Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
Considerando-se que uma das tarefas mais comuns para um perito judicial que atua na área da informática é procurar vestígios de interesse no conteúdo de dispositivos de armazenamento de dados (DADs), que esses vestígios na maioria das vezes consistem em palavras-chave (PChs) e durante o tempo ne...
Main Author: | |
---|---|
Other Authors: | |
Language: | Portuguese |
Published: |
Universidade de São Paulo
2015
|
Subjects: | |
Online Access: | http://www.teses.usp.br/teses/disponiveis/3/3141/tde-14062016-081553/ |
id |
ndltd-IBICT-oai-teses.usp.br-tde-14062016-081553 |
---|---|
record_format |
oai_dc |
spelling |
ndltd-IBICT-oai-teses.usp.br-tde-14062016-0815532019-01-22T00:29:21Z Método para ranqueamento e triagem de computadores aplicado à perícia de informática. Method for computer ranking and triage applied to computer forensics. Akio Nogueira Barbosa Wilson Vicente Ruggiero Volnys Borges Bernal Edson Satoshi Gomi Mehran Misaghi Edson Luiz Riccio Digital forense Investigação digital Perícia de computadores Perícia de informática Triagem de computadores Computer forensics Computer triage Digital forensics Digital investigation Forensics triage Considerando-se que uma das tarefas mais comuns para um perito judicial que atua na área da informática é procurar vestígios de interesse no conteúdo de dispositivos de armazenamento de dados (DADs), que esses vestígios na maioria das vezes consistem em palavras-chave (PChs) e durante o tempo necessário para realização da duplicação do DAD o perito fica praticamente impossibilitado de interagir com os dados contidos no mesmo, decidiu-se verificar a hipótese de que seja possível na etapa de coleta, realizar simultaneamente à duplicação do DAD a varredura para procurar PCHs em dados brutos (raw data), sem com isso impactar significativamente o tempo de duplicação. O principal objetivo desta tese é propor um método que possibilite identificar os DADs com maior chance de conter vestígios de interesse para uma determinada perícia ao término da etapa de coleta, baseado na quantidade de ocorrências de PCHs encontradas por um mecanismo de varredura que atua no nível de dados brutos. A partir desses resultados é realizada uma triagem dos DADs. Com os resultados da triagem é realizado um processo de ranqueamento, indicando quais DADs deverão ser examinados prioritariamente na etapa de análise. Os resultados dos experimentos mostraram que é possível e viável a aplicação do método sem onerar o tempo de duplicação e com um bom nível de precisão. Em muitos de casos, a aplicação do método contribui para a diminuição da quantidade de DADs que devem ser analisados, auxiliando a diminuir o esforço humano necessário. Considering that one of the most common tasks for a legal expert acting in the information technology area is to look for invidences of interest in the content data storage devices (DADs). In most cases these evidences consist of keywords. During the time necessary to perform the DAD duplication, the expert is practically unable to interact with the data contained on DAD. In this work we have decided to verify the following hypothesis: It is possible, at the collection stage, to simultaneously hold the duplication of the DAD and scan to search for keywords in raw data, without thereby significantly impact the duplication time. The main objective of this thesis is to propose a method that allows to identify DADs with a strong chance of containing evidences of interest for a particular skill at the end of the collection stage, based on the keywords occurrences found by a scanner mechanism that operates at the raw data level. Based on these results, a triage of DADs is established. With the results of the triage, a ranking process is made, providing an indication of which DADs should be examined first at the analysis stage. The results of the ours experiments showed that it is possible and feasible to apply the method without hindering the duplication time and with a certain level of accuracy. In most cases, the application of the method contributes to reduce the number of DADs that must be analyzed, helping to reduces the human effort required. 2015-10-08 info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/doctoralThesis http://www.teses.usp.br/teses/disponiveis/3/3141/tde-14062016-081553/ por info:eu-repo/semantics/openAccess Universidade de São Paulo Engenharia Elétrica USP BR reponame:Biblioteca Digital de Teses e Dissertações da USP instname:Universidade de São Paulo instacron:USP |
collection |
NDLTD |
language |
Portuguese |
sources |
NDLTD |
topic |
Digital forense
Investigação digital Perícia de computadores Perícia de informática Triagem de computadores Computer forensics Computer triage Digital forensics Digital investigation Forensics triage |
spellingShingle |
Digital forense
Investigação digital Perícia de computadores Perícia de informática Triagem de computadores Computer forensics Computer triage Digital forensics Digital investigation Forensics triage Akio Nogueira Barbosa Método para ranqueamento e triagem de computadores aplicado à perícia de informática. |
description |
Considerando-se que uma das tarefas mais comuns para um perito judicial que atua na área da informática é procurar vestígios de interesse no conteúdo de dispositivos de armazenamento de dados (DADs), que esses vestígios na maioria das vezes consistem em palavras-chave (PChs) e durante o tempo necessário para realização da duplicação do DAD o perito fica praticamente impossibilitado de interagir com os dados contidos no mesmo, decidiu-se verificar a hipótese de que seja possível na etapa de coleta, realizar simultaneamente à duplicação do DAD a varredura para procurar PCHs em dados brutos (raw data), sem com isso impactar significativamente o tempo de duplicação. O principal objetivo desta tese é propor um método que possibilite identificar os DADs com maior chance de conter vestígios de interesse para uma determinada perícia ao término da etapa de coleta, baseado na quantidade de ocorrências de PCHs encontradas por um mecanismo de varredura que atua no nível de dados brutos. A partir desses resultados é realizada uma triagem dos DADs. Com os resultados da triagem é realizado um processo de ranqueamento, indicando quais DADs deverão ser examinados prioritariamente na etapa de análise. Os resultados dos experimentos mostraram que é possível e viável a aplicação do método sem onerar o tempo de duplicação e com um bom nível de precisão. Em muitos de casos, a aplicação do método contribui para a diminuição da quantidade de DADs que devem ser analisados, auxiliando a diminuir o esforço humano necessário.
===
Considering that one of the most common tasks for a legal expert acting in the information technology area is to look for invidences of interest in the content data storage devices (DADs). In most cases these evidences consist of keywords. During the time necessary to perform the DAD duplication, the expert is practically unable to interact with the data contained on DAD. In this work we have decided to verify the following hypothesis: It is possible, at the collection stage, to simultaneously hold the duplication of the DAD and scan to search for keywords in raw data, without thereby significantly impact the duplication time. The main objective of this thesis is to propose a method that allows to identify DADs with a strong chance of containing evidences of interest for a particular skill at the end of the collection stage, based on the keywords occurrences found by a scanner mechanism that operates at the raw data level. Based on these results, a triage of DADs is established. With the results of the triage, a ranking process is made, providing an indication of which DADs should be examined first at the analysis stage. The results of the ours experiments showed that it is possible and feasible to apply the method without hindering the duplication time and with a certain level of accuracy. In most cases, the application of the method contributes to reduce the number of DADs that must be analyzed, helping to reduces the human effort required.
|
author2 |
Wilson Vicente Ruggiero |
author_facet |
Wilson Vicente Ruggiero Akio Nogueira Barbosa |
author |
Akio Nogueira Barbosa |
author_sort |
Akio Nogueira Barbosa |
title |
Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
|
title_short |
Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
|
title_full |
Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
|
title_fullStr |
Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
|
title_full_unstemmed |
Método para ranqueamento e triagem de computadores aplicado à perícia de informática.
|
title_sort |
método para ranqueamento e triagem de computadores aplicado à perícia de informática. |
publisher |
Universidade de São Paulo |
publishDate |
2015 |
url |
http://www.teses.usp.br/teses/disponiveis/3/3141/tde-14062016-081553/ |
work_keys_str_mv |
AT akionogueirabarbosa metodopararanqueamentoetriagemdecomputadoresaplicadoapericiadeinformatica AT akionogueirabarbosa methodforcomputerrankingandtriageappliedtocomputerforensics |
_version_ |
1718922069373091840 |