Baixe o app para aproveitar ainda mais
Prévia do material em texto
Questão de concurso da banca: Instituto CONTEMAX, da cidade de Tupãssi ¿ PR do ano de 2019 para Agente Administrativo: Vírus, Worm e Torjan são termos bem conhecidos na área de segurança cibernética. Na lista abaixo, assinale o único item que também é uma ameaça virtual. Plug-in Bitcoin Rootkit Codec Add-on Explicação: Rootkit é o único item que também é uma ameaça virtual. 2. Questão de concurso da banca: Instituto UniFil, da cidade de Tupãssi ¿ PR do ano de 2019 para Analista de Sistemas: Programa malicioso que sequestra os arquivos e programas de um computador. Os arquivos são compactados com senha, e o usuário não consegue mais abri-los. Então é feito um pedido de pagamento para a vítima (resgate) em troca da senha para conseguir abrir os seus arquivos e programas. A definição corresponde a um Spam Ransomware Phishing Keylogger Vírus Explicação: Um ransonware é um programa malicioso que sequestra os arquivos e programas de um computador. Os arquivos são compactados com senha, e o usuário não consegue mais abri-los. Então é feito um pedido de pagamento para a vítima (resgate) em troca da senha para conseguir abrir os seus arquivos e programas. 3. (FUNDATEC, da cidade de Farroupilha - RS do ano de 2019 para Técnico de Tecnologia da Informação:) Em relação aos códigos maliciosos (malwares), a ______________ é uma rede formada por centenas ou milhares de computadores zumbis que permite potencializar as ações danosas executadas pelos bots. Assinale a alternativa que preenche corretamente a lacuna do trecho acima. Netsbot Trojan DoS Trojan Proxy Botnet Tracebot Explicação: Botnet é uma rede formada por centenas ou milhares de computadores zumbis que permite potencializar as ações danosas executadas pelos bots. No que consiste a técnica de empacotamento? Técnica para transformar códigos em letras. Técnica que consiste em criptografar o malware e facilitar sua detecção Técnica que consiste em comprimir o código e ofuscá-lo. Técnica de encapsulamento a fim de tornar o programa flexível. Técnica que permite a geração de pacotes aleatórios. Explicação: O empacotamento é uma técnica que consiste em comprimir o código e ofuscá-lo. 2. O que é uma SandBox? Ferramenta de antivirus. Ferramenta de captura de rede. Ambiente virtual para análise de malware. Ferramenta para verificar registros. Repositório de malwares Explicação: Ambiente virtual para análise de malware. 3. Questão de concurso da banca: CESPE/CEBRASPE, para o TRE-BA do ano de 2017 para Analista de Sistemas: No que se refere ao uso e ao funcionamento de programas antivírus, julgue os itens a seguir: I-Programas que detectam vírus com base em assinaturas interrompem a proteção em tempo real, de modo que a detecção de rootkits passa a ser realizada por outros sistemas, como o firewall. II-A criação de programas antivírus foi essencial para a cibersegurança, já que automatizou o processo de remoção de malwares sem a necessidade de formatar e reinstalar sistemas. III-Os antivírus verificam grupos de arquivos separados por extensão e os comparam com vírus, worms e outros tipos de malwares. IV-A grande quantidade de códigos maliciosos e a velocidade de sua criação tornam o método de assinaturas ineficaz contra ameaças avançadas e ataques de zero-day. Estão certos apenas os itens I e III. III e IV. I e II. II e IV. II, III e IV. Explicação: A assertiva I é falsa pois os programas de antivirus não interrompem a proteção para passar controle para o firewall. A assertiva III é falsa pois os programas de antivirus não verificam grupos de arquivos separados por extensão. Qual o valor do registrador ECX após a sétima instrução? 1) mov eax,0x11223340 2) add eax,0x0f 3) inc eax 4) mov ebx,eax 5) mov ebx,[0x11223354] 6) mov ecx, 0x11223344 7) shl ecx,24 Mapa de memória: 0x00000000 0x00001122 0x00112233 0x11223344 0x00000011 Explicação: 0x00000011 2. Qual o valor do registrador EBX após a quinta instrução? 1) mov eax,0x11223340 2) add eax,0x0f 3) inc eax 4) mov ebx,eax 5) mov ebx,[0x11223354] Mapa de memória: 0x12345678 0x11223350 0x00000000 0xFFFFFFFF 0x11223354 Explicação: 0x12345678 3. No quadro está exemplificado uma área da memória e seus respectivos valores 1) mov eax,0x11223340 2) add eax,0x0f 3) inc eax 4) mov ebx,eax 5) mov ebx,[0x11223354] 6) mov ecx, 0x11223344 7) shl ecx,24 8) mov eax,0x11223340 9) lea edx,[eax+8] 10) mov eax,0x11223358 11) mov ebx,[0x1122335C] 12) xor ebx,[eax+4] Qual o valor do registrador EDX após a nona instrução? 0x00102020 0x11223340 0x00C0FFEE 0x11223348 0xDEADBEEF Explicação: 0x00102020 Qual o valor deve ser preenchido em 3, na instrução mov para que seja compatível no contexto da aplicação? esp eax ebp esp+4 ebp+4 Explicação: eax 2. Quantas vezes a área de memória loc_401520 é acessada e suas instruções executadas? 0 3 2 1 4 Explicação: 1 vez 3. Qual o valor final da variável armazenada em esp+1C, a qual é passada por parâmetro para a função printf e referenciada como 'y' ao fim da execução do programa? 6 15 12 5 10 Explicação: 12 Quais dos registradores abaixo foi modificado na última instrução executada? eax esp edx ebp ebx Explicação: esp Considere, abaixo, as células assinaladas por um tique, como características de códigos maliciosos. Neste caso, I e II correspondem, correta e respectivamente a: Rootkit e Backdoor Trojan e Backdoor Backdoor e Rootkit Rootkit e Trojan Trojan e Rootkit Explicação: Backdoor e Rootkit 2. Os códigos maliciosos fazem inúmeras vítimas e provocam os mais variados prejuízos. Quando esse código se instala na máquina da vítima para permitir conexões remotas, é classificado como: Backdoor Adware Spyware Worm Keylogger Explicação: A backdoor é um tipo de malware que se instala na máquina da vítima para permitir conexões remotas, geralmente utilizado após a máquina ter sido comprometida, permitindo o retorno do atacante. 3. Ao executar um artefato malicioso dentro do seu laboratório, você verificou o seguinte encadeamento de rede: O artefato faz uma requisição do tipo HTTP GET para o ip: 205.22.10.15. Quatro minutos depois, ele estabelece uma conexão com outro IP:205.192.40.10 e, por fim, verifica se existe conexão com a internet realizando conexões intermitentes com o IP:1.1.1.1; quantos indicadores de rede o analista possui: 1 4 5 2 3 Explicação: São 4: três endereços IP e uma requisição HTTP (porta 80). O que é um desmontador? Ferramenta que converte uma representação binária no formato de mnemônicos correspondentes É um descompilador que rever a compilação de uma linguagem de alto nível Programa de computador que converte código escrito para código de máquina Notação legível por humanos para o código de máquina Ferramenta de análise de eventos gerados pelo binário Explicação: O desmontadoe é uma ferramenta que converte uma representação binária no formato de mnemônicos correspondentes. 2. Técnica utilizada para mascarar a análise destrings: Anti-máquina virtual Anti-desmontagem Programação Empacotamento Anti-depuração Explicação: O algoritmo de empacotamento vai compactar todo conteúdo, transformando a string em caracteres inteligíveis. 3. O que é empacotamento? Técnica que consiste em comprimir o código e ofuscá-lo para dificultar análise estática Técnica que facilita o trabalho do analista de malware Técnica que permite gerar pacotes aleatórios. Técnica que realiza o encapsulamento a fim de tornar a aplicação mais flexível. Técnica que consiste em facilitar a detecção do malware Explicação: O empacotamento é uma técnica que consiste em comprimir o código e ofuscá-lo para dificultar análise estática. Durante a aquisição de memória, qual das etapas abaixo devem ser evitadas? Adquirir a memória diretamente em um dispositivo móvel Definir ferramentas adequadas Planejamento adequado Evitar, ao máximo, interagir com a máquina Desligar a máquina Explicação: Durante a aquisição de memória, deve ser evitado desligar a máquina. 2. O sistema operacional Windows faz bastante uso de estruturas em C para organizar os dados e atributos. Em relação às estruturas, algumas são chamadas de "Executive Objects". Que tipo de estruturas são essas? São todos objetos carregados na memória Objetos que possuem conexões com a internet. Aplicações do tipo PE. São processos que rodam no modo Kernel. São estruturas criadas, removidas e atualizadas pelo gerenciador de objetos do Windows. Explicação: São estruturas criadas, removidas e atualizadas pelo gerenciador de objetos do Windows. 3. Qual dos itens abaixo, NÃO fazem parte de uma estrutura de um processo? Thread Objetos de kernel Espaço de memória virtual privada Pilha Credencial de acesso Explicação: Credencial de acesso Quais são os dois arquivos necessários para criação de um profile de Linux, utilizado pelo Volatility para análise da memória da máquina alvo? module.dwarf e lime.ko /proc/kcore e lime.ko system.map e module.ko module.dwarf e system.map module.dwarf e /dev/mem Explicação: module.dwarf e system.map 2. Para criação de um profile de linux precisamos gerar os símbolos do sistema operacional, os quais estão contidos no arquivo System.map. Este arquivo está em alguns lugares do sistema operacional e uma delas é em qual diretório? root media home tmp boot Explicação: O System.map pode ser encontrado no diretório boot. 3. Ferramenta utilizada para aquisição de memória em Linux modernos, a qual opera carregando um driver diretamente no kernel, com isso toda a aquisição é feita diretamente no kernel. Que ferramenta é essa? Volatility LiME fmem OllyDbg Dumpit Explicação: O LiME é a ferramenta utilizada para aquisição de memória em Linux modernos, a qual opera carregando um driver diretamente no kernel, com isso toda a aquisição é feita diretamente no kernel. Qual dos itens abaixo NÃO pode ser utilizado para emular um sistema Android durante a análise de malware? VMWare Ghidra QEMU Genymotion Android Emulator Explicação: O Ghidra não pode ser utilizado para emular um sistema Android durante a análise de malware. 2. A arquitetura ARM é do tipo armazenamento de carga a qual divide todas instruções em dois tipos de categorias. Quais são esses tipos? Controle de Fluxo e Acesso de Memória Manipulação de Dados e Acesso de Memória Operações Lógicas e Aritméticas e Manipulação de Dados Manipulação de dados e Operações Lógicas e Aritméticas Acesso de Memória e Operações Lógicas e Aritméticas Explicação: Na arquitetura ARM as instruções são divididas em dois tipos de categorias:Acesso de Memória e Operações Lógicas e Aritméticas. 3. De acordo com o fluxo de análise de uma aplicação Android, qual a ordem deve ser seguida pelo analista: I - Análise do código II - Descompilação III - Aquisição da Amostra III, II e I II, III e I I, II e III III, I e II II, I e III Explicação: III - Aquisição da Amostra, II - Descompilação e I - Análise do código
Compartilhar