{"id":11,"date":"2017-03-04T19:07:59","date_gmt":"2017-03-04T22:07:59","guid":{"rendered":"http:\/\/digitalrights.cc\/pfc\/?p=11"},"modified":"2026-04-06T10:44:44","modified_gmt":"2026-04-06T13:44:44","slug":"desligar-o-dispositivo-afeta-na-preservacao-da-prova","status":"publish","type":"post","link":"https:\/\/digitalrights.cc\/pfc\/2017\/03\/04\/desligar-o-dispositivo-afeta-na-preservacao-da-prova\/","title":{"rendered":"Desligar o dispositivo afeta na preserva\u00e7\u00e3o da prova?"},"content":{"rendered":"

A import\u00e2ncia do momento de ligamento e desligamento do equipamento na preserva\u00e7\u00e3o da cadeia de cust\u00f3dia<\/strong><\/p>\n

O mandado de busca e apreens\u00e3o \u00e9 muitas vezes o ponto inicial para uma boa prova material, por\u00e9m, justamente por este motivo, se faz necess\u00e1ria uma aten\u00e7\u00e3o ainda maior \u00e0s normas e procedimentos, a fim de evitar que a prova seja invalidada.<\/p>\n

A Instruc\u0327a\u0303o Normativa n\u00b0 014 do Departamento da Pol\u00edcia Federal de 30 de junho de 2005 em seu artigo 7\u00b0 define que: \u201cCabera\u0301 aos peritos criminais federais a custo\u0301dia dos vesti\u0301gios encontrados em local de crime, que devera\u0303o fazer, de forma adequada, o registro, a preservac\u0327a\u0303o, a coleta e a entrega a\u0300 autoridade solicitante, assegurando a invulnerabilidade da cadeia de custo\u0301dia da prova.\u201d<\/em><\/p>\n

J\u00e1 o Procedimento Operacional Padra\u0303o da Peri\u0301cia Criminal publicado pelo Ministe\u0301rio da Justic\u0327a Secretaria Nacional de Seguranc\u0327a Pu\u0301blica recomenda em seu item 4.3 na pa\u0301g. 112, que: \u201cCaso o computador esteja DESLIGADO: Na\u0303o ligar o equipamento e caso o computador esteja LIGADO: Devera\u0301 haver o desligamento su\u0301bito do equipamento (retirada da tomada).\u201d<\/p>\n

Em seguida, no referido documento, na pa\u0301gina 113, item 5, o qual \u00e9 definido como PONTOS CRI\u0301TICOS, alerta para que eventuais alterac\u0327o\u0303es promovidas no local do crime dever\u00e3o ser comunicadas aos peritos criminais, conforme tambe\u0301m preconiza o C\u00f3digo de Processo Penal em seu artigo 169. Vale ressaltar que nada disso \u00e9 por acaso, pois o ligamento ou o desligamento do computador de forma inadequada, por parte do agente em seu cumprimento do mandado de busca e apreens\u00e3o, de fato muda o estado da coisa, que neste caso \u00e9 o Dispositivo de Armazenamento. Este se localiza onde est\u00e1 o Sistema Operacional e faz registrar um usu\u00e1rio do computador que tem rela\u00e7\u00e3o direta com o propriet\u00e1rio do mesmo, gerando novas informa\u00e7\u00f5es no computador num momento posterior, no qual o propriet\u00e1rio n\u00e3o est\u00e1 mais com a guarda de seu equipamento, situa\u00e7\u00e3o esta que resulta em uma s\u00e9rie de d\u00favidas de qualquer outra informa\u00e7\u00e3o encontrada na an\u00e1lise pericial posteriormente.<\/p>\n

Como quase tudo que acontece no computador, o hor\u00e1rio em que o computador foi ligado ou desligado, tal como a forma do desligamento fica registrado em logs<\/em> no Sistema Operacional, sendo que estes logs<\/em> no Microsoft Windows costumam ser chamados de \u201cEventos\u201d. Estes podem ser observados no Sistema Operacional atrav\u00e9s da execu\u00e7\u00e3o do comando EVENTVWR na barra de execu\u00e7\u00e3o de comandos (Atalho:Ctrl+R). Contudo, como queremos observar a \u00faltima vez em que o computador foi ligado e desligado, a fim de analisar a integridade da cadeia de custo\u0301dia, \u00e9 importante ressaltar que ler os eventos com o computador ligado n\u00e3o faz menor sentido, raz\u00e3o esta pela qual para a an\u00e1lise ser realizada apenas post mortem<\/em>, procedimento no qual o computador n\u00e3o est\u00e1 em opera\u00e7\u00e3o, e assim, encontrarmos arquivos no dispositivo de armazenamento que contem esta hist\u00f3ria.<\/p>\n

Como sabemos h\u00e1 muitas vers\u00f5es do sistema operacional da Microsoft, se voc\u00ea estiver buscando os Eventos do Sistema em Vers\u00f5es anteriores ao Windows Vista v\u00e1 na Pasta\u00a0 Windows que costuma estar na unidade \u201cC:\u201d, no subdiret\u00f3rio System32 e procure l\u00e1 o\u00a0 subdiret\u00f3rio Config, no caso, \u201c\\windows\\system32\\config\u201d. L\u00e1 voc\u00ea ir\u00e1 encontrar os arquivos de extens\u00e3o \u201c.EVT\u201d: SysEvent.evt, o qual \u00e9 respons\u00e1vel pelos logs do Sistema Operacional. Por fim, o AppEvent.evt ir\u00e1 apresentar o comportamento dos aplicativos instalados no sistema e SecEvent.evt ir\u00e1 mostrar os eventos de seguran\u00e7a do sistema.<\/p>\n

Caso esteja periciando um Windows de vers\u00e3o igual ou posterior ao Windows Vista, os arquivos de eventos ganharam uma nova estrutura em uma nova linguagem, os arquivos que agora possuem extens\u00e3o .EVTX s\u00e3o encontrados no subdiret\u00f3rio Logs dentro Winevt tamb\u00e9m em System32, no caso, \u201c\\windows\\system32\\winevt\\logs\\\u201c.<\/p>\n

De posse dos arquivos agora precisamos l\u00ea-los, para tanto h\u00e1 alguns aplicativos que fazem isso, mas indico dois comandos encontrados no Linux na distribui\u00e7\u00e3o Caine Linux, esta \u00e9 uma das mais usadas distribui\u00e7\u00f5es para Computa\u00e7\u00e3o Forense, o comando \u201cevtexport\u201d para os arquivos .EVT ou \u201cevtxexport\u201d para os arquivos .EVTX.<\/p>\n

O que buscamos s\u00e3o os Eventos do Sistema, neste vamos observar que cada evento \u00e9 organizado por um n\u00famero de Identifica\u00e7\u00e3o (ID), por exemplo o ID 6005<\/strong>, indica que o sistema de logs<\/em> foi iniciado, que \u00e9 o indicativo que a Microsoft em seu site oficial usa para determinar o momento em que o computador (Sistema Operacional) foi iniciado, portanto, ligado. Por outro lado o ID 6006<\/strong> vai acusar que o computador foi Desligado corretamente, usando o procedimento tradicional aprendido nas escolas de inform\u00e1tica, J\u00e1 o ID 6008<\/strong> identifica que o computador fora desligado abruptamente, sem o procedimento seguro do comando de desligamento pelo sistema operacional, que no caso do cumprimento de um mandado de busca de apreens\u00e3o, de acordo com o Procedimento Operacional Padr\u00e3o supracitado, \u00e9 o correto.<\/p>\n

No caso demonstrado abaixo o Sistema Operacional analisado \u00e9 um Windows XP e, no caso, vamos buscar o arquivo\u00a0 SysEvent.evt em \\windows\\system32\\config\\ e l\u00ea-lo pelo comando evtexport e redirecionando a sa\u00edda da tela em um arquivo texto usando o \u201c>> Sys.txt\u201d, o que ajudar\u00e1 na an\u00e1lise posterior.<\/p>\n

Agora criamos um arquivo de nome Sys.txt com as informa\u00e7\u00f5es dos Eventos como mostra a figura abaixo:<\/p>\n

Como \u00e9 apresentado neste caso, o n\u00famero 1776 em Hexadecimal \u00e9 o mesmo que 6006 em Decimal, basta converter.<\/p>\n

Na Internet, existem in\u00fameras calculadoras online que ajudam, mas tamb\u00e9m pode ser feito em www.marcosmonteiro.com.br<\/a> no Menu Ferramentas e op\u00e7\u00e3o \u201cCONVERSOR HEXADECIMAL E BIN\u00c1RIO\u201d. Por fim, o \u00faltimo evento \u00e9 o desligamento CORRETO, o que \u00e9 INCORRETO para o cumprimento de um mandado de Busca e Apreens\u00e3o, se deu em 19 de janeiro de 2017 \u00e0s 18:59h UTC (Coordenada Universal), aqui no Brasil normalmente ser\u00e1 GMT -03:00h, ou seja, o computador foi Desligado \u00e0s 15:59h, mas imagine se este computador tivesse sido apreendido \u00e0s 06:00h, podemos confiar em computador que fora manipulado at\u00e9 que tenha sido desligado ap\u00f3s a apreens\u00e3o? E quem ligou? Quando se deu? Basta analisar o mesmo log<\/em> o Evento 6005 e ter\u00e1 a resposta.<\/p>\n

 <\/p>\n

Prof. Marcos Monteiro <\/strong>(marcosmonteiro@digitalrights.cc<\/a>)
\n<\/strong><\/p>\n

Presidente da Associa\u00e7\u00e3o de Peritos em Computa\u00e7\u00e3o Forense (APECOF)<\/p>\n","protected":false},"excerpt":{"rendered":"

A import\u00e2ncia do momento de ligamento e desligamento do equipamento na preserva\u00e7\u00e3o da cadeia de cust\u00f3dia O mandado de busca e apreens\u00e3o \u00e9 muitas vezes o ponto inicial para uma boa prova material, por\u00e9m, justamente por este motivo, se faz necess\u00e1ria uma aten\u00e7\u00e3o ainda maior \u00e0s normas e procedimentos, a fim de evitar que a […]<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-11","post","type-post","status-publish","format-standard","hentry","category-sem-categoria"],"_links":{"self":[{"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/posts\/11","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/comments?post=11"}],"version-history":[{"count":1,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/posts\/11\/revisions"}],"predecessor-version":[{"id":12,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/posts\/11\/revisions\/12"}],"wp:attachment":[{"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/media?parent=11"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/categories?post=11"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/digitalrights.cc\/pfc\/wp-json\/wp\/v2\/tags?post=11"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}