Conhecimentos em Segurança Cibernética e Programação

Prévia do material em texto

Questão de concurso da banca: Instituto CONTEMAX, da cidade de Tupãssi ¿ PR do ano de 2019 para Agente Administrativo:
Vírus, Worm e Torjan são termos bem conhecidos na área de segurança cibernética. Na lista abaixo, assinale o único item que também é uma ameaça virtual.
	
	
	
	Plug-in
	
	
	Bitcoin
	
	
	Rootkit
	
	
	Codec
	
	
	Add-on
	
Explicação:
Rootkit é o único item que também é uma ameaça virtual.
	
	
	
	 
		
	
		2.
		Questão de concurso da banca: Instituto UniFil, da cidade de Tupãssi ¿ PR do ano de 2019 para Analista de Sistemas:
Programa malicioso que sequestra os arquivos e programas de um computador. Os arquivos são compactados com senha, e o usuário não consegue mais abri-los. Então é feito um pedido de pagamento para a vítima (resgate) em troca da senha para conseguir abrir os seus arquivos e programas. A definição corresponde a um
	
	
	
	Spam
	
	
	Ransomware
	
	
	Phishing
	
	
	Keylogger
	
	
	Vírus
	
Explicação:
Um ransonware é um programa malicioso que sequestra os arquivos e programas de um computador. Os arquivos são compactados com senha, e o usuário não consegue mais abri-los. Então é feito um pedido de pagamento para a vítima (resgate) em troca da senha para conseguir abrir os seus arquivos e programas.
	
	
	
	 
		
	
		3.
		(FUNDATEC, da cidade de Farroupilha - RS do ano de 2019 para Técnico de Tecnologia da Informação:)
Em relação aos códigos maliciosos (malwares), a ______________ é uma rede formada por centenas ou milhares de computadores zumbis que permite potencializar as ações danosas executadas pelos bots.
Assinale a alternativa que preenche corretamente a lacuna do trecho acima.
	
	
	
	Netsbot
	
	
	Trojan DoS
	
	
	Trojan Proxy
	
	
	Botnet
	
	
	Tracebot
	
Explicação:
Botnet é uma rede formada por centenas ou milhares de computadores zumbis que permite potencializar as ações danosas executadas pelos bots.
		No que consiste a técnica de empacotamento?
	
	
	
	Técnica para transformar códigos em letras.
	
	
	Técnica que consiste em criptografar o malware e facilitar sua detecção
	
	
	Técnica que consiste em comprimir o código e ofuscá-lo.
	
	
	Técnica de encapsulamento a fim de tornar o programa flexível.
	
	
	Técnica que permite a geração de pacotes aleatórios.
	
Explicação:
O empacotamento é uma técnica que consiste em comprimir o código e ofuscá-lo.
	
	
	
	 
		
	
		2.
		O que é uma SandBox?
	
	
	
	Ferramenta de antivirus.
	
	
	Ferramenta de captura de rede.
	
	
	Ambiente virtual para análise de malware.
	
	
	Ferramenta para verificar registros.
	
	
	Repositório de malwares
	
Explicação:
Ambiente virtual para análise de malware.
	
	
	
	 
		
	
		3.
		Questão de concurso da banca: CESPE/CEBRASPE, para o TRE-BA do ano de 2017 para Analista de Sistemas:
No que se refere ao uso e ao funcionamento de programas antivírus, julgue os itens a seguir:
I-Programas que detectam vírus com base em assinaturas interrompem a proteção em tempo real, de modo que a detecção de rootkits passa a ser realizada por outros sistemas, como o firewall.
II-A criação de programas antivírus foi essencial para a cibersegurança, já que automatizou o processo de remoção de malwares sem a necessidade de formatar e reinstalar sistemas.
III-Os antivírus verificam grupos de arquivos separados por extensão e os comparam com vírus, worms e outros tipos de malwares.
IV-A grande quantidade de códigos maliciosos e a velocidade de sua criação tornam o método de assinaturas ineficaz contra ameaças avançadas e ataques de zero-day.
Estão certos apenas os itens
	
	
	
	I e III.
	
	
	III e IV.
	
	
	I e II.
	
	
	II e IV.
	
	
	II, III e IV.
	
Explicação:
A assertiva I é falsa pois os programas de antivirus não interrompem a proteção para passar controle para o firewall.
A assertiva III é falsa pois os programas de antivirus não verificam grupos de arquivos separados por extensão.
		Qual o valor do registrador ECX após a sétima instrução?
1) mov eax,0x11223340
2) add eax,0x0f
3) inc eax
4) mov ebx,eax
5) mov ebx,[0x11223354]
6) mov ecx, 0x11223344
7) shl ecx,24
Mapa de memória:
	
	
	
	0x00000000
	
	
	0x00001122
	
	
	0x00112233
	
	
	0x11223344
	
	
	0x00000011
	
Explicação:
0x00000011
	
	
	
	 
		
	
		2.
		Qual o valor do registrador EBX após a quinta instrução?
1) mov eax,0x11223340
2) add eax,0x0f
3) inc eax
4) mov ebx,eax
5) mov ebx,[0x11223354]
Mapa de memória:
	
	
	
	0x12345678
	
	
	0x11223350
	
	
	0x00000000
	
	
	0xFFFFFFFF
	
	
	0x11223354
	
Explicação:
0x12345678
	
	
	
	 
		
	
		3.
		No quadro está exemplificado uma área da memória e seus respectivos valores
1) mov eax,0x11223340
2) add eax,0x0f
3) inc eax
4) mov ebx,eax
5) mov ebx,[0x11223354]
6) mov ecx, 0x11223344
7) shl ecx,24
8) mov eax,0x11223340
9) lea edx,[eax+8]
10) mov eax,0x11223358
11) mov ebx,[0x1122335C]
12) xor ebx,[eax+4]
Qual o valor do registrador EDX após a nona instrução?
	
	
	
	0x00102020
	
	
	0x11223340
	
	
	0x00C0FFEE
	
	
	0x11223348
	
	
	0xDEADBEEF
	
Explicação:
0x00102020
		Qual o valor deve ser preenchido em 3, na instrução mov para que seja compatível no contexto da aplicação?
	
	
	
	esp
	
	
	eax
	
	
	ebp
	
	
	esp+4
	
	
	ebp+4
	
Explicação:
eax
	
	
	
	 
		
	
		2.
		
Quantas vezes a área de memória loc_401520 é acessada e suas instruções executadas?
	
	
	
	0
	
	
	3
	
	
	2
	
	
	1
	
	
	4
	
Explicação:
1 vez
	
	
	
	 
		
	
		3.
		Qual o valor final da variável armazenada em esp+1C, a qual é passada por parâmetro para a função printf e referenciada como 'y' ao fim da execução do programa?
	
	
	
	6
	
	
	15
	
	
	12
	
	
	5
	
	
	10
	
Explicação:
12
		Quais dos registradores abaixo foi modificado na última instrução executada?
	
	
	
	eax
	
	
	esp
	
	
	edx
	
	
	ebp
	
	
	ebx
	
Explicação:
esp
		Considere, abaixo, as células assinaladas por um tique, como características de códigos maliciosos.
Neste caso, I e II correspondem, correta e respectivamente a:
	
	
	
	Rootkit e Backdoor
	
	
	Trojan e Backdoor
	
	
	Backdoor e Rootkit
	
	
	Rootkit e Trojan
	
	
	Trojan e Rootkit
	
Explicação:
Backdoor e Rootkit
	
	
	
	 
		
	
		2.
		Os códigos maliciosos fazem inúmeras vítimas e provocam os mais variados prejuízos. Quando esse código se instala na máquina da vítima para permitir conexões remotas, é classificado como:
	
	
	
	Backdoor
	
	
	Adware
	
	
	Spyware
	
	
	Worm
	
	
	Keylogger
	
Explicação:
A backdoor é um tipo de malware que se instala na máquina da vítima para permitir conexões remotas, geralmente utilizado após a máquina ter sido comprometida, permitindo o retorno do atacante.
	
	
	
	 
		
	
		3.
		Ao executar um artefato malicioso dentro do seu laboratório, você verificou o seguinte encadeamento de rede: O artefato faz uma requisição do tipo HTTP GET para o ip: 205.22.10.15. Quatro minutos depois, ele estabelece uma conexão com outro IP:205.192.40.10 e, por fim, verifica se existe conexão com a internet realizando conexões intermitentes com o IP:1.1.1.1; quantos indicadores de rede o analista possui:
	
	
	
	1
	
	
	4
	
	
	5
	
	
	2
	
	
	3
	
Explicação:
São 4: três endereços IP e uma requisição HTTP (porta 80).
		O que é um desmontador?
	
	
	
	Ferramenta que converte uma representação binária no formato de mnemônicos correspondentes
	
	
	É um descompilador que rever a compilação de uma linguagem de alto nível
	
	
	Programa de computador que converte código escrito para código de máquina
	
	
	Notação legível por humanos para o código de máquina
	
	
	Ferramenta de análise de eventos gerados pelo binário
	
Explicação:
O desmontadoe é uma ferramenta que converte uma representação binária no formato de mnemônicos correspondentes.
	
	
	
	 
		
	
		2.
		Técnica utilizada para mascarar a análise destrings:
	
	
	
	Anti-máquina virtual
	
	
	Anti-desmontagem
	
	
	Programação
	
	
	Empacotamento
	
	
	Anti-depuração
	
Explicação:
O algoritmo de empacotamento vai compactar todo conteúdo, transformando a string em caracteres inteligíveis.
	
	
	
	 
		
	
		3.
		O que é empacotamento?
	
	
	
	Técnica que consiste em comprimir o código e ofuscá-lo para dificultar análise estática
	
	
	Técnica que facilita o trabalho do analista de malware
	
	
	Técnica que permite gerar pacotes aleatórios.
	
	
	Técnica que realiza o encapsulamento a fim de tornar a aplicação mais flexível.
	
	
	Técnica que consiste em facilitar a detecção do malware
	
Explicação:
O empacotamento é uma técnica que consiste em comprimir o código e ofuscá-lo para dificultar análise estática.
		
		Durante a aquisição de memória, qual das etapas abaixo devem ser evitadas?
	
	
	
	Adquirir a memória diretamente em um dispositivo móvel
	
	
	Definir ferramentas adequadas
	
	
	Planejamento adequado
	
	
	Evitar, ao máximo, interagir com a máquina
	
	
	Desligar a máquina
	
Explicação:
Durante a aquisição de memória, deve ser evitado desligar a máquina.
	
	
	
	 
		
	
		2.
		O sistema operacional Windows faz bastante uso de estruturas em C para organizar os dados e atributos. Em relação às estruturas, algumas são chamadas de "Executive Objects". Que tipo de estruturas são essas?
	
	
	
	São todos objetos carregados na memória
	
	
	Objetos que possuem conexões com a internet.
	
	
	Aplicações do tipo PE.
	
	
	São processos que rodam no modo Kernel.
	
	
	São estruturas criadas, removidas e atualizadas pelo gerenciador de objetos do Windows.
	
Explicação:
São estruturas criadas, removidas e atualizadas pelo gerenciador de objetos do Windows.
	
	
	
	 
		
	
		3.
		Qual dos itens abaixo, NÃO fazem parte de uma estrutura de um processo?
	
	
	
	Thread
	
	
	Objetos de kernel
	
	
	Espaço de memória virtual privada
	
	
	Pilha
	
	
	Credencial de acesso
	
Explicação:
Credencial de acesso
	
		Quais são os dois arquivos necessários para criação de um profile de Linux, utilizado pelo Volatility para análise da memória da máquina alvo?
	
	
	
	module.dwarf e lime.ko
	
	
	/proc/kcore e lime.ko
	
	
	system.map e module.ko
	
	
	module.dwarf e system.map
	
	
	module.dwarf e /dev/mem
	
Explicação:
module.dwarf e system.map
	
	
	
	 
		
	
		2.
		Para criação de um profile de linux precisamos gerar os símbolos do sistema operacional, os quais estão contidos no arquivo System.map. Este arquivo está em alguns lugares do sistema operacional e uma delas é em qual diretório?
	
	
	
	root
	
	
	media
	
	
	home
	
	
	tmp
	
	
	boot
	
Explicação:
O System.map pode ser encontrado no diretório boot.
	
	
	
	 
		
	
		3.
		Ferramenta utilizada para aquisição de memória em Linux modernos, a qual opera carregando um driver diretamente no kernel, com isso toda a aquisição é feita diretamente no kernel. Que ferramenta é essa?
	
	
	
	Volatility
	
	
	LiME
	
	
	fmem
	
	
	OllyDbg
	
	
	Dumpit
	
Explicação:
O LiME é a ferramenta utilizada para aquisição de memória em Linux modernos, a qual opera carregando um driver diretamente no kernel, com isso toda a aquisição é feita diretamente no kernel.
		Qual dos itens abaixo NÃO pode ser utilizado para emular um sistema Android durante a análise de malware?
	
	
	
	VMWare
	
	
	Ghidra
	
	
	QEMU
	
	
	Genymotion
	
	
	Android Emulator
	
Explicação:
O Ghidra não pode ser utilizado para emular um sistema Android durante a análise de malware.
	
	
	
	 
		
	
		2.
		A arquitetura ARM é do tipo armazenamento de carga a qual divide todas instruções em dois tipos de categorias. Quais são esses tipos?
	
	
	
	Controle de Fluxo e Acesso de Memória
	
	
	Manipulação de Dados e Acesso de Memória
	
	
	Operações Lógicas e Aritméticas e Manipulação de Dados
	
	
	Manipulação de dados e Operações Lógicas e Aritméticas
	
	
	Acesso de Memória e Operações Lógicas e Aritméticas
	
Explicação:
Na arquitetura ARM as instruções são divididas em dois tipos de categorias:Acesso de Memória e Operações Lógicas e Aritméticas.
	
	
	
	 
		
	
		3.
		De acordo com o fluxo de análise de uma aplicação Android, qual a ordem deve ser seguida pelo analista:
I - Análise do código
II - Descompilação
III - Aquisição da Amostra
	
	
	
	III, II e I
	
	
	II, III e I
	
	
	I, II e III
	
	
	III, I e II
	
	
	II, I e III
	
Explicação:
III - Aquisição da Amostra,  II - Descompilação e  I - Análise do código