COMPUTAÇÃO FORENCE_QUESTIONARIO_E_ATIVIDADE_01_A_04

Prévia do material em texto

COMPUTAÇÃO FORENCE – QUESTIONÁRIO - 01
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	O ataque que tem por objetivo criptografar os dados do sistema operacional e, por efeito, torná-lo indisponível ao usuário, revertendo este estado apenas mediante a extorsão em criptomoedas, é conhecido como:
	
	
	
	
		Resposta Selecionada:
	d. 
Ransonware.
	Respostas:
	a. 
Cryptojacking.
	
	b. 
Formjaking.
	
	c. 
Supply chain.
	
	d. 
Ransonware.
	
	e. 
Malware destrutivo.
	Comentário da resposta:
	Resposta: D
Comentário: Um ransonware é um malware que pode tanto encriptar os dados como travar o aparelho.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Quando a investigação está centrada em preservar evidências sem alterá-las e a recomendação é que se crie uma cópia do objeto de estudo para a realização das investigações, sendo este o próprio objetivo para protegê-lo contra alterações e contaminações indevidas, logo, essa atividade é conhecida como:
	
	
	
	
		Resposta Selecionada:
	b. 
Análise post-mortem.
	Respostas:
	a. 
Análise live.
	
	b. 
Análise post-mortem.
	
	c. 
Auditoria.
	
	d. 
Análise forense computacional.
	
	e. 
Técnica antiforense.
	Comentário da resposta:
	Resposta: B
Comentário: No post-mortem, a análise se concentra em analisar o objeto depois que este foi coletado e preservado. Não é uma análise em tempo real.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A documentação técnica científica com o resultado de uma análise pericial, elaborada por um perito de forma compreensível tanto aos interessados, quanto aos responsáveis pelo julgamento do mérito da investigação, podendo conter fotos, vídeos ou outros elementos que ajudem a melhorar sua compreensão a fim de que equívocos não sejam cometidos no julgamento, é conhecida como:
	
	
	
	
		Resposta Selecionada:
	c. 
Laudo.
	Respostas:
	a. 
Mídia de prova.
	
	b. 
Mídia de destino.
	
	c. 
Laudo.
	
	d. 
Evidência cibernética.
	
	e. 
Auditoria.
	Comentário da resposta:
	Resposta: C
Comentário: Um laudo é uma forma de documentação técnica sobre os resultados das análises das evidências.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O documento obrigatório emitido por autoridades municipais, estaduais ou federais que contém regras sobre processos, técnicas, métodos e procedimentos administrativos, tendo como objetivo o regulamento técnico, sendo basicamente, o mesmo das normas como padronizar as atividades, proteger os ativos e disseminar a forma correta de trabalho, é conhecido como:
	
	
	
	
		Resposta Selecionada:
	a. 
Regulamento técnico.
	Respostas:
	a. 
Regulamento técnico.
	
	b. 
Procedimento Operacional Padrão (POP).
	
	c. 
Exame pericial de mídia de armazenamento computacional.
	
	d. 
Exame pericial de equipamento computacional portátil e de telefonia móvel.
	
	e. 
Exame pericial de local de informática.
	Comentário da resposta:
	Resposta: A
Comentário: O objetivo do regulamento técnico é, basicamente, o mesmo das normas, padronizar as atividades, proteger os ativos e disseminar a forma correta de trabalho.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	A pesquisa sobre uma informação contida em arquivos em tempo de execução é prevista na análise da perícia forense conhecida como:
	
	
	
	
		Resposta Selecionada:
	b. 
Busca por palavras-chave em tempo real.
	Respostas:
	a. 
Busca selecionada imediata.
	
	b. 
Busca por palavras-chave em tempo real.
	
	c. 
Busca indexada.
	
	d. 
Busca otimizada em tempo real.
	
	e. 
Busca por motor.
	Comentário da resposta:
	Resposta: B
Comentário: Ocorre quando o perito tem diante de si uma infinidade de arquivos e precisa saber em quais deles está escrito um determinado termo.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Um relatório com descrição sobre tudo o que for identificado como evidência, atributos e estado dos equipamentos, interconexões utilizadas, métodos usados etc. faz parte de uma das cinco etapas primordiais da atividade forense, conhecida como:
	
	
	
	
		Resposta Selecionada:
	c. 
Registro.
	Respostas:
	a. 
Identificação.
	
	b. 
Isolamento.
	
	c. 
Registro.
	
	d. 
Coleta.
	
	e. 
Preservação.
	Comentário da resposta:
	Resposta: C
Comentário: O registro é a documentação das evidências levantadas.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Na prática do exame de arquivos, quando os clusters (conjuntos de setores) são usados para armazenar um único arquivo, mas um determinado arquivo não ocupa o tamanho e um múltiplo do cluster, sobra um trecho não usado conhecido como:
	
	
	
	
		Resposta Selecionada:
	e. 
Slack Space.
	Respostas:
	a. 
Empty Space.
	
	b. 
Blank Space.
	
	c. 
White Space.
	
	d. 
Free Space.
	
	e. 
Slack Space.
	Comentário da resposta:
	Resposta: E
Comentário: O slack space pode conter dados antigos de arquivos que foram apagados.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Na prática do exame de arquivos, quando o prato interno de um disco rígido (HD) tem uma falha física e um determinado setor não pode ser lido nem gravado, define, portanto, uma falha conhecida como:
	
	
	
	
		Resposta Selecionada:
	a. 
Bad Sector.
	Respostas:
	a. 
Bad Sector.
	
	b. 
Error Sector.
	
	c. 
Damage Sector.
	
	d. 
Corrupt Sector.
	
	e. 
No Sector.
	Comentário da resposta:
	Resposta: A
Comentário: Um bad sector é um espaço ruim que já não serve mais para armazenamento. O ideal é que fiquem marcados.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Em relação à prática do exame de arquivos, marque a opção que não apresenta uma das vantagens do particionamento GPT em relação ao MBR.
	
	
	
	
		Resposta Selecionada:
	c. 
O GPT não possui tolerância a falhas com redundância de dados.
	Respostas:
	a. 
O GPT permite mais partições (por padrão 128).
	
	b. 
O GPT permite partições maiores (até 9 ZB).
	
	c. 
O GPT não possui tolerância a falhas com redundância de dados.
	
	d. 
O GPT realiza checagens de erros do próprio cabeçalho GPT e dos registros das partições.
	
	e. 
O GPT, por questões de segurança e compatibilidade, gera uma MBR de proteção no primeiro setor do disco, que impede sistemas operacionais ou aplicativos não compatíveis com GPT de apagar dados do sistema.
	Comentário da resposta:
	Resposta: C
Comentário: Na verdade, o GPT possui tolerância a falhas e redundância de dados.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Quando a duplicação (cópia) tem por base o fato de os dados de origem serem copiados para o local de destino exatamente nos mesmos setores, temos a duplicação do tipo:
	
	
	
	
		Resposta Selecionada:
	a. 
De mídia para mídia, onde o destino deve ter no mínimo a mesma quantidade de setores que a origem.
	Respostas:
	a. 
De mídia para mídia, onde o destino deve ter no mínimo a mesma quantidade de setores que a origem.
	
	b. 
De mídia para imagem, onde a origem deve ter no máximo a mesma quantidade de setores que o destino.
	
	c. 
De mídia para fita, onde o destino deve ter mais setores que a origem.
	
	d. 
De mídia para disco, onde a origem deve ter mais setores que o destino.
	
	e. 
De mídia para nuvem, onde origem e destino devem ter os mesmos tamanhos.
	Comentário da resposta:
	Resposta: A
Comentário: Os setores da mídia original são copiados exatamente para o mesmo lugar na mídia de destino. É um processo mais demorado e exige que a mídia de destino tenha mais setores que a de origem.
	
	
	
ATIVIDADE – 01
PERGUNTA 1
1. Por ser uma atividade técnica muito específica, a computação forense é executada de forma muito particular pelos profissionais. Existem documentos especificando as regras e os procedimentos mais recomendados. Apesar desses documentos serem seguidos pelos profissionais da área, muitos dos procedimentos são executados de acordo com a experiência e o entendimento do perito forense responsável. A esse respeito, marque a alternativa correta:
	
	a.
	Essa forma individualizada de investigação forense facilita a reprodutibilidade.
	
	b.
	Um exemplo de documentação forense são os POPs.
	
	c.
	Apenas para o profissional forense que nãocumprir exatamente as regras de 3 anos.
	
	d.
	Um laudo é um documento que mostra como uma evidência deve ser coletada.
	
	e.
	Um laudo é um documento com as regras e as normas para a realização da perícia forense.
0 pontos   
PERGUNTA 2
1. Geraldo está realizando uma investigação forense em computadores e e-mails suspeitos em uma empresa. Ele conseguiu separar os e-mails suspeitos e os respectivos anexos na própria máquina do investigado. Contudo, alguém invadiu o sistema e apagou parte dos arquivos da investigação. Em relação a isso, marque a alternativa correta:
	
	a.
	Claramente, o problema ocorreu na fase de coleta, visto que o ataque apagou os dados coletados.
	
	b.
	Claramente, o erro aconteceu quando Geraldo não realizou o registro dos dados. Sem documentação os dados ficaram vulneráveis.
	
	c.
	O problema ocorreu porque o transporte dos dados não aconteceu.
	
	d.
	O isolamento não foi adequado, assim como a preservação dos dados não contou com a redundância.
	
	e.
	A invasão é uma parte das evidências que não tinha sido analisada.
0 pontos   
PERGUNTA 3
1. Um profissional forense está tentando recuperar os dados de dois HDs. Ele sabe que o HD1 tem 4 partições lógicas e que há arquivos menores que foram gravados sobre outros arquivos nos mesmos setores de alguns clusters. O HD2 é do tipo SSD. Sobre a análise, marque a alternativa correta:
	
	a.
	O HD2 é gravado magneticamente e os dados são sobrepostos em setores.
	
	b.
	As partições do HD1 possuem uma área chamada MBR, que guarda os dados apagados.
	
	c.
	Por ser óptico, o HD2 não contém bad sectors.
	
	d.
	Pelo enunciado, é possível afirmar que ambos os HDs possuem o sistema de arquivos FAT.
	
	e.
	Uma técnica recomendável para a recuperação do HD1 é o slack space.
0 pontos   
PERGUNTA 4
1. A respeito das características da aplicação de análise forense em HD e arquivos, assinale a alternativa correta:
	
	a.
	O file carving procura por setores ruins em um disco.
	
	b.
	O cabeçalho de um arquivo contém os dados sobre em qual sistema de arquivo ele funciona.
	
	c.
	Os caracteres hexadecimais que compõem o arquivo são chamados de atributos.
	
	d.
	Dois arquivos do mesmo tipo, em sistemas de arquivos diferentes, tendem a ter assinaturas iguais no cabeçalho e no rodapé.
	
	e.
	Dois arquivos diferentes, no mesmo sistema de arquivos, tendem a ter assinaturas iguais no cabeçalho e no rodapé.
QUESTIONARIO – 02
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	O protocolo TCP/IP é o padrão utilizado na internet e pode gerar uma série de evidências forenses. Marque a alternativa que mostra evidências válidas que podem ser coletadas do protocolo TCP/IP:
	
	
	
	
		Resposta Selecionada:
	b. 
O endereço IP e os pacotes.
	Respostas:
	a. 
A camada de aplicação e os aplicativos.
	
	b. 
O endereço IP e os pacotes.
	
	c. 
O sistema operacional e os aplicativos.
	
	d. 
Os pacotes e a camada de aplicação.
	
	e. 
O nome do usuário e a camada de rede.
	Comentário da resposta:
	Resposta: B
Comentário: O endereço IP e os pacotes podem ser evidências importantes em uma investigação forense.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Eugênio fez algumas pesquisas em sites obscuros e não recomendáveis usando a Internet da empresa. Caso ocorra uma investigação forense, qual das alternativas aponta uma situação válida que pode acontecer.
	
	
	
	
		Resposta Selecionada:
	c. 
O histórico de navegação pode ser levantado a partir da investigação do browser de Eugênio.
	Respostas:
	a. 
Os endereços de e-mail do transmissor podem ser identificados.
	
	b. 
Os propósitos da pesquisa de Eugênio estão disponíveis para as autoridades nos sites navegados.
	
	c. 
O histórico de navegação pode ser levantado a partir da investigação do browser de Eugênio.
	
	d. 
O sistema operacional presente nos sites navegados foi levantado a partir do browser de Eugênio e está disponível para consulta.
	
	e. 
A investigação forense precisa do conteúdo completo das listas de discussão em que Eugênio participou para ser bem-sucedida.
	Comentário da resposta:
	Resposta: C
Comentário: O browser guarda uma série de informações, entre as quais o histórico de navegação com a pesquisa de Eugênio
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Há diversos sistemas e equipamentos que podem ser utilizados para o levantamento de evidências relacionadas à Internet. Qual das funcionalidades a seguir não está listada corretamente?
	
	
	
	
		Resposta Selecionada:
	b. 
Banco de dados presentes nos browsers podem manter o endereço IP usado para navegação anônimo.
	Respostas:
	a. 
Um proxy pode controlar e limitar o acesso à sites.
	
	b. 
Banco de dados presentes nos browsers podem manter o endereço IP usado para navegação anônimo.
	
	c. 
Perfis de redes sociais podem servir para identificação de usuários.
	
	d. 
Dados sobre localização gerados por aplicativos podem determinar locais onde alguém esteve.
	
	e. 
Os cookies podem servir para análise da preferência dos usuários em relação às compras.
	Comentário da resposta:
	Resposta: B
Comentário: Não são os bancos de dados, mas os proxies que tem essa função.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Em relação aos equipamentos e sistemas utilizados em uma rede e que podem ser utilizados para o levantamento de evidências, qual das alternativas está correta em relação à forma de uso, acesso e manuseio?
	
	
	
	
		Resposta Selecionada:
	a. 
Um pacote de dados que veio da Internet, enviado pelo roteador, entrou na rede interna, mas foi capturado pelo sniffer instalado no switch que ligava os hosts.
	Respostas:
	a. 
Um pacote de dados que veio da Internet, enviado pelo roteador, entrou na rede interna, mas foi capturado pelo sniffer instalado no switch que ligava os hosts.
	
	b. 
Um log gerado pelo switch foi enviado ao roteador pelo sniffer, porém, não foi analisado porque o proxy bloqueou o acesso.
	
	c. 
Um dado enviado pelo switch da Internet para o roteador da rede interna foi interceptado pelos controles de segurança que geraram logs sobre a atividade.
	
	d. 
Um host gerou pacotes de dados que foram capturados pelo servidor instalado no roteador ligado ao sniffer.
	
	e. 
Uma rede teve seu tráfego capturado pelo switch. Com isso foi possível analisar os pacotes com o roteador da rede interna.
	Comentário da resposta:
	Resposta: A
Comentário: Roteador liga redes diferentes (LAN e Internet). Switch liga LAN. Sniffer captura tráfego de rede para análise. Hosts são máquinas ligadas em uma rede.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Analise as funcionalidades de sistemas e utilitários usados em alguns sistemas operacionais e marque a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	c. 
O three-handshake é um processo comum em conexões que usam o protocolo TCP, como conexões a sites.
	Respostas:
	a. 
O regedit serve para editar o tráfego de rede capturado a partir de controles de segurança.
	
	b. 
Um arquivo de prefetch contém dados sobre arquivos carregados pelos aplicativos executados no Linux
	
	c. 
O three-handshake é um processo comum em conexões que usam o protocolo TCP, como conexões a sites.
	
	d. 
Logs do sistema operacional podem ser analisados com a ajuda de um controle de segurança como firewall.
	
	e. 
A análise do tráfego de rede é um processo de prevenção, já que captura pacotes que ainda vão passar pela rede.
	Comentário da resposta:
	Resposta: C
Comentário: O three-handshake ocorre em conexões que usam o protocolo TCP.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Marque a alternativa correta a respeito de algumas técnicas de análise de imagens.
	
	
	
	
		Resposta Selecionada:
	b. 
A análise de perspectiva analisa as diferenças de perspectivas e projeção de objetos contidos em uma imagem.
	Respostas:
	a. 
A análise por ampliação de imagens permite que uma imagem pequena seja ampliada indefinidamente para a identificação de detalhes.
	
	b. 
A análise de perspectiva analisa as diferenças de perspectivas e projeção de objetos contidos em uma imagem.c. 
A análise de sombras verifica se uma imagem está muito escura ou clara, dependendo do contexto da figura.
	
	d. 
Um histograma é usado para verificar se uma imagem está no tamanho correto em relação aos seus pixels.
	
	e. 
A correção gama é usada para ampliar uma imagem.
	Comentário da resposta:
	Resposta: B
Comentário: Muitas vezes, figuras específicas dentro de uma imagem podem estar em perspectivas diferentes. Isso denota que a figura pode ter sido inserida de forma falsa.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Mauro está analisando algumas imagens. Ele precisa determinar a proporção correta de altura entre dois objetos na imagem. Além disso, também precisa se certificar de que outros objetos da imagem, que foram fotografados em movimento, tenham uma resolução adequada. Respectivamente, o ideal é que ele utilize as seguintes técnicas de análise de imagem:
	
	
	
	
		Resposta Selecionada:
	e. 
Fotogametria e correção de foco.
	Respostas:
	a. 
Estenografia e contraste.
	
	b. 
Brilho e modelo matricial de projeção de câmera.
	
	c. 
Projeção reversa e distorção de lente.
	
	d. 
Correção gama e equalização de histograma.
	
	e. 
Fotogametria e correção de foco.
	Comentário da resposta:
	Resposta: E
Comentário: A fotogrametria é um de técnicas baseadas na perspectiva usadas para que imagens bidimensionais tenham efeito tridimensional e possam ser medidas de forma mais adequada. Correção de foco busca se valer de técnicas, como pontos luminosos na imagem fotografada em movimento para compreender o espalhamento dela e corrigir o foco.
	
	
	
· Pergunta 8
0 em 0,25 pontos
	
	
	
	Sobre as práticas de texting e sexting, podemos afirmar:
	
	
	
	
		Resposta Selecionada:
	e. 
Texting é a troca de imagens e vídeos com teor sexual.
	Respostas:
	a. 
Texting se trata do envio de mensagens de e-mail à usuários com o intuito da descoberta de senhas.
	
	b. 
Sexting se trata-se do compartilhamento de textos com conteúdo relacionado à pornografia infantil.
	
	c. 
Sexting se trata da divulgação acidental de mensagens privadas que contêm dados sobre práticas sexuais.
	
	d. 
Texting é a troca de mensagens com teor sexual.
	
	e. 
Texting é a troca de imagens e vídeos com teor sexual.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A posse de imagens ou vídeos de pornografia infantil é considerada um crime. Porém, há exceções. Em qual das alternativas o suspeito pode ser considerado inocente, mesmo se for pego com imagens/vídeos de pornografia infantil?
	
	
	
	
		Resposta Selecionada:
	a. 
Quando a imagem de pornografia infantil foi “baixada” sem o conhecimento do usuário, junto com outras imagens consideradas lícitas.
	Respostas:
	a. 
Quando a imagem de pornografia infantil foi “baixada” sem o conhecimento do usuário, junto com outras imagens consideradas lícitas.
	
	b. 
Quando o usuário não tem histórico deste tipo de crime.
	
	c. 
Quando o usuário tem o transtorno de pedofilia.
	
	d. 
Quando o arquivo ilícito foi enviado por um usuário de confiança, sem histórico de violação da lei.
	
	e. 
Quando um usuário recebeu e armazenou imagens ilícitas, mas alega não ter o transtorno de pedofilia.
	Comentário da resposta:
	Resposta: A
Comentário: Se ficar provado que o usuário não tinha conhecimento sobre a existência e/ou ilicitude da imagem, ele pode ser inocentado.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Quais das técnicas listadas NÃO é utilizada para a descoberta de pornografia infantil nos exames forenses de imagens e vídeos?
	
	
	
	
		Resposta Selecionada:
	e. 
Análise dos pontos de fuga de uma imagem.
	Respostas:
	a. 
Detecção automática de nudez por grupos de pixels.
	
	b. 
Análise de nomes de imagens, vídeos e sites.
	
	c. 
Detecção de PERidiocidade (PER).
	
	d. 
Técnicas de inteligência artificial, como machine learning e deep learning.
	
	e. 
Análise dos pontos de fuga de uma imagem.
	Comentário da resposta:
	Resposta: E
Comentário: Pontos de fuga não servem para determinar pornografia infantil. Pontos de fuga são pontos para os quais linhas retas paralelas tridimensionais convergem quando são projetadas em imagens bidimensionais. Quando dois pontos de fuga se juntam, o resultado é uma linha de fuga que define a altura da câmera (nível dos olhos) em relação ao plano horizontal usado como base.
	
	
	
ATIVIDADE – 02
· Pergunta 1
0 em 0 pontos
	
	
	
	Por que baixar um anexo de e-mail, em uma máquina virtual, pode ser uma boa solução para a computação forense?
	
	
	
	
		Resposta Selecionada:
	c. 
Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual.
	Respostas:
	a. 
Porque garante a segurança, já que uma máquina virtual é imune à malwares.
	
	b. 
Porque garante o desempenho, já que as máquinas virtuais hospedadas costumam ser mais rápidas do que as físicas.
	
	c. 
Porque garante a segurança, já que eventuais danos ficarão restritos à máquina virtual.
	
	d. 
Porque garante a precisão, pois os arquivos de máquinas virtuais são mais confiáveis.
	
	e. 
Porque garante a entrega, já que é muito mais fácil baixar um arquivo em uma máquina virtual.
	Comentário da resposta:
	Resposta: c)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	Marque a alternativa incorrreta a respeito da análise de tráfego de rede:
	
	
	
	
		Resposta Selecionada:
	e. 
Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o endereço de destino.
	Respostas:
	a. 
O payload de um pacote é, justamente, a sua área útil com os dados.
	
	b. 
Sistemas diferentes podem apresentar logs totalmente diferentes.
	
	c. 
Um servidor DNS contém as resoluções de nomes de domínio que podem ser checadas.
	
	d. 
Um servidor proxy pode conter cache com um histórico de navegação ou o uso da internet.
	
	e. 
Uma forma de verificar a origem de um pacote é observar no cabeçalho do pacote qual o endereço de destino.
	Comentário da resposta:
	Resposta: e)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	Marque a alternativa correta a respeito das técnicas de análise de imagens:
	
	
	
	
		Resposta Selecionada:
	a. 
A correção de foco pode ser utilizada em imagens que contêm movimento.
	Respostas:
	a. 
A correção de foco pode ser utilizada em imagens que contêm movimento.
	
	b. 
A projeção reversa observa as sombras projetadas de um objeto.
	
	c. 
A distorção de lente é uma técnica de fotogrametria que ajuda a identificar as imagens.
	
	d. 
Um ponto de fuga ocorre em imagens ampliadas.
	
	e. 
O brilho médio pode ser determinado pelo uso do histograma de pixels.
	Comentário da resposta:
	Resposta: a)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Em qual das situações está configurado o uso da PER na análise de um conteúdo suspeito?
	
	
	
	
		Resposta Selecionada:
	c. 
Quando um áudio é examinado à procura de padrões ou de sons repetitivos.
	Respostas:
	a. 
Quando um treinamento baseado em algoritmos é realizado para verificar os arquivos que contêm ou não a pornografia infantil.
	
	b. 
Quando os nomes de arquivos são continuamente verificados para a identificação de um material suspeito.
	
	c. 
Quando um áudio é examinado à procura de padrões ou de sons repetitivos.
	
	d. 
Quando o cache de navegação dos browsers é examinado.
	
	e. 
Na detecção automática de nudez com os softwares que examinam os pixels das imagens.
	Comentário da resposta:
	Resposta: c)
	
	
	
QUESTIONARIO – 03
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Atualmente os novos automóveis possuem diversos dispositivos que geram recursos que tornam sua utilização uma tarefa menos cansativa, confortável e mais segura, não só para o motorista, mas para todos os passageiros. Estes recursos estão presentes em qualquer categoria de veículos. Assinale a alternativa correta a respeito do tipo de dispositivo que implementa tais recursos nos automóveis:
	
	
	
	
		Resposta Selecionada:
	b. 
Dispositivos embarcados para veículos terrestres.
	Respostas:
	a. 
Sistemas eletrônicos digitais incorporados aos veículos.
	
	b. 
Dispositivos embarcados para veículosterrestres.
	
	c. 
Sistemas de internet na rede de Wi-Fi do automóvel.
	
	d. 
Sistema padronizado de componentes.
	
	e. 
Sistema com interface web.
	Comentário da resposta:
	Resposta: B
Comentário: Os dispositivos embarcados são módulos computadorizados que controlam um ou mais sistemas dos veículos.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A definição e a produção de veículos compostos por diversos dispositivos embarcados podem interferir no registro histórico de dados, que são úteis para qualquer tipo de análise forense. Dentre os exemplos, qual tipo de ação pode prejudicar evidências armazenadas e por quê?
	
	
	
	
		Resposta Selecionada:
	a. 
Uma simples ação no fechamento da porta de um veículo, porque informações sobre quais portas estavam abertas ou se o carro estava ligado antes do fechamento podem ser substituídas pela informação de que as portas agora estão fechadas.
	Respostas:
	a. 
Uma simples ação no fechamento da porta de um veículo, porque informações sobre quais portas estavam abertas ou se o carro estava ligado antes do fechamento podem ser substituídas pela informação de que as portas agora estão fechadas.
	
	b. 
O uso de instrumentos e ferramentas específicas, porque permitem a extração dos dados de um determinado sistema embarcado.
	
	c. 
O uso de processadores sem padrão, porque sobrescreve informações já gravadas na memória.
	
	d. 
A utilização de componentes intermitentes, porque geram falhas na interação entre a camada de software e hardware.
	
	e. 
A instalação de um sistema de suspensão embarcado, porque gera elevado volume de dados.
	Comentário da resposta:
	Resposta: A
Comentário: As restrições nos recursos destes sistemas, fruto da miniaturização e da especificidade destes equipamentos, colabora para isso.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Analise as afirmativas e marque a alternativa correta.
	 
	Alternativas
	1
	Os microcontroladores podem ser reprogramáveis apenas uma única vez e pode ser feito por qualquer pessoa.
	2
	Um microcontrolador pode ser programado para várias funções, pois contém processador, memórias e periféricos.
	3
	Um microprocessador (ou processador) é um circuito integrado (chip) que realiza cálculos e toma decisões.
	4
	Em relação aos veículos, há um grupo especial de memória, chamado de Endereço Direto na RAM (EDR).
	
	
	
	
		Resposta Selecionada:
	c. 
As afirmativas 2 e 3 estão corretas.
	Respostas:
	a. 
Todas as afirmativas estão erradas.
	
	b. 
As afirmativas 1 e 2 estão corretas.
	
	c. 
As afirmativas 2 e 3 estão corretas.
	
	d. 
A afirmativa 1 está correta, enquanto a 3 está incorreta.
	
	e. 
A única afirmativa correta é a 4.
	Comentário da resposta:
	Resposta: C
Comentário: As afirmativas 2 e 3 estão corretas. A afirmativa 1 está errada (os microcontroladores são reprogramáveis constantemente e não pode ser feito por qualquer pessoa). A afirmativa 4 está errada (em relação aos veículos, há um equipamento, chamado Event Data Recorder (EDR), criado exatamente para registrar eventos gerados pelos componentes embarcados).
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Atualmente, os mobiles são aparelhos que praticamente podem ser considerados partes dos corpos dos usuários em virtude da elevada importância para o dia a dia dos mesmos e que uma eventual perda ou subtração deste tipo de dispositivo gera problemas para os proprietários que se estendem por longos períodos após tal tipo de ocorrências. A respeito disso, marque a alternativa errada.
	
	
	
	
		Resposta Selecionada:
	b. 
Os smartphones possuem tempo de vida útil longa.
	Respostas:
	a. 
Nessa categoria de mobile entra Global Position System (GPS).
	
	b. 
Os smartphones possuem tempo de vida útil longa.
	
	c. 
Há uma grande variedade de sistemas operacionais para os smartphones.
	
	d. 
Há várias tecnologias usadas para transmissão de sinais de rádio usadas pelos dispositivos mobile.
	
	e. 
Dispositivos mobile não se enquadram na categoria de equipamentos computacionais.
	Comentário da resposta:
	Resposta: B
Comentário: Duas características dos smartphones são a grande quantidade de fabricantes e a vida útil curta.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Atualmente, os dispositivos mobile possuem diversas características em relação ao hardware e software dos mais variados fornecedores. Marque a alternativa correta que apresenta o item que existe neste tipo de dispositivo e que é utilizado para atividades forenses:
	
	
	
	
		Resposta Selecionada:
	c. 
Cartões do tipo Subscriber Identity Module (SIM).
	Respostas:
	a. 
Cartão de memória do tipo flash usado em dispositivos mobile.
	
	b. 
A identificação do International Mobile station Equipment Identity (IMEI).
	
	c. 
Cartões do tipo Subscriber Identity Module (SIM).
	
	d. 
Cartões do tipo SIM em aparelhos com tecnologia TDMA ou CDMA.
	
	e. 
O código International Mobile Subscriber Identify (IMSI) de 10 dígitos.
	Comentário da resposta:
	Reposta: C
Comentário: Em se tratando da identificação de aparelhos para fins forenses, um item que liga os aparelhos à tecnologia de transmissão é a presença de cartões do tipo Subscriber Identity Module (SIM), popularmente chamados de chips de celulares.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Analise as alternativas e marque a alternativa correta:
	 
	Alternativa
	1
	Extração manual de dados da memória volátil, em que o perito manuseia o celular por meio de aplicativos.
	2
	Extração lógica de dados na memória volátil, por meio de conexões de adaptadores, conexão USB ou mesmo de forma remota via Bluetooth.
	3
	Extração física de dados, por meio de cópia dos arquivos gravados nos cartões de memória e edição em qualquer editor de texto.
	4
	Extração avançada de dados é feita com abertura de chamado ao fabricante, que enviará todas as informações no e-mail cadastrado nas lojas de aplicativos (por exemplo, Apple Store ou Play Store).
	
	
	
	
		Resposta Selecionada:
	b. 
As afirmativas 1 e 2 estão corretas.
	Respostas:
	a. 
Todas as afirmativas estão corretas.
	
	b. 
As afirmativas 1 e 2 estão corretas.
	
	c. 
As afirmativas 2 e 4 estão corretas.
	
	d. 
A afirmativa 1 está correta, enquanto a 3 está incorreta.
	
	e. 
A única afirmativa correta é a 2.
	Comentário da resposta:
	Resposta: B
Comentário: As alternativas 1 e 2 estão corretas. A alternativa 3 está errada (Quando se faz uma extração física, ferramentas e dispositivos extraem diretamente os dados presentes na memória RAM). A afirmativa 4 está errada (A extração avançada é a que requer mais conhecimentos prévios de eletrônica do profissional forense. A ideia é remover a memória RAM (o circuito integrado) da placa de circuito impresso (placa-mãe) do dispositivo).
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Você trabalha em uma empresa que oferece serviços forense para análises de dispositivos mobile coletados por departamentos de justiça e estão relacionados a investigações de desvio de verbas públicas em setores para o tratamento de pandemias. A respeito disso, marque a alternativa errada.
	
	
	
	
		Resposta Selecionada:
	a. 
Desligue imediatamente o aparelho mobile ligado e desbloqueado, assim que chegar em suas mãos sem executar qualquer tipo de ação.
	Respostas:
	a. 
Desligue imediatamente o aparelho mobile ligado e desbloqueado, assim que chegar em suas mãos sem executar qualquer tipo de ação.
	
	b. 
Quando o aparelho está ligado, mas bloqueado, é importante colocar o mobile em modo avião ou em uma sacola de faraday para evitar a propagação de sinais de rádio
	
	c. 
A remoção da bateria evita que o aparelho inicialize automaticamente.
	
	d. 
A recomendação para aparelhos desligados é a retirada da bateria para evitar inicializações automáticas.
	
	e. 
Bloqueios automáticos ativados por tempo de inatividade devem ser cancelados ou colocados no tempo máximo.
	Comentário da resposta:
	Resposta: A
Comentário: Desligar o aparelho sem antes configurar novas senhas não é uma opção sensata, pois o mesmo pode ser bloqueadona reinicialização.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	A evolução e a propagação de dezenas de tipos de serviços na chamada computação da nuvem trouxeram tanto para as empresas quanto usuários domésticos a facilidade, por exemplo, de configurar e subir de forma simples e muitas vezes automatizada infraestruturas computacionais que em um ambiente convencional demoraria um tempo muito maior. Mas não significa que a ativação de qualquer tipo de máquina, dispositivos, serviços etc. na chamada nuvem está 100% protegida ou blindada de problemas de segurança. Marque a alternativa correta a respeito do nível de segurança em relação ao tipo de ataque:
	
	
	
	
		Resposta Selecionada:
	a. 
Nível de segurança básica para ataque de MITM.
	Respostas:
	a. 
Nível de segurança básica para ataque de MITM.
	
	b. 
Nível de aplicação para ataques do tipo SaaS.
	
	c. 
Nível de virtualização para ataques de vulnerabilidades no hypervisor.
	
	d. 
Nível de memória para ataque por backdoor.
	
	e. 
Nível de rede para ataque por backdoor.
	Comentário da resposta:
	Resposta: A
Comentário: Os ataques do tipo Man In The Middle (MITM) são um elemento malicioso que faz a intermediação entre uma comunicação.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Os provedores de computação na nuvem fornecem diversos tipos de serviços, e vimos a apresentação de alguns tipos que já podem ser classificados como populares (como, por exemplo, SaaS, PaaS e IaaS) e ambos são geradores de evidências que são essenciais para um trabalho de análise forense. Marque a alternativa correta a respeito de recomendações para apoio de profissionais forenses nestes tipos de cenários:
	
	
	
	
		Resposta Selecionada:
	b. 
Nos ambientes voltados para PaaS, o usuário costuma desenvolver o código do software.
	Respostas:
	a. 
Para a perícia forense em ambientes SaaS é bastante comum a disponibilização de logs da camada do hardware dos hypervisors.
	
	b. 
Nos ambientes voltados para PaaS, o usuário costuma desenvolver o código do software.
	
	c. 
Liberação de acesso aos datacenters dos provedores de serviços na nuvem.
	
	d. 
Acesso ao terminal de administração dos serviços de virtualização utilizados pelos provedores.
	
	e. 
Acesso ao registro dos arquivos de metadados.
	Comentário da resposta:
	Resposta: B
Comentário: Além do código-fonte, capturas do tráfego de rede e informações administrativas repassadas entre a nuvem e o usuário podem ser úteis neste processo de investigação.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Analise as afirmativas e marque a alternativa correta.
 
	 
	Alternativas
	1
	Firewalls também realizam atividades como NAT, roteamento, proxy , entre outros.
	2
	A partir do resultado de um sniffer é possível saber a quantidade, a categoria, o tipo, o destino, a origem, o tamanho, as características e o conteúdo de cada pacote.
	3
	Honeypots ou honeynets são redes, servidores, equipamentos ou sistemas desenvolvidos para atrair ataques.
	4
	Os softwares de varredura procuram por vulnerabilidades lógicas em sistemas, servidores, máquinas e redes.
	
	
	
	
		Resposta Selecionada:
	d. 
Todas as afirmativas estão corretas.
	Respostas:
	a. 
As afirmativas 1 e 2 estão corretas.
	
	b. 
As afirmativas 2 e 4 estão corretas.
	
	c. 
A afirmativa 1 está correta, enquanto a 3 está incorreta.
	
	d. 
Todas as afirmativas estão corretas.
	
	e. 
A única afirmativa correta é a 3.
	Comentário da resposta:
	Resposta: D
Comentário: Comentário: 1 – firewalls realizam uma série de atividades, além da filtragem de pacotes. 2 – sniffers analisam e exibem todas as características dos pacotes de um fluxo de rede. 3 – São servidores usados para capturar ataques. 4 – as varreduras são procuras por vulnerabilidades em sistemas ou equipamentos.
	
	
	
ATIVIDADE – 03
· Pergunta 1
0 em 0 pontos
	
	
	
	Marque a alternativa que aponta um exame forense em tempo real diretamente em um dispositivo embarcado.
	
	
	
	
		Resposta Selecionada:
	e. 
Verificação atual da temperatura de um local a partir do exame de um sensor de temperatura.
	Respostas:
	a. 
Coleta de logs de um computador.
	
	b. 
Isolamento de uma área investigada com vários telefones.
	
	c. 
Foto de um sensor de movimento.
	
	d. 
Análise da velocidade de um carro a partir de um vídeo.
	
	e. 
Verificação atual da temperatura de um local a partir do exame de um sensor de temperatura.
	Comentário da resposta:
	Resposta: e)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	Um exame forense recolheu um smartphone ligado, mas bloqueado. Marque a alternativa que explica corretamente o procedimento que deve ser adotado.
	
	
	
	
		Resposta Selecionada:
	a. 
A conferência da data e do horário evita discrepâncias com o horário real.
	Respostas:
	a. 
A conferência da data e do horário evita discrepâncias com o horário real.
	
	b. 
A bateria deve ser retirada com o celular ligado para quebrar a senha.
	
	c. 
Deve-se usar uma sacola de Faraday para proteger a memória RAM do aparelho.
	
	d. 
O modo avião permite a gravação dos dados de forma mais rápida.
	
	e. 
O celular deve ser reiniciado para permitir o acesso ao conteúdo do aparelho.
	Comentário da resposta:
	Resposta: a)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	Em relação aos três modelos principais de uso e acesso à nuvem (IaaS, PaaS e SaaS), em geral, quanto mais “local” for um ambiente, melhor para a perícia forense. Baseado nessa premissa, marque a alternativa que explica melhor essa afirmação.
	
	
	
	
		Resposta Selecionada:
	d. 
Por ter poucos recursos alocados na nuvem, o ambiente IaaS tende a ser o mais adequado para a perícia forense.
	Respostas:
	a. 
Em um ambiente IaaS, o fato dos dados estarem locais dificulta o controle de acesso à nuvem e facilita a perícia forense.
	
	b. 
Em ambientes cujo S.O. está alocado na nuvem, o perito forense tem mais facilidade na investigação.
	
	c. 
Por ser alocado inteiramente na nuvem, o ambiente SaaS tende a ser o mais adequado para a realização de perícias forenses.
	
	d. 
Por ter poucos recursos alocados na nuvem, o ambiente IaaS tende a ser o mais adequado para a perícia forense.
	
	e. 
Por ter metade dos recursos alocados na nuvem, o ambiente PaaS tende a ser o menos adequado para a perícia forense.
	Comentário da resposta:
	Resposta: d)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Qual das alternativas não traz um controle de segurança que pode ser utilizado para o levantamento de evidências em uma análise forense?
	
	
	
	
		Resposta Selecionada:
	d. 
A senha de um usuário.
	Respostas:
	a. 
Um sistema de filtro que analisa, bloqueia e registra os pacotes de uma rede.
	
	b. 
Uma câmera de segurança que grava os visitantes.
	
	c. 
Um sistema de grampo telefônico.
	
	d. 
A senha de um usuário.
	
	e. 
Controles que passam por multicorrelacionamento em uma rede.
	Comentário da resposta:
	Resposta: d)
	
	
	
QUESTIONARIO – 04
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	A análise de malwares pode ser categorizada como dinâmica ou estática, caso o procedimento utilizado para esse fim execute ou não o malware no sistema.
Considere, portanto, as seguintes técnicas:
(1)  Desmontagem ( disassembly) de arquivos binários.
(2)  Uso de debuggers (depuradores) no código do arquivo suspeito.
(3)  Uso de programas de antivírus.
(4)  Monitoração de recursos (como rede ou processos) em um ambiente controlado.
Estes são, respectivamente, métodos de análise:
	
	
	
	
		Resposta Selecionada:
	a. 
Estática, dinâmica, estática e dinâmica.
	Respostas:
	a. 
Estática, dinâmica, estática e dinâmica.
	
	b. 
Dinâmica, estática, dinâmica e estática.
	
	c. 
Estática, estática, estática e dinâmica.
	
	d. 
Dinâmica, dinâmica, estática e estática.
	
	e. 
Estática, dinâmica, dinâmica e estática.
	Comentário da resposta:
	Resposta: A
Comentário: (1) e (3) são estáticos, porque usam engenharia reversa para desmontagem de arquivos e análise de binários por meio de antivírus. (2) e (4) são dinâmicos, pois procuram funcionalidades nos arquivos analisados.· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Assinale a alternativa que não representa um tipo de malware:
	
	
	
	
		Resposta Selecionada:
	c. 
DDoS.
	Respostas:
	a. 
Trojans.
	
	b. 
Vírus.
	
	c. 
DDoS.
	
	d. 
Keyloggers.
	
	e. 
Rootkits.
	Comentário da resposta:
	Resposta: C
Comentário: Apesar de a execução de ataques DDoS se aproveitar de computadores infectados com algum malware, esses são conceitos distintos.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Programas maliciosos se utilizam de técnicas antianálises para se manterem despercebidos de investigações forenses. Um exemplo desse tipo de procedimento é:
	
	
	
	
		Resposta Selecionada:
	d. 
Detectar ambiente virtual através de ferramentas do hypervisor.
	Respostas:
	a. 
Inserir malwares em arquivos ZIP para burlar antivírus.
	
	b. 
Detectar ambiente virtual através do endereço IP.
	
	c. 
Utilizar o mesmo nome de um arquivo do sistema operacional.
	
	d. 
Detectar ambiente virtual através de ferramentas do hypervisor.
	
	e. 
Nenhuma das anteriores.
	Comentário da resposta:
	Resposta: D
Comentário: A alternativa A está errada, pois softwares antivírus conseguem analisar arquivos compactados em ZIP. A alternativa B está errada, uma vez que é possível detectar um ambiente virtual pelo endereço MAC, e não pelo IP. Trocar o nome de um arquivo não modificaria seu hash, fazendo com que a alternativa C também esteja errada. Por fim, programas instalados por gerenciadores de máquinas virtuais podem ser detectados por malwares, que poderiam mudar seu comportamento em função disso.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Em relação à criptografia, analise as seguintes afirmações:
	I
	Os principais elementos do processo criptográfico são o texto claro, o algoritmo de criptografia, a chave e o texto cifrado.
	II
	Arquivos encriptados por aplicativos, geralmente, também criptografam seus metadados (como data de criação ou modificação).
	III
	Ao realizar o processo de criptografia total de disco, ferramentas podem inserir assinaturas específicas nos primeiros setores da mídia de armazenamento.
	IV
	A recuperação direta de chaves consiste em usar tabelas de textos claros seguidos do seu respectivo criptograma, para assim identificar chaves comuns.
Estão corretas:
	
	
	
	
		Resposta Selecionada:
	c. 
As afirmações I e III.
	Respostas:
	a. 
Todas as afirmações.
	
	b. 
As afirmações I, II e III.
	
	c. 
As afirmações I e III.
	
	d. 
As afirmações II e IV.
	
	e. 
As afirmações III e IV.
	Comentário da resposta:
	Resposta: C
Comentário: Aplicativos que fazem a encriptação de arquivos, na maioria dos casos, mantêm decifrados seus atributos, fazendo com que a afirmação II esteja incorreta. A afirmação IV descreve o uso de um método pré-computado de quebra de criptografia ( Rainbow Table) e não de recuperação direta de chave.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Um dos riscos do packing (empacotamento) é:
	
	
	
	
		Resposta Selecionada:
	a. 
Malwares podem ser inseridos nos arquivos compactados de execução automática.
	Respostas:
	a. 
Malwares podem ser inseridos nos arquivos compactados de execução automática.
	
	b. 
A compactação impede a detecção de malwares.
	
	c. 
A descompactação automática impede a execução de malwares.
	
	d. 
A falta de automatização na descompactação impede a detecção de malwares.
	
	e. 
A falta de automatização na descompactação facilita a detecção de malwares.
	Comentário da resposta:
	Resposta: A
Comentário: No packing, a execução automática do descompactador facilita a execução dos malwares inseridos indevidamente no código.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Técnicas antiforenses procuram dificultar a perícia computacional forense. Um objetivo comum é a ocultação de informações dentro de arquivos. Como exemplo de técnica de ocultação, podemos citar:
	
	
	
	
		Resposta Selecionada:
	e. 
Todas as anteriores.
	Respostas:
	a. 
A inserção de informações em metadados, em campos nem sempre utilizados pelos arquivos.
	
	b. 
O file tunneling, que permite que arquivos herdem os atributos de outro com mesmo nome que foi apagado, em até 15 segundos após essa remoção.
	
	c. 
O Object Linking and Embedding (OLE), que permite que arquivos sejam incorporados a outros como, por exemplo, uma planilha dentro de um arquivo de texto.
	
	d. 
A esteganografia, que pode ser aplicada codificando uma informação secreta dentro dos bits menos significativos de uma imagem.
	
	e. 
Todas as anteriores.
	Comentário da resposta:
	Resposta: E
Comentário: Os arquivos contêm cabeçalhos, em que podem ser inseridas informações. Arquivos apagados podem ser recuperados com o file tunneling. Arquivos maliciosos podem ser inseridos dentro de outros com o OLE. A esteganografia insere dados em uma imagem.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Avalie as técnicas antiforenses a seguir e escolha a alternativa que está errada.
	
	
	
	
		Resposta Selecionada:
	b. 
Uma vez que um arquivo é apagado da lixeira do sistema operacional e após o computador ser desligado, não é mais possível recuperá-lo.
	Respostas:
	a. 
O comando dd do Linux pode ser usado para reescrever todos os bits de um HD com zero, dificultando a recuperação de dados apagados.
	
	b. 
Uma vez que um arquivo é apagado da lixeira do sistema operacional e após o computador ser desligado, não é mais possível recuperá-lo.
	
	c. 
O uso de “limpadores” de sistema, como o CCleaner, deixa rastros de sua utilização nos registros do Windows, que podem servir de indícios em uma investigação forense.
	
	d. 
É possível adulterar as datas de criação, modificação ou acesso de um diretório com ferramentas que modificam a Master File Table
em um sistema de arquivos NTFS.
	
	e. 
O processo de transmogrify dificulta a análise forense automatizada, alterando intencionalmente os cabeçalhos de arquivos, de forma a alterar seus hashes.
	Comentário da resposta:
	Resposta: B
Comentário: Contanto que o setor do HD em que o arquivo estava localizado não seja sobrescrito, ainda é possível fazer a sua recuperação.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Funções de hash são operações matemáticas que possuem a desejável característica de serem dificilmente invertíveis. Isto é, dado um hash, não é possível (ou não é factível) saber que elemento o gerou. Sobre esse tipo de função, podemos afirmar que:
	
	
	
	
		Resposta Selecionada:
	d. 
O processo de detecção de colisão de hashes pode ser identificado por meio de técnicas de fuzzy hashing.
	Respostas:
	a. 
Arquivos de mesmo tamanho geram o mesmo hash.
	
	b. 
É impossível que dois arquivos diferentes gerem o mesmo hash.
	
	c. 
Pequenas alterações no cabeçalho de um arquivo não alteram o hash que este gera.
	
	d. 
O processo de detecção de colisão de hashes pode ser identificado por meio de técnicas de fuzzy hashing.
	
	e. 
Métodos de fuzzy hashing consistem em aplicar iterativamente uma função de hash, isto é, a saída da primeira aplicação torna-se a entrada das demais.
	Comentário da resposta:
	Resposta: D
Comentário: Arquivos de mesmo tamanho não geram, necessariamente, o mesmo hash. A colisão de hashes
ocorre quando dois elementos diferentes produzem o mesmo resultado em uma operação de hash. Uma boa função de hash
é capaz de produzir resultados muito diferentes para entradas parecidas, porém distintas. O fuzzy hashing consiste em calcular hashes
de pequenas sequências de bits ao longo de um arquivo. Para arquivos idênticos, o resultado dessas operações deve ser idêntico. A única alternativa correta é a D.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Em relação às leis brasileiras voltadas para a proteção de dados, analise as seguintes afirmações:
	I
	A Lei de Transparência trata de garantir o acesso do cidadão comum a quaisquer dados relativos à administração pública, independente da natureza desses dados.
	II
	A Lei de Informática visa beneficiar a indústria de TI nacional por meio de incentivos fiscais.
	III
	A Lei de Crimes Informáticos englobadiversos crimes cibernéticos, tais como os de modificação, fabricação e acesso não autorizado a dados.
	IV
	O Marco Civil da Internet foi criado exclusivamente para regulamentar a operação de provedores de conexão com a internet, sem incluir provedores de aplicação.
	V
	A Lei Geral de Proteção de Dados está ligada à privacidade do usuário, procurando garantir que o dono dos dados tenha controle sobre as informações compartilhadas.
Estão corretas:
	
	
	
	
		Resposta Selecionada:
	e. 
As afirmações II, III e V.
	Respostas:
	a. 
As afirmações I, II e III.
	
	b. 
As afirmações III, IV e V.
	
	c. 
As afirmações I e V.
	
	d. 
As afirmações I, IV e V
	
	e. 
As afirmações II, III e V.
	Comentário da resposta:
	Resposta: E
Comentário: A Lei de Transparência impõe alguns limites ao acesso à informação, como, por exemplo, este não pode representar risco ao Estado ou à integridade dos indivíduos. Portanto, a afirmação I está errada. A afirmação IV está errada, porque o Marco Civil da Internet define direitos e deveres tanto de provedores de conexão, como de provedores de aplicação.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Quanto ao processo de aquisição de provas em uma análise forense:
	
	
	
	
		Resposta Selecionada:
	c. 
Para que um dispositivo tenha seu conteúdo inspecionado, é necessário que a infração penal seja comunicada a uma autoridade policial.
	Respostas:
	a. 
A lei brasileira obriga o investigado a fornecer senhas dos aparelhos eletrônicos apreendidos.
	
	b. 
Arquivos que comprovem um ato ilícito não podem ser copiados para outros dispositivos, garantindo, assim, sua integridade.
	
	c. 
Para que um dispositivo tenha seu conteúdo inspecionado, é necessário que a infração penal seja comunicada a uma autoridade policial.
	
	d. 
Há um consenso universal de que a apreensão e a preservação de vestígios cibernéticos não dependem de autorização judicial.
	
	e. 
A polícia não pode acessar dados cadastrais ou registros telefônicos de um investigado sem uma ordem judicial.
	Comentário da resposta:
	Resposta: C
Comentário: A alternativa A está errada, uma vez que a legislação brasileira não impõe o fornecimento de senhas pelo investigado. Caso esta seja necessária, o usuário deve inseri-la no dispositivo, sem a necessidade de divulgação. Provas digitais têm características de portabilidade e reprodutibilidade. Podem, portanto, ser copiadas e há métodos de garantir sua integridade mesmo assim, tornando a alternativa B errada. A alternativa D está errada, pois não há consenso sobre a apreensão de dispositivos sem autorização judicial; há uma corrente que acredita se tratar de uma prova ilícita. A alternativa E também está errada, uma vez que a polícia e o Ministério Público têm esse poder em casos excepcionais.
	
	
	
ATIVIDADE – 04
· Pergunta 1
0 em 0 pontos
	
	
	
	Em uma análise forense com antivírus, qual deve ser o procedimento adotado em relação ao malware estudado?
	
	
	
	
		Resposta Selecionada:
	b. 
Deve-se criar uma cópia só leitura do sistema para análise, conservando o malware.
	Respostas:
	a. 
O vírus deve ser retirado imediatamente para que se prossiga com a análise forense.
	
	b. 
Deve-se criar uma cópia só leitura do sistema para análise, conservando o malware.
	
	c. 
Deve-se criar uma cópia alterável do sistema e realizar a análise do malware na cópia.
	
	d. 
Deve-se executar uma análise estática avançada na própria máquina contaminada.
	
	e. 
Deve-se criar uma cópia alterável do sistema e realizar a análise do malware na máquina contaminada.
	Comentário da resposta:
	Resposta: b)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	Imagine uma senha extremamente complexa, porém extremamente curta. Em tese, qual alternativa apresenta o melhor método para decifração?
	
	
	
	
		Resposta Selecionada:
	b. 
Força bruta.
	Respostas:
	a. 
Um ataque de dicionário.
	
	b. 
Força bruta.
	
	c. 
O Método pré-computado.
	
	d. 
Busca em uma RT de hashes.
	
	e. 
Análise de probabilidades.
	Comentário da resposta:
	Resposta: b)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	Qual das alternativas descreve corretamente o uso da técnica de fuzzy hashing?
	
	
	
	
		Resposta Selecionada:
	d. 
Geram-se hashes de trechos de arquivos, que são comparados ao hash completo.
	Respostas:
	a. 
Divide-se arquivo em trechos. Cada trecho é comparado com o hash completo do arquivo.
	
	b. 
Um hash completo é dividido em trechos. Cada trecho é comparado com o arquivo.
	
	c. 
Um hash dividido é comparado com trechos do arquivo.
	
	d. 
Geram-se hashes de trechos de arquivos, que são comparados ao hash completo.
	
	e. 
Impede-se a leitura do dump da memória por meio de aplicativos.
	Comentário da resposta:
	Resposta: d)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Qual dos exemplos NÃO se enquadra como um crime cibernético?
	
	
	
	
		Resposta Selecionada:
	b. 
Roubo de dispositivo mobile.
	Respostas:
	a. 
Falsa identidade virtual.
	
	b. 
Roubo de dispositivo mobile.
	
	c. 
Invasão de computador.
	
	d. 
Cyberbullying.
	
	e. 
Violação de direitos autorais.
	Comentário da resposta:
	Resposta: b)