Spelling suggestions: "subject:"computação forensic""
1 |
Ontologia aplicada nos processo de computação forense / Ontology applied to the computer forensics processesLemos Filho, Egberto Vilas Boas 14 December 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-13T18:28:42Z
No. of bitstreams: 1
2016_EgbertoVilasBoasLemosFilho.pdf: 3216987 bytes, checksum: e46612c02375874e3e44f0e3bbbb14f2 (MD5) / Approved for entry into archive by Patrícia Nunes da Silva(patricia@bce.unb.br) on 2017-02-19T19:33:42Z (GMT) No. of bitstreams: 1
2016_EgbertoVilasBoasLemosFilho.pdf: 3216987 bytes, checksum: e46612c02375874e3e44f0e3bbbb14f2 (MD5) / Made available in DSpace on 2017-02-19T19:33:42Z (GMT). No. of bitstreams: 1
2016_EgbertoVilasBoasLemosFilho.pdf: 3216987 bytes, checksum: e46612c02375874e3e44f0e3bbbb14f2 (MD5) / Esta dissertação apresenta uma proposta para o desenvolvimento de uma base de conhecimento no domínio da Computação Forense, suportada por ontologia, com o intuito de promover aumento da eficiência operacional do processo de realização dos exames periciais, por meio da definição de um vocabulário comum entre os atores, e da geração de conhecimento sobres as técnicas e ferramentas forenses aplicadas em cada tipo de evidência digital, dentro do contexto da investigação. A ontologia proposta, denominada Ontocf, foi especificada e conceitualizada a partir dos conhecimentos extraídos do processo de Computação Forense, no qual interagem dois principais atores: a Autoridade Solicitante e o Perito Criminal. O procedimento metodológico adotado para construir a ontologia foi baseado na metodologia METHONTOLOGY, complementado por um tópico preliminar sobre as “Questões de Competência”, baseado no processo OntologyDevelopment 101. A validação da ontologia foi feita por meio de análise das respostas das questões de competência e de questionário respondido por Peritos Criminais. Destaca-se que esta ontologia aborda prioritariamente os conceitos, relações e instâncias que podem ser identificados e obtidos nos documentos: pedido de exames periciais e Laudo Pericial. A implementação da base de conhecimento foi feita em um framework que disponibiliza um repositório RDF que pode processar consultas SPARQL. Ao final, as questões de competência foram respondidas pela base de conhecimento das consultas pré-definidas, demonstrando a relevância da ontologia na explicitação do conhecimento do processo de Computação Forense, sobretudo para apoiar a autoridade solicitante na formulação de quesitos e para guiar o perito no planejamento dos procedimentos periciais. / This dissertation presents a proposal for the development of a knowledge base in the field of Computer Forensics supported by ontology in order to promote an increase in operational efficiency of carrying out expert investigations, by defining a common vocabulary between the Actors and the knowledge production of forensic techniques and tools applied to each type of digital evidence within the investigation context. The proposed ontology, calledOntocf, was specified and conceptualized from the knowledge extracted from the Computer Forensics process, in which two main actors interact: the Requesting Authority and the Forensic Scientist. The methodological procedure adopted to develop the ontology was based on the METHONTOLOGY methodology, complemented by a preliminary topic on "Competency Questions", based on the Ontology Development 101. The validation of the ontology was done by analyzing the answers of competency questions and of a questionnaire answered by Forensic Scientists. It should be emphasized that this ontology focuses primarily on the concepts, relations and instances that can be identified and obtained in the documents: request for expert investigations and Expert Report. The implementation of the knowledge base was done in a framework that provides an RDF repository which can process SPARQL queries. In the end, competency questionswere answered by the knowledge base of the predefined queries, demonstrating the relevance of the ontology in making explicit the knowledge of the Computer Forensics Process, mainly to support the requesting authority to formulate questions and to guide the Forensic Scientists in the planning of expert procedures.
|
2 |
Identificação de tráfego bittorrent com fins periciais utilizando Weka / Identifying bittorrent traffic with expert purposes using WekaHaus, Gerson Luiz 06 1900 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia,
Departamento de Engenharia Elétrica, 2012. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2013-03-13T11:31:05Z
No. of bitstreams: 1
2012_GersonLuizHaus.pdf: 957180 bytes, checksum: f9c596d9013a74353fb90cf2ae82584d (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2013-03-26T11:30:30Z (GMT) No. of bitstreams: 1
2012_GersonLuizHaus.pdf: 957180 bytes, checksum: f9c596d9013a74353fb90cf2ae82584d (MD5) / Made available in DSpace on 2013-03-26T11:30:30Z (GMT). No. of bitstreams: 1
2012_GersonLuizHaus.pdf: 957180 bytes, checksum: f9c596d9013a74353fb90cf2ae82584d (MD5) / O trabalho descrito nesta dissertação objetiva identificação de tráfego de rede proveniente de interceptação telemática judicialmente autorizada utilizando WEKA (Waikato Environment for Knowledge Analysis).Propõe-se o desenvolvimento de um método de identificação do tráfego de rede gerado pelo aplicativo P2P (peer-to-peer) BitTorrent. Com a identificação do fluxo de rede do BitTorrent podem ser obtidas informações periciais importantes tais como: provas de materialidade, delimitação geográfica dos locais para onde foram transferidos arquivos, entre outras informações. A proposta deste trabalho emprega o conjunto de ferramentas WEKA, com o uso do algoritmo J.48 (baseado no C4.5) e SVM (Support Vector Machine), para classificar o fluxo de dados que utilizou criptografia. Como resultado experimental, foram detectados até 97,03% do tráfego criptografado. Os resultados experimentais alcançados demonstram a viabilidade da utilização do WEKA para a identificação de tráfego do BitTorrent. _______________________________________________________________________________________ ABSTRACT / The work described in this thesis aims at identifying network traffic from interception telematics judicially authorized using WEKA (Waikato Environment for Knowledge Analysis). It is proposed the development of a method for the identification of network traffic generated by P2P (peer-to-peer) application BitTorrent. With the identification of the BitTorrent network flow information can be obtained important expert such as: proofs of materiality, geographical boundaries of sites for which they have been transferred files, among other information. The proposal of this work employs the WEKA toolset, using J.48 (based on C4.5) and SVM (Support Vector Machine)algorithms, to sort the data flow that uses encryption. As a result, 97.03% of the encrypted traffic were detectThe experimental results achieved demonstrate the feasibility of using WEKA for identifying BitTorrent traffic.
|
3 |
Recuperação de conversas de mensagens instantâneas realizadas em navegadores de internet / Instant messaging web-based chat extractionSalvatori, Ronei Maia 29 February 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Alaíde Gonçalves dos Santos (alaide@unb.br) on 2012-11-30T14:51:01Z
No. of bitstreams: 1
2012_RoneiMaiaSalvatori.pdf: 3173942 bytes, checksum: e226f98f06e8ef36c70d25a0ed99fdf2 (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2012-12-05T13:06:04Z (GMT) No. of bitstreams: 1
2012_RoneiMaiaSalvatori.pdf: 3173942 bytes, checksum: e226f98f06e8ef36c70d25a0ed99fdf2 (MD5) / Made available in DSpace on 2012-12-05T13:06:04Z (GMT). No. of bitstreams: 1
2012_RoneiMaiaSalvatori.pdf: 3173942 bytes, checksum: e226f98f06e8ef36c70d25a0ed99fdf2 (MD5) / A recuperação de vestígios provenientes de programas de mensagens instantâneas a partir de discos rígidos apreendidos é uma tarefa comumente demandada para a Perícia do Departamento de Polícia Federal. No entanto, essa recuperação é limitada devido às restrições das técnicas existentes. Estas são voltadas para extração de artefatos provenientes das versões instaladas dos comunicadores, e não categorizam os artefatos voláteis deixados pelas versões web implementadas com tecnologia Ajax, que limita a geração de cache pelos navegadores de Internet. Como alternativa este trabalho demonstra que é possível recuperar artefatos referentes às listas de contatos e às conversações realizadas em ambiente web, a partir de procedimentos que dispensam análise aprofundada do protocolo de comunicação utilizado. As hipóteses são baseadas na identificação de padrões de caracteres armazenados no tráfego de rede, despejos de memória, arquivos de paginação e hibernação para criar um dicionário de palavras-chave, possibilitando buscas automáticas.O método derivou-se de testes empíricos baseados na simulação de conversas entre usuários para extrações de artefatos com auxílio de um protótipo. Foi aplicado a estudos de caso nas versões web de quatro comunicadores instantâneos: Windows Live Messenger – WLM, Gtalk, Yahoo!Messenger e Facebook chat. Foram realizadas comparações entre os dicionários criados para cada comunicador, bem como extrações de listas de contatos e conversas entre usuários, demonstrando os procedimentos definidos e confirmando as hipóteses do trabalho. Os resultados foram considerados satisfatórios, podendo a técnica ser adotada para análises forenses post-mortem de discos rígidos, ainda que a volatilidade dos dados nesse ambiente seja um fator limitante de sua eficácia. _______________________________________________________________________________________ ABSTRACT / The recovery of traces from instant messaging programs from hard drives seized is a task commonly demanded for the expertise of the Federal Police Department. However, the recovery is limited by the constraints of existing techniques. These are aimed at extraction of artifacts from the installed versions of communicators, not categorize the artifacts left by the volatile web versions implemented with Ajax technology, which limits the generation of the Internet browsers cache. This work demonstrates that it is possible to recover artifacts relating to lists of contacts and talks held in a web environment, from procedures that do not require detailed analysis of the communication protocol used. The assumptions are based on identifying character patterns stored in network traffic, memory dumps, hibernation and paging files to create a dictionary of keywords, enabling automatic searches. The method was derived from empirical tests based on simulation of conversations between users for extraction of artifacts with the help of a prototype. It was applied to case studies in the web versions of four IM: Windows Live Messenger - WLM, Gtalk, Yahoo!Messenger and Facebook chat. Comparisons between the dictionaries created for each communicator as well as extraction of lists of contacts and conversations between users, showing the procedures defined and confirmed the hypothesis of the work. The results were considered satisfactory, the technique can be adopted for post-mortem forensic analysis of hard disks, although the volatility of the data in this environment is a factor limiting its effectiveness.
|
4 |
Mineração de dados aplicada à construção de bases de hash em computação forense / Data mining applied to hashsets construction in computer forensicsRuback, Marcelo Caldeira 11 December 2011 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2011. / Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2012-06-27T14:13:15Z
No. of bitstreams: 1
2011_MarceloCaldeiraRuback.pdf: 7076665 bytes, checksum: 3fc94510de918eb4cb5fed8dd6985746 (MD5) / Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2012-06-27T14:13:27Z (GMT) No. of bitstreams: 1
2011_MarceloCaldeiraRuback.pdf: 7076665 bytes, checksum: 3fc94510de918eb4cb5fed8dd6985746 (MD5) / Made available in DSpace on 2012-06-27T14:13:27Z (GMT). No. of bitstreams: 1
2011_MarceloCaldeiraRuback.pdf: 7076665 bytes, checksum: 3fc94510de918eb4cb5fed8dd6985746 (MD5) / A grande quantidade de dados a serem processados e analisados por peritos em informática é um desafio crescente enfrentado pela comunidade de Computação Forense. O uso de conjuntos de hashes de arquivos conhecidos para identificar e filtrar arquivos irrelevantes é um procedimento amplamente utilizado, mas não é tão eficaz quanto poderia ser, especialmente em países cujo idioma não seja o inglês. Este trabalho propõe o uso de técnicas de mineração de dados com algoritmos de classificação baseados em árvores de decisão para encontrar novos arquivos irrelevantes para a análise forense a partir de uma amostra de computadores de uma dada região ou país. Os hashes dos arquivos identificados podem ser mesclados com um subconjunto selecionado de hashes que sejam realmente efetivos, escolhido a partir de bases de hashes convencionais. Os experimentos foram conduzidos para avaliar o desempenho de filtragem da solução proposta, usando amostras de evidências extraídas de casos reais. Esses experimentos demonstraram que a abordagem proposta obteve resultados de filtragem entre 15% e 30% melhores do que a base de hash convencional utilizada, mesmo contendo um número reduzido de valores de hash. Este trabalho lança luz sobre uma técnica forense comumente utilizada, mas que tem sido relegada ao uso de bases de dados em constante crescimento composto apenas de hashes de arquivos conhecidos cuja origem seja rigidamente rastreável. A adoção de novas soluções para lidar com bancos de dados de hash em Computação Forense é uma boa oportunidade para introduzir técnicas inteligentes para melhorar a forma como conjuntos de hashes são criados, mantidos e utilizados. _________________________________________________________________________________ ABSTRACT / The large amount of data to be processed and analyzed by forensic experts is a growing challenge faced by the computer forensics community. The use of hashsets of known files to identify and filter irrelevant files is a commonly used technique, but it is not as effective as it could be, especially in non-English speaking countries. This work proposes the use of data mining techniques with decision tree learning algorithms to find new irrelevant files to the forensic analysis from a sample of computers from a given region or country. The resulting files can be merged with an optimized subset of really effectively used hashsets, which are chosen from conventional hash databases. Experiments were conducted to evaluate the filtering performance of the proposed solution, using samples from real evidence. The experimental results demonstrate that our approach obtained between 15% to 30% better filtering results than the conventional hashset database used as benchmark, even with a reduced number of hash values. This work sheds light on a commonly used forensics technique, which has relied on the use of ever-growing databases composed only of hashes from rigidly traceable known files. The adoption of new solutions to deal with hash databases in computer forensics is a good opportunity to introduce intelligent techniques to improve the way hashsets are created, maintained and used.
|
5 |
Metodologia e arquitetura para sistematização do processo investigatório de análise da informação digital / Methodology and architecture for systematizing the investigation of digital informationCosta, Levi Roberto 14 February 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2013-02-15T14:10:37Z
No. of bitstreams: 1
2012_LeviRobertoCosta.pdf: 2933033 bytes, checksum: 5b2de3041ae1f0ace36439521d6fb5de (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2013-02-19T13:11:05Z (GMT) No. of bitstreams: 1
2012_LeviRobertoCosta.pdf: 2933033 bytes, checksum: 5b2de3041ae1f0ace36439521d6fb5de (MD5) / Made available in DSpace on 2013-02-19T13:11:05Z (GMT). No. of bitstreams: 1
2012_LeviRobertoCosta.pdf: 2933033 bytes, checksum: 5b2de3041ae1f0ace36439521d6fb5de (MD5) / Esta pesquisa propõe um instrumental que integra investigadores e peritos em torno da
investigação digital, em conformidade com a segregação de papéis, atribuições e
responsabilidades existentes na polícia judiciária brasileira. Ela apresenta uma metodologia e uma arquitetura para um ferramental forense especializado, que por um lado observam a investigação digital como espécie do gênero investigação policial, enquanto que, por outro, observam a investigação digital como espécie do gênero pericia criminal. Integrando-as em um mesmo processo de busca da prova de um crime. Desta abordagem resulta, de forma isenta e harmoniosa, tanto a prova documental, quanto a prova pericial. Cada qual estabelecida segundo suas próprias regras, exigências e particularidades. A solução proposta permite lidar de maneira ágil com grandes volumes de dados e/ou
dispositivos de armazenamento de dados computacionais, utilizando-se de uma infraestrutura de componentes computacionais autônomos e inteligentes, bases de dados, rede de comunicação, hardwares e pessoas para prover eficiência na apuração de delitos. Para avaliar suas potencialidades, o instrumental foi posto em prática em investigações reais e de grande porte conduzidas pelo Departamento de Polícia Federal. Os resultados obtidos demonstraram redução no tempo médio de disponibilização de dados digitais ao apuratório e permitiram que as análises investigatórias permeassem a investigação policial criminal, possibilitando a exploração profunda do material computacional
apreendido. Embora os resultados alcançados possam ser considerados promissores, há
potencial para alcançar resultados ainda melhores. ______________________________________________________________________________ ABSTRACT / Taking into consideration the responsibilities and the necessary segregation of investigators and forensic experts duties in the Brazilian judicial system, this work proposes a novel methodology and architecture for the whole digital investigation process. The proposed solution integrates in a single process the digital investigation
process and the forensic investigation process. The harmonic integration of the criminal and forensic investigations, respecting their rules and particularities, creates a unique
context where the documental and forensic evidences can be found, selected and later presented at a court of law. Through a variety of simple, intelligent and autonomous computational components, connected through a network of computer and investigators/forensic experts, the proposed method and architecture can synergistically and effectively handle great volume of digital evidence retrieved from a variety of storage devices. As a proof of concept, the method and the corresponding architecture were implemented in a prototype and tested on large data sets of real criminal investigations at the Brazilian Federal Police. The early results demonstrate a significant reduction at the
processing time required to make the digital evidence available for analysis, allowing criminal investigators early access to the evidence and most important, a thorough and deeper search on the seized materials. Although one could consider the prototype’s performance a significant improvement over traditional methods, the potential results could be much more significant with a more robust computational infrastructure.
|
6 |
Detecção robusta de adulteração em áudio explorando a forma analítica e o subespaço do sinais interferentes da rede elétrica / Audio tampering robust detection exploiting the analytical form and signal subspace of electric network interfering signalsReis, Paulo Max Gil Innocencio 05 July 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2016-08-24T20:05:58Z
No. of bitstreams: 1
2016_PauloMaxGilInnocencioReis.pdf: 4145799 bytes, checksum: a906f484de27e45624aa85a6eefd6cdd (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2016-11-04T16:35:53Z (GMT) No. of bitstreams: 1
2016_PauloMaxGilInnocencioReis.pdf: 4145799 bytes, checksum: a906f484de27e45624aa85a6eefd6cdd (MD5) / Made available in DSpace on 2016-11-04T16:35:53Z (GMT). No. of bitstreams: 1
2016_PauloMaxGilInnocencioReis.pdf: 4145799 bytes, checksum: a906f484de27e45624aa85a6eefd6cdd (MD5) / Arquivos de áudio digital são uma importante fonte de vestígios e evidências relacionadas aos mais diversos crimes e conflitos. Seja por meio de gravações devidamente autorizadas pela autoridade judicial ou por gravações realizadas por um dos interlocutores em um diálogo, tais arquivos têm o potencial de serem determinantes em importantes decisões, uma vez que prestam-se a, via de regra, esclarecer algum aspecto da realidade dos fatos. Dessa forma, a autenticação dessa fonte de prova é uma tarefa muitas vezes necessária e crítica, porém ainda sujeita a muitos desafios. Com o objetivo de identificar edições em arquivos de áudio propõe-se uma técnica para detecção automática de adulterações em gravações de áudio por meio da constatação de variações anormais na frequência de oscilação de sinais interferentes da rede elétrica (ENF), eventualmente incorporados em um registro de áudio questionado. Variações anormais na ENF podem ocorrer como resultado de transições abruptas de fase decorrentes de inserções ou supressões de segmentos de áudio realizados durante o processo de edição. Dessa forma, propõe-se o estimador de ENF ESPRIT-Hilbert em conjunto com um detector de outliers baseado na curtose amostral da estimada ENF, do inglês ESPRIT-Hilbert ENF estimator in conjunction with an outlier detector based on the sample kurtosis of the estimated ENF (SPHINS). A técnica utiliza conjuntamente um estimador baseado na frequência instantânea obtida via transformada de Hilbert, e outro baseado na técnica ESPRIT. Calcula-se a curtose amostral das estimativas da ENF como medida do grau de anomalia da ENF, compondo-se um vetor de características que é aplicado a um classificador de máquinas de vetores de suporte (SVM), devidamente treinado a partir de uma base de dados conhecida para indicar a presença de edições. O método proposto tem seus resultados validados utilizando uma base de dados que contém 100 gravações telefônicas autorizadas de áudios não editados, e 100 gravações telefônicas de áudios editados. Os resultados obtidos são comparados com trabalhos correlatos anteriores. ________________________________________________________________________________________________ ABSTRACT / Digital audio recordings are an important source of evidences related to various crimes and conflicts. Whether through recordings duly authorized by a judicial authority or made by one of the parties in a dialogue, such files have the potential to be crucial in important decisions since they contribute to clarify some aspects of reality. Thus, the authentication of this source of evidence is often a necessary and critical task, but still subject to many challenges. In order to identify audio tampering we propose a technique to detect adulterations in audio recordings by exploiting abnormal variations in the Electric Network Frequency (ENF) signal eventually embedded in a questioned audio recording. These abnormal variations may be caused by abrupt phase discontinuities due to insertions and suppressions of audio segments during the tampering task. Thus, we propose the ESPRIT-Hilbert ENF estimator in conjunction with an outlier detection based on the sample kurtosis of the estimated ENF (SPHINS). The technique uses a joint estimate of ENF by two methods, one based in the Hilbert Transform, and the other in the ESPRIT approach. It calculates the sample kurtosis of the estimates as a measure of outlierness, computing a feature vector applied to a Support Vector Machine (SVM) classifier to indicate the presence of tampering. The proposed scheme is validated using an audio database with 100 edited and 100 unedited authorized audio recordings of phone calls. The results obtained are further compared with previous related works.
|
7 |
Análise de objetos a partir da extração da memória RAM de sistemas sobre Android Run-Time (ART) / Objects analisys based on ram memory extraction over android run-time (ART) systemsSoare, Alberto Magno Muniz 16 December 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Camila Duarte (camiladias@bce.unb.br) on 2017-01-26T13:34:31Z
No. of bitstreams: 1
2016_AlbertoMagnoMunizSoares.pdf: 2637603 bytes, checksum: 014fcec35129d64f57837bd31cb0b8b2 (MD5) / Approved for entry into archive by Ruthléa Nascimento(ruthleanascimento@bce.unb.br) on 2017-03-03T16:45:42Z (GMT) No. of bitstreams: 1
2016_AlbertoMagnoMunizSoares.pdf: 2637603 bytes, checksum: 014fcec35129d64f57837bd31cb0b8b2 (MD5) / Made available in DSpace on 2017-03-03T16:45:42Z (GMT). No. of bitstreams: 1
2016_AlbertoMagnoMunizSoares.pdf: 2637603 bytes, checksum: 014fcec35129d64f57837bd31cb0b8b2 (MD5) / Este trabalho tem o objetivo de apresentar uma técnica de análise de objetos em memória no ambiente de execução ART (Android Run-Time) a partir de uma extração de dados da memória volátil. Um estudo do código fonte AOSP (Android Open Source Project) foi feito para entendimento do ambiente de execução utilizado no sistema operacional Android moderno, e foram elaboradas ferramentas de software que permitem a localização, extração e interpretação de dados úteis para o contexto forense. Construídas como extensões para o framework Volatility, essas ferramentas possibilitam localizar, em uma extração de memória de um dispositivo com arquitetura ARM, instâncias de classes arbitrárias e suas propriedades de dados. / The work in this thesis aims at describe a technique for analyzing objects in memory within the execution environment ART (Android Run-Time) from a volatile memory data extraction. A study of the AOSP (Android Open Source Project) source code was necessary to understand the runtime environment used in the modern Android operating system, and software tools were developed allowing the location, extraction and interpretation of useful data for the forensic context. Built as extensions for the Volatility Framework, these tools enable to locate, in a memory extraction from a device with ARM architecture, arbitrary instances of classes and their data properties.
|
8 |
Utilização de árvores de decisão para aprimorar a classificação de fragmentos / Using decision trees to improve fragment classificationOya, Juliano Kazuki Matsuzaki 13 December 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-02-15T16:12:49Z
No. of bitstreams: 1
2016_JulianoKazukiMatsuzakiOya.pdf: 22080440 bytes, checksum: 26e6cf59fb6ec7c66e3b87eecb43103f (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-23T22:29:48Z (GMT) No. of bitstreams: 1
2016_JulianoKazukiMatsuzakiOya.pdf: 22080440 bytes, checksum: 26e6cf59fb6ec7c66e3b87eecb43103f (MD5) / Made available in DSpace on 2017-03-23T22:29:48Z (GMT). No. of bitstreams: 1
2016_JulianoKazukiMatsuzakiOya.pdf: 22080440 bytes, checksum: 26e6cf59fb6ec7c66e3b87eecb43103f (MD5) / A classificação de fragmentos de arquivos é uma parte essencial do processo de recuperação de dados em computação forense. Métodos que dependem de assinaturas de arquivo ou de estruturas do sistema de arquivos são amplamente utilizados, mas outros métodos são necessários na ausência de tais informações. Para esse propósito, este trabalho descreve um método flexível para aprimorar a classificação de fragmentos e a recuperação de arquivos por meio da aplicação de árvores de decisão. Arquivos de evidências de casos forenses reais foram utilizados para gerar um conjunto de fragmentos de testes e de validação. Para cada fragmento, 46 atributos foram extraídos e utilizados no treinamento das árvores de decisão. Em média, os modelos resultantes classificaram corretamente 98,78% dos fragmentos em tarefas de classificação binários e de 86,05% em tarefas de classificação multinomiais. Os resultados mostram que as árvores de decisão podem ser aplicadas com sucesso para o problema de classificação fragmentos e que apresentam bons resultados quando comparadas com outros métodos apresentados na literatura. Por conseguinte, o método proposto pode ser utilizado como um complemento aos métodos usuais de recuperação de arquivo, possibilitando um processo de recuperação de dados mais minucioso. / The classification of file fragments is an essential part of the data recovery process in computer forensics. Methods that rely on file signatures or file system structures are widely employed, but other methods are required in the absence of such information. For this purpose, this paper describes a flexible method to improve fragment classification and recovery using decision trees. Evidence files from real forensic cases were used to generate the training and testing fragments. For each fragment, 46 features were extracted and used in the training of the decision trees. On average, the resulting models correctly classified 98.78% of the fragments in binary classification tasks and 86.05% in multinomial classification tasks. These results show that decision trees can be successfully applied to the fragment classification problem and they yield good results when compared to other methods presented in the literature. Consequently, the proposed method can be used as a complement to the usual file recovery methods, allowing for a more thorough data recovery process.
|
9 |
Estudo de rótulos de tempo em sistemas NTFS baseado em estruturas do sistema de arquivos e do sistema operacional Windows / NTFS file system timestamp study based on file system and windows operating system structuresScoralick Júnior, Cleber 31 January 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2012-06-28T11:58:39Z
No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2012-06-28T11:59:43Z (GMT) No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Made available in DSpace on 2012-06-28T11:59:43Z (GMT). No. of bitstreams: 1
2012_CleberScoralickJunior.pdf: 2196236 bytes, checksum: d6baffb961530828f2ef7dd9de540423 (MD5) / Metadados de arquivos e pastas em sistemas de arquivos armazenam informações relevantes para a análise pericial, com destaque para os rótulos de tempo. No entanto, esses rótulos podem ser afetados por configurações erradas do relógio, problemas de alimentação elétrica ou alterações intencionais dos rótulos de tempo ou do relógio do sistema, exigindo do examinador maior cuidado em sua análise. Dessa forma, este trabalho tem como objetivo determinar procedimentos periciais de informática em sistemas de arquivos NTFS (New Techonologies File System), na plataforma Windows XP, que permitam afirmar acerca do grau de contabilidade dos rótulos de tempo, indicar a quais operações os arquivos e pastas de interesse foram submetidos, bem como elaborar uma linha de tempo. Em uma máquina virtual Windows XP, foram realizadas simulações de operações com arquivos e pastas e um estudo de seus efeitos nos rótulos de tempo. Além das simulações de operações comuns, foram testadas alterações intencionais nos rótulos de tempo e no relógio do sistema, o efeito de varreduras do Windows Media Player e de programas antivírus, além de transferências de arquivos e pastas de um sistema FAT (File Allocation Table) para o sistema NTFS. Investigou-se também como a geração de pontos de restauração pelo Windows pode contribuir para a análise temporal. Para exposição dos resultados dos experimentos, foram elaboradas tabelas que apresentam relações cronológicas entre os rótulos de tempo dos atributos analisados, relações de igualdade e desigualdade entre rótulos de atributos diferentes e características dos rótulos de tempo para cada operação analisada. Esses resultados permitem, na maioria dos casos, individualizar as operações. Os programas para manipulação dos rótulos de tempo avaliados mostraram-se ineficazes, pois não impediram que, no exame pericial, tanto a alteração quanto o instante em que ocorreram fossem detectados. Constatou-se também que é possível detectar arquivos alterados com o relógio do sistema manipulado, sendo necessário avaliar o campo LSN ($LogFile Sequence Number) dos arquivos de interesse e os que apresentam valores próximos, juntamente com seus rótulos de tempo. A análise do Registro ativo e de suas cópias armazenadas nos pontos de restauração mostrou-se importante para determinar configurações relevantes para a análise temporal. Finalmente, os resultados obtidos foram aplicados em um caso real, permitindo a afirmação da autenticidade dos arquivos questionados e a elaboração de suas linhas de tempo. _________________________________________________________________________________ ABSTRACT / Timestamps within file system metadata hold important forensic information. However, their analysis is not straightforward, as they can be unwittingly tampered as a result of the computer clock being incorrect, low clock battery or time zone/day-light saving time misconfiguration. They can also be deliberately manipulated with direct tampering of timestamps or of the computer clock. This study intends to determine digital forensic procedures for NTFS (New Techonologies File System) file systems on Windows XP. These procedures would allow investigators to assess the reliability of timestamps and determine the operations to which files and folders were submitted to and generate their timeline. The most common operations on files and folders were performed on a Windows XP virtual machine and their effects on NTFS timestamps were evaluated. Direct timestamp and computer clock tampering, scans by Windows Media Player and antivirus programs and FAT (File Allocation Table) to NTFS file transfers were also evaluated. Files generated by restore point were also forensically investigated. As a result, we developed tables containing chronological relationships between timestamps, comparisons of timestamps between attributes and timestamp characteristics of some operations, allowing distinguishing among most of the analyzed operations. Several timestamp manipulation programs were tested and proved to be ineffective because a forensic analysis is capable to identify the manipulation and also to end out its time of occurrence. Computer clock tampering can also be detected by evaluating the LSN ($LogFile Sequence Number) and timestamps of the files under investigation and also of the ones with close LSN values. The operating system Registry and its backup copies stored on restore points should be examined to determine system configurations at the time of analysis. The results from this study were applied to a real case and allowed the determination of the authenticity of files and supported the creation of their timeline.
|
10 |
Utilização da computação distribuída para o armazenamento e indexação de dados forenses / Use of distributed computing for storage and indexing of forensic dataSilva, Marcelo Antonio da 10 February 2012 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Elna Araújo (elna@bce.unb.br) on 2012-06-28T20:15:23Z
No. of bitstreams: 1
2012_MarceloAntoniodaSilva.pdf: 17340266 bytes, checksum: 80bbcf602b42240bb06a4c9f132be586 (MD5) / Approved for entry into archive by Jaqueline Ferreira de Souza(jaquefs.braz@gmail.com) on 2012-07-04T12:07:20Z (GMT) No. of bitstreams: 1
2012_MarceloAntoniodaSilva.pdf: 17340266 bytes, checksum: 80bbcf602b42240bb06a4c9f132be586 (MD5) / Made available in DSpace on 2012-07-04T12:07:20Z (GMT). No. of bitstreams: 1
2012_MarceloAntoniodaSilva.pdf: 17340266 bytes, checksum: 80bbcf602b42240bb06a4c9f132be586 (MD5) / Este trabalho apresenta um sistema distribuído construído para realizar o armazenamento e a indexação dos dados resultantes de uma análise forense em dispositivo de armazenamento computacional. Com o passar dos anos, a quantidade de dados forenses a analisar vem se tornando cada vez maior. Isto é decorrente tanto do constante crescimento da capacidade dos dispositivos de armazenamento computacional quanto da maior popularização destes equipamentos. Em um caso que envolva dezenas de dispositivos de armazenamento secundário, realizar a análise forense torna-se uma tarefa com alto custo computacional de processamento, devido ao processo de geração dos índices e a necessidade de um espaço de armazenamento adequado para os dados. A indexação é fundamental para uma posterior análise nos dados forenses. A solução apresentada neste trabalho utiliza um sistema de arquivos distribuído para prover um espaço de armazenamento para os dados forenses com escalabilidade, disponibilidade e tolerância a falhas. Também, realiza a indexação dos dados forenses, através de um eficiente método de distribuição de processamento em grade. Neste trabalho são apresentados os cenários que foram elaborados e utilizados para testar o comportamento do sistema de armazenamento e indexação distribuída de dados forenses. _________________________________________________________________________________ ABSTRACT / This thesis presents a distributed system built to perform storage and indexing of data resulting from a forensic analysis of computer storage device. Over the years, the amount of forensic data to analyze is becoming ever greater. This is due to both the growing capacity of computer storage devices and the increased popularity of these devices. In a case involving dozens of secondary storage devices, perform forensic analysis becomes a task with high computational cost of processing, due to the index generation process and the need for adequate storage space for data. The indexing is fundamental for further forensics analysis in these data. The solution presented here uses a distributed file system to provide a storage space for forensic data with scalability, availability and fault tolerance. Also, performs the indexing of forensic data, through an efficient distribution method with grid processing. This paper presents the scenarios that were developed and used to test the behavior of the system of distributed storage and indexing of forensic data.
|
Page generated in 0.0921 seconds