QUESTIONÁRIO UNIDADE IV

Prévia do material em texto

Computação Forense 
Questionário Unidade IV 
 
• Pergunta 1 
0,25 em 0,25 pontos 
 
A análise de malwares pode ser categorizada como dinâmica ou 
estática, caso o procedimento utilizado para esse fim execute ou não 
o malware no sistema. 
Considere, portanto, as seguintes técnicas: 
(1) Desmontagem ( disassembly) de arquivos binários. 
(2) Uso de debuggers (depuradores) no código do arquivo suspeito. 
(3) Uso de programas de antivírus. 
(4) Monitoração de recursos (como rede ou processos) em um 
ambiente controlado. 
Estes são, respectivamente, métodos de análise: 
 
Resposta Selecionada: a. 
Estática, dinâmica, estática e dinâmica. 
Respostas: a. 
Estática, dinâmica, estática e dinâmica. 
 b. 
Dinâmica, estática, dinâmica e estática. 
 c. 
Estática, estática, estática e dinâmica. 
 d. 
Dinâmica, dinâmica, estática e estática. 
 e. 
Estática, dinâmica, dinâmica e estática. 
Comentário 
da resposta: 
Resposta: A 
Comentário: (1) e (3) são estáticos, porque usam 
engenharia reversa para desmontagem de arquivos e 
análise de binários por meio de antivírus. (2) e (4) são 
dinâmicos, pois procuram funcionalidades nos arquivos 
analisados. 
 
 
• Pergunta 2 
0,25 em 0,25 pontos 
 
Assinale a alternativa que não representa um tipo de malware: 
Resposta Selecionada: c. 
DDoS. 
Respostas: a. 
Trojans. 
 
 b. 
Vírus. 
 c. 
DDoS. 
 d. 
Keyloggers. 
 e. 
Rootkits. 
Comentário da 
resposta: 
Resposta: C 
Comentário: Apesar de a execução de ataques DDoS se 
aproveitar de computadores infectados com 
algum malware, esses são conceitos distintos. 
 
• Pergunta 3 
0,25 em 0,25 pontos 
 
Programas maliciosos se utilizam de técnicas antianálises para se 
manterem despercebidos de investigações forenses. Um exemplo 
desse tipo de procedimento é: 
 
Resposta 
Selecionada: 
d. 
Detectar ambiente virtual através de ferramentas 
do hypervisor. 
Respostas: a. 
Inserir malwares em arquivos ZIP para burlar 
antivírus. 
 b. 
Detectar ambiente virtual através do endereço IP. 
 
c. 
Utilizar o mesmo nome de um arquivo do sistema 
operacional. 
 
d. 
Detectar ambiente virtual através de ferramentas 
do hypervisor. 
 e. 
Nenhuma das anteriores. 
Comentário 
da resposta: 
Resposta: D 
Comentário: A alternativa A está errada, 
pois softwares antivírus conseguem analisar arquivos 
compactados em ZIP. A alternativa B está errada, uma 
vez que é possível detectar um ambiente virtual pelo 
endereço MAC, e não pelo IP. Trocar o nome de um 
arquivo não modificaria seu hash, fazendo com que a 
 
alternativa C também esteja errada. Por fim, programas 
instalados por gerenciadores de máquinas virtuais 
podem ser detectados por malwares, que poderiam 
mudar seu comportamento em função disso. 
 
• Pergunta 4 
0,25 em 0,25 pontos 
 
Em relação à criptografia, analise as seguintes afirmações: 
I Os principais elementos do processo criptográfico são o texto claro, o algoritmo de 
criptografia, a chave e o texto cifrado. 
II Arquivos encriptados por aplicativos, geralmente, também criptografam seus 
metadados (como data de criação ou modificação). 
III Ao realizar o processo de criptografia total de disco, ferramentas podem inserir 
assinaturas específicas nos primeiros setores da mídia de armazenamento. 
IV A recuperação direta de chaves consiste em usar tabelas de textos claros seguidos 
do seu respectivo criptograma, para assim identificar chaves comuns. 
 
Estão corretas: 
 
Resposta Selecionada: c. 
As afirmações I e III. 
Respostas: a. 
Todas as afirmações. 
 b. 
As afirmações I, II e III. 
 c. 
As afirmações I e III. 
 d. 
As afirmações II e IV. 
 e. 
As afirmações III e IV. 
Comentário 
da resposta: 
Resposta: C 
Comentário: Aplicativos que fazem a encriptação de arquivos, na maioria dos 
casos, mantêm decifrados seus atributos, fazendo com que a afirmação II esteja 
incorreta. A afirmação IV descreve o uso de um método pré-computado de 
quebra de criptografia ( Rainbow Table) e não de recuperação direta de chave. 
 
 
• Pergunta 5 
0,25 em 0,25 pontos 
 
Um dos riscos do packing (empacotamento) é: 
Resposta 
Selecionada: 
a. 
Malwares podem ser inseridos nos arquivos 
compactados de execução automática. 
Respostas: a. 
Malwares podem ser inseridos nos arquivos 
compactados de execução automática. 
 
 b. 
A compactação impede a detecção de malwares. 
 
c. 
A descompactação automática impede a execução 
de malwares. 
 
d. 
A falta de automatização na descompactação impede 
a detecção de malwares. 
 
e. 
A falta de automatização na descompactação facilita 
a detecção de malwares. 
Comentário da 
resposta: 
Resposta: A 
Comentário: No packing, a execução automática do 
descompactador facilita a execução 
dos malwares inseridos indevidamente no código. 
 
• Pergunta 6 
0,25 em 0,25 pontos 
 
Técnicas antiforenses procuram dificultar a perícia computacional 
forense. Um objetivo comum é a ocultação de informações dentro 
de arquivos. Como exemplo de técnica de ocultação, podemos citar: 
 
Resposta 
Selecionada: 
e. 
Todas as anteriores. 
Respostas: a. 
A inserção de informações em metadados, em campos 
nem sempre utilizados pelos arquivos. 
 
b. 
O file tunneling, que permite que arquivos herdem os 
atributos de outro com mesmo nome que foi apagado, 
em até 15 segundos após essa remoção. 
 
c. 
O Object Linking and Embedding (OLE), que permite que 
arquivos sejam incorporados a outros como, por 
exemplo, uma planilha dentro de um arquivo de texto. 
 
d. 
A esteganografia, que pode ser aplicada codificando 
uma informação secreta dentro dos bits menos 
significativos de uma imagem. 
 e. 
Todas as anteriores. 
 
Comentário 
da resposta: 
Resposta: E 
Comentário: Os arquivos contêm cabeçalhos, em que 
podem ser inseridas informações. Arquivos apagados 
podem ser recuperados com o file tunneling. Arquivos 
maliciosos podem ser inseridos dentro de outros com o 
OLE. A esteganografia insere dados em uma imagem. 
 
• Pergunta 7 
0,25 em 0,25 pontos 
 
Avalie as técnicas antiforenses a seguir e escolha a alternativa que 
está errada. 
 
Resposta 
Selecionada: 
b. 
Uma vez que um arquivo é apagado da lixeira do 
sistema operacional e após o computador ser 
desligado, não é mais possível recuperá-lo. 
Respostas: a. 
O comando dd do Linux pode ser usado para reescrever 
todos os bits de um HD com zero, dificultando a 
recuperação de dados apagados. 
 
b. 
Uma vez que um arquivo é apagado da lixeira do 
sistema operacional e após o computador ser 
desligado, não é mais possível recuperá-lo. 
 
c. 
O uso de “limpadores” de sistema, como o CCleaner, 
deixa rastros de sua utilização nos registros do 
Windows, que podem servir de indícios em uma 
investigação forense. 
 
d. 
É possível adulterar as datas de criação, modificação ou 
acesso de um diretório com ferramentas que modificam 
a Master File Table 
em um sistema de arquivos NTFS. 
 
e. 
O processo de transmogrify dificulta a análise forense 
automatizada, alterando intencionalmente os 
cabeçalhos de arquivos, de forma a alterar seus hashes. 
Comentário da 
resposta: 
Resposta: B 
Comentário: Contanto que o setor do HD em que o 
arquivo estava localizado não seja sobrescrito, ainda é 
possível fazer a sua recuperação. 
 
 
• Pergunta 8 
0,25 em 0,25 pontos 
 
Funções de hash são operações matemáticas que possuem a 
desejável característica de serem dificilmente invertíveis. Isto é, dado 
um hash, não é possível (ou não é factível) saber que elemento o 
gerou. Sobre esse tipo de função, podemos afirmar que: 
 
Resposta 
Selecionada: 
d. 
O processo de detecção de colisão de hashes pode ser 
identificado por meio de técnicas de fuzzy hashing. 
Respostas: a. 
Arquivos de mesmo tamanho geram o mesmo hash. 
 
b. 
É impossível que dois arquivos diferentes gerem o 
mesmo hash. 
 
c.Pequenas alterações no cabeçalho de um arquivo não 
alteram o hash que este gera. 
 
d. 
O processo de detecção de colisão de hashes pode ser 
identificado por meio de técnicas de fuzzy hashing. 
 
e. 
Métodos de fuzzy hashing consistem em aplicar 
iterativamente uma função de hash, isto é, a saída da 
primeira aplicação torna-se a entrada das demais. 
Comentário da 
resposta: 
Resposta: D 
Comentário: Arquivos de mesmo tamanho não geram, 
necessariamente, o mesmo hash. A colisão de hashes 
ocorre quando dois elementos diferentes produzem o 
mesmo resultado em uma operação de hash. Uma boa 
função de hash 
é capaz de produzir resultados muito diferentes para 
entradas parecidas, porém distintas. 
O fuzzy hashing consiste em calcular hashes 
de pequenas sequências de bits ao longo de um 
arquivo. Para arquivos idênticos, o resultado dessas 
operações deve ser idêntico. A única alternativa correta 
é a D. 
 
 
• Pergunta 9 
0,25 em 0,25 pontos 
 
Em relação às leis brasileiras voltadas para a proteção de dados, 
analise as seguintes afirmações: 
 
 
 
I A Lei de Transparência trata de garantir o acesso do cidadão comum a quaisquer 
dados relativos à administração pública, independente da natureza desses 
dados. 
II A Lei de Informática visa beneficiar a indústria de TI nacional por meio de 
incentivos fiscais. 
III A Lei de Crimes Informáticos engloba diversos crimes cibernéticos, tais como os 
de modificação, fabricação e acesso não autorizado a dados. 
IV O Marco Civil da Internet foi criado exclusivamente para regulamentar a 
operação de provedores de conexão com a internet, sem incluir provedores de 
aplicação. 
V A Lei Geral de Proteção de Dados está ligada à privacidade do usuário, 
procurando garantir que o dono dos dados tenha controle sobre as informações 
compartilhadas. 
Estão corretas: 
Resposta Selecionada: e. 
As afirmações II, III e V. 
Respostas: a. 
As afirmações I, II e III. 
 b. 
As afirmações III, IV e V. 
 c. 
As afirmações I e V. 
 d. 
As afirmações I, IV e V 
 e. 
As afirmações II, III e V. 
Comentário 
da resposta: 
Resposta: E 
Comentário: A Lei de Transparência impõe alguns limites 
ao acesso à informação, como, por exemplo, este não 
pode representar risco ao Estado ou à integridade dos 
indivíduos. Portanto, a afirmação I está errada. A 
afirmação IV está errada, porque o Marco Civil da 
Internet define direitos e deveres tanto de provedores 
de conexão, como de provedores de aplicação. 
 
 
• Pergunta 10 
0,25 em 0,25 pontos 
 
Quanto ao processo de aquisição de provas em uma análise forense: 
Resposta 
Selecionada: 
c. 
Para que um dispositivo tenha seu conteúdo 
inspecionado, é necessário que a infração penal seja 
comunicada a uma autoridade policial. 
Respostas: a. 
 
A lei brasileira obriga o investigado a fornecer senhas 
dos aparelhos eletrônicos apreendidos. 
 
b. 
Arquivos que comprovem um ato ilícito não podem ser 
copiados para outros dispositivos, garantindo, assim, 
sua integridade. 
 
c. 
Para que um dispositivo tenha seu conteúdo 
inspecionado, é necessário que a infração penal seja 
comunicada a uma autoridade policial. 
 
d. 
Há um consenso universal de que a apreensão e a 
preservação de vestígios cibernéticos não dependem 
de autorização judicial. 
 
e. 
A polícia não pode acessar dados cadastrais ou 
registros telefônicos de um investigado sem uma 
ordem judicial. 
Comentário 
da resposta: 
Resposta: C 
Comentário: A alternativa A está errada, uma vez que a 
legislação brasileira não impõe o fornecimento de 
senhas pelo investigado. Caso esta seja necessária, o 
usuário deve inseri-la no dispositivo, sem a necessidade 
de divulgação. Provas digitais têm características de 
portabilidade e reprodutibilidade. Podem, portanto, ser 
copiadas e há métodos de garantir sua integridade 
mesmo assim, tornando a alternativa B errada. A 
alternativa D está errada, pois não há consenso sobre a 
apreensão de dispositivos sem autorização judicial; há 
uma corrente que acredita se tratar de uma prova ilícita. 
A alternativa E também está errada, uma vez que a 
polícia e o Ministério Público têm esse poder em casos 
excepcionais.