Desligar o dispositivo afeta na preservação da prova?

A importância do momento de ligamento e desligamento do equipamento na preservação da cadeia de custódia

O mandado de busca e apreensão é muitas vezes o ponto inicial para uma boa prova material, porém, justamente por este motivo, se faz necessária uma atenção ainda maior às normas e procedimentos, a fim de evitar que a prova seja invalidada.

A Instrução Normativa n° 014 do Departamento da Polícia Federal de 30 de junho de 2005 em seu artigo 7° define que: “Caberá aos peritos criminais federais a custódia dos vestígios encontrados em local de crime, que deverão fazer, de forma adequada, o registro, a preservação, a coleta e a entrega à autoridade solicitante, assegurando a invulnerabilidade da cadeia de custódia da prova.”

Já o Procedimento Operacional Padrão da Perícia Criminal publicado pelo Ministério da Justiça Secretaria Nacional de Segurança Pública recomenda em seu item 4.3 na pág. 112, que: “Caso o computador esteja DESLIGADO: Não ligar o equipamento e caso o computador esteja LIGADO: Deverá haver o desligamento súbito do equipamento (retirada da tomada).”

Em seguida, no referido documento, na página 113, item 5, o qual é definido como PONTOS CRÍTICOS, alerta para que eventuais alterações promovidas no local do crime deverão ser comunicadas aos peritos criminais, conforme também preconiza o Código de Processo Penal em seu artigo 169. Vale ressaltar que nada disso é por acaso, pois o ligamento ou o desligamento do computador de forma inadequada, por parte do agente em seu cumprimento do mandado de busca e apreensão, de fato muda o estado da coisa, que neste caso é o Dispositivo de Armazenamento. Este se localiza onde está o Sistema Operacional e faz registrar um usuário do computador que tem relação direta com o proprietário do mesmo, gerando novas informações no computador num momento posterior, no qual o proprietário não está mais com a guarda de seu equipamento, situação esta que resulta em uma série de dúvidas de qualquer outra informação encontrada na análise pericial posteriormente.

Como quase tudo que acontece no computador, o horário em que o computador foi ligado ou desligado, tal como a forma do desligamento fica registrado em logs no Sistema Operacional, sendo que estes logs no Microsoft Windows costumam ser chamados de “Eventos”. Estes podem ser observados no Sistema Operacional através da execução do comando EVENTVWR na barra de execução de comandos (Atalho:Ctrl+R). Contudo, como queremos observar a última vez em que o computador foi ligado e desligado, a fim de analisar a integridade da cadeia de custódia, é importante ressaltar que ler os eventos com o computador ligado não faz menor sentido, razão esta pela qual para a análise ser realizada apenas post mortem, procedimento no qual o computador não está em operação, e assim, encontrarmos arquivos no dispositivo de armazenamento que contem esta história.

Como sabemos há muitas versões do sistema operacional da Microsoft, se você estiver buscando os Eventos do Sistema em Versões anteriores ao Windows Vista vá na Pasta  Windows que costuma estar na unidade “C:”, no subdiretório System32 e procure lá o  subdiretório Config, no caso, “\windows\system32\config”. Lá você irá encontrar os arquivos de extensão “.EVT”: SysEvent.evt, o qual é responsável pelos logs do Sistema Operacional. Por fim, o AppEvent.evt irá apresentar o comportamento dos aplicativos instalados no sistema e SecEvent.evt irá mostrar os eventos de segurança do sistema.

Caso esteja periciando um Windows de versão igual ou posterior ao Windows Vista, os arquivos de eventos ganharam uma nova estrutura em uma nova linguagem, os arquivos que agora possuem extensão .EVTX são encontrados no subdiretório Logs dentro Winevt também em System32, no caso, “\windows\system32\winevt\logs\“.

De posse dos arquivos agora precisamos lê-los, para tanto há alguns aplicativos que fazem isso, mas indico dois comandos encontrados no Linux na distribuição Caine Linux, esta é uma das mais usadas distribuições para Computação Forense, o comando “evtexport” para os arquivos .EVT ou “evtxexport” para os arquivos .EVTX.

O que buscamos são os Eventos do Sistema, neste vamos observar que cada evento é organizado por um número de Identificação (ID), por exemplo o ID 6005, indica que o sistema de logs foi iniciado, que é o indicativo que a Microsoft em seu site oficial usa para determinar o momento em que o computador (Sistema Operacional) foi iniciado, portanto, ligado. Por outro lado o ID 6006 vai acusar que o computador foi Desligado corretamente, usando o procedimento tradicional aprendido nas escolas de informática, Já o ID 6008 identifica que o computador fora desligado abruptamente, sem o procedimento seguro do comando de desligamento pelo sistema operacional, que no caso do cumprimento de um mandado de busca de apreensão, de acordo com o Procedimento Operacional Padrão supracitado, é o correto.

No caso demonstrado abaixo o Sistema Operacional analisado é um Windows XP e, no caso, vamos buscar o arquivo  SysEvent.evt em \windows\system32\config\ e lê-lo pelo comando evtexport e redirecionando a saída da tela em um arquivo texto usando o “>> Sys.txt”, o que ajudará na análise posterior.

Agora criamos um arquivo de nome Sys.txt com as informações dos Eventos como mostra a figura abaixo:

Como é apresentado neste caso, o número 1776 em Hexadecimal é o mesmo que 6006 em Decimal, basta converter.

Na Internet, existem inúmeras calculadoras online que ajudam, mas também pode ser feito em www.marcosmonteiro.com.br no Menu Ferramentas e opção “CONVERSOR HEXADECIMAL E BINÁRIO”. Por fim, o último evento é o desligamento CORRETO, o que é INCORRETO para o cumprimento de um mandado de Busca e Apreensão, se deu em 19 de janeiro de 2017 às 18:59h UTC (Coordenada Universal), aqui no Brasil normalmente será GMT -03:00h, ou seja, o computador foi Desligado às 15:59h, mas imagine se este computador tivesse sido apreendido às 06:00h, podemos confiar em computador que fora manipulado até que tenha sido desligado após a apreensão? E quem ligou? Quando se deu? Basta analisar o mesmo log o Evento 6005 e terá a resposta.

Prof. Marcos Monteiro (marcosmonteiro@digitalrights.cc)

Presidente da Associação de Peritos em Computação Forense (APECOF)

Deixe um comentário