Spelling suggestions: "subject:"informática forensic"" "subject:"informáticas forensic""
1 |
Proposta de método para aumento de desempenho na duplicação forense de discos rígidos / Proposal of a method for performance improvement in forensic duplication of hard drivesSalomoni, Daniel José 07 1900 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2013-04-05T13:38:12Z
No. of bitstreams: 1
2012_DanielJoseSalomoni.pdf: 1411220 bytes, checksum: 193dca8bce9b1fe2e5ec5000d95dccf0 (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2013-04-05T15:15:01Z (GMT) No. of bitstreams: 1
2012_DanielJoseSalomoni.pdf: 1411220 bytes, checksum: 193dca8bce9b1fe2e5ec5000d95dccf0 (MD5) / Made available in DSpace on 2013-04-05T15:15:01Z (GMT). No. of bitstreams: 1
2012_DanielJoseSalomoni.pdf: 1411220 bytes, checksum: 193dca8bce9b1fe2e5ec5000d95dccf0 (MD5) / O crescimento no tamanho dos discos rígidos demanda um tempo cada vez maior na análise forense dos dados. Uma das etapas da análise forense é a de preservação da evidência digital, sendo que a duplicação forense é a técnica usada para garantir essa preservação. Este trabalho objetiva verificar se o desempenho do processo de duplicação forense pode ser otimizado, com o uso de um método que forneça o cenário de melhor desempenho, baseado no desempenho de ferramentas conhecidas. Os cenários testados incluem a variação do sistema de arquivo destino, do tamanho de setores por bloco e da natureza dos dados de origem. Foram utilizadas as ferramentas LinEn, FTKImager e EWFAcquire, para gravação de imagens no formato E01, e as ferramentas DC3DD e DCFLDD, para o formato RAW. Os resultados mostram que dados de origem muito heterogêneos e o número de setores por bloco não influenciam no desempenho da duplicação forense na criação de imagens em formato RAW. O sistema de arquivos FAT32 apresentou um melhor desempenho para este formato. Para o formato E01, o uso do sistema de arquivos FAT32 e de 512 setores por bloco garantiu um melhor desempenho. Entretanto, quando o formato da imagem for o E01 comprimido, dados heterogêneos influenciam negativamente o desempenho. A partir destes resultados, a aplicação dos passos adicionais propostos apontou para a melhor configuração a ser usada para obter um melhor desempenho na duplicação forense. __________________________________________________________________________________ ABSTRACT / The increase in size of the hard disk drive requires a time increasing the forensic analysis of data. One of the stages of forensics is the preservation of digital evidence, and forensic duplication is a technique used to ensure that preservation. This work aims to check if the performance of forensic duplication process can be optimized, through a proposed method that points to the best performance scenario, based on the performance of known tools. The scenarios tested include the variation of the destination file system, the size of sectors per block of the destination image file and the nature of the source data. Were used the tools Linen, FTKImager and EWFAcquire for images in E01 format, and the tools DC3DD and DCFLDD for images in RAW format. The results show that very heterogeneous source data and the number of sectors per block does not influence the performance of forensic duplication for images with RAW format. Also, for the RAW format, the FAT32 file system showed a better performance. For the E01 format, using the FAT32 file system and 512 sectors per block ensured a better performance. However, when the image format used was the compressed E01, heterogeneous data negatively influenced the overall performance. From these results, the application of the proposed additional steps pointed to settings to use for acquiring a better performance in forensic duplication.
|
2 |
Metodologia e ferramenta de coleta de dados voláteis em sistemas Windows / Methodology and tool for volatile data acquisition on Windows-based systemsAuler, Pedro 16 December 2011 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2011. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-04-24T15:37:21Z
No. of bitstreams: 1
2011_PedroAuler.pdf: 2960779 bytes, checksum: a7bc10709797a2ce63da45d1d26ae4e0 (MD5) / Approved for entry into archive by Leila Fernandes (leilabiblio@yahoo.com.br) on 2012-04-30T14:24:39Z (GMT) No. of bitstreams: 1
2011_PedroAuler.pdf: 2960779 bytes, checksum: a7bc10709797a2ce63da45d1d26ae4e0 (MD5) / Made available in DSpace on 2012-04-30T14:24:39Z (GMT). No. of bitstreams: 1
2011_PedroAuler.pdf: 2960779 bytes, checksum: a7bc10709797a2ce63da45d1d26ae4e0 (MD5) / Este trabalho tem o objetivo de apresentar uma metodologia de coleta de dados voláteis em sistemas operacionais baseados em Windows. Para tal, elaborou-se uma ferramenta (CADAV – Coleta Automatizada de Dados Voláteis) e uma proposta de modelo de atuação do perito criminal durante o procedimento de busca e apreensão de equipamentos de informática. O CADAV é executado a partir de um flash drive inserido no computador a ser apreendido, sendo o resultado da coleta copiado para uma pasta criada durante o
processo. Devido ao crescente uso de métodos criptográficos e de máquinas virtuais, a ferramenta propõe alguns testes para diagnosticar esta situação. Para evitar o risco de perda de informações, sistemas que utilizam criptografia ou virtualização de sistema devem ter seu conteúdo copiado para uma mídia externa, antes do desligamento do computador. Além disso, é apresentada uma metodologia para o procedimento de busca e apreensão, levando em conta a garantia da integridade dos dados coletados através do procedimento chamado Cadeia de Custódia. Basicamente, a Cadeia de Custódia trata dos cuidados que devem ser tomados para garantir a integridade e a idoneidade das evidências coletadas. Todos os passos realizados, desde a chegada ao local de busca e apreensão, passando pela
análise da máquina suspeita, até o encaminhamento de todo o material apreendido, deve ser cuidadosamente documentado. A metodologia proposta é necessária porque, caso não sejam utilizadas técnicas adequadas de coleta e documentação, há grande risco de perda de evidências ou de falta de credibilidade das provas coletadas, em um futuro processo
judicial. ______________________________________________________________________________ ABSTRACT / This paper presents a methodology for volatile data acquisition on Windows-based operating systems. For that, a tool (CADAV - Automated Volatile Data Acquisition) has been developed. Furthermore, this work presents a model on how the forensic expert
should behave during a digital search and seizure. CADAV runs from a flash drive inserted in the suspect’s computer and the result is copied to a folder created during the process. Due to the increasing use of cryptography and virtual machines, the tool offers some tests
to detect these situations. To avoid the risk of information loss, systems that are running encryption or virtualization programs must have their contents copied to an external drive before the computer is shut down. In addition, considering the collected data integrity during the procedure called Chain of Custody, a search and seizure procedure methodology is presented. Basically, Chain of Custody deals with the issues that must be taken to ensure
collected evidence integrity and reliability. All the steps taken since the arrival at the search and seizure location should be carefully documented, including the suspect’s computer analysis and the seized material hand over. If inappropriate acquisition and
documentation techniques are used, there is a great risk of evidence loss and lack of credibility in a future lawsuit. That’s why the proposed methodology is necessary.
|
3 |
Agrupamento de documentos forenses utilizando redes neurais art1 / Computer forensic document clusteringwith art1 neural networksAraújo, Georger Rommel Ferreira de 18 October 2011 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2011. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-09-05T15:13:09Z
No. of bitstreams: 1
2011_GeorgerRommelFerreiraAraujo.PDF: 2835953 bytes, checksum: dd16eaff79eecf269f263e5c9d9db626 (MD5) / Approved for entry into archive by Luanna Maia(luanna@bce.unb.br) on 2012-09-10T13:05:29Z (GMT) No. of bitstreams: 1
2011_GeorgerRommelFerreiraAraujo.PDF: 2835953 bytes, checksum: dd16eaff79eecf269f263e5c9d9db626 (MD5) / Made available in DSpace on 2012-09-10T13:05:29Z (GMT). No. of bitstreams: 1
2011_GeorgerRommelFerreiraAraujo.PDF: 2835953 bytes, checksum: dd16eaff79eecf269f263e5c9d9db626 (MD5) / Coleções textuais de Informática Forense são normalmente muito heterogêneas. Embora técnicas de classificação, por tipo de arquivo ou outros critérios, possam auxiliar na exploração dessas coleções textuais, elas não ajudam a agrupar documentos com conteúdo assemelhado. A Teoria da Ressonân-
cia Adaptativa (Adaptive Resonance Theory – ART) descreve várias Redes
Neurais Artificiais auto-organizáveis que utilizam um processo de aprendizado
não-supervisionado e são especialmente projetadas para resolver o dilema da
estabilidade/plasticidade. Este trabalho aplica o algoritmo ART1 (ART com
vetores de entrada binários) para agrupar tematicamente documentos retor-
nados de uma ferramenta de busca utilizada com coleções textuais forenses.
Documentos que antes seriam apresentados em uma lista desorganizada e frequentemente longa passam a ser agrupados por conteúdo, oferecendo ao perito uma forma organizada de obter uma visão geral do conteúdo dos documentos durante o exame pericial. Os resultados experimentais são indicativos da validade da abordagem proposta, obtendo uma correspondência adequada entre a
solução de agrupamento processada com o protótipo de aplicação desenvolvido
e as classes-padrão definidas por um especialista. ______________________________________________________________________________ ABSTRACT / Computer forensic text corpora are usually very heterogeneous. While classifi-
cation, by file type or other criteria, should be an aid in the exploration of such
corpora, it does not help in the task of grouping together documents themati-
cally. Adaptive Resonance Theory (ART) describes a number of self-organizing
artificial neural networks that employ an unsupervised learning process and are
specially designed to learn new patterns without forgetting what they have al-
ready learned, overcoming the important restriction defined by the stability/
plasticity dilemma. This work applies the ART1 algorithm (ART with binary
input vectors) to thematically cluster documents returned from a query tool
used with forensic text corpora. Documents that would previously be presented
in a disorganized and often long list are thematically clustered, giving the ex-
aminer an organized way of obtaining a general picture of document content
during forensic examinations. Experimental results validated the approach,
achieving adequate agreement between the clustering solution processed with
the developed prototype software package and the gold standard defined by a
domain specialist.
|
4 |
Identificação de tráfego do emule usando redes neurais artificiais / Emule traffic classification using artificial neural networksLange, Rodrigo 18 November 2011 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2011. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2013-02-26T14:51:44Z
No. of bitstreams: 1
2011_RodrigoLange.pdf: 4767682 bytes, checksum: 9e6ac9c0b404cdb35fcffd1cdff63181 (MD5) / Approved for entry into archive by Luanna Maia(luanna@bce.unb.br) on 2013-03-01T14:51:02Z (GMT) No. of bitstreams: 1
2011_RodrigoLange.pdf: 4767682 bytes, checksum: 9e6ac9c0b404cdb35fcffd1cdff63181 (MD5) / Made available in DSpace on 2013-03-01T14:51:02Z (GMT). No. of bitstreams: 1
2011_RodrigoLange.pdf: 4767682 bytes, checksum: 9e6ac9c0b404cdb35fcffd1cdff63181 (MD5) / O presente trabalho propõe o desenvolvimento de um método do identificação do tráfego de rede gerado pelo aplicativo peer-to-peer eMule. Com a identificação do fluxo do rede do eMule, podem ser obtidas informações periciais importantes tais como: provas de materialidade, indícios de autoria, comprovação da intenção do agente na conduta criminosa (dolo), delimitação geográfica dos locais para onde foram transferidos arquivos, entre outras informações. A proposta deste trabalho emprega Redes Neurais Artificiais (RNA), com o uso de Multilayer Perceptron. para classificar o fluxo de dados que utilizou criptografia e heurística em caso contrário. A RNA foi treinada e testada com fluxos de dados contendo pacotes gerados pelo eMule. Parte desse conjunto de treinamento e testes estava criptografado para que a RNA fosse capaz de classificar fluxos de dados independentemente; do conteúdo dos pacotes estarem cifrados ou não. Desta forma, este trabalho contribui para a obtenção de informações de relevância pericial, as quais serão utilizadas durante a persecução penal. Como resultado experimental, foram detectados 100% dos pacotes do conjunto de teste não criptografado do eMule: sendo que 86,03% do tráfego criptografado loi identificado pela RNA. Os resultados experimentais alcançados demonstram a viabilidade da utilização de RNA para a identificação de tráfego do eMule. _______________________________________________________________________________________ ABSTRACT / This research presents the development of a method to identify network traffic data generated by the eMule peer-to-peer application. Upon this identification, forensic important artifacts may be obtained, such as: materiality evidence, authorship inkling, proof of intention in the course of the criminal behavior, geographical boundaries to where files have been transferred, among other information. The proposed system uses Artificial Neural Networks (ANNs) with Multilayer Perceptron in order to classify the data flow that was encrypted and heuristics in other case. The ANN has been trained and tested with network traffic containing packets generated by eMule. Part of the training set was encrypted, with the objective of being able to classify the data, being the content of the packets cyphered or not. The contribution of the presented work is to obtain information of forensic relevance, which will be used throughout litigation. Experimental results demonstrate the viability to use ANNs to identify eMule network traffic data, since 100% of not encrypted and 86,03% of encrypted eMule traffic were detected.
|
5 |
Priorização da análise pericial pela amostragem estatística de dados de discos rígidos suspeitos / Prioritization in forensic analysis based on statistical data sampling of suspect hard drivesTessmann, Cristiano Rodrigues 10 February 2012 (has links)
Dissertação (Mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-05-21T15:19:39Z
No. of bitstreams: 1
2012_CristianoRodriguesTessmann.pdf: 1111662 bytes, checksum: ab718be03dd7fa72430e54ea61de97cf (MD5) / Approved for entry into archive by Marília Freitas(marilia@bce.unb.br) on 2012-05-23T11:35:31Z (GMT) No. of bitstreams: 1
2012_CristianoRodriguesTessmann.pdf: 1111662 bytes, checksum: ab718be03dd7fa72430e54ea61de97cf (MD5) / Made available in DSpace on 2012-05-23T11:35:31Z (GMT). No. of bitstreams: 1
2012_CristianoRodriguesTessmann.pdf: 1111662 bytes, checksum: ab718be03dd7fa72430e54ea61de97cf (MD5) / Os notórios avanços da informática e sua democratização foram responsáveis por facilitar no ambiente doméstico certos tipos de crime, como os relacionados à pirataria e pedofilia. O que elevou drasticamente a quantidade e a diversificação de equipamentos submetidos à análise
Pericial por suspeita de envolvimento em crimes. Frente à demanda crescente de análises, este trabalho propõe a análise de pequenas amostras de dados de forma a determinar os objetos questionados com maior potencialidade de conter os vestígios procurados em um caso envolvendo crimes relacionados à informática,
priorizando estes objetos para a análise pericial, possibilitando que os primeiros resultados conclusivos sejam obtidos em um tempo reduzido.
Como forma de aumentar a precisão dos resultados, propõe-se o uso de técnicas de Raciocínio Baseado em Casos para determinar as palavras-chave a serem usadas nas buscas realizadas
nos dados amostrados. Os resultados deste trabalho apontam que, apesar do acesso a um volume de dados reduzido, o
tempo necessário para a análise não é proporcionalmente menor, devido ao tempo de busca necessário a estes dados nos dispositivos analisados (HDD).
Outro importante resultado é o fato de a análise por amostragem só ter utilidade prática em busca de conteúdos muito representativos no objeto questionado.
O trabalho conclui que o método proposto é viável, e que é possível o uso dos resultados obtidos para a priorização proposta. ______________________________________________________________________________ ABSTRACT / The notable advances in information technology and its democratization were responsible for facilitating at the home environment certain types of crime, such as those related to piracy and pedophilia. This demonstration increased the amount and diversity of equipment subjected to
forensic analysis by suspicion of involvement in certain crimes, what poses a challenge to the forensic community.
Given this growing demand for analysis, this work proposes the analysis of small samples of data to be analyzed to determine which questioned objects have the greatest potential to contain relevant evidence, prioritizing the forensic analysis of these objects in a case
involving computer-related crimes, allow the first conclusive results to be obtained in a short time. In order to increase the accuracy of the results, we propose the use of Case-Based Reasoning to determine the keywords to be used in searches to be performed on the data sampled.
The results present in this dissertation show that, despite access to a small volume of data, the time required for analysis is not proportionally lower due to the time necessary to search the data analyzed in the devices (HDD). Another important fact about the results is that the analysis by sampling only have practical
use for content very representative object in question. The work concludes that the proposed method is feasible and that it is possible to use results obtained for the proposed prioritization.
|
6 |
Reconhecimento de nomes de pessoas e organizações em textos forenses usando uma variação do Modelo Oculto de Markov / Recognizing names of people and organizations in forensic texts using a hidden Markov model variationDalben Júnior, Osvaldo 13 December 2011 (has links)
Dissertação (mestrado)—Universidade de Brasilia, Faculdade de Tecnologia,
Departamento de Engenharia Elétrica, Programa de Pós-Graduação em Engenharia Elétrica, 2011. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2012-09-18T14:00:45Z
No. of bitstreams: 1
2011_OsvaldoDalbenJunior.pdf: 3404533 bytes, checksum: 553bcf63bc1e8bcf2d4970f112a97520 (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-19T21:17:42Z (GMT) No. of bitstreams: 1
2011_OsvaldoDalbenJunior.pdf: 3404533 bytes, checksum: 553bcf63bc1e8bcf2d4970f112a97520 (MD5) / Made available in DSpace on 2012-09-19T21:17:42Z (GMT). No. of bitstreams: 1
2011_OsvaldoDalbenJunior.pdf: 3404533 bytes, checksum: 553bcf63bc1e8bcf2d4970f112a97520 (MD5) / Um dos atuais desafios na área da forense computacional está relacionado à análise de mídias computacionais apreendidas em grande quantidade pelas orças policiais. Os arquivos armazenados nessas mídias podem conter nomes de pessoas e organizações suspeitos, porém desconhecidos pelas equipes de investigação. O presente trabalho propõe a criação de um modelo de Reconhecimento de Entidades Mencionadas (REM) baseado no Modelo Oculto de Markov (HMM) para extrair nomes de pessoas e organizações de textos não estruturados contidos em mídias apreendidas. O modelo proposto, denominado ICCHMM {Identiication-Classification Context HMM é dividido em dois submodelos - identificação e classificação de entidades - e utiliza as informações do contexto das palavras e um gazetteer como forma de obter melhor desempenho. Experimentos foram realizados aplicados a corpora públicos e forenses e os resultados do ICC-HMM superaram os obtidos por sistemas participantes de avaliações conjuntas específicas para o REM no idioma português, o que sugere que o modelo proposto é aplicável ao cenário forense nacional. _______________________________________________________________________________________ ABSTRACT / One of the current challenges in computer forensics is related to the analysis of computer media seized in large quantities by he police. Files stored in these media may contain names of people and organizations suspected, but unknown by the analysis teams. This paper proposes the creation of a named entity recognition (NER) model based on the Hidden Markov Model (HMM) to extract names of people and organizations contained in unstructured text of seized media. The proposed model, called ICC-HMM (Identification - Classification Context HMM) is divided into two sub-models - identification and classification of entities - and uses the context information of words and a gazetteer in order to obtain better performance. Experiments were carried out on forensic corpora and our results outperformed some of the best NER-based systems in Portuguese language. This suggests that the proposed model is applicable in brazilian computer forensics
|
7 |
Socratext : busca aproximada de cadeias em imagens usando matrizes de substituição / Socratext : approximate string search in images using substitution matrixPolastro, Mateus de Castro 09 December 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2011. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2012-09-12T15:24:40Z
No. of bitstreams: 1
2011_MateusdeCastroPolastro.pdf: 1716533 bytes, checksum: b92d102e804b048afaec7bfeb5cccac8 (MD5) / Approved for entry into archive by Leandro Silva Borges(leandroborges@bce.unb.br) on 2012-09-18T18:12:22Z (GMT) No. of bitstreams: 1
2011_MateusdeCastroPolastro.pdf: 1716533 bytes, checksum: b92d102e804b048afaec7bfeb5cccac8 (MD5) / Made available in DSpace on 2012-09-18T18:12:22Z (GMT). No. of bitstreams: 1
2011_MateusdeCastroPolastro.pdf: 1716533 bytes, checksum: b92d102e804b048afaec7bfeb5cccac8 (MD5) / A facilidade de armazenamento e troca de documentos no formato digital, juntamente com a redução dos custos de equipamentos de impressão e digitalização de documentos, vem aumentando a necessidade de utilização na Informática Forense de programas para busca aproximada de palavras-chaves em textos originados por reconhecimento ótico de caracteres (OCR – Optical Character Recognition). Porém, as ferramentas que levam em conta os erros de OCR ainda não são totalmente satisfatórias, principalmente devido aos vários tipos de degradação comumente encontradas em documentos digitalizados. Neste trabalho, um algoritmo para busca de palavras-chaves em textos gerados a partir de OCR, baseado em programação dinâmica e na utilização de matrizes de substituição de aminoácidos, é descrito e implementado. Os resultados mostraram que o algoritmo proposto superou, principalmente em textos contendo maior número de erros, o algoritmo de distância de edição de Levenshtein, utilizado nas principais ferramentas para esse fim. Além disso, um estudo detalhado de como os erros de OCR afetam a recuperação da informação, a partir de degradações em imagem, é proposto. _______________________________________________________________________________________ ABSTRACT / The ease of storing and exchanging documents in digital format, along with cost reduction of printing and scanning equipments, has increased the need for use in Computer Forensics of programs to conduct approximate keyword search in texts generated by optical character recognition (OCR). However, tools that take into account the OCR errors are not yet fully satisfactory, mainly due to the various types of degradation commonly found in scanned documents. In this work, an algorithm to search for keywords in text generated by OCR, based on dynamic programming and on the use of amino acid substitution matrices, is described and implemented. The results showed that the proposed algorithm outperformed, especially in texts containing more errors, the Levenshtein edit distance algorithm, the most widely used by the tools for this purpose. In addition, a detailed study of how OCR errors affect the information retrieval, under several image degradations, is proposed.
|
Page generated in 0.0636 seconds