Baixe o app para aproveitar ainda mais
Prévia do material em texto
1) Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Na realização da investigação em um ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é maior. Sobre a investigação em ambientes ligados, assinale a alternativa correta. Alternativas: • Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos ambientes ligados. • Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live Forensic. • O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta dos dados. • É importante considerar a volatilidade das informações na coleta, por exemplo, a memória do dispositivo. checkCORRETO • Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o equipamento. Resolução comentada: Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Quando o sistema está desligado, é mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do material, mas, na realização de investigação em um equipamento ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é muito grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados muito importantes. A investigação em ambientes ligados é nomeada como Live Forensic e, neste caso, é fundamental que a volatilidade das informações seja considerada, assim como a necessidade de priorizá-las no momento da coleta, por exemplo, a memória do dispositivo e as conexões de redes ativas. Quando o perito em computação forense for realizar uma coleta de dados em um equipamento ligado, ele precisa pensar em ações que evitem qualquer tipo de contaminação. Código da questão: 64517 2) Uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma organização é a gestão de incidentes. Ela também diminui as perdas. Sobre as fases mais importantes de uma estratégia de gestão de incidentes, leia as afirmativas a seguir e associe as colunas: Assinale a alternativa que traz a associação correta entre as colunas. Alternativas: • I – B; II – C; III – A. • I – A; II – B; III – C. • I – B; II – A; III – C. • I – A; II – C; III – B. checkCORRETO • I – C; II – A; III – B. Resolução comentada: Gestão de incidentes é uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma organização e diminuir sua perda. As fases relevantes de uma estratégia de gestão de incidentes são: preparação (são organizados os ambientes, para diminuir os impactos de um incidente, e é definido o time de resposta à incidente, o qual determina o que ocorreu e as ações a serem tomadas); detecção (tem como objetivo minimizar o risco das ameaças que não foram antecipadas); resposta ao incidente (possui as seguintes fases: contenção, erradicação e recuperação); pós-incidente (sua principal preocupação é a coleta de informações das três fases anteriores, para alimentar um processo de aprendizado, visando evitar futuros incidentes semelhantes). Código da questão: 64506 3) Uma atividade fundamental na busca de _________ digitais é a recuperação de arquivos. Existem dois principais métodos para a recuperação de arquivos apagados: baseados em _________ e baseados em _________. O termo utilizado mais frequentemente para referir-se ao ato de recuperação de um ou mais arquivos de imagens forenses digitais não estruturadas é _________. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: • Atualizações; aplicação; data carving; unidade. • Evidências; metadados; aplicação; data carving. checkCORRETO • Atualizações; metadados; dados; data carving. • Dispositivos; unidades, aplicação; metadados. • Evidências; data carving; dados; metadados. Resolução comentada: A recuperação de arquivos é uma atividade essencial na busca de evidências digitais, principalmente aquelas que foram excluídas do sistema de arquivos. Existem dois principais métodos para a recuperação de arquivos apagados: baseados em metadados e baseados em aplicação. Data carving é o termo utilizado para indicar o ato de recuperar um ou mais arquivos de imagens forenses digitais não estruturadas. O termo não estruturado indica que a imagem digital original não contém informação útil do sistema de arquivos que pode ser utilizada para ajudar na recuperação dos arquivos. Código da questão: 64509 4) Diversas estratégias poderão ser utilizadas por um sistema operacional para a alocação de unidades de dado. Tradicionalmente, um sistema operacional aloca unidades de dado consecutivas. Sobre este procedimento, analise as afirmativas a seguir e assinale- as com V (verdadeiro) ou F (falso): ( ) Um arquivo que não tem unidades de dados consecutivas é chamado de acumulação. ( ) Os sistemas operacionais modernos tentam evitar a fragmentação dos arquivos. ( ) Um modelo de fragmentação é derivado da observação de como ela acontece na prática. ( ) A fragmentação independe das características dos sistemas de arquivos ou de suposições. ( ) Apesar de os arquivos fragmentados serem incomuns, pode existir uma região contígua suficiente. Assinale a alternativa que contenha a sequência correta. Alternativas: • F – V – V – F – F. checkCORRETO • F – F – F – V – F. • F – F – V – V – F. • V – V – F – F – V. • V – V – V – F – V. Resolução comentada: Um sistema operacional pode utilizar diferentes estratégias para a alocação de unidades de dados. Tipicamente, ele aloca unidades de dados consecutivas, mas isso nem sempre é possível. Um arquivo que não possui unidade de dados consecutivas é chamado de fragmentação. Os sistemas operacionais modernos buscam evitar que os arquivos sejam fragmentados, mas eles ainda são comuns, pois pode não haver uma região contígua suficiente para armazenar um novo arquivo. Um modelo de fragmentação é um conjunto de suposições derivadas da observação de como a fragmentação ocorre na prática, sendo que isso depende da característica dos sistemas de arquivos ou de outras generalizações de suposições. Código da questão: 64512 5) Durante a etapa da coleta, são necessários alguns procedimentos. Após ter sido feita a identificação do material recolhido, ele deverá ser lacrado e embalado. Sobre os procedimentos da etapa da coleta, analise as afirmativas a seguir: I. Para a identificação do material recolhido, é necessário que conste o número de série e o fabricante do notebook. II. Ao etiquetar o equipamento durante a coleta, é necessário apenas a assinatura do perito para validar a apreensão. III. Fotografar o material recolhido em uma apreensão também é importante para a confirmação do equipamento. IV. A assinatura das testemunhas da coleta do material aprendido acontece no momento do exame das evidências. V. As impressoras podem ser importantes para a perícia, pois podem comparar documentos impressos. Assinale a alternativa que apresenta corretamente quais afirmativas são corretas. Alternativas: • II e V, apenas. • I, III e V, apenas. checkCORRETO • I, II e V, apenas. • III e IV, apenas. • I e IV, apenas. Resolução comentada: Durante a etapa da coleta, são necessários alguns procedimentos. Após ter sido feita a identificação do material recolhido, ele deverá ser lacrado e embalado. Ao coletar os dispositivos, um perito não precisa levar todo o hardware correspondente a ele, a menos que seja um HD com monitor integrado. As impressoras são itens úteis para confrontar documentos impressos, sendo passível de perícia, o que torna a afirmativa V verdadeira. Após o material recolhido e devidamente identificado, ele deverá serlacrado e embalado. Na identificação, é importante ter o nome do equipamento, o fabricante, o número de série e demais informações necessárias, o que torna a afirmativa I verdadeira. É importante que tudo seja fotografado para relacionar a fotografia ao equipamento específico, o que torna a afirmativa III verdadeira. Durante a embalagem e etiquetagem do equipamento na coleta, é importante que o responsável pela apreensão e algumas testemunhas o rubriquem, para atestar que o material foi coletado no local em que estava, o que torna as afirmativas II e IV incorretas. Código da questão: 64514 6) Existem algumas práticas a serem seguidas para que uma perícia forense seja realizada pelos peritos profissionais. Uma dessas etapas é a _________, que é feita nos _________, _________ e _________. Esta etapa também cuida da __________ do material. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: • Apresentação; dispositivos; laudos; dados; perícia. • Análise; equipamentos; laudos; processo; reconstituição. • Análise; dispositivos; equipamentos; mídia; apresentação. • Coleta; laudos; equipamentos; mídias; reconstituição. • Coleta; equipamentos; mídias; dispositivos; preservação. checkCORRETO Resolução comentada: Existem algumas práticas a serem seguidas para que uma perícia forense seja realizada pelos peritos profissionais. Uma destas etapas é a coleta realizada em equipamentos, mídias e dispositivos para encontrar possíveis vestígios. Ela cuida também da preservação do material coletado. Código da questão: 64497 7) O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas. Sobre a atuação desse profissional, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes. ( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades. ( ) Com a atuação do perito, é possível realizar o processo reverso do incidente. ( ) O perito usa a perícia para evitar que qualquer incidente ocorra. ( ) O perito pode encontrar a falha ocorrida no sistema de segurança. Assinale a alternativa que contenha a sequência correta. Alternativas: • V – V – F – F – V. • F – V – V – F – V. checkCORRETO • V – F – V – V – F. • F – F – V – F – F. • F – V – V – V – V. Resolução comentada: O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas, pois estas possuem uma área responsável pelos incidentes de segurança. Este profissional será responsável por realizar uma investigação quando da ocorrência de um incidente e encontrar a falha da segurança que foi explorada para a efetivação da invasão. O perito pode realizar uma perícia computacional para entender o fato e executar o processo reverso, evitando que incidentes iguais voltem a ocorrer. Também pode realizar testes de vulnerabilidades em todo o ambiente, para verificar a segurança tecnológica da empresa. Código da questão: 64498 8) Na etapa da _________, durante uma perícia, existe um item muito relevante, que é a _________, a qual está relacionada à _________ e ao local onde existe a suspeita de _________ para serem analisados. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: • Cena do crime; coleta; perícia; áreas. • Coleta; evidência; perícia; dispositivos. • Identificação; evidência; cena do crime; dispositivos. • Identificação; coleta; cena do crime; evidências. • Coleta; identificação; cena do crime; dispositivos. checkCORRETO Resolução comentada: Na etapa de coleta, existe um item bem importante, que é a identificação. Ele se refere efetivamente à cena do crime ou ao local de apreensão, quando se trata de uma perícia criminal, ou onde há suspeita de dispositivos a serem analisados. No caso deste tipo de procedimento, é importante que um perito esteja junto e realize as etapas com o cuidado necessário. Código da questão: 64511 9) Existem diversas ferramentas no mercado criadas especialmente para perícia computacional. Dentre estas ferramentas, temos o _________, que foi desenvolvido pela _________. Neste software, encontramos as principais funcionalidades para a realização de _________ em dispositivos de armazenamento de dados. Este aplicativo tem um _________ com diversos recursos. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: • Access Data; Guidance; análises; suíte. • Forensic Toolkit; Access Data; exames forenses; suíte. checkCORRETO • Forensic Toolkit; EnCase; exames forenses; suíte. • EnCase; Guidance; coletas; conjunto. • Guidance; Forensic Toolkit; exames forenses; pacote. Resolução comentada: Existem muitas ferramentas no mercado criadas especificamente para perícia computacional. Algumas são para uso específico em uma determinada fase da perícia, outras possuem um conjunto de ferramentas que podem ser utilizadas em todas as etapas da investigação computacional. Dentre estas ferramentas, temos o Forensic Toolkit (FTK), que foi desenvolvido pela Access Data. Neste software, podemos encontrar as principais funcionalidades para a realização de exames forenses em dispositivos de armazenamento de dados. Este aplicativo possui um suíte com vários recursos, os quais podem ser utilizados em todas as fases de um exame computacional forense. Código da questão: 64516 10) Existem duas etapas fundamentais para o sucesso de uma perícia computacional, são elas: a coleta e o exame. Cada uma dessas etapas é formada por diversos procedimentos. Sobre estes procedimentos, assinale a alternativa correta. Alternativas: • Tanto na coleta quanto no exame, é feita a embalagem de evidências. • Na coleta, procura-se reduzir ao máximo o material apreendido e que será analisado. • Na etapa da coleta, também é feita a documentação do material que foi encontrado. • Durante a etapa do exame, é feita a filtragem aplicada sobre o assunto em questão. checkCORRETO • A identificação é um procedimento que só acontece na coleta dos materiais. Resolução comentada: Duas etapas são muito importantes para uma perícia computacional de sucesso, são elas: a coleta e o exame. A etapa da coleta é responsável pela identificação e pelo isolamento da área necessária, pela preservação dos dados, pela coleta das evidências, pela garantia da integridade e por embalar, etiquetar e manter a cadeia de custódia, mantendo a proteção do que foi coletado. Na etapa do exame, ocorre a identificação do material que foi coletado, a extração destes dados e a filtragem aplicada sobre o assunto questionado, bem como a documentação do que for encontrado. Apenas após estas duas etapas que se inicia a análise, pois o exame tem o objetivo de reduzir a quantidade de material a ser analisado. Código da questão: 64515
Compartilhar