Anda di halaman 1dari 8

Paper id: 12

ResumoA percia em sistemas computacionais comumente


praticada apenas em discos rgidos e outros dispositivos de
armazenamento no voltil. Entretanto, evidncias podem ser
encontradas na memria principal de um computador, como
programas e processos sendo executados, alm de arquivos que
no estaro protegidos por senhas ou criptograia como nos
discos rgidos. !ela caracterstica da memria principal ser
"voltil# torna$se um lugar desprezado pela maioria dos peritos,
pois geralmente o computador % ora reiniciado ou mesmo
desligado. Este tra&alho acadmico, de inal de curso de ps$
gradua'o em (eguran'a da )norma'o, prova que, mesmo
aps a interrup'o de energia, pode$se encontrar vestgios de
dados antigos contidos na memria *A+, seguindo os
procedimentos corretos, como tempo, temperatura e programas
especicos. ,esta orma, podemos concluir, no inal deste
tra&alho em la&oratrio, que a memria principal -*A+. no
to voltil e a&re possi&ilidades de coleta de evidncias em lugar
desprezado pela maioria dos peritos em /orense 0omputacional.
Palavras-chave1/orense 0omputacional, memria principal,
percia orense, seguran'a de computadores e coleta de
evidncias.
I.INTRODUO
TUALMENTE, os comp!adores es!"o cada #e$ mais
prese%!es %as a&'es co!idia%as, como comprar a()m
prod!o o e*e!ar pa)ame%!os de co%!as, e, em +es!'es mais
pessoais, como m meio para co%#ersar o *a$er a%o!a&'es e
re)is!ros da #ida rea(.
A
,omo em !odas as -reas, e.is!em pessoas +e *a$em so
dos sis!emas comp!acio%ais para a pr-!ica de a!os i(/ci!os.
,om isso, !or%a0se %ecess-rio !i(i$ar !1c%icas de ci2%cia
*ore%se comp!acio%a( para i%#es!i)ar crimes +e *oram
come!idos !i(i$a%do e+ipame%!os e sis!emas
comp!acio%ais, !a%!o para crimes di)i!ais, como para crimes
+e %"o *oram come!idos a!ra#1s de(es.
A *ore%se comp!acio%a( !em a *%&"o de poder pro#ar +e
m crime *oi pra!icado a!ra#1s de recrsos comp!acio%ais,
de ma *orma +e os res(!ados o3!idos %a per/cia !1c%ica %"o
)erem d4#idas +a%!o a sa i%!e)ridade e %"o rep4dio, 3em
como co(e!ar e#id2%cias para a5dar em i%#es!i)a&'es e6o
processos 5diciais.
A cresce%!e o%da de crimes come!idos a!ra#1s de
comp!adores se d-, de%!re mi!os casos, pe(o *a!o das
pessoas ai%da serem (ei)as %o +e di$ respei!o 7 se)ra%&a de
sis!emas comp!acio%ais e i%*orma&'es. Tam31m, 8- o *a!o
de as pessoas pe%sarem +e a I%!er%e! )ara%!e o a%o%ima!o,
+e se pode *a$er +a(+er coisa, e +e %"o ser- p%ido %o
m%do rea(.

O35e!i#a0se, %es!e !ra3a(8o, pro#ar +e 1 poss/#e( co(e!ar
dados6e#id2%cias da mem9ria pri%cipa( :RAM; mesmo ap9s a
m-+i%a !er sido des(i)ada, pro#a%do +e a mem9ria
pri%cipa( %"o 1 !"o #o(-!i(, permi!i%do e%co%!rar dados
depe%de%do do !empo e !1c%icas !i(i$adas. Tem0se a
i%!e%&"o, !am31m, de #eri*icar +a( a re(a&"o da !empera!ra
com a capacidade de ma%!er a i%*orma&"o em mem9ria
pri%cipa(.
II.<OREN=E ,OMPUTA,IONAL
A <ore%se comp!acio%a( 1 o ramo da crimi%a(/s!ica +e
e%#o(#e a a+isi&"o, preser#a&"o, res!ara&"o e a%-(ise de
e#id2%cias comp!acio%ais, !a%!o em e(eme%!os */sicos, como
em dados +e *oram processados e(e!ro%icame%!e e
arma$e%ados em m/dias comp!acio%ais.
O prop9si!o de m e.ame *ore%se 1 a e.!ra&"o de
i%*orma&'es de +a(+er #es!/)io re(acio%ado com o caso
i%#es!i)ado, permi!i%do a *orm(a&"o de co%c(s'es so3re a
de%4%cia *ei!a.
E.is!em das a3orda)e%s %o +e di$ respei!o ao o35e!i#o
*i%a( da a%-(ise *ore%se, ma 1 a a%-(ise 3sca%do o3!er
i%*orma&'es de #a(or pro3a%!e, coere%!es com as re)ras e (eis
so3re e#id2%cias, se%do admiss/#eis em ma cor!e de 5s!i&a,
para serem !i(i$adas em m processo crimi%a(. A o!ra
a3orda)em 1 o e.ame rea(i$ado de%!ro de ma empresa com o
o35e!i#o de de!ermi%ar a casa de m i%cide%!e e asse)rar
+e as medidas discip(i%ares se5am ap(icadas aos #erdadeiros
respo%s-#eis >1?@.
A.Evidncia Digital
Na ci2%cia *ore%se e.is!e o c8amado Pri%c/pio da Troca de
Locard >1?@, +e di$ +e, +a(+er m o +a(+er coisa, +e
e%!ra em m (oca( de m crime (e#a co%si)o a()o do (oca( e
dei.a a()ma coisa para !r-s +a%do #ai em3ora. Na -rea
comp!acio%a(, es!e pri%c/pio !am31m 1 #-(ido, mas %em
sempre se pode de!ermi%ar +e m peda&o de dado *oi
deri#ado de m crime, o re!irar esses #es!/)ios de modo a
serem a%a(isados de ma%eira e*ica$, de acordo com as
*errame%!as a!ais.
O !ermo e#id2%cia di)i!a( 1 a!ri3/do a !oda e +a(+er
i%*orma&"o di)i!a( capa$ de de!ermi%ar +e ma i%!rs"o
aco%!ece, o +e *or%e&a a()ma (i)a&"o e%!re o de(i!o e as
#/!imas o e%!re o de(i!o e o a!aca%!e.
A e#id2%cia di)i!a( %"o dei.a de ser m !ipo de e#id2%cia
*/sica, em3ora se5a me%os !a%)/#e(. E(a 1 compos!a de campos
ma)%1!icos, campos e(1!ricos e p(sos e(e!rA%icos +e podem
ser co(e!ados e a%a(isados a!ra#1s de !1c%icas e *errame%!as
1
<ore%se ,omp!acio%a( em Mem9ria Pri%cipa(
A%!A%io Pires de ,as!ro Br, Cr%o Lopes Lisi!a, T8ia)o =i(#a Mac8ado de Mora e Tia)o Bor)e Pi%!o
Paper id: 12
apropriadas. E%!re!a%!o, a e#id2%cia di)i!a( possi a()mas
carac!er/s!icas pr9prias >1?@:
E(a pode ser dp(icada com e.a!id"o, permi!i%do a
preser#a&"o da e#id2%cia ori)i%a( dra%!e a a%-(iseD
,om os m1!odos apropriados, 1 re(a!i#ame%!e *-ci(
de!ermi%ar se ma e#id2%cia di)i!a( *oi modi*icadaD
A e#id2%cia di)i!a( 1 e.!remame%!e #o(-!i(, pode%do
ser *aci(me%!e a(!erada dra%!e o processo de a%-(ise.
Toda i%*orma&"o re(e#a%!e de#e ser co(e!ada, em ma
#arredra me!ic(osa para a%-(ise, respei!a%do dois pri%c/pios
3-sicos, o da a!e%!icidade, o%de se de#e )ara%!ir a ori)em
dos dados, e o da co%*ia3i(idade, +e asse)ra +e os dados
s"o co%*i-#eis e (i#res de erros. ,o%*orme as e#id2%cias
di)i!ais s"o e%co%!radas, e(as de#em ser e.!ra/das, res!aradas
+a%do %ecess-rio :caso es!e5am da%i*icadas o ci*radas;,
docme%!adas e de#idame%!e preser#adas. Em se)ida, as
e#id2%cias e%co%!radas de#em ser corre(acio%adas,
permi!i%do a reco%s!r&"o dos e#e%!os re(acio%ados ao de(i!o.
Mi!as #e$es %a a%-(ise das e#id2%cias, ao corre(acio%ar e
reco%s!rir os passos, promo#e0se a desco3er!a de %o#as
i%*orma&'es, *orma%do m cic(o %o processo de a%-(ise
*ore%se.>1?@
As pri%cipais *o%!es de i%*orma&"o de m sis!ema
comp!acio%a( s"o aprese%!adas a se)ir, %a ordem da maior
#o(a!i(idade, para a me%or.
Dispositivos de Armazenagem da Unidade Central de
Processamento (CPU)
As i%*orma&'es co%!idas %os re)is!radores de ma ,PU s"o
de m/%ima !i(idade e sa cap!ra 1 impra!ic-#e(. As caches
podem co%!er i%*orma&'es +e ai%da %"o *oram a!a(i$adas
%a mem9ria pri%cipa( do sis!ema, mas es!es dados %"o
possem %e%8m #a(or de pro#a pericia( por co%!er ape%as
c-(c(os em (i%)a)em de m-+i%as imposs/#eis de serem
!rad$idos em i%*orma&'es com )ara%!ia.
Memria de Peri!"ricos
Mi!os disposi!i#os, como modems, p(acas de #/deo,
apare(8os de *a. e impressoras, co%!2m dados reside%!es %as
sas mem9rias +e podem ser acessados e sa(#os. Esses dados
podem ser i%*orma&'es +e %"o mais residem %o sis!ema
a%a(isado, como )ra#a&'es de #o$, docme%!os e me%sa)e%s
de !e.!o o %4meros de !e(e*o%e e *a..
Memria Principal do #istema
A mem9ria pri%cipa( co%!1m !odo !ipo de i%*orma&"o
E#o(-!i(F, como, por e.emp(o, i%*orma&'es de processos +e
es!"o em e.ec&"o, dados +e es!"o se%do ma%ip(ados e
ai%da %"o *oram sa(#os %o disco, e i%*orma&'es do sis!ema
operacio%a(, is!o i%c(/ i%*orma&'es em !e.!o p(e%o +e, em
disco, es!"o ci*radas. Os c8amados crash dump co%!em ma
ima)em da mem9ria do sis!ema %o mome%!o em +e ma
*a(8a i%esperada aco%!ece :de%omi%ada de crash;.
$r%!ego de Rede
A par!ir de da!a)ramas cap!rados, 1 poss/#e( reco%s!rir a
com%ica&"o e%!re o a!aca%!e e a m-+i%a a(#o, de modo +e
ma se+G2%cia de e#e%!os pode ser es!a3e(ecida e comparada
com as o!ras e#id2%cias e%co%!radas %a m-+i%a
comprome!ida. E.is!em #-rios pro)ramas +e podem ser
sados para cap!rar o !r-*e)o de rede, comme%!e
de%omi%ados de sni!!ers, +e, a(1m de cap!rar os da!a)ramas
+e !ra*e)am %a rede, podem decodi*ic-0(os e e.i3i0(os em m
*orma!o mais (e)/#e(, o, ai%da, e.ec!ar opera&'es mais
comp(e.as como reco%s!r&"o de sess"o e recpera&"o de
ar+i#os !ra%s*eridos pe(a rede >1H@.
Estado do #istema &peracional
I%*orma&'es re(acio%adas com o es!ado do sis!ema
operacio%a( podem *or%ecer pis!as impor!a%!es +a%!o 7
e.is!2%cia, !ipo e ori)em de m a!a+e em a%dame%!o. Tais
i%*orma&'es represe%!am ma ima)em do sis!ema
operacio%a( em m de!ermi%ado i%s!a%!e :processos em
e.ec&"o, co%e.'es de rede es!a3e(ecidas, s-rios (o)ados,
!a3e(as e caches ma%!idas pe(o sis!ema; e )era(me%!e s"o
perdidas +a%do o sis!ema 1 des(i)ado.>1?@
,o(e!ar i%*orma&'es acerca dos s-rios (o)ados %o
sis!ema, do es!ado das i%!er*aces de rede e co%!e4do das
!a3e(as podem e#ide%ciar m a!a+e o a()ma a!i#idade
i%comm, como por e.emp(o, a e.is!2%cia de m poss/#e(
sni!!er %o sis!ema, o ide%!i*icar ma a(!era&"o da !a3e(a de
ro!as.
Mdulos de 'ernel
O %4c(eo do sis!ema :(ernel; co%!1m as *%cio%a(idades
3-sicas para o *%cio%ame%!o do sis!ema operacio%a(. Os
%4c(eos a%!eriorme%!e eram mo%o(/!icos, o se5a, para
adicio%ar o re!irar ma *%cio%a(idade era %ecess-rio
compi(a&"o e i%s!a(a&"o do %o#o (ernel, a(1m da %ecessidade
de rei%iciar o e+ipame%!o para o %o#o (ernel e%!rar em so.
Para mi%imi$ar esse processo, pe%so0se em permi!ir
adicio%ar o re!irar recrsos em !empo rea(, cria%do, e%!"o, os
m9d(os de (ernel. Es!a #a%!a)em !am31m pode ser m
pro3(ema para os sis!emas operacio%ais, pois, ma #e$
i%#adido, o a!aca%!e pode carre)ar m m9d(o de (ernel
ma(icioso, com o prop9si!o de esco%der sas a!i#idades das
*errame%!as de pre#e%&"o e adi!oria do sis!ema, i%!ercep!ar
coma%dos do sis!ema e prod$ir res(!ados *a(sos.
Dispositivos de Armazenagem #ecund%ria
O disco represe%!a a maior *o%!e de i%*orma&"o para o
e.ame *ore%se comp!acio%a(, e em cada por&"o de(e, por
me%or +e se5a, o%de se possa (er e6o escre#er m co%5%!o
de 3i!s, represe%!a ma poss/#e( *o%!e de i%*orma&"o para a
a%-(ise *ore%se. De!ermi%adas -reas do disco %"o s"o
acess/#eis a!ra#1s de m sis!ema de ar+i#os e podem co%!er
i%*orma&'es +e m a!aca%!e pode ma%!er esco%didas o,
ai%da, #es!/)ios +e o mesmo a !e%!o apa)ar. ,om isso,
podem0se c(assi*icar as i%*orma&'es arma$e%adas em disco
em das c(asses: as acess/#eis pe(o sis!ema de ar+i#os :os
ar+i#os propriame%!e di!os e ses a!ri3!os; e as i%*orma&'es
arma$e%adas em -reas %"o acess/#eis a!ra#1s do sis!ema de
ar+i#os :espa&os %"o a(ocados o marcados como
da%i*icados, por e.emp(o;.
2
Paper id: 12
A(1m disso, -reas do disposi!i#o de arma$e%a)em podem
co%!er i%*orma&'es Ede(e!adasF. Ia%do m ar+i#o 1
apa)ado, sa re*er2%cia 1 remo#ida das es!r!ras do sis!ema
de ar+i#os, e%!re!a%!o os dados co%!idos %o ar+i#o %"o s"o
apa)ados do disco. Tais dados perma%ecem %o disco
i%de*i%idame%!e, a!1 +e se5am so3rescri!os por o!ros
ar+i#os. =e%do assim, ar+i#os comp(e!os o por&'es
me%ores podem ser recperados ap9s !erem sido apa)ados e
parcia(me%!e so3rescri!os.
A(1m de se o3!er i%*orma&'es so3re a co%*i)ra&"o do
disco, 1 impor!a%!e e*e!ar a ima)em )it a )it do disposi!i#o.
Es!e !ipo de ima)em 1 di*ere%!e de ma c9pia %orma( de
ar+i#os, pois !odo co%!e4do do disco ser- copiado, i%c(i%do
os espa&os %"o !i(i$ados.>1?@
*. +ases de Uma Per,cia +orense Computacional
A()mas *ases para rea(i$ar ma per/cia *ore%se
comp!acio%a( *oram de*i%idas %o docme%!o Anlise
/orense de )ntrus2es em (istemas 0omputacionais3
4cnicas, !rocedimentos e /erramentas em >1?@. As *ases
s"o, 3asicame%!e:
,o%sidera&'es e I%!e(i)2%cias Pre(imi%aresD
P(a%e5ame%!oD
,o(e!a, A!e%!ica&"o, Docme%!a&"o e Preser#a&"o
de Ma!eria( Para A%-(iseD
A%-(iseD
Reco%s!r&"o dos E#e%!os
III.A LEJI=LAO CRA=ILEIRA E O PERITO EM <OREN=E
,OMPUTA,IONAL
A (e)is(a&"o 3rasi(eira, a respei!o de crimes di)i!ais, ai%da
!ra3a(8a por meio de 5risprd2%cias, o se5a, %"o se !em ma
(ei espec/*ica di!a%do *ormas e !ipos de crimes, e %em +a(
de#e ser a p%i&"o. B/$es 5()am os crimi%osos
corre(acio%a%do os de(i!os com ar!i)os do ,9di)o Pe%a( a!a(,
como, por e.emp(o, crimes de ro3o o de i%54ria e
di*ama&"o.
De#ido a isso, as pe%as dos crimes #ariam 3as!a%!e em
i%!e%sidade, pois mi!os 5/$es %"o possem a./(io de m
3om pro*issio%a( %a -rea de i%*orm-!ica, o mesmo de m
peri!o comp!acio%a(, +e possa re#e(ar a e(e os #erdadeiros
da%os casados pe(o crimi%oso. E, se !i(i$a%do da
5risprd2%cia, mi!os ad#o)ados ape(am os processos
!i(i$a%do casos o%de a pe%a pe(o mesmo !ipo de crime *oi
mais 3ra%da, o mesmo +e o caso *ora e%cerrado.
O peri!o em *ore%se comp!acio%a( se)e a mesma
(e)is(a&"o +e peri!os de o!ras -reas, assim como s"o
de*i%idas *ormas de como ma pro#a pericia( se !or%a #-(ida
dia%!e de m 5()ame%!o. E, para e#i!ar p%i&'es pre#is!as
em (ei ao peri!o, !em0se +e !omar o m-.imo de cidado para
ma%sear o ma!eria( periciado, para +e %"o co%!ami%e as
e#id2%cias, e, !am31m, possi3i(i!ar +e ma se)%da per/cia
se5a poss/#e(, caso so(ici!ado.
=e)%do a (e)is(a&"o, para ser m peri!o em m processo, a
pessoa !em +e !er crso sperior %a de!ermi%ada -rea !1c%ica
o cie%!/*ica, com co%8ecime%!o !1c%ico0*orma(, idA%ea e
8-3i(. E es!"o impedidas de periciar as pessoas +e %"o
possem capacidade para a!os da #ida ci#i(, %em
co%8ecime%!o !1c%ico espec/*ico s*icie%!e, e pessoas
impedidas :,9di)o de Processo ,i#i(, ar!. 1?K 0 par!e,
!es!em%8a, cA%5)e o +a(+er o!ro pare%!e, em (i%8a re!a
o co(a!era( a!1 o ?L )ra; e %os casos de sspei&"o :,P,, ar!.
1?M 0 o ami)o /%!imo o i%imi)o capi!a( de ma das par!es;.
Mais i%*orma&'es so3re as (eis a!ais e 5risprd2%cias
re(acio%adas 7 i%*orm-!ica podem ser e%co%!radas %o
docme%!o Ferramentas para anlise forense aplicada
Informtica em >1H@.
E.is!e m %o#o Pro5e!o de Lei em !rami!a&"o %a ,Nmara
dos Dep!ados em Cras/(ia, %O PQ6H?, de a!oria do =e%ador
Edardo A$eredo, +e #isa es!a3e(ecer re)ras e p%i&'es para
a&'es e*e!adas a!ra#1s da comp!a&"o, i%c(si#e de*i%i%do
de(i!os amp(ame%!e pra!icados %a I%!er%e!.
,om esse Pro5e!o, ser- poss/#e( a!a(i$ar a (e)is(a&"o
3rasi(eira para ser mais c(ara e espec/*ica para +es!'es de
crimes re(acio%ados a sis!emas e(e!rA%icos, di)i!ais e
simi(ares, e pra!icados co%!ra disposi!i#os de com%ica&"o e
sis!emas i%*orma!i$ados e simi(ares, a(1m de rede de
comp!adores. E(a !am31m especi*ica de#eres de *or%ecedores
de ser#i&os para +e a.i(iem %as i%#es!i)a&'es e
ide%!i*ica&"o de crimi%osos +e !i(i$aram dos ser#i&os das
mesmas para come!er i%*ra&'es.
,om isso, ser- mais *-ci( para o peri!o ide%!i*icar em +a(
crime ma i%*ra&"o 1 re(acio%ada, e a&'es +e a%!es %"o eram
#is!as como crimes propriame%!e di!os passar"o a ser.
E%!re!a%!o, !em0se +e disc!ir es!e Pro5e!o para +e se possa
ade+ar 7 rea(idade 3rasi(eira, %"o crimi%a(i$a%do si!a&'es
corri+eiras, a(1m de pre#er !odas as si!a&'es +e a
!ec%o(o)ia m%dia( pro#2 7s pessoas, para +e a (ei %"o caia
em desso o %"o se5a !"o a3ra%)e%!e, o !or%e es!-!ico o
dese%#o(#ime%!o de id1ias pe(o *a!o de %"o se sa3er se es!-
come!e%do m crime o %"o.
O pro*issio%a( +e a!a %a -rea de *ore%se comp!acio%a(
pode ser c8amado de peri!o o i%#es!i)ador.
IR.<OREN=E EM MEMSRIA PRIN,IPAL
Jra%de par!e dos !ra3a(8os so3re *ore%se comp!acio%a(
ai%da se pre%dem a a%-(ise de dados o3!idos a par!ir do
sis!ema de ar+i#os em disposi!i#os sec%d-rios. Essa esco(8a
se e.p(ica por *a!ores como a maior *aci(idade para se iso(ar a
Tce%a do crimeT e a maior dispo%i3i(idade de *errame%!as
para es!e !ipo de a%-(ise. Nes!a si!a&"o o !ra3a(8o do
peri!o, %o am3ie%!e a(#o de per/cia, se res!ri%)e i%icia(me%!e
a )ara%!ir o iso(ame%!o (9)ico dos e+ipame%!os, e#i!a%do
a&'es i%!er%as o e.!er%as +e possam a(!erar o e(imi%ar
e#id2%cias.
Par!i%do do pr10spos!o +e possa 8a#er !e%!a!i#as de
a(!erar o e(imi%ar e#id2%cias par!i%do de coma%dos pe(a
rede, o mesmo Tarmadi(8asT %o pr9prio sis!ema, acio%adas
?
Paper id: 12
por de!ermi%adas a&'es, o mais se)ro era simp(esme%!e
parar os sis!emas, i%!errompe%do dire!ame%!e o *or%ecime%!o
e(1!rico ao e+ipame%!o, e#i!a%do processos de Tshutdo-nT
%orma(, +e !am31m poderiam !er sido modi*icados para
e(imi%ar e#id2%cias em si!a&'es espec/*icas. O pr9.imo
passo se resmia a reco(8er !odos os disposi!i#os de
arma$e%ame%!o, e )erar ima)e%s para pos!erior a%-(ise.
E%!re!a%!o 1 93#io +e ao i)%orar os dados #o(-!eis %o
processo de co(e!a de e#id2%cias, se perde mi!as i%*orma&'es
impor!a%!es em m processo de a%-(ise *ore%se, !ais como:
processos em e.ec&"o, es!ados de co%e.'es, por!as
T,P6UDP a3er!as, dados de pro)ramas em e.ec&"o %a
mem9ria, *i(as de co%e.'es, co%!e4dos de )u!!ers, se%8as
di)i!adas, c8a#es de ar+i#os crip!o)ra*ados +e es!a#am em
so, e%!re o!ros. A()%s desses dados podem ser impor!a%!es
a!1 mesmo para possi3i(i!ar a a%-(ise de dados do sis!ema de
ar+i#os.

A. A Memria Principal (RAM)
A mem9ria RAM, si)(a para Random Access Memor.
:Mem9ria de Acesso A(ea!9rio;, 1 a respo%s-#e( por
arma$e%ar i%*orma&'es para acesso r-pido do processador.>U@
,omo se pr9prio %ome 5- di$, a mem9ria RAM !em como
pri%cipa( carac!er/s!ica permi!ir o acesso dire!o a +a(+er m
dos e%dere&os dispo%/#eis, e 1 essa carac!er/s!ica +e a *a$ ser
mais r-pida do +e, por e.emp(o, m VD :/ard Dis(;,
dimi%i%do o !empo de respos!a para o processador, 5- +e
!ra3a(8a com !a.as de !ra%s*er2%cias de dados mi!o
speriores.
Ia%do m pro)rama 1 e.ec!ado, e(e 1 (ido da m/dia de
arma$e%ame%!o :VD, Pen Drive, e!c...;, e e%!"o !ra%s*erido
para a mem9ria RAM. O processador 3sca !odas as
i%*orma&'es %ecess-rias para a e.ec&"o da+e(e pro)rama
dire!ame%!e da mem9ria.
Es!e !ipo de mem9ria possi a des#a%!a)em de +e, por ser
ma mem9ria do !ipo E#o(-!i(F, +a%do a m-+i%a 1
des(i)ada, !odos os dados co%!idos %e(a s"o perdidos.
O !ipo mais sa( de mem9ria e%co%!rada 1 a mem9ria
DRAM, D.namic RAM :Mem9ria de Acesso A(ea!9rio
Di%Nmico;. A mem9ria DRAM come&o a ser mais !i(i$ada
a par!ir do *i%a( da d1cada de WH, s3s!i!i%do a mem9ria
=RAM, #tatic RAM :Mem9ria de Acesso A(ea!9rio Es!-!ico;,
pois es!a poss/a m a(!o pre&o por ser mais 3em e(a3orada,
possi%do ma de%sidade me%or e com isso m !empo me%or
de acesso. ,om o passar do !empo a mem9ria DRAM !or%o0
se padr"o *ica%do co%8ecida pe(a maioria dos s-rios ape%as
pe(a si)(a RAM, mas a mem9ria =RAM ai%da 1 !i(i$ada
pe(os processadores em se cac8e i%!er%o.>U@

+uncionamento da Memria
Os c8ips de mem9ria RAM s"o 3em simp(es, possi%do
i%4meros !ra%sis!ores, e para cada !ra%sis!or m capaci!or.
Ia%do m capaci!or es!a carre)ado e(e!ricame%!e, !emos m
)it T1T e +a%do es!a descarre)ado, !emos m )it THT. Os
!ra%sis!ores s"o respo%s-#eis por #eri*icarem +a( )it es!a
arma$e%ado em se capaci!or e e%#iar essa i%*orma&"o ao
co%!ro(ador de mem9ria. A mem9ria RAM 1 co%siderada
E#o(-!i(F de#ido ao *a!o de o capaci!or perder rapidame%!e sa
car)a, e des!a *orma, perde%do !oda i%*orma&"o a(i
co%!ida.>11@
As mem9rias !i(i$adas 8o5e em dia s"o a(!ame%!e
co%*i-#eis, isso se de#e ao *a!o de +e os sis!emas possem
m co%!ador de mem9ria +e 1 respo%s-#e( por #eri*icar erros
%o mome%!o em +e o sis!ema i%icia. Para a #eri*ica&"o de
erros 1 !i(i$ado o m1!odo co%8ecido como paridade.
Encapsulamentos de Memria
Podemos des!acar +a!ro !ipos de e%caps(ame%!os
pri%cipais de mem9ria !i(i$adas em comp!adores pessoais:
DIP, =IPP, =IMM e DIMM.>?@
Des!es !ipos de e%caps(ame%!os, e%!raremos em maiores
de!a(8es %o mais !i(i$ado, o e%caps(ame%!o DIMM.
A mem9ria DIMM :Dou)le 0n 1ine Memor. Module;,
rece3e es!e %ome de#ido ao *a!o de possir co%!a!os %os dois
(ados do m9d(o, di*ere%!e de ses a%!ecessores +e poss/am
co%!a!os em ape%as m (ado.
Es!a mem9ria possi !r2s *orma!os, se%do os mais a%!i)os
os m9d(os de mem9ria =DR =DRAM de 1UP #ias, (o)o ap9s
#eio o m9d(o de mem9ria DDR =DRAM +e possem 1PK
#ias e em se)ida o m9d(o DDR2 =DRAM +e possem 2KH
#ias. Maiores de!a(8es des!es !r2s *orma!os de mem9ria
podem ser e%co%!rados %o docme%!o /orense
0omputacional em +emria !rincipal em >1P@.
*. 0nter!erncia da $emperatura #o)re o Armazenamento da
Memria
,omo #is!o a%!eriorme%!e, os dados %a mem9ria s"o
arma$e%ados em capaci!ores. ,apaci!or 1 m disposi!i#o
e(e!ro0e(e!rA%ico +e ser#e para arma$e%ar e%er)ia e(1!rica %o
campo e(1!rico e.is!e%!e %o se i%!erior >12@. Na mem9ria
pri%cipa(, +a%do o capaci!or es!- carre)ado, !emos o )it E1F
e +a%do es!- descarre)ado !emos o )it EHF.
Ia%do m m9d(o de mem9ria 1 des(i)ado, a e%er)ia
arma$e%ada %os capaci!ores 1 es)o!ada, da/ o mo!i#o da
#o(a!i(idade da mem9ria pri%cipa(. Mas os capaci!ores
possem ma carac!er/s!ica impor!a%!e, sua capacit5ncia
:capacidade de arma$e%ame%!o e(1!rico; sore grande
inluncia da temperatura.
A capaci!N%cia de m capaci!or 1 e(e#ada com o ame%!o
da !empera!ra, o se5a, a capacidade de ma%!er a e%er)ia
arma$e%ada ame%!a com o ame%!o da !empera!ra, da
mesma *orma +e a capaci!N%cia dimi%i com a dimi%i&"o
da !empera!ra.>Q@
Es!e *a!o ocorre de#ido 7 co%s!a%!e die(1!rica dos
compo%e%!es do capaci!or +e ame%!a :com a e(e#a&"o da
!empera!ra; o dimi%i :com a red&"o da !empera!ra;. Em
)era(, o compor!ame%!o da capaci!N%cia com re(a&"o 7
!empera!ra 1 especi*icado pe(o pr9prio *a3rica%!e.
A !empera!ra !am31m i%*(e%cia %a #ida 4!i( de m
capaci!or, por e.emp(o, m m9d(o de mem9ria possi ma
#ida 4!i( es!imada de 1 a M a%os de so co%!/%o, essa #ida
4!i( pode ser ame%!ada em 1HHX simp(esme%!e a3ai.a%do a
!empera!ra i%!er%a da m-+i%a em 1H L,.>M@
K
Paper id: 12
C. +erramentas Para An%lise de Evidncias
,o%*orme di!o a%!eriorme%!e, %a par!e de co(e!a de
e#id2%cias, para rea(i$ar m !ra3a(8o de *ore%se 1
e.!remame%!e impor!a%!e +e se !e%8a em m"os m co%5%!o
de *errame%!as apropriadas. Is!o e%#o(#e so!t-ares e
disposi!i#os de hard-are +e #e%8am a ser %ecess-rios. O
pro*issio%a( o e+ipe respo%s-#e( de#e !er *ami(iaridade com
o ma!eria(, +e se5am de#idame%!e !es!adas e preparadas para
e#i!ar si!a&'es i%dese5adas.
& Aplicativo DD
O coma%do dd 1 m ap(ica!i#o comme%!e e%co%!rado em
sis!emas U%i. e Li%., mas !am31m possi #ers'es
dispo%/#eis para Yi%doZs. O dd 1 capa$ de *a$er c9pias )it0
a0)it, de disposi!i#os de 3(oco, cria%do m espe(8ame%!o
per*ei!o de par!i&'es, discos o ar+i#os. =a si%!a.e 3-sica
de so 1:
dd i*[ori)em o*[des!i%o

A()mas op&'es dispo%/#eis para so em co%5%!o com o
coma%do dd:
&s Tama%8o do 3(ocoD
i&s Tama%8o do 3(oco de e%!radaD
o&s Tama%8o do 3(oco de sa/daD
count N4mero de 3(ocos a copiarD
s6ip N4mero de 3(ocos a p(ar %o i%icio da ori)emD
see6 N4mero de 3(ocos a p(ar %o i%icio do des!i%oD
conv ,o%#ersio%.
/eli2
O Ve(i. 1 ma dis!ri3i&"o Li%. (i#e cd, 3aseada %o
\%oppi.. Ao i%icia(i$ar 1 carre)ado m =O Li%. comp(e!o,
sem a(!erar dados em discos. ] amp(ame%!e co%8ecida por
co%!er #-rias *errame%!as para a%-(ise *ore%se. <errame%!as
para cap!ra de ima)em como o dd me%cio%ado
a%!eriorme%!e, e o!ras como Adep!o, Air, Li%E% e Re!rie#er.
Possi m 3om co%5%!o de *errame%!as para a%-(ise
:A!oPs^, p^*(a), re)#ieZer, 8e.edi!or;, a%!i#/rs :,(am0A# e
<0pro!; e sni!!ers e%!re o!ras *errame%!as. O Ve(i.
dispo%i3i(i$a !am31m a()mas dessas *errame%!as em #ers"o
Yi%doZs, mas %es!e !ra3a(8o ser- sado como re*er2%cia o
(i#e cd Li%..
Ao ser i%icia(i$ado em sa op&"o padr"o, 1 dispo%i3i(i$ado
m am3ie%!e de !ra3a(8o )r-*ico, com acesso *-ci( 7s
*errame%!as, c5as pri%cipais s"o:
Adepto3 A+isi&"o de ima)e%s e )erar cadeia de
cs!9diaD
Air3 I%!er*ace )r-*ica para o ddD
7inen3 <errame%!a para cap!ra de ima)e%s da
Ji%da%ce :dese%#o(#edora do E%case;, permi!e a
cap!ra de ima)e%s para a%-(ise %o E%caseD
*etriever3 U!i(i!-rio capa$ de #arrer discos e
par!i&'es a procra de ar+i#os de ima)e%s )r-*icasD
Autops83 U!i(i!-rio para a%-(ise *ore%se de sis!emas
Yi%doZs e Li%.D
p8/lag3 U!i(i!-rio para a%-(ise de (o)sD
*egvie9er3 Na#e)ador do re)is!ro do Yi%doZsD
:exeditor3 Edi!or 3i%-rio para (ei!ra de ar+i#os
em A=,II e 8e.adecima(D
;/0E ,i3 U!i(i!-rio )r-*ico para compara&"o de
ar+i#os.
& Utilit%rio MDD
O pro)rama mdd 1 ma *errame%!a prod$ida e
dispo%i3i(i$ada )ra!i!ame%!e pe(a empresa Ma%Tec8
I%!er%a!io%a( ,orpora!io%_. E(e 1 capa$ de cap!rar ima)e%s
da mem9ria RAM em sis!emas operacio%ais Yi%doZs. O
Li#e ,D do Ve(i., ci!ado acima, co%!1m !am31m ma c9pia
des!e pro)rama.
=i%!a.e de (i%8a de coma%do para !i(i$a&"o do mdd:

mdd 0o ar+i#o0de0saida

& Comando #trings
O coma%do s!ri%)s 1 capa$ de #arrer m ar+i#o 3i%-rio,
e.!rai%do de se co%!e4do se+G2%cias de carac!eres +e
podem ser impressos com (e!ras do a(*a3e!o e s/m3o(os
!i(i$ados %a comp!a&"o. =a sa/da !ra$ as strings 5- em
*orma!o A=,II o UNI,ODE.
=i%!a.e do coma%do s!ri%)s:
s!ri%)s ar+i#o03i%-rio
R. E=TUDO DE ,A=O
O !ra3a(8o de *ore%se comp!acio%a( 1 rea(i$ado, em sa
maioria, em mem9ria sec%d-ria :VD, ,D, DRD, Pe% dri#e,
e!c...;, e %"o 1 a!ri3/do mi!o #a(or a mem9ria pri%cipa(,
de#ido a sa #o(a!i(idade. =e%do assim, mi!o se perde em
+a(idade em ma i%#es!i)a&"o *ore%se comp!acio%a(.
Por!a%!o, seria de )ra%de #a(or se o co%!e4do da mem9ria
RAM pdesse ser recperado mesmo ap9s o des(i)ame%!o do
e+ipame%!o.
O co%cei!o amp(ame%!e di#()ado 1 o de +e, ap9s a
i%!errp&"o do *or%ecime%!o de e%er)ia, !odo o co%!e4do de
mem9ria RAM 1 perdido. Mas, sa3e0se +e os )its s"o
arma$e%ados por capaci!ores de%!ro das c1((as de mem9ria,
e +e, +a%do i%!errompida a e%er)i$a&"o e.!er%a de m
capaci!or, e(e pode ma%!er a car)a arma$e%ada por m
per/odo, sa3e0se !am31m, +e os capaci!ores possem ma
carac!er/s!ica impor!a%!e, sa capaci!N%cia so*re )ra%de
i%*(2%cia da !empera!ra. ,om isso, 1 poss/#e( +e, mesmo
ap9s o des(i)ame%!o de m e+ipame%!o, par!e do co%!e4do
de sa mem9ria RAM co%!i%e preser#ado por m per/odo de
!empo.
O +e se pre!e%de com es!e !ra3a(8o 1 mos!rar e pro#ar +e
a mem9ria pri%cipa( pode ser mi!o impor!a%!e %a a%-(ise
*ore%se, para isso, ser- demo%s!rado, a!ra#1s de m es!do de
caso, +e a #o(a!i(idade da mem9ria pri%cipa( 1 +es!io%ada.
=er- !es!ada a persis!2%cia de dados %a mem9ria E#o(-!i(F de
M
Paper id: 12
comp!adores, mesmo ap9s a i%!errp&"o do *or%ecime%!o de
e%er)ia. Pre!e%de0se (e#a%!ar dados es!a!/s!icos so3re a
perma%2%cia de dados ap9s i%!errp&'es *or&adas de e%er)ia
e(1!rica. Para isso, ser- !ra3a(8ada a car)a de dados pr10
de!ermi%ados %a mem9ria do e+ipame%!o com m co%5%!o
de pa(a#ras espec/*icas.
A. Realiza34o dos $estes
A id1ia *%dame%!a( *oi i%icia(i$ar o e+ipame%!o com m
sis!ema Li%. e%.!o, o se5a, +e co%sma poco espa&o %a
mem9ria ao ser i%icia(i$ado. Ap9s a *i%a(i$a&"o da car)a
%orma( do =O, *oi #eri*icado o s!a!s de !i(i$a&"o da
mem9ria a!ra#1s do coma%do "top#. Nosso i%!eresse es!a#a
%a -rea (i#re %a mem9ria, a +a( pre!e%de0se marcar. A
marca&"o *oi *ei!a escre#e%do m re*erido co%5%!o de
pa(a#ras repe!idame%!e a!1 pree%c8er !o!a(me%!e a mem9ria
*/sica. Para carre)ar %a mem9ria o re*erido co%5%!o de
pa(a#ras, *oi sado m ar+i#o !e.!o )erado pre#iame%!e.
Esse ar+i#o, )erado com o a.i(io de m #hell #cript,
co%!1m m co%5%!o de pa(a#ras rep(icada di#ersas #e$es,
)era%do m #o(me de dados pr9.imo ao espa&o (i#re %a
mem9ria.
E.emp(o do ar+i#o )erado co%!e%do o co%5%!o de
pa(a#ras de marca&"o:
T!es!e T,, memoria 1?6H162HHQT
T!es!e T,, memoria 1?6H162HHQT
T!es!e T,, memoria 1?6H162HHQT
`

,o%*i)ra&"o do e+ipame%!o !i(i$ado %os !es!es:
Processador: I%!e(:R; Pe%!im:R; Da(,PU E21UH 1.P JV$
Mem9ria: 1 JC DDR2 UUW MV$
=is!emas operacio%ais !i(i$ados %os !es!es:
Li%.: =(acaZare aer%e( 2.U.2K.M0smp
Yi%doZs: Microso*! Yi%doZs bP =P2
A car)a dos dados *oi *ei!a a3ri%do o ar+i#o )erado com
m edi!or de !e.!o, +e em %osso caso *oi !i(i$ado o "vi#. ]
poss/#e( acompa%8ar a dimi%i&"o )rada( do espa&o (i#re %a
mem9ria a!ra#1s do coma%do "top#. Para re*er2%cia e
compara&'es, cap!ra0se ma c9pia )it5a5)it de !oda a
mem9ria (o)o ap9s a car)a.
,om o pro)rama "dd# :*oi !i(i$ado o pro)rama "mdd#
para o !es!e rea(i$ado em am3ie%!e Yi%doZs; copio0se o
co%!e4do do disposi!i#o de 3(oco "<dev<mem# para m
ar+i#o em disco. Em se)ida, o e+ipame%!o *oi *isicame%!e
des(i)ado, i%!errompe%do0se o *or%ecime%!o de e%er)ia, e,
assim, perma%ece%do por per/odos de !empo de m, ci%co,
de$ e !ri%!a mi%!os. Depois o e+ipame%!o *oi (i)ado e ap9s
a *i%a(i$a&"o do )oot, ma %o#a c9pia )it0a0)it do co%!e4do
da mem9ria *oi )erada.
,opia0se o co%!e4do da mem9ria com o dd:
No Li%.: dd i*[6de#6mem o*[6ar+i#o0dmp 3s[1H2K
No Yi%doZs: mdd.e.e co ar+i#o0dmp
A)ora +e se !em os dumps :ar+i#o co%!e%do os mesmos
dados de ma mem9ria, #o(-!i( o %"o; das mem9rias
ori)i%ais, rea(i$ados (o)o ap9s a car)a dos dados %a mem9ria,
e os dumps das mem9rias ap9s rea(i$adas as i%!errp&'es de
e%er)ia, a pr9.ima e!apa 1 a a%a(ise do co%!e4do desses
dumps para !e%!ar (oca(i$ar e#id2%cias do co%5%!o de
pa(a#ras i%!e%cio%a(me%!e carre)ada. Para essa a%-(ise,
!i(i$o0se o coma%do "strings#, +e ide%!i*ica em ar+i#os
3i%-rios se+G2%cias de dados +e se5am imprim/#eis.
A sa/da do coma%do "strings# *oi direcio%ada para
ar+i#os em disco. Esses ar+i#os co%!em !odos os co%5%!os
de pa(a#ras ide%!i*icados de%!ro dos ar+i#os de dump de
mem9ria, a)ora 5- co%#er!idas para carac!eres A=,II,
*aci(i!a%do o !ra3a(8o de ide%!i*ica&"o dos dados.
Para a e.!ra&"o de se+G2%cias de !e.!o a par!ir dos a+i#os
3i%-rio com dumps da mem9ria, sa0se o coma%do s!ri%)s:
ds!ri%)s ar+i#o0dmp e ar+i#o0des!i%o0s!ri%)s
Pode0se, e%!"o, a%a(isar esses %o#os ar+i#os co%!e%do
ape%as se+G2%cias de !e.!o, +e *oram ide%!i*icadas de%!ro
dos dumps. Esses %o#os ar+i#os s"o !ra%s*ormadas em m
*orma!o +e podemos compree%der, o *orma!o A=,II, assim,
pode0se 3scar o +e se dese5a com associa&"o de coma%dos
como "cat#, "grep# e "9c#.
Para se co%!ar as (i%8as o%de 8- a ocorr2%cia de ma
de!ermi%ada pa(a#ra o co%5%!o de pa(a#ras de%!ro de m
ar+i#o, !i(i$o0se:

dca! ar+i#o0des!i%o0s!ri%)s f )rep Epa(a#ra6co%5%!o de
pa(a#ra dese5adaF f Zc 0(
*. Resultados dos $estes
Nes!e !ra3a(8o, *oram rea(i$ados ci%co co%5%!os de !es!es,
primeirame%!e *oram co(8idos os dados ap9s rei%icia(i$a&"o
do sis!ema, em se)ida *oi ma%!ida a i%!errp&"o da e%er)ia
em i%!er#a(os +e #ariaram e%!re 1 mi%!o, M mi%!os, 1H
mi%!os e ?H mi%!os.
No primeiro !es!e, %omeado EReset6 para *aci(i!ar %a
ide%!i*ica&"o dos res(!ados, ap9s a car)a de mem9ria, o
e+ipame%!o *oi rei%icia(i$ado *isicame%!e, e %o )oot se)i%!e
)erado o dump. Esse primeiro !es!e ser#i como re*er2%cia
para se #eri*icar o compor!ame%!o dos dados %a mem9ria %o
)oot s3se+Ge%!e. Nesses !es!es *oram !i(i$ados o =O Li%.
e Yi%doZs, o%de *oi co%s!a!ado +e, %o Yi%doZs a mem9ria
*oi, pro#a#e(me%!e, (impa %o )oot pos!erior a rei%icia(i$a&"o,
%"o se%do poss/#e( ide%!i*icar #es!/)ios do co%5%!o de
pa(a#ras de !es!e %o dump da mem9ria ap9s a rei%icia(i$a&"o.
B- %o Li%., 1 poss/#e( ide%!i*icar #es!/)ios do co%5%!o de
pa(a#ras, !a%!o comp(e!a como em par!es.
U
Paper id: 12
Nos !es!es se)i%!es, ap9s a car)a da mem9ria com o
co%5%!o de pa(a#ras, o e+ipame%!o !e#e o *or%ecime%!o de
e%er)ia i%!errompido. A i%!errp&"o *oi ma%!ida por
i%!er#a(os de !empo pr10de!ermi%ados, de m, ci%co, de$ e
!ri%!a mi%!os. O procedime%!o de car)a dos dados %a
mem9ria *oi e.a!ame%!e i)a( ao rea(i$ado %o !es!e de
rei%icia(i$a&"o. Depois de cada i%!er#a(o, o e+ipame%!o era
rei%icia(i$ado e em se)ida era *ei!a 7 co(e!a da !empera!ra
da CIO= e )erado m dump da mem9ria para a%-(ise. Os
dados es!a!/s!icos dos !es!es se)em %os )r-*icos a se)ir.
Os res(!ados dos !es!es *oram 3as!a%!e promissores. ,omo
o o35e!i#o i%icia( era pro#ar a perma%2%cia dos dados ap9s o
des(i)ame%!o do e+ipame%!o, o se5a, a %"o #o(a!i(idade da
mem9ria pri%cipa( :RAM;, com os dados aprese%!ados, pode0
se a*irmar +e 8o#e 2.i!o. 0om isso, ica evidente que a
memria principal -*A+. pode ser utilizada em uma
anlise orense computacional.
A(1m do 2.i!o em co%*irmar, por meio de dados, a propos!a
dos !ra3a(8os rea(i$ados, *oi co%s!a!ado o!ros *a!os, como
pode0se #er %os )r-*icos +e rea(me%!e a !empera!ra
i%*(e%cio os dados %a mem9ria, pois apesar de a m-+i%a
*icar des(i)ada mais !empo *oi poss/#e( o3!er mais
i%*orma&'es %a mem9ria pri%cipa(. Es!e *a!o 1 5s!i*icado pe(o
ame%!o %a !empera!ra das m-+i%as, compro#a%do as
a*irma&'es aprese%!adas em >Q@.
O3ser#a0se, !am31m, %os )r-*icos +e 8- ma #aria&"o
mi!o pe+e%a e%!re os perce%!ais de recpera&"o, e isso *ica
mais c(aro %o )r-*ico a se)ir, co%!e%do a e#o(&"o do #a(or
do /%dice de recpera&"o comp(e!a, se%do +e ap9s !ri%!a
mi%!os %"o *oram e%co%!radas mais ocorr2%cias do co%5%!o
de pa(a#ras por i%!eiro, ape%as pocos *ra)me%!os.
=rico >3 Perce%!a( de recpera&"o de ma s!ri%) comp(e!a.

,ompara%do os res(!ados dos !es!es de i%!errp&"o de
*or%ecime%!o de e%er)ia e%!re si, e co%sidera%do0os de
ma%eira )era( i%c(i%do o !es!e de rei%icia(i$a&"o, se pode
ded$ir +e a maior perda de dados *oi ocasio%ada pe(o
processo de car)a do =O %a mem9ria pri%cipa( dra%!e os
!es!es. Por!a%!o, para a cap!ra de dados da mem9ria RAM
ap9s o des(i)ame%!o do e+ipame%!o, 1 dese5-#e( a
i%icia(i$a&"o a!ra#1s de m =O Li%., se%do es!e o mais
e%.!o poss/#e( para mi%imi$ar o risco de so3rescri!a dos
dados.
O!ro aspec!o +e !em0se +e ser a#a(iado em !ra3a(8os
*!ros, 1 a i%*(2%cia da !empera!ra %a persis!2%cia dos
dados %a mem9ria ap9s o des(i)ame%!o, pois, em
!empera!ras maiores, os capaci!ores +e comp'em as c1((as
de mem9ria !em sa capaci!N%cia ame%!ada, e isso *oi
compro#ado em par!es, 5- +e %o i%/cio de %ossos !es!es a
!empera!ra medida pe(a CIO= era de KUO , e %o *i%a( dos
!es!es essa !empera!ra era de MHO ,, o se5a, %a medida +e a
m-+i%a *ica#a mais !empo (i)ada, e com isso a+ece%do0se,
mais dados pderam ser recperados. ,om e.ce&"o do !es!e
de !ri%!a mi%!os, o%de os dados recperados da mem9ria
*oram pra!icame%!e %(os.
RI. ,ON,LU=O
A *ore%se comp!acio%a( 1 ma -rea +e ai%da !em mi!o a
dese%#o(#er, precisa%do sempre i%o#ar, aper*ei&oa%do as
!ec%o(o)ias e m1!odos para se o3!er mais e me(8ores
e#id2%cias. Por ser ma -rea criada rece%!eme%!e, ai%da
e.is!em pocos pro*issio%ais capaci!ados de *orma corre!a,
+e co%8ecem e se)em os procedime%!os 5- apro#ados pe(a
com%idade cie%!/*ica da -rea, a(1m de e.is!ir ma (imi!ada
)ama de so!t-ares e hard-ares dispo%/#eis para a rea(i$a&"o
de per/cias %os e+ipame%!os.
,om a %ecessidade e i%icia!i#a de se a!a(i$ar as (eis
3rasi(eiras para m me(8or e%!e%dime%!o 5r/dico so3re os
W
Paper id: 12
crimes di)i!ais, i%disc!i#e(me%!e 8a#er- ma cresce%!e
dema%da por peri!os em *ore%se comp!acio%a(, %ecess-rios
para pro#ar +e os a!os crimi%osos pre#is!os em (ei *oram
come!idos, com e#id2%cias a!2%!icas e co%*i-#eis, da%do m
me(8or spor!e para o !ri3%a( %"o come!er erros.
] %ecess-ria ma maior a!e%&"o por par!e dos pro*issio%ais
da -rea de *ore%se comp!acio%a( em re(a&"o 7 mem9ria
pri%cipa( dos e+ipame%!os periciados, +e )era(me%!e o s"o
despre$adas o simp(esme%!e i)%oradas, por ac8ar +e !er"o
!oda a e#id2%cia %ecess-ria %os disposi!i#os de mem9ria
sec%d-ria o e%!"o por+e os e+ipame%!os pro#a#e(me%!e
*oram des(i)ados o rei%iciados por !erceiros. Mas, de acordo
com es!e es!do, *oi perce3ido +e, mesmo ap9s a ocorr2%cia
des!as i%!era&'es, dados ai%da podem residir %a mem9ria
RAM do comp!ador, se%do ma preciosa *o%!e de
e#id2%cias, pois, o co%!e4do de(as %"o possi pro!e&'es de
se)ra%&a e demo%s!ram o compor!ame%!o do sis!ema %o
mome%!o em +e e(e acesso a mem9ria para )ra#ar dados. ]
impor!a%!e (em3rar +e a mem9ria RAM es!-, !am31m,
prese%!e em o!ros disposi!i#os, !ais como, pa(m!ops,
comp!adores de 3ordo de carros, de%!re o!ros e+ipame%!os
+e *a$em par!e do %osso co!idia%o.
V-, a)ora, ma %ecessidade de se es!dar me(8or como
!or%ar o perce%!a( de persis!2%cia de dados %a mem9ria
maior, propo%do !1c%icas +e (e#em em co%sidera&"o a
!empera!ra, a !ec%o(o)ia e me(8ores so!t-ares e%#o(#idos,
para se !er mais ma 3oa op&"o %a 3sca de e#id2%cias
di)i!ais, ame%!a%do a #eracidade das co%c(s'es o3!idas %as
per/cias rea(i$adas. De#e0se !am31m, #eri*icar o
compor!ame%!o da mem9ria de sZap do sis!ema operacio%a(,
a(1m de como a mem9ria RAM se compor!a em o!ros
disposi!i#os +e %"o se5am comp!adores.
RE<ERgN,IA= CICLIOJRh<I,A=
>1@ ALE,RIM, Emerso%. +emria ,,* -,ou&le ,ata *ating.. Dispo%/#e(
em: i8!!p:66ZZZ.i%*oZes!er.com6memddr.p8pe. Acesso em: 1U 5a%. 2HHQD
>2@ ALE,RIM, Emerso%. +emria ,,*?. Dispo%/#e( em:
i8!!p:66ZZZ.i%*oZes!er.com6memddr2.p8pe. Acesso em: 1U 5a%. 2HHQD
>?@ ALE,RIM, Emerso%. +emrias *@+ e *A+. Dispo%/#e( em:
i8!!p:66ZZZ.i%*oZes!er.com6memoria.p8p e. Acesso em: 21 %o#. 2HHPD
>K@ ,OLETTA, A(e. de <ra%cisc8i. =erenciamento de +emria.
Dispo%/#e( em: i8!!p:66ZZZ.a(e.co(e!!a.e%).3r62HHP6)ere%ciame%!o0de0
memoria6e. Acesso em: HW o!. 2HHPD
>M@ Jia do VardZare.%e!. 0apacitor Eletroltico. Dispo%/#e( em:
i8!!p:66ZZZ.)iado8ardZare.%e!6!ermos6capaci!or0e(e!ro(i!icoe. Acesso
em: 2K 5a%. 2HHQD
>U@ Jia do VardZare.%e!. +emria *A+. Dispo%/#e( em:
i8!!p:66ZZZ.)iado8ardZare.%e!6!ermos6memoria0rame. Acesso em: HW
o!. 2HHPD
>W@ LEMO=, Ro%a(do, COTTINO, T8ia)o, =OUjA, ,ar(os A**o%so Pereira
de, CRAN,O, =1r)io, PARANAJUh, Pedro, MIjU\AMI, Pedro
Nico(e!!i, MAJRANI, Cr%o, MON,AU, Li$ <er%a%do. 0omentrios e
(ugest2es so&re o !ro%eto de 7ei de 0rimes EletrAnicos -!7 n.
BC<DD.. 2HHP. 21p. Esco(a de Direi!o do Rio de Ba%eiro da <%da&"o
Je!4(io Rar)as, Rio de Ba%eiroD
>P@ LINVARE=, Da%ie(. Aplica'o de 4cnicas de /orense
0omputacional e *espostas a )ncidentes na )nternet. 2HHK. 1UU p.
Cras/(iaD
>Q@ MEVL, EZa(do L. M. 0apacitores Eletrolticos de Alumnio3 Alguns
cuidados e considera'2es prticas. Dispo%/#e( em:
i8!!p:66ZZZ.e(e!rica.*pr.3r6me8(6doZ%(oads6capaci!ores.pd*e. Acesso em:
2K 5a%. 2HHQD
>1H@ MONTORANI, J(e%io. /erramentas para anlise orense aplicada E
inormtica. 2HHP. 1HPp. Mo%o)ra*ia :P9s Jrada&"o em =e)ra%&a da
I%*orma&"o;. U%i#ersidade =a()ado de O(i#eira, JoiN%iaD
>11@ MORIMOTO, ,ar(os E. +emria *A+. Dispo%/#e( em:
i8!!p:66ZZZ.)iado8ardZare.%e!6!!oriais6memoria0ram6e. Acesso em: HW
o!. 2HHPD
>12@ MU==OI, <er%a%do Li$ Rosa, RILLAA, Marco Ra(1rio. 0apacitores.
2HHH. ?Qp. ?k Edi&"o, ,E<ET6=,, <(oria%9po(isD
>1?@ REI=, Marce(o A3da((a dos, JEU=, Pa(o L4cio de. Anlise /orense de
)ntrus2es em (istemas 0omputacionais3 4cnicas, !rocedimentos e
/erramentas. I%s!i!!o de ,omp!a&"o 0 U%i#ersidade Es!ada( de
,ampi%as, ,ampi%asD
>1K@ TANENCAUM, A%dreZ =., YOODVULL, A(3er! =. (istemas
@peracionais F !ro%eto e )mplementa'o. Trad&"o: Edso%
<rma%aieZic$. 2k Edi&"o . Por!o A(e)re: Cooama%, 2HHH. ?K1pD
>1M@ Tec8<AI. @ que (,* (,*A+G Dispo%/#e( em: i8!!p:66p!.!ec80
*a+.com6sdr0sdram.s8!m(e. Acesso em: 1U 5a%. 2HHQD
>1U@ TORRE=, Ja3rie(. Entenda Es +emrias ,,*?. Dispo%/#e( em:
i8!!p:66ZZZ.c(3edo8ardZare.com.3r6ar!i)os61HKUe. Acesso em: 1W 5a%.
2HHQD
>1W@ Tl=ON, Be**. 0omo unciona a memria do computador. Dispo%/#e(
em: i8!!p:66i%*orma!ica.8sZ.o(.com.3r6memoria0do0comp!ador.8!me.
Acesso em: 1U 5a%. 2HHQD
>1P@ LI=ITA, Cr%o L., MOURA, T8ia)o =. M. e PINTO, Tia)o B. /orense
0omputacional em +emria !rincipal. Tra3a(8o de co%c(s"o de crso
de P9s0)rada&"o em =e)ra%&a da I%*orma&"o %a <ATE=J6=ENAI6JO.
P