Quiz análise e perícia forense computacional Senac EAD Tentativa 1

Prévia do material em texto

Pergunta 1 
Antes do perito computacional realizar seu trabalho de análise e extração dos dados encontrados 
nos dispositivos móveis, existe uma outra etapa composta por três fases que podem ajudar muito na 
investigação forense. Qual alternativa melhor representa a fase de pré-exame e triagem? 
 
a. Nem tudo que é apreendido precisa necessariamente ser encaminhado para um exame pericial. 
b. Identificar todos os itens coletados em uma apreensão. 
c. Tudo que é apreendido precisa necessariamente ser encaminhado para um exame pericial. 
d. Verificar se o usuário concede a senha de desbloqueio e o número da linha telefônica. 
e. Verificar com a operadora de telefonia se houve histórico de alteração do número da linha. 
 
Comentário da resposta: na fase de pré-exame e triagem, como o próprio nome diz, é uma etapa 
onde deve-se verificar o que realmente pode ser um vestígio, descartando aqueles que são 
claramente dispensáveis. 
 
Pergunta 2 
Sobre mecanismos para provar algo em um ambiente cibernético, prova é tudo aquilo que possa ser 
utilizado de forma direta ou indireta para a comprovação da verdade que se busca no processo. 
Sobre o significado de prova, qual a alternativa que melhor representa o meio da prova? 
 
a. Demonstra a verdade de um fato, utilizando-se da análise realizada em instrumentos de prova 
apresentados. 
b. Trata-se da ação que verifica a verdade do fato alegado no curso do processo. 
c. É o instrumento que demonstra a verdade de algo. 
d. Demonstra a dualidade de um fato, utilizando-se da análise realizada em instrumentos de prova 
apresentados. 
e. Trata-se da ação que verifica anomalias em um processo. 
 
Comentário da resposta: Um exemplo desse tipo de instrumento que demonstra a verdade de algo é 
o laudo pericial. 
 
Pergunta 3 
É necessário que o profissional que irá realizar o exame forense conheça bem sobre os sistemas de 
detecção de intrusão, assim como de uma maneira geral as técnicas utilizadas em ataques de 
intrusão. O IDS, para ser considerado um sistema de detecção de intrusão, precisa possuir alguns 
componentes. Qual das alternativas representa melhor o componente conhecido como D-boxes? 
 
a. Realiza o armazenamento de resultados e eventos processados. 
b. Realiza ações como finalizar um processo, reiniciar uma conexão ou realizar notificações. 
c. Analisador de informações recebidas que tem a função de enviá-las para outros componentes 
após análise. 
d. Gerador de eventos, a partir do monitoramento ambiente protegido. 
e. Gerador de eventos, a partir do monitoramento ambiente não protegido. 
 
Comentário da resposta: armazenar os resultados e os eventos é uma tarefa do IDS e o componente 
que realiza essa atividade é o D-boxes. 
 
Pergunta 4 
Uma evidência digital não é apenas aquilo que está armazenado em um computador, mas também 
aquilo que é transmitido por meio de meios digitais, sendo o e-mail um vestígio. Com base na 
afirmação, assinale a alternativa que melhor representa uma topologia do sistema de e-mail. 
 
a. Cliente de e-mail, Servidor de e-mail e protocolo FTP. 
b. Cliente de e-mail, Servidor de e-mail e protocolo SMTP. 
c. Cliente de e-mail, Servidor de e-mail e protocolo SNMP. 
d. Cliente de e-mail, Servidor de e-mail e protocolo POP3. 
e. Cliente de FTP, Servidor de e-mail e protocolo SMTP. 
 
Comentário da resposta: Três componentes formam um sistema de e-mail: o MUA (Message User 
Agent), basicamente é o cliente de e-mail; o MTA (Mail Transfer Agente) ou o MDA (Mail Delivery 
Agent), é o servidor de e-mail; por último, o protocolo SMTP (Simple Mail Transfer Protocol) é o 
responsável pelo envio da mensagem. 
 
Pergunta 5 
O perito forense precisa conhecer muitos termos relacionados ao seu meio de atuação. Um desses 
termos está relacionado a uma análise de memória, chamada abort factor. Selecione a alternativa 
que melhor representa um abort factor. 
 
a. Adulteração de cabeçalhos, para prevenir uma análise forense computacional. 
b. Inviabilizar uma análise de memória, modificando um único byte do arquivo que contém o dump. 
c. Falsificação de dados é a utilização de colisões em hashes de arquivos executáveis. 
d. Alterações em arquivos e diretórios modificando seu nome. 
e. Adultera a assinatura de um arquivo para que ele não seja reconhecido pela base de hashes. 
 
Comentário da resposta: O que pode ser utilizado para reverter esse tipo de ataque é o Volatility, 
que é uma ferramenta para ataques que modificam um único byte do arquivo que contém o dump. 
 
Pergunta 6 
Todos os anos são reportados na imprensa vários ataques de grupos hackers. Um desses ataques 
ocorreu na grande loja de e-commerce XPTO. O agente da ameaça aproveitou uma falha no 
tratamento da entrada de um formulário para inserir um código malicioso. A computação forense 
também é responsável por investigar quase todos os ataques cibernéticos contra sistemas 
computadorizados, como ransomware, phishing, ataques de injeção de SQL, ataque do tipo DoS 
(Denial of Service), violação de dados e espionagem cibernética. Com base no que foi descrito, 
assinale a alternativa que melhor representa um ataque do tipo SQL injection. 
 
a. É uma forma de ataque que o agente da ameaça consegue ficar entre duas partes em uma 
comunicação. 
b. O agente da ameaça se passa por um DNS verdadeiro e encaminha as requisições de endereço 
para destinos maliciosos. 
c. Utilização de código malicioso, geralmente em formulários de páginas de internet, com intuito de 
obter acesso a uma base dados. 
d. Realiza varredura na rede, procurando portas de comunicação abertas ou dados não 
criptografados trafegando na rede. 
e. Atua comprometendo vários sistemas para que estes façam de forma coordenada ataque a um 
determinado alvo. 
 
Comentário da resposta: é um ataque muito comum e há muitos anos o SQL Injection está presente 
na lista dos principais ataques na internet. 
 
Pergunta 7 
Os exames em tempo real utilizam técnicas proativas, monitorando o tráfego em busca de 
anomalias, enquanto o exame após um acontecimento concentra-se na análise de logs, que podem 
ser apagados pelo invasor. Algumas ferramentas podem atuar como um IDS baseados em rede. 
Selecione a alternativa que melhor representa um SNORT. 
 
a. Ferramenta de hardware e software, que complementa a atuação de um IDS, baseada em 
assinatura. 
b. Útil para realizar o monitoramento do sistema de arquivos utilizando função de hash. 
c. Ferramenta de hardware e software, que substitui a atuação de um IDS, baseada em assinatura. 
d. Realizar o monitoramento do sistema de arquivos utilizando função do teorema das quatro cores. 
e. IDS de código livre; implementa análise em tempo real do tráfego de rede utilizando uma base de 
assinaturas de ataque. 
 
Comentário da resposta: O Snort possui código livre e implementa análise em tempo real do tráfego 
de rede utilizando uma base de assinaturas de ataque em seu subsistema, buscando e associando 
padrões. 
 
Pergunta 8 
Vale lembrar que existem várias formas de crimes, e, como exemplo, podemos citar o crime contra a 
honra, que traz consigo diferentes formas de se pensar. É difícil o discernimento entre a liberdade de 
expressão; entre a licitude e a ilicitude às vezes há uma linha tênue que se ultrapassa com muita 
facilidade. Qual das alternativas representa de maneira correta um cyber crime? 
 
a. Um crime que é cometido contra pessoas que possuem e-mail. 
b. Um crime que é cometido contra pessoas que possuem computador. 
c. Um crime que é cometido contra pessoas que possuem internet. 
d. Um crime que é cometido contra pessoas que são famosas na internet. 
e. Um crime que é cometido por meio da internet. 
 
Comentário da resposta: trata-se de um crime cometido por meio da internet, e não somente isso: 
pode ser um delito informático que pode englobar crimes e contravenções penais que ocorram por 
meios informáticos ou eletrônicos. 
 
Pergunta 9 
Umperito computacional foi contratado para analisar um ataque sofrido à rede da empresa XPTO, 
que ficou indisponível por alguns minutos. Para identificar o que aconteceu foi necessário fazer um 
exame da rede para coletar evidências. Escolha a alternativa que representa um exame que pode ser 
realizado durante análise do tráfego de rede. 
 
a. Ataques às câmeras. 
b. Recuperação de arquivos analisados. 
c. Engenharia singular. 
d. Engenharia reversa. 
e. Atividades das contas bancárias dos usuários. 
 
Comentário da resposta: A análise do tráfego de rede permite verificar quais protocolos são 
utilizados, com quais dispositivos a rede se relaciona e, ainda, se há pacotes suspeitos no tráfego de 
rede. Os exames mais comuns solicitados aos peritos nesse processo são a recuperação de arquivos 
transmitidos, a análise de atividades dos usuários, a análise de possíveis ataques que o servidor 
tenha sofrido e a engenharia reversa. 
 
Pergunta 10 
Com base no número crescente compartilhamentos de arquivos criminosos em programas que 
utilizam rede P2P, indique qual alternativa representa melhor as características desse tipo. 
 
a. Permite compartilhamento de arquivos que são objetos de um log. 
b. Informações do sistema que possa elaborar uma linha de tempo ou identificação de equipamento. 
c. Permite compartilhamento de arquivos que são objetos de um código fonte. 
d. Programas que permitem conversas entre pessoas na internet. 
e. Permite compartilhamento de arquivos que são objetos de um crime em redes ponto a ponto. 
 
Comentário da resposta: é a única resposta que representa de forma correta as características do 
compartilhamento P2P.