As Pericia forense computacional x9

Prévia do material em texto

Pergunta 10,5 pts 
Todos os incidentes de segurança devem ser respondidos. Contudo, nem 
todos o são pela equipe que fez a descoberta do incidente, uma vez que pode 
ocorrer um desalinhamento entre o incidente e o time de resposta (CSIRT), no 
que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento 
da triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o 
repasse desse incidente para que ele seja respondido por um time com 
capacitação e escopo mais abrangentes. Assinale a alternativa que contempla 
o formato de envio desse repasse, obedecendo à recomendação proposta pela 
ENISA: 
Grupo de escolhas da pergunta 
 
IODEF 
 
Router-based 
 
TCP 
 
GPO 
 
Server-side 
 
Sinalizar esta pergunta 
Pergunta 20,5 pts 
Incidentes de segurança da informação demandam atividade de investigação 
de um perito forense, normalmente quando os ativos envolvidos estão 
relacionados a um ilícito. Neste sentido, especialmente em ambiente 
corporativo, é correto afirmar que alguns ativos de informação despertam mais 
interesse de atacantes e, portanto, serão alvo de investigação mais frequentes 
do perito porque: 
Grupo de escolhas da pergunta 
 
Possuem ligação com processos e sistemas corporativos internos. 
 
São protegidos por criptografia e Jitter. 
 
São públicos e facilmente acessíveis. 
 
Possuem alto valor probatório. 
 
Estão relacionados aos logs de eventos corporativos mais recentes. 
 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Sinalizar esta pergunta 
Pergunta 30,5 pts 
Ao avaliar um incidente para a coleta de evidências computacionais, um perito 
analisa a infraestrutura de rede envolvida e estabelece os ativos para obter 
informações de eventos e alertas ocorridos desde o momento imediatamente 
anterior ao incidente até a percepção de paradas de serviço ou evento principal 
reportado. Neste sentido, assinale a alternativa que descreve o formato de 
envio desses eventos e alertas, internacionalmente adotado, quando o objetivo 
é centralizar essas informações em um repositório: 
Grupo de escolhas da pergunta 
 
SaaS 
 
Trail 
 
MITM 
 
Syslog 
 
IODEF 
 
Sinalizar esta pergunta 
Pergunta 40,5 pts 
Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi 
atingido, diminuindo sua capacidade de serviços e o SLA prometido ao cliente 
que faz uso desse recurso. Há um evento de segurança gerado pelo 
monitoramento de ativos. Para considerarmos que houve um incidente de 
segurança da informação, no entanto, é necessário que este evento 
represente: 
Grupo de escolhas da pergunta 
 
Log em ativo na rede corporativa. 
 
 
Comprometimento ou ameaça à operação do negócio. 
 
 
Falha na conexão de Internet para o negócio. 
 
 
Ataque na rede corporativa. 
 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
Porta do servidor desabilitada na rede corporativa. 
 
 
Sinalizar esta pergunta 
Pergunta 50,5 pts 
Diferentemente da versão simplificada do fluxo de resposta a incidente 
proposta pelo NIST, a ISO 27035 (2016) propõe cinco processos principais. 
Descreva a alternativa que descreve corretamente o primeiro processo de 
resposta, chamado “Preparação”: 
Grupo de escolhas da pergunta 
 
Investigação forense, iniciando-se pela coleta de evidências locais. 
 
Análise de impacto e recuperação do ativo comprometido pelo incidente. 
 
Atividade de avaliação inicial e definição do profissional/equipe adequada para 
a resposta. 
 
Atividades de documentação e capacitação do time de respostas a incidentes. 
 
Atividade de contenção do incidente e análise de triagem. 
 
Sinalizar esta pergunta 
Pergunta 60,5 pts 
Nem sempre é possível a obtenção de uma evidência sem viés, interferências 
e contaminação. Quando realizamos a cópia do tipo “Imagem Lógica”, as 
propriedades de MAC Times podem ser alteradas, impedindo a correta 
interpretação pelo perito. Assinale a alternativa que descreve ou exemplifica 
essa coleta de evidência. 
Grupo de escolhas da pergunta 
 
Cópia mangle. 
 
Cópia de arquivos de diretórios. 
 
Cópia de arquivos de page file. 
 
Cópia bit-a-bit. 
 
Cópia do tipo sync. 
 
Sinalizar esta pergunta 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Pergunta 70,5 pts 
Fenômenos de contaminação da evidência, tanto em nível quântico, como os 
descritos inicialmente por Heisenberg, quanto os de contato e mais práticos 
para os objetivos do perito forense computacional, como descrito inicialmente 
por Lacard, são preocupações relativas à qualidade da evidência. Nesse 
sentido, é CORRETO afirmar que 
Grupo de escolhas da pergunta 
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, 
menor será a OOV e, portanto, menor vai ser a interferência / contaminação. 
 
quanto mais isolarmos a evidência, desligando o servidor e retirando-o do 
local do incidente, maior vai ser a interferência / contaminação. 
 
quanto mais rápido logarmos no sistema com o usuário administrador, logo 
após o incidente, para deletar os arquivos suspeitos de vírus, menor vai ser a 
interferência / contaminação. 
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, 
maior será a OOV e, portanto, maior vai ser a interferência / contaminação. 
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, 
menor será a OOV e, portanto, maior vai ser a interferência / contaminação. 
 
Sinalizar esta pergunta 
Pergunta 80,5 pts 
Incidentes de segurança da informação demandam atividade de investigação 
de um perito forense, normalmente quando os ativos envolvidos estão 
relacionados a um ilícito. Nesse sentido, especialmente em casos que 
precisem de cópia dos arquivos em disco (HD ou SD, por exemplo), o perito 
deve, preferencialmente, escolher cópias do tipo 
Grupo de escolhas da pergunta 
 
CMIT. 
 
memória volátil. 
 
ZIP. 
 
SNMP. 
 
RAW. 
 
Sinalizar esta pergunta 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Pergunta 90,5 pts 
Ao realizar uma extração de evidência, um perito forense computacional deve 
tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo 
juiz como parte das provas materiais na instrução de um caso. Uma das 5 
(cinco) propriedades que a evidência deve conter para que seja aceita diz 
respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um 
processo comum realizado pelo perito é efetuar a extração acompanhado de 
um notário, com fé pública, 
Grupo de escolhas da pergunta 
 
e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um 
código para conferência posterior. 
 
que realizará a cópia seletiva, de forma conjunta, com o perito. 
 
e coletar todas as evidências relacionadas ao objeto, de forma a ligar o 
incidente aos artefatos colhidos, diretamente. 
 
munido de autorização formal (mandado de busca, por exemplo). 
 
e descrever, de forma não técnica, os achados, de forma que seja possível a 
compreensão do laudo para um leigo em TI. 
 
Sinalizar esta pergunta 
Pergunta 100,5 pts 
Diferentemente da evidência digital original, esta evidência não contempla os 
itens físicos, pois não foi possível recolher os equipamentos envolvidos para 
exame em laboratório. De posse da cópia, estamos, então, com uma evidência 
do tipo 
Grupo de escolhas da pergunta 
 
evidência digital virtual. 
 
evidência sem registro. 
 
evidência digital interpolada. 
 
evidência digital completa. 
 
evidência digital duplicada. 
 
Sinalizar esta pergunta 
Pergunta 110,5 pts 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Aorealizar uma análise forense observando um dump de memória extraído no 
processo de coleta de evidência digital, em que o objetivo é comprovar os 
processos em execução há época, um perito usando o framework volatility 
usaria o comando 
Grupo de escolhas da pergunta 
 
proccess-lk 512 
 
dd if=<in> of=<off> 
 
mampage 
 
pslist 
 
pxvs 
 
Sinalizar esta pergunta 
Pergunta 120,5 pts 
Caso um perito forense computacional deseje executar a análise de um dump 
de memória realizado por outro colega, ou realizado por ele mesmo em data 
passada, para fins de autenticidade e confiabilidade, ele deve realizar o 
processo de: 
Grupo de escolhas da pergunta 
 
Validação do header do dump de memória. 
 
Verificação de rastreabilidade do DTB. 
 
Verificação da compatibilidade do profile. 
 
Verificação de correspondência HASH. 
 
Validação do resultado KDBG. 
 
Sinalizar esta pergunta 
Pergunta 130,5 pts 
Analisando a atividade de um perito forense computacional em contribuição a 
uma investigação criminal, a atividade inicial de definição de atores 
participantes do incidente resulta nas seguintes diferenciações de participação: 
Grupo de escolhas da pergunta 
 
Vítima, gateway e atacante. 
 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Autor, coautor e cúmplice. 
 
Vítima, força policial e investigado. 
 
Autor, suspeito e mediador. 
 
Ativa, passiva ou externa. 
 
Sinalizar esta pergunta 
Pergunta 140,5 pts 
Com relação à atividade de um perito forense computacional em contribuição a 
uma investigação criminal, é correto afirmar que o objetivo da coleta de 
evidências é 
Grupo de escolhas da pergunta 
 
exportar dados em memória (dump) para comprovar o uso de programas 
proibidos. 
 
estabelecer uma acusação formal contra o acusado, com base no resultado da 
perícia no disco do computador investigado. 
 
estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do 
programa volatility. 
 
comprovar ou refutar uma tese estabelecida na linha de investigação do 
caso. 
 
exportar dados em disco para comprovar o uso de programas proibidos. 
 
Sinalizar esta pergunta 
Pergunta 150,5 pts 
Ao realizar uma extração de evidência, para a observação de memória, uma 
parte dos dados pode não estar disponível, caso o sistema operacional (SO) 
use memória virtual. Nesta situação, o perito deve realizar a coleta dos dados 
em disco e relacionar os dados no espaço destinado ao armazenamento da 
memória virtual com referência/controle fornecido por 
Grupo de escolhas da pergunta 
 
SysVol. 
 
MemVol. 
 
Page table. 
 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Memória RAM. 
 
SysShare. 
 
Sinalizar esta pergunta 
Pergunta 160,5 pts 
Ao realizar um dump de memória de um sistema operacional Windows e 
investigar a evidência por meio da execução do comando netscan do 
framework Volatility, o perito forense computacional deseja, basicamente: 
Grupo de escolhas da pergunta 
 
Obter informações armazenadas em disco acerca de atividades de 
“navegação” em pastas e arquivos realizadas no computador investigado 
 
Obter informações armazenadas em disco acerca de malwares no computador 
investigado 
 
Obter informações armazenadas em memória acerca de malwares no 
computador investigado 
 
Obter informações armazenadas em memória acerca de atividades de login do 
usuário, realizadas no computador investigado 
 
Obter informações armazenadas em disco acerca de uso da rede no 
computador investigado 
 
Sinalizar esta pergunta 
Pergunta 170,5 pts 
Ao realizar um dump de memória de um sistema operacional Windows 7 e 
investigar a evidência por meio da execução do comando yarascan – Y 
“Cache” do framework Volatility, o perito forense computacional deseja, 
basicamente: 
Grupo de escolhas da pergunta 
 
Verificação da compatibilidade do profile 
 
Validação do header do dump de memória 
 
Validação do resultado KDBG 
 
Verificação de resquícios de informação de uso de internet contidas no 
cache do navegador 
 
Verificação de rastreabilidade do DTB contidas no cache da memória virtual 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
Sinalizar esta pergunta 
Pergunta 180,5 pts 
Ao realizar um dump de memória de um sistema operacional Windows e 
investigar a evidência por meio da execução do comando memmap do 
framework Volatility, o perito forense computacional deseja, basicamente: 
Grupo de escolhas da pergunta 
 
Obter informações armazenadas em memória acerca de malwares no 
computador investigado. 
 
Obter informações armazenadas em memória acerca de atividades de 
“navegação” em pastas e arquivos realizados no computador investigado. 
 
Obter informações armazenadas em memória do local da paginação 
realizada para memória virtual em disco. 
 
Obter informações armazenadas em disco acerca de uso da rede no 
computador investigado. 
 
Objetos em memória mapeados para o registrador default ix64B 
 
Sinalizar esta pergunta 
Pergunta 190,5 pts 
Segundo o fluxo geral de atividades do perito, descrito pelo departamento de 
justiça norte-americano, usado como referência em vários outros países e 
citado em nosso material da unidade (NCJ 199408, 2004), os quatro passos da 
investigação são corretamente descritos pela alternativa: 
Grupo de escolhas da pergunta 
 
1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 
4) Exame Volatility 
 
1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova 
continuada; e 4) Documentação e reporte (laudo) dos achados 
 
1) Avaliação do local; 2) Extração das evidências; 3) Examinação das 
evidências; e 4) Documentação e reporte (laudo) dos achados 
 
1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) 
Acusação formal 
 
1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e 
de disco; e 4) Exame Volatility 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
Sinalizar esta pergunta 
Pergunta 200,5 pts 
Ao realizar um dump de memória de um sistema operacional Windows XP e 
investigar a evidência por meio da execução do comando malfind do framework 
Volatility, o perito forense computacional deseja, basicamente obter 
informações de: 
Grupo de escolhas da pergunta 
 
pxvs 
 
mampage 
 
dd if=<in> of=<off> 
 
pslist 
 
malwares 
 
 
 
 
 
 
 
 
 
Sinalizar esta pergunta 
Pergunta 40,5 pts 
Analisando a afirmação acerca da atividade de “solicitação de atuação do 
perito forense computacional” a seguir, assinale a alternativa que a classifica e 
descreve como V (verdadeira) ou F (falsa), em relação à corretude da 
afirmação: 
Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo 
(data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo 
entre os disponíveis no cadastro do fórum local, e solicita um parecer 
comparando as evidências. 
Grupo de escolhas da pergunta 
 
Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de 
instrução, sem antes obter a autorização do STF. 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de 
um mesmo perito, em razão de sigilo imposto entre casos distintos e por 
impedimento regulado por requisito descrito no Código de Processo Civil. 
 
Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque 
pode analisar casos diferentes que compartilham do mesmo provedor de 
Internet, por exemplo, como infraestrutura de TI. 
 
Verdadeira, pois o juiz deve solicitar a análise deevidências no final da 
arguição de testemunhas para depois comparar com sua sentença. 
 
Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, 
que deve ser feita pelo notário local, único com essa atribuição/autoridade. 
 
Sinalizar esta pergunta 
Pergunta 50,5 pts 
De uma foma geral, a resposta aos incidentes e, em alguns casos, à 
investigação do perito forense computacional, coletando evidências desse 
incidente, depende, inicialmente, de um processo de monitoração de ativos que 
aponte a ocorrência desse incidente. Dos ativos listados abaixo, aponte o que 
demonstra maior dificuldade para esse processo de monitoramento: 
Grupo de escolhas da pergunta 
 
Ativos intangíveis. 
 
Ativos de serviço. 
 
Ativos abstratos. 
 
Ativos de informação. 
 
Ativos de software/sistema. 
 
 
 
 
Sinalizar esta pergunta 
Pergunta 90,5 pts 
Exemplificando a atividade de um perito forense computacional em contribuição 
a uma investigação criminal envolvendo invasão de um site, 
é CORRETO afirmar acerca do processo de coleta de evidência típico que o 
perito deve coletar também 
Grupo de escolhas da pergunta 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
o perfil psicológico do suspeito sob acusação. 
 
testemunho dos seguranças do andar do data center. 
 
EMEI e memória heap do roteador remoto. 
 
informações de conexão com logs do roteador de borda e/ou firewall e 
logs do servidor Web envolvido. 
 
EMEI e memória heap do roteador local. 
 
. 
 
 
 
Sinalizar esta pergunta 
Pergunta 140,5 pts 
Para a preservação da evidência e para que ela seja aceita em um caso em 
juízo, é importante que possamos comprovar onde a evidência esteve e quais 
foram os atores que realizaram manipulações durante todo o ciclo de vida 
desta evidência. Chamamos esse controle de 
Grupo de escolhas da pergunta 
 
OOV. 
 
Controle de Piazza. 
 
Controle de manipulações. 
 
Prova material. 
 
Cadeia de custódia. 
 
Sinalizar esta pergunta 
Pergunta 160,5 pts 
Ao realizar um dump de memória de um sistema operacional Windows 7 e 
investigar a evidência por meio da execução do comando pslist | grep “iexplore” 
do framework Volatility, o perito forense computacional deseja, basicamente: 
Grupo de escolhas da pergunta 
 
Identificar processos de navegação na Internet realizados com o browser 
default no computador investigado 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
 
Explorar a lista ordenada de processos grep realizados no computador 
investigado 
 
Identificar o número de DLLs do tipo grep no SO 
 
Identificar processos de navegação de pastas realizados no computador 
investigado 
 
Explorar os processos de grep realizados no computador investigado 
 
 
 
 
 
 
 
Sinalizar esta pergunta 
Pergunta 140,5 pts 
Em casos de investigação envolvendo a necessidade de perícia computacional 
em data centers, a impossibilidade de retirada de itens físicos (pois estão 
relacionados normalmente a múltiplos usuários, não relacionados ao ilícito em 
questão), torna inviável a coleta de qual tipo de evidência digital? 
Grupo de escolhas da pergunta 
 
Evidência digital duplicada. 
 
Itens físicos. 
 
Objetos em memória. 
 
Evidência digital original. 
 
Evidência digital coexistente. 
 
https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take