A análise forense de pen drive USB é um dos procedimentos mais frequentes em laboratórios de investigação digital — e um dos mais subestimados por profissionais iniciantes. Um pen drive de R$ 30 pode carregar as evidências que resolvem um caso de milhões. Documentos exfiltrados de empresas, fotos comprometedoras, registros financeiros ocultos, malware usado em ataques: tudo cabe em um dispositivo menor que um isqueiro. Para investigadores forenses, saber extrair cada bit de informação de uma mídia removível, incluindo dados deletados e ocultos, é uma habilidade fundamental que este guia detalha do início ao fim.
O cenário prático justifica a importância. Segundo pesquisa da Ponemon Institute de 2023, pen drives e dispositivos USB são responsáveis por 22% dos incidentes de exfiltração de dados corporativos. Em investigações criminais, pen drives frequentemente aparecem como evidência em casos de pornografia infantil, fraude financeira, espionagem corporativa e tráfico de drogas (para registros contábeis paralelos). A perícia adequada desses dispositivos pode ser a diferença entre condenação e absolvição.
Por Que a Forense em Pen Drive Exige Cuidados Especiais
Dispositivos USB parecem simples, mas escondem complexidades que investigadores inexperientes frequentemente ignoram. Um pen drive não é apenas um bloco de memória flash — é um microcomputador com firmware próprio, controlador, tabelas de alocação e áreas reservadas que podem esconder dados de formas surpreendentes. Tratar um pen drive como "só mais um disco" é um erro que pode custar evidências valiosas.
O primeiro cuidado essencial é nunca conectar o pen drive diretamente ao computador de análise sem proteção contra escrita. Sistemas operacionais modernos modificam automaticamente dados no dispositivo no momento da conexão: o Windows atualiza timestamps de acesso, cria arquivos de thumbnail cache e pode indexar o conteúdo. Essas modificações, mesmo que mínimas, alteram a evidência e podem ser usadas pela defesa para questionar a integridade dos dados. A solução é usar um write blocker (bloqueador de escrita) — um dispositivo de hardware que permite leitura mas impede qualquer escrita no pen drive. Modelos como o Tableau T35u e o WiebeTech UltraDock são padrão em laboratórios forenses.
Para investigadores que não têm acesso a um write blocker de hardware, alternativas de software existem mas são menos confiáveis. No Linux, o dispositivo pode ser montado com a flag ro (read-only), mas isso depende do sistema operacional respeitar a flag antes de qualquer operação automática. A abordagem mais segura em software é usar distribuições forenses como o Kali Linux em modo forense, que desabilita a montagem automática de dispositivos. Mesmo assim, o write blocker de hardware é sempre preferível para casos judiciais onde a cadeia de custódia será escrutinada.
Outro cuidado que muitos negligenciam é a documentação fotográfica do dispositivo antes da análise. O pen drive deve ser fotografado de todos os ângulos, com registro do fabricante, modelo, número serial (quando visível), capacidade declarada e qualquer identificação física como etiquetas ou marcas. Em casos criminais, essa documentação vincula fisicamente o dispositivo ao caso e previne alegações de substituição ou adulteração.
Criando a Imagem Forense: O Primeiro Passo Obrigatório
A regra número um da forense digital é categórica: nunca analise a evidência original. Toda análise deve ser conduzida sobre uma cópia bit a bit — chamada de imagem forense — que reproduz exatamente cada setor do dispositivo, incluindo espaço livre, áreas não alocadas e setores marcados como defeituosos. A imagem forense é a fundação sobre a qual toda a investigação se constrói.
O processo de criação da imagem forense em pen drives utiliza ferramentas que copiam o dispositivo setor por setor, sem qualquer interpretação do sistema de arquivos. A ferramenta mais básica é o dd, nativo do Linux, mas para uso forense o dc3dd e o dcfldd são preferíveis por adicionarem funcionalidades críticas: cálculo de hash simultâneo à cópia, logging automático, e verificação de integridade ao final do processo. O comando típico com dc3dd é: dc3dd if=/dev/sdb of=pendrive_evidencia.dd hash=sha256 log=pendrive_log.txt.
Para pen drives de capacidade maior, a ferramenta ewfacquire (do pacote libewf) cria imagens no formato E01/EWF, que é o padrão da indústria forense. O formato EWF oferece vantagens sobre o raw (dd): compressão dos dados (uma imagem de 32 GB pode ocupar 10 GB ou menos), segmentação em múltiplos arquivos para facilitar armazenamento e transferência, e metadados embutidos incluindo hash, notas do examinador e informações do caso. O Autopsy, FTK e EnCase — as principais ferramentas forenses comerciais — suportam nativamente o formato E01.
Após a criação da imagem, a verificação de integridade é obrigatória. O hash SHA-256 calculado durante a aquisição deve ser comparado com um hash calculado sobre a imagem final. Se forem idênticos, a imagem é uma cópia fiel do original. Esse hash deve ser documentado no relatório forense e mantido junto à cadeia de custódia. Qualquer análise posterior que produza resultados, o hash da imagem deve ser verificado antes do início — garantindo que nenhuma alteração ocorreu desde a aquisição.
Recuperação de Arquivos Deletados em Pen Drives
A recuperação de arquivos deletados é frequentemente o objetivo principal da análise forense de pen drives, e os resultados podem ser surpreendentemente ricos. A memória flash utilizada em pen drives tem características que, em muitos casos, favorecem a recuperação — mas também apresenta desafios únicos que diferem da análise de discos rígidos tradicionais.
Quando um arquivo é deletado em um pen drive formatado como FAT32 (o sistema de arquivos mais comum em mídias removíveis), o sistema operacional simplesmente marca o primeiro caractere do nome do arquivo na tabela de alocação com um byte especial (0xE5) e libera os clusters alocados. Os dados do arquivo permanecem intactos nos mesmos clusters até serem sobrescritos por novos dados. Para arquivos pequenos que ocupam um único cluster, a recuperação é trivial — ferramentas como Foremost, PhotoRec e Recuva encontram e restauram o arquivo em segundos.
Para arquivos maiores que ocupam múltiplos clusters, a situação fica mais complexa. O FAT32 não preserva a cadeia de clusters após a deleção, então a ferramenta precisa reconstruir a sequência correta de dados — um processo chamado de file carving. O Foremost e o Scalpel são particularmente eficazes nisso: eles escaneiam o pen drive procurando cabeçalhos conhecidos (como o JFIF do JPEG ou o PK do ZIP) e extraem os dados contíguos até encontrar o próximo cabeçalho ou footer. O PhotoRec vai além, analisando a estrutura interna dos formatos para melhorar a reconstrução.
O desafio específico da memória flash é o wear leveling — um mecanismo do controlador que distribui gravações uniformemente por todas as células para prolongar a vida útil do dispositivo. Isso significa que quando um arquivo é "sobrescrito", o controlador pode gravar os novos dados em células físicas diferentes, preservando os dados antigos em células que agora estão mapeadas como livres internamente. Ferramentas de nível de chip (chip-off forensics) podem acessar essas células, mas requerem equipamento especializado e são geralmente reservadas para casos de alta prioridade.
Análise de Metadados e Timestamps
Os metadados e timestamps de um pen drive contam uma história detalhada de como, quando e por quem o dispositivo foi usado. Para investigadores, esses dados são frequentemente mais valiosos que o conteúdo dos próprios arquivos, porque estabelecem timeline, autoria e padrões de comportamento.
Cada arquivo em um pen drive FAT32 possui três timestamps: data de criação, data de última modificação e data de último acesso. Em NTFS, os timestamps são ainda mais detalhados, incluindo horários com precisão de 100 nanossegundos. A análise cuidadosa desses timestamps pode revelar inconsistências que indicam manipulação. Por exemplo, se um arquivo mostra data de criação posterior à data de modificação, isso pode indicar que foi copiado de outra fonte (a data de criação reflete quando foi copiado para o pen drive, enquanto a modificação reflete a última edição no dispositivo original).
Ferramentas como o Sleuth Kit (fls -m) e o Autopsy automatizam a criação de timelines que organizam todos os eventos do sistema de arquivos em ordem cronológica. Uma timeline de pen drive pode revelar que documentos confidenciais foram copiados no domingo à noite (fora do horário comercial), que arquivos foram deletados sistematicamente em determinada data (tentativa de destruir evidências), ou que o pen drive foi usado em múltiplos computadores diferentes (visível pelos registros de perícia forense em dispositivos que acessaram o dispositivo).
Além dos timestamps do sistema de arquivos, documentos Office e PDFs contêm metadados internos que podem revelar o autor original, o computador onde foram criados, histórico de revisões e até impressoras utilizadas. Ferramentas como ExifTool e FOCA extraem essas informações automaticamente. Em um caso real, um documento Word encontrado em pen drive revelou nos metadados internos o nome do computador do suspeito — vinculando definitivamente o arquivo àquela pessoa específica.
Firmware e Ameaças em Nível de Controlador
A análise forense convencional foca no sistema de arquivos e nos dados armazenados, mas pen drives podem esconder ameaças em um nível muito mais profundo: o firmware do controlador. Ataques como o BadUSB, demonstrado na conferência Black Hat em 2014, mostraram que o firmware de pen drives pode ser reprogramado para transformar o dispositivo em um vetor de ataque que se disfarça de teclado, adaptador de rede ou outro periférico.
O BadUSB é particularmente perigoso porque opera abaixo do nível do sistema de arquivos. Um pen drive com firmware malicioso pode parecer completamente normal quando analisado com ferramentas forenses tradicionais — os arquivos são legítimos, nenhum malware é detectado. Mas no momento em que é conectado a um computador, o firmware reprogramado emula um teclado USB e digita comandos que instalam backdoors, roubam credenciais ou exfiltram dados. Para investigadores que analisam dispositivos suspeitos de conter malware, essa possibilidade deve ser considerada.
A detecção de firmware malicioso requer ferramentas especializadas. O projeto USBGuard para Linux permite criar políticas que restringem quais tipos de dispositivos USB são aceitos — por exemplo, permitir apenas dispositivos de armazenamento em massa e bloquear emulação de teclado. O FaceDancer, um hardware de pesquisa USB, permite interceptar e analisar a comunicação USB em nível de protocolo. Para análise forense segura, conectar o pen drive suspeito através de um write blocker de hardware também oferece proteção contra BadUSB, pois a maioria dos write blockers só permite comunicação de armazenamento em massa.
Na prática forense, a recomendação é tratar todo pen drive de origem desconhecida como potencialmente malicioso. Usar write blockers, analisar em ambiente isolado (máquina virtual ou computador air-gapped), e monitorar a comunicação USB com ferramentas como USBPcap podem prevenir que o dispositivo de evidência comprometa o laboratório do investigador.
Boas Práticas para Perícia de Pen Drive
A diferença entre uma perícia que produz resultados admissíveis e uma que é descartada em juízo está nos procedimentos seguidos. Cada etapa do processo deve ser documentada, reproduzível e defensável perante questionamento técnico e jurídico.
O fluxo de trabalho recomendado começa com o recebimento formal do dispositivo, documentação fotográfica, aplicação de etiqueta de evidência com número do caso, e armazenamento em envelope antiestático selado até o momento da análise. No momento da análise, o envelope é aberto na presença de testemunha (quando possível), o dispositivo é conectado via write blocker, e a imagem forense é criada com duplo hash (SHA-256 e MD5 para compatibilidade com ferramentas legadas).
Toda a análise é conduzida sobre a imagem, e cada descoberta relevante é documentada com captura de tela mostrando o caminho do arquivo, timestamps, hash individual do arquivo e contexto dentro da investigação. O relatório final deve explicar a metodologia em linguagem acessível a leigos (juízes, advogados, jurados), apresentar as descobertas com evidência visual, e incluir os hashes de verificação que permitem a qualquer perito reproduzir a análise.
Para investigações envolvendo dispositivos IoT conectados via USB ou dados extraídos de dispositivos inteligentes armazenados em pen drives, o mesmo rigor de procedimento se aplica. A natureza do dispositivo de armazenamento não muda os princípios fundamentais: preservar, documentar, analisar, reportar.
FAQ
Qual a primeira coisa a fazer ao receber um pen drive para perícia?
A primeira ação é documentar o dispositivo antes de qualquer análise. Fotografe o pen drive de todos os ângulos, registre fabricante, modelo, número serial e capacidade. Em seguida, aplique etiqueta de evidência com número do caso e guarde em envelope antiestático. Nunca conecte o pen drive diretamente ao computador — sempre use um write blocker de hardware para impedir que o sistema operacional modifique qualquer dado. Só após conectar via write blocker, crie uma imagem forense bit a bit com hash SHA-256 verificado. Toda análise subsequente deve ser feita sobre essa imagem, nunca sobre o dispositivo original.
É possível recuperar arquivos de um pen drive formatado?
Sim, na maioria dos casos. A formatação rápida (que é o padrão) apenas reescreve a tabela de alocação sem apagar os dados propriamente ditos. Ferramentas de file carving como Foremost, PhotoRec e Scalpel conseguem recuperar arquivos escaneando diretamente os setores de dados em busca de cabeçalhos de arquivo conhecidos. A taxa de recuperação depende de quanto o pen drive foi usado após a formatação — se novos dados foram gravados, eles podem ter sobrescrito os dados anteriores. A formatação completa com zeros sobrescreve todos os setores e torna a recuperação praticamente impossível com ferramentas de software.
Qual a diferença entre imagem forense DD e E01?
A imagem DD (raw) é uma cópia bit a bit exata do dispositivo, sem compressão ou metadados adicionais. Sua vantagem é a simplicidade e compatibilidade universal. A imagem E01 (formato EWF/EnCase) adiciona compressão (reduzindo significativamente o tamanho do arquivo), segmentação em múltiplos volumes, metadados embutidos como hash, notas do examinador e informações do caso, além de verificação de integridade integrada. Para uso forense profissional, o E01 é geralmente preferível por sua eficiência de armazenamento e documentação automática. Ambos são aceitos em tribunais quando acompanhados de verificação de hash.
Pen drives podem conter malware no firmware?
Sim, ataques como BadUSB demonstraram que o firmware do controlador de pen drives pode ser reprogramado para emular outros dispositivos USB, como teclados ou adaptadores de rede. Um pen drive com firmware malicioso pode parecer normal em análise de sistema de arquivos mas executar comandos maliciosos automaticamente quando conectado. Para proteção, sempre analise pen drives suspeitos com write blockers, em ambientes isolados e com monitoramento de comunicação USB. O projeto USBGuard no Linux permite criar políticas que bloqueiam tipos de dispositivos inesperados.
Como apresentar evidências de pen drive em tribunal?
A apresentação deve incluir um relatório pericial com metodologia detalhada, incluindo equipamentos utilizados, ferramentas de software com versões, hashes de verificação da imagem forense e cadeia de custódia documentada. Cada evidência relevante deve ser apresentada com contexto: localização no sistema de arquivos, timestamps, hash individual e explicação de sua relevância para o caso. Inclua screenshots do Autopsy ou ferramenta equivalente mostrando os dados em contexto. Mantenha o dispositivo original preservado e lacrado como evidência física, disponível para contra-perícia caso solicitada pela parte contrária.
Atualizado em julho de 2025. As técnicas e ferramentas descritas refletem as melhores práticas atuais em forense digital.
Sua investigação precisa ir além da análise de dispositivos e incluir rastreamento em tempo real? O HI SPY oferece geolocalização precisa sem instalação no alvo — complementando a análise forense com inteligência de localização que investigadores profissionais exigem.