Digital Forensics Vs Anti-Digital Forensics Techni - En.pt

DIGITAL FORENSICS VS.
UMANTI-DIGITAL FORENSICS:
TECHNIQUES, euIMITAÇÕES E RECOMENDAÇÕES
APREIMPRIMIR
Jean-Paul A. Yaacoub, Hassan N. Noura, Ola Salman e Ali Chehab

Universidade Americana de Beirute,
Departamento de Engenharia Elétrica e de Computação,
arXiv: 2103.17028v1 [cs.CR] 31 de março de 2021
Beirute 1107 2020, Líbano
1 de abril de 2021
UMABSTRACT
O número de ataques cibernéticos aumentou tremendamente nos últimos anos. Isso resultou em perdas humanas e financeiras nos níveis individual e organizacional. Recentemente, os cibercriminosos estão aproveitando novas habilidades e
capacidades, empregando atividades, técnicas e ferramentas anti-forenses para encobrir seus rastros e evitar qualquer detecção possível. Conseqüentemente, os ataques cibernéticos estão se tornando mais eficientes e sofisticados. Portanto,
as soluções criptográficas e não criptográficas tradicionais e os sistemas de controle de acesso não são mais suficientes para prevenir tais ataques cibernéticos, especialmente em termos de obtenção de evidências para investigação de
ataques. Conseqüentemente, a necessidade de ferramentas de investigação forense bem definidas, sofisticadas e avançadas são altamente necessárias para rastrear criminosos cibernéticos e reduzir o número de crimes cibernéticos. Este
artigo analisa os diferentes métodos, ferramentas, técnicas, tipos e desafios forenses e anti-forenses, ao mesmo tempo que discute o surgimento do anti-forense como um novo mecanismo de proteção forense contra atividades anti-
forenses. Isso ajudaria os investigadores forenses a compreender melhor as diferentes ferramentas, métodos e técnicas anti-forenses que os cibercriminosos empregam ao lançar seus ataques. Além disso, as limitações das técnicas forenses
atuais são discutidas, especialmente em termos de problemas e desafios. Finalmente, este artigo apresenta uma visão holística do ponto de vista da literatura sobre o domínio forense e também ajuda outros colegas em sua busca para
entender melhor o domínio forense digital. ao mesmo tempo, discute a ascensão do anti-anti-forense como um novo mecanismo de proteção forense contra atividades anti-forenses. Isso ajudaria os investigadores forenses a compreender
melhor as diferentes ferramentas, métodos e técnicas anti-forenses que os cibercriminosos empregam ao lançar seus ataques. Além disso, as limitações das técnicas forenses atuais são discutidas, especialmente em termos de problemas e
desafios. Finalmente, este artigo apresenta uma visão holística do ponto de vista da literatura sobre o domínio forense e também ajuda outros colegas em sua busca para entender melhor o domínio forense digital. ao mesmo tempo, discute
a ascensão do anti-anti-forense como um novo mecanismo de proteção forense contra atividades anti-forenses. Isso ajudaria os investigadores forenses a compreender melhor as diferentes ferramentas, métodos e técnicas anti-forenses que
os cibercriminosos empregam ao lançar seus ataques. Além disso, as limitações das técnicas forenses atuais são discutidas, especialmente em termos de problemas e desafios. Finalmente, este artigo apresenta uma visão holística do ponto
de vista da literatura sobre o domínio forense e também ajuda outros colegas em sua busca para entender melhor o domínio forense digital. métodos e técnicas que os cibercriminosos empregam ao lançar seus ataques. Além disso, as
limitações das técnicas forenses atuais são discutidas, especialmente em termos de problemas e desafios. Finalmente, este artigo apresenta uma visão holística do ponto de vista da literatura sobre o domínio forense e também ajuda outros
colegas em sua busca para entender melhor o domínio forense digital. métodos e técnicas que os cibercriminosos empregam ao lançar seus ataques. Além disso, as limitações das técnicas forenses atuais são discutidas, especialmente em
termos de problemas e desafios. Finalmente, este artigo apresenta uma visão holística do ponto de vista da literatura sobre o domínio forense e também ajuda outros colegas em sua busca para entender melhor o domínio forense digital.
Keywords Forense; Forense digital; Anti-forense; Anti-Anti-Forense; Contra Anti-Forense; Investigação forense; Fonte de
evidências; Integridade da evidência; Dados digitais; Preservação de privacidade
1. Introdução
Na perícia cibernética, os investigadores buscam recuperar evidências digitais de dispositivos digitais e cibernéticos / físicos,
incluindo dispositivos de rede, computadores, sensores e dispositivos móveis e inteligentes, bem como drones e robôs. Infelizmente,
as investigações forenses não são muito eficazes devido ao uso crescente de técnicas anti-forenses. Na verdade, as abordagens
forenses atuais sofrem de diferentes falhas técnicas devido às ferramentas anti-forenses para evitar a detecção. As técnicas anti-
forenses são usadas para desabilitar e distorcer a investigação forense, atacando as ferramentas forenses ou excluindo, ocultando
ou criptografando as próprias evidências. Mais especificamente, algumas ferramentas anti-forenses são usadas para comprometer a
integridade das evidências. Neste artigo, as técnicas forenses existentes são revisadas, incluindo computador, celular, rede, nuvens,
digital, malware, e e-mail forensics, e as técnicas e atividades anti-forensics também são descritas e classificadas. Recentemente, as
técnicas anti-forenses surgiram para defender as ferramentas e técnicas forenses contra as atividades anti-forenses. Portanto, a
importância da perícia e da antiantilícia será destacada para identificar as tentativas antianálise forenses que visam as evidências.
Ultimamente, não foi dado foco suficiente ao domínio forense, especialmente, em alguns campos como a Internet das Coisas (IoT) e
Sistemas Ciber-Físicos (CPS). Portanto, este artigo tem como objetivo desenvolver um conhecimento robusto sobre abordagens,
métodos, técnicas e ferramentas forenses e anti-forenses recentes, no sentido de reduzir e prevenir as causas e
UMA PRÉ-IMPRESSÃO - UMAPRIL 1, 2021
consequências dos ataques cibernéticos. Portanto, um dos objetivos do artigo é fornecer uma melhor compreensão dos
domínios forense digital e anti-forense.
1,1 Contribuições
Esta contribuições em papel podem ser resumidas nos seguintes pontos:
• Identificação e classificação: domínios, técnicas e ferramentas da forense digital, além de apresentar suas diferentes
abordagens ao longo de suas limitações.
• Identificação e classificação: atividades, técnicas e ferramentas anti-forenses, junto com seus resultados e
consequências.
• Incluindo: as limitações e desafios que os investigadores forenses digitais encontram durante sua investigação.
• Discutindo: Counter Anti-Forensics (CAF) ou Anti-Anti-Forensics (AAF) em termos de detecção usando métodos de aprendizado de
máquina e em termos de prevenção usando técnicas de preservação de privacidade para proteger evidências digitais.
• Destacando: os desafios forenses digitais mais persistentes.

• Propondo: várias sugestões e recomendações que são incluídas para superar os desafios existentes e
permitir investigações forenses eficientes.
1,2 Trabalho relatado
Muitas pesquisas foram conduzidas e focadas exclusivamente em crimes cibernéticos do ponto de vista forense [1], enquanto discutiam
separadamente ferramentas de análise forense digital dependendo do tipo de análise forense (rede, malware, memória, etc.) [2, 3, 4]. Técnicas
anti-forenses foram apresentadas em [5, 6, 7]. Em [8], os desafios de big data foram apresentados como um sério problema forense. Este
artigo apresenta uma compreensão analítica detalhada dos domínios da ciência forense (cadeia de custódia, fonte de evidências, tipos de
perícia, ferramentas e abordagens disponíveis) e antianálise forense (aspectos, técnicas, ferramentas e abordagens), estando entre os
primeiros a discutir os domínios aspecto anti-forense. Além disso, uma gama mais ampla de desafios forenses é apresentada. Finalmente, O
aspecto da preservação da privacidade das evidências digitais também foi apresentado neste trabalho do ponto de vista forense no que diz
respeito à privacidade dos usuários e integridade das evidências. Em outros termos, este artigo cobre todos os tópicos que são apresentados
separadamente por outro trabalho, e também desenvolve sua própria perspectiva sobre técnicas forenses / anti-forenses. Isso ajudará outros
pesquisadores e colegas a ampliar suas habilidades de pesquisa e compreensão.
1.3 Formulação do Problema
Os crimes cibernéticos estão se expandindo diariamente, e o uso de técnicas e atividades anti-forenses também está aumentando.
Como resultado, isso tornou difícil recuperar vestígios e reunir evidências em relação ao início de uma investigação forense. Este
artigo tem como objetivo identificar as diferentes abordagens forense e anti-forense para um melhor entendimento e maiores
aprimoramentos e precauções contra atividades anti-forenses.
1,4 Organização
Esta o artigo está dividido em x seções além da introdução e é apresentado da seguinte forma:
2 Antecedentes - Domínio Forense
Nesta seção, destaca-se a classificação dos dados forenses, enquanto os aspectos dos crimes cibernéticos são discutidos do
ponto de vista forense, além de identificar e classificar as ameaças cibernéticas.
2.1 Classificação de dados forenses
Até agora, não existe um padrão uniforme único que classifique os dados forenses. No entanto, algumas das classificações existentes são um
tanto semelhantes. Em [9], Halboob et al. identificou os dados forenses como sendo dados acessíveis diretamente (DAD), dados acessíveis
preservados pela privacidade (PAD) ou dados não acessíveis (NAD). No entanto, de uma forma mais granular, os dados forenses podem ser
classificados em quatro categorias principais (consulte a Figura 1), conforme listado a seguir:
2
Figura 1: Classificação de dados forenses
• Dados públicos e irrelevantes: Este tipo de dado não apresenta nenhuma informação útil. O objetivo é garantir que as
investigações sejam mais demoradas e menos precisas.
• Dados públicos e relevantes: Esses dados podem ser modificados e apagados além da recuperação por cibercriminosos para evitar qualquer
detecção e eliminar quaisquer dados que possam servir como uma possível evidência.
• Dados privados e irrelevantes: Esses dados podem ser criptografados ou ocultados usando técnicas de ocultação de dados (por exemplo,
esteganografia).
• Dados privados e relevantes: Este tipo de dados serve como um tesouro escondido para investigadores forenses. Na verdade, esses dados
podem revelar muitas informações sobre os invasores, incluindo origem, impressões digitais do ataque, habilidades, experiência e
estratégias, que podem ajudar a rastreá-los e identificá-los.
2,2 Investigadores forenses:
Dependendo da fonte dos dados recuperados, os investigadores forenses podem ser classificados em quatro categorias:
• Investigadores de lógica forense: ou Digital Forensics Investigators (DFI) estão preocupados em recuperar evidências de
dispositivos digitais, incluindo software, sistemas operacionais, computadores portáteis (PCs), laptops ou até smartphones
encontrados na cena do crime.
• Investigadores da perícia cibernética: estão envolvidos no mundo da IoT e seus diferentes campos / domínios, incluindo serviços
em nuvem.
• Investigadores de perícia física: ou os investigadores tradicionais confiam em sua perícia, conhecimento e experiência para
recuperar evidências físicas forenses, principalmente de equipamentos e dispositivos de hardware.
2,3 Crimes cibernéticos
Isto é essencial para identificar o ciclo de vida de um crime cibernético cometido para atingir um objetivo criminoso. A seguir, o
crimes cibernéticos, ameaças cibernéticas e ataques cibernéticos são discutidos em detalhes.
2.3.1 Etapas do crime cibernético
Crimes cibernéticos são cometidos usando etapas pré-definidas para cometer vários crimes, como hacking, phishing, spam, ou para
cometer crimes de ódio ciber-ofensivos, chantagens, intimidação infantil / pornografia adulta [10, 11, 12, 13, 14]. Este artigo
apresenta o ciclo de vida do cibercrime como segue (ver Figura 2), que é uma versão modificada das principais fases do cibercrime
apresentadas em [15].
• Reconhecimento: Esta fase consiste na coleta de informações pelo invasor sobre a (s) vítima (s) visada (s)
(indivíduos ou organizações) de acordo com o objetivo do invasor, o orçamento disponível e os recursos.
• Ataques secretos: Depois de coletadas as informações, os planos e estratégias de ataque são elaborados de acordo com
as ferramentas e técnicas disponíveis. A maioria desses ataques é conduzida por meio de canais secretos usando Redes
Privadas Virtuais (VPNs), The Onion Router (TOR) ou proxies. Esses ataques podem ser realizados por:
- Insiders: ou denunciantes, por ser um funcionário desonesto ou insatisfeito recrutado por uma organização
competitiva para atingir uma organização rival.
- Estranhos: liderando um ataque remoto secreto por meio de e-mails de spam que atraem um funcionário a clicar em
links maliciosos ou visitar sites maliciosos.
3
Figura 2: Ciclo do crime cibernético
Por fim, os tipos de ataques que podem ser realizados por um atacante, nesta fase, podem ser divididos em dois tipos:
- Ataques de interação humana direta: são realizados por meio de tipos de ataque de engenharia reversa e
social [16, 17].
- Ataques de interação humana indireta: são realizados por meio de phishing, spear phishing, whaling e vishing
[18].
• Divulgando Informações: A divulgação de dados / informações é possível usando um software / aplicativo
malicioso oculto instalado no sistema da vítima por meio de spamming ou ataques de vigilância para revelar
segredos comerciais, visar a reputação de uma organização, roubo de propriedade intelectual ou causar enormes
perdas financeiras.
• Transferência de informação: Esta fase inclui copiar as informações expostas para um local, onde seja mais fácil
para o invasor manipulá-las sem ser detectado. Na maioria das vezes, os dados expostos podem ser
criptografados, onde a descriptografia seria demorada.
• Recuperação de dados: Os dados podem ser recuperados de três maneiras principais [15]:
- A primeira maneira: baseia-se na recuperação de dados instantaneamente, mas com maior risco de ser detectado.
- A segunda forma: baseia-se na recuperação de dados passivamente, o que é um processo demorado, mas sem o risco
de ser detectado.
- A terceira via: baseia-se na criação de um ataque de bandeira falsa para desviar a atenção do invasor para
outro incidente.
Isso dá aos invasores mais tempo para recuperar os dados necessários e cobrir seus rastros, com as organizações levando
meses e até anos para se recuperar de suas perdas.
2.3.2 Classificação cibercriminosa
Os cibercriminosos podem ser classificados em três categorias principais:
• Grupos Organizados Mundiais: são grupos separados geograficamente que operam (em conjunto / separadamente) localmente,
regionalmente ou mesmo globalmente para causar um dano maior contra seu (s) alvo (s) pretendido (s).
• Grupos regionais organizados: operam localmente ou regionalmente dentro de uma área geográfica limitada e são limitados em termos de
experiência, conhecimento, habilidades e ferramentas disponíveis (script kiddies).
• Indivíduos: são conhecidos como lobos solitários e operam principalmente localmente. Sua habilidade é limitada especialmente em termos
de mão de obra disponível e habilidades para realizar tarefas coordenadas.
4
2.3.3 Estrutura do crime cibernético
O tipo de crime cibernético é definido de acordo com as habilidades, conhecimento, experiência, ferramentas disponíveis, recursos e
mão de obra do criminoso cibernético. Isso também inclui o nível de estrutura, comunicação, colaboração e cooperação entre
diferentes cibercriminosos. Nesse sentido, este artigo classifica os crimes cibernéticos em quatro tipos principais.
• Coordenado e organizado: Os crimes cibernéticos são coordenados se realizados simultaneamente e de forma

profissional, experiente e sincronizada. Esses crimes baseiam-se principalmente em ataques de negação de serviço
distribuído (DDoS) na Web ou em série, comprometendo a disponibilidade de uma determinada organização e impedindo
que usuários legítimos obtenham qualquer acesso por um determinado período de tempo. Isso causa graves perdas
financeiras e econômicas. Esses crimes cibernéticos também podem ser usados para realizar um roubo cibernético
contra bancos [19, 20]. Crimes cibernéticos organizados são conduzidos para explorar as vulnerabilidades e lacunas de
segurança das organizações para garantir um alto lucro com um risco menor [21] por meio da coordenação e da
colaboração entre criminosos cibernéticos bem treinados e habilidosos. Isso é feito usando tipos de conexão secreta
anônima, como The Onion Router (TOR) [22] e deep dark web [23,
• Descoordenado e desorganizado: Crimes descoordenados podem ser facilmente detectados devido a falhas nos ataques
realizados. Isso se deve à falta de experiência, conhecimento, comunicação e sincronização entre os cibercriminosos.
Quanto aos ataques desorganizados, existe a possibilidade de perder os rastros do ataque e não conseguir eliminar
qualquer fonte de evidência possível. Assim, não cumprindo o objetivo principal do atacante.
• Convencional: Esses crimes podem ser previsíveis, devido ao seguimento de um determinado ataque ou ciclo de hacking,
o que torna mais fácil identificá-los. Na verdade, eles podem ter sérios impactos e implicações sempre que realizados,
especialmente se forem coordenados e organizados.
• Não convencional: Esta classe de crimes cibernéticos é imprevisível e pode ser dividida em dois tipos principais. O primeiro tipo está
relacionado à condução de ataques altamente avançados por meio da exploração de brechas de segurança desconhecidas. O segundo tipo é
baseado no uso de ferramentas anti-forenses avançadas para apagar dados além do reconhecimento e recuperação.
A Figura 3 inclui os tipos de atacantes de acordo com suas intenções.
Figura 3: Classificação de ciberataques
5
2.4 Ameaças cibernéticas
As ameaças ocorrem a partir do risco e potencial de ocorrer a ocorrência de um acidente, ou de um determinado ataque. Na verdade, os tipos
de ameaças existentes podem ser resumidos na Figura 4. No entanto, ainda não é suficiente para realmente entender a origem e a natureza
do ataque.
2.4.1 Fonte de Ameaça
Uma fonte de ameaça cibernética nem sempre pode ser facilmente rastreada, pois os criminosos dependem de formas anônimas para realizar seus
ataques. No entanto, pode ser classificado como uma das seguintes categorias:
• Cibercriminosos: geralmente são grupos de hackers organizados ou indivíduos que conduzem ataques cibernéticos, intimidação,
chantagem ou vazamento de informações privadas (financeiras, militares, médicas ou governamentais) para terceiros mal-
intencionados por meio da deep web dark para ganhos pessoais ou monetários.
• Hacktivistas: geralmente são hackers que têm como objetivo lançar (distribuir) ataques de negação de serviço ou desfiguração da Web como
parte da criação de um protesto cibernético contra um partido político ou governo.
• Ciberterroristas: objetivam realizar ataques de eliminação de dados e vazamento de informações visando organizações, indústrias
de petróleo, instalações governamentais e militares.
• Cyber-Spies: geralmente visam organizações, empresas, instalações governamentais e militares como parte da realização
de operações de espionagem ou / e sabotagem.
Figura 4: Identificação e classificação de ameaças
2.4.2 Tipo de Ameaça
Dependendo de sua natureza, as ameaças podem ser identificadas de maneiras diferentes. Por exemplo, Stoneburner et al. definiu uma ameaça como
sendo uma violação de segurança potencial que visa acidentalmente acionar ou explorar uma vulnerabilidade específica ou falha de segurança [25]. É de
alguma forma semelhante a uma exposição técnica. Portanto, identificar ameaças não é uma tarefa simples. No entanto, este artigo os apresenta da
seguinte forma:
• Falha de segurança: geralmente é causado pela presença de medidas de segurança fracas (brechas) ou medidas de segurança limitadas que
cobrem apenas partes do sistema explorado e não aplicam o mecanismo de defesa em profundidade, a menos que seja uma tentativa de
ataque de dia zero.
• Ataque cibernético: é causada principalmente pela exploração de um determinado sistema, dispositivo e / e informação
por meio de comunicações sem fio, incluindo redes e internet, visando sua confidencialidade, integridade, disponibilidade
e / e autenticidade.
• Ataque físico: é causado por criminosos disfarçados de funcionários que invadem uma determinada organização e
danificam fisicamente seus sistemas e dispositivos.
6
• Aplicativo não testado: aplicativos que não foram testados estão sujeitos a várias violações de segurança maliciosas e não
maliciosas, incluindo mau funcionamento, desempenho anormal, backdoors, rootkits e malwares, incluindo vírus e Trojans.
• Sistemas de versão antiga: que não são atualizados constantemente / regularmente são geralmente direcionados por ataques / explorações
já conhecidas, levando a várias violações de segurança / privacidade.
• Vulnerabilidade explorável: é uma lacuna explorável encontrada em um determinado programa de segurança que, ao ser explorada, permite que um
determinado invasor obtenha um acesso não autorizado a um determinado sistema / dispositivo.
2,5 Cadeia de custódia forense
Para realizar uma investigação forense, uma Cadeia de Custódia [26] deve ser seguida por qualquer investigador forense.
Esta cadeia consiste em quatro fases, e são descritas a seguir:
• Identificação: inclui a identificação do evento e a identificação das evidências. Para investigar um incidente, dois tipos de
habilidades de investigação são necessários:habilidades de investigação soft e habilidades de investigação difícil. Isso resultará em
uma investigação bem-sucedida para identificar o que aconteceu, onde aconteceu, como aconteceu, quem foi o alvo e quem foi o
invasor. Esses dois tipos de habilidades podem ser definidos da seguinte forma:
- Soft Digital Forensics Investigative Skills (SDFIK): incluem uma forte cooperação e colaboração
entre investigadores forenses, o público e a equipe de investigação. Sua principal tarefa é avaliar
prontamente uma situação e ajudar, identificar e diferenciar entre eventos normais e suspeitos.
- Habilidades de investigação forense digital difícil (HDFIK): exigem a coleta de informações de qualquer
domínio público, mantendo o nível de conscientização necessário, seguindo a cadeia de custódia.
• Coleção de dados: pode ser feito por monitoramento de comunicação ou por interceptação de comunicação. Nesta fase, todos os
tipos de dados são coletados para identificar qualquer evidência potencial. Os dados originais devem primeiro ser copiados e, em
seguida, todo o trabalho forense pode ser executado nos dados copiados, uma vez que os hashes são comparados e combinados.
- Monitoramento de comunicações: é geralmente conseguido através da realização de uma "vigilância intrusiva" [27, 28] (ou seja, um
veículo secreto [29], principalmente uma van de espionagem secreta), conduzindo uma "vigilância direcionada" [30] (ou seja, contando
com a rua inteligente ou câmeras de segurança), ou usando agentes humanos [31].
- Interceptando comunicações: é geralmente alcançado identificando e interceptando endereços IP / MAC de
cibercriminosos e suspeitos [32, 33], além de rastrear seus e-mails / atividades na web, e identificar seus números de
telefone e monitorar suas mensagens telefônicas, chamadas e logs (ou seja, linhas terrestres e telefones inteligentes
[34]).
• Análise e avaliação: Após a conclusão das fases iniciais de investigação, também é importante analisar o que
aconteceu para avaliar o tipo de crimes cometidos. Esta fase consiste em duas subfases que são explicadas
a seguir:
- Avaliação e análise: Esta fase consiste em analisar os dados recuperados de equipamentos de software / hardware, incluindo
Hard ou Solid State Drives (SSD), máquinas virtuais, redes e dispositivos de rede, smartphones, tablets e laptops [35]. Isso
também inclui a realização de uma análise do cartão SIM com base na identificação de listas de contatos, registros de
chamadas e serviços de mensagens curtas (SMS) (principalmente recentes ou em torno de um determinado evento de crime),
antes de classificá-lo como roubo de propriedade intelectual, perseguição ou / e comportamento ameaçador , crimes
cibersexuais, acesso não autorizado, sabotagem, espionagem e / ou divulgação de informações confidenciais, etc ...
• Comunicando: é a última fase de uma investigação forense. Assim, está dividido em duas etapas principais:
- A primeira etapa consiste na coleta de evidências para seguir um processo legal de acusação para provar que o
suspeito de crime é culpado.
- A segunda etapa é o processo legal para comprovar a legalidade da prova. A evidência legal baseia-se na identificação de se
um determinado fato pode ser provado e apoiado ou não. Isso é feito verificando se as evidências são sustentadas por fatos
reais para processar um determinado suspeito. Em alguns casos, as evidências podem ser devolvidas [36].
Na próxima seção, o artigo se aprofunda no domínio forense digital, revisando seus diferentes subdomínios.
3 subdomínios forense digital
A perícia digital é usada para descobrir e interpretar dados eletrônicos relacionados a um crime cibernético. O objetivo é preservar as evidências para
serem legalmente utilizadas nos tribunais sem qualquer alteração / modi fi cação. Na verdade, as evidências forenses digitais podem ser
7
recuperados de várias fontes forenses digitais, conforme ilustrado na Figura 5. Além disso, existem vários tipos de forenses,
conforme apresentado na Figura 6, que serão discutidos nas seções a seguir.
Figura 5: Classificação de artefatos forenses digitais
Figura 6: Tipos forenses
3,1 Computação Forense
Os crimes cibernéticos levarão a perdas de mais de US $ 2 trilhões em 2019 [37]. Na verdade, mais de 4.762.376.960 registros de dados foram
perdidos ou roubados desde 2013. Como resultado, as demandas por técnicas e ferramentas de Computação Forense (CF) surgiram,
respectivamente. Por meio de investigações, a computação forense coleta dados de dispositivos baseados em computador. Isso permite que
eles verifiquem os processos em execução no computador do invasor / vítima por meio da verificação e extração dos arquivos do sistema, o
que torna possível rastrear e rastrear um determinado ataque. Portanto, os CFs lêem as informações do disco rígido derivadas de fontes
digitais em um curto intervalo de tempo [38], antes que qualquer exclusão / modificação ocorra.
8
3.1.1 Ferramentas Disponíveis
Uma vez que a computação forense ajuda a identificar e rastrear invasores [2], diferentes ferramentas começaram a ser usadas
(consulte a Tabela 1), incluindo imager FTK, Encase, Helix, Winhex, SMART, X-Ways e Autopsy, junto com outras ferramentas listadas
em [ 39, 40, 41, 4]. No entanto, a computação forense ainda apresenta vários desafios, limitações e desvantagens que precisam
ser considerado [42, 43, 44].
Tabela 1: Ferramentas de análise forense computacional
Análise forense computacional Descrição

Ferramentas (CFATs)
Autópsia Um programa forense digital de código aberto baseado em GUI que analisa discos rígidos e smartphones. Ele
Captura de RAM magnética serve para verificar unidades físicas criptografadas
detector de disco criptografado É usado para capturar a memória física de um computador e analisa artefatos de memória
Capturador de RAM É usado para despejar dados da memória volátil de um computador que pode conter credenciais de login e volumes de senha criptografada. Combina
Splunk várias ferramentas, incluindo pesquisa WHOIS / GeoIP, ping e varredura de portas em outras ferramentas. Captura a página inteira ou parcial, junto
Aquisição forense de sites com o código-fonte HTML e todas as imagens tipo
(FAW)
Bloqueador de gravação USB Ele extrai o conteúdo dos drives USB sem deixar nenhuma impressão digital. Ele
NFI Defraser detecta arquivos multimídia parciais ou / ou completos em fluxos de dados
ExifTool Ele ajuda os investigadores a ler, escrever e editar metainformações para vários tipos de arquivo
Toolsley Identificação de arquivo e verificação de assinatura, junto com URI de dados e geração de senha, e outras ferramentas investigativas úteis Entre
SANS Investigativo forense as plataformas de resposta a incidentes de código aberto mais populares
Toolkit (SIFT)
Dumpzilla Ele extrai diferentes informações do navegador e as analisa
Foxton Pode ser um capturador de histórico de navegador ou um visualizador de histórico de navegador
ForensicUserInfo Extrai NT Hash, contagens de login, caminhos de perfil, data de expiração da conta, redefinição de senha e outras informações.
Black Track É usado como um teste de caneta e uma ferramenta forense
Paladino Tem uma variedade de ferramentas forenses necessárias para investigar qualquer incidente
Kit Detetive Coleção de ferramentas de linha de comando e consiste em analisar volumes e arquivos
Computer Aided Investigate É usado para analisar, investigar e criar um relatório forense usando uma variedade de ferramentas
Environment (CAINE)
Encase Pode acessar um grande número de sistema de arquivo de sistema de arquivo enquanto cria
Kit de ferramentas forenses (FTK) timestamps. Ele analisa diferentes sistemas de arquivo enquanto revela seus diferentes timestamps
Zeitline É conhecido como editor de linha do tempo, coleta evidências de arquivos de log para resolver casos de crimes digitais. Ele verifica e
Resposta da multidão em Cyber visualiza discos rígidos enquanto identifica o carimbo de data / hora classificado do arquivo encontrado
Forensics Timelab (CFT) Ele reúne as informações de um sistema para iniciar uma resposta a incidentes junto com os compromissos de
Registro Recon segurança [45]. Ele extrai informações de registros (anteriores / atuais) das evidências e reconstrói sua representação
Llibforensics É uma biblioteca para aplicações forenses digitais, desenvolvida em Python, extrai informações de diferentes tipos de evidências. É utilizada
Coroner's Toolkit para auxiliar na análise de desastres informáticos e recuperação de dados
Extrator de evidências forenses online Ele reúne evidências de sistemas Windows e pode ser instalado em um pen drive USB ou disco rígido externo com 150 ferramentas diferentes e uma
de computador (COFEE) interface baseada em GUI para comandos
HELIX3 É usado na resposta a incidentes, composto por muitas ferramentas forenses digitais de código aberto, incluindo editores hexadecimais e ferramentas de quebra de
senha
À vista Inclui a visualização de históricos da Internet, verificação de uso de dispositivos USB, extração de hashes de senha e coleta de informações ao longo
de outras tarefas, como a análise de dados coletados de memórias físicas
3.1.2 Etapas de computação forense
Várias etapas de computação forense devem ser consideradas para garantir uma investigação bem-sucedida. Em [46], Kumari et al. discutimos
algumas etapas de computação forense, como higienizar a área de armazenamento para proteger os processos forenses e o uso do valor
calculado da imagem do algoritmo Message-Digest (hash MD5) para descobrir se a imagem usada é original ou não. Como resultado, a
computação forense pode ser dividida em cinco etapas principais, também mencionadas em [47], incluindo:
• Desenvolvimento de políticas e procedimentos: as evidências digitais podem ser complexas e sensíveis, onde os dados podem ser facilmente
comprometidos se não forem manuseados e protegidos com cuidado. Portanto, o estabelecimento de políticas e procedimentos padrão com
diretrizes rígidas pode ajudar a apoiar e aprimorar uma investigação forense de computador.
• Avaliação de evidências: a avaliação de evidências / possíveis evidências revela uma compreensão clara dos detalhes do crime
cibernético cometido. Portanto, novos métodos precisam ser adotados para avaliar qualquer informação potencial servindo como
uma evidência, incluindo o tipo de evidência digital e seu formato.
• Aquisição de evidências: requer um plano muito detalhado para adquirir dados legalmente. No entanto, a documentação dos
dados é recomendada antes, durante e depois de qualquer processo de aquisição. Isso permite que informações essenciais (com
base nas especificações de software e hardware) sejam registradas e preservadas, mantendo a integridade dos dados.
• Examinando evidências: inclui o exame dos dados que são copiados, recuperados e armazenados em bancos de dados de um determinado
arquivo designado, baseando-se em palavras-chave específicas ou / e tipos / nomes de arquivo, mesmo se esses arquivos foram excluídos
recentemente. Isso oferece a oportunidade de saber quando os dados foram criados e / ou modificados.
9
• Documentando e relatando: Um registro preciso das atividades é mantido por investigadores forenses de computador.
Isso inclui métodos de recuperação, cópia e armazenamento de dados, junto com a aquisição, exame e avaliação das
evidências. Portanto, preservando a integridade dos dados, aplicando as políticas e procedimentos corretos e
autenticando quaisquer descobertas (como / quando / onde) relacionadas às evidências recuperadas.
• Detecção da linha do tempo de atividade do computador: A detecção da linha do tempo da atividade do computador (CAT Detect) [48, 49] é
baseada na análise das atividades do computador para detectar inconsistências na linha do tempo do sistema do computador. No entanto, o
processo de investigação está sujeito à perda de dados, eventos ou até mesmo arquivos, seja por exclusão, manipulação ou sobrescrita. "CAT
Detect" pode remover inconsistências em uma determinada linha do tempo, analisando os logs de eventos do sistema de janelas, e pode
acessar os metadados do arquivo MAC (Modi fi ed Accessed Created) e criar uma tabela de banco de dados relacionada ao arquivo de
informações que está sendo acessado. Assim, possibilitando a construção de evidências por meio da construção de linhas do tempo.
• Visualização da linha do tempo de computação forense: O Computer Forensics Timeline Visualization (CFT Visual) é uma ferramenta
baseada na linha do tempo usada no Cyber-forensic Timelab [50]. Ao aplicar este método, as evidências obtidas são baseadas nas
variações de tempo que resultariam na criação de um gráfico de eventos baseado em linha do tempo que permite aos
investigadores saber e identificar o que aconteceu imediatamente após e antes de um determinado evento (causa / consequência).
3,2 Análise forense de rede
A perícia de rede é um ramo que deriva da árvore forense digital. É responsável por monitorar e analisar dispositivos e
tráfego de rede como parte da coleta de informações legais e recuperação de evidências legais.
3.2.1 Evidência Baseada em Rede
Ferramentas de análise forense de rede são usadas para recuperar evidências baseadas em rede, que são categorizadas como segue (veja a Figura 7).
• Dispositivos de rede: incluem pontos de acesso sem fio (APs), switches e roteadores, com seus pools de endereços IP e
MAC.
• Servidores: incluem servidores DHCP / DNS, bem como servidores de autenticação e aplicativos, com nomes de usuário,
senhas, atividades e privilégios.
• Elementos de segurança: incluem Web proxies, sistemas de detecção / prevenção de intrusão de rede (IDS / IPS), bem
como fi rewalls com e sem estado para monitorar o tráfego de entrada e saída da Internet e os logs salvos.
• Redes locais: incluem diagramas e aplicativos usados, com seus logs que contêm detalhes e informações sobre os
usuários conectados.
Figura 7: evidência baseada em rede
3.2.2 Abordagens de análise forense de rede
Devido ao aumento do comportamento de mau uso da rede, novas abordagens foram necessárias para garantir uma resposta
rápida a emergências e investigação de incidentes, para melhorar os aspectos de segurança e forense da rede. Como resultado, um
gráfico de evidências foi apresentado por Wei et al. em [51]. Em [46], Kumari et al. revisou diferentes abordagens usadas para
investigações forenses de rede. Em [52], Alzaabin et al. apresentou um sistema de análise forense usado para investigação de crime.
Os autores basearam-se na estrutura "Sistema de investigação de crime usando a importância relativa de propagadores de
informações em redes que retratam comunicações de criminosos" (CISRI) [52] para determinar o chefe do grupo cibercriminoso por
meio de investigação de crime e para descrever a relação entre um determinado grupo criminoso por meio de um gráfico que é
10
com base em chamadas, registros de chamadas e mensagens. Em [53], Hajdarevic et al. apresentou uma abordagem diferenciada que
permite a coleta, a análise e o relato de evidências por meio de uma investigação forense. Isso ajuda a tornar as evidências digitais legais e
aceitáveis pelos tribunais. Em [54], novas ferramentas de protótipo forense de rede foram apresentadas para gerar uma análise
automatizada de evidências. Isso ajuda a reduzir o tempo de resposta para superar os problemas da análise manual. Na verdade, esses
protótipos ajudariam a identificar os invasores e determinar o papel de cada um em um determinado grupo cibercriminoso. Dentro
[55], Koroniotis et al. conseguiu fornecer uma nova taxonomia forense de rede que é aplicável a botnets em domínios relacionados e
não relacionados à IoT para avaliar seus pontos fortes e fracos. Em [3], Pilli et al. desenvolveu uma estrutura de análise forense de
rede conhecida como “Network Forensics System” incluindo análise forense e segurança de rede e ferramentas de monitoramento
[3, 56], para apreender cibercriminosos no ciberespaço [57].
Na verdade, a perícia de rede pode ser categorizada de forma diferente, ou principalmente como duas categorias explicadas em [58, 59]. Na primeira
categoria,“Catch It As You Can (CIAYC)” [60], todos os pacotes são enviados por um ponto de tráfego antes de serem armazenados em bancos de dados
para análise posterior. Na segunda categoria,“Pare de olhar e escutar (SLAL)” [61], os dados são armazenados apenas em bancos de dados para análises
futuras.
3.2.3 Ferramentas NFA e NSM
Network Forensics Analysis Tools (NFATs) [62] e Network Security and Monitoring Tools (NSMTs) [58] são usados para analisar os
dados coletados e agregados. Além disso, fornecem segurança IP, junto com a detecção de ataques internos / externos, além de
garantir uma análise de risco e recuperação de dados. Isso permite que eles sejam usados para detecção de anomalias com a
capacidade de detectar e prever ataques futuros através da confiança em IDS / IPS e logs de Firewall [63]. Portanto, as principais
ferramentas de análise forense da rede estão resumidas na Tabela 2 a seguir:
Uma descrição mais detalhada das ferramentas de monitoramento e segurança de rede está resumida na Tabela 3.
3.3 Cloud Forensics
A evolução do mundo digital levou à cooperação e colaboração entre a computação forense em nuvem e a forense digital. Nesse
contexto, a análise forense da nuvem [64, 65] desempenha um papel fundamental na era do big data. Smart-phones, computadores,
laptops, tablets e veículos armazenam seus dados na nuvem, o que apresenta vários benefícios. Esses benefícios incluem a
escalabilidade, a grande capacidade e a acessibilidade sob demanda. No entanto, a transferência de dados pela rede os expõe a
vários ataques contra domínios relacionados à nuvem. Como resultado, os usuários da nuvem se tornariam vítimas de crimes
cibernéticos. Portanto, isso exige que a análise forense digital seja aplicada em ambientes de nuvem (conhecida como análise
forense em nuvem) [66]. No entanto, a investigação forense da nuvem não é uma tarefa simples, devido à dificuldade em localizar e
identificar a fonte das evidências,
3.3.1 Cloud Forensics Tools
Apesar do fato de haver poucas ferramentas de análise forense disponíveis, há uma demanda crescente para desenvolver ferramentas mais sofisticadas
e eficientes [67]. Em [68, 69, 70], diferentes ferramentas de análise forense em nuvem são discutidas e comparadas. Portanto, as principais ferramentas
de análise forense da nuvem são apresentadas na Tabela 4.
3.4 E-mail Forensics
O número de contas de e-mail e mensagens está crescendo constantemente [71]. De fato, a perícia forense de e-mail pode estar de alguma forma
relacionada à perícia forense computacional [72], visto que os e-mails apresentam a principal plataforma de comunicação que garante tanto a
confidencialidade quanto a integridade dos dados compartilhados.
3.4.1 Abordagens de e-mail forense
Muitos serviços de comunicação por e-mail (por exemplo, outlook, yahoo, G-mail), plataformas e serviços de marketing (por exemplo,
Constant Contact, SendinBlue, AWeber, GetResponse e Mailchimp) estão agora sendo usados. Como resultado, a perícia de e-mail
está se tornando o alvo principal dos hackers para recuperar informações confidenciais e sensíveis de empresas por meio de
phishing [73] e spear phishing [74], caça às baleias, war-dialing e vishing. Isso se deve à segmentação de funcionários e funcionários,
administradores e CEOs. Portanto, é essencial encontrar a ferramenta forense certa para garantir a proteção forense do email. Em
[75], Paglierani et al. conseguiu descobrir as credenciais da conta do G-mail. Este método consistia no restabelecimento das sessões
de G-mail já existentes, empregando uma representação de E-mail Forensics Extensible Markup Language / Email Forensics Resource
Description Framework (EFXML / EFRDF) [76] de cabeçalhos de e-mail. Em [46], Kumari et al. usou Digsby [77] para investigação
forense de e-mail, onde Digsby Log Analyzer (DigLA) foi emitido para localizar e detectar arquivos de registro de dados sem a
necessidade de saber detalhes sobre a localização do arquivo [77]. Além disso,
11
Mesa 2: Ferramentas forenses usadas para investigações forenses de rede
Análise forense de rede Descrição

Ferramentas de análise (NFATs)
NetIntercept Ele captura o tráfego da rede, armazena-o em formato pcap, detecta spoofing e gera uma variedade de
relatórios.
NetWitness Ele captura o tráfego de rede e reconstrói as sessões de rede na camada de aplicativo para garantir uma
análise automatizada e detecção de dia zero.
NetDetector Ele captura intrusões e realiza análises de rede em várias escalas de tempo e detecção de anomalias com base em
assinaturas.
Íris Ele coleta o tráfego da rede e o remonta, além de possuir um mecanismo avançado de pesquisa e filtragem para
uma rápida identificação de dados.
In fi nistream Ele utiliza a tecnologia Deep Packet Capture (iDPC) inteligente, enquanto executa uma análise em tempo
real ou retroativa, e registro inteligente e mineração de dados para otimização.
Solera DS 5150 É usado para captura de dados em alta velocidade e filtragem de tráfego de rede
DeepSee Inclui três softwares que são relatórios, sonar e pesquisa, para indexar, pesquisar e reconstruir o
tráfego da rede.
OmniPeek / Etherpeek Ele fornece uma visibilidade de rede em tempo real, juntamente com uma alta capacidade de captura e análise especializada, também
garante um analisador de tráfego de rede de baixo nível.
SilentRunner Ele captura, analisa e visualiza a atividade da rede, enquanto reconstrói os incidentes de segurança em sua
seqüência exata.
NetworkMiner Ele captura o tráfego da rede por meio de farejamento em tempo real ou passivo e avalia quantos dados vazaram.
Xplico Ele captura o tráfego da Internet e o reconstrói para apresentar os resultados em uma forma visualizada.
PyFlag Ele analisa os pacotes capturados pela rede, ao mesmo tempo que suporta uma série de protocolos de rede, ao longo da
análise de arquivos pcap, para extrair e dissecar pacotes em protocolos de baixo nível.
TCPDump I é um analisador de pacotes de rede de linha de comando windump que oferece suporte à análise forense de rede. É uma
Ngrep ferramenta que depura um tráfego de rede de baixo nível.
Wireshark Ele forma a base do monitoramento forense da rede e dos estudos forenses. É usado
Airxxx-ng series para garantir ferramentas de análise de tráfego de baixo nível para LANs sem fio.
DeepNines Ele fornece uma defesa de rede baseada em identidade em tempo real com análise forense de rede básica.
Argus Ele é usado para fins de não repúdio, junto com a detecção de varreduras lentas, ao mesmo tempo que oferece suporte a
ataques de dia zero.
Fenris É usado para análise de código / protocolo, depuração, pesquisa de vulnerabilidade, auditorias de segurança, análise forense
de rede e engenharia reversa.
Análise forense e de registros É usado para garantir uma análise de arquivo de log combinada com análise forense de rede e implementação de
Snort Python. É usado para detecção e prevenção de intrusão de rede e análise forense de rede. É usado para análises
Sábio forenses / de rede ao vivo, juntamente com relatórios de infraestrutura crítica. Ele oferece detecção de intrusão de
Dragon IDS rede / host e análise de rede forense.
RSA EnVision Ele fornece uma análise forense de rede ao vivo, proteção contra vazamento de dados e gerenciamento de log.
Solera DS t fornece uma análise forense de rede ao vivo, usada como uma ferramenta de análise junto com a capacidade de extrair
metadados.
SLEUTH KIT É uma ferramenta usada para examinar sistemas de arquivos e detectar comportamentos suspeitos de
computadores sem interromper a rede.
tal ferramenta garante uma coleta de evidência digital mais rápida para fins de análise, enquanto fornece descriptografia de senha para
instalações Digsby específicas de máquina e portáveis [77].
3.4.2 Ferramentas de Email-Forense
Diferentes ferramentas de análise forense de e-mail foram apresentadas junto com muitas outras abordagens e explicações em [78, 79, 80].
Consequentemente, as ferramentas de análise forense de e-mail estão resumidas na Tabela 5 a seguir.
3.5 Análise forense de malware
Também é conhecido como análise de malware, que visa estudar o processo de determinação da funcionalidade de um determinado
malware, juntamente com seu impacto e tipo de anúncio de origem (ou seja, vírus, worm, cavalo de tróia, rootkit ou backdoor). Uma vez que a
maioria das análises forenses móveis se concentram no processo de aquisição de dados [81, 82], é muito essencial identificar aplicativos
suspeitos, especialmente porque o malware pode estar escondido em aplicativos maliciosos que parecem ser legítimos, especialmente em
plataformas Android [83, 84 ]
12
Tabela 3: Descrição das ferramentas de monitoramento e segurança de rede
Nomes de ferramentas NSM Descrição

TCPDump Um farejador e analisador de pacotes que é executado em uma linha de comando e intercepta e exibe os pacotes transmitidos
pela rede.
Wireshark Uma ferramenta de plataforma cruzada que executa uma captura ao vivo no formato libpcap, junto com uma análise off-line.
TCPFlow Uma ferramenta que captura dados transmitidos como parte de conexões TCP e os armazena para uma análise de protocolo.
Ferramentas de fluxo Uma biblioteca que coleta, envia, processa e gera relatórios de dados do NetFlow.
NfDump Ele funciona com formatos NetFlow capturando leituras de daemons, exibindo-as e criando estatísticas de fl uxos e armazenando
os dados filtrados.
PADS Um sniffer de rede leve e inteligente e um mecanismo de detecção baseado em assinatura usado para detectar passivamente qualquer ativo
de rede.
Nessus Um scanner de vulnerabilidade que garante uma descoberta de dados confidenciais e de alta velocidade e análise de vulnerabilidade. Projetado
Sebek para capturar todas as atividades do Honeypot
TCPTrace Ele produz diferentes tipos de saída contendo informações, como tempo decorrido e taxa de transferência.
Ntop É usado para medição de tráfego de rede, monitoramento, planejamento e detecção de quaisquer violações de segurança.
TCPStat Ele relata a largura de banda da rede, junto com o número de pacotes e o tamanho médio dos pacotes.
IOS NetFlow Ele coleta atributos de IP de cada pacote encaminhado e detecta anomalias de rede e vulnerabilidades de segurança.
TCPDstat Ele produz uma análise de tráfego por protocolo, incluindo pacotes de rede e padrões de tráfego.
Ngrep Ele depura as interações do protocolo de texto simples para analisar e identificar qualquer comunicação de rede anômala. Ele extrai
TCPXtract arquivos por meio de interceptação de um tráfego de rede com base em suas assinaturas.
Seda Ele suporta uma captura, armazenamento e análise e fi cientes do fl uxo de dados da rede, junto com o suporte forense
da rede.
TCPReplay Classifica o tráfego capturado anteriormente, reescreve os cabeçalhos das camadas e reproduz o tráfego da rede.
P0f Uma ferramenta de fi ngerprinting do sistema operacional passivo que captura o tráfego de entrada dos hosts para as redes e detecta a presença de fi
rewall.
Nmap Uma ferramenta usada para impressão digital do sistema operacional e digitalização de portas.
Mano Um sistema de detecção de intrusão de rede que monitora passivamente o tráfego de rede.
Snort Um sistema de detecção / prevenção de intrusão de rede que realiza registro de pacotes, farejamento e tráfego em tempo real
análise.
Tabela 4: Descrição das ferramentas de análise
Cloud Forensics Tools forense da nuvem

(ClFTs)
GEADA Ele adquire dados de logs de API, discos virtuais e logs de fi rewall para realizar investigações forenses
digitais, junto com o armazenamento de logs de dados em árvores Hash enquanto os retorna em uma
forma criptográfica.
UFED Um analisador de nuvem que permite que os investigadores forenses tenham uma evidência potencial
para suas investigações de fontes de informações de nuvem, o que acelera as investigações, onde os
dados / metadados da nuvem são coletados usando o UFED PRO para empacotar e usá-los para
exames forenses.
3.5.1 Abordagens de análise forense de malware
Para garantir uma melhor análise de malware, várias abordagens foram apresentadas como parte da solução de problemas e desafios de análise forense de malware. Em [85], Li et al. identificou as
primeiras etapas da análise forense móvel, que se baseia na identificação de aplicativos maliciosos. No entanto, ainda existem muitos desafios relacionados às ferramentas de detecção de malware
[86]. Em [87], Khurana et al. dividiu a análise de malware em duas áreas principais, incluindo análise comportamental e análise de código. Mais precisamente, a análise comportamental visa examinar
como um malware interage com seu ambiente [88], enquanto a análise de código examina o código malicioso do malware [89]. Além disso, vários métodos e taxonomias foram apresentados em [90].
No entanto, a análise comportamental ainda permanece como uma questão em aberto. Em [91], Cook et al. apoiou-se em seis principais métricas individuais para medir o nível de eficácia da
atribuição no contexto de Sistemas de Controlo Industrial (ICS) aplicados a Infraestruturas Críticas (IC). Em [92], Rathnayaka et al. apresentou uma análise de malware que integra a análise estática de
malware com a análise forense de despejos de memória. Sua abordagem pode analisar tipos de malware avançados que ocultam seus comportamentos sem mostrar qualquer artefato possível, com
um resultado de precisão de 90%. No entanto, essa abordagem não é compatível com ambientes diferentes e sofre de problemas de tamanho de despejo de memória. Sua abordagem pode analisar
tipos de malware avançados que ocultam seus comportamentos sem mostrar qualquer artefato possível, com um resultado de precisão de 90%. No entanto, essa abordagem não é compatível com
ambientes diferentes e sofre de problemas de tamanho de despejo de memória. Sua abordagem pode analisar tipos de malware avançados que ocultam seus comportamentos sem mostrar qualquer
artefato possível, com um resultado de precisão de 90%. No entanto, essa abordagem não é compatível com ambientes diferentes e sofre de problemas de tamanho de despejo de memória.
13
Tabela 5: Ferramentas de investigação forense por e-mail
Ferramentas de análise forense de e-mail Descrição

(EFTs)
MailXaminer forense Ele executa colaboração e acesso a dados e oferece suporte a várias caixas de correio, equipadas com filtros de pesquisa para
Software de análise de e-mail uma busca e recuperação de e-mail forense precisa, juntamente com o armazenamento e preservação de evidências de e-
Aid4Mail Fookes software mail. Um software de arquivamento de e-mail usado para pesquisar por e-mail, produzir resultados com base em filtros e
converter e-mails em formatos de produção padrão da indústria de uma maneira altamente precisa, capaz de preservar
metadados ocultos com segurança.
Software MxToolBox Email Ele analisa endereços de IP e explora crimes cibernéticos. Ele
Paraben Email Examiner permite que os usuários realizem exames de e-mail. Ele
Software OSForensic executa pesquisas forenses de e-mail.
Visualizador EDB grátis É fácil de usar, com todas as informações da caixa de correio relacionadas ao usuário disponíveis aqui e permite a
visualização off-line de e-mails EDB.
Visualizador do Exchange EDB Ele pode ser associado à troca de servidor e contém informações cruciais para permitir uma investigação
forense.
Visualizador FreeViewer EML Ele usa o formato EML para armazenar e-mails localmente.
Visualizador FreeViewer OST Ele ajuda a visualizar todas as informações relacionadas a e-mail de um arquivo OST anexado ao Outlook.
Visualizador PST do FreeViewer Ele lê o conteúdo do arquivo PST, como e-mails, anexos junto com as informações do cabeçalho.
Visualizador FreeViewer MSG Ele lê o conteúdo do arquivo Outlook MSG junto com os cabeçalhos. e informações de anexos
Visualizador SQL MDF Exibe bancos de dados MDF sem ambientes SQL Server.
Visualizador SQL LDF Ajuda a analisar o que aconteceu com os bancos de dados SQL Server.
Visualizador FreeViewer MBOX É usado por muitos clientes de e-mail e pode ser facilmente visualizado pelo MBOX Viewer. É um
Visualizador Opera MBS cliente de e-mail que armazena e envia e-mails aos usuários e também gera arquivos MBS. Os usuários
DBX Viewer podem usar esta ferramenta para visualizar e-mail, informações de cabeçalho e anexos.
Visualizador WAB Ele armazena detalhes de contato no formato WAB e permite a recuperação de informações de contato armazenadas em um
formato WAB.
ZDB Visualizador O Zimbra pode ser conectado ao Outlook para visualizar as informações do cabeçalho do e-mail.
3.5.2 Ferramentas de análise forense de malware
As ferramentas de análise forense de malware são essenciais para qualquer análise e investigação de malware. Por esse motivo, diferentes
ferramentas de análise forense de malware estão resumidas na tabela 6 a seguir e são explicadas e discutidas em [93, 94, 95, 96].
Tabela 6: Ferramentas de análise forense de malware
Malware Forensics Tools (MFTs) Descrição

FOR610 Ele explora ferramentas de análise de malware e ajuda os investigadores forenses e responsáveis pela resposta a incidentes a adquirir as habilidades práticas necessárias para examinar
os programas maliciosos que infectam os sistemas Windows.
Cuco [97] Sandbox Uma plataforma de código aberto que automatiza a análise de arquivos maliciosos com um feedback significativo e detalhado e garante a detecção e
proteção de malware.
Regras de outro acrônimo recursivo Uma ferramenta de atribuição de malware de código aberto que é usada para classificar e analisar amostras de malware com base em padrões textuais ou binários, os
(YARA) malwares são descritos com base em seus padrões.
Resposta rápida do Google (GRR) Uma estrutura de resposta a incidentes que analisa estações de trabalho específicas para pegadas de malware, consiste em um agente implantado no
sistema de destino e uma infraestrutura de servidor interativa para interagir com o agente, várias tarefas forenses podem ser realizadas na máquina
cliente.
Remnux Ele usa a abordagem one-stop-shop para fazer engenharia reversa de amostras de malware, ajudar na investigação de malware baseado em navegador, garantir
análise forense de memória e analisar várias amostras de malware.
3.6 Perícia de Memória
A perícia de memória revela a maior parte das informações das credenciais do crime. Este tipo de análise forense destina-se a avaliar a
memória física, incluindo integridade, exatidão, velocidade e quantidade de interferência. Como resultado, várias ferramentas úteis de análise
forense de memória e etapas foram listadas para uma investigação forense de memória aprimorada em [98, 99].
3.6.1 Visualização da memória
As memórias voláteis são caracterizadas por sua alta velocidade de operações de leitura / gravação. Assim, a visualização é crucial no caso de memória
volátil, especialmente com grande tamanho de disco e criptografia de disco completo. Nesse contexto, os leitores de memória MAC permitem a
visualização do mapeamento da memória física, de forma semelhante ao mapa de memória de boot show usado no kit de depuração do kernel da Apple
[100, 98].
Depois de mapear a memória, o processo de investigação requer uma gravação da "memória física correta e completa" de um
determinado dispositivo ou Sistema Básico de Entrada / Saída (BIOS) [101, 102]. Assim, sua principal função é registrar a memória da
imagem para evitar alteração da memória, principalmente na RAM física [103].
14
3.6.2 Abordagens de análise forense de memória
Quanto à forense de memória, várias abordagens foram apresentadas em [104] para mitigar os problemas de memória volátil (ou seja, memória de acesso aleatório (RAM) [105]) para permitir que as agências de aplicação
da lei tomem ações legais contra os cibercriminosos. Em [106], Shosha et al. desenvolveu um protótipo para detectar programas maliciosos usados por criminosos. Este protótipo é baseado na dedução de evidências, que
por sua vez, é baseada em rastros do suspeito do programa. Em [104], Olajide et al. usou dumps de RAM para extrair informações sobre a entrada do usuário de aplicativos do Windows. Em [107], Ellick et al. introduziu uma
ferramenta de análise forense de RAM conhecida como ForenScope [108]. Esta ferramenta garante a investigação de uma dada máquina usando bash-shell regular, o que permite desabilitar as ferramentas anti-forenses
durante a busca por qualquer evidência potencial. Em [109], Johannes et al. apresentou uma abordagem diferente. Essa abordagem investiga o firmware ao longo de seus componentes e melhora a imagem forense com
base no mapeamento da tabela de páginas e na introspecção PCI. Em [110], Shashidhar et al. apresentou uma abordagem cujo objetivo era atingir o valor potencial de uma pasta de pré-busca, junto com a própria pasta de
pré-busca. Isso é usado para iniciar e acelerar um programa de máquina de janela. Em [111], Latzo et al. pesquisou o domínio forense de memória e apresentou uma taxonomia de aquisição de memória forense que é
independente do Sistema Operacional (SO) e da Arquitetura de Hardware (HA), e também pode ser implantada pré / pós-incidente. apresentou uma abordagem cujo objetivo era atingir o valor potencial de uma pasta de
pré-busca, junto com a própria pasta de pré-busca. Isso é usado para iniciar e acelerar um programa de máquina de janela. Em [111], Latzo et al. pesquisou o domínio forense de memória e apresentou uma taxonomia de
aquisição de memória forense que é independente do Sistema Operacional (SO) e da Arquitetura de Hardware (HA), e também pode ser implantada pré / pós-incidente. apresentou uma abordagem cujo objetivo era atingir
o valor potencial de uma pasta de pré-busca, junto com a própria pasta de pré-busca. Isso é usado para iniciar e acelerar um programa de máquina de janela. Em [111], Latzo et al. pesquisou o domínio forense de memória
e apresentou uma taxonomia de aquisição de memória forense que é independente do Sistema Operacional (SO) e da Arquitetura de Hardware (HA), e também pode ser implantada pré / pós-incidente.
3.6.3 Ferramentas de análise de memória
Este artigo resume as principais diferentes ferramentas de análise forense de memória que são apresentadas e explicadas em [112, 41]. Por
exemplo, PTFinder [113], que é um kit de ferramentas forenses, foi usado para permitir a investigação do conteúdo da memória principal. Para
maiores esclarecimentos, essas ferramentas estão resumidas na Tabela 7 a seguir.
Tabela 7: Ferramentas de investigação forense de memória
Ferramentas de análise de memória Descrição

(MFTs)
SANS Investigative Forensics Inclui todas as ferramentas necessárias para conduzir uma investigação forense aprofundada ou uma investigação de resposta a incidentes.
Toolkit (SIFT)
CrowdStrike Corvo- Ele é usado como parte de um cenário de resposta a incidentes para coletar informações contextuais e também pode fazer a
dResponse varredura do host em busca de detecção de malware.
Volatilidade É uma estrutura de forense de memória para resposta a incidentes e análise de malware que permite a
extração de artefatos digitais de despejos de memória volátil (RAM).
Kit Detetive Ele pode ser usado para realizar análises aprofundadas de vários sistemas de arquivos.
FTK Imager Ele permite o exame de arquivos e pastas em discos rígidos locais, unidades de rede, CDs / DVDs,
enquanto analisa o conteúdo de imagens forenses ou despejos de memória.
Linux 'dd' Ele é usado para limpeza forense de uma unidade enquanto também cria uma imagem bruta da unidade.
Computer Aided Inclui uma interface de usuário amigável, ferramentas de relatório semiautomáticas para análise forense móvel e de rede, junto
INvestigative Environment com a recuperação de dados.
(CAINE) ExifTool Fast & It suporta uma grande variedade de formatos de arquivo e é usado para ler, escrever ou editar informações de metadados
de arquivo.
Neo Bulk Extractor Ele é projetado para manipular e carregar arquivos muito grandes, junto, coleta de informações ou pesquisa de dados
ocultos.
grátis Hex Editor Ele verifica uma imagem de disco, arquivo ou diretório de arquivos e extrai informações, incluindo endereços de e-mail,
URLs e arquivos ZIP.
HÁBIL Tem como objetivo auxiliar em cenários de Resposta a Incidentes, Inteligência Cibernética e Computação
LastActivityView Forense. Permite visualizar quais ações foram realizadas por um usuário e quais eventos ocorreram na
máquina, útil para comprovar que determinado usuário realizou uma ação que negou.
DSi USB Write Blocker Ele garante um bloco de gravação para dispositivos USB para manter os dados e metadados seguros.
FireEye RedLine Ele executa a memória do host e análise de arquivos, coleta informações de memória e reúne sistemas de arquivos para
construir um perfil geral de avaliação de ameaças.
À vista Ele permite que os usuários executem tarefas forenses digitais, junto com o exame de despejos de memória física e
muito mais.
HxD Ele executa uma edição e modificação de baixo nível de um disco bruto ou memória principal (RAM).
HELIX3 grátis Ele é criado e usado em cenários de resposta a incidentes, computação forense e E-discovery.
USB Historian Ele exibe informações úteis, incluindo drives USB e os números de série, para saber se os dados foram
roubados, movidos ou acessados.
3.7 Análise forense móvel
A perícia móvel é classificada como um novo ramo da perícia digital, que trata da análise de dispositivos móveis para recuperar e
recuperar dados digitais que servem como evidências. Isso é feito preservando a integridade das evidências em um
15
estado não contaminado e não alterado [114, 115]. As ferramentas e técnicas forenses móveis contam com abordagens de análise
quantitativa [116]. Mais precisamente, isso se deve ao fato de que os dispositivos móveis contêm grande quantidade de dados e informações
digitais (ou seja, contatos, registros de chamadas, SMSs, informações de Wi-Fi, endereço IP / MAC, sinais de Sistemas de Posicionamento
Global (GPS), Bluetooth, etc. ...) que pode servir de prova.
• Localizando evidências: Localizar evidências em perícias forenses móveis não é uma tarefa fácil, mas pode ser alcançado. Em [117],
Chernyshev et al. descreveu as especificações das fontes de evidências de telefones celulares. Isso inclui a exclusividade e a
persistência dos identificadores dos dispositivos, bem como as informações de rede e configurações locais pessoais (ou seja,
senhas salvas, cookies, documentos eletrônicos, atividades de navegação na web, etc ...).
• Artefatos digitais: Antes de descrever e classificar as ferramentas forenses móveis, é importante saber quais artefatos
digitais podem ser recuperados primeiro, incluindo seus tipos. Por esse motivo, a Figura 8 foi apresentada.
Figura 8: Artefatos digitais de perícia móvel
- Memória interna: inclui a memória fl ash NAND [118]. Nesse tipo de memória, muitas evidências podem ser encontradas,
como dados digitais, SMS, registros de chamadas e histórico do navegador.
- Memória externa: inclui o cartão SIM, onde várias evidências também podem ser encontradas e recuperadas, como
dados do assinante, localização em tempo real e armazenamento de memória interna adicional.
- Logs do provedor de serviços: inclui registros de chamadas, duração e uso que podem ser identificados e recuperados mesmo após a
exclusão.
• Ferramentas forenses móveis Nos últimos anos, os dispositivos móveis estiveram envolvidos em cenas de crimes e crimes
cibernéticos como testemunhas digitais essenciais para investigar os crimes envolvendo dispositivos móveis. Para maiores
explicações técnicas, a Tabela 8 resume as principais ferramentas forenses móveis.
Como resultado, essas ferramentas forenses estão resumidas na Figura 9.
3.8 IoT Forensics
A IoT é uma rede inteligente capaz de tomar decisões e autogerenciá-la, ao mesmo tempo que está conectada a vários domínios, incluindo a IoT médica
[121]. Ao contrário da perícia forense tradicional que depende do domínio Triple-A (conhecido como Autenticação, Autorização e Contabilidade) [122], a
perícia forense da IoT depende de etiquetas de Identificadores de Radiofrequência (RFID), bem como da rede e dos nós sensores. Na verdade, a Tabela 9
contém uma comparação entre a análise forense tradicional e a análise forense de IoT.
A seguir, as características da IoT são detalhadas com base nos elementos de comparação incluídos na Tabela 9.
• Fonte de evidência: Identificar a fonte de evidência requer o conhecimento do tipo de dispositivos em uso (ou seja,
software, hardware e sistema operacional). Além disso, também requer a coleta das evidências forenses necessárias de
cenas de crimes cibernéticos digitais e com base em IoT.
• Informação Crucial: devido ao crescente crescimento do número de dispositivos, com mais de trilhões de dispositivos
interconectados operando em redes IoT [123], o objetivo é localizar e identificar qualquer informação disponível que se
mostre crucial para uma determinada investigação forense, apesar das explosões em termos de tamanho de dados em
plataformas IoT [124], que pode atingir até 40.000 Exabytes em 2020 [125].
16
Tabela 8: Descrição das ferramentas forenses móveis
Forense móvel Descrição

Ferramentas (MFT)
OXIGÊNIO forense Ele extrai dados de dispositivos móveis e os analisa, e garante um uso e fi ciente de aquisição de informações
KIT
Pilot-Link É um software de código aberto projetado para o cliente Linux e fornece os meios para encontrar o conteúdo do dispositivo
lógico que pode ser examinado manualmente por emuladores de SO Palm [119]
Encase Ele permite o dispositivo Palm OS e armazena a imagem física do fluxo de bits do arquivo para uso futuro e pode ser visualizado a qualquer
momento no futuro, também ajuda a capturar instantâneos físicos e lógicos do estado atual do dispositivo. [120]
Apreensão PDA Ele garante um acesso lógico às informações através do uso do protocolo API para permitir que aplicativos de desktop
se comuniquem com dispositivos móveis e permite investigar o pocket PC e o palm OS, junto com bookmarking,
bibliotecas gráficas.
XRY É usado para analisar e recuperar informações cruciais de dispositivos móveis e é composto de dispositivo de hardware e
software e projetado para recuperar dados para análise.
À vista Recupera dados apagados (chamadas, SMS, imagens etc.) de todo o tipo de smartphones incluindo Android, iPhone e
BlackBerry.
Cellebrite UFED Isto
é um fl uxo de trabalho unificado que permite aos investigadores, junto com os primeiros respondentes, coletar, proteger e agir sobre os dados móveis de uma
maneira rápida, porém precisa, sem o risco de os dados serem comprometidos.
dentro
Tabela 9: Forense tradicional vs. IoT
Comparação Forense tradicional IoT Forensics

Propriedade Pessoas físicas, jurídicas, governamentais, etc. Pessoas físicas, jurídicas,
Protocolos Ethernet, Wireless, Bluetooth, IPv4, IPv6 governamentais, sem fio, Bluetooth,
Tamanho dos Dados Terabytes Zigbee, RFIDs Exabytes
Número de Dispositivos Bilhões Mais de 40 bilhões
Natureza das redes Com fio, sem fio, Bluetooth, GSM AAA, Sem fio, Bluetooth, RFID, WSN, etiqueta / leitor
Fonte de Evidência gateways, redes sociais Documentos 4G / 5G RFID, nós sensores / redes Qualquer
Tipo de evidência eletrônicos, formatos de arquivo padrão formato disponível
3,9 Problemas persistentes de IoT
Um Um dos principais problemas forenses de IoT é a falta de um aplicativo forense de IoT confiável [126]. Além disso, existe
nenhuma orientação forense digital existente que permita recuperar dados de um dispositivo IoT, no caso de uma investigação forense ativa ou de um
evento cibernético ocorrendo. Mais precisamente, as tecnologias embarcadas são desafiadoras devido à sua dependência do sistema operacional de
computador tradicional ou mesmo de dados magnéticos. Portanto, em [126], Watson et al. introduziu a necessidade de uma técnica avançada de
recuperação de dados sempre que uma aquisição de dados de um dispositivo IoT remoto integrado for necessária. Na verdade, parece que a
complexidade da perícia forense digital se deve a três questões principais:
• Armazenamento de dados inacessível: O armazenamento de dados a bordo não pode ser acessível por meio do uso de métodos forenses
digitais tradicionais.
• Conjuntos de dados cumulativos dispersos: pode existir em várias localizações geográficas diferentes.
• Dados ilegíveis: caso os dados tenham sido adquiridos, o problema é que não podem ser lidos ou acessados com as ferramentas
disponíveis.
4 Desafios da perícia digital
Até agora, existem muitos desafios e questões que envolvem o domínio da Ciência Forense como um todo [42, 127]. Como
resultado, os desafios da perícia digital podem ser divididos em desafios técnicos, operacionais, jurídicos e investigativos. Esta
taxonomia é ligeiramente semelhante à apresentada por Karie et al. em [128].
4.1 Desafios Técnicos
Durante uma investigação forense, são encontrados diferentes tipos de desafios técnicos que exigem lidar com dados criptográficos
e não criptográficos. Isso inclui tamanho de dados, localização de dados, ocultação de dados, exclusão de dados, ferramentas anti-
forenses e incompatibilidade, o que pode resultar em atrapalhar uma investigação ou consumo extremo de recursos e tempo.
17
Figura 9: Classificação de ferramentas forenses
• Desafios criptográficos: O nível de criptografia desempenha um papel fundamental em uma investigação forense, uma vez que
pode variar entre técnicas de criptografia simétrica e assimétrica. Na verdade, hackers e cibercriminosos o utilizam para preservar
a privacidade de seus dados e evitar sua captura. Conseqüentemente, isso explica sua dependência do anonimato, criptografia
homomórfica, compartilhamento de segredos e privacidade diferencial, junto com outros mecanismos de criptografia para tornar
quase impossível para os investigadores forenses digitais descriptografá-los.
• Tamanho dos dados: Outro desafio técnico está relacionado ao tamanho dos dados (dados pequenos, dados médios, big data [129, 130]) que
precisam ser recuperados. Isso também inclui buscar quais dados podem ser usados como evidência, identificando quais dados são
relevantes e quais dados não servem para propósitos. Conseqüentemente, os cibercriminosos confiam em cobrir seus rastros e deixar dados
que não servem para desperdiçar o tempo dos investigadores.
• Localização dos dados: Localizar onde os dados estão armazenados é outro desafio, pois não é fácil saber onde os dados
estão armazenados e localizados. É devido ao fato de os hackers usarem VPNs, proxies e TOR para realizar seus ataques
anonimamente, sem deixar rastros ou rastros, o que limita a quantidade de dados que estão sendo recuperados e
analisados por qualquer possível rastreio ou evidência.
18
• Limpeza de dados: Limpar ou excluir dados também se tornou um sério desafio para os investigadores forenses, uma vez que
hackers e cibercriminosos continuaram excluindo seus dados além da recuperação. Assim, deixando os investigadores forenses
com pouca ou nenhuma evidência para realizar sua investigação digital.
• Ocultação de dados: Ocultar dados é uma técnica popular usada tanto por cibercriminosos quanto por hackers. Essa técnica se
baseia na esteganografia para ocultar dados. Em alguns casos, os hackers também escondem seus dados em RAMs voláteis
(memória de acesso aleatório). Portanto, uma vez que a energia é desligada, os dados são completamente apagados e não há
nada que os investigadores digitais possam fazer para recuperá-los.
• Ferramentas anti-forenses: As ferramentas anti-forenses estão em uso devido à sua popularidade e eficácia para conter as
investigações forenses e eliminar qualquer fonte de evidência que possa ser recuperada ou / e rastreada. Na verdade, essas
ferramentas representam um sério risco e uma ameaça para qualquer investigação digital, já que é muito fácil usá-las para apagar
dados irrecuperáveis.
• Incompatibilidade: Devido às várias técnicas e tecnologias usadas pelos dispositivos IoT, as ferramentas forenses quase não são
confiáveis quando se trata de lidar com os diferentes tipos de dispositivos, especialmente dispositivos falsificados. Isso torna o
processo de recuperação de qualquer dado muito difícil e quase impossível.
• ATAQUE: O uso de Redundant Array of Independent Disks como uma tecnologia que combina diferentes drives físicos em uma única unidade
lógica resultando em uma virtualização de armazenamento de dados [5] está aumentando. Essa técnica depende principalmente da ordem
arbitrária do disco, da distribuição da distribuição, do tamanho da distribuição e do tamanho do bloco, junto com o uso de controladores
RAID incomuns para eliminar qualquer evidência, o que está provando ser muito difícil de recuperá-los.
• Armazenamento de computação em nuvem: Devido ao surgimento da computação em nuvem [131], os dados são movidos e terceirizados
para terceiros. Conseqüentemente, um novo desafio será lançado contra um processo de investigação forense, especialmente com terceiros
não confiáveis e semiconfiáveis. Depois que os dados são armazenados ou transferidos por meio de serviços em nuvem, eles podem ser
transferidos entre diferentes países que impõem regulamentações diferentes. Isso complicaria seriamente e afetaria uma determinada
investigação.
4,2 Desafios Operacionais
Além dos desafios técnicos, os desafios operacionais também representam uma séria ameaça ao processo de investigação forense.
Esta é devido à falta de gerenciamento de incidentes, falta de procedimentos padronizados e falta de prontidão forense.
• Falta de gerenciamento de incidentes: A falta de gerenciamento de incidentes também é conhecida como falta de detecção,
resposta e prevenção de incidentes. Em outros termos, os investigadores forenses digitais ainda são incapazes de detectar
qualquer incidente. Na verdade, mesmo que eles conseguissem detectar um incidente, eles não são capazes de responder a tempo
ou não têm a capacidade de responder. Além disso, faltam ferramentas para evitar a ocorrência de um incidente, mesmo com a
dependência de respostas híbridas IDS / IPS [132, 133, 134].
• Falta de procedimentos padronizados: Devido à falta de padronização de procedimentos e políticas, os

investigadores forenses digitais estão enfrentando desafios reais para agir e reagir da maneira certa quando
ocorre um incidente.
• Falta de prontidão forense: Devido à falta de gerenciamento de incidentes e procedimentos padronizados, os
investigadores forenses gravemente carecem de qualquer tipo de prontidão para lidar com uma cena de crime cibernético
e recuperar evidências forenses. Isso torna mais difícil detectar e rastrear qualquer evidência digital.
4,3 Desafios Legais
Depois de encontrar desafios técnicos e operacionais, outro tipo de desafio requer mais atenção para lidar e superar. Esta
questão é baseada em desafios legais que incluem falta de jurisdição, falta de processo legal, questões de segurança,
suporte insuficiente e preocupações com privacidade [135].
• Falta de jurisdição: A falta de jurisdição se deve à falta de poder oficial para tomar decisões e julgamentos
jurídicos. Isso é causado pelas rígidas restrições aos direitos humanos, que representam um sério desafio para os
investigadores forenses para rastrear e prender hackers, dependendo do tipo de seus crimes cometidos.
• Falta de processo legal: A falta de processo legal inclui a falta de qualquer processo criminal por parte do tribunal para tomar a
decisão legal necessária e julgamento sobre um suspeito que foi provado ser culpado. Portanto, falta o conhecimento de questões
digitais, sem leis firmes sendo aplicadas pelos tribunais para processar criminosos cibernéticos.
• Problemas de segurança: As questões de segurança fazem parte dos desafios legais, especialmente com as preocupações das
vítimas em relação às questões de confiança. Isso também inclui a precisão e a oportunidade da investigação forense. Mais
precisamente, baseia-se no nível de confiança que as vítimas depositam nos serviços federais, ao mesmo tempo que lhes fornece
informações para localizar e prender cibercriminosos.
19
• Suporte insuficiente: O apoio insuficiente é outro desafio, consistindo na falta de fundos e na falta de apoio
público. Na verdade, a falta de confiança e apoio do público pode resultar na falta de confiança no trabalho
realizado pelos investigadores forenses.
• Preservando a privacidade dos usuários e das vítimas: o aumento acentuado de ataques baseados em mídia social de engenharia social é devido aos
aspectos de compartilhamento excessivo da vida online dos usuários nas redes sociais. No entanto, devido aos medos e preocupações dos usuários
quanto à privacidade dos investigadores forenses, a violação de sua privacidade impõe um desafio, uma vez que um evento e ataque não podem ser
facilmente reconstruídos sem violar a privacidade dos usuários [136].
• Legitimação: ainda permanece um desafio devido à mudança da infraestrutura moderna para a computação em névoa e
terceiros, como estruturas de plataforma como serviço. Portanto, isso oferece um novo problema complexo e virtual.
Como resultado, as investigações forenses digitais modernas devem ser executadas legalmente e sem violar as leis no
mundo virtual sem fronteiras [136].
• Responsabilidade: devido às plataformas de mídia social (Twitter, Facebook, etc.) fecharem os olhos às notícias falsas, isso
garantiu sua disseminação contínua que levou a vários efeitos negativos, incluindo violência, ódio, terror e medo. Além
disso, isso também levou ao aumento de ataques de phishing e privacidade, ao roubar credenciais de usuários para fins
de chantagem, falsificação, identidade falsa ou violação de privacidade. Portanto, as empresas de mídia social devem
permitir e ajudar os investigadores forenses a rastrear a fonte de notícias falsas e evitar sua disseminação, contendo-as e
fornecendo as informações úteis corretas para localizar os perpetradores e melhorar [136].
4,4 Desafios Investigativos
Desafios investigativos geralmente são causados pela falta de pessoal forense qualificado e pela falta de conhecimento forense
quando se trata de usar ferramentas forenses.
• Interoperabilidade de ferramentas forenses: uma vez que as ferramentas forenses armazenam dados em vários tipos de formatos diferentes
que variam entre os diferentes bancos de dados, conjuntos de dados e tipos de estruturas de dados, isso ainda permanece um desafio e um
problema real [137]. A falta de padronização e uniformidade, torna esses forenses digitais heterogêneos por natureza. Portanto, há uma
necessidade urgente e persistente de um formato de dados unificado para os dados digitais forenses adquiridos.
• Falta de pessoal forense qualificado: A falta de pessoal forense digital qualificado é um desafio em si,
especialmente com a falta de treinamento e experiência na área forense. Na verdade, isso se deve à falta de
educação, onde muitos investigadores forenses digitais operam sem obter qualquer certificado forense
oficial.
• Falta de limite padronizado: A falta de um limite padronizado é devido à falta de certificados emitidos para investigadores
forenses que permitem que eles sejam classificados como autorizados. Muitos investigadores afirmam ser investigadores
forenses devido ao fato de que literalmente sabem os detalhes ou têm experiência no domínio forense. Portanto, a falta
de um limite padronizado para classificar os investigadores forenses continua a ser um desafio consistente.
• Falta de conhecimento forense: Apesar da falta de experiência, conhecimento e habilidades, outro desafio é a falta de
ferramentas e kits forenses. Além disso, na maioria dos casos, os investigadores forenses são incapazes de usar essas
ferramentas ou esses kits forenses devido à falta de experiência e habilidades. Isso pode resultar na perda ou dano dos
dados originais além da recuperação.
• Falta de habilidades de investigação forense: Outro desafio é a falta de habilidades investigativas. Na verdade, essas habilidades podem ser
classificadas em habilidades investigativas leves e habilidades investigativas duras.
4,5 Desafios de dispositivos móveis e dispositivos móveis
Dispositivos inteligentes e móveis junto com computadores, laptops e tablets fazem parte do mundo da IoT. Assim, os
investigadores forenses encontram muitos desafios ao extrair dados desses dispositivos [138, 139]. Esses desafios estão
listados a seguir:
• Natureza heterogênea: A natureza heterogênea dos dispositivos móveis, digitais e IoT, especialmente com diferentes
configurações e componentes de hardware e software [140], é um desafio para a investigação forense digital. Portanto,
diferentes técnicas e ferramentas forenses são necessárias para investigar e desmontar um determinado dispositivo para
evitar o risco de destruição de dados.
• Recursos de segurança integrados: Os recursos de segurança integrados são capazes de limitar o acesso a qualquer
dispositivo. Esses recursos estão relacionados à autenticação, identificação e verificação. Além disso, o uso da biometria
impõe um sério desafio ao processo de investigação forense.
20
• Falta de ferramentas forenses: Na verdade, faltam ferramentas, kits e equipamentos forenses que possam ser usados para a
investigação forense de dispositivos IoT. Portanto, há uma chance limitada de garantir que os dados possam ser recuperados com
segurança e cuidado, sem risco de danos ou destruição. Na verdade, as ferramentas forenses existentes são incompatíveis com os
dispositivos IoT emergentes.
• Aplicativos maliciosos: Aplicativos maliciosos são usados por criminosos cibernéticos para realizar ataques de vigilância. Assim que
esses aplicativos forem instalados, um Trojan ou worm será ativado em um determinado dispositivo, capaz de garantir um ataque
de spyware, ransomware, botnet ou mesmo DoS. Isso oferece a capacidade de excluir, alterar, modificar e até mesmo manipular os
dados do dispositivo, enquanto obtém um acesso privilegiado não autorizado.
• Desafios CTI: Devido às vulnerabilidades exploráveis e lacunas de segurança existentes em qualquer sistema, os
cibercriminosos podem realizar seus ataques cibernéticos por meio de infecção e exploração. Na verdade, os invasores
começam a usar métodos inovadores para atacar e direcionar suas vítimas, contando com spear-phishing e técnicas de
engenharia social / reversa [141]. Além disso, tais ataques podem mascarar um determinado malware em um arquivo PDF,
imagem ou mesmo um vídeo, que seria executado na máquina da vítima [142] sem o seu conhecimento. Portanto, isso
levaria a outra forma de backdoor [7, 143] para o sistema da vítima.
• Limitações legais: Como os dispositivos móveis fazem parte do mundo da IoT, em caso de um crime internacional, diferentes leis e
diferentes medidas de segurança podem causar conflitos entre diferentes países. Na verdade, é devido à ausência de uma
jurisdição uniforme e sistemas de processamento legal que possam ser aplicados para garantir uma melhor cooperação e
colaboração entre os diferentes pares.
• Componentes dos dispositivos: Os componentes do dispositivo podem ser divididos em:
- Componentes de software: estão relacionados ao uso de diferentes sistemas operacionais e software (por exemplo, Apple, Android, etc.
em smartphones, Windows, Linux etc. em computadores). Cada SO opera de forma diferente, o que representa um desafio para os
investigadores forenses, uma vez que isso requer diferentes abordagens de investigação.
- Componentes de hardware: incluindo o armazenamento de dados em memórias voláteis, incluindo RAMs, ou em armazenamento
magnético. Assim, quanto menor o tamanho físico de uma determinada área de armazenamento, mais difícil para os investigadores
forenses investigá-la sem correr o risco de danificá-la.
• Comunicações sem fio: Também é importante notar que as comunicações sem fio impõem um sério desafio aos
investigadores forenses, especialmente ao lidar com hackers bem treinados e experientes (ciber- (industrial)
-espionagem, ameaças persistentes avançadas) que encobrem seus rastros além do uso proxies, VPNs e TOR [144,
145, 146] para ocultar seus movimentos confirmados. Isso elimina e reduz as possíveis evidências para evitar ser
detectado e rastreado por investigadores forenses.
• Tipos de dispositivos: Outro desafio surgiu, principalmente com o grande número de dispositivos falsificados, incluindo laptops,
PCs, smartphones e tablets, que estão se espalhando pelo mercado. Isso se deve aos seus preços baratos e à falta de medidas de
segurança. Isso tornou extremamente mais fácil para um invasor usá-los para atrair suas vítimas para instalar aplicativos falsos ou
usá-los para ocultar dados e informações. Em muitos casos, esses dispositivos falsos podem servir como bots (zumbis) e conduzir
um ataque anônimo em nome do invasor. Isso também inclui seu uso para destruir de forma lógica os dados por meio do uso de
ferramentas anti-forenses ou por meio da destruição física. Ao contrário dos dispositivos originais, é mais difícil para os
investigadores forenses rastrear um dispositivo genuíno em comparação com um dispositivo falsificado.
4,6 Desafios de Big Data
Embora o desafio do big data tenha sido mencionado brevemente antes, é importante explicá-lo com mais detalhes para destacar
sua importância (consulte a Figura 10). Lidar com problemas e desafios de big data [147, 8, 148] requer esforços extras para alcançar
os resultados pretendidos e caçar os cibercriminosos. Em [149], Adebayo classificou esses desafios dependendo da variabilidade,
velocidade e volume dos dados. Na verdade, outros desafios relacionados à precisão e heterogeneidade, validade e confiabilidade
são discutidos a seguir:
• Falta de precisão: Devido ao tamanho do big data, surgiu um problema de precisão relacionado à natureza, origem e valor das
evidências recuperadas. Na maioria dos casos, o big data oferece nenhuma evidência ou pouca. Esta é a razão pela qual ele
apresenta um problema real para investigadores forenses, perdendo seu tempo procurando por informações úteis.
• Dados heterogêneos: os dados coletados de diferentes fontes podem ser estruturados, semiestruturados ou não
estruturados. Isso representa um problema sério que pode impedir a investigação forense. No caso de os dados não
estarem estruturados, não existe um formato para suportá-los adequadamente, resultando em perda de tempo e recursos.
• Inconsistência de dados: está relacionado ao volume, velocidade e variedade de big data [149]. Isso representa um fardo extra, pois
os cibercriminosos dependem de um grande volume de big data que, na maioria dos casos, é irrelevante e inconsistente.
21
Figura 10: Desafios forenses
Além disso, a natureza dos dados recuperados depende se são estruturados ou não estruturados. Isso requer
tempo e recursos adicionais para reconstruir os dados e analisá-los.
• Data de validade: Outro desafio está relacionado à validade dos dados, principalmente se se trata de metadados que servem por
um curto período de tempo. Nesse caso, o desafio é ver por quanto tempo os dados podem sobreviver, especialmente em
memórias voláteis como a RAM.
• Confiança de dados: A ocultação, manipulação e alteração de dados tornam difícil para os investigadores forenses provar
que as evidências recuperadas são legítimas. Isso se deve à possibilidade dos dados coletados serem modi fi cados ou
mesmo alterados. Portanto, é um desafio provar a legitimidade das evidências recuperadas para serem justificáveis, legais
e utilizáveis em tribunais.
• Velocidade de dados: A velocidade dos dados ou velocidade dos dados está relacionada à velocidade com que os dados são processados em
[149]. Em outros termos, é a velocidade de geração ou movimentação de dados. Na verdade, a velocidade do big data requer a necessidade
de aquisição e análise de dados em uma escala mais alta para maximizar o valor dos dados.
• Volume de dados: pode ser definido como a quantidade de dados gerados, especialmente quando se trata de big data, onde uma grande
quantidade de dados é gerada. Consequentemente, isso requer a garantia da escalabilidade do armazenamento de dados, juntamente com
a necessidade de uma abordagem de processamento de dados distribuído. Isso representa um sério desafio para os investigadores forenses
digitais, especialmente se os dados estiverem escondidos em redes, nuvens e memórias, ou mesmo criptografados.
4,7 Desafios Educacionais:
A educação também desempenha um papel fundamental como fonte inicial da maioria dos desafios que ocorrem, devido à falta de treinamento,
experiência, financiamento e pessoal disponível. Investigadores forenses potenciais devem se submeter a estudos, cursos e treinamentos forenses
excessivos, ao mesmo tempo que devem estar familiarizados com várias ferramentas forenses e estar cientes das atividades antianálise forenses mais
frequentes. Como resultado, os desafios educacionais são apresentados da seguinte forma:
• Financiamento: a falta ou pouco financiamento por parte do governo, organizações e empresas torna o domínio
forense muito limitado em termos de capacidade e desempenho. Portanto, ainda permanece como um desafio
[150]. Portanto, mais financiamento é necessário para pesquisar e desenvolver campos forenses digitais
para melhorar a colaboração entre vários investigadores forenses e colegas.
22
• Mentalidades: a mentalidade de muitos indivíduos, incluindo numerosos, universidades, organizações e governos ainda
acredita que o domínio da perícia digital ainda não é eficaz. É claro que há enormes lacunas de financiamento,
conhecimento e experiência neste campo, com muitos ataques permanecendo indetectáveis e anônimos. Portanto, a
maioria das mentalidades militares, policiais, policiais e governamentais estão agora mudando para aprimorar suas
habilidades forenses, especialmente no aumento do terrorismo cibernético [151], guerra cibernética [152, 153],
espionagem cibernética [154] e ciberespionagem política [155].
• Suporte de ligação e comunicação: a falta de apoio entre as comunidades é causada (além do financiamento) pela falta de
discussão, comunicação e articulação adequadas. Isso resulta em conflito causado pela total falta de informação ou
desinformação sendo compartilhada. Como resultado, mais colaboração e incentivo entre as comunidades
(principalmente universidades e instituições) são necessários para compartilhar e aprimorar seus conjuntos de dados
forenses para um melhor resultado investigativo.
• Apoio às instituições: a falta de apoio de instituições, incluindo universidades, está principalmente relacionada ao alto
custo da educação disponível, ferramentas, licença e falta de habilidades para usá-los. Portanto, mais fundos, foco e
educação devem ser investidos neste campo forense que pode incluir competições nacionais / internacionais,
colaborações, oportunidades e intercâmbio de estudantes [150], como o programa "GenCyber" [156].
• Desenvolvimento de padrões: a falta de comunicação e colaboração entre diferentes universidades, instalações e

organizações forenses nacionais e internacionais levou à criação de várias ferramentas forenses de software e
hardware que realizam a mesma tarefa de coleta, categorização e análise de artefatos. Portanto, provando ser uma
perda de tempo e recursos. Conseqüentemente, as comunidades de pesquisa precisam trabalhar e concordar
sobre um conjunto unificado de padrões, formatos e abstrações [136] para evitar problemas de redundância e
conluio, com foco na oportunidade desses padrões, juntamente com sua precisão e eficácia.
5 Anti-Forense
Os cibercriminosos agora usam excessivamente novos métodos sofisticados para realizar seus ataques. Esses métodos baseiam-se
na cobertura de seus rastros para evitar a detecção. Isso é conseguido usando técnicas e ferramentas anti-forenses para alterar e
deletar arquivos de log e auditoria [141]. Como resultado, Common Vulnerability Scoring System (CVSS) [157], junto com Static
Malware Traf fi c Analysis (SMTA) [158], não são suficientes para mitigar esse problema. Portanto, o anti-forense apresenta um
desafio seriamente ameaçador para o domínio IoT, que depende fortemente de serviços de computação em nuvem para armazenar
e processar big data. Além disso, seu uso prejudicaria drasticamente o progresso dos investigadores forenses, impedindo-os de
realizar suas investigações. Por isso, é essencial superar os desafios e limitações existentes que os domínios de Cyber Threat
Intelligence (CTI) sofrem [159]. A anti-forense também é conhecida como contra-forense [160]. Sua tarefa é interromper uma
determinada investigação forense. Conseqüentemente, diferentes técnicas, ferramentas e abordagens anti-forenses estão sendo
empregadas para evitar a detecção e evitar ser pego. Esta seção os apresenta e discute em detalhes para ajudar a identificá-los e
proteger a (s) evidência (s) digital (is) por meio da mitigação e implementação das medidas de segurança corretas.
5.1 Aspectos anti-forenses
Os anti-forenses são usados para remover, alterar, interromper ou interferir ilegalmente com as evidências encontradas em
dispositivos digitais em uma cena de crime digital / física. Diferentes aspectos anti-forenses foram discutidos em [161]. Isso incluiu a
confiança no projeto anti-forense Metasploit [162], que é um projeto de código aberto usado para fornecer testes de caneta,
Intrusion Detection Systems (IDS), exploit de sistema de informação e outros serviços. Além disso, o Metasploit Anti-forensics
Investigation Arsenal (MAFIA) tem sido utilizado para aprimorar os processos de perícia digital, ao mesmo tempo que valida as
ferramentas forenses. MAFIA incluiu os seguintes componentes:
• Transmogrificar: visa superar a detecção de assinatura de arquivo do EnCase. Isso é feito mascarando um arquivo em outro tipo de
arquivo.
• Timestamp: como um programa, é capaz de alterar os valores de registro de data e hora do New Technology File System (NTFS).
Isso é feito por meio da modificação de entrada do arquivo MAC e atualização da entrada. Essas ferramentas ajudam a confundir os
investigadores forenses e complicar ainda mais sua investigação forense [163].
• Sam Juicer: é um programa que compromete os hashes de um determinado arquivo do gerenciador de acesso de segurança. Na
verdade, Sam Juicer é executado em um canal de memória / LSASS (Image Local Security Authority Subsystem Service) para
armazenar hashes de senha em um sistema Windows sem deixar rastros ou assinaturas no disco. Assim, evitando o risco de ser
detectado.
23
• Preguiçoso: é um programa que permite aos cibercriminosos ocultar seus dados em um espaço vazio encontrado na memória. Este espaço
livre é criado quando o sistema de arquivo (por exemplo, NTFS) aloca mais espaço para um arquivo, onde o espaço não utilizado é chamado
de espaço livre. Portanto, este espaço constitui um lugar perfeito para a ocultação de dados [163].
5,2 Técnicas Anti-Forenses
Como resultado do uso cada vez maior de técnicas anti-forenses, diferentes abordagens anti-forenses foram apresentadas para
mostrar como é fácil direcionar e atacar uma determinada investigação. Em [164], Peron et al. discutiu os objetivos do atacante ao
usar técnicas anti-forenses e focou em como o atacante é capaz de esconder, destruir, manipular e / ou mesmo impedir a criação de
qualquer evidência dada. Em [165, 161] Wundram et al. e Kessler et al. apresentou quatro categorias principais de abordagens anti-
forenses para fornecer limpeza de artefatos, ocultação de dados, ofuscação de trilhas e outros ataques contra as ferramentas de
computação forense e o processo de investigação forense. Em [166], Harris et al. apresentou um novo método de transformação de
dados que esconde, destrói, elimina ou falsifica a evidência e sua fonte. Em [167], Gar fi nkel combina os alvos de ataque e objetivos
para apresentar as ferramentas já existentes. Em [165], Wundram et al. apresentou a integração e harmonização dos esquemas de
classificação existentes em uma taxonomia única com duas dimensões, respectivamente. A primeira dimensão refere-se ao objetivo
do atacante que visa evitar ou atrasar a investigação. A segunda dimensão refere-se ao alvo do invasor, que pode ser um dos
seguintes: as evidências, a ferramenta forense ou o investigador. Em [168], Stamm et al. apresentou uma abordagem forense
temporal para um vídeo de compensação de movimento conhecido como "Estrutura da Teoria do Jogo". O objetivo era identificar o
conjunto ideal de ações para investigadores forenses e falsificadores. Os resultados da simulação revelaram que qualquer restrição
de alarme falso é menor ou igual a 10%. Além disso, os investigadores forenses têm 50% de chance de detectar uma falsificação de
vídeo e, no caso de a restrição de falso alarme ser superior a 15%, a taxa de detecção de falsificações de vídeo era igual ou superior a
85%. Em [169], Baier et al. apresentou uma abordagem chamada Anti-Forense de dispositivos de armazenamento por uso alternativo
de canais de comunicação (AFAUC), que conta com a engenharia reversa dos comandos do fi rmware para acessar um meio de
armazenamento através do canal de comunicação. Na verdade, a abordagem pode ser alcançada sem kits de ferramentas caros,
com um risco menor de detecção. Em [168], Stamm et al. apresentou uma abordagem baseada no uso de uma estrutura teórica de
jogos para identificar o conjunto ótimo de ações para o investigador forense e o modelo do falsificador. Isso os ajudou a projetar
uma técnica anti-forense com a capacidade de remover qualquer impressão digital de moldura por exclusão ou adição. Além disso,
os autores mostraram que a técnica anti-forense apresentada pode enganar as técnicas forenses se aplicada com força total.
Em [170], Shirani et al. visam ocultar a tentativa de intrusão. Em [164], Peron et al. teve como objetivo limitar a coleta, identificação e
validação de dados eletrônicos. Garfinkel [167] e Rogers [171] visavam derrotar qualquer análise forense, limitando a quantidade e a
qualidade das evidências forenses. Em [172], Foster e Liu conseguiram escapar e evitar a detecção liderando ataques anti-forenses.
Em [173], Dahbur et al. apresentou o uso de métodos científicos para confundir a investigação forense em todas as suas etapas. Em
[174], Albano et al. apresentou diferentes métodos para impedir um determinado processo de investigação digital. Em [175],
Sremack e Antonov apresentaram uma taxonomia para impedir uma investigação forense. Em [176], Stamm et al. conseguiu
disfarçar, manipular e falsificar as impressões digitais específicas dos dispositivos, uma vez que um arquivo digital é formado.
O Anti-Digital Forensics (ADF) consiste na identificação de qualquer atividade com o objetivo de ocultar o (s) traço (s) de um ataque [177]. ADF
é usado por investigadores forenses, pesquisadores forenses e primeiros respondentes. Suas principais técnicas anti-forenses [161] estão
resumidas na Figura 11 e são classificadas da seguinte forma:
• Ocultando dados: Criptografia e esteganografia [178, 179] são usadas principalmente para ocultar qualquer evidência e encobrir
rastros de criminosos para complicar extremamente uma investigação forense. Isso inclui criptografar dados, criptografar discos,
ocultar dados no tráfego de rede ou mesmo na memória, etc.
• Criptografando dados: A criptografia de dados é a maneira direta de impedir que os dados sejam facilmente divulgados. A
criptografia também impede qualquer acesso não autorizado aos dados armazenados. Os cibercriminosos usam a criptografia para
dificultar a investigação e a extração de dados. Portanto, levando a uma perda total de tempo e recursos para descriptografar
chaves longas que criptografam dados falsos.
• Exclusão segura: A exclusão segura consiste em remover os dados direcionados completa e permanentemente do sistema de
origem, sobrescrevendo-os com dados aleatórios. Isso garante que os dados não serão mais recuperáveis. No entanto, a maioria
das ferramentas comerciais de exclusão segura não garantem a exclusão completa dos dados, pois algumas partes deles ainda
podem ser recuperadas [180].
• Hashing: é usado por criminosos para evitar a detecção, impedindo a validação da integridade dos dados. A
este respeito, várias técnicas foram utilizadas, incluindo hashing difuso [181], colisão de hash, MD5 [182] e
SHA-1 [183]. . Portanto, no caso de uma pequena alteração no arquivo original, o valor do hash é
completamente diferente. Resultando na recuperação do arquivo de entrada original para se tornar quase
impossível.
• Discos de criptografia: Diferentes ferramentas foram desenvolvidas para criptografar todo o volume do disco rígido. Assim, os
cibercriminosos empregam criptografia de disco para proteger quaisquer dados que possam servir como prova contra eles. Isso pode ser
24
Figura 11: Técnicas Anti-Forenses
feito ao convertê-lo em um formato não abrangente ilegível ou em um formato não compatível. Tornando difícil para os
investigadores forenses digitais decifrá-lo. Além disso, a criptografia de disco depende de software e / ou hardware de
criptografia para criptografar cada bit de dados que existe no disco rígido [184].
• Criptografando bancos de dados: Devido ao constante aumento do uso de bancos de dados [185], a criptografia de banco de dados tornou-se
outra forma popular de ocultação de dados. Esta criptografia também tem como alvo arquivos / pastas de usuários individuais e
multiusuários. A criptografia de banco de dados [186] é baseada no processo de conversão de dados em um texto cifrado sem sentido,
incluindo aplicativos, e-mails, dispositivos móveis e serviços em nuvem.
• Criptografia de memória de hardware: o desenvolvimento desse tipo de criptografia de memória ajuda os criminosos a evitar
hierarquias de acesso de uma memória tradicional. Isso tornará qualquer forma de aquisição de memória conhecida como inviável
[111].
• Esteganografia: Os cibercriminosos usam a esteganografia para ocultar dados em elementos de multimídia digital. Esses
elementos incluem arquivos de imagem, vídeo, áudio e texto [187, 188]. Isso também inclui arquivos de sistema, conforme
apresentado por Peron et al. em [164]. A esteganografia pode ser superada com base em métodos e ataques de esteganálise [189,
190, 191].
• Contracepção de dados: Este método foi introduzido por Conlan et al. [192], como uma nova forma de ocultar dados. Na verdade, é
classificado como uma atividade anti-forense que deixa pouca ou nenhuma evidência digital rastreável (s) para impedir sua recuperação. Na
verdade, a contracepção de dados pode deliberar sobre sistemas de arquivos e manipular discos rígidos em uso, ocultando qualquer item
em um determinado sistema ou rede.
• Zero-Footprinting: ou o limpador de disco é uma nova ferramenta anti-forense emergente [193] que é usada para limpar áreas do
disco ou destruir completamente o (s) conteúdo (s) original (is) do disco. Assim, tornando o ataque completamente indetectável.
Zero-footprinting mostra sua utilidade para fins legítimos e / e ilegítimos, devido à sua capacidade de desvincular arquivos e
sobrescrevê-los com dados sem sentido.
• Modi fi cação de carimbo de data / hora: ou a extração de carimbo de data / hora é uma tarefa crítica que requer o estabelecimento de uma
investigação de cadeia de eventos forense. No entanto, hackers e cibercriminosos conseguiram modificar os carimbos de data / hora de
arquivos e registros para enganar os investigadores. Para detalhes adicionais, diferentes ferramentas de modificação de timestamp já foram
mencionadas em [194].
• Manipulação de assinatura de arquivo: Existe uma assinatura de arquivo no início de cada arquivo para identificar um determinado tipo de arquivo.
Hackers geralmente usam ferramentas anti-forenses para alterar e manipular propositadamente uma assinatura de arquivo para enganar os
investigadores forenses [131].
25
• Escondendo rede: As redes também foram usadas pelos invasores para ocultar dados. O objetivo de ocultar dados em redes é
garantir que nenhum traço seja deixado para trás pelos invasores. Assim, resultando em inviabilização da investigação forense,
principalmente devido ao uso de VPNs, proxies ou TOR.
• Limpeza de artefatos: Artefact Wiping [195] consiste na destruição de dados úteis que servem como uma possível evidência [166].
Por meio da análise de limpeza de artefatos, muitas ferramentas de software existem e podem ser usadas para limpar diferentes
formas de dados e metadados. Isso inclui arquivos, discos, logs, auditorias e registros. Na verdade, vários tipos de ferramentas
foram criados combinando diferentes formulários de limpeza de dados.
• Ofuscação de trilha: é uma atividade deliberada para desorientar e desviar propositadamente uma investigação forense. É baseado
nos mesmos princípios da esteganografia, ou injeção de dados falsos [196]. A ofuscação de trilhas emprega os protocolos Peer-to-
Peer (P2P) para realizar atividades cibercriminosas. Isso ajuda os criminosos cibernéticos a mitigar suas “impressões digitais”
biométricas cibernéticas para ocultar as evidências e encobrir seus rastros.
• Execução de sistema virtual: A execução de um código ou script malicioso pode ser conduzida de armazenamento em disco
externo ou até mesmo remoto, sem deixar rastros no dispositivo. Além disso, em [196], Botas et al. apresentou diferentes
mecanismos de virtualização, incluindo dispositivos de inicialização USB e dispositivos de inicialização de rede.
• Compressão de conteúdo: A saturação ou compactação de conteúdo visa infectar sistemas com conteúdo instável.
Isso leva a latência e atrasos adicionais, que têm um alto impacto negativo no processo de investigação forense. A
compressão de conteúdo pode ser dividida em dois tipos:Bombas de compressão ou bombas zip [196], são
projetadas para expandir amplamente uma vez descompactadas, e Compressão Regular usado para explorar
implementações de compressão regulares [197].
• Pooling de dados: Com o pool de dados, os invasores pretendem manter suas mídias digitais, incluindo chaves USB, CDs /
DVDs, smartphones, laptops, PCs e discos rígidos ativos. Ao fazer isso, os investigadores são atraídos para pesquisar todos
os dados coletados. Como resultado, tal busca pode levar de meses a anos e pode violar a privacidade do suspeito ou da
vítima, o que resultaria em conflitos legais [198]. Portanto, levando a um maior custo de investigação e mais tempo de
investigação.
• Referências de loop: são identificados como comprimentos de caminhos de arquivo padrão, que são restritos a 260 caracteres
devido à Interface de Programação de Aplicativos (API) do Windows no New Technology File System (NTFS). No entanto, existem
várias maneiras de iniciar caminhos mais longos. A forma mais popular é baseada no uso da Long Path Tool (LPT) [5]. Outras
maneiras também existem, incluindo o uso de referências de loop onde links simbólicos podem apontar para uma pasta pai. Assim,
criando um caminho recursivo, onde usuários mal-intencionados podem armazenar com segurança seus dados nesses arquivos
aninhados recursivos.
• Disco rígido fictício: Hackers e cibercriminosos usam esse método mantendo um PC inutilizável com um disco rígido. Isso permite
que o PC seja inicializado a partir de um USB onde o sistema operacional está armazenado, sem usar o próprio disco rígido.
Portanto, os dados serão armazenados em serviços em nuvem. Os hackers também podem tentar simular gravações aleatórias em
discos rígidos, para induzir os investigadores a pensar que um determinado disco rígido foi usado recentemente [199]. Portanto,
isso resultaria em uma perda de tempo e recursos.
• Malware anti-forense: que também foram usados para realizar uma atividade anti-forense, eliminando todos os
dados relevantes que servem como uma evidência vital para rastrear sua fonte, estrutura e características. Entre
esses tipos de malware, nomeamos os tipos de malware Stuxnet 1-2, Duqu, Duqu 2.0, Flame, Outubro Vermelho,
Shamoon, Gauss e Mahdi [200, 201, 202, 203, 204, 205], usados para guerra cibernética [206 ], ciberterrorismo
[207], ciberpolítica (hacktivismo) [208, 209] e ciber- (industrial) -espionagem [210].
6 Anti-Anti-Forense
A categorização da análise forense anti-anti-digital inclui a classificação, identificação, caracterização e a diferenciação entre técnicas
forenses digitais e técnicas e ferramentas anti-forenses [166]. Em [164], o nível de eficácia das ferramentas anti-forenses contra o uso
das ferramentas anti-forenses tradicionais à moda antiga foi avaliado. Como resultado, diferentes abordagens anti-anti-forenses
foram apresentadas.
6.1 Técnicas de prevenção anti-forense
Técnicas de prevenção anti-forense foram apresentadas para combater as atividades anti-forenses, preservando a
privacidade de indivíduos e evidências. Um desafio chave na perícia digital é proteger a privacidade das evidências digitais
[211, 212] durante uma investigação forense [213, 214]. Assim, diversas soluções forenses têm sido desenvolvidas para
preservar a privacidade das evidências, incluindo arquivos digitais, e-mails ou mesmo documentos. Em [215], Goh et
26
al. apresentou um esquema de indexação seguro usado para pesquisar dados criptografados e apoiar pesquisas de consulta avançada [216]. Isso também incluiu as operações de
codificação de fluxo de código de autenticação de mensagem de hash (HMAC) e padrão de criptografia avançada (AES) para garantir um alto nível de precisão e eficiência, garantindo
a admissibilidade de evidências eletrônicas e a privacidade de cada indivíduo. Em [217], P. Stahlberg et al. investigou as ameaças à privacidade que podem envolver a investigação do
banco de dados e propôs um conjunto de critérios de transparência do sistema. Este conjunto de sistema é usado para controlar os resultados de diferentes consultas, exceto para
pesquisa e recuperação de banco de dados. Em [218], S.Bottcher et al. apresentou uma abordagem forense de banco de dados de detetive para ser capaz de detectar qualquer
vazamento de privacidade. Isso foi feito por meio da identificação de cada parte que acessou as informações vazadas. Em [219], Reddy et al. apresentou um quadro teórico de
prontidão forense, que pode ser usado exclusivamente para empresas e organizações. Esta estrutura sugeriu uma estrutura organizacional específica usada para minimizar o risco
de possível vazamento de informações privadas em um determinado caso de investigação digital. Em [220], Guo et al. definiu políticas e procedimentos gerais para investigações
forenses de rede. Em [221], Pangalos et al. fornecer uma descrição da função de prontidão forense quando se trata de otimizar o nível de segurança e privacidade de cada
organização. Em [222], NJ Croft et al. apresentou um modelo sequencial de liberação de dados privados que é baseado no conhecimento prévio e na comprovação de uma dada
hipótese usada para investigações forenses. Isso resultou na colocação de dados menos importantes em camadas menos sensíveis, permitindo que dados sensíveis e importantes
fossem disponibilizados apenas no caso do conhecimento de camadas de nível inferior. Este processo foi comprovado e demonstrado pelos investigadores forenses. Em [214], Law et
al. apresentou diversos modelos criptográficos que podem ser empregados nos processos forenses digitais já existentes para garantir um nível mais alto de proteção de dados. Em
[223], S. Pearson desenvolveu um modelo de privacidade e linguagem que pode ser incorporado dentro de uma determinada empresa. Isso ajuda a garantir a auditoria e a garantia
dos mecanismos empregados. Em [224], Pooe et al. estudou uma especificação de política forense para garantir uma maior prontidão forense. Em [225], S.Hou et al. investigou as
questões jurídicas e práticas de privacidade em uma determinada investigação forense e apresentou com sucesso uma solução prática baseada no uso de técnicas de criptografia
homomórfica e comunicativa para limitar a divulgação de dados durante uma determinada investigação forense. No entanto, sua solução carecia da capacidade de identificar dados
maliciosos de dados não maliciosos [226]. Em [227], Gupta apresentou um framework denominado “Privacy Preserving E fi cient Digital Forensics” (PPEDF) para garantir uma
investigação automatizada através da redução da quantidade de dados em análise. Na verdade, o PPEDF é compatível com o Encase Versão 7.0, com 100% de precisão na extração
de arquivos de evidências. Em [228], Hou et al. apresentou outra solução baseada no uso do esquema de compartilhamento (t, n) como método de criptografia de dados, para
garantir a integridade e autenticidade por meio da aplicação da propriedade homomórfica do esquema de compartilhamento (t, n). Em [229], Arrnknecht et al. apresentou outro
mecanismo de preservação de privacidade para dados de e-mail. Este método é baseado na combinação de compartilhamento de segredo e algoritmos de criptografia. Na verdade,
é baseado em dois esquemas principais, incluindo proteção e extração. Isso garante que os dados criptografados só serão descriptografados quando necessário. Em [230], A fi fah et
al. implementação revelada e alternativa da proteção de dados apresentada por Armknecht e Dewald. Seu objetivo era preservar a privacidade da imagem do disco em vez dos
dados do e-mail. Em [231], Nieto et al. apresentou uma solução chamada Este método é baseado na combinação de compartilhamento de segredo e algoritmos de criptografia. Na
verdade, é baseado em dois esquemas principais, incluindo proteção e extração. Isso garante que os dados criptografados só serão descriptografados quando necessário. Em [230],
A fi fah et al. implementação revelada e alternativa da proteção de dados apresentada por Armknecht e Dewald. Seu objetivo era preservar a privacidade da imagem do disco em vez
dos dados do e-mail. Em [231], Nieto et al. apresentou uma solução chamada Este método é baseado na combinação de compartilhamento de segredo e algoritmos de criptografia.
Na verdade, é baseado em dois esquemas principais, incluindo proteção e extração. Isso garante que os dados criptografados só serão descriptografados quando necessário. Em
[230], A fi fah et al. implementação revelada e alternativa da proteção de dados apresentada por Armknecht e Dewald. Seu objetivo era preservar a privacidade da imagem do disco
em vez dos dados do e-mail. Em [231], Nieto et al. apresentou uma solução chamada Seu objetivo era preservar a privacidade da imagem do disco em vez dos dados do e-mail. Em
[231], Nieto et al. apresentou uma solução chamada Seu objetivo era preservar a privacidade da imagem do disco em vez dos dados do e-mail. Em [231], Nieto et al. apresentou uma
solução chamadaTestemunha Digital, que é um dispositivo pessoal que identifica, coleta, salvaguarda e comunica evidências digitais [232] como um membro de Cadeias Digitais de
Custódia na Internet das Coisas (DCoC-IoT) [233]. Isso foi feito para oferecer suporte a onze princípios de privacidade incluídos em vários PRoFIT (Model The Privacy-aware IoT-
Forensics) apresentados em [234]. Assim, garantindo uma melhor cooperação entre os cidadãos e as investigações forenses digitais.
6.2 Técnicas de detecção anti-forense
Anti-Anti-Forensics é uma tecnologia em evolução recente que protege os forenses contra qualquer tentativa (s) de anti-forense. Portanto, é
essencial manter as contramedidas anti-forenses corretas para garantir uma alta taxa de detecção de qualquer atividade ou ataque anti-
forense.
A instalação do arquivo para software criptográfico indicou que os dados poderiam ser criptografados em um sistema, o que
poderia levar à ocorrência de uma possível atividade forense anti-digital. Portanto, em [192], Conlan et al. comparou um
conjunto de dados hash com hashes NIST, onde hashes incomparáveis eram possivelmente um sinal da existência de
arquivos e / ou ferramentas anti-forenses. Isso indicou a possibilidade do emprego de ferramentas forenses anti-digitais
para apagar qualquer evidência além da recuperação para cobrir todos os rastros. A evitação de discos usando ferramentas
anti-forenses foi abordada pelo Garfinkel em [167]. A solução apresentada é construída em métodos de detecção anti-
forenses existentes. Em [235], Blunden examinou as abordagens já existentes que podem ser usadas por um investigador
forense contra o uso malicioso, mas persistente, de rootkits,
Para mitigar o uso de atividades anti-forenses, uma versão forense protegida aprimorada é necessária. Conseqüentemente, a
mudança está caminhando para uma versão avançada do Anti-Anti-Forensics [199]. Em [192], uma abordagem teórica foi
apresentada por Conlan et al. para detectar o uso de ferramentas forenses anti-digitais e relatá-las aos investigadores digitais. Isso
aprimorou e aprimorou a investigação forense digital para superar um ataque anti-forense [236]. Em [237, 238], Geiger apresentou
uma abordagem que consiste na análise de cinco ferramentas anti-forenses, incluindo: “Secure-Clean”, “Evidence Eliminator”,
“Window Washer”, “Cyber-Scrub Professional” e “Acronis Especialista em privacidade ”. Isso foi feito usando um Kit de Ferramentas
Forenses (FTK). A abordagem revelou que uma limpeza incompleta do espaço não alocado permitiu a recuperação
27
dos dados corretos contendo as evidências necessárias. Em [239], Fairbanks et al. introduziu uma ferramenta forense, que pode
extrair e analisar os dados forenses para permitir a detecção de tentativas anti-forenses, enquanto também captura informações
forenses indisponíveis. Isso facilitou a recuperação do sistema e aprimorou a investigação forense digital.
Apesar dos desafios e limitações que os domínios forenses sofrem, o aprendizado de máquina veio como um novo método de detecção inteligente precoce para classificar as
limitações dos métodos forenses anteriores e combater os métodos antianálise. Como resultado, um novo ramo baseado em anti-forense contador de aprendizado de máquina foi
apresentado em [240, 241, 242, 243] para detectar qualquer atividade anti-forense. Em [141] Conti et al. revelou a importância de implementar e aplicar técnicas de Arti fi cial
Intelligence-Machine Learning (AI-ML) no domínio da segurança cibernética. Em [59]. Mukammala et al. apresentou um estudo baseado no uso de técnicas inteligentes arti fi ciais
(Redes Neurais Arti fi ciais (RNAs) e Máquinas de Vetor de Suporte (SVMs)) para análise of fl ine de intrusão para manter a integridade e confidencialidade da infraestrutura de
informação. Com base em seu estudo, SVM superou ANN em termos de escalabilidade e precisão de previsão, enquanto ambos os métodos produzem resultados amplamente
consistentes. Em [244], Yeow et al. projetou e desenvolveu um Sistema de Relatório de Autópsia Forense Inteligente (de vítimas de guerra) (I-AuReSys) baseado no método de
Raciocínio Baseado em Casos (CBR), que é usado para analisar evidências forenses. I-AuReSys é usado para extrair características usando uma técnica de extração de informação (IE)
a partir de relatórios de autópsia já existentes, antes de analisar qualquer semelhança de caso por acoplamento da técnica CBR com um aluno Naïve Bayes para aprendizagem de
pesos de características. Aula de resultados experimentais como uma alternativa prática de método forense viável. Em [245], Weber et al. apresentou redes convolucionais de gráfico
para análise forense financeira como protótipo e as experimentou para superar a lavagem de dinheiro (AML) na criptomoeda bitcoin. Os autores contribuíram para o Elliptic Data Set
usando gráfico de série de transações Bitcoin (nós), fluxos de pagamento direcionados (bordas) e recursos de nós, incluindo aqueles baseados em dados não públicos. Os resultados
revelaram a superioridade do algoritmo Random Forest (RF). Em [246], Wang et al. apresentou um novo método TKRD denominado Trusted Kernel Rootkit Detection para cyber-
security of Virtual Machines (VM). O TKRD é baseado em aprendizado de máquina e análise forense de memória e é usado para detectar rootkits de kernel em VMs de nuvem
privada. Resultados experimentais revelaram que o classificador de RF tem o melhor desempenho de detecção de rootkits de kernel desconhecido. Em [247], Axenopoulos et al.
apresentou um novo quadro que é implementado no contexto do projeto LASIE, financiado pela União Europeia. Esta estrutura é aplicada para a exploração em larga escala de
dados forenses adquiridos de diferentes fontes e em vários formatos, enquanto várias ferramentas de análise de vídeo que realizavam detecção e rastreamento automatizado de
objetos (humano, rosto, veículo, logotipo), detecção de eventos de vídeo e sumarização. Os eventos de detecção e rastreamento também são robustos em baixa resolução, baixa
qualidade de cor, desfoque de movimento e variações de iluminação. Um mecanismo de busca de evidências também foi apresentado para oferecer várias maneiras de recuperar
evidências relevantes. Esta estrutura foi testada usando conteúdo real (filmagem CCTV) fornecida pela Polícia Metropolitana de Londres (MET), e mostrou resultados promissores.
Dentro detecção e resumo de eventos de vídeo. Os eventos de detecção e rastreamento também são robustos em baixa resolução, baixa qualidade de cor, desfoque de movimento e
variações de iluminação. Um mecanismo de busca de evidências também foi apresentado para oferecer várias maneiras de recuperar evidências relevantes. Esta estrutura foi
testada usando conteúdo real (filmagem CCTV) fornecida pela Polícia Metropolitana de Londres (MET), e mostrou resultados promissores. Dentro detecção e resumo de eventos de
vídeo. Os eventos de detecção e rastreamento também são robustos em baixa resolução, baixa qualidade de cor, desfoque de movimento e variações de iluminação. Um mecanismo
de busca de evidências também foi apresentado para oferecer várias maneiras de recuperar evidências relevantes. Esta estrutura foi testada usando conteúdo real (filmagem CCTV)
fornecida pela Polícia Metropolitana de Londres (MET), e mostrou resultados promissores. Dentro
[248], Sun et al. apresentou um novo método forense de aprimoramento de contraste (CE) baseado em rede neural convolucional
(baseado em CNN), usando a matriz de coocorrência de nível de cinza (GLCM) que contém recursos forenses de CE rastreáveis. Os
resultados experimentais revelaram que este método supera os métodos forenses convencionais em termos de precisão, robustez e
desempenho de detecção de falsificações, especialmente ao lidar com ataques contra-forenses. Dentro
[249], Yang et al. apresentou dois algoritmos forenses de CE efetivamente robustos com base no aprendizado profundo. Seu método atinge uma classificação ponta a ponta com base no domínio do pixel e do histograma. Resultados experimentais revelaram que este método atinge
um melhor desempenho de detecção do que os outros algoritmos de última geração, além de ser robusto contra compactação Pré-JPEG e ataques anti-forenses. Em [250], Shan et al. apresentou um método forense CE robusto para JPEG baseado em um CNN modi fi cado, adicionando
uma camada GLCM e uma camada de recorte à frente de um CNN feito sob medida. Extensos resultados experimentais revelaram que este método alcança melhorias significativas em termos de detecção global e local de CE. Em [251], Yu et al. apresentou um método multiuso baseado
em CNN para detectar várias atividades anti-forenses, incluindo a extração automática de recursos e identificação dos tipos forjados. Este modelo pode detectar efetivamente vários anti-forenses de imagem na decisão binária e multiclasse. Resultados experimentais revelaram que seus
métodos alcançam um desempenho melhor do que outros métodos anti-forenses na detecção anti-forense. Em [252], Chen et al. apresentou uma nova abordagem da CNN para detecção e manipulação de imagens multifuncionais em atividades anti-forenses e usando um padrão de
conectividade denso para uma melhor eficiência de parâmetros. Os resultados experimentais revelaram um melhor desempenho em termos de detecção de precisão de ataques anti-forenses, bem como robustez aprimorada contra compressão JPEG. Dentro Resultados experimentais
revelaram que seus métodos alcançam um desempenho melhor do que outros métodos anti-forenses na detecção anti-forense. Em [252], Chen et al. apresentou uma nova abordagem da CNN para detecção e manipulação de imagens multifuncionais em atividades anti-forenses e
usando um padrão de conectividade denso para uma melhor eficiência de parâmetros. Os resultados experimentais revelaram um melhor desempenho em termos de detecção de precisão de ataques anti-forenses, bem como robustez aprimorada contra compressão JPEG. Dentro
Resultados experimentais revelaram que seus métodos alcançam um desempenho melhor do que outros métodos anti-forenses na detecção anti-forense. Em [252], Chen et al. apresentou uma nova abordagem da CNN para detecção e manipulação de imagens multifuncionais em
atividades anti-forenses e usando um padrão de conectividade denso para uma melhor eficiência de parâmetros. Os resultados experimentais revelaram um melhor desempenho em termos de detecção de precisão de ataques anti-forenses, bem como robustez aprimorada contra
compressão JPEG. Dentro e usando um padrão de conectividade denso para uma melhor eficiência de parâmetros. Os resultados experimentais revelaram um melhor desempenho em termos de detecção de precisão de ataques anti-forenses, bem como robustez aprimorada contra
compressão JPEG. Dentro e usando um padrão de conectividade denso para uma melhor eficiência de parâmetros. Os resultados experimentais revelaram um melhor desempenho em termos de detecção de precisão de ataques anti-forenses, bem como robustez aprimorada contra
compactação JPEG. Dentro
[253], Li et al. apresentou uma arquitetura de rede neural convolucional 3D sob medida para a entrada espaço-temporal para lidar com o problema de
detecção de spoofing de face. Resultados experimentais revelaram que este método pode aprender informações discriminativas e generalizadas em
comparação com outros métodos de detecção de spoo fi ng biométrico baseados em aprendizagem profunda.
Na próxima seção, as principais recomendações serão apresentadas para garantir uma solução forense muito mais adequada para
aderir e superar vários desafios e questões forenses, especialmente em termos de segurança e privacidade.
7 sugestões e recomendações
28
Devido ao aumento do número de volume de dados, tamanho, estrutura e velocidade, este artigo sugere e recomenda as
seguintes soluções:
• Contra Anti-Forense: mais trabalho precisa ser feito em termos de garantir uma maior precisão e taxas de detecção com base no emprego de
outras abordagens baseadas em aprendizado de máquina, enquanto também empregando diferentes soluções de preservação de
privacidade para evitar qualquer alteração de evidência causada por atividades anti-forenses.
• Aprimorando as habilidades dos investigadores: os investigadores devem ser legalmente certificados por meio de
treinamento adicional para se especializar nos campos de segurança cibernética e forense digital. Além de estar mais
familiarizado com o uso de técnicas e ferramentas forenses / antianálise forense, para aprimorar suas habilidades de
investigação e investigação. Isso o tornará menos complexo e demorado [254].
• Treinamento forense / campo de testes: é necessário e mais financiamento é necessário, especialmente para as novas
ferramentas forenses emergentes. Isso ajudaria a garantir sua precisão, vantagens, limitações e problemas por meio de
testes forenses. Além disso, exames forenses e digitais forenses e fundamentos educacionais (cursos de baixo nível / alto
nível) precisam ser reconsiderados e reavaliados para aderir ao crescimento constante moderno neste domínio.
• Aumentando a Conscientização Forense: pode ser aprimorado por meio de workshops constantes e eventos baseados em perícia,
bem como reuniões semanais, mensais ou anuais e conferências internacionais.
• Prontidão e Consciência Constantes: é necessário para monitorar e acompanhar os tópicos novos ou / e constantemente
emergentes, onde a perícia pode desempenhar um papel fundamental para localizar, identificar, recuperar e proteger as
evidências. Isso pode ser feito expandindo a gama de campos forenses para cobrir todos os aspectos digitais, da vida real e de IoT.
8 Conclusão
A integração da perícia no campo digital e no mundo da IoT levou à sua disseminação global e uso mundial para
classificar crimes digitais, cibernéticos e relacionados à IoT. No entanto, nos últimos anos, houve um aumento
notável no número de atividades anti-forenses para ocultar evidências e alterá-las / excluí-las para recuperação.
Neste artigo, uma nova visão analítica forense moderna é apresentada. Um histórico forense inicial foi apresentado
para incluir o processo de investigação forense, a cadeia de custódia e a estrutura de crimes cibernéticos, ao mesmo
tempo que classifica os dados digitais e os tipos de investigadores digitais. Em seguida, os subdomínios forense
digital foram discutidos ao longo de suas diferentes ferramentas, técnicas e abordagens de investigação forense.
Desafios da perícia cibernética também foram mencionados e detalhados. Aspectos e técnicas anti-forenses também
foram destacados,
Como parte do trabalho futuro, mais pesquisas serão realizadas no tópico de contra-ataque ou anti-forense,
especialmente em termos de aprimoramento nos aspectos de detecção, prevenção e preservação de privacidade.
Reconhecimento
Este artigo foi parcialmente financiado por fundos da Faculdade de Engenharia e Arquitetura Maroun Semaan da
Universidade Americana de Beirute.
Referências
[1] Yanping Zhang, Yang Xiao, Kaveh Ghaboosi, Jingyuan Zhang e Hongmei Deng. Um levantamento de crimes cibernéticos.
Redes de segurança e comunicação, 5 (4): 422–437, 2012.
[2] Mohammad Wazid, Avita Katal, RH Goudar e Sreenivas Rao. Tendências do hacktivismo, ferramentas forenses digitais
e desafios: uma pesquisa. DentroTecnologias de Informação e Comunicação (TIC), Conferência IEEE 2013, páginas
138–144. IEEE, 2013.
[3] Emmanuel S Pilli, Ramesh C Joshi e Rajdeep Niyogi. Estruturas forenses de rede: Levantamento e desafios de
pesquisa.investigação digital, 7 (1-2): 14–27, 2010.
[4] Marcus K Rogers e Kate Seigfried. O futuro da computação forense: uma pesquisa de análise de necessidades.Computadores e
segurança, 23 (1): 12–16, 2004.
29
[5] Murat Gül e Emin Kugu. Uma pesquisa sobre técnicas anti-forenses. DentroSimpósio de Inteligência Arti fi cial e
Processamento de Dados (IDAP), 2017 International, páginas 1–6. IEEE, 2017.
[6] Lei Zhang, Shui Yu, Di Wu e Paul Watters. Uma pesquisa sobre os últimos ataques e defesas de botnet. DentroTrust,
Security and Privacy in Computing and Communications (TrustCom), 2011 IEEE 10ª Conferência Internacional em,
páginas 53–60. IEEE, 2011.
[7] Adrienne Porter Felt, Matthew Finifter, Erika Chin, Steve Hanna e David Wagner. Uma pesquisa de malware
móvel à solta. DentroAnais do 1º workshop ACM sobre Segurança e privacidade em smartphones e
dispositivos móveis, páginas 3-14. ACM, 2011.
[8] Min Chen, Shiwen Mao e Yunhao Liu. Big data: uma pesquisa.Redes e aplicativos móveis, 19 (2): 171–209,
2014.
[9] Waleed Halboob, Ramlan Mahmod, Nur Izura Udzir e Mohd Tau fi k Abdullah. Níveis de privacidade para computação forense:
em direção a uma investigação de preservação de privacidade mais eficiente.Procedia Computer Science, 56: 370-375,
2015
[10] Shaheen Shariff. Cyber-bullying: Problemas e soluções para a escola, a sala de aula e a casa. Routledge,
2008
[11] David Finkelhor e Richard Ormrod. Pornografia infantil: padrões de nibrs.Boletim de justiça juvenil, 2004.
[12] Lakitta D. Johnson, Alfonso Haralson, Sierra Batts, Ebonie Brown, Cedric Collins, Adrian Van Buren-Travis e Melissa
Spencer. Cyberbullying nas redes sociais entre estudantes universitários.Vistas Online, páginas 1–8, 2016.
[13] Peter K. Smith, Jess Mahdavi, Manuel Carvalho, Sonja Fisher, Shanette Russell e Neil Tippett. Cyberbullying: sua
natureza e impacto em alunos do ensino médio.Jornal de psicologia infantil e psiquiatria, 49 (4): 376-385,
2008
[14] Richard Donegan. Bullying e cyberbullying: História, estatísticas, legislação, prevenção e análise.The Elon Journal of
Undergraduate Research in Communications, 3 (1): 33–42, 2012.
[15] Rosemary Stockdale e Craig Standing. Benefícios e barreiras da participação no mercado eletrônico: uma perspectiva
das pmes.Journal of Enterprise Information Management, 17 (4): 301–311, 2004.
[16] Katharina Krombholz, Heidelinde Hobel, Markus Huber e Edgar Weippl. Ataques de engenharia social avançada.
Jornal de Segurança da Informação e aplicativos, 22: 113–122, 2015.
[17] JongHyup Lee, Thanassis Avgerinos e David Brumley. Empate: Engenharia reversa baseada em princípios de tipos em programas
binários. DentroNDSS, 2011
[18] Mohamad Badra, Samer El-Sawda e Ibrahim Hajjeh. Ataques e soluções de phishing. DentroAnais da 3ª
conferência internacional sobre comunicações multimídia móveis, página 42. ICST (Instituto de Ciências da
Computação, Informática Social e..., 2007.
[19] Sergei Shevchenko e Adrian Nish. Atribuição de assalto cibernético.BLOG DE PESQUISA DE AMEAÇAS DA BAE SYSTEMS, 2016
[20] Ivica SIMONOVSKI. O setor financeiro como um campo aberto para crimes cibernéticos e arrecadação de fundos para atividades terroristas.
Combater atividades terroristas no ciberespaço, 139: 121, 2018.
[21] Procurador-Geral da Austrália. Estrutura estratégica do crime organizado da Commonwealth, 2013.
[22] Mike Perry, Erinn Clark e Steven Murdoch. O design e a implementação do navegador tor.Rascunho https: //
www. torproject. org / projetos / torbrowser / design /. O Projeto Tor,2013
[23] Hsinchun Chen, Wingyan Chung, Jialun Qin, Edna Reid, Marc Sageman e Gabriel Weimann. Desvendando a dark
web: um estudo de caso de jihad na web.Jornal da Sociedade Americana de Ciência e Tecnologia da
Informação, 59 (8): 1347–1359, 2008.
[24] Andy Greenberg. Léxico do hacker: o que é a dark web?Com fio .. Acessado em, 12 (3): 2016, 2014.
[25] Gary Stoneburner, Alice Y Goguen e Alexis Feringa. Sp 800-30. guia de gerenciamento de risco para sistemas de
tecnologia da informação. 2002
[26] Christopher Hargreaves e Jonathan Patterson. Uma abordagem de reconstrução de linha do tempo automatizada para
investigações forenses digitais.Investigação Digital, 9: S69 – S79, 2012.
[27] Frank J Donner. A era da vigilância: os objetivos e métodos do sistema de inteligência política da América.
Vintage, 1980.
[28] Mike Maguire. Policiamento por riscos e alvos: algumas dimensões e implicações do controle do crime baseado em inteligência.
Policing and Society: An International Journal, 9 (4): 315–336, 2000.
30
[29] Jacqueline E Ross. O lugar da vigilância encoberta nas sociedades democráticas: um estudo comparativo entre os Estados
Unidos e a Alemanha.The American Journal of Comparative Law, 55 (3): 493–579, 2007.
[30] Carles Fernández, Pau Baiget, F Xavier Roca e Jordi Gonzàlez. Determinar os eventos semânticos mais adequados para
vigilância cognitiva.Sistemas especialistas com aplicativos, 38 (4): 4068–4079, 2011.
[31] Paul Bernal. Coleta de dados, vigilância e direitos humanos: reformulando o debate.Journal of Cyber Policy,
1 (2): 243–264, 2016.
[32] Desfiladeiro de Mathieu. Interceptação legal - conceitos-chave, atores, tendências e considerações sobre as melhores práticas.Fraude e
segurança informática, 2007 (9): 10–14, 2007.
[33] Gregory Kipper. Crime sem fio e investigação forense. Publicações Auerbach, 2007.
[34] Robin Bryant. Policiamento do crime digital: o contexto internacional e organizacional. DentroPoliciamento de crimes digitais,
páginas 129-140. Routledge, 2016.
[35] Giuliano Giova. Aprimoramento da cadeia de custódia na investigação forense de sistemas eletrônicos digitais.Jornal
Internacional de Ciência da Computação e Segurança de Rede, 11 (1): 1–9, 2011.
[36] Jason M Daniels. Técnicas forenses e anti-forenses para documentos formatados em ole2. 2008
[37] Jorge Benítez Abad et al. Computação forense: automatización con autopsy. 2018.
[38] Marcus K. Rogers, James Goldman, Rick Mislan, Timothy Wedge e Steve Debrota. Modelo de processo de triagem de campo de
computação forense.Journal of Digital Forensics, Security and Law, 1 (2): 2, 2006.
[39] Yashwanth Reddy Kambalapalli. Diferentes ferramentas forenses em um único SSD e HDD, suas diferenças e desvantagens.
2018.
[40] Eoghan Casey. Provas digitais e crimes informáticos: ciência forense, computadores e a Internet. Imprensa acadêmica,
2011.
[41] Andrew Zammit Tabona. As 20 principais ferramentas de investigação forense digital gratuitas para administradores de sistemas.TeckTalk
Powered by GFI Software, 2017, 2002.
[42] David Bennett. Os desafios que os investigadores forenses enfrentam na obtenção de informações de dispositivos móveis para
uso em investigações criminais.Jornal de segurança da informação: uma perspectiva global, 21 (3): 159-168,
2012
[43] Douglas Schweitzer. Resposta a incidentes: kit de ferramentas de computação forense. Wiley Nova York, 2003.
[44] Alec Yasinsac, Robert F Erbacher, Donald G Marks, Mark M Pollitt e Peter M Sommer. Educação forense em informática.
Segurança e privacidade IEEE, 99 (4): 15–23, 2003.
[45] HA Boyes, P Norris, I Bryant e T Watson. Software confiável: lições de goto fail '& heartbleed bugs.
2014.
[46] Noble Kumari e AK Mohapatra. Uma visão dos ramos e ferramentas forenses digitais. DentroTécnicas Computacionais
em Tecnologias de Informação e Comunicação (ICCTICT), Conferência Internacional de 2016 sobre,
páginas 243–250. IEEE, 2016.
[47] Nicole Lang Beebe e Jan Guynes Clark. Uma estrutura hierárquica baseada em objetivos para o processo de
investigações digitais.Investigação Digital, 2 (2): 147-167, 2005.
[48] Andrew Marrington, Ibrahim Baggili, George Mohay e Andrew Clark. Detecção de gato (detecção de cronograma de atividade do computador):
Uma ferramenta para detectar inconsistência nos cronogramas de atividade do computador.investigação digital, 8: S52 – S61,
2011
[49] Shadi Al Awawdeh, Ibrahim Baggili, Andrew Marrington e Farkhund Iqbal. Cat record (registro da linha do tempo da atividade do computador):
uma abordagem unificada baseada em agente para coleta de evidências forenses por computador em tempo real. Dentro
Abordagens Sistemáticas para Engenharia Forense Digital (SADFE), Oitavo Workshop Internacional de 2013 sobre, páginas 1–
8. IEEE, 2013.
[50] Jens Olsson e Martin Boldt. Ferramenta de visualização de linha do tempo forense por computador.investigação digital, 6: S78-S87,
2009
[51] Proposta de demonstração Wei. Análise forense de rede com gráficos de evidências. 2005.
[52] Mohammed Alzaabi, Kamal Taha e Thomas Anthony Martin. Cisri: um sistema de investigação de crime que usa a importância
relativa de propagadores de informações em redes que retratam comunicações de criminosos.IEEE Transactions on
Information Forensics and Security, 10 (10): 2196–2211, 2015.
31
[53] Kemal Hajdarevic e Vahidin Dzaltur. Uma abordagem para coleta de evidência digital para aplicação forense bem-
sucedida: Uma investigação de caso de chantagem. DentroTecnologia da Informação e Comunicação, Eletrônica e
Microeletrônica (MIPRO), 2015 38ª Convenção Internacional sobre, páginas 1387–1392. IEEE, 2015.
[54] Anchit Bijalwan, Mohammad Wazid, Emmanuel S Pilli e Ramesh Chandra Joshi. perícia de ataques de inundação de udp
aleatórios.Journal of Networks, 10 (5): 287, 2015.
[55] Nickolaos Koroniotis, Nour Moustafa e Elena Sitnikova. Mecanismos forenses e de aprendizagem profunda para botnets na
internet das coisas: um levantamento de desafios e soluções.Acesso IEEE, 7: 61764–61785, 2019.
[56] Ray Hunt e Sherali Zeadally. Análise forense de rede - uma análise de técnicas, ferramentas e tendências.Computador, páginas 1–1,
2012.
[57] Sherri Davidoff e Jonathan Ham. Análise forense de rede: rastreamento de hackers no ciberespaço, volume 2014.
Prentice hall Upper Saddle River, 2012.
[58] William Yurcik, James Barlow, Kiran Lakkaraju e Mike Haberman. Duas ferramentas visuais de monitoramento de segurança de rede de
computadores que incorporam requisitos de interface de operação DentroEm ACM CHI Workshop sobre Interação Humano-
Computador e Sistemas de Segurança (HCISEC. Citeseer, 2003.
[59] Srinivas Mukkamala e Andrew H Sung. Identificar recursos significativos para análise forense de rede usando técnicas
inteligentes arti fi ciais.Jornal Internacional de evidências digitais, 1 (4): 1-17, 2003.
[60] Simson Garfinkel. Análise forense de rede: acessando a internet.IEEE Internet Computing, 6: 60–66, 2002.
[61] Simson Garfinkel e Gene Spafford. Segurança na Web, privacidade e comércio. "O'Reilly Media, Inc. ", 2002.
[62] Vicka Corey, Charles Peterman, Sybil Shearin, Michael S Greenberg e James Van Bokkelen. Análise forense de
rede.IEEE Internet Computing, 6 (6): 60–66, 2002.
[63] Gulshan Shrivastava. Análise forense de redes: revisão metódica da literatura. DentroComputing for Sustainable Global
Development (INDIACom), 2016 3ª Conferência Internacional sobre, páginas 2203–2208. IEEE, 2016.
[64] Keyun Ruan, Joe Carthy, Tahar Kechadi e Mark Crosbie. Análise forense da nuvem. DentroIFIP International Conference on
Digital Forensics, páginas 35–46. Springer, 2011.
[65] Xath Cruz. Os fundamentos da análise forense da nuvem.Cloud Times, 2012
[66] Konstantinos Vlachopoulos, Emmanouil Magkos e Vassileios Chrissikopoulos. Um modelo para investigação de
evidência híbrida.International Journal of Digital Crime and Forensics (IJDCF), 4 (4): 47–62, 2012.
[67] Monali P Mohite e SB Ardhapurkar. Projeto e implementação de uma ferramenta de computação forense baseada em nuvem.
DentroSistemas de Comunicação e Tecnologias de Rede (CSNT), Quinta Conferência Internacional de 2015 sobre, páginas
1005–1009. IEEE, 2015.
[68] Ronald L Krutz e Russell Dean Vines. Segurança em nuvem: um guia completo para proteger a computação em nuvem.
Publicação Wiley, 2010.
[69] Josiah Dykstra e Alan T Sherman. Projeto e implementação de frost: Ferramentas digitais forenses para a plataforma de
computação em nuvem openstack.Investigação Digital, 10: S87 – S95, 2013.
[70] Sameena Naaz e Faizan Ahmad Siddiqui. Estudo comparativo de ferramentas de análise forense em nuvem.Communications
on Applied Electronics (CAE) ISSN, páginas 2394–4714.
[71] James B Wendt, Michael Bendersky, Lluis Garcia-Pueyo, Vanja Josifovski, Balint Miklos, Ivo Krka, Amitabh Saikia, Jie
Yang, Marc-Allen Cartright e Sujith Ravi. Propagação e descoberta de rótulo hierárquico para e-mail gerado por
máquina. DentroAnais da Nona Conferência Internacional ACM sobre Pesquisa na Web e Mineração de Dados,
páginas 317–326. ACM, 2016.
[72] Marie-Helen Maras et al. Computação forense. Jones e Bartlett Learning, 2015.
[73] Markus Jakobsson. Modelagem e prevenção de ataques de phishing. DentroCriptografia Financeira, volume 5, 2005.
[74] Bimal Parmar. Proteção contra spear-phishing.Fraude e segurança informática, 2012 (1): 8-11, 2012.
[75] Justin Paglierani, Mike Mabey e Gail-Joon Ahn. Rumo a uma análise forense abrangente e colaborativa em evidências
de e-mail. DentroCollaborative Computing: Networking, Applications and Worksharing (Collaboratecom), 2013 9ª
Conferência Internacional sobre, páginas 11–20. IEEE, 2013.
[76] Justin W Paglierani. Uma estrutura para aquisição estendida e representação uniforme de evidências de e-mail
forense. Arizona State University, 2013.
[77] Muhammad Yasin e Muhammad Abulaish. Digla - uma ferramenta de análise de log digsby para identificar artefatos forenses.
Investigação Digital, 9 (3-4): 222–234, 2013.
32
[78] Brian Carrier. Ferramentas forenses digitais de código aberto: o argumento legal. Relatório técnico, estaca, 2002.
[79] Salvatore J Stolfo, Shlomo Hershkop, Chia-Wei Hu, Wei-Jen Li, Olivier Nimeskern e Ke Wang. Modelagem baseada em
comportamento e sua aplicação para análise de e-mail.ACM Transactions on Internet Technology (TOIT),
6 (2): 187–221, 2006.
[80] Vamshee Krishna Devendran, Hossain Shahriar e Victor Clincy. Um estudo comparativo de ferramentas forenses de e-mail.
Journal of Information Security, 6 (2): 111, 2015.
[81] Jeff Lessard e Gary Kessler. Análise forense do Android: simplificando os exames de telefones celulares. 2010.
[82] Andrew Hoog. Análise forense do Android: investigação, análise e segurança móvel para Google Android. Elsevier,
2011
[83] Yajin Zhou, Zhi Wang, Wu Zhou e Xuxian Jiang. Ei, você, saia do meu mercado: detectando aplicativos maliciosos em mercados
Android oficiais e alternativos. DentroNDSS, volume 25, páginas 50–52, 2012.
[84] Francesco Di Cerbo, Andrea Girardello, Florian Michahelles e Svetlana Voronkova. Detecção de aplicativos maliciosos no
sistema operacional Android. DentroWorkshop Internacional de Ciência Forense Computacional, páginas 138–149. Springer,
2010.
[85] Juanru Li, Dawu Gu e Yuhao Luo. Análise forense de malware Android: Reconstrução de eventos maliciosos. Dentro
Workshops de Sistemas de Computação Distribuída (ICDCSW), 32ª Conferência Internacional de 2012, páginas 552–558. IEEE,
2012.
[86] Aubrey-Derrick Schmidt, Hans-Gunther Schmidt, Jan Clausen, Kamer A Yuksel, Osman Kiraz, Ahmet Camtepe e Sahin Albayrak.
Aumentando a segurança de dispositivos Android baseados em Linux. Dentroem Proceedings of 15th International Linux
Kongress. Lehmann,2008
[87] Himanshu Khurana, Mark Hadley, Ning Lu e Deborah A Frincke. Problemas de segurança da rede inteligente.Segurança e privacidade
IEEE, 8 (1), 2010.
[88] Jayant Shukla. Sandbox do aplicativo para detectar, remover e prevenir malware, 17 de janeiro de 2008. US Patent App. 11 /
769.297.
[89] Ulrich Bayer, Andreas Moser, Christopher Kruegel e Engin Kirda. Análise dinâmica de código malicioso.
Journal in Computer Virology, 2 (1): 67–77, 2006.
[90] Andrew Nicholson, TimWatson, Peter Norris, Alistair Duffy e Roy Isbell. Uma taxonomia de técnicas de atribuição técnica para
ataques cibernéticos. DentroConferência Europeia sobre Guerra de Informação e Segurança, página 188, 2012.
[91] Allan Cook, Andrew Nicholson, Helge Janicke, Leandros Maglaras e Richard Smith. Atribuição de ataques cibernéticos a
sistemas de controle industrial. 2016
[92] Chathuranga Rathnayaka e Aruna Jamdagni. Uma abordagem eficiente para análise avançada de malware usando
técnica forense de memória. DentroTrustcom / BigDataSE / ICESS, 2017 IEEE, páginas 1145–1150. IEEE, 2017.
[93] Alissa Torres. Construindo um centro de operações de segurança de classe mundial: um roteiro.SANS Institute, maio, 2015
[94] Vaibhav Rastogi, Yan Chen e Xuxian Jiang. Droidchameleon: avaliando o anti-malware do Android contra
ataques de transformação. DentroAnais do 8º simpósio ACM SIGSAC sobre segurança da informação,
informática e comunicações, páginas 329–334. ACM, 2013.
[95] Michael I Cohen, Darren Bilby e Germano Caronni. Análise forense distribuída e resposta a incidentes na
empresa.investigação digital, 8: S101 – S110, 2011.
[96] Michael Ligh, Steven Adair, Blake Hartstein e Matthew Richard. Livro de receitas e DVD do analista de malware:
ferramentas e técnicas para combater código malicioso. Publicação Wiley, 2010.
[97] Rayan Mosli, Rui Li, Bo Yuan e Yin Pan. Uma abordagem baseada em comportamento para detecção de malware. DentroIFIP
International Conference on Digital Forensics, páginas 187–201. Springer, 2017.
[98] Hajime Inoue, Frank Adelstein e Robert A Joyce. Visualização no teste de uma ferramenta forense de memória volátil.
Investigação Digital, 8: S42 – S51, 2011.
[99] Stefan Vömel e Felix C Freiling. Um levantamento das principais técnicas de aquisição e análise de memória para o
sistema operacional Windows.Investigação Digital, 8 (1): 3-22, 2011.
[100] Bryan Ford, Godmar Back, Greg Benson, Jay Lepreau, Albert Lin e Olin Shivers. O fl ux oskit: Um substrato para pesquisa de
kernel e linguagem. DentroRevisão dos sistemas operacionais ACM SIGOPS, volume 31, páginas 38–51. ACM,
1997.
[101] William A Arbaugh, David J Farber e Jonathan M Smith. Uma arquitetura de bootstrap segura e confiável. Dentro
Security and Privacy, 1997. Proceedings., 1997 IEEE Symposium on, páginas 65–71. IEEE, 1997.
33
[102] James T Mihm e William R Hannon. Sistema e método para automatizar a recuperação de imagem de bios fi rmware usando um processador não
host e política de plataforma para selecionar um sistema doador, 5 de outubro de 2010. Patente dos EUA 7.809.836.
[103] Michael Sikorski e Andrew Honig. Análise prática de malware: o guia prático para dissecar software malicioso.
sem prensa de amido, 2012.
[104] Ziad A Al-Sharif, Mohammad I Al-Saleh, Luay M Alawneh, Yaser I Jararweh e Brij Gupta. Análise forense ao vivo de ataques de
software a sistemas físicos cibernéticos.Sistemas Computacionais de Geração Futura, 2018.
[105] Vikram S Harichandran, Daniel Walnycky, Ibrahim Baggili e Frank Breitinger. Cufa: Amore de fi nição formal para
artefatos forenses digitais.Investigação Digital, 18: S125 – S137, 2016.
[106] Ahmed F Shosha, Lee Tobin e Pavel Gladyshev. Reconstrução forense digital de uma ação de programa. DentroWorkshops de
segurança e privacidade IEEE 2013, páginas 119–122. IEEE, 2013.
[107] Ellick Chan, Winston Wan, Amey Chaugule e Roy Campbell. Uma estrutura para análise forense de memória volátil. Dentro
Anais da 16ª conferência ACM sobre segurança de computadores e comunicações, 2009
[108] Ellick Chan, Shivaram Venkataraman, Francis David, Amey Chaugule e Roy Campbell. Forenscope: uma estrutura para análise
forense ao vivo. DentroProcedimentos da 26ª Conferência Anual de Aplicativos de Segurança de Computadores,
páginas 307–316. ACM, 2010.
[109] Johannes Stüttgen, Stefan Vömel e Michael Denzel. Aquisição e análise de firmware comprometido usando análise
forense de memória.Investigação Digital, 12: S50 – S60, 2015.
[110] Narasimha Karpoor Shashidhar e Dylan Novak. Análise forense digital em arquivos de pré-busca.International Journal
of Information Security Science, 4 (2): 39–49, 2015.
[111] Tobias Latzo, Ralph Palutke e Felix Freiling. Uma taxonomia universal e levantamento de técnicas de aquisição de
memória forense.Investigação Digital, 28: 56–69, 2019.
[112] Kristine Amari. Técnicas e ferramentas para recuperação e análise de dados da memória volátil.SANS Institute InfoSec
Reading Room, 2009
[113] Andreas Schuster. Ptf nder versão 0.3. 05. 2007.
[114] Eoghan Casey, Michael Bann e John Doyle. Introdução ao Windows Mobile Forensics, 2010.
[115] Iosif I Androulidakis. Análise forense de telefones celulares. DentroSegurança e perícia do telefone móvel, páginas 75–99. Springer,
2012
[116] Fabio Marturana, Gianluigi Me, Rosamaria Berte e Simone Tacconi. Uma abordagem quantitativa para triagem em
perícia forense móvel. DentroTrust, Security and Privacy in Computing and Communications (TrustCom), 2011 IEEE
10ª Conferência Internacional em, páginas 582–588. IEEE, 2011.
[117] Maxim Chernyshev, Sherali Zeadally, Zubair Baig e Andrew Woodward. Forense móvel: avanços, desafios e
oportunidades de pesquisa.Segurança e privacidade IEEE, 15 (6): 42–51, 2017.
[118] Jae-Duk Lee, Sung-Hoi Hur e Jung-Dal Choi. Efeitos da interferência da porta fl utuante na operação da célula de memória nand
fl ash.Cartas de dispositivos de elétrons IEEE, 23 (5): 264–266, 2002.
[119] Wayne Jansen e Rick Ayers. Uma visão geral e análise das ferramentas forenses pda.Investigação Digital, 2 (2): 120–
132, 2005.
[120] Justin Grover. Análise forense do Android: coleta de dados e relatórios automatizados de um dispositivo móvel.Investigação
Digital, 10: S12 – S20, 2013.
[121] Jean-Paul A. Yaacoub, Mohamad Noura, Hassan N Noura, Ola Salman, Elias Yaacoub, Raphaël Couturier e Ali Chehab.
Protegendo sistemas de internet de coisas médicas: Limitações, problemas e recomendações.Sistemas
Computacionais de Geração Futura, 2019.
[122] Steven Glass, Tom Hiller, Stuart Jacobs e C Perkins. Autenticação de IP móvel, autorização e requisitos de
contabilidade. Relatório técnico, 2000.
[123] Adam Dunkels. Rime - uma pilha de comunicação em camadas leve para redes de sensores. DentroAnais da Conferência
Europeia sobre Redes de Sensores Sem Fio (EWSN), sessão de pôster / demonstração, Delft, Holanda, 2007
[124] Louis Coetzee e Guillaume Olivrin. Inclusão pela internet das coisas. DentroTecnologias assistivas. InTech,
2012
[125] John Gantz e David Reinsel. O universo digital em 2020: Big data, sombras digitais maiores e maior crescimento
no Extremo Oriente.IDC iView: IDC Analise o futuro, 2007 (2012): 1-16, 2012.
[126] Steve Watson e Ali Dehghantanha. Perícia digital: a peça que faltava na promessa da internet das coisas.
Fraude e segurança informática, 2016 (6): 5-8, 2016.
34
[127] Vicki Miller Luoma. Computação forense e descoberta eletrônica: o novo desafio da gestão.Computadores e
segurança, 25 (2): 91–96, 2006.
[128] Nickson M Karie e Hein S Venter. Taxonomia de desafios para a forense digital.Jornal de ciências forenses,
60 (4): 885–893, 2015.
[129] Alvaro A Cardenas, Pratyusa K Manadhata e Sreeranga P Rajan. Análise de big data para segurança.Segurança e
privacidade IEEE, 11 (6): 74–76, 2013.
[130] Andrii Shalaginov, Jan William Johnsen e Katrin Franke. Investigações de crimes cibernéticos na era do big data. Dentro
Big Data (Big Data), 2017 IEEE International Conference on, páginas 3672–3676. IEEE, 2017.
[131] Kamal Dahbur e Bassil Mohammad. O desafio anti-forense. DentroAnais da Conferência Internacional de 2011
sobre Serviços e Aplicativos Semânticos Inteligentes, página 14. ACM, 2011.
[132] M Ali Aydın, A Halim Zaim e K Gökhan Ceylan. Um projeto de sistema de detecção de intrusão híbrido para segurança de rede
de computadores.Computadores e Engenharia Elétrica, 35 (3): 517-526, 2009.
[133] Akash Garg e Prachi Maheshwari. Um sistema de detecção de intrusão híbrido: uma revisão. DentroSistemas Inteligentes e
Controle (ISCO), 10ª Conferência Internacional de 2016 sobre, páginas 1–5. IEEE, 2016.
[134] Megha Gupta. Sistema de detecção de intrusão híbrido: Tecnologia e desenvolvimento.International Journal of
Computer Applications, 115 (9), 2015.
[135] Suleman Khan, Ejaz Ahmad, Muhammad Shiraz, Abdullah Gani, Ainuddin Wahid Abdul Wahab e Mustapha Aminu
Bagiwa. Desafios forenses na computação em nuvem móvel. DentroComputer, Communications, and Control
Technology (I4CT), Conferência Internacional de 2014 sobre, páginas 343–347. IEEE, 2014.
[136] Luca Caviglione, Steffen Wendzel e Wojciech Mazurczyk. O futuro da perícia digital: desafios e o caminho a
seguir.Segurança e privacidade IEEE, 15 (6): 12–17, 2017.
[137] Konstantia Barmpatsalou, Tiago Cruz, Edmundo Monteiro e Paulo Simões. Tendências atuais e futuras em análise forense de
dispositivos móveis: uma pesquisa.Pesquisas de computação ACM (CSUR), 51 (3): 46, 2018.
[138] Dasari Manendra Sai, NRGK Prasad e Satish Dekka. A análise do processo forense de dispositivo móvel.
International Journal of Computer Science and Information Technologies, 6 (5): 4847–4850, 2015.
[139] Mandar Jadhav e KK Joshi. Procedimento de investigação forense para aquisição de dados e análise de dispositivos móveis
baseados em fi refox os. DentroTendências de computação, análise e segurança (CAST), Conferência Internacional sobre,
páginas 456–461. IEEE, 2016.
[140] Tor-Morten Gronli, Jarle Hansen, Gheorghita Ghinea e Muhammad Younas. Heterogeneidade da plataforma de
aplicativos móveis: Android vs windows phone vs ios vs fi refox os. DentroRede de Informação Avançada e Aplicações
(AINA), 2014 IEEE 28ª Conferência Internacional sobre, páginas 635–641. IEEE, 2014.
[141] Mauro Conti, Tooska Dargahi e Ali Dehghantanha. Inteligência de ameaças cibernéticas: desafios e oportunidades.
Inteligência de ameaças cibernéticas, páginas 1–6, 2018.
[142] Michele Elingiusti, Leonardo Aniello, Leonardo Querzoni e Roberto Baldoni. Detecção de malware: um levantamento e
taxonomia das técnicas atuais.Inteligência de ameaças cibernéticas, páginas 169–191, 2018.
[143] Adam Young e Moti Yung. Ataques de backdoor em cifras de caixa preta que exploram textos simples de baixa entropia. Dentro
Conferência da Australásia sobre Segurança e Privacidade da Informação, páginas 297–311. Springer, 2003.
[144] Ting-Fang Yen, Yinglian Xie, Fang Yu, Roger Peng Yu e Martin Abadi. Impressão digital de host e rastreamento na web:
implicações de privacidade e segurança. DentroNDSS, volume 62, página 66. Citeseer, 2012.
[145] Nguyen Phong Hoang e Davar Pishva. Comunicação anônima e sua importância nas redes sociais. DentroTecnologia
de Comunicação Avançada (ICACT), 16ª Conferência Internacional de 2014 sobre, páginas 34–39. IEEE,
2014.
[146] E Ramadhani. Comunicação de anonimato vpn e tor: um estudo comparativo. DentroJournal of Physics: Conference
Series, volume 983, página 012060. Publicação IOP, 2018.
[147] Wo L Chang. Estrutura de interoperabilidade de big data da Nist: Volume 1, de fi nições. Relatório técnico de 2015.
[148] SamMadden. De bancos de dados a big data.IEEE Internet Computing, (3): 4-6, 2012.
[149] Oluwasola Mary Adedayo. Big data e análise forense digital. DentroCybercrime and Computer Forensic (ICCCF), IEEE
International Conference on, páginas 1–7. IEEE, 2016.
[150] Ge Jin, Manghui Tu, Tae-Hoon Kim, Justin Heffron e Jonathan White. Treinamento de segurança cibernética baseado em jogos
para alunos do ensino médio. DentroAnais do 49º Simpósio Técnico ACM em Educação em Ciência da Computação,
páginas 68–73. ACM, 2018.
35
[151] Mitko Bogdanoski e Drage Petreski. Terrorismo cibernético - ameaça à segurança global.Contemporary Macedonian
Defense-International Scienti fi c Defense, Security and Peace Journal, 13 (24): 59–73, 2013.
[152] Daniel Hughes e Andrew Colarik. A hierarquia das definições de guerra cibernética. DentroWorkshop Paci fi c-Asia on
Intelligence and Security Informatics, páginas 15–33. Springer, 2017.
[153] Alexander Kosenkov. Conflitos cibernéticos como uma nova ameaça global.Internet do futuro, 8 (3): 45, 2016.
[154] Ralph Langner. Stuxnet: Dissecando uma arma de guerra cibernética.Segurança e privacidade IEEE, 9 (3): 49–51, 2011.
[155] Manuel R Torres Soriano. Internet como motor de mudança política: ciber-pessimistas e ciberotimistas.Jornal do
Instituto Espanhol de Estudos Estratégicos, 1 (1): 332–352, 2013.
[156] Laoise Luciano, Ibrahim Baggili, Mateusz Topor, Peter Casey e Frank Breitinger. Forense digital nos próximos cinco
anos. DentroAnais da 13ª Conferência Internacional sobre Disponibilidade, Confiabilidade e Segurança, página 46.
ACM, 2018.
[157] Milda Petraityte, Ali Dehghantanha e Gregory Epiphaniou. Um modelo para cálculo de risco de aplicativos Android e iOS:
análise e aprimoramento de Cvss usando estudos de caso-controle.Inteligência de ameaças cibernéticas, páginas 219–237,
2018.
[158] Andrii Shalaginov, Sergii Banin, Ali Dehghantanha e Katrin Franke. Análise estática de malware auxiliada pelo aprendizado de máquina:
uma pesquisa e um tutorial.Inteligência de ameaças cibernéticas, páginas 7–45, 2018.
[159] Mudit Kalpesh Pandya, Sajad Homayoun e Ali Dehghantanha. Investigação forense de plataformas sdn baseadas em fluxo
aberto.Inteligência de ameaças cibernéticas, páginas 281–296, 2018.
[160] Kresimir Hausknecht e S Gruičić. Análise forense anti-informática. Dentro2017 40ª Convenção Internacional
sobre Tecnologia da Informação e Comunicação, Eletrônica e Microeletrônica (MIPRO), páginas 1233–1240.
IEEE, 2017.
[161] Gary C Kessler. Anti-forense e o investigador digital. DentroConferência Forense Digital Australiana, Página 1,
2007
[162] LLC Metasploit. O framework metasploit, 2007.
[163] Sarah Hilley. Anti-forense com um pequeno exército de façanhas.investigação digital, 4 (1): 13-15, 2007.
[164] Christian SJ Peron e Michael Legary. Anti-forense digital: tendências emergentes em técnicas de transformação de dados.
DentroProcessos de, 2005.
[165] Martin Wundram, Felix C Freiling e Christian Moch. Anti-forense: a próxima etapa no teste de ferramentas de análise forense digital.
DentroGerenciamento de incidentes de segurança de TI e análise forense de TI (FMI), Sétima Conferência Internacional de 2013,
[166] Ryan Harris. Chegando a um consenso anti-forense: Examinando como definir e controlar o problema anti-
forense.investigação digital, 3: 44–49, 2006.
[167] Simson Garfinkel. Anti-forense: Técnicas, detecção e contra-medidas. Dentro2ª Conferência Internacional sobre
Guerra e Segurança, volume 20087, páginas 77–84, 2007.
[168] Matthew C Stamm, W Sabrina Lin e KJ Ray Liu. Análise forense temporal e antianálise forense para vídeo de compensação de
movimento.IEEE Transactions on Information Forensics and Security, 7 (4): 1315–1329, 2012.
[169] Harald Baier e Julian Knauer. Afauc - anti-forense de dispositivos de armazenamento por uso alternativo de canais de comunicação.
DentroGerenciamento de incidentes de segurança de TI e informática forense (iMF), oitava conferência internacional de 2014 em,
[170] B Shirani. Anti-forense.Associação de Investigação de Crimes de Alta Tecnologia, http: // www. aversão. net /
apresentações / HTCIA-02 / anti-forense. ppt,2002
[171] M Rogers. Anti-forense: a próxima onda da ciência forense digital.Obtido em setembro, 7: 2008, 2006.
[172] M Rogers e M Lockheed. Anti-forense.Lockheed Martin. San Diego, Califórnia. Obtido em http: // cyberforensics.
purdue. edu / documents / AntiForensics \ LockheedMartin09152005. pdf,2005.
[173] Kamal Dahbur e Bassil Mohammad. No sentido de compreender os desafios e contra-medidas em anti-forense
informática. DentroAvanços na computação em nuvem em design, implementação e tecnologias, páginas 176–189.
IGI Global, 2013.
[174] Pietro Albano, Aniello Castiglione, Giuseppe Cattaneo e Alfredo De Santis. Uma nova técnica anti-forense para o
sistema operacional Android. DentroBanda larga e computação sem fio, comunicação e aplicações (bwcca),
conferência internacional de 2011 em, páginas 380–385. IEEE, 2011.
36
[175] Joseph C Sremack e Alexandre V Antonov. Taxonomia de ameaças forenses anticomputadores.FMI, 103: e12,
2007
[176] Matthew C Stamm, W Sabrina Lin e KJ Ray Liu. Forense vs. Anti-forensics: Uma decisão e um quadro teórico do jogo.
DentroProcessamento de Acústica, Fala e Sinal (ICASSP), Conferência Internacional IEEE de 2012 sobre,
páginas 1749–1752. IEEE, 2012.
[177] Anthony Dekker. Uma taxonomia de arquiteturas de guerra centradas em rede. Relatório técnico, DEFESA
CIÊNCIA E TECNOLOGIA ORGANIZAÇÃO CANBERRA (AUSTRÁLIA), 2008.
[178] Shashikala Channalli e Ajay Jadhav. A esteganografia é uma arte de ocultar dados.pré-impressão arXiv arXiv: 0912.2319,
2009
[179] Arvind Kumar e Km Pooja. Esteganografia - uma técnica de ocultação de dados.International Journal of Computer
Applications, 9 (7): 19–23, 2010.
[180] S Srinivasan. Segurança e privacidade vs. recursos de análise forense do computador.Jornal de controle de sistemas de informação,
4: 1-3, 2007.
[181] Frank Breitinger e Harald Baier. Uma abordagem de hash difusa com base em sequências aleatórias e distância de hamming.
2012
[182] Ronald Rivest. O algoritmo de resumo da mensagem md5. Relatório técnico, 1992.
[183] D Eastlake 3º e Paul Jones. Usamos o algoritmo de hash seguro 1 (sha1). Relatório técnico, 2001.
[184] Anthony J Wasilewski. Recuperação e transferência de conteúdo criptografado do disco rígido de decodificadores de DVR, 8 de dezembro
2009. Patente US 7.630.499.
[185] George I Davida, David L Wells e John B Kam. Um sistema de criptografia de banco de dados com subchaves.Transações ACM
em sistemas de banco de dados (TODS), 6 (2): 312-328, 1981.
[186] Rakesh Agrawal, Jerry Kiernan, Ramakrishnan Srikant e Yirong Xu. Ordem preservando criptografia para dados
numéricos. DentroAnais da conferência internacional ACM SIGMOD de 2004 sobre gerenciamento de dados, páginas
563–574. ACM, 2004.
[187] Richard Bergmair. Esteganografia em linguagem natural e um primitivo de segurança “ai-completo”. Dentro21º Congresso de
Comunicação do Caos, Berlim (dezembro de 2004), 2004.
[188] Józef Lubacz, Wojciech Mazurczyk e Krzysztof Szczypiorski. Vice sobre ip.Espectro IEEE, 47 (2), 2010.
[189] Natarajan Meghanathan e Lopamudra Nayak. Algoritmos de Steganalysis para detectar as informações ocultas na
mídia de cobertura de imagem, áudio e vídeo.jornal internacional de segurança de rede e sua aplicação (IJNSA),
2 (1): 43–55, 2010.
[190] Manveer Kaur e Gagandeep Kaur. Revisão de várias técnicas de esteganálise.International Journal of Computer
Science and Information Technologies, 5 (2): 1744–1747, 2014.
[191] Huayong Ge, Mingsheng Huang e Qian Wang. Esteganografia e esteganálise com base em imagem digital. Dentro
2011 4º Congresso Internacional de Processamento de Imagem e Sinal, volume 1, páginas 252–255. IEEE, 2011.
[192] Kevin Conlan, Ibrahim Baggili e Frank Breitinger. Anti-forense: Aprimorando a ciência forense digital por meio de uma
nova taxonomia granular estendida.Investigação digital, 18: S66 – S75, 2016.
[193] Bryan Sartin. Anti-forense - distorcendo as evidências.Fraude e segurança informática, 2006 (5): 4–6, 2006.
[194] Xiaoyun Wang e Hongbo Yu. Como quebrar MD5 e outras funções hash. DentroConferência internacional anual
sobre a teoria e aplicações de técnicas criptográficas, páginas 19–35. Springer, 2005.
[195] Anu Jain e Gurpal Singh Chhabra. Técnicas anti-forenses: uma revisão analítica. DentroContemporary
Computing (IC3), Sétima Conferência Internacional de 2014, páginas 412–418. IEEE, 2014.
[196] Alvaro Botas, Ricardo J Rodríguez, Teemu Väisänen e Patrycjusz Zdzichowski. Falsificação e defesa do processo
forense digital. DentroInformática e Tecnologia da Informação; Computação e comunicações ubíquas;
Computação confiável, autônoma e segura; Pervasive Intelligence and Computing (CIT / IUCC / DASC / PICOM),
2015 IEEE International Conference on,páginas 1966–1971. IEEE, 2015.
[197] Ang Chen, Akshay Sriraman, Tavish Vaidya, Yuankai Zhang, Andreas Haeberlen, Boon Thau Loo, Linh Thi Xuan Phan,
Micah Sherr, Clay Shields e Wenchao Zhou. Dispersão de ataques ddos assimétricos com splitstack. Dentro
Anais do 15º Workshop ACM sobre Tópicos em destaque em Redes, páginas 197–203. ACM, 2016.
[198] Ahmed Alenezi, Hany F. Atlam, Reem Alsagri, Madini O Alassa fi e Gary B. Wills. Iot forensics: Uma revisão do
estado da arte, desafios e direções futuras.
[199] Michael Perklin. Anti-forense e anti-anti-forense.Palestra na DEF CON, 20, 2012.
37
[200] Sean Collins e Stephen McCombie. Stuxnet: o surgimento de uma nova arma cibernética e suas implicações.
Jornal de policiamento, inteligência e combate ao terrorismo, 7 (1): 80–91, 2012.
[201] Boldizsar Bencsath. Duqu, fl ame, gauss: Seguidores de stuxnet. DentroRSA Conference Europe 2012, 2012
[202] Sami Zhioua. O Oriente Médio sob ataque de malware dissecando armas cibernéticas. Dentro2013 IEEE 33ª Conferência
Internacional sobre Workshops de Sistemas de Computação Distribuída, páginas 11–16. IEEE, 2013.
[203] Nart Villeneuve, Ned Moran, Thou fi que Haq e Mike Scott. Rosa de operação açafrão.Relatório Especial FireEye,
2013
[204] KL Zao. Investigação diplomática de ataques cibernéticos de outubro vermelho.Obtido em.
[205] Zakariya Dehlawi e Norah Abokhodair. A resposta da Arábia Saudita ao conflito cibernético: Um estudo de caso do incidente do
malware shamoon. Dentro2013 IEEE International Conference on Intelligence and Security Informatics, páginas 73–75. IEEE,
2013.
[206] Sarah P. White. Compreendendo a Guerra Cibernética: Lições da Guerra Rússia-Geórgia. Modern War Institute em
West Point, 2018.
[207] James Andrew Lewis. Avaliação dos riscos de terrorismo cibernético, guerra cibernética e outras ameaças cibernéticas. Centro de
Estudos Estratégicos e Internacionais Washington, DC, 2002.
[208] Tim Jordan e Paul Taylor. Hacktivismo e guerras cibernéticas: rebeldes com uma causa? Routledge, 2004.
[209] Scott D. Applegate. Cibermilícias e hackers políticos: Uso de forças irregulares na guerra cibernética.Segurança e privacidade
IEEE, (5): 16–22, 2011.
[210] Botão Mark. Espionagem industrial e segurança da informação.
[211] C Benjamin, M Fung, K Wang, R Chen e S Philip. Publicação de dados preservando a privacidade de Yu: uma pesquisa de
desenvolvimentos recentes.ACM Comput. Surv.,páginas 1–53, 2010.
[212] Ali Dehghantanha e Katrin Franke. Investigação digital que respeita a privacidade. DentroPrivacidade, Segurança e
Confiança (PST), 12ª Conferência Internacional Anual de 2014, páginas 129–138. IEEE, 2014.
[213] Thomas Andl, Kyung Ahn, Alladin Kairo, Emily Y Chu, Lara Wine-Lee, Seshamma T Reddy, Nirvana J Croft, Judith A.
Cebra-Thomas, Daniel Metzger, Pierre Chambon, et al. O bmpr1a epitelial regula a diferenciação e proliferação nos
folículos pilosos pós-natais e é essencial para o desenvolvimento dentário.Desenvolvimento, 131 (10): 2257-2268,
2004.
[214] Frank YW Law, Patrick PF Chan, Siu-Ming Yiu, Kam-Pui Chow, Michael YK Kwan, KS Hayson e Pierre KY Lai. Protegendo a
privacidade de dados digitais em exames forenses de computador. DentroAbordagens Sistemáticas para Engenharia
Forense Digital (SADFE), 2011 IEEE Sexto Workshop Internacional sobre, páginas 1–6. IEEE, 2011.
[215] Eu-Jin Goh et al. Índices seguros.Arquivo IACR Cryptology ePrint, 2003: 216, 2003.
[216] Dawn Xiaoding Song, David Wagner e Adrian Perrig. Técnicas práticas para pesquisas em dados criptografados. Dentro
Security and Privacy, 2000. S&P 2000. Proceedings. Simpósio IEEE de 2000 em,páginas 44–55. IEEE, 2000.
[217] Patrick Stahlberg, Gerome Miklau e Brian Neil Levine. Ameaças à privacidade na análise forense de sistemas de banco
de dados. DentroAnais da conferência internacional ACM SIGMOD 2007 sobre gerenciamento de dados, páginas 91–
102. ACM, 2007.
[218] Stefan Böttcher, Rita Hartel e Matthias Kirschner. Detectando consultas suspeitas de banco de dados relacional. Dentro
Disponibilidade, Confiabilidade e Segurança, 2008. ARES 08. Terceira Conferência Internacional sobre, páginas 771–778. IEEE,
2008
[219] Kamil Reddy e Hein Venter. Uma estrutura forense para lidar com incidentes de privacidade de informações. DentroIFIP
International Conference on Digital Forensics, páginas 143–155. Springer, 2009.
[220] Hong Guo, Bo Jin e Daoli Huang. Pesquisa e revisão em computação forense. DentroConferência Internacional sobre
Ciência Forense em Telecomunicações, Informação e Multimídia, páginas 224–233. Springer, 2010.
[221] George Pangalos, Christos Ilioudis e Ioannis Pagkalos. A importância da prontidão forense corporativa na estrutura de
segurança da informação. DentroEnabling Technologies: Infrastructures for Collaborative Enterprises (WETICE), 2010
19º IEEE International Workshop on, páginas 12–16. IEEE, 2010.
[222] Neil J Croft e Martin S Olivier. Liberação sequenciada de informações precisas sobre privacidade em uma investigação forense.
Investigação Digital, 7 (1-2): 95–101, 2010.
[223] Siani Pearson. Modelos e idiomas de privacidade: políticas de verificação de garantia. DentroPrivacidade digital, páginas 363–375.
Springer, 2011.
38
[224] Antonio Pooe e Les Labuschagne. Um modelo conceitual para prontidão forense digital. DentroSegurança da Informação para
a África do Sul (ISSA), 2012, páginas 1–8. IEEE, 2012.
[225] Shuhui Hou, Tetsutaro Uehara, SM Yiu, Lucas CK Hui e KP Chow. Privacidade preservando pesquisa de várias palavras-chave
para investigação confidencial de perícia forense remota. DentroRede e Segurança de Informação Multimídia (MINES),
Terceira Conferência Internacional de 2011, páginas 595–599. IEEE, 2011.
[226] Xiaodong Lin, Rongxing Lu, Kevin Foxton e Xuemin Sherman Shen. Um esquema de criptografia e fi ciente pesquisável e sua
aplicação em análise forense de rede. DentroConferência Internacional sobre Ciência Forense em Telecomunicações,
Informação e Multimídia, páginas 66–78. Springer, 2010.
[227] Anuradha Gupta. Estrutura de investigação forense digital e fi ciente que preserva a privacidade. DentroContemporary
Computing (IC3), Sexta Conferência Internacional de 2013, páginas 387–392. IEEE, 2013.
[228] Shuhui Hou, Siu-Ming Yiuy, Tetsutaro Ueharaz e Ryoichi Sasakix. Uma abordagem de preservação da privacidade para
a coleta de evidências em investigação forense.International Journal of Cyber-Security and Digital Forensics (IJCSDF),
2 (1): 70–78, 2013.
[229] Frederik Armknecht e Andreas Dewald. Análise forense de e-mail que preserva a privacidade.Investigação Digital, 14: S127–
S136, 2015.
[230] Khoirunnisa A fi fah e Riza Satria Perdana. Desenvolvimento de ferramentas de busca de dados criptografados para preservação de
privacidade em perícia digital. DentroEngenharia de Dados e Software (ICoDSE), Conferência Internacional de 2016 sobre,
[231] Ana Nieto, Ruben Rios e Javier Lopez. Iot-forensics encontra privacidade: em direção a investigações digitais cooperativas.
Sensores, 18 (2): 492, 2018.
[232] Ana Nieto, Rodrigo Roman e Javier Lopez. Testemunha digital: Protegendo evidências digitais usando arquiteturas
seguras em dispositivos pessoais.Rede IEEE, 30 (6): 34–41, 2016.
[233] Yudi Prayudi e Azhari Sn. Cadeia de custódia digital: estado da arte.International Journal of Computer
Applications, 114 (5), 2015.
[234] Ana Nieto, Ruben Rios e Javier Lopez. Uma metodologia para iot-forensics com reconhecimento de privacidade. DentroProceedings of
the 2017 IEEE Conference on Trustcom / BigDataSE / ICESS, Sydney, NSW, Austrália, páginas 1–4, 2017.
[235] Bill Blunden. Anti-forense: a conexão do rootkit. DentroAnais da Conferência Black Hat USA 2009, página 10,
2009
[236] Slim Rekhis e Noureddine Boudriga. Um sistema para investigação forense digital formal ciente de ataques anti-
forenses.Transações IEEE sobre informação forense e segurança, 7 (2): 635–650, 2012.
[237] Matthew Geiger. Avaliação de ferramentas comerciais contra-forenses. DentroDFRWS, 2005.
[238] Matthew Geiger, Lorrie Faith Cranor, et al. Ferramentas de privacidade contra-forenses.Privacidade na Sociedade Eletrônica,
2005.
[239] Kevin D. Fairbanks, Christopher P Lee, Ying H Xia e Henry L Owen. Timekeeper: um método de arquivamento de metadados
para análise forense do honeypot. DentroWorkshop de garantia e segurança de informações, 2007. IAW'07. IEEE SMC,
páginas 114–118. IEEE, 2007.
[240] Parag H Rughani e Prerak Bhatt. Forense de aprendizado de máquina: um novo ramo da forense digital.Jornal Internacional de
Pesquisa Avançada em Ciência da Computação, 8 (8), 2017.
[241] Bruno WP Hoelz, Célia Ghedini Ralha e Rajiv Geeverghese. Inteligência artificial aplicada à computação forense.
DentroProceedings of the 2009 ACM symposium on Applied Computing, páginas 883–888. ACM, 2009.
[242] Faye Mitchell. O uso de inteligência artificial em perícia digital: uma introdução.Provas Digitais e Elec. Assinatura
L. Rev.,7:35, 2010.
[243] Greg Allen e Taniel Chan. Inteligência artificial e segurança nacional. Belfer Center for Science and International
Affairs Cambridge, MA, 2017.
[244] Wei Liang Yeow, Rohana Mahmud e Ram Gopal Raj. Uma aplicação de raciocínio baseado em casos com aprendizado de
máquina para autópsia forense.Sistemas especialistas com aplicativos, 41 (7): 3497–3505, 2014.
[245] Mark Weber, Giacomo Domeniconi, Jie Chen, Daniel Karl I Weidele, Claudio Bellei, Tom Robinson e Charles E Leiserson.
Antilavagem de dinheiro em bitcoin: Experimentação com redes convolucionais de gráfico para análise forense
financeira.arXiv preprint arXiv: 1908.02591, 2019.
[246] XiaoWang, Jianbiao Zhang, Ai Zhang e Jinchang Ren. Tkrd: detecção de rootkit de kernel confiável para segurança cibernética de
vms com base em aprendizado de máquina e análise forense de memória.Biociências Matemáticas e Engenharia,
16 (4): 2650–2667, 2019.
39
[247] Apostolos Axenopoulos, Volker Eiselein, Antonio Penta, Eugenia Koblents, Ernesto La Mattina e Petros Daras. Uma
estrutura para análise em grande escala de vídeo em estado selvagem para auxiliar o exame forense digital.
Segurança e privacidade IEEE, 17 (1): 23–33, 2019.
[248] Jee-Young Sun, Seung-Wook Kim, Sang-Won Lee e Sung-Jea Ko. Uma nova análise forense de realce de contraste baseada em
redes neurais convolucionais.Processamento de Sinal: Comunicação de Imagem, 63: 149–160, 2018.
[249] Gang Cao, Haorui Wu e Wei Zhao. Análise forense robusta de aumento de contraste usando redes neurais
convolucionais. 2018.
[250] Wuyang Shan, Yaohua Yi, Ronggang Huang e Yong Xie. Análise forense robusta de aprimoramento de contraste com base em
redes neurais convolucionais.Processamento de Sinal: Comunicação de Imagem, 71: 138–146, 2019.
[251] Jingjing Yu, Yifeng Zhan, Jianhua Yang e Xiangui Kang. Método anti-forense de imagem multiuso usando redes
neurais convolucionais. DentroWorkshop internacional sobre marca d'água digital, páginas 3–15. Springer,
2016
[252] Yifang Chen, Xiangui Kang, Z Jane Wang e Qiong Zhan. Rede neural convolucional densamente conectada para análise forense
de imagens multifuncional sob ataques anti-forenses. DentroProcedimentos do 6º Workshop ACM sobre ocultação de
informações e segurança multimídia, páginas 91–96. ACM, 2018.
[253] Haoliang Li, Peisong He, Shiqi Wang, Anderson Rocha, Xinghao Jiang e Alex C Kot. Aprendizagem da representação
generalizada de recursos profundos para anti-spoofing de rosto.IEEE Transactions on Information Forensics and Security,
13 (10): 2639–2652, 2018.
[254] Erik Laykin. Computação forense investigativa: o guia prático para advogados, contadores, investigadores e executivos
de negócios. John Wiley & Sons, 2013.
40

Idioma

Digital Forensics Vs Anti-Digital Forensics Techni - En.pt

Enviado por

Dados do documento

Título original

Direitos autorais

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Digital Forensics Vs Anti-Digital Forensics Techni - En.pt

Enviado por

Direitos autorais:

DIGITAL FORENSICS VS.

Jean-Paul A. Yaacoub, Hassan N. Noura, Ola Salman e Ali Chehab

Beirute 1107 2020, Líbano

Esta contribuições em papel podem ser resumidas nos seguintes pontos:

• Destacando: os desafios forenses digitais mais persistentes.

1,2 Trabalho relatado

1.3 Formulação do Problema

2 Antecedentes - Domínio Forense

2.1 Classificação de dados forenses

Figura 1: Classificação de dados forenses

2,2 Investigadores forenses:

2,3 Crimes cibernéticos

2.3.1 Etapas do crime cibernético

Figura 2: Ciclo do crime cibernético

2.3.2 Classificação cibercriminosa

Os cibercriminosos podem ser classificados em três categorias principais:

2.3.3 Estrutura do crime cibernético

• Coordenado e organizado: Os crimes cibernéticos são coordenados se realizados simultaneamente e de forma

A Figura 3 inclui os tipos de atacantes de acordo com suas intenções.

Figura 3: Classificação de ciberataques

2.4 Ameaças cibernéticas

2.4.1 Fonte de Ameaça

Figura 4: Identificação e classificação de ameaças

2.4.2 Tipo de Ameaça

2,5 Cadeia de custódia forense

3 subdomínios forense digital

Figura 5: Classificação de artefatos forenses digitais

Figura 6: Tipos forenses

3,1 Computação Forense

3.1.1 Ferramentas Disponíveis

Tabela 1: Ferramentas de análise forense computacional

Análise forense computacional Descrição

3.1.2 Etapas de computação forense

3,2 Análise forense de rede

3.2.1 Evidência Baseada em Rede

Figura 7: evidência baseada em rede

3.2.2 Abordagens de análise forense de rede

3.2.3 Ferramentas NFA e NSM

3.3 Cloud Forensics

3.3.1 Cloud Forensics Tools

3.4 E-mail Forensics

3.4.1 Abordagens de e-mail forense

Mesa 2: Ferramentas forenses usadas para investigações forenses de rede

Análise forense de rede Descrição

3.4.2 Ferramentas de Email-Forense

3.5 Análise forense de malware

Tabela 3: Descrição das ferramentas de monitoramento e segurança de rede

Nomes de ferramentas NSM Descrição

Tabela 4: Descrição das ferramentas de análise

Cloud Forensics Tools forense da nuvem

3.5.1 Abordagens de análise forense de malware

Tabela 5: Ferramentas de investigação forense por e-mail

Ferramentas de análise forense de e-mail Descrição

3.5.2 Ferramentas de análise forense de malware

Tabela 6: Ferramentas de análise forense de malware

Malware Forensics Tools (MFTs) Descrição

3.6 Perícia de Memória

3.6.1 Visualização da memória

3.6.2 Abordagens de análise forense de memória

3.6.3 Ferramentas de análise de memória

Tabela 7: Ferramentas de investigação forense de memória

Ferramentas de análise de memória Descrição

3.7 Análise forense móvel

Figura 8: Artefatos digitais de perícia móvel

Como resultado, essas ferramentas forenses estão resumidas na Figura 9.