Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 1 Antes do perito computacional realizar seu trabalho de análise e extração dos dados encontrados nos dispositivos móveis, existe uma outra etapa composta por três fases que podem ajudar muito na investigação forense. Qual alternativa melhor representa a fase de pré-exame e triagem? a. Nem tudo que é apreendido precisa necessariamente ser encaminhado para um exame pericial. b. Identificar todos os itens coletados em uma apreensão. c. Tudo que é apreendido precisa necessariamente ser encaminhado para um exame pericial. d. Verificar se o usuário concede a senha de desbloqueio e o número da linha telefônica. e. Verificar com a operadora de telefonia se houve histórico de alteração do número da linha. Comentário da resposta: na fase de pré-exame e triagem, como o próprio nome diz, é uma etapa onde deve-se verificar o que realmente pode ser um vestígio, descartando aqueles que são claramente dispensáveis. Pergunta 2 Sobre mecanismos para provar algo em um ambiente cibernético, prova é tudo aquilo que possa ser utilizado de forma direta ou indireta para a comprovação da verdade que se busca no processo. Sobre o significado de prova, qual a alternativa que melhor representa o meio da prova? a. Demonstra a verdade de um fato, utilizando-se da análise realizada em instrumentos de prova apresentados. b. Trata-se da ação que verifica a verdade do fato alegado no curso do processo. c. É o instrumento que demonstra a verdade de algo. d. Demonstra a dualidade de um fato, utilizando-se da análise realizada em instrumentos de prova apresentados. e. Trata-se da ação que verifica anomalias em um processo. Comentário da resposta: Um exemplo desse tipo de instrumento que demonstra a verdade de algo é o laudo pericial. Pergunta 3 É necessário que o profissional que irá realizar o exame forense conheça bem sobre os sistemas de detecção de intrusão, assim como de uma maneira geral as técnicas utilizadas em ataques de intrusão. O IDS, para ser considerado um sistema de detecção de intrusão, precisa possuir alguns componentes. Qual das alternativas representa melhor o componente conhecido como D-boxes? a. Realiza o armazenamento de resultados e eventos processados. b. Realiza ações como finalizar um processo, reiniciar uma conexão ou realizar notificações. c. Analisador de informações recebidas que tem a função de enviá-las para outros componentes após análise. d. Gerador de eventos, a partir do monitoramento ambiente protegido. e. Gerador de eventos, a partir do monitoramento ambiente não protegido. Comentário da resposta: armazenar os resultados e os eventos é uma tarefa do IDS e o componente que realiza essa atividade é o D-boxes. Pergunta 4 Uma evidência digital não é apenas aquilo que está armazenado em um computador, mas também aquilo que é transmitido por meio de meios digitais, sendo o e-mail um vestígio. Com base na afirmação, assinale a alternativa que melhor representa uma topologia do sistema de e-mail. a. Cliente de e-mail, Servidor de e-mail e protocolo FTP. b. Cliente de e-mail, Servidor de e-mail e protocolo SMTP. c. Cliente de e-mail, Servidor de e-mail e protocolo SNMP. d. Cliente de e-mail, Servidor de e-mail e protocolo POP3. e. Cliente de FTP, Servidor de e-mail e protocolo SMTP. Comentário da resposta: Três componentes formam um sistema de e-mail: o MUA (Message User Agent), basicamente é o cliente de e-mail; o MTA (Mail Transfer Agente) ou o MDA (Mail Delivery Agent), é o servidor de e-mail; por último, o protocolo SMTP (Simple Mail Transfer Protocol) é o responsável pelo envio da mensagem. Pergunta 5 O perito forense precisa conhecer muitos termos relacionados ao seu meio de atuação. Um desses termos está relacionado a uma análise de memória, chamada abort factor. Selecione a alternativa que melhor representa um abort factor. a. Adulteração de cabeçalhos, para prevenir uma análise forense computacional. b. Inviabilizar uma análise de memória, modificando um único byte do arquivo que contém o dump. c. Falsificação de dados é a utilização de colisões em hashes de arquivos executáveis. d. Alterações em arquivos e diretórios modificando seu nome. e. Adultera a assinatura de um arquivo para que ele não seja reconhecido pela base de hashes. Comentário da resposta: O que pode ser utilizado para reverter esse tipo de ataque é o Volatility, que é uma ferramenta para ataques que modificam um único byte do arquivo que contém o dump. Pergunta 6 Todos os anos são reportados na imprensa vários ataques de grupos hackers. Um desses ataques ocorreu na grande loja de e-commerce XPTO. O agente da ameaça aproveitou uma falha no tratamento da entrada de um formulário para inserir um código malicioso. A computação forense também é responsável por investigar quase todos os ataques cibernéticos contra sistemas computadorizados, como ransomware, phishing, ataques de injeção de SQL, ataque do tipo DoS (Denial of Service), violação de dados e espionagem cibernética. Com base no que foi descrito, assinale a alternativa que melhor representa um ataque do tipo SQL injection. a. É uma forma de ataque que o agente da ameaça consegue ficar entre duas partes em uma comunicação. b. O agente da ameaça se passa por um DNS verdadeiro e encaminha as requisições de endereço para destinos maliciosos. c. Utilização de código malicioso, geralmente em formulários de páginas de internet, com intuito de obter acesso a uma base dados. d. Realiza varredura na rede, procurando portas de comunicação abertas ou dados não criptografados trafegando na rede. e. Atua comprometendo vários sistemas para que estes façam de forma coordenada ataque a um determinado alvo. Comentário da resposta: é um ataque muito comum e há muitos anos o SQL Injection está presente na lista dos principais ataques na internet. Pergunta 7 Os exames em tempo real utilizam técnicas proativas, monitorando o tráfego em busca de anomalias, enquanto o exame após um acontecimento concentra-se na análise de logs, que podem ser apagados pelo invasor. Algumas ferramentas podem atuar como um IDS baseados em rede. Selecione a alternativa que melhor representa um SNORT. a. Ferramenta de hardware e software, que complementa a atuação de um IDS, baseada em assinatura. b. Útil para realizar o monitoramento do sistema de arquivos utilizando função de hash. c. Ferramenta de hardware e software, que substitui a atuação de um IDS, baseada em assinatura. d. Realizar o monitoramento do sistema de arquivos utilizando função do teorema das quatro cores. e. IDS de código livre; implementa análise em tempo real do tráfego de rede utilizando uma base de assinaturas de ataque. Comentário da resposta: O Snort possui código livre e implementa análise em tempo real do tráfego de rede utilizando uma base de assinaturas de ataque em seu subsistema, buscando e associando padrões. Pergunta 8 Vale lembrar que existem várias formas de crimes, e, como exemplo, podemos citar o crime contra a honra, que traz consigo diferentes formas de se pensar. É difícil o discernimento entre a liberdade de expressão; entre a licitude e a ilicitude às vezes há uma linha tênue que se ultrapassa com muita facilidade. Qual das alternativas representa de maneira correta um cyber crime? a. Um crime que é cometido contra pessoas que possuem e-mail. b. Um crime que é cometido contra pessoas que possuem computador. c. Um crime que é cometido contra pessoas que possuem internet. d. Um crime que é cometido contra pessoas que são famosas na internet. e. Um crime que é cometido por meio da internet. Comentário da resposta: trata-se de um crime cometido por meio da internet, e não somente isso: pode ser um delito informático que pode englobar crimes e contravenções penais que ocorram por meios informáticos ou eletrônicos. Pergunta 9 Umperito computacional foi contratado para analisar um ataque sofrido à rede da empresa XPTO, que ficou indisponível por alguns minutos. Para identificar o que aconteceu foi necessário fazer um exame da rede para coletar evidências. Escolha a alternativa que representa um exame que pode ser realizado durante análise do tráfego de rede. a. Ataques às câmeras. b. Recuperação de arquivos analisados. c. Engenharia singular. d. Engenharia reversa. e. Atividades das contas bancárias dos usuários. Comentário da resposta: A análise do tráfego de rede permite verificar quais protocolos são utilizados, com quais dispositivos a rede se relaciona e, ainda, se há pacotes suspeitos no tráfego de rede. Os exames mais comuns solicitados aos peritos nesse processo são a recuperação de arquivos transmitidos, a análise de atividades dos usuários, a análise de possíveis ataques que o servidor tenha sofrido e a engenharia reversa. Pergunta 10 Com base no número crescente compartilhamentos de arquivos criminosos em programas que utilizam rede P2P, indique qual alternativa representa melhor as características desse tipo. a. Permite compartilhamento de arquivos que são objetos de um log. b. Informações do sistema que possa elaborar uma linha de tempo ou identificação de equipamento. c. Permite compartilhamento de arquivos que são objetos de um código fonte. d. Programas que permitem conversas entre pessoas na internet. e. Permite compartilhamento de arquivos que são objetos de um crime em redes ponto a ponto. Comentário da resposta: é a única resposta que representa de forma correta as características do compartilhamento P2P.
Compartilhar