Computação ForenseComputação Forense

Carlos Andre Viganó FerrariCarlos Andre Viganó Ferrari RA 03134772RA 03134772

Daniel Alvarenga CamposDaniel Alvarenga Campos RA 03147337RA 03147337

Jorge Aluísio TescaroJorge Aluísio Tescaro RA 05004734RA 05004734

Mauri CarvalhoMauri Carvalho RA 03127412RA 03127412

22

IntroduçãoIntrodução

A cada dia que passa o computador se A cada dia que passa o computador se torna mais presente na vida das pessoas. torna mais presente na vida das pessoas. Processando todo tipo de informação e Processando todo tipo de informação e tendo sua velocidade crescendo em um tendo sua velocidade crescendo em um ritmo cada vez mais rápido, ele é uma ritmo cada vez mais rápido, ele é uma ferramenta cada vez mais necessária no ferramenta cada vez mais necessária no planejamento e na execução de tarefas planejamento e na execução de tarefas tanto profissionais, quanto pessoais, tanto profissionais, quanto pessoais, proporcionando níveis de produtividade e proporcionando níveis de produtividade e interatividade, antes, inimagináveis. interatividade, antes, inimagináveis.

33

Porém, juntamente com a facilidade Porém, juntamente com a facilidade criada, surgiram novas formas de crimes, criada, surgiram novas formas de crimes, tanto planejados, quanto executados no tanto planejados, quanto executados no mundo virtual. Tais crimes fizeram surgir a mundo virtual. Tais crimes fizeram surgir a necessidade de criar uma nova necessidade de criar uma nova modalidade de computação, visando modalidade de computação, visando evitar tais delitos antes mesmo que evitar tais delitos antes mesmo que ocorram e poder rastrear e punir pessoas ocorram e poder rastrear e punir pessoas que utilizam desta ferramenta para estes que utilizam desta ferramenta para estes fins, a computação forense. fins, a computação forense.

44

Segundo o Departamento de Polícia Técnica Segundo o Departamento de Polícia Técnica (DPT), a definição da coordenação da (DPT), a definição da coordenação da computação forense seria: “A Coordenação de computação forense seria: “A Coordenação de Computação Forense realiza atividades e perícias Computação Forense realiza atividades e perícias relativas aos crimes de informática, tais como relativas aos crimes de informática, tais como fraudes contra a administração pública, fraudes contra a administração pública, rastreamento de ameaças feitas via Internet, rastreamento de ameaças feitas via Internet, pedofilia, invasão de sistemas, quebra de pedofilia, invasão de sistemas, quebra de privacidade de dados e outros. Promove a privacidade de dados e outros. Promove a realização de exames em equipamentos de realização de exames em equipamentos de informática em busca de evidências e provas de informática em busca de evidências e provas de crimes das mais diversas naturezas. Promove crimes das mais diversas naturezas. Promove ainda, perícia em crimes contra o consumidor no ainda, perícia em crimes contra o consumidor no que tange a hardwares e softwares, recuperação que tange a hardwares e softwares, recuperação de conteúdo em discos rígidos e mídias de de conteúdo em discos rígidos e mídias de backup relacionados com destruição de provas de backup relacionados com destruição de provas de crimes.”. crimes.”.

55

LegislaçãoLegislação O Código Processual Civil estabelece em seu art. O Código Processual Civil estabelece em seu art.

332 que podem ser admitidos como prova "Todos 332 que podem ser admitidos como prova "Todos os meios legais, bem como os moralmente os meios legais, bem como os moralmente legítimos, legítimos, ainda que não especificados neste ainda que não especificados neste CódigoCódigo, são hábeis para provar a verdade dos , são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa." fatos, em que se funda a ação ou a defesa."

Isso pode nos levar a crer que os ambientes Isso pode nos levar a crer que os ambientes computacionais oferecem vestígios para a busca computacionais oferecem vestígios para a busca da verdade, e não serão considerados a menos da verdade, e não serão considerados a menos que sofram exame direto. Isso indica que o que sofram exame direto. Isso indica que o profissional em forense computacional, quando profissional em forense computacional, quando convocado e devidamente habilitado, deverá convocado e devidamente habilitado, deverá examinar o ambiente na busca de evidências examinar o ambiente na busca de evidências para análise e confecção do laudo.para análise e confecção do laudo.

66

Primeiramente, é importante salientar que Primeiramente, é importante salientar que documento, em Direito, não é somente o documento, em Direito, não é somente o papel escrito e assinado. Luiz Rodrigues papel escrito e assinado. Luiz Rodrigues Wambier (1) nos ensina: “conceitua-se Wambier (1) nos ensina: “conceitua-se documento como todo objeto capaz de documento como todo objeto capaz de “cristalizar” um fato transeunte, tornando-“cristalizar” um fato transeunte, tornando-o, sob certo aspecto, permanente”. o, sob certo aspecto, permanente”. Consideramos documento todo objeto que Consideramos documento todo objeto que representa, por meio de alguma representa, por meio de alguma linguagem, de forma permanente ou linguagem, de forma permanente ou temporária, um fato da vida real, uma temporária, um fato da vida real, uma manifestação de pensamento. manifestação de pensamento.

77

São documentos: a fotografia, gravação de São documentos: a fotografia, gravação de imagem e/ou som em fitas magnéticas (K-7 ou imagem e/ou som em fitas magnéticas (K-7 ou VHS), pinturas em quadros ou telas, esculturas, VHS), pinturas em quadros ou telas, esculturas, livros, dentre outros.livros, dentre outros.

E documento eletrônico é aquele “que se E documento eletrônico é aquele “que se encontra memorizado em forma digital, não encontra memorizado em forma digital, não perceptível para os seres humanos senão perceptível para os seres humanos senão mediante intermediação de um computador. mediante intermediação de um computador. Nada mais é do que seqüência de bits, que, por Nada mais é do que seqüência de bits, que, por meio de um programa computacional, mostrar-meio de um programa computacional, mostrar-nos-á um fato”, nas palavras de Gandini, Salomão nos-á um fato”, nas palavras de Gandini, Salomão e Jacob.e Jacob.

Assim sendo, são documentos eletrônicos os e-Assim sendo, são documentos eletrônicos os e-mails, as fotos e filmes digitais, as páginas de mails, as fotos e filmes digitais, as páginas de Internet, as planilhas eletrônicas e tudo mais que Internet, as planilhas eletrônicas e tudo mais que se possa fazer com a linguagem binária (ou se possa fazer com a linguagem binária (ou outras), de modo a expressar ou representar outras), de modo a expressar ou representar determinado fato da vida real.determinado fato da vida real.

88

E-mail como prova documentalE-mail como prova documental Duas iniciativas legislativas recentes contribuem Duas iniciativas legislativas recentes contribuem

para fortificar ainda mais o envio de uma para fortificar ainda mais o envio de uma mensagem eletrônica como prova jurídica. O mensagem eletrônica como prova jurídica. O Projeto de Lei 7.316/02, do Instituto de Projeto de Lei 7.316/02, do Instituto de Tecnologia e Informação (ITI), que irá substituir a Tecnologia e Informação (ITI), que irá substituir a Medida Provisória 2.200/01, sobre a certificação Medida Provisória 2.200/01, sobre a certificação digital, faz com que documentos assinados digital, faz com que documentos assinados eletronicamente ganhem o mesmo valor jurídico eletronicamente ganhem o mesmo valor jurídico de um documento de papel.de um documento de papel.

Outro projeto de lei, de nº 6.693/06, apresentado Outro projeto de lei, de nº 6.693/06, apresentado pela senadora Sandra Rosado (PSB-RN), também pela senadora Sandra Rosado (PSB-RN), também propõe validar as mensagens de correio propõe validar as mensagens de correio eletrônico como prova documental.eletrônico como prova documental.

99

No entanto, a validação jurídica de e-mails No entanto, a validação jurídica de e-mails já é um serviço disponível a internautas e já é um serviço disponível a internautas e empresas desde 2003. Um serviço empresas desde 2003. Um serviço interessante, o Comprova.com, é um interessante, o Comprova.com, é um serviço de e-mail que funciona como uma serviço de e-mail que funciona como uma carta registrada na internet.carta registrada na internet.

O serviço agrega às mensagens de e-mail O serviço agrega às mensagens de e-mail um selo, emitido pelo Observatório um selo, emitido pelo Observatório Nacional, órgão do Ministério da Ciência e Nacional, órgão do Ministério da Ciência e Tecnologia, que é um comprovante oficial Tecnologia, que é um comprovante oficial do conteúdo e da hora em que o do conteúdo e da hora em que o documento foi enviado e recebido. Além documento foi enviado e recebido. Além disso, o Comprova.com faz uma espécie disso, o Comprova.com faz uma espécie de perícia digital no envio das mensagens, de perícia digital no envio das mensagens, atesta que o e-mail foi efetivamente atesta que o e-mail foi efetivamente entregue na caixa postal do destinatário. entregue na caixa postal do destinatário.

1010

Técnicas para a coleta de provasTécnicas para a coleta de provas

Alguns dos procedimentos para coleta de Alguns dos procedimentos para coleta de evidências:evidências:

- Estabeleça políticas que permitam admissibilidade dos dados coletados.- Documente as causas para iniciar o exame.- Documente todo o ambiente a ser analisado, incluindo instalações físicas.- Colete dados voláteis. Lembre-se de, em princípio, não desligar os equipamentos.- Colete dados persistentes e documente cada passo. - Gere códigos hash para cada arquivo suspeito encontrado no(s) disco(s). Exemplo: MD5

1111

Os vestígios devem ser procurados Os vestígios devem ser procurados em todas as fontes possíveis e em todas as fontes possíveis e relevantes, observando a ordem de relevantes, observando a ordem de volatilidade das mesmas. Eis volatilidade das mesmas. Eis algumas fontes de informação:algumas fontes de informação:

. Setor de inicialização. Sistema de arquivos. Arquivos de log. Espaços não utilizados no disco. Arquivos temporários. Área de swap. Memória. Periféricos

1212

Dependendo do caso em que for Dependendo do caso em que for atuar, as possibilidades são bastante atuar, as possibilidades são bastante variadas. Inicialmente o perito deve variadas. Inicialmente o perito deve procurar a resposta para cinco procurar a resposta para cinco questões:questões:

01. Quando?02. Onde?03. Como?04. Por quê?05. Quem?

1313

EsteganografiaEsteganografia Esteganografia é o estudo e uso de técnicas para Esteganografia é o estudo e uso de técnicas para

ocultar a existência de uma mensagem dentro de ocultar a existência de uma mensagem dentro de outra. Ao contrário da criptografia, que procura outra. Ao contrário da criptografia, que procura esconder a informação da mensagem, a esconder a informação da mensagem, a esteganografia procura esconder a existência da esteganografia procura esconder a existência da mensagem.mensagem.

A esteganografia está presente em nossas vidas A esteganografia está presente em nossas vidas mais do que possamos imaginar. Pegue qualquer mais do que possamos imaginar. Pegue qualquer cédula monetária em sua carteira ou mesmo um cédula monetária em sua carteira ou mesmo um documento de identificação e poderá verificar documento de identificação e poderá verificar que existem inúmeras mensagens escondidas. que existem inúmeras mensagens escondidas. Muitas destas mensagens só poderão ser vistas a Muitas destas mensagens só poderão ser vistas a olho nu com auxílio de equipamentos, lentes, olho nu com auxílio de equipamentos, lentes, reagentes químicos, ou fotorreagentes.reagentes químicos, ou fotorreagentes.

1414

Recuperação de DadosRecuperação de Dados A reconstrução dos arquivos a partir do sistema A reconstrução dos arquivos a partir do sistema

operacional é um dos principais conhecimentos operacional é um dos principais conhecimentos necessários ao examinador forense. Arquivos também necessários ao examinador forense. Arquivos também são danificados a partir de vírus, setores ilegíveis, são danificados a partir de vírus, setores ilegíveis, desligamento indevido, encerramento de aplicação de desligamento indevido, encerramento de aplicação de forma incorreta ou qualquer outro evento que torne o forma incorreta ou qualquer outro evento que torne o arquivo inacessível.arquivo inacessível.

Nem todos os arquivos sempre poderão ser recuperados Nem todos os arquivos sempre poderão ser recuperados integralmente. Dependendo de fatores como tipo, integralmente. Dependendo de fatores como tipo, tamanho, data de exclusão, utilização do disco dentre tamanho, data de exclusão, utilização do disco dentre outros, a recuperação se torna mais difícil. No entanto, as outros, a recuperação se torna mais difícil. No entanto, as ferramentas estão cada vez mais aprimoradas e hoje é ferramentas estão cada vez mais aprimoradas e hoje é possível realizar um exame ou simplesmente recuperar possível realizar um exame ou simplesmente recuperar seus arquivos usando ferramentas gratuitas. Vale lembrar seus arquivos usando ferramentas gratuitas. Vale lembrar que há diferenças entre ferramentas de recuperação de que há diferenças entre ferramentas de recuperação de disco e de arquivos.disco e de arquivos.

1515

FerramentasFerramentas F. I. R. E. – First and Incident Response EnvironmentF. I. R. E. – First and Incident Response Environment

Talvez fosse um dos kits mais usados no mundo. Traz em Talvez fosse um dos kits mais usados no mundo. Traz em um CD, “bootável”, uma coleção de um CD, “bootável”, uma coleção de softwaressoftwares capazes de capazes de coletar evidências em diversos ambientes computacionais. coletar evidências em diversos ambientes computacionais. No entanto, já faz um bom tempo que não sofre No entanto, já faz um bom tempo que não sofre atualizações e, a medida do surgimento de novas versões atualizações e, a medida do surgimento de novas versões de sistemas operacionais e aplicativos, se tornou um kit de sistemas operacionais e aplicativos, se tornou um kit aquém de sua proposta inicial.aquém de sua proposta inicial.

Embora o projeto não sofra atualizações, seus 196 pacotes Embora o projeto não sofra atualizações, seus 196 pacotes são de bastante utilidade, distribuídos em são de bastante utilidade, distribuídos em softwaressoftwares baseados em licenças públicas ou equivalentes. Para baseados em licenças públicas ou equivalentes. Para preparar seu próprio kit, entre no site do projeto cujo preparar seu próprio kit, entre no site do projeto cujo endereço é endereço é http://fire.dmzs.comhttp://fire.dmzs.com, ,

1616

EnCase® ForensicEnCase® Forensic

O EnCase (O EnCase (www.encase.comwww.encase.com) é uma ferramenta que desde ) é uma ferramenta que desde 1998 é a preferida entre os examinadores. Suas 1998 é a preferida entre os examinadores. Suas características não invasivas realizam uma perícia sem características não invasivas realizam uma perícia sem alteração da evidência além de propiciar vários relatórios alteração da evidência além de propiciar vários relatórios detalhados do conteúdo periciado. Possui suporte a detalhados do conteúdo periciado. Possui suporte a diversos tipos de tabelas de alocações de arquivos como diversos tipos de tabelas de alocações de arquivos como FAT, NTFS, HFS e CDFSFAT, NTFS, HFS e CDFS, permitindo o exame na maioria dos , permitindo o exame na maioria dos sistemas operacionais.sistemas operacionais.

Mesmo sabendo que o uso de uma ferramenta não substitui Mesmo sabendo que o uso de uma ferramenta não substitui o conhecimento científico, a cada dia surgem ferramentas o conhecimento científico, a cada dia surgem ferramentas que permitem ao examinador a otimização de seu trabalho que permitem ao examinador a otimização de seu trabalho e, segundo o fabricante do EnCase, o uso desta ferramenta e, segundo o fabricante do EnCase, o uso desta ferramenta ajuda a reduzir o tempo de investigação em até 65%.ajuda a reduzir o tempo de investigação em até 65%.

Diria que é uma ferramenta perfeita para localização de Diria que é uma ferramenta perfeita para localização de arquivos excluídos e de acessos a caixa postais de arquivos excluídos e de acessos a caixa postais de programas como Outlook e Notes. programas como Outlook e Notes.

1717

Casos ReaisCasos Reais Em maio de 1999, Sharon Guthrie, de 54 anos, morre Em maio de 1999, Sharon Guthrie, de 54 anos, morre

afogada na banheira de sua casa em Dakota, EUA [1]. A afogada na banheira de sua casa em Dakota, EUA [1]. A autópsia revelou que foi encontrada a droga Temazepan, autópsia revelou que foi encontrada a droga Temazepan, usada para auxiliar o sono. Seu marido, o pastor Willian usada para auxiliar o sono. Seu marido, o pastor Willian Guthrie, foi quem indicou o medicamento a sua esposa. Guthrie, foi quem indicou o medicamento a sua esposa. Porém este fato, por si só, não é convincente o suficiente Porém este fato, por si só, não é convincente o suficiente para acusá-lo como culpado. Com isso, a polícia contratou o para acusá-lo como culpado. Com isso, a polícia contratou o perito em computação científica, Judd Robbins, para perito em computação científica, Judd Robbins, para examinar os computadores utilizados pelo pastor na igreja. examinar os computadores utilizados pelo pastor na igreja. Após alguns dias de análise, foi descoberto que o acusado Após alguns dias de análise, foi descoberto que o acusado tinha pesquisado na internet sites que explicavam como tinha pesquisado na internet sites que explicavam como matar de forma eficaz e indolor incluindo o uso do matar de forma eficaz e indolor incluindo o uso do Temazepan. Repetidas consultas como “acidentes na Temazepan. Repetidas consultas como “acidentes na banheira” e “acidentes domésticos” também foram banheira” e “acidentes domésticos” também foram identificadas no histórico do computador usado por Guthrie. identificadas no histórico do computador usado por Guthrie. Esse fato foi essencial para o júri considerar Willian Guthrie Esse fato foi essencial para o júri considerar Willian Guthrie como culpado. como culpado.

1818

Um corretor de imóveis foi condenado por homicídio Um corretor de imóveis foi condenado por homicídio tendo como meio de prova um laudo pericial que tendo como meio de prova um laudo pericial que indicava a localização do suspeito no momento do indicava a localização do suspeito no momento do crime.crime.A estação rádio-base (Erb) — ou antena de celular — A estação rádio-base (Erb) — ou antena de celular — detectou a presença do aparelho do corretor detectou a presença do aparelho do corretor próximo da cena do crime, no mesmo horário o que próximo da cena do crime, no mesmo horário o que contrariava o depoimento do suspeito que dissera contrariava o depoimento do suspeito que dissera estar em um outro lugar. O sinal foi captado pela estar em um outro lugar. O sinal foi captado pela antena e, a partir do ponto em que se encontrava o antena e, a partir do ponto em que se encontrava o celular, foi realizado o cálculo sobre sua localização. celular, foi realizado o cálculo sobre sua localização. A margem de erro, nesses casos, é de A margem de erro, nesses casos, é de aproximadamente cem metros. Claro que este não aproximadamente cem metros. Claro que este não foi o único fator para o indiciamento do corretor. foi o único fator para o indiciamento do corretor. Entretanto, a prova circunstancial apresentada Entretanto, a prova circunstancial apresentada ajudou a influenciar o júri a condená-lo por seis ajudou a influenciar o júri a condená-lo por seis votos a um, pois o rastreamento de celular se votos a um, pois o rastreamento de celular se enquadra como prova científica desde que seja enquadra como prova científica desde que seja obtido através de autorização judicial.obtido através de autorização judicial.

1919

Formação do profissional de Formação do profissional de Forense ComputacionalForense Computacional

EUAEUA-ACFE-ACFE - Association of Certified Fraud Examiners - Association of Certified Fraud Examiners (www.acfe.com)(www.acfe.com)--EC-Council EC-Council - International Council of E-Commerce - International Council of E-Commerce

Consultants (www.eccouncil.org)Consultants (www.eccouncil.org)--HTCIAHTCIA - High Technology Crime Investigation Association - High Technology Crime Investigation Association (www.htcia.org)(www.htcia.org)--IIAIIA - Institute of Internal Auditors (www.theiia.org) - Institute of Internal Auditors (www.theiia.org)--ISACAISACA - Information Systems Control Association - Information Systems Control Association

(www.isaca.org)(www.isaca.org)--ISC2ISC2 - The International Information Systems Security - The International Information Systems Security

Certification Consortium (www.isc2.org)Certification Consortium (www.isc2.org)--ISSAISSA - International Systems Security Association - International Systems Security Association

(www.issa.org)(www.issa.org)--SANSSANS - SysAdmin, Audit, Network, Security ( - SysAdmin, Audit, Network, Security (www.sans.orgwww.sans.org))

BrasilBrasil- A Módulo (www.modulo.com.br) e a Axur - A Módulo (www.modulo.com.br) e a Axur

(www.axur.com.br) lançaram recentemente o curso de forense (www.axur.com.br) lançaram recentemente o curso de forense computacional. Após o curso é oferecida uma prova e os candidatos computacional. Após o curso é oferecida uma prova e os candidatos aprovados recebem certificados com os respectivos títulos.aprovados recebem certificados com os respectivos títulos.

2020

ConclusãoConclusão "Ciência da computação tem tanto a ver com o "Ciência da computação tem tanto a ver com o

computador como a Astronomia com o telescópio, computador como a Astronomia com o telescópio, a Biologia com o microscópio, ou a Química com a Biologia com o microscópio, ou a Química com os tubos de ensaio. A Ciência não estuda os tubos de ensaio. A Ciência não estuda ferramentas, mas o que fazemos e o que ferramentas, mas o que fazemos e o que descobrimos com elas." descobrimos com elas." Edsger DijkstraEdsger Dijkstra

"O dever de um perito é dizer a verdade; no "O dever de um perito é dizer a verdade; no entanto, para isso é necessário: primeiro saber entanto, para isso é necessário: primeiro saber encontrá-la e, depois querer dizê-la. O primeiro é encontrá-la e, depois querer dizê-la. O primeiro é um problema científico, o segundo é um um problema científico, o segundo é um problema moral." problema moral." Nerio Rojas Nerio Rojas

2121

BibliografiaBibliografia BUSTAMANTE, L. Introdução à computação forense. Jun. 2006, Portal iMasters. Disponível em:<BUSTAMANTE, L. Introdução à computação forense. Jun. 2006, Portal iMasters. Disponível em:<

http://imasters.uol.com.br/artigo/4175/forense/introducao_a_computacao_forense/http://imasters.uol.com.br/artigo/4175/forense/introducao_a_computacao_forense/> Acesso em: 3 set. 2008. > Acesso em: 3 set. 2008.

BUSTAMANTE, L. Verificando a integridade dos arquivos forense. Jun. 2006, Portal iMasters. Disponível em:<BUSTAMANTE, L. Verificando a integridade dos arquivos forense. Jun. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4199/forense/verificando_integridade_dos_arquivos_forense/http://imasters.uol.com.br/artigo/4199/forense/verificando_integridade_dos_arquivos_forense/> Acesso em: 3 > Acesso em: 3 set. 2008. set. 2008.

BUSTAMANTE, L. Computação Forense - Novo campo de atuação do profissional de informática. Jul. 2006, Portal BUSTAMANTE, L. Computação Forense - Novo campo de atuação do profissional de informática. Jul. 2006, Portal iMasters. Disponível em:<iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4288/forense/computacao_forense_-_novo_campo_de_atuacao_do_profissional_http://imasters.uol.com.br/artigo/4288/forense/computacao_forense_-_novo_campo_de_atuacao_do_profissional_de_informatica/de_informatica/> Acesso em: 3 set. 2008. > Acesso em: 3 set. 2008.

BUSTAMANTE, L. Computação Forense - Preparando o ambiente de trabalho. Jul. 2006, Portal iMasters. BUSTAMANTE, L. Computação Forense - Preparando o ambiente de trabalho. Jul. 2006, Portal iMasters. Disponível em:<Disponível em:<http://imasters.uol.com.br/artigo/4335/forense/computacao_forense_-_preparando_o_ambiente_de_trabalho/http://imasters.uol.com.br/artigo/4335/forense/computacao_forense_-_preparando_o_ambiente_de_trabalho/> > Acesso em: 3 set. 2008. Acesso em: 3 set. 2008.

BUSTAMANTE, L. Computação Forense - Certificação e Formação. Jul. 2006, Portal iMasters. Disponível em:<BUSTAMANTE, L. Computação Forense - Certificação e Formação. Jul. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4403/forense/computacao_forense_-_certificacao_e_formacao/http://imasters.uol.com.br/artigo/4403/forense/computacao_forense_-_certificacao_e_formacao/> Acesso em: 3 > Acesso em: 3 set. 2008. set. 2008.

BUSTAMANTE, L. Recuperação de Dados. Ago. 2006, Portal iMasters. Disponível BUSTAMANTE, L. Recuperação de Dados. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4475/forense/recuperacao_de_dados/> Acesso em: 3 set. 2008. em:<http://imasters.uol.com.br/artigo/4475/forense/recuperacao_de_dados/> Acesso em: 3 set. 2008.

BUSTAMANTE, L. Esteganografia - A Arte de Esconder. Ago. 2006, Portal iMasters. Disponível BUSTAMANTE, L. Esteganografia - A Arte de Esconder. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4500/forense/esteganografia_-_a_arte_de_esconder/> Acesso em: 3 set. em:<http://imasters.uol.com.br/artigo/4500/forense/esteganografia_-_a_arte_de_esconder/> Acesso em: 3 set. 2008. 2008.

BUSTAMANTE, L. Logs - No rastro de evidências. Ago. 2006, Portal iMasters. Disponível BUSTAMANTE, L. Logs - No rastro de evidências. Ago. 2006, Portal iMasters. Disponível em:<http://imasters.uol.com.br/artigo/4561/forense/logs_-_no_rastro_de_evidencias/> Acesso em: 3 set. 2008. em:<http://imasters.uol.com.br/artigo/4561/forense/logs_-_no_rastro_de_evidencias/> Acesso em: 3 set. 2008.

BUSTAMANTE, L. O papel da computação forense para a autoridade policial. Set. 2006, Portal iMasters. BUSTAMANTE, L. O papel da computação forense para a autoridade policial. Set. 2006, Portal iMasters. Disponível Disponível em:<http://imasters.uol.com.br/artigo/4729/forense/o_papel_da_computacao_forense_para_a_autoridade_policialem:<http://imasters.uol.com.br/artigo/4729/forense/o_papel_da_computacao_forense_para_a_autoridade_policial/> Acesso em: 3 set. 2008. /> Acesso em: 3 set. 2008.