Investigação Forense, Gestão de Incidentes e Recuperação de Arquivos

Prévia do material em texto

1) 
Para a realização de uma investigação de computação forense, é fundamental que 
sejam considerados os dados voláteis existentes. Na realização da investigação em um 
ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente 
suspeito é maior. 
Sobre a investigação em ambientes ligados, assinale a alternativa correta. 
 
Alternativas: 
• Durante a Live Forensic, o risco de contaminação dos dados é menor do que 
nos ambientes ligados. 
• Para evitar que os dados sejam contaminados durante a coleta, é necessário 
evitar a Live Forensic. 
• O perito em computação forense precisa desligar o sistema apenas enquanto 
faz a coleta dos dados. 
• É importante considerar a volatilidade das informações na coleta, por exemplo, 
a memória do dispositivo. 
checkCORRETO 
• Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental 
desligar o equipamento. 
Resolução comentada: 
Para a realização de uma investigação de computação forense, é fundamental que 
sejam considerados os dados voláteis existentes. Quando o sistema está desligado, é 
mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do 
material, mas, na realização de investigação em um equipamento ligado, os dados se 
tornam voláteis e o risco de contaminação do ambiente suspeito é muito grande. Se 
desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados 
muito importantes. A investigação em ambientes ligados é nomeada como Live 
Forensic e, neste caso, é fundamental que a volatilidade das informações seja 
considerada, assim como a necessidade de priorizá-las no momento da coleta, por 
exemplo, a memória do dispositivo e as conexões de redes ativas. Quando o perito em 
computação forense for realizar uma coleta de dados em um equipamento ligado, ele 
precisa pensar em ações que evitem qualquer tipo de contaminação. 
Código da questão: 64517 
2) 
Uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade 
de ativos de uma organização é a gestão de incidentes. Ela também diminui as perdas. 
Sobre as fases mais importantes de uma estratégia de gestão de incidentes, leia as 
afirmativas a seguir e associe as colunas: 
 
Assinale a alternativa que traz a associação correta entre as colunas. 
 
Alternativas: 
• I – B; II – C; III – A. 
• I – A; II – B; III – C. 
• I – B; II – A; III – C. 
• I – A; II – C; III – B. 
checkCORRETO 
• I – C; II – A; III – B. 
Resolução comentada: 
Gestão de incidentes é uma estratégia para reduzir os riscos à confidencialidade, 
integridade e disponibilidade de ativos de uma organização e diminuir sua perda. As 
fases relevantes de uma estratégia de gestão de incidentes são: preparação (são 
organizados os ambientes, para diminuir os impactos de um incidente, e é definido o 
time de resposta à incidente, o qual determina o que ocorreu e as ações a serem 
tomadas); detecção (tem como objetivo minimizar o risco das ameaças que não foram 
antecipadas); resposta ao incidente (possui as seguintes fases: contenção, erradicação e 
recuperação); pós-incidente (sua principal preocupação é a coleta de informações das 
três fases anteriores, para alimentar um processo de aprendizado, visando evitar 
futuros incidentes semelhantes). 
Código da questão: 64506 
3) 
Uma atividade fundamental na busca de _________ digitais é a recuperação de arquivos. 
Existem dois principais métodos para a recuperação de arquivos apagados: baseados 
em _________ e baseados em _________. O termo utilizado mais frequentemente para 
referir-se ao ato de recuperação de um ou mais arquivos de imagens forenses digitais 
não estruturadas é _________. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Atualizações; aplicação; data carving; unidade. 
• Evidências; metadados; aplicação; data carving. 
checkCORRETO 
• Atualizações; metadados; dados; data carving. 
• Dispositivos; unidades, aplicação; metadados. 
• Evidências; data carving; dados; metadados. 
Resolução comentada: 
A recuperação de arquivos é uma atividade essencial na busca de evidências digitais, 
principalmente aquelas que foram excluídas do sistema de arquivos. Existem dois 
principais métodos para a recuperação de arquivos apagados: baseados em metadados 
e baseados em aplicação. Data carving é o termo utilizado para indicar o ato de 
recuperar um ou mais arquivos de imagens forenses digitais não estruturadas. O termo 
não estruturado indica que a imagem digital original não contém informação útil do 
sistema de arquivos que pode ser utilizada para ajudar na recuperação dos arquivos. 
Código da questão: 64509 
4) 
Diversas estratégias poderão ser utilizadas por um sistema operacional para a alocação 
de unidades de dado. Tradicionalmente, um sistema operacional aloca unidades de 
dado consecutivas. Sobre este procedimento, analise as afirmativas a seguir e assinale-
as com V (verdadeiro) ou F (falso): 
( ) Um arquivo que não tem unidades de dados consecutivas é chamado de 
acumulação. 
( ) Os sistemas operacionais modernos tentam evitar a fragmentação dos arquivos. 
( ) Um modelo de fragmentação é derivado da observação de como ela acontece na 
prática. 
( ) A fragmentação independe das características dos sistemas de arquivos ou de 
suposições. 
( ) Apesar de os arquivos fragmentados serem incomuns, pode existir uma região 
contígua suficiente. 
Assinale a alternativa que contenha a sequência correta. 
 
Alternativas: 
• F – V – V – F – F. 
checkCORRETO 
• F – F – F – V – F. 
• F – F – V – V – F. 
• V – V – F – F – V. 
• V – V – V – F – V. 
Resolução comentada: 
Um sistema operacional pode utilizar diferentes estratégias para a alocação de 
unidades de dados. Tipicamente, ele aloca unidades de dados consecutivas, mas isso 
nem sempre é possível. Um arquivo que não possui unidade de dados consecutivas é 
chamado de fragmentação. Os sistemas operacionais modernos buscam evitar que os 
arquivos sejam fragmentados, mas eles ainda são comuns, pois pode não haver uma 
região contígua suficiente para armazenar um novo arquivo. Um modelo de 
fragmentação é um conjunto de suposições derivadas da observação de como a 
fragmentação ocorre na prática, sendo que isso depende da característica dos sistemas 
de arquivos ou de outras generalizações de suposições. 
Código da questão: 64512 
5) 
Durante a etapa da coleta, são necessários alguns procedimentos. Após ter sido feita a 
identificação do material recolhido, ele deverá ser lacrado e embalado. Sobre os 
procedimentos da etapa da coleta, analise as afirmativas a seguir: 
I. Para a identificação do material recolhido, é necessário que conste o número de série 
e o fabricante do notebook. 
II. Ao etiquetar o equipamento durante a coleta, é necessário apenas a assinatura do 
perito para validar a apreensão. 
III. Fotografar o material recolhido em uma apreensão também é importante para a 
confirmação do equipamento. 
IV. A assinatura das testemunhas da coleta do material aprendido acontece no 
momento do exame das evidências. 
V. As impressoras podem ser importantes para a perícia, pois podem comparar 
documentos impressos. 
Assinale a alternativa que apresenta corretamente quais afirmativas são corretas. 
 
Alternativas: 
• II e V, apenas. 
• I, III e V, apenas. 
checkCORRETO 
• I, II e V, apenas. 
• III e IV, apenas. 
• I e IV, apenas. 
Resolução comentada: 
Durante a etapa da coleta, são necessários alguns procedimentos. Após ter sido feita a 
identificação do material recolhido, ele deverá ser lacrado e embalado. Ao coletar os 
dispositivos, um perito não precisa levar todo o hardware correspondente a ele, a 
menos que seja um HD com monitor integrado. As impressoras são itens úteis para 
confrontar documentos impressos, sendo passível de perícia, o que torna a afirmativa V 
verdadeira. Após o material recolhido e devidamente identificado, ele deverá serlacrado e embalado. Na identificação, é importante ter o nome do equipamento, o 
fabricante, o número de série e demais informações necessárias, o que torna a 
afirmativa I verdadeira. É importante que tudo seja fotografado para relacionar a 
fotografia ao equipamento específico, o que torna a afirmativa III verdadeira. Durante a 
embalagem e etiquetagem do equipamento na coleta, é importante que o responsável 
pela apreensão e algumas testemunhas o rubriquem, para atestar que o material foi 
coletado no local em que estava, o que torna as afirmativas II e IV incorretas. 
Código da questão: 64514 
6) 
Existem algumas práticas a serem seguidas para que uma perícia forense seja realizada 
pelos peritos profissionais. Uma dessas etapas é a _________, que é feita nos _________, 
_________ e _________. Esta etapa também cuida da __________ do material. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Apresentação; dispositivos; laudos; dados; perícia. 
• Análise; equipamentos; laudos; processo; reconstituição. 
• Análise; dispositivos; equipamentos; mídia; apresentação. 
• Coleta; laudos; equipamentos; mídias; reconstituição. 
• Coleta; equipamentos; mídias; dispositivos; preservação. 
checkCORRETO 
Resolução comentada: 
Existem algumas práticas a serem seguidas para que uma perícia forense seja realizada 
pelos peritos profissionais. Uma destas etapas é a coleta realizada em equipamentos, 
mídias e dispositivos para encontrar possíveis vestígios. Ela cuida também da 
preservação do material coletado. 
Código da questão: 64497 
7) 
O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas 
ou públicas. Sobre a atuação desse profissional, analise as afirmativas a seguir e 
assinale-as com V (verdadeiro) ou F (falso): 
( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes. 
( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades. 
( ) Com a atuação do perito, é possível realizar o processo reverso do incidente. 
( ) O perito usa a perícia para evitar que qualquer incidente ocorra. 
( ) O perito pode encontrar a falha ocorrida no sistema de segurança. 
Assinale a alternativa que contenha a sequência correta. 
 
Alternativas: 
• V – V – F – F – V. 
• F – V – V – F – V. 
checkCORRETO 
• V – F – V – V – F. 
• F – F – V – F – F. 
• F – V – V – V – V. 
Resolução comentada: 
O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas 
ou públicas, pois estas possuem uma área responsável pelos incidentes de segurança. 
Este profissional será responsável por realizar uma investigação quando da ocorrência 
de um incidente e encontrar a falha da segurança que foi explorada para a efetivação 
da invasão. O perito pode realizar uma perícia computacional para entender o fato e 
executar o processo reverso, evitando que incidentes iguais voltem a ocorrer. Também 
pode realizar testes de vulnerabilidades em todo o ambiente, para verificar a segurança 
tecnológica da empresa. 
Código da questão: 64498 
8) 
Na etapa da _________, durante uma perícia, existe um item muito relevante, que é a 
_________, a qual está relacionada à _________ e ao local onde existe a suspeita de 
_________ para serem analisados. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Cena do crime; coleta; perícia; áreas. 
• Coleta; evidência; perícia; dispositivos. 
• Identificação; evidência; cena do crime; dispositivos. 
• Identificação; coleta; cena do crime; evidências. 
• Coleta; identificação; cena do crime; dispositivos. 
checkCORRETO 
Resolução comentada: 
Na etapa de coleta, existe um item bem importante, que é a identificação. Ele se refere 
efetivamente à cena do crime ou ao local de apreensão, quando se trata de uma perícia 
criminal, ou onde há suspeita de dispositivos a serem analisados. No caso deste tipo de 
procedimento, é importante que um perito esteja junto e realize as etapas com o 
cuidado necessário. 
Código da questão: 64511 
9) 
Existem diversas ferramentas no mercado criadas especialmente para perícia 
computacional. Dentre estas ferramentas, temos o _________, que foi desenvolvido pela 
_________. Neste software, encontramos as principais funcionalidades para a realização 
de _________ em dispositivos de armazenamento de dados. Este aplicativo tem um 
_________ com diversos recursos. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Access Data; Guidance; análises; suíte. 
• Forensic Toolkit; Access Data; exames forenses; suíte. 
checkCORRETO 
• Forensic Toolkit; EnCase; exames forenses; suíte. 
• EnCase; Guidance; coletas; conjunto. 
• Guidance; Forensic Toolkit; exames forenses; pacote. 
Resolução comentada: 
Existem muitas ferramentas no mercado criadas especificamente para perícia 
computacional. Algumas são para uso específico em uma determinada fase da perícia, 
outras possuem um conjunto de ferramentas que podem ser utilizadas em todas as 
etapas da investigação computacional. Dentre estas ferramentas, temos o Forensic 
Toolkit (FTK), que foi desenvolvido pela Access Data. Neste software, podemos 
encontrar as principais funcionalidades para a realização de exames forenses em 
dispositivos de armazenamento de dados. Este aplicativo possui um suíte com vários 
recursos, os quais podem ser utilizados em todas as fases de um exame computacional 
forense. 
Código da questão: 64516 
10) 
Existem duas etapas fundamentais para o sucesso de uma perícia computacional, são 
elas: a coleta e o exame. Cada uma dessas etapas é formada por diversos 
procedimentos. 
Sobre estes procedimentos, assinale a alternativa correta. 
 
Alternativas: 
• Tanto na coleta quanto no exame, é feita a embalagem de evidências. 
• Na coleta, procura-se reduzir ao máximo o material apreendido e que será 
analisado. 
• Na etapa da coleta, também é feita a documentação do material que foi 
encontrado. 
• Durante a etapa do exame, é feita a filtragem aplicada sobre o assunto em 
questão. 
checkCORRETO 
• A identificação é um procedimento que só acontece na coleta dos materiais. 
Resolução comentada: 
Duas etapas são muito importantes para uma perícia computacional de sucesso, são 
elas: a coleta e o exame. A etapa da coleta é responsável pela identificação e pelo 
isolamento da área necessária, pela preservação dos dados, pela coleta das evidências, 
pela garantia da integridade e por embalar, etiquetar e manter a cadeia de custódia, 
mantendo a proteção do que foi coletado. Na etapa do exame, ocorre a identificação 
do material que foi coletado, a extração destes dados e a filtragem aplicada sobre o 
assunto questionado, bem como a documentação do que for encontrado. Apenas após 
estas duas etapas que se inicia a análise, pois o exame tem o objetivo de reduzir a 
quantidade de material a ser analisado. 
Código da questão: 64515