extrair informações dos mais diversos tipos, como chamadas, mensagens de texto, agenda, vídeos, imagens e música dos celulares.

Para os computadores a gama de dados é maior. É possível saber quais programas já foram instalados na máquina, data e horário exatos em que o computador foi ligado e utilizado, quais aplicativos foram executados ou mesmo quais dispositivos foram conectados a maquina e muitas outras informações que o usuário nem sabia que estava lá.

Com isso é possível rastrear o uso de softwares piratas, por exemplo, ou permitir o rastreamento de arquivos que foram copiados para outro dispositivo. Como eles conseguem fazer isso? Confira abaixo as ferramentas e técnicas utilizadas pra esse trabalho.

As técnicas e ferramentas utilizadas

Cópia de disco

Para que um dado seja complemente deletado de um HD é preciso que outra informação seja escrita por cima do espaço que ele ocupava em disco. Do contrário, os profissionais em perícia forense são capazes de recuperar qualquer arquivo ou dado, utilizando diferentes técnicas.

É possível, por exemplo, copiar bit a bit os dados de um disco para outro utilizando softwares simples como Norton GhostMacrium Reflect e DriveImage XML. É importante fazer essa cópia para que os dados originais fiquem intactos. Se algum problema acontecer com a imagem criada, é possível fazer outra.

A recuperação dos dados apagados é feita através de softwares especializados para essa tarefa. Apesar de serem mais simples daqueles utilizados pelos peritos, aplicativos como Undelete Plus, NTFS Undelete, Tokiwa Data Recovery ou mesmo o Avira UnErase Personal podem dar uma ideia ao usuário de como essa atividade é desempenhada.

Descobrindo dados ocultos

Os criminosos virtuais estão cada vez mais sofisticados, e já não deixam as informações facilmente acessíveis, muitas vezes os dados estão criptografados. Há ainda aqueles que utilizam técnicas mais avançadas, como a esteganografia, que consistem em esconder documentos dentro de outros arquivos.

Para isso eles utilizam aplicativos com funcionamento similar ao S-Tools, que revela arquivos e documentos escondidos em imagens. Outro programa que dá uma ideia da esteganografia é o Hide and Reveal.

Para quebrar a senha de acesso aos arquivos ocultos, os peritos recorrem ao hexadecimal do arquivo. Através dele é possível encontrar caracteres que não correspondem à imagem e descobrem onde foi lançado o texto correspondente ao password. Zerando essa informação em hexadecimal é possível acessar o conteúdo oculto sem problemas, e sem ter que quebrar a senha.

Congelando a RAM

Você sabia que é possível acessar os dados da memória RAM antes que eles sejam apagados? A técnica de congelamento da memória RAM foi muito utilizada por ladrões de notebooks ao redor do mundo.
Ela consiste em abrir o computador e literalmente congelar o pente de memória. Procedimento semelhante é utilizado pelos peritos digitais a fim de acessar os dados que transitavam nessa memória volátil do computador.

Obviamente é preciso mais do que uma chave de fendas e uma lata de spray para encontrar a informação que você busca, mas já é possível ter uma ideia do que você consegue fazer com algumas ferramentas básicas.