A proliferação das redes de comunicações digitais na sociedade levou a um concomitante aumento do seu envolvimento em atividades ilícitas. O exame e análise forense dos sistemas informáticos tornaram-se assim numa importante e fundamental ajuda a todos aqueles que têm de lidar com incidentes informáticos, sejam eles do foro criminal, cível ou simplesmente laboral. A correta execução dos procedimentos quer em termos técnicos quer jurídicos, que regem a identificação, a recolha e a preservação da prova digital, torna-se assim fundamental por se tratar do primeiro passo na cadeia de custódia da prova, fundamental para a sua admissão legal. A presente dissertação agrega num único documento as melhores práticas, recomendações e normas que regem a identificação, recolha e preservação da prova digital, enquadrando estas práticas no ordenamento jurídico português. Todos os procedimentos sugeridos estão enquadrados pela lei portuguesa, apresentando-se alguns exemplos de procedimentos que embora tecnicamente lógicos e corretos seriam no entanto legalmente inadmissíveis e eventualmente até consubstanciar crime. São levadas em conta as determinações da norma ISO 27037:2012 e as recomendações de diversos organismos internacionais tão diversos como o Concelho Europeu, o G8 ou a IOCE. Esta dissertação descreve os procedimentos de planeamento e execução de uma operação de recolha e preservação de suportes digitais. Adicionalmente, apresenta os procedimentos e ferramentas utilizados na preparação e utilização dos suportes de armazenamento da prova digital, incluindo a sua validação através de assinatura digital. Apresenta ainda os procedimentos de recolha de prova em sistemas corporativos, em fontes abertas, de interpretação de cabeçalhos de mensagens de correio eletrónico e por essa via da identificação da sua origem. Finalmente e sob uma forma que pode ser facilmente adaptada a pequenos manuais ou guias de bolso, consolida os procedimentos, direcionando-os para agentes de primeira resposta, independentemente do seu nível técnico.

The proliferation of digital communication networks in society has led to a concomitant increase in their involvement in illicit activities. The examination and analysis of all computer equipments has become an important aid to those that must deal with computer incidents, criminal, civil or labour related. The correct technical and juridical execution of the proceedings, that rules the identification, recovery and collection of digital evidence, is fundamental since it becomes the first step in the evidence chain of custody. This thesis consolidates in a single document the best practices, recommendations and norms that rule the identification, collection and preservation of the digital evidence, according to the Portuguese law. Every proceeding is according to the Portuguese law and some examples are presented whereas technically logical and correct would be legally inadmissible and possibly even a crime if undertaken. The ISO 27037:2012 is taken into consideration as well as the recommendations of several international organizations such as the European Council, the G8 or the IOCE. This thesis describes the correct proceedings of the planning and execution of a collection and preservation of digital evidence operation. In addiction it presents the proceedings of the preparation of the digital evidence supports, including their validation through digital signature. It also presents the proceedings of evidence collection in corporate systems, through open sources, the interpretation of email headers and through that way the identification of their source. Finally and under a format that can easily be converted into a small manual or pocket guide, all the proceedings are consolidated independently of technical knowledge and directed to a first responder.