AS Geral_ PERICIA FORENSE COMPUTACIONAL

Prévia do material em texto

27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 1/22
AS Geral
Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 ago em 0:00 - 31 ago em 23:59
Limite de tempo Nenhum Tentativas permitidas 3
Este teste foi travado 31 ago em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 3.179 minutos 7,5 de 10
Pontuação desta tentativa: 7,5 de 10
Enviado 30 ago em 21:26
Esta tentativa levou 3.179 minutos.
0,5 / 0,5 ptsPergunta 1
Ao avaliar um incidente para a coleta de evidências computacionais, um perito analisa a infraestrutura de
rede envolvida e estabelece os ativos para obter informações de eventos e alertas ocorridos desde o
momento imediatamente anterior ao incidente até a percepção de paradas de serviço ou evento principal
reportado. Neste sentido, assinale a alternativa que descreve o formato de envio desses eventos e alertas,
internacionalmente adotado, quando o objetivo é centralizar essas informações em um repositório:
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393/history?version=1
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 2/22
 Syslog Correto!Correto!
 SaaS 
 MITM 
 Trail 
 IODEF 
Uma boa prática de mercado é padronizar o conteúdo dos logs produzidos pelos equipamentos da
rede (Ex. Syslog), centralizar o envio para um repositório único, facilitando a análise, além de
sincronizar todos os equipamentos (Ex. Usando fonte de Network Time Protocol – NTP externa no
sincronismo dos relógios de todos os ativos de rede).
0,5 / 0,5 ptsPergunta 2
Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi atingido, diminuindo sua
capacidade de serviços e o SLA prometido ao cliente que faz uso desse recurso. Há um evento de
segurança gerado pelo monitoramento de ativos. Para considerarmos que houve um incidente de
segurança da informação, no entanto, é necessário que este evento represente:
 Ataque na rede corporativa. 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 3/22
 Comprometimento ou ameaça à operação do negócio. Correto!Correto!
 Log em ativo na rede corporativa. 
 Porta do servidor desabilitada na rede corporativa. 
 Falha na conexão de Internet para o negócio. 
Podemos classificar um evento de segurança como incidente de segurança da informação na
medida em que este tenha a característica de comprometer ou ameaçar a operação do negócio e a
segurança da informação da organização descrita na PSI.
0 / 0,5 ptsPergunta 3
Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a
seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à
corretude da afirmação: 
Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos
eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um
parecer comparando as evidências.
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 4/22
 
Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo
imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil.
Resposta corretaResposta correta
 
Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que
compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI.
 
Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário
local, único com essa atribuição/autoridade.
 
Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de testemunhas para depois
comparar com sua sentença.
Você respondeuVocê respondeu
 
Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a
autorização do STF.
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 5/22
Segundo a determinação contida atualmente no Código de Processo Civil (CPC), para contribuir com
a isenção e diminuição de viés, um juiz deve selecionar diferentes profissionais em suas solicitações,
o que acaba contribuindo para uma certa “rotatividade” dos profissionais atuantes e, também, abre
portas para que novos peritos se inscrevam nesses bancos para ofertarem seus serviços.
0,5 / 0,5 ptsPergunta 4
Todos os incidentes de segurança devem ser respondidos. Contudo, nem todos o são pela equipe que fez a
descoberta do incidente, uma vez que pode ocorrer um desalinhamento entre o incidente e o time de
resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento da
triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o repasse desse incidente para
que ele seja respondido por um time com capacitação e escopo mais abrangentes. Assinale a alternativa
que contempla o formato de envio desse repasse, obedecendo à recomendação proposta pela ENISA:
 TCP 
 GPO 
 Router-based 
 IODEF Correto!Correto!
 Server-side 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 6/22
O XML IODEF favorece a automação de envio de mensagens entre CSIRTs, e possibilita a adição de
serviços de segurança na comunicação, como o sigilo por meio da criptografia e garantia de
integridade e não repúdio, por meio de certificado digital e assinatura desse XML.
0,5 / 0,5 ptsPergunta 5
De uma foma geral, a resposta aos incidentes e, em alguns casos, à investigação do perito forense
computacional, coletando evidências desse incidente, depende, inicialmente, de um processo de
monitoração de ativos que aponte a ocorrência desse incidente. Dos ativos listados abaixo, aponte o que
demonstra maior dificuldade para esse processo de monitoramento:
 Ativos de informação. 
 Ativos intangíveis. Correto!Correto!
 Ativos de software/sistema. 
 Ativos de serviço. 
 Ativos abstratos. 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 7/22
Exemplos de ativos neste ambiente corporativo:
• Ativos digitais (conteúdo textual, imagens e multimídia); 
• Ativos de informação; 
• Ativos de software/sistema; 
• Ativos físicos (equipamentos); 
• Ativos de serviço (eletricidade, comunicação, refrigeração, entre outros); 
• Ativos humanos (colaboradores, parceiros, entre outros);
• Ativos intangíveis (imagem e a reputação da empresa). 
Destes, ativos intangíveis são difíceis de serem monitorados em relação à ocorrência de
incidentes.
0,5 / 0,5 ptsPergunta 6
Exemplificando a atividade de um perito forense computacional em contribuição a uma investigação criminal
envolvendo invasão de um site, é CORRETO afirmar acerca do processo de coleta de evidência típico que
o perito deve coletar também
 EMEI e memória heap do roteador remoto. 
 o perfil psicológico do suspeito sob acusação. 
 EMEI e memória heap do roteador local. 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 8/22
 testemunho dos seguranças do andar do data center. 
 informações de conexão com logs do roteador de borda e/ou firewall e logs do servidor Web envolvido. Correto!Correto!
Em casos de perícia envolvendo invasão de servidor Web, é importante reconstruir, com a maior
completude possível, a linha temporal envolvendo as conexões de rede até a chegada ao ativo alvo.
0,5 / 0,5 ptsPergunta 7
Fenômenos de contaminação da evidência, tanto em nível quântico, como os descritos inicialmente por
Heisenberg,quanto os de contato e mais práticos para os objetivos do perito forense computacional, como
descrito inicialmente por Lacard, são preocupações relativas à qualidade da evidência. Nesse sentido, é
CORRETO afirmar que
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, maior será a OOV e, portanto, maior
vai ser a interferência / contaminação.
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, menor
vai ser a interferência / contaminação.
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 9/22
 
quanto mais rápido logarmos no sistema com o usuário administrador, logo após o incidente, para deletar os
arquivos suspeitos de vírus, menor vai ser a interferência / contaminação.
 
quanto mais isolarmos a evidência, desligando o servidor e retirando-o do local do incidente, maior vai ser a
interferência / contaminação.
Correto!Correto!
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, maior
vai ser a interferência / contaminação.
Na teoria que explora o dilema forense de extração de evidências computacionais, há a abordagem
de isolamento do ativo computacional envolvido no incidente, aceitando que serão perdidas algumas
informações importantes sobre o caso, e a abordagem que preconiza a preservação do ambiente
como está, realizando extrações, na ordem de volatilidade (OOV), com o mínimo de interferência e
contaminação possível.
0 / 0,5 ptsPergunta 8
Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados
para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 10/22
caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua
confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é
efetuar a extração acompanhado de um notário, com fé pública,
 munido de autorização formal (mandado de busca, por exemplo). 
 
e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um
leigo em TI.
 
e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos,
diretamente.
Você respondeuVocê respondeu
 que realizará a cópia seletiva, de forma conjunta, com o perito. 
 e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. Resposta corretaResposta correta
Controles de integridade por meio de HASH são comumente usados para comprovação de
confiabilidade que resiste ao tempo (intervalo entre a extração e apresentação ou conferência da
prova).
0 / 0,5 ptsPergunta 9
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 11/22
Nem sempre é possível realizar a análise de evidências computacionais de um crime de pedofilia
procurando pelos arquivos de imagens indicando sexo infantil. Isso porque o criminoso, sabendo de seu
ilícito, raramente deixa as imagens armazenadas e apenas as acessa em sites e as vê em visualizadores
de imagens de seu computador. Nesse caso, assinale a alternativa que representa um componente ou
elemento de hardware que seria factível de encontrarmos a imagem ou restos remanescentes dessa
visualização em um computador usado pelo criminoso.
 Gerenciador de arquivos. 
 Heap. Resposta corretaResposta correta
 Page table. 
 Memória ROM. 
 Stack. Você respondeuVocê respondeu
Nas certificações e comprovações de capacidade técnico-científica usadas para armazenamento
dinâmico, quando carregamos imagens em visualizadores, seu conteúdo é colocado em espaços da
memória RAM chamados de “heap”.
0,5 / 0,5 ptsPergunta 10
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 12/22
Diferentemente da evidência digital original, esta evidência não contempla os itens físicos, pois não foi
possível recolher os equipamentos envolvidos para exame em laboratório. De posse da cópia, estamos,
então, com uma evidência do tipo
 evidência digital completa. 
 evidência digital duplicada. Correto!Correto!
 evidência sem registro. 
 evidência digital virtual. 
 evidência digital interpolada. 
Evidência digital duplicada: uma réplica exata da evidência digital original (normalmente efetuada
pelo perito no local da coleta).
0,5 / 0,5 ptsPergunta 11
Ao realizar uma análise forense observando um dump de memória extraído no processo de coleta de
evidência digital em que o objetivo é comprovar em qual data-hora um determinado programa foi encerrado
à época, um perito usando o framework volatility usaria o comando
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 13/22
 certutil. 
 tpscan. 
 routing. 
 cranktime –t. 
 psxview. Correto!Correto!
Um passo comumente executado na sequência da descoberta de um executável de interesse
identificado no comando “pslist” é a execução do comando “psxview”, para possibilitar a visualização
do horário em que o programa foi encerrado.
0,5 / 0,5 ptsPergunta 12
Com relação à atividade de um perito forense computacional em contribuição a uma investigação criminal, é
correto afirmar que o objetivo da coleta de evidências é
 comprovar ou refutar uma tese estabelecida na linha de investigação do caso. Correto!Correto!
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 14/22
 
estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador
investigado.
 exportar dados em memória (dump) para comprovar o uso de programas proibidos. 
 exportar dados em disco para comprovar o uso de programas proibidos. 
 estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. 
É função principal, estabelecer provas materiais para serem anexadas ao caso e permitir a
comprovação, ou não, de tese conduzida na investigação.
0,5 / 0,5 ptsPergunta 13
Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a
atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de
participação:
 Autor, suspeito e mediador. 
 Ativa, passiva ou externa. 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 15/22
 Autor, coautor e cúmplice. 
 Vítima, força policial e investigado. 
 Vítima, gateway e atacante. Correto!Correto!
De uma maneira geral, a tarefa de participação dos atores pode ser executada diferenciando-os da
seguinte forma:
• Vítima(s)- Indícios computacionais apontam que dados foram subtraídos, deturpados ou
inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético
de ação deliberada de atacante(s). 
• Gateway(s)- Indícios computacionais apontam que o ativo foi comprometido, mas não se
caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida
pelo(s) atacante(s). 
• Atacante(s)- Indícios computacionais apontam que o ativo encaminhou ou controlou
remotamente artefatos digitais capazes de realizar ações de subtração, deturpação ou inserção
de dados em ativo computacional de terceiro (vítima).
0 / 0,5 ptsPergunta 14
Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não
estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/6539316/22
realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da
memória virtual com referência/controle fornecido por
 MemVol. 
 Memória RAM. 
 SysVol. 
 SysShare. Você respondeuVocê respondeu
 Page table. Resposta corretaResposta correta
Os controles relacionados à organização dos dados guardados em disco, correspondentes à
memória virtual, são: Page files e Page table.
0 / 0,5 ptsPergunta 15
Em casos de investigação envolvendo a necessidade de perícia computacional em data centers, a
impossibilidade de retirada de itens físicos (pois estão relacionados normalmente a múltiplos usuários, não
relacionados ao ilícito em questão), torna inviável a coleta de qual tipo de evidência digital?
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 17/22
 Evidência digital original. Resposta corretaResposta correta
 Evidência digital coexistente. 
 Objetos em memória. 
 Evidência digital duplicada. Você respondeuVocê respondeu
 Itens físicos. 
Sem a possibilidade de obtenção dos itens físicos relacionados, não é possível a obtenção do
cenário original. Resta ao perito realizar uma cópia. Evidência digital original: Objetos físicos que
guardavam as informações (dados) relacionadas ao incidente no momento da coleta (Ex.:
Servidores, computadores, etc.).
0,5 / 0,5 ptsPergunta 16
Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio
da execução do comando malfind do framework Volatility, o perito forense computacional deseja,
basicamente obter informações de:
 pslist 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 18/22
 malwares Correto!Correto!
 mampage 
 dd if=<in> of=<off> 
 pxvs 
A execução do framework volatility, por meio do comando “malfind”, possibilita a verificação de
assinaturas que podem permitir a identificação da presença de infecção por malware no computador
investigado.
0,5 / 0,5 ptsPergunta 17
Ao analisar um dump de memória, um perito executa uma sequência de comandos cat <nome do dump> |
string | grep <texto procurado> para realizar uma procura. Dentre as opções abaixo, assinale aquela que
NÃO serve como objetivo de procura:
 conteúdo binário Correto!Correto!
 extensão de arquivo 
 comandos ou variáveis 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 19/22
 executáveis e dlls 
 processo em execução 
Na sequência de comandos, usado no exemplo descrito para o enunciado da pergunta, não é
possível visualizar conteúdos binários (DOC ou PDF, por exemplo). Para isso, uma solução descrita
no texto da unidade foi o uso de software para visualização de fotos, capaz de identificar arquivos
“carregados” na memória.
0,5 / 0,5 ptsPergunta 18
Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio
da execução do comando pslist | grep “iexplore” do framework Volatility, o perito forense computacional
deseja, basicamente:
 Identificar processos de navegação na Internet realizados com o browser default no computador investigado Correto!Correto!
 Identificar o número de DLLs do tipo grep no SO 
 Explorar a lista ordenada de processos grep realizados no computador investigado 
 Explorar os processos de grep realizados no computador investigado 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 20/22
 Identificar processos de navegação de pastas realizados no computador investigado 
O comando resulta na identificação dos processos relacionados ao executável Internet Explorer,
default para navegação na Internet para o SO em questão.
0,5 / 0,5 ptsPergunta 19
Segundo o fluxo geral de atividades do perito, descrito pelo departamento de justiça norte-americano, usado
como referência em vários outros países e citado em nosso material da unidade (NCJ 199408, 2004), os
quatro passos da investigação são corretamente descritos pela alternativa:
 
1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte
(laudo) dos achados
Correto!Correto!
 1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 4) Exame Volatility 
 
1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova continuada; e 4) Documentação e reporte
(laudo) dos achados
 1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) Acusação formal 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 21/22
 1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e de disco; e 4) Exame Volatility 
Os passos genéricos descritos pelo departamento de justiça norte-americano são: 1) Avaliação do
local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte
(laudo) dos achados.
0,5 / 0,5 ptsPergunta 20
Ao realizar um teste do estado de segurança do computador investigado, comparando as APIs, DLLs e
binários com um baseline “normal” daquele SO, um perito está preocupado com a característica de
admissibilidade da prova em corte, mas também em classificar a participação do computador investigado
em termos de “atores” no processo. Neste sentido, é correto afirmar que caso um computador seja
identificado como infectado e potencialmente controlado remotamente, as classificações possíveis para o
mesmo são:
 vítima ou gateway Correto!Correto!
 atacante ou gateway 
 baseline ou gateway 
 atacante ou vítima 
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 22/22
 atacante 
Ao se identificar um computador infectado por malware, com indícios de controle remoto, não é
razoável classificá-lo como atacante, do ponto de vista de definição de atores no processo de
ataque. De uma maneira geral, a tarefa de participação dos atores pode ser executada
diferenciando-os da seguinte forma:
• Vítima(s) - Indícios computacionais apontam que dados foram subtraídos, deturpados ou
inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético
de ação deliberada de atacante(s). 
• Gateway(s) - Indícios computacionais apontam que o ativo foi comprometido, mas não se
caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida
pelo(s) atacante(s). 
• Atacante(s) - Indícios computacionais apontam que o ativo encaminhou ou controlou
remotamente* artefatos digitais capazes de realizar ações de subtração, deturpação ou
inserção de dados em ativo computacional de terceiro (vítima).
Pontuação do teste: 7,5 de 10