Procedimentos, técnicas e ferramentas forenses

Prévia do material em texto

23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 1/6
Procedimentos, técnicas e ferramentas forenses
Professor(a): Ariel da Silva Dias (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Para a realização de uma investigação de computação forense, é fundamental que sejam
considerados os dados voláteis existentes. Na realização da investigação em um ambiente
ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é
maior.
Sobre a investigação em ambientes ligados, assinale a alternativa correta.
Alternativas:
Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live
Forensic.
Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o
equipamento.
Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos
ambientes ligados.
É importante considerar a volatilidade das informações na coleta, por exemplo, a
memória do dispositivo.  CORRETO
O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta
dos dados.
Código da questão: 64517
O avanço da tecnologia computacional colabora com o desenvolvimento social,
entretanto veio acompanhada de muitos incidentes, como infrações, invasões, etc. Por isso,
existe a necessidade do auxílio de ferramentas mais modernas para a identificação dos
infratores.
As ferramentas forenses são compostas pelos sistemas operacionais e por _________
específicos para coleta de dados voláteis, _________, _________, indexação de dados e
_________.
Assinale a alternativa que completa adequadamente as lacunas.
Alternativas:
Aparelhos; softwares; registradores de arquivos; duplicação de dados.
Softwares; gravação de arquivos; registradores; restauração de arquivos.
Aparelhos; registradores; recuperação de arquivos; gravação de arquivos.
Hardwares; duplicação; softwares especiais; gravação de arquivos.
Softwares; duplicação; recuperação de arquivos; análise de arquivos.  CORRETO
Resolução comentada:
Para a realização de uma investigação de computação forense, é fundamental que
sejam considerados os dados voláteis existentes. Quando o sistema está desligado, é
mais simples de realizar cópias sem alteração do ambiente, evitando contaminação
do material, mas, na realização de investigação em um equipamento ligado, os
dados se tornam voláteis e o risco de contaminação do ambiente suspeito é muito
grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode
perder dados muito importantes. A investigação em ambientes ligados é nomeada
como Live Forensic e, neste caso, é fundamental que a volatilidade das informações
seja considerada, assim como a necessidade de priorizá-las no momento da coleta,
por exemplo, a memória do dispositivo e as conexões de redes ativas. Quando o
perito em computação forense for realizar uma coleta de dados em um
equipamento ligado, ele precisa pensar em ações que evitem qualquer tipo de
contaminação.
23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 2/6
3)
4)
Código da questão: 64518
Com a computação forense, é possível identificar os vestígios e encontrar evidências
sobre os crimes nos ambientes e sistemas computacionais. Através da _________, pode-se
buscar as provas desses crimes. A prova pericial exige uma fundamentação _________,
_________ ou _________, produzida por um perito oficial. A prova pericial não se confunde
com a prova _________, a qual também pode ser submetida à perícia.
Assinale a alternativa que completa adequadamente as lacunas.
Alternativas:
Perícia; técnica; científica; artística; documental. CORRETO
Técnica; científica; artística; avaliativa; documental.
Coleta; científica; técnica; documental; artística.
Análise; conclusiva; técnica; científica; documental.  INCORRETO
Coleta; técnica; documental; artística; avaliativa.
Código da questão: 64502
Existem diversas ferramentas no mercado criadas especialmente para perícia
computacional. Dentre estas ferramentas, temos o _________, que foi desenvolvido pela
_________. Neste software, encontramos as principais funcionalidades para a realização de
_________ em dispositivos de armazenamento de dados. Este aplicativo tem um _________
com diversos recursos.
Assinale a alternativa que completa adequadamente as lacunas.
Alternativas:
Access Data; Guidance; análises; suíte.
EnCase; Guidance; coletas; conjunto.
Forensic Toolkit; EnCase; exames forenses; suíte.
Forensic Toolkit; Access Data; exames forenses; suíte.  CORRETO
Guidance; Forensic Toolkit; exames forenses; pacote.
Resolução comentada:
O avanço da tecnologia computacional colabora com o desenvolvimento social,
entretanto veio acompanhado de muitos incidentes, como infrações, invasões,
pirataria, tentativas de acessos indevidos a organizações ou até mesmo a pessoas
comuns. Por isso, há a necessidade do auxílio de ferramentas mais modernas para a
busca e identificação dos infratores. Além dos sistemas operacionais, as ferramentas
forenses são compostas por softwares específicos para ações, como coleta de dados
voláteis, duplicação, recuperação de arquivos, indexação de dados e análise de
arquivos ou análise de tráfego de rede.
Resolução comentada:
Através da perícia, é possível encontrar provas de diversos crimes nos ambientes e
sistemas computacionais. A prova pericial é um meio de prova que exige uma
fundamentação técnica, científica ou artística produzida por um perito oficial. Ela é
diferente das demais provas subjetivas, uma vez que é baseada em um princípio
científico aplicado por meio de técnica adequada – ela não se confunde com a prova
documental. Poderá resultar de um mesmo documento (tradicional ou eletrônico),
que deu origem a uma prova documental.
Resolução comentada:
Existem muitas ferramentas no mercado criadas especificamente para perícia
computacional. Algumas são para uso específico em uma determinada fase da
perícia, outras possuem um conjunto de ferramentas que podem ser utilizadas em
todas as etapas da investigação computacional. Dentre estas ferramentas, temos o
Forensic Toolkit (FTK), que foi desenvolvido pela Access Data. Neste software,
podemos encontrar as principais funcionalidades para a realização de exames
23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 3/6
5)
6)
Código da questão: 64516
O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas
ou públicas. Sobre a atuação desse profissional, analise as afirmativas a seguir e assinale-as
com V (verdadeiro) ou F (falso):
( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes.
( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades.
( ) Com a atuação do perito, é possível realizar o processo reverso do incidente.
( ) O perito usa a perícia para evitar que qualquer incidente ocorra.
( ) O perito pode encontrar a falha ocorrida no sistema de segurança.
Assinale a alternativa que contenha a sequência correta.
Alternativas:
F – V – V – V – V.
F – V – V – F – V.  CORRETO
V – F – V – V – F.
V – V – F – F – V.
F – F – V – F – F.
Código da questão: 64498
O objetivo de toda árvore de decisão é criar um modelo possível que possa antever o
valor de uma variável de destino, conforme o conjunto de variáveis de entrada. Como
características positivas para a escolha dos modelos baseados em árvores de decisão,
analise as afirmativas a seguir:
I. Uma das características é a complexidade de interpretação do modelo, facilitando a
confidencialidade.
II. Durante o modelamento daárvore, a impossibilidade de acompanhar seus passos torna-
a segura.
III. A característica de que dados de atributos de tipos numéricos e nominais possam ser
tratados.
IV. A característica de que tanto problemas binomiais como multinomiais podem ser
resolvidos.
V. A característica de que o funcionamento interno não poderá ser observado, garantindo o
sigilo.
Assinale a alternativa que apresenta corretamente quais afirmativas são corretas.
Alternativas:
I, III e IV, apenas.
III e V, apenas.
III e IV, apenas.  CORRETO
II e V, apenas.
I, II e V, apenas.
forenses em dispositivos de armazenamento de dados. Este aplicativo possui um
suíte com vários recursos, os quais podem ser utilizados em todas as fases de um
exame computacional forense.
Resolução comentada:
O perito pode atuar como prestador de serviço ou colaborador nas empresas
privadas ou públicas, pois estas possuem uma área responsável pelos incidentes de
segurança. Este profissional será responsável por realizar uma investigação quando
da ocorrência de um incidente e encontrar a falha da segurança que foi explorada
para a efetivação da invasão. O perito pode realizar uma perícia computacional para
entender o fato e executar o processo reverso, evitando que incidentes iguais voltem
a ocorrer. Também pode realizar testes de vulnerabilidades em todo o ambiente,
para verificar a segurança tecnológica da empresa.
Resolução comentada:
23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 4/6
7)
8)
Código da questão: 64507
Quando é feita uma cópia de um dispositivo suspeito, deve-se tomar muito cuidado para
que não ocorra contaminação nele. Para isso, deverá ser protegido contra gravação e
edição. Sobre estes procedimentos, analise as afirmativas a seguir e assinale-as com V
(verdadeiro) ou F (falso):
( ) Deve-se instalar um hardware específico para evitar que um dispositivo suspeito seja
invadido outra vez.
( ) Existem sistemas específicos capazes de desinstalar no dispositivo subscrições de
informações investigadas.
( ) Depois de ser feita a duplicação do dispositivo íntegro, deverá ser tomado cuidado com
a sua proteção.
( ) É fundamental que seja tomado o devido cuidado para evitar a gravação e edição do
dispositivo suspeito.
( ) A proteção contra a contaminação do dispositivo suspeito pode ser feita por sistemas
específicos.
Assinale a alternativa que contenha a sequência correta.
Alternativas:
V – V – F – V – F.
F – F – V – V – V.  CORRETO
F – F – V – F – V.
V – F – F – V – V.
F – V – V – V – F.
Código da questão: 64505
Existem muitas ferramentas gratuitas e pagas para serem usadas no processo de coleta
em uma _________, bem como para a realização do _________ e da posterior _________. Os
cuidados durante a execução destas ferramentas de _________ em uma máquina ligada são
fundamentais.
Assinale a alternativa que completa adequadamente as lacunas.
Alternativas:
Live Forensic; exame; análise; coleta.  CORRETO
Perícia; planejamento; conclusão; análise.
Perícia; exame; conclusão; análise.
Live Forensic; exame; coleta; investigação.
O objetivo de qualquer árvore de decisão é criar um modelo viável que possa prever
o valor de uma variável de destino, conforme o conjunto de variáveis de entrada. Os
modelos baseados em árvores de decisão apresentam características positivas para a
sua escolha, como a facilidade de análise e interpretação do modelo, o que torna a
afirmativa I incorreta. O seu funcionamento interno pode ser observado e, assim, os
passos que estão sendo usados podem ser vistos quando a árvore está sendo
modelada, o que torna as afirmativas II e V incorretas. A possibilidade de tratar
dados de atributos de tipos numéricos e nominais, o que torna a afirmativa III
correta. A disponibilidade de algoritmos que permitem resolver tanto problemas
binomiais quanto multinomiais, o que torna a afirmativa IV correta.
Resolução comentada:
A cópia do dispositivo suspeito deverá ser feita sem risco de contaminação,
aplicando-se proteção contra gravação e edição. Existem hardwares e sistemas
específicos capazes de realizar esta proteção. Para não correr o risco de sobrescrever
alguma informação importante e contaminar o ambiente investigado, nenhum
sistema pode ser instalado no dispositivo. Assim que realizar a duplicação do
dispositivo íntegro, ele deverá ser protegido. Recomenda-se nunca trabalhar no
dispositivo original nem na cópia oficial, sendo esta última anexada ao processo. É
interessante a realização do hash em cima da cópia oficial e adicionar o código desta
assinatura no laudo, garantindo, assim, a integridade.
23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 5/6
9)
10)
Investigação; planejamento; análise; coleta.
Código da questão: 64523
O perito forense precisa, em primeiro lugar, entender os fatos e, depois, seguir uma
metodologia de trabalho. Para realizar a perícia, são recomendadas quatro principais fases:
coleta, exame, análise e apresentação dos resultados.
Sobre estas fases, assinale a alternativa correta.
Alternativas:
Na fase de análise, o perito selecionará os dados encontrados para resumi-los.
Ao fazer a análise, o perito expõe as evidências encontradas de forma temporal.
Deve-se evitar incluir a cópia do laudo ao dispositivo de evidências.
Durante a coleta dos dados, as informações são pesquisadas criticamente.
O material coletado deverá ser duplicado e transformado em vestígios.  CORRETO
Código da questão: 64508
Existem duas etapas fundamentais para o sucesso de uma perícia computacional, são
elas: a coleta e o exame. Cada uma dessas etapas é formada por diversos procedimentos.
Sobre estes procedimentos, assinale a alternativa correta.
Alternativas:
Durante a etapa do exame, é feita a filtragem aplicada sobre o assunto em questão. 
CORRETO
Na etapa da coleta, também é feita a documentação do material que foi encontrado.
Na coleta, procura-se reduzir ao máximo o material apreendido e que será analisado.
A identificação é um procedimento que só acontece na coleta dos materiais.
Tanto na coleta quanto no exame, é feita a embalagem de evidências.
Resolução comentada:
Existem diversas ferramentas gratuitas, além das pagas, que podem ser utilizadas
para o processo de coleta em uma Live Forensic, bem como para a realização do
exame e da posterior análise. Os cuidados na execução destas ferramentas de coleta
em uma máquina ligada são essenciais. Não se pode instalar programas na máquina
questionada, sendo assim, os sistemas precisam estar em um pendrive ou HD
externo, e o processo de gravação da porta USB precisa ser bloqueado, desta forma,
ele só executa os programas sem gravar no dispositivo suspeito, não permitindo
sobreposição ou alteração de dados em memória ou gravados.
Resolução comentada:
Cada uma das fases da perícia forense é distinta, sendo que, na coleta, é feita a cópia
dos dados que deverão ser mantidos íntegros. Durante o exame, o perito filtrará os
dados e reduzirá a quantidade deles. Na análise, serão procuradas as informações de
maneira mais crítica, formando, assim, as evidências, as quais serão apresentadas em
ordem cronológica na fase de apresentação dos resultados, formando uma possível
prova do ocorrido. O material coletado e transformado em vestígios e evidências
deverá ser armazenado em um dispositivo e protegido contra alterações. Uma cópia
do laudo também pode ser armazenada neste dispositivo, assim como a catalogação
de todo o material importante encontrado durante a perícia.
Resolução comentada:
Duas etapas são muito importantes para uma perícia computacional de sucesso, são
elas: a coleta e o exame. A etapa da coleta é responsável pela identificação e pelo
isolamento da área necessária, pela preservação dos dados, pela coleta das
evidências, pela garantia da integridade e por embalar, etiquetar e manter a cadeia
de custódia, mantendo a proteção do que foi coletado. Na etapa do exame, ocorre a
identificação do material que foi coletado, a extraçãodestes dados e a filtragem
23/10/2023, 15:42 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484172 6/6
Código da questão: 64515
aplicada sobre o assunto questionado, bem como a documentação do que for
encontrado. Apenas após estas duas etapas que se inicia a análise, pois o exame tem
o objetivo de reduzir a quantidade de material a ser analisado.
Arquivos e Links