| Tipo de Análise | Perícia Forense em Dispositivo de Armazenamento (HD) |
| Solicitante | Dr. Ricardo Almeida — Advogado Criminalista |
| Processo | Autos nº 0012345-67.2025.8.26.0001 — 3ª Vara Criminal |
| Auxiliar de Perícia | João Victor Emmanuell de Lima Vasconcelos |
| Data de Recebimento | 05 de novembro de 2025 às 14h30 |
| Data de Conclusão | 12 de novembro de 2025 às 09h15 |
| Tipo de Mídia | Hard Disk Drive (HDD) SATA 3.5" |
| Fabricante / Modelo | Seagate Barracuda ST1000DM010 |
| Capacidade | 1 TB (931,51 GiB utilizáveis) |
| Número de Série | ZA12B3CD |
| Sistema de Arquivos | NTFS — Windows 10 Pro (Build 19045) |
| Estado Físico | Íntegro. Sem danos físicos aparentes. |
O dispositivo foi recebido em embalagem antiestática lacrada com fita inviolável. Após a abertura documentada em vídeo, realizou-se a aquisição forense em modo somente-leitura via hardware write-blocker (Tableau T35es), gerando imagem bit-a-bit no formato E01.
A verificação dos hashes foi realizada antes e após a análise, confirmando a inalterabilidade da evidência durante todo o processo pericial.
| Nº | Artefato / Local | Descrição | Relevância |
|---|---|---|---|
| 001 | C:\Users\Usuário\Documents\ Excluído |
38 arquivos .XLSX com nomenclatura "Proposta_Cliente_*" recuperados de área não-alocada. Timestamps indicam criação entre 01/09/2025 e 03/10/2025. | CRÍTICO |
| 002 | Event Log — Security ID 4663 / 4688 |
Logs de acesso a pastas compartilhadas de rede nos dias 01 e 02/10/2025 às 23h14–23h47, fora do horário de expediente. | CRÍTICO |
| 003 | Shellbags / LNK Files | Evidência de acesso a unidade removível de marca SanDisk (ID: 4C530001230112116202) em 02/10/2025. Dispositivo não encontrado entre as mídias apreendidas. | CRÍTICO |
| 004 | Histórico de Navegação (Google Chrome) |
Acessos ao serviço de nuvem Mega.nz em 28 ocasiões no período de 15/09 a 03/10/2025. Último upload às 23h52 do dia 03/10/2025. | RELEVANTE |
| 005 | Prefetch — robocopy.exe | Execução do comando robocopy (ferramenta de cópia em lote) registrada 7 vezes entre 20/09 e 03/10/2025. Parâmetros sugerem cópia de diretório completo. | RELEVANTE |
| 006 | Metadados EXIF Arquivos recuperados |
Fotos de documentos internos com metadados preservados indicando captura via câmera do modelo Xiaomi Redmi Note 13 Pro — não localizado nos autos. | INFORMATIVO |
| 01/09/2025 | Primeiros arquivos de proposta criados e acessados. |
| 15/09/2025 | Início dos acessos ao Mega.nz via navegador. |
| 20/09/2025 | Primeira execução registrada do robocopy.exe. |
| 01-02/10/2025 | Acesso noturno (23h+) à rede corporativa compartilhada. |
| 02/10/2025 | Conexão de dispositivo USB externo (SanDisk) não identificado nos autos. |
| 03/10/2025 | Exclusão de 38 arquivos XLSX. Último upload ao Mega.nz às 23h52. |
| 04/10/2025 | Desligamento do computador — sem acessos subsequentes. |
Com base nos achados periciais, a análise forense identificou evidências técnicas consistentes com a exfiltração não-autorizada de dados corporativos no período de 01/09/2025 a 03/10/2025.
Foram constatados: (i) cópia em lote de arquivos sigilosos via robocopy; (ii) conexão de dispositivo USB não declarado; (iii) acessos noturnos a pastas de rede fora do expediente; e (iv) uploads recorrentes a serviço de armazenamento em nuvem externo.
A exclusão dos arquivos originais após a cópia e o padrão temporal das atividades são tecnicamente compatíveis com conduta intencional de ocultação de evidências.
Os dados e análises acima respondem integralmente aos quesitos formulados pela parte solicitante.