Aperfeiçoamento da ferramenta sdhash para identificação de artefatos similares em investigações forenses 

Resumo

Atualmente  as  investigações  forenses  têm  que  lidar  com  grandes  quantidades  de  dados  devido  ao  avanço  da  tecnologia,  tornando-se  impraticável a análise manual de cada caso. Por esta razão, métodos capazes  de  reduzir  o  tempo  em  uma  investigação  e  ainda  serem  eficientes  em  encontrar  evidências  são  necessários.  Neste  trabalho,  nós  mostramos  como  melhorar o desempenho e a precisão de uma das ferramentas de pareamento  aproximado mais consolidadas na área, o sdhash. Nossos resultados mostram  que  a  ferramenta  modificada  é  capaz  de  identificar  similaridades  entre  diferentes artefatos com maior facilidade e rapidez.  Em  investigações  forenses  nos  dias  de  hoje,  além  da  diversidade  de  equipamentos  confiscados,  há  um  grande  volume  de  dados  que  necessitam  ser  analisados,  o  que  torna  inviável  uma  análise  manual  dos  mesmos.  Dessa  forma,  são  essenciais técnicas que permitam realizar a perícia de forma mais rápida e automática, e  que ao mesmo tempo sejam confiáveis e escaláveis. Uma das alternativas encontradas é  por  meio  do  método  conhecido  como  ​Known  File  Filtering  (KFF),  ou  filtragem  por  arquivos  conhecidos,  utilizado  tanto  para  filtrar  arquivos  confiáveis,  quanto  arquivos  suspeitos  ou  ilegais.  Nesta  abordagem,  a  equipe  de  investigação  forense  utiliza  uma  base  de  dados  com  arquivos  conhecidos  que  poderão  ser  ignorados  (​Whitelist​ ),  como  arquivos do sistema operacional, arquivos de programas conhecidos, dentre outros. Ela