Introdução à computação forense - 2 - 10

Prévia do material em texto

22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 1/6
Introdução à computação forense
Professor(a): Juliane Adélia Soares (Especialização)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
A função________ significa desenvolver e implementar atividades apropriadas para
__________ de incidentes, permitindo a descoberta oportuna de eventos de segurança e
incidentes. Já a função ________ significa desenvolver e implementar atividades apropriadas
para _____________em relação a um incidente _______ de segurança cibernética, e suporta a
capacidade de conter o impacto de um potencial incidente.
Alternativas:
Detectar; tomar medidas; responder; identificar ocorrência; encontrado.
Detectar; identificar a ocorrência; responder; tomar medidas; detectado.  CORRETO
Responder; tomar medidas; responder; analisar medidas; encontrado.
Detectar; identificar a ocorrência; responder; analisar métodos; encontrado.
Responder; identificar a ocorrência; detectar – tomar medidas; detectado.
Código da questão: 59340
O profissional de computação forense é responsável ____________, encontradas em
sistemas, ____________, redes e outros meios ___________, além de analisar as evidências,
montar um laudo e descrever as ______________.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Pela captura das evidências; serviços; diversos; ações que foram realizadas.
Pela aplicação; serviços; tecnológicos; ações que foram realizadas.
Pela aplicação; ações que foram realizadas; de serviços; etapas de correção.
Pela captura de evidências; aplicações; tecnológicos; etapas de correção.  CORRETO
Pelas ações que foram realizadas; aplicações; tecnológicos; etapas de correção.
Código da questão: 59314
Sobre a avaliação de um PPCN (projeto de plano de continuidade de negócios),
podemos afirmar que:
I. Sua elaboração compreende desde sua concepção e utilização até sua revisão.
II. Para a avaliação de um PPCN, conta-se com a opinião de especialistas.
III. Na avaliação da qualidade de um PPCN, leva-se em conta uma das fases apenas.
IV. A utilização do PPCN garante o alcance do objetivo da retomada do tempo (RTO).
Resolução comentada:
a função detectar significa desenvolver e implementar atividades apropriadas para
identificar a ocorrência de incidentes, permitindo a descoberta oportuna de eventos
de segurança e incidentes. Já a função responder significa desenvolver e
implementar atividades apropriadas para tomar medidas em relação a um incidente
detectado de segurança cibernética, e suporta a capacidade de conter o impacto de
um potencial incidente.
Resolução comentada:
o profissional de computação forense é responsável pela captura de evidências,
encontradas em sistemas, aplicações, redes e outros meios tecnológicos, além de
analisar as evidências, montar um laudo e descrever as etapas de correção.
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 
22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 2/6
4)
V. O uso do PPCN de qualidade restabelece o ambiente computacional de uma
organização.
São verdadeiras:
Alternativas:
I – II – IV.
II – IV – V.
III – IV – V.
I – III.
I – II – V.  CORRETO
Código da questão: 59347
A forense computacional, assim como as demais ciências forenses, possui um processo-
padrão, no entanto, as etapas desse processo são denominadas de diversas formas.
Contudo, todas correspondem basicamente a quatro etapas, que são coleta, exame, análise,
apresentação dos resultados obtidos.
Sobre as etapas de procedimentos forenses a serem executados, assinale a alternativa
correta.
Alternativas:
Coleta equivale à coleta de dados e vestígios. Exame equivale à identificação das
informações importantes. Análise equivale à análise das informações e correlação dos
eventos importantes. Apresentação dos resultados obtidos equivale à documentação dos
resultados, da metodologia e das ferramentas utilizadas.  CORRETO
Coleta equivale à coleta de dados e vestígios. Análise equivale à identificação das
informações importantes. Exame equivale à verificação das informações e correlação dos
eventos importantes. Apresentação dos resultados obtidos equivale à documentação dos
resultados, da metodologia e das ferramentas utilizadas.
Exame equivale à verificação das informações e correlação dos eventos importantes.
Apresentação dos resultados obtidos equivale à documentação dos resultados, da
metodologia e das ferramentas utilizadas.
Coleta equivale à identificação das informações importantes. Exame equivale à
verificação das informações. Análise equivale à análise das informações e correlação dos
eventos importantes.
Coleta equivale à identificação das informações importantes. Análise equivale à
verificação das informações e correlação dos eventos importantes. Apresentação dos
resultados obtidos equivale à documentação dos resultados, da metodologia e das
ferramentas utilizadas.
Resolução comentada:
a afirmação I é verdadeira, porque a avaliação da qualidade de um PPCN engloba o
processo de sua elaboração, desde sua concepção e utilização até sua revisão; a
afirmação II é verdadeira, pois este processo conta com a opinião dos especialistas e
permite uma análise abrangente desse tema por quaisquer organizações. A
afirmação III está errada, porque, para que se possa avaliar a qualidade de um PPCN,
deve-se levar em consideração uma série de características de todas as fases do
plano que englobam a sua elaboração, utilização e manutenção. A afirmação IV está
errada, pois o resultado da utilização de um PPCN de alta qualidade é o
restabelecimento do ambiente computacional de uma organização de forma
adequada, em tempo hábil, cumprindo-se os objetivos de tempo de recuperação
(RTO) e ponto de recuperação (RPO) para cada uma de suas aplicações, sendo esta a
razão também para a afirmação V ser verdadeira.
Resolução comentada:
coleta equivale à coleta de dados e vestígios. Exame equivale à identificação das
informações importantes. Análise equivale à análise das informações e correlação
dos eventos importantes. Apresentação dos resultados obtidos equivale à
documentação dos resultados, da metodologia e das ferramentas. As demais estão
incorretas, pois invertem conceitos de coleta, exame e análise.
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 
22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 3/6
5)
6)
Código da questão: 59313
Podemos definir que o direito brasileiro possui significado gramatical em três acepções:
_____, o _______ e o resultado da ação de provar. A prova digital possui características
diferentes das tradicionais, devido à _______, reprodutibilidade e _______, dificultando, muitas
vezes, a análise.
Alternativas:
Investigação; prova; incompatibilidade; instabilidade.
Ato de provar; meio da prova; portabilidade; volatilidade.  CORRETO
Ato de provar; prova; incompatibilidade; volatilidade.
Prova; meio da prova; portabilidade; volatilidade.
Investigação; meio da prova; portabilidade; instabilidade.
Código da questão: 59332
Sobre o processo de identificação de reconstituição de ataques, considere as seguintes
afirmações:
( ) Deve-se utilizar uma máquina separada na rede, e de preferência isolada, para a análise
de um executável, devido aos perigos que ele pode trazer consigo.
( ) O analista, ao executar a análise de um código-fonte, pode utilizar a sua máquina para
testar o programa, pois um ambiente real é o mais indicado.
( ) Há situações em que o investigador encontra uma quantidade tão pequena de
evidênciasque faltam dados para montar uma sequência lógica de eventos.
( ) Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente
ou pelo próprio sistema durante a sua execução.
( ) As evidências sempre serão escondidas por processos automáticos do sistema
operacional, que acaba camuflando junto aos seus processos.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – F – V – V – F.
F – V – F – V – F.
F – F – V – F – V.
V – F – V – V – F.  CORRETO
V – V – F – F – V.
Código da questão: 59336
Resolução comentada:
podemos definir que o direito brasileiro possui um significado gramatical em três
acepções: o ato de provar, o meio de prova e o resultado da ação de provar. A prova
digital possui características diferentes das tradicionais, devido à portabilidade,
reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise.
Resolução comentada:
deve-se utilizar uma máquina separada na rede e isolada, pois, ao executar um
código-fonte malicioso, este pode infectar a sua máquina e comprometer a estrutura
da organização. Há situações em que o investigador encontra uma quantidade tão
pequena de evidências que faltam dados para montar uma sequência lógica de
eventos, necessitando, desta forma, uma análise mais profunda no dispositivo em
questão. Mais um detalhe bem importante é a busca por evidências escondidas
intencionalmente ou pelo próprio sistema durante a sua execução, também
necessitando de um conhecimento maior para uma análise mais completa do
dispositivo.
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 
22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 4/6
7)
8)
9)
É de extrema importância que o investigador tenha um conhecimento em análise e
perícia __________ mais aprofundado, pois, em alguns momentos, será necessária uma
________, como coleta de dump de memória e sistema de dados, __________, análise de
código-fonte e outros.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
De telefonia; análise; registros do chip de memória.
De dados; análise; área de trabalho.
De dados; análise mais avançada; arquivos executáveis.
Forense computacional; análise mais avançada; arquivos executáveis.  CORRETO
Forense computacional; coleta de dados; área de trabalho.
Código da questão: 59335
Sobre a computação forense e o processo de perícia a ser realizado, podemos afirmar
que:
I. A procura de evidências é necessária para examinar e encontrar vestígios de alguma
prova de invasão, alteração em arquivos ou nos sistemas de computadores.
II. A utilização de métodos-padrão para preservar, coletar, restaurar, identificar, documentar
e apresentar as evidências será capaz de determinar se um sistema foi violado ou não.
III. O procedimento de engenharia computacional é necessário para examinar e encontrar
vestígios de alguma prova de invasão, alteração em arquivos ou nos sistemas de
computadores.
IV. No processo de segurança da informação, a evidência é baseada em vestígios
tecnológicos e transforma esses itens encontrados em provas.
V. O procedimento de coleta de dados segue as seguintes etapas: obtenção de
informações e coleta dos dados, identificação, preservação, análise e apresentação dos
dados.
São verdadeiras:
Alternativas:
II – V.
I – II – III.
I – II – IV.
I – III – IV.
I – II – V.  CORRETO
Código da questão: 59317
Leia e associe as duas colunas:
Resolução comentada:
é de extrema importância que o investigador tenha um conhecimento em análise e
perícia forense computacional mais aprofundado, pois, em alguns momentos, será
necessária uma análise mais avançada, como coleta de dump de memória e sistema
de dados, arquivos executáveis, análise de código-fonte e outros.
Resolução comentada:
a afirmação I é verdadeira, pois a procura de evidências é necessária para examinar e
encontrar vestígios de alguma prova de invasão, alteração em arquivos ou nos
sistemas de computadores. A II é verdadeira, pois, com a utilização de métodos
padronizados, é possível determinar se um sistema foi violado ou não. Já a III está
incorreta, pois a procura de evidências é necessária para examinar e encontrar
vestígios e não um procedimento de engenharia computacional. A IV está incorreta,
pois é o processo de computação forense que transforma os vestígios em provas, e
não a SI. E, por fim, a V está correta, pois fala do procedimento-padrão para coleta
de dados da forma exata.
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 
22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 5/6
10)
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – A; II – B; III – C.
I – B; II – A; III – C.
I – A; II – C; III – B.
I – C; II – A; III – B.
I – C; II – B; III – A.  CORRETO
Código da questão: 59325
Os testes de funcionamento do DR (recuperação de desastres) devem fazer parte da
rotina das organizações.
Assinale a alternativa que está de acordo com este procedimento:
Alternativas:
Existe uma certa resistência por parte das organizações para realizar este tipo de teste
em razão da paralisação das atividades de seus colaboradores.
Os testes do DR detectam as recuperações contidas no processo e evitam que os
responsáveis sejam acionados.
Ocorrendo um imprevisto durante um teste programado, o processo todo será
comprometido.
Para a realização do teste do DR, é necessário que todas as partes sejam avisadas com
antecedência.
A necessidade da realização do teste do DR constantemente é importante para que
sejam feitos os ajustes necessários ao processo.  CORRETO
Código da questão: 59348
Resolução comentada:
crimes cibernéticos próprios dependem do uso de recursos tecnológicos para a
realização do crime, sendo este o objeto do crime. Crime digital corresponde a
qualquer ato delituoso utilizando um dispositivo que utilize recursos de tecnologia
em seu funcionamento. Forense computacional possui aspectos técnicos e legais,
pois, para a realização de uma investigação, é necessário, além dos conhecimentos
em tecnologias, entender um pouco sobre legislação, que especifica a tipologia e a
criticidade dos crimes.
Resolução comentada:
as organizações, normalmente, não querem realizar este tipo de teste, com receio de
que algum imprevisto ocorra e o sistema não seja restabelecido em sua íntegra. Mas
é importante todos estarem cientes que, sem teste completo, em um caso de
incidente real, o resultado será possivelmente este, gerando uma situação muito
mais grave. Caso um imprevisto ocorra em um teste programado, é possível
descobrir as falhas do processo e ajustar, evitando que situações desse tipo voltem a
ocorrer quando realmente for necessário ativar o DR. Para a realização de um teste
válido, as partes responsáveis não devem ser comunicadas com antecedência, pois,
desta forma, elas estarão preparadas caso sejam acionadas, não resultando, assim,
em um teste fiel de uma situação de desastre.
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 
22/10/2023, 22:31 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2858098/6410246 6/6
Arquivos e Links
Avaliação enviada com sucesso 
Avaliação enviada com sucesso 