Back to Top

Arquivos Corrompidos e Excluídos em HD

Arquivos Corrompidos e Excluídos em HD

 

Imagem do HDA perda de acesso a dados é um dos desafios mais críticos na gestão de sistemas de informação. Tecnicamente, a impossibilidade de acessar um arquivo pode derivar de duas condições principais: a corrupção da estrutura de dados ou a exclusão lógica/física dos registros na base do disco rígido (HD).

Abaixo, apresento uma análise técnica sobre o comportamento dos arquivos nessas condições e os mecanismos subjacentes ao armazenamento em HDs.

 

 

 

 

1. A Natureza dos Arquivos Corrompidos

Um arquivo é considerado corrompido quando sua integridade binária é comprometida, tornando o cabeçalho (header) ou o corpo de dados ilegível para as aplicações.

Causas Técnicas da Corrupção:

  • Sectores Defeituosos (Bad Sectors): Falhas físicas na superfície magnética do disco impedem a leitura dos bits.

  • Interrupção de E/S (I/O): Quedas de energia ou desconexões súbitas durante o processo de escrita resultam em arquivos "truncados" (incompletos).

  • Degradação de Bit (Bit Rot): Mudança espontânea do estado de um bit devido a interferências eletromagnéticas ou desgaste do meio.

 

 

2. Exclusão e Supressão na Base do HD

Diferente da corrupção, a exclusão trata da remoção da referência do arquivo no sistema de arquivos (como NTFS, FAT32 ou ext4). É importante distinguir entre a exclusão lógica e a supressão definitiva.

O Papel do Sistema de Arquivos

No HD, os arquivos não são armazenados de forma linear contínua, mas sim em clusters (setores agrupados). O sistema de arquivos mantém uma tabela de endereçamento — como a MFT (Master File Table) no Windows — que funciona como um sumário.

  • Exclusão Lógica: Quando você deleta um arquivo, o sistema operacional não apaga os dados binários do disco. Ele apenas marca o espaço ocupado por aquele arquivo como "disponível" na tabela de endereçamento. Os dados permanecem lá até que novos dados sejam gravados por cima (sobrescrita).

  • Supressão da Base (Metadados): Se a entrada na MFT for corrompida ou suprimida, o sistema operacional perde o "mapa" de onde os fragmentos do arquivo estão. O arquivo tecnicamente existe nos setores, mas é invisível e inacessível por vias normais.

 

 

 

3. Recuperação de Dados: Possibilidades e Limites

A recuperação de arquivos deletados ou suprimidos depende diretamente do estado da base magnética:

  1. File Carving: Técnica utilizada em perícia digital que ignora o sistema de arquivos e varre o disco em busca de assinaturas binárias específicas (ex: o início de um JPEG sempre começa com os bytes FF D8 FF).

  2. O Fator Sobrescrita: Uma vez que novos dados ocupam os clusters marcados como livres, a recuperação torna-se matematicamente impossível, pois a carga magnética original é alterada para representar a nova informação.

Nota Técnica: Em HDs convencionais, a recuperação é mais provável que em SSDs, devido ao comando TRIM dos SSDs, que limpa os blocos de dados imediatamente após a exclusão para manter a performance de escrita.

 

Informações Adicionais

Arquivos inacessíveis por corrupção ou exclusão representam estados distintos de falha. Enquanto a corrupção afeta a substância do dado, a exclusão afeta a sua indexação. Em ambos os casos, a integridade da "base" (o setor físico) e a ausência de sobrescrita são os únicos fatores que determinam a possibilidade de restauração.

 

Recuperação de Arquivos

A recuperação de dados em HDs (Hard Disk Drives) é possível porque, na grande maioria das vezes, o sistema operacional não "apaga" o arquivo de verdade no momento do comando de exclusão. Ele apenas joga o arquivo no esquecimento administrativo.

 

Aqui está o processo técnico de como isso funciona, dividido entre falhas lógicas e físicas:

 

1. O "Mito" do Arquivo Deletado (Nível Lógico)

Quando você deleta um arquivo e esvazia a lixeira, o Windows (NTFS) ou o Linux (EXT4) faz o seguinte:

  • Marca o espaço como "Livre": O sistema vai até a "tabela de índices" (como o MFT no NTFS) e marca aquele setor como disponível para novos dados.

  • Mantém os bits intactos: O conteúdo real do arquivo continua nos pratos magnéticos do HD. Ele só deixará de existir quando um novo arquivo for gravado por cima daquele espaço exato.

Como a recuperação é feita:

Softwares de recuperação ignoram o sistema de arquivos corrompido ou as marcações de "deletado" e fazem um File Carving (Escultura de Arquivos). Eles escaneiam o disco bit a bit em busca de "assinaturas" (headers) conhecidas, como o início de um arquivo JPEG ou PDF, e reconstroem o arquivo a partir dali.

 

2. Recuperação em Caso de Falha Física

Se o HD parou de girar, está estalando (o famoso "click of death") ou sofreu um curto-circuito, o software não resolve. O processo muda para o nível de hardware:

  • Troca de Placa Lógica (PCB): Se o problema for elétrico, técnicos substituem a placa de circuito. Em HDs modernos, é necessário transferir o chip de firmware da placa antiga para a nova para que o disco seja reconhecido.

  • Transplante de Cabeças de Leitura: Se o braço mecânico quebrou, o HD é aberto em uma Câmara Limpa (Class 100) — um ambiente sem poeira — e as cabeças de leitura são substituídas por peças de um HD doador idêntico.

  • Transplante de Pratos: Em casos extremos, os discos magnéticos são retirados e colocados em uma nova carcaça para leitura.

 

 

3. O Protocolo Forense

Para profissionais que trabalham com perícia digital, o processo segue regras rígidas para garantir que a evidência não seja alterada:

  1. Bloqueador de Escrita: O HD é conectado a um hardware que impede qualquer tentativa do computador de escrever dados no disco.

  2. Imagem Bit-a-Bit: Cria-se um clone exato (imagem forense) de todos os setores, inclusive dos espaços vazios ("unallocated space").

  3. Análise da Cópia: A recuperação nunca é feita no disco original, mas sim nessa imagem espelhada.

 

 

Por que a recuperação pode falhar?

Existem dois inimigos principais da recuperação:

  • Sobrescrita: Se você continuou usando o PC após deletar algo, o sistema pode ter gravado logs ou atualizações em cima do seu arquivo antigo.

  • Fragmentação: Se o arquivo estava espalhado por pedaços distantes do disco, o software pode não conseguir "colar" as partes corretamente.

Dica de ouro: Se você perdeu algo importante em um HD mecânico, desligue o aparelho imediatamente. Cada segundo ligado é um risco de o sistema operacional gravar algo por cima do que você quer recuperar.

 

 

 

Diferenças de Arquivos em Perícia Digital

 

Na computação forense, a distinção entre esses estados de arquivos é fundamental para determinar a viabilidade de recuperação de dados e a integridade das evidências. Cada estado refere-se a uma condição específica nos níveis de metadados (sistema de arquivos) ou de dados brutos (clusters no disco).

 

1. Arquivos Deletados (Deleted Files)

Um arquivo deletado é aquele que foi removido logicamente do sistema de arquivos, mas cujos dados brutos ainda permanecem nos setores físicos do disco.

  • Mecanismo Técnico: Na maioria dos sistemas de arquivos (como NTFS ou FAT32), o sistema não "apaga" os dados binários imediatamente. Em vez disso, ele altera um ponteiro ou uma flag no MFT (Master File Table) ou na FAT (File Allocation Table), marcando aquele espaço como Unallocated Space (Espaço Não Alocado).

  • Recuperação: Enquanto o sistema operacional não gravar novos dados sobre esses clusters, o arquivo permanece intacto e pode ser recuperado via metadados ou através de técnicas de File Carving.

  • Ressalva (SSD/TRIM): Em unidades SSD, o comando TRIM costuma limpar fisicamente os dados logo após a deleção lógica, tornando a recuperação forense muito mais complexa ou impossível.

 

 

2. Arquivos Corrompidos (Corrupted Files)

Um arquivo é considerado corrompido quando sua estrutura interna está danificada, impedindo que o software correspondente o interprete corretamente.

  • Mecanismo Técnico: A corrupção ocorre quando há uma discrepância entre o conteúdo esperado e o conteúdo real. Isso pode afetar o File Header (cabeçalho, que contém o "Magic Number"), o corpo dos dados ou o Footer.

  • Causas Forenses: Pode ser resultado de falhas de hardware (bad sectors), interrupções de energia durante a escrita ou ataques de malware. Peritos analisam a assinatura de arquivo (hexadecimal) para verificar se o cabeçalho condiz com a extensão. Se o cabeçalho estiver íntegro mas os dados internos não, o arquivo é "parcialmente corrompido".

 

 

3. Fragmentos (Fragments)

Fragmentos ocorrem quando um único arquivo não é armazenado em clusters contíguos (vizinhos) no disco.

  • Mecanismo Técnico: Quando o sistema de arquivos não encontra um bloco de espaço livre grande o suficiente para o arquivo inteiro, ele divide o arquivo em várias partes e as distribui por diferentes endereços físicos de clusters.

  • Desafio Forense: Durante o processo de File Carving (recuperação baseada apenas em assinaturas binárias, sem metadados), a fragmentação é o maior obstáculo. Se o arquivo estiver fragmentado e os metadados forem perdidos, o perito precisa realizar o reassembly (remontagem) manual ou via algoritmos de probabilidade baseados em entropia.

 

 

4. Arquivos Sobrepostos (Overwritten Files)

A sobreposição ocorre quando novos dados são gravados fisicamente nos clusters que anteriormente pertenciam a outro arquivo.

  • Mecanismo Técnico: Diferente da deleção, aqui o Unallocated Space foi reutilizado pelo sistema operacional. Onde antes existiam os bits do "Arquivo A", agora existem os bits do "Arquivo B".

  • Impacto Forense: Em mídias modernas, uma única sobreposição é geralmente suficiente para tornar os dados originais permanentemente irrecuperáveis por meios de software. Em alguns casos, ocorre a sobreposição parcial, onde apenas o final do arquivo original é perdido (armazenado no Slack Space do novo arquivo).

 

 

Categoria Metadados (MFT/FAT) Dados Brutos (Sectores) Recuperabilidade
Deletado Marcado como livre Intacto Alta (se não houver TRIM)
Corrompido Geralmente presente Estrutura interna inválida Baixa/Média (exige reparo)
Fragmento Aponta para vários locais Espalhado pelo disco Média (depende da contiguidade)
Sobreposto Pode estar ausente ou novo Substituído por novos dados Nula ou Muito Baixa

 

Nota Pericial: É comum encontrar um arquivo que se encaixe em mais de uma categoria. Por exemplo, um arquivo pode ser deletado e, meses depois, ser parcialmente sobreposto, o que o torna um arquivo corrompido e fragmentado aos olhos das ferramentas de perícia.

 

 

 

 

Laudo para Cadeia de Custódia

Laudo para Cadeia de Custódia

Laudo para Cadeia de Custódia"Transforme a análise da cadeia de custódia em uma vantagem estratégica para seus casos. Somos especialistas na elaboração de laudos técnicos que identificam vulnerabilidades e na formulação de quesitos que podem invalidar provas ou fortalecer sua argumentação."

 

No universo da perícia forense digital, a validade de uma prova extraída de celulares, smartphones e tablets está intrinsecamente ligada a um documento crucial: o Laudo de Cadeia de Custódia. Este relatório minucioso é a espinha dorsal que garante a idoneidade e a rastreabilidade de um vestígio digital, desde o momento de sua apreensão até sua análise final em laboratório. A ausência ou falha em sua elaboração pode comprometer irremediavelmente todo o processo investigativo e levar à anulação da prova em um eventual processo judicial.

 

A cadeia de custódia, formalizada no Brasil pela Lei nº 13.964/2019, que alterou o Código de Processo Penal (CPP), é definida como o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio.

Em se tratando de dispositivos móveis, cuja natureza da evidência é volátil e facilmente modificável/adulterável, a rigorosidade nesse controle é ainda mais imperativa.

O Superior Tribunal de Justiça (STJ) tem reiteradamente firmado jurisprudência sobre a nulidade de provas digitais cuja cadeia de custódia foi violada.

O Laudo de Cadeia de Custódia não é apenas um formulário, mas a materialização documental de que a prova apresentada em juízo é a mesma coletada na cena do crime ou durante a apreensão, sem qualquer tipo de alteração,

 

Solicite Orçamento

 

Nossa atuação na prática:

Exemplo 1 (Impugnação de Prova): Identificamos que o lacre de uma evidência foi rompido antes da análise pericial oficial. Nosso parecer técnico fundamentou o pedido de descarte da prova por quebra na cadeia de custódia.

Exemplo 2 (Validação de Procedimentos): Para uma empresa de logística, criamos um laudo atestando a conformidade de seus procedimentos de coleta de imagens de câmeras de segurança em casos de roubo de carga, fortalecendo suas ações de ressarcimento.

Exemplo 3 (Elaboração de Quesitos): Antes da realização de uma perícia grafotécnica em um contrato, formulamos quesitos para o perito, focados em garantir que a análise considerasse o correto armazenamento do documento e a ausência de manipulação ao longo do tempo.

 

"Oferecemos assessoria técnica especializada em cadeia de custódia, com a elaboração de pareceres (laudos) e a formulação de quesitos para processos judiciais e auditorias. Nosso foco é assegurar o rigor técnico no manuseio de vestígios."

Exemplos de nossa atuação:

  • Análise de Vestígios: Laudo técnico apontando inconsistências no horário de coleta e na identificação do responsável por uma prova em um processo criminal.

  • Perícias de TI: Formulação de quesitos para esclarecer a metodologia de clonagem (cópia forense) de um disco rígido (HD) apresentado como prova.

  • Auditoria de Conformidade: Parecer sobre a adequação dos procedimentos internos de uma empresa para a preservação de provas em casos de assédio moral, garantindo sua validade legal futura.

 

Solicite Orçamento

As Etapas Cruciais da Cadeia de Custódia em Dispositivos Móveis

 

A elaboração de um laudo de cadeia de custódia eficaz perpassa por uma série de etapas sequenciais e rigorosamente documentadas. Conforme a legislação brasileira e as boas práticas internacionais, como a norma ABNT NBR ISO/IEC 27037, o processo pode ser dividido em dez fases fundamentais:

  1. Reconhecimento: O ato de identificar o dispositivo móvel (celular, smartphone, tablet) como um item de potencial interesse para a investigação.

  2. Isolamento: A primeira ação crítica é isolar o aparelho de redes de comunicação (Wi-Fi, Bluetooth, dados móveis) para evitar a alteração ou destruição remota de dados. O uso de "Gaiolas de Faraday" ou o modo avião são procedimentos padrão.

  3. Fixação: Consiste na descrição detalhada do estado em que o dispositivo foi encontrado, incluindo marca, modelo, número de série (IMEI), condições físicas (tela quebrada, arranhões), se estava ligado ou desligado, e o registro fotográfico do aparelho e do local.

  4. Coleta: O manuseio do dispositivo para a sua apreensão. Deve ser realizado por pessoal treinado, utilizando equipamentos de proteção para evitar a contaminação com impressões digitais ou DNA.

  5. Acondicionamento: O aparelho e seus acessórios (cabos, carregadores, cartões de memória) devem ser embalados individualmente em sacos antiestáticos, devidamente identificados e lacrados. O número do lacre é uma informação vital que deve constar no laudo.

  6. Transporte: O deslocamento seguro do material apreendido do local da coleta até a central de custódia ou laboratório pericial. As condições de transporte devem ser documentadas para assegurar que não houve exposição a campos magnéticos, temperaturas extremas ou impactos.

  7. Recebimento: O ato formal de transferência da posse do vestígio, que deve ser documentado com a data, hora, identificação de quem entrega e de quem recebe, e a verificação da integridade do lacre. Qualquer inconformidade deve ser registrada.

  8. Processamento: Esta é a fase da análise pericial propriamente dita. Antes de qualquer extração de dados, é fundamental a criação de uma imagem forense (cópia bit a bit) do conteúdo do dispositivo. Sobre essa cópia, será calculado um código hash (SHA-256 ou MD5), que funciona como uma "impressão digital" dos dados. Qualquer alteração, por menor que seja, no conteúdo original, gerará um hash completamente diferente. Esse procedimento garante a integridade da prova. A análise é sempre realizada na cópia, preservando o dispositivo original.

  9. Armazenamento: A guarda segura do dispositivo original e da imagem forense em local apropriado, com acesso restrito e controlado.

  10. Descarte: O procedimento final, realizado após a conclusão do processo judicial, que deve ser igualmente documentado.

 

Solicite Orçamento

 

Laudo para Cadeia de Custódia, Laudo Pericial, Vestígio, Rastreabilidade de Provas, Idoneidade da Prova, Preservação de Evidências, Documentação da Prova, Formulário de Cadeia de Custódia, Registro de Continuidade da Prova.

 

 

 

 

 

  1. A Perícia Digital e a Integridade da Prova
  2. Como é a rotina de um Perito Forense Digital?
  3. Perícia de Computador
  4. Perícia de vídeo e imagem, conceito, como é feito entenda mais
  5. Quais são os objetivos da Perícia Forense Digital?
  6. Como funciona a Perícia Forense Digital?
  7. O que é Perícia Forense Digital?

Página 1 de 5

Atendimento Whatsapp