Prévia do material em texto
09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 1/7 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV COMPUTAÇÃO FORENSE 7288-60_54406_R_E1_20222 CONTEÚDO Usuário WAGNER LUIZ CAVALCANTE MARIA Curso COMPUTAÇÃO FORENSE Teste QUESTIONÁRIO UNIDADE IV Iniciado 09/09/22 10:26 Enviado 09/09/22 10:30 Status Completada Resultado da tentativa 2,5 em 2,5 pontos Tempo decorrido 4 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente Pergunta 1 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: A análise de malwares pode ser categorizada como dinâmica ou estática, caso o procedimento utilizado para esse �m execute ou não o malware no sistema. Considere, portanto, as seguintes técnicas: (1) Desmontagem ( disassembly) de arquivos binários. (2) Uso de debuggers (depuradores) no código do arquivo suspeito. (3) Uso de programas de antivírus. (4) Monitoração de recursos (como rede ou processos) em um ambiente controlado. Estes são, respectivamente, métodos de análise: Estática, dinâmica, estática e dinâmica. Estática, dinâmica, estática e dinâmica. Dinâmica, estática, dinâmica e estática. Estática, estática, estática e dinâmica. Dinâmica, dinâmica, estática e estática. Estática, dinâmica, dinâmica e estática. Resposta: A Comentário: (1) e (3) são estáticos, porque usam engenharia reversa para desmontagem de arquivos e análise de binários por meio de antivírus. (2) e (4) são dinâmicos, pois procuram funcionalidades nos arquivos analisados. Pergunta 2 UNIP EAD BIBLIOTECAS MURAL DO ALUNO TUTORIAISCONTEÚDOS ACADÊMICOS 0,25 em 0,25 pontos 0,25 em 0,25 pontos http://company.blackboard.com/ https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_240818_1 https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_240818_1&content_id=_2928689_1&mode=reset https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1 https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1 https://ava.ead.unip.br/webapps/login/?action=logout 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 2/7 Resposta Selecionada: c. Respostas: a. b. c. d. e. Comentário da resposta: Assinale a alternativa que não representa um tipo de malware: DDoS. Trojans. Vírus. DDoS. Keyloggers. Rootkits. Resposta: C Comentário: Apesar de a execução de ataques DDoS se aproveitar de computadores infectados com algum malware, esses são conceitos distintos. Pergunta 3 Resposta Selecionada: d. Respostas: a. b. c. d. e. Comentário da resposta: Programas maliciosos se utilizam de técnicas antianálises para se manterem despercebidos de investigações forenses. Um exemplo desse tipo de procedimento é: Detectar ambiente virtual através de ferramentas do hypervisor. Inserir malwares em arquivos ZIP para burlar antivírus. Detectar ambiente virtual através do endereço IP. Utilizar o mesmo nome de um arquivo do sistema operacional. Detectar ambiente virtual através de ferramentas do hypervisor. Nenhuma das anteriores. Resposta: D Comentário: A alternativa A está errada, pois softwares antivírus conseguem analisar arquivos compactados em ZIP. A alternativa B está errada, uma vez que é possível detectar um ambiente virtual pelo endereço MAC, e não pelo IP. Trocar o nome de um arquivo não modi�caria seu hash, fazendo com que a alternativa C também esteja errada. Por �m, programas instalados por gerenciadores de máquinas virtuais podem ser detectados por malwares, que poderiam mudar seu comportamento em função disso. Pergunta 4 I Os principais elementos do processo criptográfico são o texto claro, o algoritmo de criptografia, a chave e o texto cifrado. II Arquivos encriptados por aplicativos, geralmente, também criptografam seus metadados (como data de criação ou modificação). III Ao realizar o processo de criptografia total de disco, ferramentas podem inserir assinaturas específicas Em relação à criptogra�a, analise as seguintes a�rmações: 0,25 em 0,25 pontos 0,25 em 0,25 pontos 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 3/7 Resposta Selecionada: c. Respostas: a. b. c. d. e. Comentário da resposta: nos primeiros setores da mídia de armazenamento. IV A recuperação direta de chaves consiste em usar tabelas de textos claros seguidos do seu respectivo criptograma, para assim identificar chaves comuns. Estão corretas: As a�rmações I e III. Todas as a�rmações. As a�rmações I, II e III. As a�rmações I e III. As a�rmações II e IV. As a�rmações III e IV. Resposta: C Comentário: Aplicativos que fazem a encriptação de arquivos, na maioria dos casos, mantêm decifrados seus atributos, fazendo com que a a�rmação II esteja incorreta. A a�rmação IV descreve o uso de um método pré-computado de quebra de criptogra�a ( Rainbow Table) e não de recuperação direta de chave. Pergunta 5 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: Um dos riscos do packing (empacotamento) é: Malwares podem ser inseridos nos arquivos compactados de execução automática. Malwares podem ser inseridos nos arquivos compactados de execução automática. A compactação impede a detecção de malwares. A descompactação automática impede a execução de malwares. A falta de automatização na descompactação impede a detecção de malwares. A falta de automatização na descompactação facilita a detecção de malwares. Resposta: A Comentário: No packing, a execução automática do descompactador facilita a execução dos malwares inseridos indevidamente no código. Pergunta 6 0,25 em 0,25 pontos 0,25 em 0,25 pontos 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 4/7 Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: Técnicas antiforenses procuram di�cultar a perícia computacional forense. Um objetivo comum é a ocultação de informações dentro de arquivos. Como exemplo de técnica de ocultação, podemos citar: Todas as anteriores. A inserção de informações em metadados, em campos nem sempre utilizados pelos arquivos. O �le tunneling, que permite que arquivos herdem os atributos de outro com mesmo nome que foi apagado, em até 15 segundos após essa remoção. O Object Linking and Embedding (OLE), que permite que arquivos sejam incorporados a outros como, por exemplo, uma planilha dentro de um arquivo de texto. A esteganogra�a, que pode ser aplicada codi�cando uma informação secreta dentro dos bits menos signi�cativos de uma imagem. Todas as anteriores. Resposta: E Comentário: Os arquivos contêm cabeçalhos, em que podem ser inseridas informações. Arquivos apagados podem ser recuperados com o �le tunneling. Arquivos maliciosos podem ser inseridos dentro de outros com o OLE. A esteganogra�a insere dados em uma imagem. Pergunta 7 Resposta Selecionada: b. Respostas: a. b. c. d. e. Avalie as técnicas antiforenses a seguir e escolha a alternativa que está errada. Uma vez que um arquivo é apagado da lixeira do sistema operacional e após o computador ser desligado, não é maispossível recuperá-lo. O comando dd do Linux pode ser usado para reescrever todos os bits de um HD com zero, di�cultando a recuperação de dados apagados. Uma vez que um arquivo é apagado da lixeira do sistema operacional e após o computador ser desligado, não é mais possível recuperá-lo. O uso de “limpadores” de sistema, como o CCleaner, deixa rastros de sua utilização nos registros do Windows, que podem servir de indícios em uma investigação forense. É possível adulterar as datas de criação, modi�cação ou acesso de um diretório com ferramentas que modi�cam a Master File Table em um sistema de arquivos NTFS. 0,25 em 0,25 pontos 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 5/7 Comentário da resposta: O processo de transmogrify di�culta a análise forense automatizada, alterando intencionalmente os cabeçalhos de arquivos, de forma a alterar seus hashes. Resposta: B Comentário: Contanto que o setor do HD em que o arquivo estava localizado não seja sobrescrito, ainda é possível fazer a sua recuperação. Pergunta 8 Resposta Selecionada: d. Respostas: a. b. c. d. e. Comentário da resposta: Funções de hash são operações matemáticas que possuem a desejável característica de serem di�cilmente invertíveis. Isto é, dado um hash, não é possível (ou não é factível) saber que elemento o gerou. Sobre esse tipo de função, podemos a�rmar que: O processo de detecção de colisão de hashes pode ser identi�cado por meio de técnicas de fuzzy hashing. Arquivos de mesmo tamanho geram o mesmo hash. É impossível que dois arquivos diferentes gerem o mesmo hash. Pequenas alterações no cabeçalho de um arquivo não alteram o hash que este gera. O processo de detecção de colisão de hashes pode ser identi�cado por meio de técnicas de fuzzy hashing. Métodos de fuzzy hashing consistem em aplicar iterativamente uma função de hash, isto é, a saída da primeira aplicação torna-se a entrada das demais. Resposta: D Comentário: Arquivos de mesmo tamanho não geram, necessariamente, o mesmo hash. A colisão de hashes ocorre quando dois elementos diferentes produzem o mesmo resultado em uma operação de hash. Uma boa função de hash é capaz de produzir resultados muito diferentes para entradas parecidas, porém distintas. O fuzzy hashing consiste em calcular hashes de pequenas sequências de bits ao longo de um arquivo. Para arquivos idênticos, o resultado dessas operações deve ser idêntico. A única alternativa correta é a D. Pergunta 9 Em relação às leis brasileiras voltadas para a proteção de dados, analise as seguintes a�rmações: I A Lei de Transparência trata de garantir o acesso do cidadão comum a quaisquer dados relativos à administração pública, independente da natureza desses dados. II A Lei de Informática visa beneficiar a indústria de TI nacional por meio de incentivos fiscais. III A Lei de Crimes Informáticos engloba diversos crimes cibernéticos, tais como os de modificação, fabricação e acesso não autorizado a dados. 0,25 em 0,25 pontos 0,25 em 0,25 pontos 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 6/7 Resposta Selecionada: e. Respostas: a. b. c. d. e. Comentário da resposta: IV O Marco Civil da Internet foi criado exclusivamente para regulamentar a operação de provedores de conexão com a internet, sem incluir provedores de aplicação. V A Lei Geral de Proteção de Dados está ligada à privacidade do usuário, procurando garantir que o dono dos dados tenha controle sobre as informações compartilhadas. Estão corretas: As a�rmações II, III e V. As a�rmações I, II e III. As a�rmações III, IV e V. As a�rmações I e V. As a�rmações I, IV e V As a�rmações II, III e V. Resposta: E Comentário: A Lei de Transparência impõe alguns limites ao acesso à informação, como, por exemplo, este não pode representar risco ao Estado ou à integridade dos indivíduos. Portanto, a a�rmação I está errada. A a�rmação IV está errada, porque o Marco Civil da Internet de�ne direitos e deveres tanto de provedores de conexão, como de provedores de aplicação. Pergunta 10 Resposta Selecionada: c. Respostas: a. b. c. d. e. Comentário da resposta: Quanto ao processo de aquisição de provas em uma análise forense: Para que um dispositivo tenha seu conteúdo inspecionado, é necessário que a infração penal seja comunicada a uma autoridade policial. A lei brasileira obriga o investigado a fornecer senhas dos aparelhos eletrônicos apreendidos. Arquivos que comprovem um ato ilícito não podem ser copiados para outros dispositivos, garantindo, assim, sua integridade. Para que um dispositivo tenha seu conteúdo inspecionado, é necessário que a infração penal seja comunicada a uma autoridade policial. Há um consenso universal de que a apreensão e a preservação de vestígios cibernéticos não dependem de autorização judicial. A polícia não pode acessar dados cadastrais ou registros telefônicos de um investigado sem uma ordem judicial. Resposta: C Comentário: A alternativa A está errada, uma vez que a legislação brasileira não impõe o fornecimento de senhas pelo investigado. Caso esta seja necessária, o usuário deve inseri-la no dispositivo, sem a necessidade de divulgação. Provas digitais têm características de portabilidade e reprodutibilidade. Podem, portanto, ser copiadas e há métodos de garantir sua integridade mesmo assim, tornando a alternativa B errada. A alternativa D está errada, pois não há 0,25 em 0,25 pontos 09/09/22, 10:32 Revisar envio do teste: QUESTIONÁRIO UNIDADE IV – ... https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_84258486_1&course_id=_240818_1&content_id=_2929489_1&retur… 7/7 Sexta-feira, 9 de Setembro de 2022 10h30min44s GMT-03:00 consenso sobre a apreensão de dispositivos sem autorização judicial; há uma corrente que acredita se tratar de uma prova ilícita. A alternativa E também está errada, uma vez que a polícia e o Ministério Público têm esse poder em casos excepcionais. ← OK