Baixe o app para aproveitar ainda mais
Prévia do material em texto
23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 1/6 Procedimentos, técnicas e ferramentas forenses Professor(a): Ariel da Silva Dias (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Na realização da investigação em um ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é maior. Sobre a investigação em ambientes ligados, assinale a alternativa correta. Alternativas: Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live Forensic. Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o equipamento. Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos ambientes ligados. É importante considerar a volatilidade das informações na coleta, por exemplo, a memória do dispositivo. CORRETO O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta dos dados. Código da questão: 64517 O avanço da tecnologia computacional colabora com o desenvolvimento social, entretanto veio acompanhada de muitos incidentes, como infrações, invasões, etc. Por isso, existe a necessidade do auxílio de ferramentas mais modernas para a identificação dos infratores. As ferramentas forenses são compostas pelos sistemas operacionais e por _________ específicos para coleta de dados voláteis, _________, _________, indexação de dados e _________. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: Aparelhos; softwares; registradores de arquivos; duplicação de dados. Softwares; gravação de arquivos; registradores; restauração de arquivos. Aparelhos; registradores; recuperação de arquivos; gravação de arquivos. Hardwares; duplicação; softwares especiais; gravação de arquivos. Softwares; duplicação; recuperação de arquivos; análise de arquivos. CORRETO Resolução comentada: Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Quando o sistema está desligado, é mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do material, mas, na realização de investigação em um equipamento ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é muito grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados muito importantes. A investigação em ambientes ligados é nomeada como Live Forensic e, neste caso, é fundamental que a volatilidade das informações seja considerada, assim como a necessidade de priorizá-las no momento da coleta, por exemplo, a memória do dispositivo e as conexões de redes ativas. Quando o perito em computação forense for realizar uma coleta de dados em um equipamento ligado, ele precisa pensar em ações que evitem qualquer tipo de contaminação. 23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 2/6 3) 4) Código da questão: 64518 Com a computação forense, é possível identificar os vestígios e encontrar evidências sobre os crimes nos ambientes e sistemas computacionais. Através da _________, pode-se buscar as provas desses crimes. A prova pericial exige uma fundamentação _________, _________ ou _________, produzida por um perito oficial. A prova pericial não se confunde com a prova _________, a qual também pode ser submetida à perícia. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: Perícia; técnica; científica; artística; documental. CORRETO Técnica; científica; artística; avaliativa; documental. Coleta; científica; técnica; documental; artística. Análise; conclusiva; técnica; científica; documental. INCORRETO Coleta; técnica; documental; artística; avaliativa. Código da questão: 64502 Existem diversas ferramentas no mercado criadas especialmente para perícia computacional. Dentre estas ferramentas, temos o _________, que foi desenvolvido pela _________. Neste software, encontramos as principais funcionalidades para a realização de _________ em dispositivos de armazenamento de dados. Este aplicativo tem um _________ com diversos recursos. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: Access Data; Guidance; análises; suíte. EnCase; Guidance; coletas; conjunto. Forensic Toolkit; EnCase; exames forenses; suíte. Forensic Toolkit; Access Data; exames forenses; suíte. CORRETO Guidance; Forensic Toolkit; exames forenses; pacote. Resolução comentada: O avanço da tecnologia computacional colabora com o desenvolvimento social, entretanto veio acompanhado de muitos incidentes, como infrações, invasões, pirataria, tentativas de acessos indevidos a organizações ou até mesmo a pessoas comuns. Por isso, há a necessidade do auxílio de ferramentas mais modernas para a busca e identificação dos infratores. Além dos sistemas operacionais, as ferramentas forenses são compostas por softwares específicos para ações, como coleta de dados voláteis, duplicação, recuperação de arquivos, indexação de dados e análise de arquivos ou análise de tráfego de rede. Resolução comentada: Através da perícia, é possível encontrar provas de diversos crimes nos ambientes e sistemas computacionais. A prova pericial é um meio de prova que exige uma fundamentação técnica, científica ou artística produzida por um perito oficial. Ela é diferente das demais provas subjetivas, uma vez que é baseada em um princípio científico aplicado por meio de técnica adequada – ela não se confunde com a prova documental. Poderá resultar de um mesmo documento (tradicional ou eletrônico), que deu origem a uma prova documental. Resolução comentada: Existem muitas ferramentas no mercado criadas especificamente para perícia computacional. Algumas são para uso específico em uma determinada fase da perícia, outras possuem um conjunto de ferramentas que podem ser utilizadas em todas as etapas da investigação computacional. Dentre estas ferramentas, temos o Forensic Toolkit (FTK), que foi desenvolvido pela Access Data. Neste software, podemos encontrar as principais funcionalidades para a realização de exames 23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 3/6 5) 6) Código da questão: 64516 O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas. Sobre a atuação desse profissional, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes. ( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades. ( ) Com a atuação do perito, é possível realizar o processo reverso do incidente. ( ) O perito usa a perícia para evitar que qualquer incidente ocorra. ( ) O perito pode encontrar a falha ocorrida no sistema de segurança. Assinale a alternativa que contenha a sequência correta. Alternativas: F – V – V – V – V. F – V – V – F – V. CORRETO V – F – V – V – F. V – V – F – F – V. F – F – V – F – F. Código da questão: 64498 O objetivo de toda árvore de decisão é criar um modelo possível que possa antever o valor de uma variável de destino, conforme o conjunto de variáveis de entrada. Como características positivas para a escolha dos modelos baseados em árvores de decisão, analise as afirmativas a seguir: I. Uma das características é a complexidade de interpretação do modelo, facilitando a confidencialidade. II. Durante o modelamento daárvore, a impossibilidade de acompanhar seus passos torna- a segura. III. A característica de que dados de atributos de tipos numéricos e nominais possam ser tratados. IV. A característica de que tanto problemas binomiais como multinomiais podem ser resolvidos. V. A característica de que o funcionamento interno não poderá ser observado, garantindo o sigilo. Assinale a alternativa que apresenta corretamente quais afirmativas são corretas. Alternativas: I, III e IV, apenas. III e V, apenas. III e IV, apenas. CORRETO II e V, apenas. I, II e V, apenas. forenses em dispositivos de armazenamento de dados. Este aplicativo possui um suíte com vários recursos, os quais podem ser utilizados em todas as fases de um exame computacional forense. Resolução comentada: O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas, pois estas possuem uma área responsável pelos incidentes de segurança. Este profissional será responsável por realizar uma investigação quando da ocorrência de um incidente e encontrar a falha da segurança que foi explorada para a efetivação da invasão. O perito pode realizar uma perícia computacional para entender o fato e executar o processo reverso, evitando que incidentes iguais voltem a ocorrer. Também pode realizar testes de vulnerabilidades em todo o ambiente, para verificar a segurança tecnológica da empresa. Resolução comentada: 23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 4/6 7) 8) Código da questão: 64507 Quando é feita uma cópia de um dispositivo suspeito, deve-se tomar muito cuidado para que não ocorra contaminação nele. Para isso, deverá ser protegido contra gravação e edição. Sobre estes procedimentos, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) Deve-se instalar um hardware específico para evitar que um dispositivo suspeito seja invadido outra vez. ( ) Existem sistemas específicos capazes de desinstalar no dispositivo subscrições de informações investigadas. ( ) Depois de ser feita a duplicação do dispositivo íntegro, deverá ser tomado cuidado com a sua proteção. ( ) É fundamental que seja tomado o devido cuidado para evitar a gravação e edição do dispositivo suspeito. ( ) A proteção contra a contaminação do dispositivo suspeito pode ser feita por sistemas específicos. Assinale a alternativa que contenha a sequência correta. Alternativas: V – V – F – V – F. F – F – V – V – V. CORRETO F – F – V – F – V. V – F – F – V – V. F – V – V – V – F. Código da questão: 64505 Existem muitas ferramentas gratuitas e pagas para serem usadas no processo de coleta em uma _________, bem como para a realização do _________ e da posterior _________. Os cuidados durante a execução destas ferramentas de _________ em uma máquina ligada são fundamentais. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: Live Forensic; exame; análise; coleta. CORRETO Perícia; planejamento; conclusão; análise. Perícia; exame; conclusão; análise. Live Forensic; exame; coleta; investigação. O objetivo de qualquer árvore de decisão é criar um modelo viável que possa prever o valor de uma variável de destino, conforme o conjunto de variáveis de entrada. Os modelos baseados em árvores de decisão apresentam características positivas para a sua escolha, como a facilidade de análise e interpretação do modelo, o que torna a afirmativa I incorreta. O seu funcionamento interno pode ser observado e, assim, os passos que estão sendo usados podem ser vistos quando a árvore está sendo modelada, o que torna as afirmativas II e V incorretas. A possibilidade de tratar dados de atributos de tipos numéricos e nominais, o que torna a afirmativa III correta. A disponibilidade de algoritmos que permitem resolver tanto problemas binomiais quanto multinomiais, o que torna a afirmativa IV correta. Resolução comentada: A cópia do dispositivo suspeito deverá ser feita sem risco de contaminação, aplicando-se proteção contra gravação e edição. Existem hardwares e sistemas específicos capazes de realizar esta proteção. Para não correr o risco de sobrescrever alguma informação importante e contaminar o ambiente investigado, nenhum sistema pode ser instalado no dispositivo. Assim que realizar a duplicação do dispositivo íntegro, ele deverá ser protegido. Recomenda-se nunca trabalhar no dispositivo original nem na cópia oficial, sendo esta última anexada ao processo. É interessante a realização do hash em cima da cópia oficial e adicionar o código desta assinatura no laudo, garantindo, assim, a integridade. 23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 5/6 9) 10) Investigação; planejamento; análise; coleta. Código da questão: 64523 O perito forense precisa, em primeiro lugar, entender os fatos e, depois, seguir uma metodologia de trabalho. Para realizar a perícia, são recomendadas quatro principais fases: coleta, exame, análise e apresentação dos resultados. Sobre estas fases, assinale a alternativa correta. Alternativas: Na fase de análise, o perito selecionará os dados encontrados para resumi-los. Ao fazer a análise, o perito expõe as evidências encontradas de forma temporal. Deve-se evitar incluir a cópia do laudo ao dispositivo de evidências. Durante a coleta dos dados, as informações são pesquisadas criticamente. O material coletado deverá ser duplicado e transformado em vestígios. CORRETO Código da questão: 64508 Existem duas etapas fundamentais para o sucesso de uma perícia computacional, são elas: a coleta e o exame. Cada uma dessas etapas é formada por diversos procedimentos. Sobre estes procedimentos, assinale a alternativa correta. Alternativas: Durante a etapa do exame, é feita a filtragem aplicada sobre o assunto em questão. CORRETO Na etapa da coleta, também é feita a documentação do material que foi encontrado. Na coleta, procura-se reduzir ao máximo o material apreendido e que será analisado. A identificação é um procedimento que só acontece na coleta dos materiais. Tanto na coleta quanto no exame, é feita a embalagem de evidências. Resolução comentada: Existem diversas ferramentas gratuitas, além das pagas, que podem ser utilizadas para o processo de coleta em uma Live Forensic, bem como para a realização do exame e da posterior análise. Os cuidados na execução destas ferramentas de coleta em uma máquina ligada são essenciais. Não se pode instalar programas na máquina questionada, sendo assim, os sistemas precisam estar em um pendrive ou HD externo, e o processo de gravação da porta USB precisa ser bloqueado, desta forma, ele só executa os programas sem gravar no dispositivo suspeito, não permitindo sobreposição ou alteração de dados em memória ou gravados. Resolução comentada: Cada uma das fases da perícia forense é distinta, sendo que, na coleta, é feita a cópia dos dados que deverão ser mantidos íntegros. Durante o exame, o perito filtrará os dados e reduzirá a quantidade deles. Na análise, serão procuradas as informações de maneira mais crítica, formando, assim, as evidências, as quais serão apresentadas em ordem cronológica na fase de apresentação dos resultados, formando uma possível prova do ocorrido. O material coletado e transformado em vestígios e evidências deverá ser armazenado em um dispositivo e protegido contra alterações. Uma cópia do laudo também pode ser armazenada neste dispositivo, assim como a catalogação de todo o material importante encontrado durante a perícia. Resolução comentada: Duas etapas são muito importantes para uma perícia computacional de sucesso, são elas: a coleta e o exame. A etapa da coleta é responsável pela identificação e pelo isolamento da área necessária, pela preservação dos dados, pela coleta das evidências, pela garantia da integridade e por embalar, etiquetar e manter a cadeia de custódia, mantendo a proteção do que foi coletado. Na etapa do exame, ocorre a identificação do material que foi coletado, a extraçãodestes dados e a filtragem 23/10/2023, 15:42 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 6/6 Código da questão: 64515 aplicada sobre o assunto questionado, bem como a documentação do que for encontrado. Apenas após estas duas etapas que se inicia a análise, pois o exame tem o objetivo de reduzir a quantidade de material a ser analisado. Arquivos e Links
Compartilhar