Neste artigo

Quando um incidente de segurança ocorre, a primeira reação costuma ser conter e restaurar. Mas sem entender o que aconteceu, como aconteceu e quem foi responsável, a organização está fadada a repetir o mesmo erro — e perde a capacidade de responsabilizar, processar ou aprender com o evento.

A computação forense digital é a disciplina que transforma dados brutos em evidências estruturadas, admissíveis juridicamente e úteis operacionalmente. Neste artigo, cobrimos como funciona, quando aplicar e como integrar forense à estratégia de segurança da organização.

O que é computação forense digital

Computação forense é a aplicação de técnicas científicas de investigação para identificar, preservar, analisar e apresentar evidências digitais. Seu objetivo é reconstruir eventos, determinar autoria e impacto, e produzir provas que resistam a questionário judicial.

68%
das organizações que sofrem incidentes não conseguem determinar a causa raiz por falta de capacidade forense (Ponemon Institute)

A forense não se limita a crimes — ela se aplica a qualquer situação onde seja necessário entender o que aconteceu no ambiente digital com rigor e rastreabilidade. Conheça também nosso serviço de investigação digital e OSINT para casos que exigem inteligência aprofundada.

Quando a organização precisa de forense

Incidentes de segurança

  • Invasões e acessos não autorizados
  • Ataques de ransomware — entender o vetor de entrada e escopo do comprometimento
  • Vazamentos de dados — determinar o que foi exposto e como, impactando diretamente o custo do vazamento
  • Malware e APTs — identificar persistência e movimentação lateral

Investigações internas

  • Fraude corporativa e desvio de recursos
  • Violação de políticas de uso aceitável
  • Vazamento intencional de informações confidenciais
  • Litígios trabalhistas envolvendo dados digitais

Compliance e regulatório

  • Obrigações da LGPD de investigar e reportar incidentes
  • Requisitos de legislação cibernética para preservação de evidências
  • Auditorias que exigem rastreabilidade de eventos
  • Processos judiciais onde dados digitais são prova

Processo forense: 4 fases

Metodologia forense

  • 1. Identificação: determinar quais sistemas, dispositivos e dados são relevantes para a investigação
  • 2. Preservação: coletar e proteger evidências sem alterá-las, garantindo cadeia de custódia
  • 3. Análise: examinar os dados preservados para reconstruir eventos, timeline e autoria
  • 4. Apresentação: documentar achados em relatório técnico e/ou laudo pericial admissível

Fase 1: Identificação

Definir o escopo é crítico. Nem tudo é relevante, e coletar demais desperdiça tempo e recursos. A identificação inclui:

  • Quais máquinas e servidores foram afetados
  • Quais períodos de tempo são relevantes
  • Quais contas de usuário estão envolvidas
  • Quais logs e fontes de dados existem (SIEM, EDR, firewall, cloud)

Fase 2: Preservação e coleta

A regra de ouro: nunca alterar a evidência original. O procedimento padrão:

  • Imagem forense: cópia bit-a-bit do disco ou volume, com hash (SHA-256) para validar integridade
  • Dump de memória: captura do estado da RAM antes de desligar o sistema
  • Coleta de logs: exportação de registros de SIEM, firewall, proxy, DNS
  • Captura de rede: PCAP de tráfego relevante
  • Registro fotográfico: estado físico do equipamento, conexões, tela

Ordem de volatilidade

Evidências digitais têm diferentes tempos de vida. A coleta deve seguir a ordem de volatilidade (RFC 3227): registradores da CPU → cache → RAM → disco → logs remotos → backups. Memória RAM se perde ao desligar; disco persiste. Priorize o que desaparece primeiro.

Fase 3: Análise

A análise busca responder: o quê, quando, como, quem e qual o impacto. Técnicas incluem:

  • Timeline analysis: reconstrução cronológica de eventos a partir de timestamps de arquivos, logs e artefatos
  • Carving: recuperação de arquivos deletados a partir de setores não alocados do disco
  • Análise de malware: engenharia reversa de artefatos maliciosos (estática e dinâmica)
  • Correlação de eventos: cruzamento de logs de múltiplas fontes para montar a narrativa
  • Análise de memória: extração de processos, conexões, credenciais e artefatos da RAM

Fase 4: Apresentação

O resultado da forense é um relatório que deve ser:

  • Objetivo: fatos, não opiniões. Conclusões baseadas em evidências
  • Reproduzível: outro perito deve chegar aos mesmos resultados com os mesmos dados
  • Compreensível: escrito para público técnico e não-técnico (juízes, advogados, diretoria)
  • Documentável: metodologia, ferramentas, hashes e cadeia de custódia registrados

Tipos de análise forense

Forense de disco

Análise de discos rígidos, SSDs e volumes: sistema de arquivos, arquivos deletados, artefatos do SO (registry, prefetch, event logs, browser history), partições ocultas e áreas não alocadas.

Forense de memória (RAM)

Análise do estado volátil do sistema: processos em execução, conexões de rede ativas, credenciais em memória, código injetado, rootkits e artefatos de malware que existem apenas em RAM.

Forense de rede

Análise de tráfego capturado (PCAP), logs de firewall, proxy, DNS e NDR. Permite reconstruir comunicações, identificar exfiltração de dados e mapear infraestrutura do atacante.

Forense de dispositivos móveis

Extração e análise de smartphones e tablets: mensagens, chamadas, GPS, aplicativos, fotos com metadados e artefatos de nuvem sincronizados.

Forense em cloud

Análise de ambientes AWS, Azure, GCP: logs de CloudTrail/Activity Log, configurações de IAM, snapshots de VM, storage access logs. Desafio adicional: dados distribuídos em múltiplas regiões e jurisdições.

Forense de e-mail

Análise de cabeçalhos, metadados, anexos e trilha de entrega. Essencial em investigações de phishing, BEC (Business Email Compromise) e vazamento por e-mail.

Cadeia de custódia

A cadeia de custódia é o registro formal e ininterrupto de quem teve acesso à evidência, quando, onde e o que foi feito com ela. Sem cadeia válida, a evidência pode ser contestada e invalidada em processo judicial.

Elementos da cadeia de custódia

  • Identificação única: cada evidência recebe um identificador (número de série, hash)
  • Registro de coleta: quem coletou, quando, onde, como
  • Transferências: toda movimentação registrada com data, hora e assinatura
  • Armazenamento seguro: acesso controlado, lacre, ambiente adequado
  • Hashes de integridade: SHA-256 calculado na coleta e verificado em cada etapa
  • Documentação: formulário de cadeia de custódia preenchido sem lacunas

Ferramentas e técnicas

Ferramentas de aquisição

  • FTK Imager: aquisição de imagem forense de disco (gratuito)
  • dd / dc3dd: cópia bit-a-bit via linha de comando (Linux)
  • Magnet ACQUIRE: coleta de dispositivos móveis, discos e cloud
  • DumpIt / WinPMEM: dump de memória RAM em Windows
  • LiME: aquisição de memória em Linux

Ferramentas de análise

  • Autopsy / Sleuth Kit: análise de disco open source com timeline, carving e indexação
  • EnCase: plataforma forense enterprise (padrão em perícias judiciais)
  • Volatility: análise de memória RAM (processos, DLLs, conexões, malware)
  • Wireshark: análise de tráfego de rede (PCAP)
  • KAPE: coleta rápida de artefatos forenses (triage)
  • Plaso / log2timeline: criação de super timelines a partir de múltiplas fontes

Análise de malware

  • Análise estática: exame do binário sem execução (strings, hashes, imports, disassembly)
  • Análise dinâmica: execução em sandbox controlada para observar comportamento
  • Ferramentas: IDA Pro, Ghidra (NSA, gratuito), Cuckoo Sandbox, Any.Run

Integração com resposta a incidentes

Forense e resposta a incidentes são complementares. A resposta foca em conter e restaurar; a forense foca em entender e documentar. O desafio é equilibrar velocidade de recuperação com preservação de evidências.

Forense no ciclo de resposta

  • Detecção: logs de SIEM e XDR fornecem os primeiros indicadores
  • Contenção: isolar sistemas comprometidos antes de restaurar, preservando evidências
  • Erradicação: forense identifica todos os pontos de persistência para remoção completa
  • Recuperação: forense valida que o ambiente está limpo antes do retorno à operação
  • Lições aprendidas: relatório forense alimenta melhorias em regras de detecção e controles

Não formate antes de investigar

Um dos erros mais graves é restaurar sistemas a partir de backup antes de coletar evidências. A pressa em voltar à operação destrói a capacidade de entender o ataque, processar responsáveis e prevenir recorrência. Sempre preserve primeiro, restaure depois.

Erros que invalidam evidências

Analisar o original sem cópia

Trabalhar diretamente no equipamento comprometido altera timestamps, logs e estado do sistema. A evidência se torna contestável.

Quebra na cadeia de custódia

Lacunas no registro de quem acessou a evidência, períodos sem documentação ou armazenamento sem controle de acesso invalidam todo o processo.

Uso de ferramentas não forenses

Copiar arquivos com Ctrl+C em vez de criar imagem bit-a-bit. Usar ferramentas que alteram metadados. Não calcular hashes de integridade.

Desligar o servidor imediatamente

Desligar destrói evidências em memória RAM (processos maliciosos, conexões ativas, credenciais). O procedimento correto é dump de memória antes de desligar.

Não envolver jurídico desde o início

Se há possibilidade de processo judicial, o jurídico deve ser envolvido desde a coleta para garantir admissibilidade das evidências.

Considerações finais

Computação forense não é luxo para grandes empresas — é capacidade essencial para qualquer organização que dependa de tecnologia. Sem forense, incidentes viram caixas-pretas: sabe-se que algo aconteceu, mas não o quê, como ou por quê.

Investir em capacidade forense — seja interna ou via retainer com especialistas — é investir na capacidade de aprender com incidentes, responsabilizar autores e proteger a organização de futuras ameaças.

Perguntas Frequentes

O que é computação forense digital?

É a disciplina que aplica técnicas científicas para identificar, preservar, analisar e apresentar evidências digitais. Inclui análise de discos, memória, rede e dispositivos móveis para reconstruir eventos e determinar autoria e impacto de incidentes.

O que é cadeia de custódia e por que importa?

É o registro formal de quem teve acesso à evidência, quando e o que foi feito. Sem cadeia válida, a evidência pode ser contestada e invalidada em processos judiciais, comprometendo toda a investigação.

Quando minha empresa precisa de forense?

Sempre que houver suspeita de incidente (vazamento, ransomware, acesso não autorizado), fraude interna, violação de políticas, litígios envolvendo dados digitais ou necessidade de compliance que exija evidências.

Posso fazer forense no próprio equipamento sem cópia?

Não é recomendado. A análise direta altera evidências. O correto é criar imagem forense bit-a-bit com hash de integridade antes de qualquer análise, preservando o original intacto.

Fontes e referências técnicas

  • NIST SP 800-86 — Guide to Integrating Forensic Techniques into Incident Response
  • RFC 3227 — Guidelines for Evidence Collection and Archiving
  • ISO/IEC 27037 — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence
  • ISO/IEC 27042 — Guidelines for the Analysis and Interpretation of Digital Evidence
  • SANS DFIR — Digital Forensics and Incident Response Resources
  • SWGDE — Scientific Working Group on Digital Evidence

Precisa de perícia ou investigação forense?

Oferecemos serviços de computação forense: coleta e preservação de evidências, análise de incidentes, laudos periciais e suporte a litígios.

Falar com Especialista
Inteligencia Brasil

Inteligencia Brasil

Consultoria especializada em Computação Forense, Resposta a Incidentes e Investigação Digital.