No contexto da Computação Forense, a preservação da integridade dos dados é essencial para garantir que as evidências digitais sejam mantidas de forma confiável e admissível em processos judiciais. Neste contexto, o presente texto objetiva ilustrar um tutorial sobre como devemos proceder com a Aquisição (cópia segura) dos dados em dispositivos de armazenamento de dados, tais como Pendrive e HD externo.

Considerações Técnicas

Em toda atividade que envolva exame pericia, o tratamento de evidências digitais devem estar conformidade ao que regula a Norma ABNT NBR ISO/IEC 27037:2013. A norma é padrão internacional para identificação, coleta, aquisição e preservação de evidências digitais.

O processo de aquisição consiste na produção da cópia da evidência digital (por exemplo, disco rígido completo, partição, arquivos selecionados) e documentação dos métodos usados e atividades realizadas. Recomenda-se que ambas as fontes originais e a cópia da evidência digital sejam verificadas com uma função de verificação (Função de Hash) convém que a fonte original e cada cópia de evidência digital produzam o mesmo resultado de função de verificação.

O processo de Duplicação Forense, consiste em realizar uma cópia direta de 1=1 (bit-a-bit) do dispositivo de armazenamento físico (Pendrive ou HD) para outro dispositivo externo, visando a criação de um arquivo de imagem, onde serão incluídos todos os arquivos, pastas, espaços não alocados, arquivos apagados.

Bloqueio de Escrita ao Dispositivo de Origem

Configurar o bloqueio de escrita em portas USB antes de iniciar a cópia dos dados é uma medida essencial para garantir a integridade das evidências digitais. Essa prática impede que qualquer alteração acidental ocorra nos arquivos durante a análise, prevenindo a modificação de metadados ou a criação involuntária de novos dados. Dessa forma, o operador assegura que a evidência permanecerá intacta e confiável para fins judiciais ou investigativos.

Neste artigo, vamos explorar como configurar o bloqueio de escrita em portas USB no Windows bem como a utilização do software FTK Imager, para proceder com a Aquisição (cópia segura) dos dados em dispositivos de armazenamento de dados, tais como Pendrive e HD externo.

Configurar o Bloqueio de Escrita em Portas USB no Windows 10 e 11

Método eficaz, onde requer permissões administrativas ao usuário.

Passo 1: Abrir o Editor de Registro

• Pressione Win + R para abrir o menu Executar.
• Digite regedit e pressione Enter.

• Se solicitado pelo Controle de Conta de Usuário (UAC), clique em “Sim”.

---

Passo 2: Navegar até a chave de registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

• Se a pasta StorageDevicePolicies não existir, você precisará criá-la:
• Clique com o botão direito na pasta Control.
• Selecione Novo → Chave e nomeie-a como StorageDevicePolicies.

---

Passo 3: Criar o valor de bloqueio

1. Dentro da pasta StorageDevicePolicies, clique com o botão direito na área vazia.
2. Selecione Novo → Valor DWORD (32 bits).
3. Nomeie esse valor como WriteProtect.
4. Dê um duplo clique em WriteProtect e defina o valor como 1.
   • 1 = Bloqueio de escrita ativado
   • 0 = Bloqueio de escrita desativado

Baixar/Instalar o FTK Imager para Windows 10/11

O FTK Imager é uma ferramenta poderosa e gratuita da AccessData para análise forense digital. Ele permite visualizar, adquirir e preservar dados de discos rígidos, imagens forenses e outros dispositivos de armazenamento.

---

Passo 1: Acessar o site oficial

1. Abra seu navegador de preferência (Chrome, Edge, Firefox, etc.).
2. Acesse o site oficial da Exterro (empresa que gerencia o FTK Imager):
   • https://accessdata.com
3. No site, procure pela seção de Downloads ou Produtos.

---

Passo 2: Localizar o FTK Imager

1. Na área de downloads ou produtos, encontre o FTK Imager.
2. Certifique-se de baixar a versão mais recente para garantir compatibilidade com sistemas modernos e atualizações de segurança.

---

Passo 3: Preencher o formulário de registro

1. A Exterro geralmente solicita o preenchimento de um formulário básico antes de permitir o download.
2. Forneça as informações solicitadas (nome, e-mail, telefone, etc.).
3. Após o preenchimento, você receberá um link para download ou será redirecionado automaticamente.

---

Passo 4: Baixar e Instalar

1. Clique no link de download para baixar o arquivo do instalador (geralmente um .exe).
2. Após o download, execute o arquivo para iniciar a instalação.
3. Siga os passos do assistente de instalação:
   • Aceite os termos de licença.
   • Escolha o diretório de instalação padrão ou selecione um personalizado.
   • Complete a instalação clicando em “Next” até finalizar.

Criar uma Imagem Forense de um Pendrive Utilizando o FTK Imager

✅ Portas USB configuradas com Bloqueio de escrita;
✅ Pendrive conectado ao computador.

---

Passo 1: Abrir o FTK Imager

1. Execute o FTK Imager como administrador.
2. Clique com o botão direito no ícone do aplicativo e selecione “Executar como administrador” (isso é essencial para garantir que o FTK Imager tenha permissão para acessar todas as áreas do sistema).

---

Passo 2: Selecionar o Dispositivo de Origem

1. No menu superior, vá até:
   “File” → “Create Disk Image…”

1. Na janela que se abrirá, selecione a opção “Physical Drive” (para capturar o pendrive como um disco físico), e clique em “Avançar”;

• Na lista de dispositivos disponíveis, identifique o dispositivo de origem pelo nome e tamanho.

• Selecione-o e clique em “Finish”.

⚠️ Cuidado: Certifique-se de escolher o dispositivo correto para evitar erros ou perda de dados.

---

Passo 3: Configurar o Formato da Imagem
Na janela que se abrirá, Clique em “Add…” para adicionar um destino onde a imagem será salva.

Escolha a imagem RAW (dd) → Gera uma cópia bit a bit sem compressão.

Clique em “Avançar”;
Na janela que abrirá, caso desejado, você pode deixar em branco e clicar em “Avançar”;
Se for conveniente, você pode adicionar os dados do caso, processo e responsável pela cópia dos dados, e posteriormente clicar em “Avançar”;
Case Number (Número do Caso): Identificação do caso.
Evidence Number (Número da Evidência): Identificação única para a evidência (pode ser o número do Processo)
Examiner Name (Nome do Perito): Seu nome ou identificação.
Description (Descrição): Breve descrição do pendrive e contexto da coleta.
 

 
Na janela que abrirá, ao clicar em “Browse” selecione a pasta de destino (aonde será criada a imagem do dispositivo de origem)
⚠️ Cuidado: Escolha o local seguro onde deseja armazenar a imagem (por exemplo, um HD externo).
Em “Image Filename”, crie um nome para o arquivo de imagem;
⚠️ Cuidado: Nomeie o arquivo de forma clara (ex.: Imagem_Pendrive_Caso123.E01).
Em “Image Fragment Size” mude para “0”;
Clique em “Finish”.

---

Passo 4 : Iniciar com a Cópia

1. Na próxima janela, apenas clique em “Start” para iniciar a criação da imagem do dispositivo de origem. O FTK Imager começará a copiar bit a bit o conteúdo do pendrive. Durante o processo, o software calculará automaticamente o hash (MD5/SHA1) para garantir a integridade da imagem.

• Aguarde a criação da imagem, este processo pode demorar bastante.

---

Passo 5: Conclusão

1. Quando concluída a criação da Imagem, será apresentado uma janela informando “Image Created Successfully”;

• Na pasta configurada para receber o arquivo de imagem, estarão disponíveis o “Arquivo de imagem” e um relatório contendo os hashes do arquivo.

⚠️ Cuidado: Mantenha os arquivos armazenados em local seguro, e se possível proceda com backups.

---

Dicas Forenses Essenciais

🛡️Utilize sempre um bloqueador de escrita (write blocker) físico ou lógico para evitar alterações acidentais na mídia original.
🗂️ Armazene a imagem forense e o relatório de hash em locais separados para segurança adicional.

Vinícius Machado de Oliveira, Habilitado para atuar como Auxiliar da Justiça (Perito e/ou Assistente Técnico) nos Tribunais de Justiça dos Estados: AM, BA, ES, GO, MA, MT, MS, PB, PE, PR, PI, RS, RO, RR, SC, SP e no DF.