Guia Prático de Preservação de Evidências Digitais (sem drama e sem perder a cadeia de custódia)

Preservação de Evidências Digitais

Aprenda como preservar evidências digitais de forma correta, mantendo a cadeia de custódia e garantindo validade jurídica. Guia prático para profissionais de TI, advogados e peritos forenses.

A preservação de evidências digitais é um dos pilares fundamentais da perícia forense computacional. Um erro nesse processo pode comprometer toda uma investigação ou processo judicial. Neste guia, você aprenderá as técnicas essenciais para coletar, preservar e documentar evidências digitais sem cometer os erros mais comuns.

O Que É Cadeia de Custódia Digital?

A cadeia de custódia é o registro cronológico que documenta a coleta, transferência, análise e armazenamento de evidências. No mundo digital, isso significa garantir que:

A evidência não foi alterada desde sua coleta
Todas as movimentações foram documentadas
Qualquer pessoa que teve acesso está identificada
Os procedimentos seguiram padrões técnicos reconhecidos

Por que isso importa? Uma cadeia de custódia quebrada pode tornar a evidência inadmissível em processos judiciais, anulando meses de investigação.

Princípios Fundamentais da Preservação Digital

1. Nunca Trabalhe com o Original

A regra de ouro: sempre faça uma cópia forense antes de qualquer análise. O dispositivo original deve ser lacrado e armazenado em local seguro.

Como fazer:

Use ferramentas de imagem forense (FTK Imager, dd, Guymager)
Crie no mínimo duas cópias bit-a-bit
Calcule e documente hashes criptográficos (MD5, SHA-256)
Trabalhe apenas com as cópias

2. Documente Absolutamente Tudo

Cada ação deve ser registrada:

Data e hora de cada procedimento
Quem realizou a ação
Ferramentas utilizadas (nome e versão)
Condições do dispositivo ao ser encontrado
Fotografias do local e do equipamento
Testemunhas presentes

Dica profissional: Use formulários padronizados de cadeia de custódia. Improviso gera falhas.

3. Mantenha a Integridade dos Dados

A evidência digital é volátil e frágil. Cuidados essenciais:

Use bloqueadores de escrita em dispositivos de armazenamento
Evite ligar computadores ou celulares apreendidos
Proteja contra campos magnéticos e descargas elétricas
Mantenha em ambiente climatizado quando possível

Passo a Passo: Preservando Evidências na Prática

Fase 1: Identificação e Isolamento

No local da coleta:

Fotografe a cena antes de tocar em qualquer equipamento
Identifique todos os dispositivos relevantes (computadores, smartphones, pendrives, cartões de memória)
Isole os dispositivos de redes (desligue Wi-Fi, remova cabos de rede)
Se o equipamento estiver ligado, avalie: desligar ou fazer captura de memória volátil?

Atenção: Dados em RAM são perdidos ao desligar. Em casos de criptografia ativa ou malware em execução, pode ser necessário capturar a memória primeiro.

Fase 2: Coleta e Acondicionamento

Procedimentos corretos:

Etiquete cada item com número de identificação único
Use sacos antiestáticos para dispositivos eletrônicos
Lacre com fita de evidência numerada
Documente o estado físico (danos, marcas, números de série)
Obtenha assinatura de testemunhas no termo de apreensão

Erros comuns a evitar:

Guardar dispositivos em porta-malas quentes
Usar fitas adesivas comuns que podem ser removidas
Esquecer de fotografar conexões antes de desconectar cabos

Fase 3: Transporte e Armazenamento

Cuidados no transporte:

Proteja contra choques físicos e vibrações
Evite exposição ao sol e temperaturas extremas
Mantenha separado de dispositivos magnéticos
Transporte com escolta documentada

Armazenamento adequado:

Sala com controle de temperatura e umidade
Acesso restrito e registrado
Prateleiras organizadas por número de caso
Sistema de gestão de evidências atualizado

Fase 4: Criação de Imagem Forense

Ferramentas recomendadas:

FTK Imager (gratuito, interface amigável)
dd (linha de comando Linux, padrão ouro)
Guymager (Linux com interface gráfica)
Cellebrite ou UFED (para dispositivos móveis)

Processo passo a passo:

Conecte o dispositivo com bloqueador de escrita
Inicie a ferramenta de imagem forense
Selecione formato de saída (E01, DD, AFF)
Configure cálculo automático de hash
Inicie a clonagem e aguarde
Verifique a integridade comparando hashes
Documente todo o processo com prints de tela

Exemplo de documentação de hash:

Dispositivo: HD Seagate 1TB - SN: 2HJ8K4RT
Data da imagem: 26/10/2025 14:35
Ferramenta: FTK Imager 4.7.1
MD5: 3a4f5e6d7c8b9a0e1f2d3c4b5a6e7f8d
SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
Perito responsável: [Nome completo]

Ordem de Volatilidade: O Que Coletar Primeiro

Em ambientes computacionais ativos, a ordem de coleta importa:

Registros de memória volátil (RAM, cache, registros)
Estado do sistema (processos em execução, conexões de rede)
Discos rígidos e SSDs
Logs remotos (servidores, firewall, sistemas em nuvem)
Arquivos de configuração
Backups e arquivos mortos

Dados mais voláteis devem ser coletados primeiro, pois podem ser perdidos rapidamente.

Evidências em Dispositivos Móveis

Smartphones e tablets apresentam desafios únicos:

Cuidados especiais:

Não insira o SIM card em outro dispositivo
Coloque em modo avião imediatamente
Use Gaiola de Faraday para bloquear sinais
Mantenha a bateria carregada (use carregadores originais)
Cuidado com bloqueios por tempo ou tentativas de senha

Ferramentas especializadas:

Cellebrite UFED
Oxygen Forensics
XRY da MSAB
Magnet AXIOM

Evidências em Nuvem

A coleta de dados em cloud computing exige abordagem diferente:

Principais desafios:

Dados podem estar em múltiplas jurisdições
Necessidade de cooperação do provedor
Logs podem ter retenção limitada
Sincronização pode alterar dados

Boas práticas:

Obtenha ordens judiciais rapidamente
Solicite preservação de dados ao provedor
Documente timestamps de sincronização
Use APIs oficiais quando disponíveis
Capture metadados de acesso

Erros Fatais Que Destroem Evidências

❌ Ligar o computador suspeito “só para ver o que tem”

Por que é grave: Altera timestamps, ativa scripts maliciosos, pode disparar mecanismos de destruição de dados.

❌ Usar ferramentas não testadas ou crackeadas

Por que é grave: Comprometimento da integridade, impossibilidade de validação técnica, problemas legais.

❌ Não calcular hashes das evidências

Por que é grave: Impossível provar que os dados não foram alterados, evidência pode ser contestada.

❌ Documentação incompleta ou manuscrita ilegível

Por que é grave: Quebra da cadeia de custódia, impossibilidade de auditoria, perda de credibilidade pericial.

❌ Compartilhar senhas ou acessos sem documentação

Por que é grave: Impossível rastrear quem acessou, contamina a cadeia de custódia.

Ferramentas Essenciais do Profissional

Gratuitas e Open Source

Autopsy – Interface para análise forense
Volatility – Análise de memória RAM
Wireshark – Captura de tráfego de rede
FTK Imager – Criação de imagens forenses
SIFT Workstation – Distribuição Linux completa para forense

Comerciais (Recomendadas)

EnCase Forensic – Padrão da indústria
X-Ways Forensics – Eficiente e rápida
Magnet AXIOM – Excelente para dispositivos móveis e nuvem
Cellebrite UFED – Líder em forense móvel

Aspectos Legais e Normativos

Legislação Brasileira Relevante

Lei nº 12.965/2014 (Marco Civil da Internet)
Lei nº 13.709/2018 (LGPD)
Código de Processo Penal (artigos sobre provas)
NBR ISO/IEC 27037:2013 – Diretrizes para identificação, coleta e preservação de evidências digitais

Requisitos de Conformidade

A preservação deve atender:

Princípio da legalidade (coleta com autorização judicial quando necessário)
Proporcionalidade (apenas dados relevantes)
Rastreabilidade completa
Possibilidade de reprodução dos procedimentos

Checklist de Preservação de Evidências

Antes da coleta:

[ ] Obter autorizações necessárias
[ ] Preparar kit de coleta (ferramentas, formulários, etiquetas)
[ ] Verificar equipamentos (bloqueadores de escrita, cabos)
[ ] Definir equipe e responsabilidades

Durante a coleta:

[ ] Fotografar a cena
[ ] Identificar e etiquetar dispositivos
[ ] Documentar estado físico
[ ] Isolar de redes
[ ] Embalar adequadamente
[ ] Coletar assinaturas

Após a coleta:

[ ] Criar imagem forense
[ ] Calcular e documentar hashes
[ ] Armazenar em local seguro
[ ] Atualizar sistema de gestão de evidências
[ ] Preparar relatório preliminar

Durante a análise:

[ ] Trabalhar apenas com cópias
[ ] Documentar todas as ações
[ ] Manter logs de acesso
[ ] Preservar evidências originais intocadas

Conclusão

A preservação adequada de evidências digitais não é opcional — é um requisito técnico e legal fundamental. Seguir os procedimentos corretos garante que:

As evidências serão admissíveis em processos judiciais
A investigação terá credibilidade técnica
Os resultados poderão ser reproduzidos e auditados
Sua reputação profissional estará protegida

Lembre-se: é melhor recusar um caso por falta de condições adequadas do que comprometer evidências por improviso. A preservação digital não admite “mais ou menos” — ou está correto, ou está errado.

Invista em treinamento, certificações (CHFI, EnCE, GCFE) e equipamentos adequados. Seu trabalho pode ser a diferença entre a resolução de um crime e a impunidade.

Recursos Adicionais

Certificações Recomendadas:

CHFI (Computer Hacking Forensic Investigator)
EnCE (EnCase Certified Examiner)
GCFE (GIAC Certified Forensic Examiner)
ACE (AccessData Certified Examiner)

Literatura Técnica:

“File System Forensic Analysis” – Brian Carrier
“The Art of Memory Forensics” – Michael Hale Ligh
“Practical Mobile Forensics” – Heather Mahalik

Comunidades e Fóruns:

Digital Forensics Discord
ForensicFocus
r/computerforensics

Palavras-chave: preservação de evidências digitais, cadeia de custódia digital, perícia forense computacional, coleta de evidências digitais, imagem forense, forense digital, investigação digital, hash criptográfico, evidências eletrônicas, análise forense

Tags: perícia digital, forense computacional, cibersegurança, investigação digital, evidências digitais, cadeia de custódia, TI forense, segurança da informação