Prévia do material em texto
Prof. Dr. Anderson Silva UNIDADE II Computação Forense 2 Unidade II: Agenda: Exames na Internet; Investigando as Redes Computacionais e de Telefonia; Investigando Imagens Digitais; A Ciência Forense Aplicada contra a Pornografia Infantil. Computação Forense Faz parte da computação forense investigar as redes, sobretudo a internet e os seus serviços. O TCP/IP é o protocolo padrão para a troca de dados pela internet. Exames na internet Fonte: autoria própria. DNS FTP SMB NFS HTTP POP RPC SMTP HTTPS SIP SNMP Bit- Torrent TCP UDP Aplicação Transporte Rede Enlace Meio físico IP IPICMP IGMP ARP RARP Ethernet Fast Ethernet PPP SLIP Frame Relay Principais protocolos por camadas Por ser único, e indicar a origem ou o destino de um pacote, o IP é uma evidência: IPv4: 200.171.66.119 / 255.255.0.0; IPv6: 2600:9000:20bb:6800:1:5a19:8b40:93a1. Outros atributos: Data de captura de tráfego; Hora de conexão; Fuso horário do sistema. Exames na internet: IP como evidência Fonte: autoria própria. Consulta de registro de domínios com o Whois registro.br/tecnologia/ferramentas/whois/ Domínio unip.br TITULAR SOCIEDADE UNIP PAULISTA DE ENSINO REN OBJETIVO DOCUMENTO 43.144.880/0001-82 RESPONSÁVEL Leonardo Barbosa Santos PAÍS BR CONTATO DO TITULAR LBS2 CONTATO ADMINISTRATIVO LBS2 CONTATO TÉCNICO EPM85 CONTATO COBRANÇA TLSCU2 SERVIDOR DNS datcenter.unip.br 200.196.224.5^ STATUS 01/02/2020 AA ÚLTIMO OK 01/02/2020 SEVIDOR DNS Datcenter2.unip.br 200.196.224.8^ STATUS 01/02/2020 AA ÚLTIMO OK 01/02/2020 CRIADO 17/07/1999 #175298 ALTERADO 23/05/2019 STATUS Publicado A primeira providência: identificar de forma correta a origem e a autoria do e-mail. A origem diz respeito à conexão, ao IP ou ao domínio de onde a mensagem saiu. A autoria diz respeito ao autor que redigiu e enviou (ou não) a mensagem: Exames podem identificar a máquina usada para a criação e o envio; Correlações podem identificar as ligações com o indivíduo que criou e enviou. Cabeçalhos de e-mails podem ser forjados e alterados. Anexos: Uma solução forense é baixá-lo em uma máquina virtual. Exames na internet: e-mail como evidência O DNS traduz, entre outras coisas, os nomes de domínio para os endereços IP (e vice- versa). Sendo, portanto, vital para o funcionamento da internet. Envenenamento de DNS – difícil de ser periciado e solucionado. Uma resposta falsa é enviada à solicitação DNS de um usuário: O usuário pode ser redirecionado a um site malicioso; Uma autenticação pode ser forjada. Soluções: Autenticação nas requisições e respostas DNS; A análise forense dos pacotes pode indicar a fraude. Exames na internet: DNS como evidência Sites com conteúdo criminoso são comuns. A perícia forense tem dois objetivos: Verificar o conteúdo: Copiar o conteúdo do site é uma evidência concreta, mas nem sempre browsers são eficientes; Hashes das cópias são boas opções de integridade. Identificar os responsáveis: Pelo conteúdo; Pelo site; Logs das salas, blogs e redes sociais; Dados de cadastro em aplicativos e redes sociais. Exames na internet: sites como evidência Histórico de navegação: Mostra um histórico com os sites recentemente visitados. Histórico de downloads: Indicar os arquivos baixados recentemente. Cookies: Pequenos arquivos de texto gravados na máquina com estatísticas comportamentais; Cookies maliciosos podem enviar aos sites os dados confidenciais ou privados. Exames na internet: browsers como evidência Proxy é um equipamento posicionado entre o usuário e a internet: Controla o acesso dos usuários à internet; Usa caches para melhorar o desempenho; Protege a rede; Ultrapassa as barreiras na internet; Permite a navegação de forma anônima mascarando o IP original; Browser TOR. Exames na internet: proxies anônimos como evidência Redes sociais podem abrigar calúnias, crimes e fraudes. Dados do perfil podem conter as evidências forenses importantes, se forem verdadeiros. Apoio para o crime: Comunicação entre os criminosos; Intimidação; Venda de drogas; Meio para o crime; Falsos perfis; Fraudes; Distribuição de malwares. Exames na internet: redes sociais como evidência Facebook: Identificação de usuário; Conferir perfil e URL; ID de usuário na foto do perfil; Registro de atividades; Abas. Sobre, fotos, amigos, curtir, locais: Timeline. Exemplo: As fotos do Facebook têm identificadores únicos, visíveis. Exames na internet: redes sociais como evidência Fonte: autoria própria. 012345678901234 ID da foto 01234567890123456789012345 ID do álbum 012345678901234 ID do usuário Twitter: A identificação segue o padrão twitter.com/<nome de usuário> na URL; No perfil de um usuário: informações pessoais e relacionadas à quantidade de seguidores, e de mensagens ou quais são as pessoas seguidas que podem ser facilmente coletadas; A maioria das mensagens são públicas e contêm timestamp permitindo o acompanhamento. Exames na internet: redes sociais como evidência Por que baixar um anexo de e-mail, em uma máquina virtual, pode ser uma boa solução para a computação forense? a) Porque garante a segurança, já que uma máquina virtual é imune à malwares. b) Porque garante o desempenho, já que as máquinas virtuais hospedadas costumam ser mais rápidas do que as físicas. c) Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual. d) Porque garante a precisão, pois os arquivos de máquinas virtuais são mais confiáveis. e) Porque garante a entrega, já que é muito mais fácil baixar um arquivo em uma máquina virtual. Interatividade Por que baixar um anexo de e-mail, em uma máquina virtual, pode ser uma boa solução para a computação forense? a) Porque garante a segurança, já que uma máquina virtual é imune à malwares. b) Porque garante o desempenho, já que as máquinas virtuais hospedadas costumam ser mais rápidas do que as físicas. c) Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual. d) Porque garante a precisão, pois os arquivos de máquinas virtuais são mais confiáveis. e) Porque garante a entrega, já que é muito mais fácil baixar um arquivo em uma máquina virtual. Resposta Redes: Sniffers podem ser usados para a captura de pacotes de uma rede; Cabeçalhos, payload, serviços, transações como three-handshake, protocolos; Mesmo equipamentos como switches podem ser examinados. Comando simples podem verificar quem está conectado: who; arp –a. Investigando as redes computacionais e de telefonia Captura de sniffer: Investigando as redes computacionais e de telefonia Fonte: autoria própria. Servidores: Logs de servidores de autenticação LDAP ou do Active Directory Domain Services (AD): Contêm os dados de usuários, grupos, contas, acessos. Logs de servidores proxies: Contêm os dados de usuários, o cache de sites, os horários e os protocolos. Logs de servidores Dynamic Host Control Protocol (DHCP): Contêm os endereços IP concedidos, a máscara de rede, o gateway e o nome de domínio. Logs de servidores DNS: Contêm os dados sobre as consultas a sites e os nomes de domínio. Investigando as redes computacionais e de telefonia Sniffer aplicado em consulta DNS: Investigando as redes computacionais e de telefonia Fonte: autoria própria. Sniffer aplicado em conexão com o serviço SSH: Investigando as redes computacionais e de telefonia Fonte: autoria própria. Time 10.2.3.29 11.037599 11.040067 11.046417 11.046736 11.062680 11.063025 11.145280 11.174925 11.184032 11.184775 11.184955 11.185936 11.261578 11.276780 11.570920 11.943299 11.981529 11.981762 13.199656 13.221065 13.221424 13.227631 13.246053 13.248346 200.221.2.45 172.217.29.170 172.217.29.163 172.217.29.131 77.234.42.43 Comment Seq = 0 Seq = 0 Seq = 0 Ack = 1 Seq = 1 Ack = 1Seq = 0 Ack = 1 Seq = 1 Ack = 1 Seq = 1 Ack = 1 Seq = 1 Ack = 203 Seq = 1 Ack = 203 Seq = 1449 Ack = 203 Seq = 203 Ack = 2897 Seq = 2897 Ack = 203 Seq = 203 Ack = 3791 Seq = 3791 Ack = 329 Seq = 329 Ack = 4065 Seq = 1 Ack = 1 Seq = 1 Ack = 2 Seq = 2 Ack = 2 Seq = 0 Ack = 1 Seq = 1 Ack = 1 Seq = 1 Ack = 1 Seq = 1 Ack = 209 Seq = 1 Ack = 209 Seq = 0 1435 1435 1435 1436 1436 1436 1436 1436 1436 1436 1436 1436 1436 1436 1436 1435 1435 1435 1437 1437 1437 1437 1437 1437 80 80 80 443 443 443 443 443 443 443 443 443 443 443 443 80 80 80 443 443 443 443 443 443 SYN SYN, ACK ACK ACK SYN, ACK SYN PSH, ACK – Len: 202 ACK ACK – Len: 1448 ACK – Len: 1448 ACK PSH, ACK – Len: 894 PSH, ACK – Len: 126 PSH, ACK – Len: 274 ACK FIN, ACK FIN, ACK ACK SYN SYN, ACK ACK PSH, ACK – Len: 208 ACK ACK – Len: 1418 Arquivos de prefetch (.pf): São arquivos de pré-busca, criados pelo Windows sempre que um aplicativo é executado e contém as informações sobre os arquivos carregados pelos aplicativos; Diretório C:\WINDOWS\PREFETCH; Não são lidos por editores de texto; Aplicativo WinPrefetchView. Investigando as redes computacionais e de telefonia Fonte: autoria própria. Aplicativo WinPrefetchView: Investigando as redes computacionais e de telefonia Fonte: autoria própria. REGEDIT (Windows): Árvore com os parâmetros e as configurações básicas atuais do S.O. Windows; Contém 5 registros principais: SYSTEM, SECURITY, SOFTWARE, SAM e DEFAULT; Contém 2 registros com as informações dos usuários: NTUSER.DAT e USRCLASS.DAT; Os registros contêm as chaves, os valores e os dados que devem ser alterados com cuidado. Investigando as redes computacionais e de telefonia REGEDIT (Windows): Investigando as redes computacionais e de telefonia Fonte: autoria própria. Controles de Segurança: Logs de Sistemas de Detecção/Prevenção de Intrusões (SDPI) e firewalls contêm muitas informações; São diferentes dos logs dos sistemas operacionais, de rede e de servidores; A análise pode levar a constatações sobre o tipo de ataque que está em andamento em uma rede. Investigando as redes computacionais e de telefonia Logs do SDPI Snort: Os logs do SDPI Snort são baseados nas próprias regras de configuração: Investigando as redes computacionais e de telefonia Fonte: autoria própria. alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"EXPLOIT-KIT Unknown Malvertising exploit kit Hostile Jar pipe.class"; flow:to_client,established; flowbits:isset,file.jar; file_data; content:"PK"; content:"|00|pipe.class"; distance:0; content:"|00|inc.class"; distance:0; content:"|00|fdp.class"; distance:0; fast_pattern; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; classtype:trojan-activity; sid:27085; rev:2;) Marque a alternativa incorrreta a respeito da análise de tráfego de rede: a) O payload de um pacote é, justamente, a sua área útil com os dados. b) Sistemas diferentes podem apresentar logs totalmente diferentes. c) Um servidor DNS contém as resoluções de nomes de domínio que podem ser checadas. d) Um servidor proxy pode conter cache com um histórico de navegação ou o uso da internet. e) Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o endereço de destino. Interatividade Marque a alternativa incorrreta a respeito da análise de tráfego de rede: a) O payload de um pacote é, justamente, a sua área útil com os dados. b) Sistemas diferentes podem apresentar logs totalmente diferentes. c) Um servidor DNS contém as resoluções de nomes de domínio que podem ser checadas. d) Um servidor proxy pode conter cache com um histórico de navegação ou o uso da internet. e) Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o endereço de destino. Resposta Muitos dos padrões de imagens utilizados expressam a forma de compressão dos arquivos. A compressão pode ser com e sem perdas. Cada padrão utiliza os seus próprios algoritmos. Joint Photographic Experts Group (JPEG): popular, suporta compressão com e sem perdas. Windows BitMaP (BMP): contém, até, 24 bits/pixel, e funciona com e sem compressão. Graphics Interchange Format (GIF): suporta as animações com, até, 8 bits/pixel sem perdas. Portable Network Graphics (PNG): até 48 bits/pixel e permite a transparência sem perdas. Tagged Image File Format (TIFF): compressão com e sem perdas em diferentes cores. Investigando imagens digitais A análise de imagens busca: Identificar as evidências escondidas; Manipulação e inserção de conteúdo em imagens; Flagrante ou não flagrante; Identificar os autores. O que pode ser considerada uma manipulação fraudulenta? Investigando imagens digitais Análise de sombras: Analisa a projeção de sombras e de reflexos. Investigando imagens digitais Fonte: autoria própria. Análise de perspectiva e projeção planar: Objetos inseridos maliciosamente em imagens, muitas vezes, não seguem a perspectiva. Investigando imagens digitais Fonte: Adaptado de: loc.gov/pictures Ampliação: Uma imagem não pode ser ampliada indefinidamente; Interpolação de pixels. Investigando imagens digitais Fonte: autoria própria. Brilho médio: O brilho de um pixel está, diretamente, ligado ao valor de sua intensidade luminosa; Na escala RGB 0 indica um brilho nulo, enquanto o valor 255 indica um brilho máximo; O brilho médio corresponde à média das intensidades de brilho de todos os pixels. - 100 brilho 0 brilho + 100 brilho Correção Gama: Atua na intensidade do pixel, independentemente da posição dele na imagem. Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: Adaptado de: unsplash.com/t/animals Histograma de imagem: Gráfico que representa os valores de intensidade dos pixels; Usado para a avaliação de certos aspectos da qualidade de imagem; A equalização de histograma distribui, uniformemente, a luminosidade nos pixels. Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: autoria própria. Contraste: Não se refere aos pixels individuais, mas à variação de intensidade luminosa de uma região; Alterações de contraste pouco mudam a intensidade de brilho dos pontos intermediários; A intensidade dos extremos é mais afetada. - 100 contraste 0 contraste + 100 contraste Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: Adaptado de: unsplash.com/t/animals Correção de foco: Problemas de foco ocorrem devido ao movimento. Soluções: Pontos luminosos na imagem indicam o raio do círculo da função de espalhamento; Rastro dos objetos em movimento. Na figura, o carro em movimento está bem focado, enquanto as árvores não. Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: Adaptado de: unsplash.com/t/people Distorção de lente: O ideal é que as imagens não apresentem distorções (curvas em trechos de retas); Acarreta as dificuldades na estimação de medidas. Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: Adaptado de: techtudo.com.br/dicas-e-tutoriais/noticia/2016/08/lentes-de-cameras- podem-distorcer-foto-e-te-fazer-engordar-veja.html Operações aritméticas: Pode-se identificar diferenças em imagens com as operações como a subtração/adição; Esse procedimento pode diminuir o ruído de imagens noturnas ou de difícil compreensão. Investigando imagens digitais: técnicas para a melhoria em imagens Fonte: autoria própria. IMAGEM 1 IMAGEM 2 RESULTADO DA SUBTRAÇÃO Fotogrametria: Técnicas baseadas na perspectiva para dar um efeito 3D em imagens 2D; Mais realismo; Permite definir a dimensão, a velocidade e a altura correta de objetos nas imagens. Veja, na figura, como é difícil determinar a altura da pessoa. Investigando imagens digitais: técnicas para a melhoria em imagensFonte: unsplash.com/t/people Fotogrametria: projeção reversa: Fotografa-se um objeto inteiro; Fotografa-se o mesmo lugar com uma régua; A sobreposição das imagens permite as estimativas das dimensões do objeto. Fotogrametria: modelo Matricial de Projeção de Câmera: Cria-se uma matriz de projeção; Estimam-se as coordenadas reais, a partir de pontos de referência fixos da imagem; São necessários, pelo menos, seis pontos de referência de alta definição na imagem. Investigando imagens digitais: técnicas para a melhoria em imagens Pontos de fuga: Pontos de convergência das linhas retas paralelas 3D projetadas em 2D; Para se determinar a altura de um objeto na imagem. Investigando imagens digitais: técnicas para a melhoria em imagens Linha Horizontal (LH); Linha da Terra (LT); Ponto de Fuga (PF); Ponto de Vista (PV). Fonte: Adaptado de: vivadecora.com.br/pro/estudante/ponto-de-fuga/ Marque a alternativa correta a respeito das técnicas de análise de imagens: a) A correção de foco pode ser utilizada em imagens que contêm movimento. b) A projeção reversa observa as sombras projetadas de um objeto. c) A distorção de lente é uma técnica de fotogrametria que ajuda a identificar as imagens. d) Um ponto de fuga ocorre em imagens ampliadas. e) O brilho médio pode ser determinado pelo uso do histograma de pixels. Interatividade Marque a alternativa correta a respeito das técnicas de análise de imagens: a) A correção de foco pode ser utilizada em imagens que contêm movimento. b) A projeção reversa observa as sombras projetadas de um objeto. c) A distorção de lente é uma técnica de fotogrametria que ajuda a identificar as imagens. d) Um ponto de fuga ocorre em imagens ampliadas. e) O brilho médio pode ser determinado pelo uso do histograma de pixels. Resposta Segundo a Organização Mundial de Saúde (OMS): Trata-se de um transtorno de preferência sexual por crianças, pré-adolescentes e adolescentes, independente do sexo (VELHO et al., 2016); Pedófilo é quem tem o transtorno. Por si só, isso não é um crime. Crime de pornografia infantil: Alguém armazena ou compartilha as imagens, e os vídeos pornográficos de crianças. Crime de abuso: Uso do corpo de uma criança para a satisfação sexual (física ou virtual); 99% deste crimes são cometidos por não pedófilos (VELHO et al., 2016). A ciência forense aplicada contra a pornografia infantil Dinâmica dos abusos sexuais infantis: Abordagem tradicional: Busca ganhar a confiança da vítima por meio de aproximações físicas. Abordagem virtual: Busca ganhar a confiança da vítima por meio de aproximações virtuais: Texting: textos virtuais maliciosos; Sexting: vídeos virtuais maliciosos. Redes de exploração infantis: Exploram, de maneira criminosa, a pornografia infantil, os abusos e o tráfico de pessoas. A ciência forense aplicada contra a pornografia infantil A visão da lei: Convenção sobre os Direitos da Criança (ONU), 1989: Reconhece a criança como um elemento que precisa de proteção. Estatuto da Criança e do Adolescente (ECA): Criminaliza a posse e o compartilhamento de pornografia infantil. Constituição Federal: Estado e família devem proteger a criança. Código Penal: Agrava a punição de estupro em vulneráveis. A ciência forense aplicada contra a pornografia infantil A visão da lei: É preciso provar: Os acontecimentos; Os envolvidos. Exceções ou não são crimes: Posse de pornografia infantil sem o conhecimento; Descarte voluntário de pornografia infantil. A ciência forense aplicada contra a pornografia infantil Técnicas para a identificação de pornografia infantil: Hashes: Garantem a integridade das cópias de arquivos analisados. Detecção automática de nudez: Análise de grupos de pixels que contenham as cores de pele humana; Filtros e histogramas de cores podem ser montados para este fim; Pode ser reforçado com a geometria computacional; Impreciso para as imagens em branco e preto. A ciência forense aplicada contra a pornografia infantil Técnicas para a identificação de pornografia infantil: Análise dos nomes de arquivos: Apesar da imprecisão, os nomes específicos de arquivos podem indicar pornografia infantil. A ciência forense aplicada contra a pornografia infantil Nomes Babyj Babyshivid Childlover Childporn Childsex Childfugga Ddogprn Qqaazz Yamad Hussyfan Kdquality Kidzilla Kingpass Mafiasex Pedo Pedofilia Raygold Youngvideomodels Pedofilo Pedoland Pedophile Pedophilia Pthc Reelkiddymov Técnicas para a identificação de pornografia infantil: Inteligência Artificial (IA): Permite que um sistema aprenda a partir de treinamento e estímulo ao acerto; Algoritmos analisam as imagens e aprendem quais indicam ou não os crimes. Detecção de PERiodicidade (PER): Analisa a repetição de cenas, ou de movimentos em vídeos e áudios; Em geral, as cenas de pornografia contêm os movimentos ritmados e repetitivos; A PER pode ser utilizada para a criação de histogramas de movimentos. A ciência forense aplicada contra a pornografia infantil Técnicas para a identificação de pornografia infantil: Exames locais: A perícia é rápida e realizada, diretamente, no ambiente e nos dispositivos dos suspeitos; Smartphones, câmeras, computadores, tablets. Exames de laboratório: Examinam os dispositivos com mais cuidado e precisão; Busca por arquivos apagados ou compartilhados. A ciência forense aplicada contra a pornografia infantil O profissional forense deve buscar evidências em: Arquivos apagados; Caches de navegação e de e-mail; Logs de sistema, de aplicativos de mensagens e de redes sociais; Conteúdo e contexto de mensagens (podem indicar conexões e conversas criminosas). Programas Peer-to-Peer (P2P): Podem conter um identificador único que identifica o usuário – Global Unique ID (GUID); Podem conter hashes que identificam os arquivos compartilhados (podem ser conferidos). A ciência forense aplicada contra a pornografia infantil Documentação de pornografia infantil: A precisão é um elemento importante em investigações de pornografia infantil; O profissional deve criar categorias para dividir o conteúdo suspeito. Arquivos de pornografia infantil: Imagens e vídeos que, realmente, sejam evidências reais de pornografia infantil. Arquivos suspeitos: Arquivos suspeitos de conteúdo pornográfico infantil, mas, ainda, não confirmados. Arquivos isentos de pornografia infantil: Arquivos de pornografia adulta, mangás ou animes que não configuram um crime. A ciência forense aplicada contra a pornografia infantil Documentação de pornografia infantil: Laudo pericial: Documentação dos resultados das análises locais e laboratoriais; O profissional forense pode optar por incluir imagens ou vídeos; Vantagem: sensibiliza e confere celeridade ao processo; Desvantagem: choca e expõe as vítimas; O conteúdo pode ser criptografado ou borrado para evitar os constrangimentos. A ciência forense aplicada contra a pornografia infantil Em qual das situações está configurado o uso da PER na análise de um conteúdo suspeito? a) Quando um treinamento baseado em algoritmos é realizado para verificar os arquivos que contêm ou não a pornografia infantil. b) Quando os nomes de arquivos são continuamente verificados para a identificação de um material suspeito. c) Quando um áudio é examinado à procura de padrões ou de sons repetitivos. d) Quando o cache de navegação dos browsers é examinado. e) Na detecção automática de nudez com os softwares que examinam os pixels das imagens. Interatividade Em qual das situações está configurado o uso da PER na análise de um conteúdo suspeito? a) Quando um treinamento baseado em algoritmos é realizado para verificar os arquivos que contêm ou não a pornografia infantil. b) Quando os nomes de arquivos são continuamente verificados para a identificação de um material suspeito. c) Quando um áudio é examinado à procurade padrões ou de sons repetitivos. d) Quando o cache de navegação dos browsers é examinado. e) Na detecção automática de nudez com os softwares que examinam os pixels das imagens. Resposta AYERS, R.; BROTHERS, S.; JANSEN, W. Guidelines on mobile device forensics. NIST SP 800-101, 2014, 85 p. DE ARRUDA, O. D. R. et al. Uma proposta para automatização do processo de preservação de evidências voláteis em sistemas in vivo com ênfase em hosts Linux. FaSCi-Tech, v. 1, n. 14, 2019. p. 37-51. KENT, K. et al. Guide to integrating forensic techniques into incident response. NIST Special Publication, v. 10, n. 14, 2006. p. 800-886. LIN, X. Introductory Computer Forensics: a hands-on practical approach. Springer, 2018, 582 p. OLIVEIRA, L. R. Aplicação de algoritmos de aprendizado de máquina na unificação das técnicas de análise estática e dinâmica para a classificação de ransomware. IPT. Dissertação de Mestrado, 2018, 77 p. Referências REGENSCHEID, A.; FELDMAN, L.; WITTE, G. NIST Special Publication 800-888 Revision 1, Guidelines for Media Sanitization. National Institute of Standards and Technology, 2015. SENASP/MJ. Procedimento Operacional Padrão Perícia Criminal. Ministério da Justiça, Brasil, 2013, 243 p. SILVA, A. A. A.; GUELFI, A. E. Sistema para a identificação de alertas falso positivos por meio de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010. VELHO, J. A. et al. Tratado de Computação Forense. Millenium, Campinas, Brasil, 2016, 610 p. WILLASSEN, S. Forensic analysis of mobile phone internal memory. In: IFIP International Conference on Digital Forensics. Springer, Boston, MA, 2005. p. 191-204. Referências ATÉ A PRÓXIMA!