Perícia Forense Computacional

FACULDADE DE TECNOLOGIA DA ZONA LESTE  ANÁLISE E DESENVOLVIMENTO DESENVOLVIMENTO DE SISTEMAS

PERÍCIA FORENSE COMPUTACIONAL COMPUTACIONAL

INGRID MARION CAPARROZ MAZONI - RA: 1210191 JAQUELINE IZUMI NAKASSONE - RA: 1210203

SÃO PAULO 2014

INGRID MARION CAPARROZ MAZONI JAQUELINE IZUMI NAKASSONE

PERÍCIA FORENSE COMPUTACIONAL Trabalho apresentado à disciplina Auditoria de Sistemas do curso de Análise e Desenvolvimento de Sistemas da Fatec ZL como obtenção de nota de trabalho, sob orientação do Prof. Luciano Francisco de Oliveira.

SÃO PAULO 2014

Sumário 1. Introdução ...................................................................................................................................... 4 1.1 Objetivos .................................................................................................................................... 4 1.2 Metodologia .............................................................................................................................. 4 1.3 Resultados esperados ............................................................................................................... 5 1.4 Apresentação do trabalho ......................................................................................................... 5

2. Perícia Forense Computacional ................................................................................................... 5 2.1 Características ........................................................................................................................... 6 2.2 Profissionais envolvidos na Perícia Forense Computacional ..................................................... 6

3. Processo de Investigação Forense ............................................................................................. 7 3.1 Coleta ........................................................................................................................................ 7 3.2 Exame ........................................................................................................................................ 8 3.3 Análise ....................................................................................................................................... 9 3.4 Resultados ................................................................................................................................. 9

4. Ferramentas da Perícia Forense Computacional........................................................................ 9 5. Aplicações .................................................................................................................................... 11 6. Exemplificações ........................................................................................................................... 11 7. Problemas atuais da Forense Computacional .......................................................................... 12 7.1 Quantidade de arquivos ........................................................................................................... 12 7.2 Existência de senhas ............................................................................................................... 12 7.3 Criptografia .............................................................................................................................. 12 7.4 Esteganografia ......................................................................................................................... 13 7.5 Métodos Anti-Forense .............................................................................................................. 13

8. Problemas futuros da Forense Computacional ........................................................................ 13 Considerações.................................................................................................................................... 14 Referências ......................................................................................................................................... 14

1. Introdução Com o rápido desenvolvimento dos computadores desde a sua invenção, não demorou muito para esses dispositivos estarem presentes em várias atividades desempenhadas pelo ser humano. Com tamanha divulgação e popularização, nos dias de hoje, os computadores estão presentes não apenas nas empresas, mas nas casas, nas mãos (telefone celular, tablet etc) e no dia a dia de pessoas de todo o mundo.  A popularização mundial da Internet, que ocorreu nos anos 90, devido à criação do serviço de World Wide Web (WWW), por Tim Berners-Lee (1989), permitiu que usuários dos diversos computadores espalhados pelo mundo pudessem trocar dados e informações em poucos milissegundos, permitindo maior velocidade e rapidez na comunicação entre máquinas e, consequentemente, entre as pessoas.  A inovação tecnológica traz uma série de benefícios para as pessoas e a comunidade em geral . Todavia, com as vantagens, traz também a possibilidade de realização de práticas ilegais e criminosas. “Crimes sempre deixam vestígios!” –  é uma frase dita costumeiramente pelas pessoas. No caso da informática, os vestígios de um crime são digitais, uma vez que toda a informação armazenada dentro dos computadores é composta por bits (números zeros e uns), em uma sequência lógica. O Código de Processo Penal (CPP) determina em seu artigo 158 que: “Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado.” Dessa forma, surge a necessidade de um profissional qua lificado que examine vestígios e produza laudos de interesse à justiça na apuração de um delito. No caso da computação, quem realiza esse trabalho de forma oficial no âmbito criminal é o Perito Criminal em Informática. Entretanto, diversos outros profissionais podem ter a necessidade de realizar exames em computação. São eles: peritos particulares, auditores de sistemas, profissionais de TI e outros. Além disso, juízes, advogados, delegados, promotores e demais profissionais da área de Direito também devem conhecer como evidências e provas digitais devem ser corretamente coletadas, apuradas e apresentadas.  A investigação de crimes digitais, do mesmo modo que a apuração de crimes do mundo real, não é uma tarefa trivial. Podem ocorrer muitas dificuldades na coleta e análise de vestígios deixados na máquina utilizada no ato ilícito, pois criminosos podem utilizar métodos para esconder, danificar ou excluir seus rastros digitais na cena do crime, o que dificulta ou impossibilita a realização da investigação das evidências. Esses métodos são chamados de técnica anti-forense.  A crescente capacidade de armazenamento de dados dos dispositivos atuais, a existência de senhas, a criptografia e a esteganografia estão na lista dos principais problemas que devem ser superados pelos peritos na realização de exames em dispositivos de armazenamento computacional. Um dos principais desafios dos crimes digitais é identificar o autor. A Computação Forense tem como objetivo principal determinar a dinâmica, a materialidade e a autoria de ilícitos ligados à área de informática, tendo como questão principal a identificação e o processamento de evidências digitais em provas materiais de crime, por meio de métodos técnico-científicos, conferindo-lhes validade probatória em juízo.

1.1 Objetivos Os objetivos deste trabalho é conceituar Perícia Forense Computacional, apresentar sua importância, suas principais características, como os profissionais da área atuam, quais são os problemas atuais e futuros que estes profissionais enfrentarão, as fases de investigação forense, aplicações e exemplificações.

1.2 Metodologia Foi feito um levantamento bibliográfico em busca de obras que abordem o tema. Após a escolha, foram feitos um estudo das obras e uma busca em sites da Internet por informações complementares sobre a Perícia Forense Computacional.

4

1.3 Resultados esperados Os resultados esperados com este trabalho são: entender a importância da Perícia Forense Computacional e como ela age para solucionar os crimes digitais.

1.4 Apresentação do trabalho O trabalho foi dividido em oito etapas: Primeira: uma breve introdução sobre o tema (Perícia Forense Computacional), os objetivos da pesquisa e os resultados esperados; Segunda: conceituação do tema apresentando as principais características e os profissionais envolvidos; Terceira: processo de investigação forense; Quarta: ferramentas que auxiliam o perito forense nas quatro fases da perícia; Quinta aplicações; Sexta: exemplificações; Sétima: problemas atuais da Forense Computacional; Oitava: problemas futuros da Forense Computacional.

2. Perícia Forense Computacional Forense Computacional é uma ciência que estuda a aquisição, preservação, recuperação e análise de dados armazenados em mídias computadorizadas e procura caracterizar crimes de informática de acordo com as evidências digitais encontradas no sistema invadido. É uma área de especialização relativamente nova no mundo e está desenvolvendo-se principalmente pela necessidade das instituições legais atuarem no combate aos crimes eletrônicos.  A perícia em informática desempenha papel fundamental na solução de crimes que utilizam a Internet, entre outros recursos informatizados. Todo trabalho é feito com base em exames minuciosos, que vão, desde análises em local de crime na Internet e mídias de armazenamento, até o rastreamento de mensagens eletrônicas, identificação e localização de internautas e sites ilegais.  A forense computacional também pode atuar nas seguintes situações: 

Buscar e identificar dados em um computador;



Recuperação de arquivos deletados, encriptados ou corrompidos em um sistema;



Fundamentar demissões de funcionários que desrespeitam normas organizacionais;



Auxiliar na quebra de contratos que não são respeitados;



Provar fatos;



Fazer cumprir as leis de privacidade.

5

2.1 Características Principais características da Perícia Forense Computacional: 









A Perícia Forense Computacional busca descobrir quem praticou o crime, quando, como, onde, motivos e o alcance; Os peritos só podem extrair dados de um computador ou qualquer outro aparelho eletrônico com mandado judicial; O profissional só pode extrair as informações que constam no mandado. Por exemplo, mesmo que durante uma busca por dados fraudulentos em uma determinada máquina o perito encontre informações que indiquem pedofilia, ele não pode adicionar tal informação ao seu laudo, pois foge do escopo do mandato;  As provas devem ser coletadas de forma profissional; Uma prova pericial mal feita acarreta a impossibilidade de ser utilizada como base na tomada de decisões.

2.2 Profissionais envolvidos na Perícia Forense Computacional  Alguns papeis do perito forense computacional: 

Conduzir investigações de segurança relacionadas a: Violação da política, Padrões de conduta, Vazamentos de dados, Segurança da informação e, Conformidade corporativa;



Desenvolver e implementar políticas e procedimentos de segurança para a infraestrutura de TI;



Realizar entrevistas de testemunhas;



Depor em tribunal (quando aplicável);



Manter-se atualizado com as mais recentes tecnologias maliciosas e plataformas de tecnologia em evolução.

 Além disso, é importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo não seja invalidado. Alguns dos aspectos que tem correlação com sua conduta são os seguintes: 

A conduta profissional determina a credibilidade de uma investigação forense;



O profissional deve demonstrar o mais alto nível de integridade ética e moral;



Confidencialidade é uma característica essencial que todo investigador deve possuir;



Discutir o caso investigado apenas com as pessoas que possuem permissão para tomar conhecimento do processo.

6

3. Processo de Investigação Forense O processo de investigação pode ser dividido em quatro etapas, que são:   Coleta;



  Exame;



  Analise;





Laudo Pericial (resultados obtidos). Figura 1: Fases do processo de investigação forense

Fonte: http://fdtk.com.br/wiki/tiki-index.php (2014).

3.1 Coleta Esta etapa consiste na identificação de possíveis fontes de dados como computadores pessoais, notebooks, máquinas fotográficas, mídias de armazenamento, entre outros, além de locais fora de domínios físicos da cena investigada, como servidores FTP, por exemplo.  Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. Para a aquisição dos dados, é utilizado um processo composto por três etapas: identificação de prioridade; cópia dos dados e, garantia e preservação de integridade. 

Identificação de prioridade: o perito deve estabelecer a ordem (prioridade) na qual os dados devem ser coletados: 7

-Volatilidade: dados voláteis devem ser imediatamente coletados pelo perito. Ex: o estado das conexões de rede e o conteúdo da memória; -Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros, caso sejam necessários; -Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a sequência na qual as fontes de dados serão investigadas. 



Cópia dos dados: o processo de cópia dos dados envolve a utilização de ferramentas adequadas para a duplicação dos dados; Garantia e preservação de integridade: A integridade dos dados deve ser preservada. Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante à Justiça.

Os materiais de informática apreendidos deverão ser embalados, etiquetados e registrados em um documento (Formulário de Cadeia de Custodia). Figura 2: Formulário de Cadeia de Custodia

Fonte: http://www.ebah.com.br/content/ABAAAA-hcAE/realizando-pericia (2007).

3.2 Exame Nesta segunda etapa são identificadas, extraídas, filtradas e documentadas somente as informações relevantes à investigação. Devem ser considerados: 

Capacidade de armazenamento dos dispositivos atuais; 8





Quantidade de diferentes formatos de arquivos existentes. Ex: imagens, áudio, arquivos criptografados e compactados; Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados.

3.3 Análise  Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidade s e conhecimentos na etapa de análise e interpretação das informações. Nesta etapa a finalidade é identificar pessoas, locais e eventos, e correlacionar esses elementos.

3.4 Resultados  A interpretação e apresentação dos resultados obtidos é a etapa co nclusiva da investigação. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidências localizadas e analisadas. O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação.

4. Ferramentas da Perícia Forense Computacional Existem diversas ferramentas que auxiliam o p erito forense nas quatro fases da perícia. Algumas dessas ferramentas: 

ForensicToolkit (FTK): foi desenvolvido pela AccessData, e neste software são encontradas as principais funcionalidades para a realização de exames forenses em dispositivos de armazenamento de dados. Este aplicativo possui uma suíte com vários recursos que podem ser utilizados em todas as fases de um exame forense computacional; Figura 3: Ferramenta FTK

Fonte: http://www.appleexaminer.com (2009). 9



SIFT (SANS Investigative Forensic Toolkit): uma distribuição Linux pré-configurada para investigações forenses. Contém todas as ferramentas necessárias para realizar as quatro etapas da investigação (coleta, exame, análise e resultado); Figura 4: SIFT em execução

Fonte: http://resources.infosecinstitute.com (2013). 

PeriBR: programa brasileiro para investigação computacional desenvolvido por alunos de pósgraduação em perícia computacional da Universidade Católica de Brasileira. Foi baseado no FDTK (Forensic Digital Toolkit), da mesma forma pode ser usado nas quatro fases de uma investigação digital. Figura 5: PeriBR

Fonte: http://periciadigitaldf.blogspot.com.br/2010_12_01_archive.html (2010).

10

5. Aplicações Considerando o crescente uso dos computadores e da popularização dos dispositivos computacionais portáteis, espera-se que novos tipos de exames forenses na área de informática sejam necessários em um futuro próximo. Da mesma forma, imagina-se que a demanda crescerá bastante nos próximos anos, pois os computadores tornaram-se um excelente mecanismo de investigação, sendo fundamentais para solucionar diversos tipos de delitos. Segundo os peritos Pedro Monteiro da Silva Eleutério e Marcio Pereira Machado, nos dias atuais e dentro de suas experiências profissionais, os principais exames forenses de informática são: 









Exames e procedimentos em locais de crime de informática: consistem principalmente no mapeamento, identificação e correta preservação de equipamentos computacionais, a fim de permitir melhor seleção do material a ser apreendido, para serem examinados posteriormente em laboratório; Exames em dispositivos de armazenamento computacional: são os exames mais solicitados na Computação Forense e consistem basicamente em analisar arquivos, sistemas e programas instalados em discos rígidos, CDs, DVDs, Blu-Rays, pen drives e outros dispositivos de armazenamento digital de dados; Exames em aparelhos de telefonia celular: compreendem basicamente a extração dos dados desses aparelhos, a fim de recuperar e formalizar as informações armazenadas em suas memórias (lista de contatos, ligações, fotos, mensagens etc), de acordo com a necessidade de cada caso; Exames em sites da Internet: consistem principalmente na verificação e cópia de conteúdo existente na Internet, em sites e servidores remotos dos mais variados serviços. Além disso, trata-se da investigação do responsável por um domínio de um site e/ou endereço IP; Exames em mensagens eletrônicas (e-mails): correspondem basicamente à análise das propriedades das mensagens eletrônicas, a fim de identificar hora, data, endereço IP e outras informações do remetente da mensagem.

Existem outros dispositivos computacionais que são passíveis de exames forenses, como: exames em máquinas caça-níqueis, máquinas eletrônicas programáveis, placas de rede, modems, roteadores de rede, procedimentos para intercepção de dados, análise de programas maliciosos (malwares) e outros.

6. Exemplificações Em junho de 2012, uma operação da Polícia Federal contra pedofilia, a Operação Dirty-Net (Internet suja), desarticulou uma rede que compartilhava pornografia infantil em vários estados do Brasil e no Exterior. Todas as imagens e vídeos compartilhados nessa rede envolviam crianças de até 12 anos.  A investigação começou em Porto Alegre em dezembro de 2011, após a prisão de uma pessoa envolvida em uma rede de compartilhamento de dados que envolvia a prática de pornografia infantil.  A partir daí a PF começou a monitorar redes privadas de compartilhamento de arquivos na Internet.  A rede utilizada pelo grupo tratava-se de uma rede privada, criptografada e restri ta, onde só era possível entrar com convite e aprovação dos outros membros. Para identificar os responsáveis, foram utilizadas as seguintes técnicas: 

Criação de um perfil na rede para acompanhar a atividade do perfil investigado e identificar o usuário real;



Envio de convite para o alvo;



Aceitação do convite pelo alvo; 11



Interação com o alvo através de conversas no chat da rede;



Interação com os contatos já adicionados pelo alvo;



Gravação da interação;



Obtenção do endereço IP através do download de imagens;



Obtenção dos endereços vinculados aos IPs;



Obtenção dos endereços físicos através: -Representação por quebra de sigilo dos IPs; -Remessa dos Alvarás aos provedores; -Recebimento das respostas e análise dos endereços; -Elaboração de informações para cada um dos alvos.



Desmembramento da investigação: distribuição das informações para as unidades com circunscrição sobre o local do crime (residência do alvo).

7. Problemas atuais da Forense Computacional 7.1 Quantidade de arquivos  A capacidade de armazenamento de dados dos dispositivos atuais vem crescendo bastante. Há poucos anos, era comum a comercialização de discos rígidos com capacidade medida em Megabytes (MB). Hoje, a unidade de medida é o Gigabyte (GB), e já existem disponíveis alguns discos rígidos com capacidade superior a um Terabyte (TB). Assim, é de se esperar que o número de arquivos contidos nesses dispositivos aumente de forma proporcional à sua capacidade de armazenamento. Em alguns casos, dispositivos com capacidade inferior a 100 GB podem ter mais de um milhão de arquivos. Manipular e encontrar evidências desejadas nessa quantidade exorbitante de arquivos é um desafio para o perito. É praticamente inviável analisar individualmente todos os arquivos contidos nos dispositivos de hoje em dia. Dessa forma, para a realização de exames com maior celeridade, é fundamental que se possua conhecimento da investigação, sabendo exatamente o que deverá ser procurado. Para isso, os quesitos da solicitação de elaboração de laudo devem ser específicos e claros, evitando-se quesitação genérica.

7.2 Existência de senhas Durante a realização de exames na área de informática, é comum se deparar com arquivos e programas protegidos por senha, que podem ocultar possíveis evidências. Assim, é necessário que o perito conheça técnicas para “quebrar” tais senhas.

7.3 Criptografia  A criptografia é uma técnica utilizada para transformar uma informação na sua forma original para outra ilegível. Isso é feito para que somente pessoas autorizadas, ou detentoras da “chave criptográfica”, possam realizar o processo inverso e ler a mens agem original.

É fundamental que o perito tenha conhecimentos avançados sobre o assunto, a fim de descobrir possíveis códigos criptógrafos no dispositivo examinado. É importante sempre buscar por programas de criptografia que possam estar instalados no próprio equipamento analisado, pois, desse modo, pode ser possível determinar o algoritmo utilizado ou, até mesmo, utilizar o próprio software para decodificar o conteúdo do arquivo e/ou sistema. Havendo desconfianças sobre possíveis aplicações 12

de criptografia, cabe ao perito identificar e buscar por ferramentas capazes de recuperar a informação original.

7.4 Esteganografia  A esteganografia é uma técnica que consiste basicamente em ocultar uma mensagem dentro de outra. Enquanto a criptografia tenta codificar o conteúdo, a esteganografia tenta camuflar uma mensagem dentro de outra. Caso o perito não descubra a técnica utilizada para ocultar a mensagem, uma alternativa é verificar a existência de softwares específicos instalados n o dispositivo examinado, realizando o mes mo procedimento utilizado no caso de criptografia.

7.5 Métodos Anti-Forense Métodos anti-forenses têm como objetivo destruir, ocultar, falsificar e eliminar as fontes de evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores. 







Destruição de evidências: os métodos usados na destruição de evidências são encarregados de eliminar permanentemente arquivos específicos ou sistemas de arquivos inteiros. Isto pode ser feito através da utilização de uma variedade de métodos que incluem o uso de utilitários de limpeza de disco, de arquivos e desmagnetização/destruição de discos; Ocultação de evidências: é o processo de tornar dados difíceis de serem encontrados. Algumas das formas mais comuns de ocultação de dados incluem criptografia e esteganografia. Cada um dos diferentes métodos de ocultação de dados dificulta exames forenses digitais e quando combinados eles podem tornar uma investigação forense quase impossível; Falsificação de evidências: o objetivo é confundir, desorientar e desviar o processo de análise forense; Eliminação das fontes de evidências: trata-se do uso de métodos que impeçam que evidências sejam criadas. É similar a utilizar luvas para não deixar impressões digitais. No mundo virtual podem ser utilizados programas e sistemas operacionais através de memórias portáteis, como CDs e pen drives, fazendo com que sejam geradas poucas ou até nenhuma evidência no disco local.

8. Problemas futuros da Forense Computacional  A tecnologia está em constante evolução e com ela novos tipos de crimes surgem e desafios novos terão de ser enfrentados pela computação forense. Alguns desafios do futuro: 





Cloud Computing (computação em nuvem): O cloud computing fará com que muitas das informações que hoje estão nas máquinas locais estejam na nuvem, ou seja, os dados estarão na Internet. Como ficará a forense computacional em crimes nas quais os dados periciados estejam em servidores espalhados pelo mundo? Esta é uma grande questão a ser verificada na computação forense; Dispositivos com capacidade crescente de armazenamento: MP3, celulares, pen drive, cada vez temos mais dispositivos capazes de armazenar dados. Paralelamente a isto presenciamos aumento crescente de armazenamento destes dispositivos . Não restam dúvidas que tais dispositivos, com alta capacidade de armazenamento, dificultam as fases de coleta e análise, sendo sabido que o perito comumente dispõe de pouco tempo para apresentar conclusões sobre o que realmente ocorreu em um ativo informático; Dispositivos móveis com cada vez mais recursos e funcionalidades: hoje celulares estão com cada vez mais recursos. Acessam a Internet, editam e visualizam documentos, gravam vídeos e 13

entre outras funcionalidades. Muitas das perícias futuras terão de ser feitas nestes tipos de máquina.

Considerações  A Perícia Forense Computacional uma área de especialização relativamente nova no mundo e está desenvolvendo-se principalmente pela necessidade das instituições legais atuarem no combate aos crimes eletrônicos.  Assim como em todas as áreas da perícia, a Forense Computacional possui desafios que os profissionais da área devem enfrentar na hora da investigação e exame: a crescente capacidade de armazenamento de dados dos dispositivos atuais, a existência de senhas, a criptografia, a esteganografia e os métodos anti-forenses, que dificultam ou impossibilitam a investigação. Além disso, como a tecnologia está em constante evolução, com ela surgirão novos crimes e, consequentemente, novos desafios para os peritos de informática.  À medida que a tecnologia invade o mercado com uma extraordinária quantidade de periféricos como smartphones, tablets, notebooks, desktops dentre outros, além de armazenamentos como cloud, pen drives, hd's externos etc. Tudo isso somado a enorme quantidade de redes sociais, que já atingem todo o planeta, como Facebook, Twitter etc, exigem uma especialização e conhecimentos para atuar na área, cada vez maiores.  A realização dessa pesquisa nos possibilitou entender o que é a Perícia Forense Computacional, sua importância, como os profissionais envolvidos devem agir na investigação, as fases de investigação forense, os problemas atuais e problemas futuros enfrentados por esses profissionais e onde essa Ciência é aplicada.

Referências  Associação Nacional dos Peritos Criminais Federais (APCF). Conheça as Áreas da Perícia. Brasília. 2012. Disponível em: . Acesso em: 09 set. 2014. Grupo Treinar. O que é Forense Computacional? São Paulo. 2013. Disponível em: . Acesso em: 10 set. 2014. Universidade Estadual do Norte do Paraná (NTI – Núcleo de Tecnologia da Informação).  Forense Computacional. Paraná. 2010. Disponível em: < http://nti.uenp.edu.br/site/index.php?option=com_content&view=article&id=80:forensecomputacional& catid=44:seguranca&Itemid=75>. Acesso em: 13 set. 2014. TECMUNDO. Perito Digital: o que ele faz e como consegue recuperar informações perdidas. 2010. Disponível em: . Acesso em 14 set. 2014. Departamento da Polícia Federal. Operação DirtyNet desarticula rede internacional de pornografia infantil. Rio Grande do Sul. 2012. Disponível em: . Acesso em: 06 out. 2014. G1 – Rio Grande do Sul. Operação da PF contra pedofilia prende 32 pessoas em 9 estados. Rio Grande do Sul. 2012. Disponível em: . Acesso em: 06 out. 2014. Centro de consulta sobre ferramentas de Forense Digital. Forense Digital. 2014. Disponível em: . Acesso em: 06 out. 2014. 14

ELEUTÉRIO, Pedro; MACHADO, Marcio. Desvendando a Computação Forense. 1. ed. São Paulo: Novatec, 2011. 200 p. FARMER, Dan; VENEMA, Wiestse. Perícia Forense Computacional: Teoria e Prática Aplicada. 1. ed. São Paulo: Pearson Brasil, 2007. 208 p.

15