Duplicação Forense de Dispositivos de Armazenamento de Dados

Por vinicius.oliveira@oliveiraperito.com.br em

Aprenda como realizar a duplicação forense de dispositivos de armazenamento de dados com segurança, utilizando FTK Imager, bloqueio de escrita e técnicas compatíveis com a ISO 27037.

No contexto da Computação Forense, a duplicação forense de dispositivos de armazenamento de dados é um procedimento essencial para garantir a preservação da integridade das evidências digitais. Nesse sentido, assegurar que os dados sejam mantidos de forma confiável e admissível em processos judiciais torna-se uma prioridade absoluta. Além disso, considerando a volatilidade das informações digitais, a adoção de técnicas adequadas é indispensável.

Dessa forma, o presente conteúdo tem como objetivo apresentar, de maneira clara e técnica, um guia prático sobre como proceder com a aquisição (cópia segura) de dados em dispositivos de armazenamento, tais como pendrives e HDs externos.

Considerações Técnicas

Toda atividade que envolva exame pericial, o tratamento das evidências digitais deve estar, em conformidade com a norma ABNT NBR ISO/IEC 27037:2013. Essa norma, por sua vez, estabelece diretrizes internacionais para a identificação, coleta, aquisição e preservação de evidências digitais, garantindo, assim, maior confiabilidade e validade jurídica ao processo.

Além disso, o processo de aquisição consiste na criação de uma cópia da evidência digital — que pode incluir disco rígido completo, partições ou arquivos específicos — bem como na documentação detalhada dos métodos utilizados e das atividades realizadas. Nesse contexto, recomenda-se que tanto a fonte original quanto a cópia sejam verificadas por meio de funções de hash. Assim, assegura-se que ambas produzam resultados idênticos, comprovando a integridade dos dados.

Bloqueio de Escrita ao Dispositivo de Origem

Antes de iniciar qualquer procedimento, é fundamental configurar o bloqueio de escrita nas portas USB. Isso porque essa medida impede alterações acidentais nos dados durante o processo de análise, evitando, por exemplo, modificações em metadados ou a criação involuntária de novos arquivos.

Dessa maneira, o bloqueio de escrita garante que a evidência digital permaneça intacta, preservando sua confiabilidade para fins judiciais ou investigativos. Portanto, trata-se de uma etapa indispensável dentro da cadeia de custódia da prova digital.

Configurar o Bloqueio de Escrita em Portas USB no Windows 10 e 11

Método eficaz, onde requer permissões administrativas ao usuário.

Passo 1: Abrir o Editor de Registro

  • Pressione Win + R para abrir o menu Executar.
  • Digite regedit e pressione Enter.
  • Se solicitado pelo Controle de Conta de Usuário (UAC), clique em “Sim”.

Passo 2: Navegar até a chave de registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

  • Se a pasta StorageDevicePolicies não existir, você precisará criá-la:
  • Clique com o botão direito na pasta Control.
  • Selecione Novo → Chave e nomeie-a como StorageDevicePolicies.

Passo 3: Criar o valor de bloqueio

  1. Dentro da pasta StorageDevicePolicies, clique com o botão direito na área vazia.
  2. Selecione Novo → Valor DWORD (32 bits).
  3. Nomeie esse valor como WriteProtect.
  4. Dê um duplo clique em WriteProtect e defina o valor como 1.
    • 1 = Bloqueio de escrita ativado
    • 0 = Bloqueio de escrita desativado

Baixar/Instalar o FTK Imager para Windows 10/11

O FTK Imager é uma ferramenta poderosa e gratuita da AccessData para análise forense digital. Ele permite visualizar, adquirir e preservar dados de discos rígidos, imagens forenses e outros dispositivos de armazenamento:

1) Acessar o site oficial

  1. Abra seu navegador de preferência (Chrome, Edge, Firefox, etc.).
  2. Acesse o site oficial da Exterro (empresa que gerencia o FTK Imager):
  3. No site, procure pela seção de Downloads ou Produtos.

2) Localizar o FTK Imager

  1. Na área de downloads ou produtos, encontre o FTK Imager.
  2. Certifique-se de baixar a versão mais recente para garantir compatibilidade com sistemas modernos e atualizações de segurança.

3) Preencher o formulário de registro

  1. A Exterro geralmente solicita o preenchimento de um formulário básico antes de permitir o download.
  2. Forneça as informações solicitadas (nome, e-mail, telefone, etc.).
  3. Após o preenchimento, você receberá um link para download ou será redirecionado automaticamente.

4) Baixar e Instalar

  1. Clique no link de download para baixar o arquivo do instalador (geralmente um .exe).
  2. Após o download, execute o arquivo para iniciar a instalação.
  3. Siga os passos do assistente de instalação:
    • Aceite os termos de licença.
    • Escolha o diretório de instalação padrão ou selecione um personalizado.
    • Complete a instalação clicando em “Next” até finalizar.

Criação de uma Imagem Forense (FTK Imager)

Portas USB configuradas com Bloqueio de escrita;
Pendrive conectado ao computador.

1) Abrir o FTK Imager

  1. Execute o FTK Imager como administrador.
  2. Clique com o botão direito no ícone do aplicativo e selecione “Executar como administrador” (isso é essencial para garantir que o FTK Imager tenha permissão para acessar todas as áreas do sistema).

2) Selecionar o Dispositivo de Origem

  1. No menu superior, vá até:
    “File” → “Create Disk Image…”
  1. Na janela que se abrirá, selecione a opção “Physical Drive” (para capturar o pendrive como um disco físico), e clique em “Avançar”;
  • Na lista de dispositivos disponíveis, identifique o dispositivo de origem pelo nome e tamanho.
  • Selecione-o e clique em “Finish”.

⚠️ Cuidado: Certifique-se de escolher o dispositivo correto para evitar erros ou perda de dados.

3) Configurar o Formato da Imagem

Na janela que se abrirá, Clique em “Add…” para adicionar um destino onde a imagem será salva.


Escolha a imagem RAW (dd) → Gera uma cópia bit a bit sem compressão.



Clique em “Avançar”;
Na janela que abrirá, caso desejado, você pode deixar em branco e clicar em “Avançar”;
Se for conveniente, você pode adicionar os dados do caso, processo e responsável pela cópia dos dados, e posteriormente clicar em “Avançar”;
Case Number (Número do Caso): Identificação do caso.
Evidence Number (Número da Evidência): Identificação única para a evidência (pode ser o número do Processo)
Examiner Name (Nome do Perito): Seu nome ou identificação.
Description (Descrição): Breve descrição do pendrive e contexto da coleta.
 

 
Na janela que abrirá, ao clicar em “Browse” selecione a pasta de destino (aonde será criada a imagem do dispositivo de origem)
⚠️ Cuidado: Escolha o local seguro onde deseja armazenar a imagem (por exemplo, um HD externo).
Em “Image Filename”, crie um nome para o arquivo de imagem;
⚠️ Cuidado: Nomeie o arquivo de forma clara (ex.: Imagem_Pendrive_Caso123.E01).
Em “Image Fragment Size” mude para “0”;
Clique em “Finish”.

4) Iniciar com a Cópia

  1. Na próxima janela, apenas clique em “Start” para iniciar a criação da imagem do dispositivo de origem. O FTK Imager começará a copiar bit a bit o conteúdo do pendrive. Durante o processo, o software calculará automaticamente o hash (MD5/SHA1) para garantir a integridade da imagem.
  • Aguarde a criação da imagem, este processo pode demorar bastante.

5) Conclusão

  1. Quando concluída a criação da Imagem, será apresentado uma janela informando “Image Created Successfully”;
  • Na pasta configurada para receber o arquivo de imagem, estarão disponíveis o “Arquivo de imagem” e um relatório contendo os hashes do arquivo.

⚠️ Cuidado: Mantenha os arquivos armazenados em local seguro, e se possível proceda com backups.

Dicas Forenses Essenciais

🛡️Utilize sempre um bloqueador de escrita (write blocker) físico ou lógico para evitar alterações acidentais na mídia original.
🗂️ Armazene a imagem forense e o relatório de hash em locais separados para segurança adicional.



Vinícius Machado de Oliveira, Habilitado para atuar como Auxiliar da Justiça (Perito e/ou Assistente Técnico) nos Tribunais de Justiça dos Estados: AM, BA, ES, GO, MA, MT, MS, PB, PE, PR, PI, RS, RO, RR, SC, SP e no DF.
 

🚀🚀🚀 Siga-nos no Instagram para mais dicas e informações: https://www.instagram.com/oliveira.perito

Categorias: Forense DigitalMelhores PráticasSoftware Forense

0 comentários

Deixe um comentário

Avatar placeholder

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Artigos relacionados

Forense Digital Melhores Práticas

O Papel do Assistente Técnico na Contestação de Provas Digitais

A contestação de provas digitais tornou-se essencial no cenário jurídico atual, sobretudo porque o volume de evidências digitais cresce continuamente. Além disso, mensagens, e-mails, áudios e vídeos passaram a influenciar diretamente decisões judiciais. No entanto, Ler mais…

Forense Digital Melhores Práticas

Ordem de Volatilidade na Perícia Digital: Guia Completo para Profissionais do Direito

ordem de volatilidade na perícia digital

Forense Digital Melhores Práticas

Cadeia de Custódia no Processo Penal Brasileiro

A consolidação da Cadeia de Custódia no processo penal brasileiro representa um dos mais relevantes avanços na busca por maior confiabilidade da prova e segurança jurídica. Esse avanço ocorre em um cenário de crescente complexidade Ler mais…