computação forense - Slides de aula II

Prévia do material em texto

Prof. Dr. Anderson Silva
UNIDADE II
Computação Forense
2
Unidade II:
Agenda:
 Exames na Internet;
 Investigando as Redes Computacionais e de Telefonia;
 Investigando Imagens Digitais;
 A Ciência Forense Aplicada contra a Pornografia Infantil.
Computação Forense
 Faz parte da computação forense investigar as redes, sobretudo a internet e os seus 
serviços.
 O TCP/IP é o protocolo padrão 
para a troca de dados pela internet.
Exames na internet
Fonte: autoria própria.
DNS FTP SMB NFS HTTP POP
RPC SMTP HTTPS SIP SNMP
Bit-
Torrent
TCP UDP
Aplicação
Transporte
Rede
Enlace
Meio físico
IP
IPICMP IGMP
ARP RARP
Ethernet
Fast
Ethernet
PPP SLIP
Frame
Relay
Principais protocolos por camadas
Por ser único, e indicar a origem ou o destino de um pacote, o IP é uma evidência:
 IPv4: 200.171.66.119 / 255.255.0.0;
 IPv6: 2600:9000:20bb:6800:1:5a19:8b40:93a1.
Outros atributos:
 Data de captura de tráfego;
 Hora de conexão;
 Fuso horário do sistema.
Exames na internet: IP como evidência
Fonte: autoria própria.
Consulta de registro de domínios com o Whois
registro.br/tecnologia/ferramentas/whois/
Domínio unip.br
TITULAR
SOCIEDADE UNIP PAULISTA DE ENSINO REN 
OBJETIVO
DOCUMENTO 43.144.880/0001-82
RESPONSÁVEL Leonardo Barbosa Santos
PAÍS BR
CONTATO DO TITULAR LBS2
CONTATO 
ADMINISTRATIVO
LBS2
CONTATO TÉCNICO EPM85
CONTATO COBRANÇA TLSCU2
SERVIDOR DNS datcenter.unip.br 200.196.224.5^
STATUS 01/02/2020 AA
ÚLTIMO OK 01/02/2020
SEVIDOR DNS Datcenter2.unip.br 200.196.224.8^ 
STATUS 01/02/2020 AA
ÚLTIMO OK 01/02/2020
CRIADO 17/07/1999 #175298
ALTERADO 23/05/2019
STATUS Publicado
 A primeira providência: identificar de forma correta a origem e a autoria do e-mail.
 A origem diz respeito à conexão, ao IP ou ao domínio de onde a mensagem saiu.
A autoria diz respeito ao autor que redigiu e enviou (ou não) a mensagem:
 Exames podem identificar a máquina usada para a criação e o envio;
 Correlações podem identificar as ligações com o indivíduo que criou e enviou.
 Cabeçalhos de e-mails podem ser forjados e alterados.
Anexos:
 Uma solução forense é baixá-lo em uma máquina virtual.
Exames na internet: e-mail como evidência
 O DNS traduz, entre outras coisas, os nomes de domínio para os endereços IP (e vice-
versa).
 Sendo, portanto, vital para o funcionamento da internet.
 Envenenamento de DNS – difícil de ser periciado e solucionado.
Uma resposta falsa é enviada à solicitação DNS de um usuário:
 O usuário pode ser redirecionado a um site malicioso;
 Uma autenticação pode ser forjada.
Soluções:
 Autenticação nas requisições e respostas DNS;
 A análise forense dos pacotes pode indicar a fraude.
Exames na internet: DNS como evidência
 Sites com conteúdo criminoso são comuns.
A perícia forense tem dois objetivos:
Verificar o conteúdo:
 Copiar o conteúdo do site é uma evidência concreta, mas nem sempre browsers 
são eficientes;
 Hashes das cópias são boas opções de integridade.
Identificar os responsáveis:
 Pelo conteúdo;
 Pelo site;
 Logs das salas, blogs e redes sociais;
 Dados de cadastro em aplicativos e redes sociais.
Exames na internet: sites como evidência
Histórico de navegação:
 Mostra um histórico com os sites recentemente visitados.
Histórico de downloads:
 Indicar os arquivos baixados recentemente.
Cookies:
 Pequenos arquivos de texto gravados na máquina com estatísticas comportamentais;
 Cookies maliciosos podem enviar aos sites os dados confidenciais ou privados.
Exames na internet: browsers como evidência
Proxy é um equipamento posicionado entre o usuário e a internet:
 Controla o acesso dos usuários à internet;
 Usa caches para melhorar o desempenho;
 Protege a rede;
 Ultrapassa as barreiras na internet;
 Permite a navegação de forma anônima mascarando 
o IP original;
 Browser TOR.
Exames na internet: proxies anônimos como evidência
 Redes sociais podem abrigar calúnias, crimes e fraudes.
 Dados do perfil podem conter as evidências forenses importantes, se forem verdadeiros.
Apoio para o crime:
 Comunicação entre os criminosos;
 Intimidação;
 Venda de drogas;
 Meio para o crime;
 Falsos perfis;
 Fraudes;
 Distribuição de malwares.
Exames na internet: redes sociais como evidência
Facebook:
 Identificação de usuário;
 Conferir perfil e URL;
 ID de usuário na foto do perfil;
 Registro de atividades;
 Abas.
Sobre, fotos, amigos, curtir, locais:
 Timeline.
Exemplo:
 As fotos do Facebook têm identificadores únicos, visíveis.
Exames na internet: redes sociais como evidência
Fonte: autoria própria.
012345678901234
ID da foto
01234567890123456789012345
ID do álbum
012345678901234
ID do usuário
Twitter:
 A identificação segue o padrão twitter.com/<nome de usuário> na URL;
 No perfil de um usuário: informações pessoais e relacionadas à quantidade de seguidores, e 
de mensagens ou quais são as pessoas seguidas que podem ser facilmente coletadas; 
 A maioria das mensagens são públicas e contêm timestamp permitindo o acompanhamento.
Exames na internet: redes sociais como evidência
Por que baixar um anexo de e-mail, em uma máquina virtual, pode ser uma boa solução para a 
computação forense?
a) Porque garante a segurança, já que uma máquina virtual é imune à malwares.
b) Porque garante o desempenho, já que as máquinas virtuais hospedadas costumam ser mais 
rápidas do que as físicas.
c) Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual.
d) Porque garante a precisão, pois os arquivos de máquinas virtuais são mais confiáveis.
e) Porque garante a entrega, já que é muito mais fácil baixar um arquivo em uma máquina 
virtual.
Interatividade
Por que baixar um anexo de e-mail, em uma máquina virtual, pode ser uma boa solução para a 
computação forense?
a) Porque garante a segurança, já que uma máquina virtual é imune à malwares.
b) Porque garante o desempenho, já que as máquinas virtuais hospedadas costumam ser mais 
rápidas do que as físicas.
c) Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual.
d) Porque garante a precisão, pois os arquivos de máquinas virtuais são mais confiáveis.
e) Porque garante a entrega, já que é muito mais fácil baixar um arquivo em uma máquina 
virtual.
Resposta
Redes:
 Sniffers podem ser usados para a captura de pacotes de uma rede;
 Cabeçalhos, payload, serviços, transações como three-handshake, protocolos;
 Mesmo equipamentos como switches podem ser examinados.
Comando simples podem verificar quem está conectado:
 who;
 arp –a.
Investigando as redes computacionais e de telefonia
Captura de sniffer:
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
Servidores:
Logs de servidores de autenticação LDAP ou do Active Directory Domain Services (AD):
 Contêm os dados de usuários, grupos, contas, acessos.
Logs de servidores proxies:
 Contêm os dados de usuários, o cache de sites, os horários e os protocolos.
Logs de servidores Dynamic Host Control Protocol (DHCP):
 Contêm os endereços IP concedidos, a máscara de rede, o gateway e o nome de domínio.
Logs de servidores DNS:
 Contêm os dados sobre as consultas a sites e os nomes de domínio.
Investigando as redes computacionais e de telefonia
Sniffer aplicado em consulta DNS:
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
Sniffer aplicado em conexão com o serviço SSH:
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
Time
10.2.3.29
11.037599
11.040067
11.046417
11.046736
11.062680
11.063025
11.145280
11.174925
11.184032
11.184775
11.184955
11.185936
11.261578
11.276780
11.570920
11.943299
11.981529
11.981762
13.199656
13.221065
13.221424
13.227631
13.246053
13.248346
200.221.2.45
172.217.29.170 172.217.29.163
172.217.29.131 77.234.42.43 Comment
Seq = 0
Seq = 0
Seq = 0 Ack = 1
Seq = 1 Ack = 1Seq = 0 Ack = 1
Seq = 1 Ack = 1
Seq = 1 Ack = 1
Seq = 1 Ack = 203
Seq = 1 Ack = 203
Seq = 1449 Ack = 203
Seq = 203 Ack = 2897
Seq = 2897 Ack = 203
Seq = 203 Ack = 3791
Seq = 3791 Ack = 329
Seq = 329 Ack = 4065
Seq = 1 Ack = 1
Seq = 1 Ack = 2
Seq = 2 Ack = 2
Seq = 0 Ack = 1
Seq = 1 Ack = 1
Seq = 1 Ack = 1
Seq = 1 Ack = 209
Seq = 1 Ack = 209
Seq = 0
1435
1435
1435
1436
1436
1436
1436
1436
1436
1436
1436
1436
1436
1436
1436
1435
1435
1435
1437
1437
1437
1437
1437
1437
80
80
80
443
443
443
443
443
443
443
443
443
443
443
443
80
80
80
443
443
443
443
443
443
SYN
SYN, ACK
ACK
ACK
SYN, ACK
SYN
PSH, ACK – Len: 202
ACK
ACK – Len: 1448
ACK – Len: 1448
ACK
PSH, ACK – Len: 894
PSH, ACK – Len: 126
PSH, ACK – Len: 274
ACK
FIN, ACK
FIN, ACK
ACK
SYN
SYN, ACK
ACK
PSH, ACK – Len: 208
ACK
ACK – Len: 1418
Arquivos de prefetch (.pf): 
 São arquivos de pré-busca, criados pelo Windows sempre que um aplicativo é executado e 
contém as informações sobre os arquivos carregados pelos aplicativos;
 Diretório C:\WINDOWS\PREFETCH;
 Não são lidos por editores de texto;
 Aplicativo WinPrefetchView.
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
Aplicativo WinPrefetchView:
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
REGEDIT (Windows):
 Árvore com os parâmetros e as configurações básicas atuais do S.O. Windows;
 Contém 5 registros principais: SYSTEM, SECURITY, SOFTWARE, SAM e DEFAULT;
 Contém 2 registros com as informações dos usuários: NTUSER.DAT e USRCLASS.DAT;
 Os registros contêm as chaves, os valores e os dados que devem ser alterados com 
cuidado.
Investigando as redes computacionais e de telefonia
REGEDIT (Windows):
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
Controles de Segurança:
 Logs de Sistemas de Detecção/Prevenção de Intrusões (SDPI) e firewalls contêm muitas 
informações;
 São diferentes dos logs dos sistemas operacionais, de rede e de servidores;
 A análise pode levar a constatações sobre o tipo de ataque que está em andamento em uma 
rede.
Investigando as redes computacionais e de telefonia
Logs do SDPI Snort:
Os logs do SDPI Snort são baseados nas próprias regras de configuração:
Investigando as redes computacionais e de telefonia
Fonte: autoria própria.
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"EXPLOIT-KIT
Unknown Malvertising exploit kit Hostile Jar pipe.class"; flow:to_client,established;
flowbits:isset,file.jar; file_data; content:"PK"; content:"|00|pipe.class"; distance:0;
content:"|00|inc.class"; distance:0; content:"|00|fdp.class"; distance:0; fast_pattern;
metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service
http; classtype:trojan-activity; sid:27085; rev:2;)
Marque a alternativa incorrreta a respeito da análise de tráfego de rede:
a) O payload de um pacote é, justamente, a sua área útil com os dados.
b) Sistemas diferentes podem apresentar logs totalmente diferentes.
c) Um servidor DNS contém as resoluções de nomes de domínio que podem ser checadas.
d) Um servidor proxy pode conter cache com um histórico de navegação ou o uso da internet.
e) Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o 
endereço de destino.
Interatividade
Marque a alternativa incorrreta a respeito da análise de tráfego de rede:
a) O payload de um pacote é, justamente, a sua área útil com os dados.
b) Sistemas diferentes podem apresentar logs totalmente diferentes.
c) Um servidor DNS contém as resoluções de nomes de domínio que podem ser checadas.
d) Um servidor proxy pode conter cache com um histórico de navegação ou o uso da internet.
e) Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o 
endereço de destino.
Resposta
 Muitos dos padrões de imagens utilizados expressam a forma de compressão dos arquivos.
 A compressão pode ser com e sem perdas.
 Cada padrão utiliza os seus próprios algoritmos.
 Joint Photographic Experts Group (JPEG): popular, suporta compressão com e sem perdas.
 Windows BitMaP (BMP): contém, até, 24 bits/pixel, e funciona com e sem compressão.
 Graphics Interchange Format (GIF): suporta as animações com, até, 8 bits/pixel sem perdas.
 Portable Network Graphics (PNG): até 48 bits/pixel e permite a transparência sem perdas.
 Tagged Image File Format (TIFF): compressão com e sem perdas em diferentes cores.
Investigando imagens digitais
A análise de imagens busca:
 Identificar as evidências escondidas;
 Manipulação e inserção de conteúdo em imagens;
 Flagrante ou não flagrante;
 Identificar os autores.
O que pode ser considerada uma manipulação fraudulenta?
Investigando imagens digitais
Análise de sombras:
 Analisa a projeção de
sombras e de reflexos.
Investigando imagens digitais
Fonte: autoria própria.
Análise de perspectiva e projeção planar:
 Objetos inseridos 
maliciosamente em imagens, 
muitas vezes, não seguem a 
perspectiva.
Investigando imagens digitais
Fonte: Adaptado de: loc.gov/pictures
Ampliação:
 Uma imagem não pode ser
ampliada indefinidamente;
 Interpolação de pixels.
Investigando imagens digitais
Fonte: autoria própria.
Brilho médio:
 O brilho de um pixel está, diretamente, ligado ao valor de sua intensidade luminosa;
 Na escala RGB 0 indica um brilho nulo, enquanto o valor 255 indica um brilho máximo;
 O brilho médio corresponde à média das intensidades de brilho de todos os pixels.
- 100 brilho 0 brilho + 100 brilho
Correção Gama:
 Atua na intensidade do pixel, independentemente da 
posição dele na imagem.
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: Adaptado de: unsplash.com/t/animals
Histograma de imagem:
 Gráfico que representa os valores de intensidade dos pixels;
 Usado para a avaliação de certos aspectos da qualidade de imagem;
 A equalização de histograma distribui, uniformemente, a luminosidade nos pixels.
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: autoria própria.
Contraste:
 Não se refere aos pixels individuais, mas à variação de intensidade luminosa de uma região;
 Alterações de contraste pouco mudam a intensidade de brilho dos pontos intermediários;
 A intensidade dos extremos é mais afetada.
- 100 contraste 0 contraste + 100 contraste
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: Adaptado de: unsplash.com/t/animals
Correção de foco:
 Problemas de foco ocorrem devido ao movimento.
Soluções:
 Pontos luminosos na imagem indicam o raio do círculo da função de espalhamento;
 Rastro dos objetos em movimento. 
 Na figura, o carro em movimento está bem focado, enquanto as árvores não.
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: Adaptado de: unsplash.com/t/people
Distorção de lente:
 O ideal é que as imagens não apresentem distorções (curvas em trechos de retas);
 Acarreta as dificuldades na estimação de medidas.
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: Adaptado de: techtudo.com.br/dicas-e-tutoriais/noticia/2016/08/lentes-de-cameras-
podem-distorcer-foto-e-te-fazer-engordar-veja.html
Operações aritméticas:
 Pode-se identificar diferenças em imagens com as operações como a subtração/adição;
 Esse procedimento pode diminuir o ruído de imagens noturnas ou de difícil compreensão.
Investigando imagens digitais: técnicas para a melhoria em imagens
Fonte: autoria própria.
IMAGEM 1 IMAGEM 2
RESULTADO
DA SUBTRAÇÃO
Fotogrametria:
 Técnicas baseadas na perspectiva para dar um efeito 3D em imagens 2D;
 Mais realismo;
 Permite definir a dimensão, a velocidade e a altura correta de objetos nas imagens.
 Veja, na figura, como é difícil determinar a altura da pessoa.
Investigando imagens digitais: técnicas para a melhoria em imagensFonte: unsplash.com/t/people
Fotogrametria: projeção reversa:
 Fotografa-se um objeto inteiro;
 Fotografa-se o mesmo lugar com uma régua; 
 A sobreposição das imagens permite as estimativas das dimensões do objeto.
Fotogrametria: modelo Matricial de Projeção de Câmera:
 Cria-se uma matriz de projeção;
 Estimam-se as coordenadas reais, a partir de pontos de referência fixos da imagem;
 São necessários, pelo menos, seis pontos de referência de alta definição na imagem.
Investigando imagens digitais: técnicas para a melhoria em imagens
Pontos de fuga:
 Pontos de convergência das linhas retas paralelas 3D projetadas em 2D;
 Para se determinar a altura de um objeto na imagem.
Investigando imagens digitais: técnicas para a melhoria em imagens
Linha Horizontal (LH); Linha da Terra (LT); Ponto de Fuga (PF); Ponto de Vista (PV).
Fonte: Adaptado de: vivadecora.com.br/pro/estudante/ponto-de-fuga/
Marque a alternativa correta a respeito das técnicas de análise de imagens:
a) A correção de foco pode ser utilizada em imagens que contêm movimento.
b) A projeção reversa observa as sombras projetadas de um objeto.
c) A distorção de lente é uma técnica de fotogrametria que ajuda a identificar as imagens.
d) Um ponto de fuga ocorre em imagens ampliadas.
e) O brilho médio pode ser determinado pelo uso do histograma de pixels.
Interatividade
Marque a alternativa correta a respeito das técnicas de análise de imagens:
a) A correção de foco pode ser utilizada em imagens que contêm movimento.
b) A projeção reversa observa as sombras projetadas de um objeto.
c) A distorção de lente é uma técnica de fotogrametria que ajuda a identificar as imagens.
d) Um ponto de fuga ocorre em imagens ampliadas.
e) O brilho médio pode ser determinado pelo uso do histograma de pixels.
Resposta
Segundo a Organização Mundial de Saúde (OMS): 
 Trata-se de um transtorno de preferência sexual por crianças, pré-adolescentes e 
adolescentes, independente do sexo (VELHO et al., 2016);
 Pedófilo é quem tem o transtorno. Por si só, isso não é um crime.
Crime de pornografia infantil:
 Alguém armazena ou compartilha as imagens, e os vídeos pornográficos de crianças.
Crime de abuso:
 Uso do corpo de uma criança para a satisfação sexual 
(física ou virtual);
 99% deste crimes são cometidos por não pedófilos 
(VELHO et al., 2016).
A ciência forense aplicada contra a pornografia infantil
Dinâmica dos abusos sexuais infantis:
Abordagem tradicional:
 Busca ganhar a confiança da vítima por meio de aproximações físicas.
Abordagem virtual:
Busca ganhar a confiança da vítima por meio de aproximações virtuais:
 Texting: textos virtuais maliciosos;
 Sexting: vídeos virtuais maliciosos.
Redes de exploração infantis:
 Exploram, de maneira criminosa, a pornografia infantil, os 
abusos e o tráfico de pessoas.
A ciência forense aplicada contra a pornografia infantil
A visão da lei:
Convenção sobre os Direitos da Criança (ONU), 1989:
 Reconhece a criança como um elemento que precisa de proteção.
Estatuto da Criança e do Adolescente (ECA): 
 Criminaliza a posse e o compartilhamento de pornografia infantil.
Constituição Federal:
 Estado e família devem proteger a criança.
Código Penal:
 Agrava a punição de estupro em vulneráveis.
A ciência forense aplicada contra a pornografia infantil
A visão da lei:
É preciso provar: 
 Os acontecimentos;
 Os envolvidos.
Exceções ou não são crimes:
 Posse de pornografia infantil sem o conhecimento;
 Descarte voluntário de pornografia infantil.
A ciência forense aplicada contra a pornografia infantil
Técnicas para a identificação de pornografia infantil:
Hashes:
 Garantem a integridade das cópias de arquivos analisados.
Detecção automática de nudez:
 Análise de grupos de pixels que contenham as cores de pele humana;
 Filtros e histogramas de cores podem ser montados para este fim;
 Pode ser reforçado com a geometria computacional;
 Impreciso para as imagens em branco e preto.
A ciência forense aplicada contra a pornografia infantil
Técnicas para a identificação de pornografia infantil:
Análise dos nomes de arquivos:
 Apesar da imprecisão, os nomes específicos de arquivos podem indicar pornografia infantil.
A ciência forense aplicada contra a pornografia infantil
Nomes
Babyj Babyshivid Childlover Childporn Childsex Childfugga
Ddogprn Qqaazz Yamad Hussyfan Kdquality Kidzilla
Kingpass Mafiasex Pedo Pedofilia Raygold Youngvideomodels
Pedofilo Pedoland Pedophile Pedophilia Pthc Reelkiddymov
Técnicas para a identificação de pornografia infantil:
Inteligência Artificial (IA):
 Permite que um sistema aprenda a partir de treinamento e estímulo ao acerto;
 Algoritmos analisam as imagens e aprendem quais indicam ou não os crimes.
Detecção de PERiodicidade (PER):
 Analisa a repetição de cenas, ou de movimentos em vídeos e áudios;
 Em geral, as cenas de pornografia contêm os movimentos ritmados e repetitivos;
 A PER pode ser utilizada para a criação de histogramas de movimentos.
A ciência forense aplicada contra a pornografia infantil
Técnicas para a identificação de pornografia infantil:
Exames locais:
 A perícia é rápida e realizada, diretamente, no ambiente e nos dispositivos dos suspeitos;
 Smartphones, câmeras, computadores, tablets.
Exames de laboratório:
 Examinam os dispositivos com mais cuidado e precisão;
 Busca por arquivos apagados ou compartilhados.
A ciência forense aplicada contra a pornografia infantil
O profissional forense deve buscar evidências em:
 Arquivos apagados;
 Caches de navegação e de e-mail; 
 Logs de sistema, de aplicativos de mensagens e de redes sociais;
 Conteúdo e contexto de mensagens (podem indicar conexões e conversas criminosas).
Programas Peer-to-Peer (P2P):
 Podem conter um identificador único que identifica o usuário – Global Unique ID (GUID);
 Podem conter hashes que identificam os arquivos compartilhados (podem ser conferidos).
A ciência forense aplicada contra a pornografia infantil
Documentação de pornografia infantil:
 A precisão é um elemento importante em investigações de pornografia infantil;
 O profissional deve criar categorias para dividir o conteúdo suspeito.
Arquivos de pornografia infantil:
 Imagens e vídeos que, realmente, sejam evidências reais de pornografia infantil.
Arquivos suspeitos:
 Arquivos suspeitos de conteúdo pornográfico infantil, mas, ainda, não confirmados.
Arquivos isentos de pornografia infantil:
 Arquivos de pornografia adulta, mangás ou animes que não configuram um crime.
A ciência forense aplicada contra a pornografia infantil
Documentação de pornografia infantil:
Laudo pericial:
 Documentação dos resultados das análises locais e laboratoriais;
 O profissional forense pode optar por incluir imagens ou vídeos;
 Vantagem: sensibiliza e confere celeridade ao processo;
 Desvantagem: choca e expõe as vítimas;
 O conteúdo pode ser criptografado ou borrado para evitar os constrangimentos.
A ciência forense aplicada contra a pornografia infantil
Em qual das situações está configurado o uso da PER na análise de um conteúdo suspeito?
a) Quando um treinamento baseado em algoritmos é realizado para verificar os arquivos que 
contêm ou não a pornografia infantil.
b) Quando os nomes de arquivos são continuamente verificados para a identificação de um 
material suspeito.
c) Quando um áudio é examinado à procura de padrões ou de sons repetitivos.
d) Quando o cache de navegação dos browsers é examinado.
e) Na detecção automática de nudez com os softwares que examinam os pixels das imagens.
Interatividade
Em qual das situações está configurado o uso da PER na análise de um conteúdo suspeito?
a) Quando um treinamento baseado em algoritmos é realizado para verificar os arquivos que 
contêm ou não a pornografia infantil.
b) Quando os nomes de arquivos são continuamente verificados para a identificação de um 
material suspeito.
c) Quando um áudio é examinado à procurade padrões ou de sons repetitivos.
d) Quando o cache de navegação dos browsers é examinado.
e) Na detecção automática de nudez com os softwares que examinam os pixels das imagens.
Resposta
 AYERS, R.; BROTHERS, S.; JANSEN, W. Guidelines on mobile device forensics. NIST SP 
800-101, 2014, 85 p.
 DE ARRUDA, O. D. R. et al. Uma proposta para automatização do processo de preservação 
de evidências voláteis em sistemas in vivo com ênfase em hosts Linux. FaSCi-Tech, v. 1, 
n. 14, 2019. p. 37-51.
 KENT, K. et al. Guide to integrating forensic techniques into incident response. NIST Special
Publication, v. 10, n. 14, 2006. p. 800-886.
 LIN, X. Introductory Computer Forensics: a hands-on practical approach. Springer, 2018, 
582 p.
 OLIVEIRA, L. R. Aplicação de algoritmos de aprendizado de 
máquina na unificação das técnicas de análise estática e 
dinâmica para a classificação de ransomware. IPT. 
Dissertação de Mestrado, 2018, 77 p.
Referências
 REGENSCHEID, A.; FELDMAN, L.; WITTE, G. NIST Special Publication 800-888 Revision 1, 
Guidelines for Media Sanitization. National Institute of Standards and Technology, 2015.
 SENASP/MJ. Procedimento Operacional Padrão Perícia Criminal. Ministério da Justiça, 
Brasil, 2013, 243 p.
 SILVA, A. A. A.; GUELFI, A. E. Sistema para a identificação de alertas falso positivos por 
meio de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010.
 VELHO, J. A. et al. Tratado de Computação Forense. Millenium, Campinas, Brasil, 2016, 
610 p.
 WILLASSEN, S. Forensic analysis of mobile phone internal
memory. In: IFIP International Conference on Digital 
Forensics. Springer, Boston, MA, 2005. p. 191-204.
Referências
ATÉ A PRÓXIMA!